CN112738089B - 一种复杂网络环境下的源ip自动回溯方法和装置 - Google Patents

一种复杂网络环境下的源ip自动回溯方法和装置 Download PDF

Info

Publication number
CN112738089B
CN112738089B CN202011590004.1A CN202011590004A CN112738089B CN 112738089 B CN112738089 B CN 112738089B CN 202011590004 A CN202011590004 A CN 202011590004A CN 112738089 B CN112738089 B CN 112738089B
Authority
CN
China
Prior art keywords
source
attack
data packet
firewall
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011590004.1A
Other languages
English (en)
Other versions
CN112738089A (zh
Inventor
李明昊
李巍
杨愚非
瞿威
牛文超
曾锴
蔡啸
陈家书
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Construction Bank Corp
Original Assignee
China Construction Bank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Construction Bank Corp filed Critical China Construction Bank Corp
Priority to CN202011590004.1A priority Critical patent/CN112738089B/zh
Publication of CN112738089A publication Critical patent/CN112738089A/zh
Application granted granted Critical
Publication of CN112738089B publication Critical patent/CN112738089B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供了一种复杂网络环境下的源ip自动回溯方法和装置,该方法和装置应用于网站,具体为根据被攻击警告获取攻击信息的攻击四元组信息和攻击时间;判断攻击时间是否处于会话的时间内,且攻击四元组信息是否与网站的任一节点的四元组信息相同;如果攻击时间处于会话的时间内,且攻击四元组信息和节点的四元组信息相同,则根据数据包关联关系和节点的四元组信息输出攻击源ip。从而实现源ip的回溯,当发生网络攻击时基于该源ip能够及时找到攻击源。

