CN112751801B - 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 - Google Patents

一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 Download PDF

Info

Publication number
CN112751801B
CN112751801B CN201911043084.6A CN201911043084A CN112751801B CN 112751801 B CN112751801 B CN 112751801B CN 201911043084 A CN201911043084 A CN 201911043084A CN 112751801 B CN112751801 B CN 112751801B
Authority
CN
China
Prior art keywords
white list
ttl
network
address
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911043084.6A
Other languages
English (en)
Other versions
CN112751801A (zh
Inventor
宋磊
马建东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Scv Technology Co ltd
Institute of Acoustics CAS
Original Assignee
Beijing Scv Technology Co ltd
Institute of Acoustics CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Scv Technology Co ltd, Institute of Acoustics CAS filed Critical Beijing Scv Technology Co ltd
Priority to CN201911043084.6A priority Critical patent/CN112751801B/zh
Publication of CN112751801A publication Critical patent/CN112751801A/zh
Application granted granted Critical
Publication of CN112751801B publication Critical patent/CN112751801B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本发明公开了一种基于IP白名单的拒绝服务攻击过滤方法、装置及设备,所述方法包括:判断当前受保护网络的状态;当状态为未遭到攻击时,监听网络流量,基于有效返回报文更新IP白名单;基于更新活跃位与更改稳定位更新IP白名单的TTL值;当状态为遭到攻击时,根据IP白名单过滤IP地址或TTL值不匹配的攻击流量,放行合法流量,同时,基于包个数平衡的对IP白名单成员的流量状态进行监控,将IP白名单内发动洪泛攻击的恶意成员删除。本发明的方法具备白名单成员监控机制,可快速发现并剔除白名单内发动洪泛攻击的恶意成员,提高了过滤方法的可靠性。