Description

一种复杂网络环境下的源ip自动回溯方法和装置
技术领域
本申请涉及互联网技术领域,更具体地说,涉及一种复杂网络环境下的源ip自动回溯方法和装置。
背景技术
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,很多业务也都依赖互联网,例如网上银行、网络购物、网游等。且企业信息化的过程中各种应用也都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
当前网站的安全设备仅能对攻击行为单纯进行阻断,无法找到攻击源,但是只有找到攻击源才能够一劳永逸的解决该威胁点。当前网络环境复杂,数据中心日常运行中中,为了安全、负载均衡或ip地址数量的限制,大量的使用了地址转换,导致在发生网络攻击时无法及时有效的找到攻击源,也就就无法彻底阻止黑客的攻击行为。
发明内容
有鉴于此,本申请提供一种复杂网络环境下的源ip自动回溯方法和装置,用于根据需要实现源ip的自动回溯,以便于在发生网络攻击时及时找到攻击源。
为了实现上述目的,现提出的方案如下:
一种复杂网络环境下的源ip自动回溯方法,应用于网站,所述源ip自动回溯方法包括步骤:
响应所述网站的安全设备发出的被攻击警告,获取攻击信息的攻击四元组信息和攻击时间;
判断所述攻击时间是否处于会话的时间内,且所述攻击四元组信息是否与所述网站的任一节点的四元组信息相同;
如果所述攻击时间处于所述会话的时间内,且所述攻击四元组信息和所述节点的四元组信息相同,则根据数据包关联关系和所述节点的四元组信息输出攻击源ip。
可选的,所述根据数据包关联关系和所述节点的四元组信息输出攻击源ip,包括步骤:
输出与所述节点的四元组信息关联的防火墙之前的源ip;
以预设颜色将所述防火墙之前的源ip作为所述攻击源ip予以显示。
可选的,还包括步骤:
根据防火墙前后的数据包的四元组信息和在tcp层的序号判断两个数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系;
根据入访的数据包在防火墙前后的源ip和源端口的对比确认防火墙前后的数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系。
可选的,所述根据防火墙前后的数据包的四元组信息和在tcp层的序号判断两个数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系,包括步骤:
获取防火墙前的数据包的四元组信息和在tcp层的第一序号;
获取防火墙后的数据包的四元组信息和在tcp层的第二序号;
如果所述第一序号和所述第二序号相同,则防火墙前的数据包与防火墙后的数据包为同一数据包,此时将防火墙前数据包的四元组信息和防火墙后的四元组信息进行关联,并记录为所述数据包关联关系。
可选的,所述根据入访的数据包在防火墙前后的源ip和源端口的对比确认防火墙前后的数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系,包括步骤:
在负载均衡设备之前在入访的数据包的http头上通过XFF字段和XCP字段加上源ip和源端口;
在负载均衡设备之后获取所述入访的数据包的XFF字段和XCP字段;
对源ip和源端口与XFF字段和XCP字段的源ip和源端口进行比较,如果两者相同,则将负载均衡设备前后的数据包记录为所述数据包关联关系。
一种复杂网络环境下的源ip自动回溯中转站,应用于网站,所述源ip自动回溯装置包括:
信息获取模块,用于响应所述网站的安全设备发出的被攻击警告,获取攻击信息的攻击四元组信息和攻击时间;
信息判断模块,用于判断所述攻击时间是否处于会话的时间内,且所述攻击四元组信息是否与所述网站的任一节点的四元组信息相同;
攻击源输出模块,用于如果所述攻击时间处于所述会话的时间内,且所述攻击四元组信息和所述节点的四元组信息相同,则根据数据包关联关系和所述节点的四元组信息输出攻击源ip。
可选的,所述攻击源输出模块包括:
输出控制单元,用于输出与所述节点的四元组信息关联的防火墙之前的源ip;
显示控制单元,用于以预设颜色将所述防火墙之前的源ip作为所述攻击源ip予以显示。
可选的,还包括:
第一关联模块,用于根据防火墙前后的数据包的四元组信息和在tcp层的序号判断两个数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系;
第二关联模块,用于根据入访的数据包在防火墙前后的源ip和源端口的对比确认防火墙前后的数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系。
可选的,所述第一关联模块包括:
第一获取单元,用于获取防火墙前的数据包的四元组信息和在tcp层的第一序号;
第二获取单元,用于获取防火墙后的数据包的四元组信息和在tcp层的第二序号;
第一关联单元,用于如果所述第一序号和所述第二序号相同,则防火墙前的数据包与防火墙后的数据包为同一数据包,此时将防火墙前数据包的四元组信息和防火墙后的四元组信息进行关联,并记录为所述数据包关联关系。
可选的,所述第二挂链模块包括:
字头处理单元,用于在负载均衡设备之前在入访的数据包的http头上通过XFF字段和XCP字段加上源ip和源端口;
字头获取单元,用于在负载均衡设备之后获取所述入访的数据包的XFF字段和XCP字段;
第二关联单元,用于对源ip和源端口与XFF字段和XCP字段的源ip和源端口进行比较,如果两者相同,则将负载均衡设备前后的数据包记录为所述数据包关联关系。
从上述的技术方案可以看出,本申请公开了一种复杂网络环境下的源ip自动回溯方法和装置,该方法和装置应用于网站,具体为根据被攻击警告获取攻击信息的攻击四元组信息和攻击时间;判断攻击时间是否处于会话的时间内,且攻击四元组信息是否与网站的任一节点的四元组信息相同;如果攻击时间处于会话的时间内,且攻击四元组信息和节点的四元组信息相同,则根据数据包关联关系和节点的四元组信息输出攻击源ip。从而实现源ip的回溯,当发生网络攻击时基于该源ip能够及时找到攻击源。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种源ip回溯系统的示意图;
图2为另一种源ip回溯系统的示意图;
图3为本申请实施例的一种复杂网络环境下的源ip自动回溯方法的流程图;
图4为本申请实施例的一种四元组信息关联方法的流程图;
图5为本申请实施例的一种复杂网络环境下的源ip自动回溯装置的框图;
图6为本申请实施例的另一种复杂网络环境下的源ip自动回溯装置的框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
当前数据中心,一般真实源ip的回溯是通过负载均衡在http头部插入x-forwarded-for(XFF)字段来解决该问题,但是图1中的情况,却无法通过XFF来解决真实源ip的回溯问题,同时也无法通过http头部字段进行关联,确定真实源ip地址。本方法为解决该问题,设计了针对该场景下的源ip自动回溯系统。
同一系统在每个节点的目的ip和目的port均一致,其中各设备操作如下:
防火墙设备(FW):
a.对源ip进行了多对一或多对多的地址转换;
b.源port此时呈现为随机端口;
c.目的ip和目的port进行了一对一的转换;
加解密设备(SSL):
a.对进入ssl设备的数据流进行解密;
b.源ip和源port不进行转换;
c.目的ip和目的port进行了一对一的转换;
负载均衡设备(LB):
a.为一个七层代理设备;
b.对源ip转换进行了多对多的地址转换;
c.源port此时呈现为随机端口;
d.目的ip和目的port进行了一对一的转换;
负载均衡设备将源ip通过XFF字段插入到http头部,对真实用户的源ip进行回溯分析。
如图2所示,对于服务器,其通过XFF字段看到用户1、2、3的ip地址均为sf-ip1,此时通过XFF字段无法区分用户。
基于以上分析,本申请提供下面的实施例,以解决攻击源ip回溯问题。
实施例一
图3为本申请实施例的一种复杂网络环境下的源ip自动回溯方法的流程图。
如图3所示,本实施例提供的源ip自动回溯方法应用于网站等网络环境,其具体包括如下步骤:
S101、根据被攻击警告获取攻击信息的四元组信息和攻击时间。
即在网站的安全设备发出被攻击警告时,第一时间对被确定的攻击信息进行处理,从中得到该攻击信息或者说用于攻击的数据包的四元组信息和攻击时间,为了方便描述,鉴于该四元组信息为攻击数据包的四元组信息,我们将此四元组信息描述为攻击四元组信息。
S102、对攻击时间和攻击四元组信息进行判断。
即对攻击时间是否处于会话时间内,且攻击四元组信息是否与该网站的任一节点的四元组信息相同。
S103、根据数据包关联关系输出攻击源ip。
通过上面的比较,如果该攻击时间处于该会话时间内,且攻击四元组信息与网站内四元组信息相同,此时判定该网站内的四元组信息与攻击数据包的四元组信息有关联关系,此时根据该网站内的四元组信息的源ip输出攻击源ip,从而实现源ip的回溯。
在具体实施时,在确定关联关系后,输出与节点的四元组信息关联的防火墙前的源ip作为该攻击源ip;在输出时,以预设颜色如红色将该攻击源ip予以显示。
从上述技术方案可以看出,本实施例提供了一种复杂网络环境下的源ip自动回溯方法,该方法应用于网站,具体为根据被攻击警告获取攻击信息的攻击四元组信息和攻击时间;判断攻击时间是否处于会话的时间内,且攻击四元组信息是否与网站的任一节点的四元组信息相同;如果攻击时间处于会话的时间内,且攻击四元组信息和节点的四元组信息相同,则根据数据包关联关系和节点的四元组信息输出攻击源ip。从而实现源ip的回溯,当发生网络攻击时基于该源ip能够及时找到攻击源。
另外,在本实施例中还包括相应的关联方案,用于将同一数据包进行关联处理,具体包括如下步骤,如图4所示。
S201、根据防火墙前后的数据包的四元组信息和在tcp层的序号判断两个数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为数据包关联关系。
在具体实施时,首先,获取防火墙前的数据包的四元组信息和在tcp层的序号,将其描述为第一序号;