Description

一种基于IP白名单的拒绝服务攻击过滤方法、装置及设备
技术领域
本发明涉及网络安全领域,具体涉及一种针对拒绝服务攻击的过滤方法,特别涉及一种基于IP白名单的拒绝服务攻击过滤方法、装置及设备。
背景技术
拒绝服务攻击(DoS)指的是使攻击目标无法提供服务的网络攻击方法,多采用洪泛攻击的手段。直至今天,拒绝服务攻击仍然是发动简单且危害巨大的常见网络攻击形式,针对攻击流量的识别过滤是网络安全领域重要课题之一。
传统的三类白名单IP成员及其TTL值的学习获取方法有较大缺陷:第一种根据IP地址出现频次、天数的包计数法,该法原理过于简单,白名单易被渗透污染;第二种筛选成功建立连接IP的会话监控法,该法需监控每一路会话的交互状态,会话流表维护成本高,每秒连接数成为性能瓶颈;第三种基于流量特征的挖掘分类法,该法对流量特征规则的设计要求高,模型训练的时间空间成本高,且与网络流量的突发性、多变性相矛盾。此外,传统方法在白名单监控问题上,缺少对白名单成员自身流量的合法性监控,存在攻击流量泄露风险,抗渗透能力弱。
申请号为200710049921.7、名称为《基于数据挖掘技术的拒绝服务攻击防御方法和系统》的中国专利提出了一种类似IP白名单攻击过滤方法。该方法通过“异常检测模块”实现网络恶意流量与合法流量的分类,该模块的检测依据是实时流量抽样集合中的TCP标志位、分片位、TTL值等统计分布特征。采用此类经验特征的检测方法不仅与网络流量的突发性、多变性特征相违背,分类准确率较低,且容易被攻击者反向训练,如调整恶意流量特征分布比例,实现对白名单的渗透污染。
申请号为201010133254.2、名称为《一种基于Bloom Filter和开源内核防御SYNFlood攻击的方法》的中国专利结合了IP-TTL校验原理实现攻击过滤。该方法获取合法IP及TTL值的方法是将模块嵌入到受保护服务器中以获取已建立TCP连接的会话信息。该方法必须改写服务器内核,频繁请求服务器TCP会话表信息,占用服务器性能,应用范围窄,就算改为监听服务器流量的机外部署方式,也需要建立网络会话流表,处理性能较弱。且白名单内IP地址、TTL值等信息静态,缺少动态更新维护机制,也没有对白名单成员的监控机制。
前述方法与专利在白名单IP成员及其TTL值的获取更新问题、白名单成员监控问题上存在较大的漏洞和不足,难以广泛应用到实时生产应用中。
发明内容
本发明的目的在于克服以上白名单IP、TTL学习获取与白名单成员监控缺陷,提出了基于有效返回报文的白名单IP获取方法,以有效返回报文的目的IP为可信IP地址输入白名单,实现了网络流量可信IP的有效筛选,无需建立网络会话流表,处理效率高;提出了基于更新活跃位与更改稳定位的白名单成员TTL获取方法,根据定义的TTL更新活跃位、更改稳定位的配合,能够安全简便地更新维护白名单中IP成员对应的TTL值信息;提出了基于包个数平衡的白名单成员监控方法,根据有效、中性返回报文及输入报文的包个数比例平衡关系,能够快速发现并剔除白名单中发动洪泛攻击的恶意成员,实现了白名单成员的动态监控。
为了实现上述目的,本发明的实施例1提出了一种基于IP白名单的拒绝服务攻击过滤方法,所述方法包括:
判断当前受保护网络的状态;
当状态为未遭到攻击时,监听网络流量,基于有效返回报文更新IP白名单;基于更新活跃位与更改稳定位更新IP白名单的TTL值;
当状态为遭到攻击时,根据IP白名单过滤IP地址或TTL值不匹配的攻击流量,放行合法流量,同时,基于包个数平衡的对IP白名单成员的流量状态进行监控,将IP白名单内发动洪泛攻击的恶意成员删除。
作为上述方法的一种改进,所述IP白名单用于存储外部网络的可信IP地址及其对应的活跃度、TTL值、TTL更新活跃位和TTL更改稳定位。
作为上述方法的一种改进,所述基于有效返回报文更新IP白名单;具体包括:
步骤S1)接收网络报文,如果是有效返回报文,则执行步骤S2),否则结束流程;其中,有效返回报文为由受保护网络发往外部网络的,能够表征受保护网络与外部网络存在有效信息交互的报文;
步骤S2)将有效返回报文的目的IP地址作为外部网络的可信IP地址,如果IP白名单中有该IP地址,在将其活跃度递增,否则,将该IP地址插入IP白名单。
作为上述方法的一种改进,所述基于更新活跃位与更改稳定位更新IP白名单的TTL值;具体包括:
步骤T1)接收网络报文,如果该报文是有效返回报文,进入步骤T2),如果是外部网络发往受保护网络的报文,进入步骤T3);
步骤T2)将有效返回报文的目的IP地址在IP白名单中的TTL更新活跃位置为1,结束流程;
步骤T3)判断报文的源IP地址是否在IP白名单中,如果在,则执行步骤T4),否则,结束流程;
步骤T4)判断源IP地址在IP白名单中的TTL更新活跃位是否为1,如果是,将其TTL更新活跃位置为0,进入步骤T5),否则,结束流程;
步骤T5)判断IP白名单中该IP地址的TTL更改稳定位是否为0,如果是,则将IP白名单中该IP的TTL值修改为有效返回报文的TTL值,否则,执行步骤T6);
步骤T6)判断有效返回报文的TTL值与白名单中该IP的TTL值是否矛盾,如果矛盾,则将IP白名单中该IP的TTL更改稳定位递减,如果不矛盾,则将该IP的TTL更改稳定位递增;
其中,TTL更新活跃位表征了IP成员的TTL值是否处于可更新状态,TTL更改稳定位表征了IP成员在白名单中记录的TTL值的可信度。
作为上述方法的一种改进,所述基于包个数平衡的对IP白名单成员的流量状态进行监控,具体包括:
接收网络报文,如果该报文是有效返回报文或中性返回报文,将其目的IP地址在IP白名单的活跃度递增x;如果是外部网络发往受保护网络的报文,将其源IP在IP白名单中的活跃度递减y;其中,x大于y;
其中,所述中性返回报文为由受保护网络发往外部网络的,能够表征受保护网络与外部网络存在包个数相对平衡关系的报文。
作为上述方法的一种改进,所述方法还包括:当IP白名单的IP地址的活跃度减到了0或以下,则将其从IP白名单中移除。
本发明的实施例2提出了一种基于IP白名单的拒绝服务攻击过滤装置,所述装置包括:
状态判断模块,用于判断当前受保护网络的状态;
IP白名单学习模块,用于当状态为未遭到攻击时,监听网络流量,基于有效返回报文更新IP白名单;基于更新活跃位与更改稳定位更新IP白名单的TTL值;
IP白名单过滤模块,用于当状态为遭到攻击时,根据IP白名单过滤IP地址或TTL值不匹配的攻击流量,放行合法流量,同时,基于包个数平衡的对IP白名单成员的流量状态进行监控,将IP白名单内发动洪泛攻击的恶意成员删除。
本发明的实施例3提出了一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
本发明的实施例4提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行上述的方法。
本发明的优势在于:
1、本发明的方法运行在数据包级别,无需建立网络流表或数据集训练,能够实时学习与防御,具备更强的大规模网络流量处理能力;
2、本发明的方法基于获取的有效返回报文的白名单IP、基于获取的活跃位与稳定位的白名单成员TTL值,弥补了传统方法的不足,有效地获取、更新和维护白名单成员及其TTL值等信息;
3、本发明的方法具备白名单成员监控机制,可快速发现并剔除白名单内发动洪泛攻击的恶意成员,提高了过滤方法的可靠性。
4、当受保护网络遭到攻击时,本发明的装置能够在过滤攻击流量的同时放行合法流量。
附图说明
图1是一种常见的拒绝服务攻击过滤的应用场景;
图2是本发明的IP白名单成员数据结构的示意图;
图3是本发明的基于IP白名单的拒绝服务攻击过滤方法的示意图;
图4是本发明的白名单学习状态运行流程图;
图5是本发明的白名单过滤状态运行流程图。
具体实施方式
现结合附图对本发明的技术方案进行详细的描述。
本发明公开了一种基于IP白名单的拒绝服务攻击过滤方法,旨在利用从网络流量中学习更新到的IP白名单信息,实现攻击流量的过滤与合法流量的放行。区别于传统的IP白名单攻击过滤方法,本发明在数据包级别实现了白名单IP成员及其TTL值的安全学习获取与更新维护,无需流量特征学习训练或建立网络会话流表,针对实时大规模网络流量的处理能力强。且具备白名单内成员的流量监控功能,能够快速发现并剔除发动洪泛攻击的恶意成员,白名单抗渗透能力强。
图1展示了一种常见的拒绝服务攻击过滤的应用场景:服务器既需要向处于外部网络的用户提供服务,又面临着来自外部网络的拒绝服务攻击威胁。针对这一场景,现于受保护网络服务器与外部网络之间部署基于本发明的攻击过滤模块,以达到过滤非法流量、放行合法流量的目的,保护受保护网络服务器安全。根据受保护网络的协议、应用需求,用户可自定义有效返回报文、中性返回报文的匹配规则。
本发明的实施例1提出了一种基于IP白名单的拒绝服务攻击过滤方法。针对白名单IP成员及其TTL值的获取更新问题,该方法基于有效返回报文获取白名单IP;基于更新活跃位与更改稳定位获取白名单成员TTL。针对白名单成员监控问题,提出了基于包个数