然后,获取防火墙后的数据包的四元组信息和在tcp层的序号,将其描述为第二序号;
最后,如果第一序号和第二序号相同,则防火墙前的数据包与防火墙后的数据包为同一数据包,此时将防火墙前数据包的四元组信息和防火墙后的四元组信息进行关联,并记录为数据包关联关系。
S202、根据入访的数据包在防火墙前后的源ip和源端口的对比确认防火墙前后的数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为数据包关联关系。
具体实施时,首先,在负载均衡设备之前在入访的数据包的http头上通过XFF字段和XCP字段加上源ip和源端口;XCP是X-Client-Port的缩写,意思是客户端端口.
然后,在负载均衡设备之后获取入访的数据包的XFF字段和XCP字段;
最后,对源ip和源端口与XFF字段和XCP字段的源ip和源端口进行比较,如果两者相同,则将负载均衡设备前后的数据包记录为数据包关联关系。
实施例二
图5为本申请实施例的一种复杂网络环境下的源ip自动回溯装置的框图。
如图5所示,本实施例提供的源ip自动回溯装置应用于网站等网络环境,其具体包括信息获取模块10、信息判断模块20和攻击源输出模块30。
信息获取模块用于根据被攻击警告获取攻击信息的四元组信息和攻击时间。
即在网站的安全设备发出被攻击警告时,第一时间对被确定的攻击信息进行处理,从中得到该攻击信息或者说用于攻击的数据包的四元组信息和攻击时间,为了方便描述,鉴于该四元组信息为攻击数据包的四元组信息,我们将此四元组信息描述为攻击四元组信息。
信息判断模块用于对攻击时间和攻击四元组信息进行判断。
即对攻击时间是否处于会话时间内,且攻击四元组信息是否与该网站的任一节点的四元组信息相同。
攻击源输出模块用于根据数据包关联关系输出攻击源ip。
通过上面的比较,如果该攻击时间处于该会话时间内,且攻击四元组信息与网站内四元组信息相同,此时判定该网站内的四元组信息与攻击数据包的四元组信息有关联关系,此时根据该网站内的四元组信息的源ip输出攻击源ip,从而实现源ip的回溯。
该模块具体包括输出控制单元和显示控制单元,输出控制单元用于在确定关联关系后,输出与节点的四元组信息关联的防火墙前的源ip作为该攻击源ip;显示控制单元用于在输出控制单元输出时,以预设颜色如红色将该攻击源ip予以显示。
从上述技术方案可以看出,本实施例提供了一种复杂网络环境下的源ip自动回溯装置,该装置应用于网站,具体为根据被攻击警告获取攻击信息的攻击四元组信息和攻击时间;判断攻击时间是否处于会话的时间内,且攻击四元组信息是否与网站的任一节点的四元组信息相同;如果攻击时间处于会话的时间内,且攻击四元组信息和节点的四元组信息相同,则根据数据包关联关系和节点的四元组信息输出攻击源ip。从而实现源ip的回溯,当发生网络攻击时基于该源ip能够及时找到攻击源。
另外,在本实施例中还包括相应的关联方案,用于将同一数据包进行关联处理,即本实施例还包括第一关联模块40和第二关联模块,如图6所示。
第一关联模块用于根据防火墙前后的数据包的四元组信息和在tcp层的序号判断两个数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为数据包关联关系;该模块包括第一获取单元、第二获取单元和第一关联单元。
第一获取单元用于获取防火墙前的数据包的四元组信息和在tcp层的序号,将其描述为第一序号;
第二获取单元用于获取防火墙后的数据包的四元组信息和在tcp层的序号,将其描述为第二序号;
如果第一序号和第二序号相同,则防火墙前的数据包与防火墙后的数据包为同一数据包,此时第一关联单元用于将防火墙前数据包的四元组信息和防火墙后的四元组信息进行关联,并记录为数据包关联关系。
第二关联模块用于根据入访的数据包在防火墙前后的源ip和源端口的对比确认防火墙前后的数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为数据包关联关系。该模块包括字头处理单元、字头获取单元和第二关联单元。
字头处理单元用于在负载均衡设备之前在入访的数据包的http头上通过XFF字段和XCP字段加上源ip和源端口;
字头获取单元用于在负载均衡设备之后获取入访的数据包的XFF字段和XCP字段;
第二关联单元用于对源ip和源端口与XFF字段和XCP字段的源ip和源端口进行比较,如果两者相同,则将负载均衡设备前后的数据包记录为数据包关联关系。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的技术方案进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种复杂网络环境下的源ip自动回溯方法,应用于网站,其特征在于,所述源ip自动回溯方法包括步骤:
响应所述网站的安全设备发出的被攻击警告,获取攻击信息的攻击四元组信息和攻击时间,所述攻击四元组信息为攻击数据包的四元组信息;
判断所述攻击时间是否处于会话的时间内,且所述攻击四元组信息是否与所述网站的任一节点的四元组信息相同;
根据防火墙前后的数据包的四元组信息和在tcp层的序号判断两个数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系;
根据入访的数据包在防火墙前后的源ip和源端口的对比确认防火墙前后的数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系;
如果所述攻击时间处于所述会话的时间内,且所述攻击四元组信息和所述节点的四元组信息相同,则根据所述数据包关联关系和所述节点的四元组信息输出攻击源ip。
2.如权利要求1所述的源ip自动回溯方法,其特征在于,所述根据数据包关联关系和所述节点的四元组信息输出攻击源ip,包括步骤:
输出与所述节点的四元组信息关联的防火墙之前的源ip;
以预设颜色将所述防火墙之前的源ip作为所述攻击源ip予以显示。
3.如权利要求1所述的源ip自动回溯方法,其特征在于,所述根据防火墙前后的数据包的四元组信息和在tcp层的序号判断两个数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系,包括步骤:
获取防火墙前的数据包的四元组信息和在tcp层的第一序号;
获取防火墙后的数据包的四元组信息和在tcp层的第二序号;
如果所述第一序号和所述第二序号相同,则防火墙前的数据包与防火墙后的数据包为同一数据包,此时将防火墙前数据包的四元组信息和防火墙后的四元组信息进行关联,并记录为所述数据包关联关系。
4.如权利要求1所述的源ip自动回溯方法,其特征在于,所述根据入访的数据包在防火墙前后的源ip和源端口的对比确认防火墙前后的数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系,包括步骤:
在负载均衡设备之前在入访的数据包的http头上通过XFF字段和XCP字段加上源ip和源端口;
在负载均衡设备之后获取所述入访的数据包的XFF字段和XCP字段;
对源ip和源端口与XFF字段和XCP字段的源ip和源端口进行比较,如果两者相同,则将负载均衡设备前后的数据包记录为所述数据包关联关系。
5.一种复杂网络环境下的源ip自动回溯中转站,应用于网站,其特征在于,所述源ip自动回溯装置包括:
信息获取模块,用于响应所述网站的安全设备发出的被攻击警告,获取攻击信息的攻击四元组信息和攻击时间,所述攻击四元组信息为攻击数据包的四元组信息;
信息判断模块,用于判断所述攻击时间是否处于会话的时间内,且所述攻击四元组信息是否与所述网站的任一节点的四元组信息相同;
第一关联模块,用于根据防火墙前后的数据包的四元组信息和在tcp层的序号判断两个数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系;
第二关联模块,用于根据入访的数据包在防火墙前后的源ip和源端口的对比确认防火墙前后的数据包是否为同一数据包,如果是同一数据包则将此关联关系记录为所述数据包关联关系;
攻击源输出模块,用于如果所述攻击时间处于所述会话的时间内,且所述攻击四元组信息和所述节点的四元组信息相同,则所述根据数据包关联关系和所述节点的四元组信息输出攻击源ip。
6.如权利要求5所述的源ip自动回溯装置,其特征在于,所述攻击源输出模块包括:
输出控制单元,用于输出与所述节点的四元组信息关联的防火墙之前的源ip;
显示控制单元,用于以预设颜色将所述防火墙之前的源ip作为所述攻击源ip予以显示。
7.如权利要求5所述的源ip自动回溯装置,其特征在于,所述第一关联模块包括:
第一获取单元,用于获取防火墙前的数据包的四元组信息和在tcp层的第一序号;
第二获取单元,用于获取防火墙后的数据包的四元组信息和在tcp层的第二序号;
第一关联单元,用于如果所述第一序号和所述第二序号相同,则防火墙前的数据包与防火墙后的数据包为同一数据包,此时将防火墙前数据包的四元组信息和防火墙后的四元组信息进行关联,并记录为所述数据包关联关系。
8.如权利要求5所述的源ip自动回溯装置,其特征在于,第二挂链模块包括:
字头处理单元,用于在负载均衡设备之前在入访的数据包的http头上通过XFF字段和XCP字段加上源ip和源端口;
字头获取单元,用于在负载均衡设备之后获取所述入访的数据包的XFF字段和XCP字段;
第二关联单元,用于对源ip和源端口与XFF字段和XCP字段的源ip和源端口进行比较,如果两者相同,则将负载均衡设备前后的数据包记录为所述数据包关联关系。
CN202011590004.1A 2020-12-29 2020-12-29 一种复杂网络环境下的源ip自动回溯方法和装置 Active CN112738089B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011590004.1A CN112738089B (zh) 2020-12-29 2020-12-29 一种复杂网络环境下的源ip自动回溯方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011590004.1A CN112738089B (zh) 2020-12-29 2020-12-29 一种复杂网络环境下的源ip自动回溯方法和装置

Publications (2)

Publication Number Publication Date
CN112738089A CN112738089A (zh) 2021-04-30
CN112738089B true CN112738089B (zh) 2023-03-28

Family

ID=75607792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011590004.1A Active CN112738089B (zh) 2020-12-29 2020-12-29 一种复杂网络环境下的源ip自动回溯方法和装置

Country Status (1)

Country Link
CN (1) CN112738089B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016188294A1 (zh) * 2015-05-28 2016-12-01 阿里巴巴集团控股有限公司 一种网络攻击处理方法和装置
CN111556083A (zh) * 2020-05-29 2020-08-18 武汉大学 电网信息物理系统网络攻击物理侧与信息侧协同溯源装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
CN112003813A (zh) * 2019-05-27 2020-11-27 中国信息通信研究院 一种工业控制系统威胁态势感知方法
CN110336808B (zh) * 2019-06-28 2021-08-24 南瑞集团有限公司 一种面向电力工控网络的攻击溯源方法及系统
CN111695115B (zh) * 2020-05-25 2023-05-05 武汉大学 基于通信时延与安全性评估的工控系统网络攻击溯源方法
CN111885007B (zh) * 2020-06-30 2023-03-24 北京长亭未来科技有限公司 信息溯源方法、装置、系统及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016188294A1 (zh) * 2015-05-28 2016-12-01 阿里巴巴集团控股有限公司 一种网络攻击处理方法和装置
CN111556083A (zh) * 2020-05-29 2020-08-18 武汉大学 电网信息物理系统网络攻击物理侧与信息侧协同溯源装置

Also Published As

Publication number Publication date
CN112738089A (zh) 2021-04-30

Similar Documents

Publication Publication Date Title
CN107612895B (zh) 一种互联网防攻击方法及认证服务器
US9369479B2 (en) Detection of malware beaconing activities
CN105577608B (zh) 网络攻击行为检测方法和装置
CN109474916B (zh) 一种设备鉴权方法、装置以及机器可读介质
US10419431B2 (en) Preventing cross-site request forgery using environment fingerprints of a client device
US20140250526A1 (en) Detecting fraudulent activity by analysis of information requests
CN104640114B (zh) 一种访问请求的验证方法及装置
CN107046544B (zh) 一种识别对网站的非法访问请求的方法和装置
US9148434B2 (en) Determining populated IP addresses
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
US20200259861A1 (en) Identifying and classifying community attacks
CN105915494A (zh) 防盗链方法及系统
WO2016119420A1 (zh) 一种对网络资源的恶意访问检测方法、装置及通信网关
WO2020037781A1 (zh) 一种实现服务器防攻击方法及装置
US20230254146A1 (en) Cybersecurity guard for core network elements
CN107888623B (zh) 直播软件音视频数据流防劫持方法及装置
CN102404345A (zh) 分布式攻击阻止方法及装置
CN108235067B (zh) 一种视频流地址的鉴权方法及装置
Hammi et al. An empirical investigation of botnet as a service for cyberattacks
CN103188208A (zh) 网页访问的权限控制方法、系统和呼叫中心
CN112738089B (zh) 一种复杂网络环境下的源ip自动回溯方法和装置
WO2017096886A1 (zh) 内容推送的方法、装置以及系统
Sunitha et al. Key Observation to Prevent IP Spoofing in DDoS Attack on Cloud Environment
Al-Mousa et al. cl-CIDPS: A cloud computing based cooperative intrusion detection and prevention system framework
CN106921628B (zh) 基于网络地址识别网络访问来源方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant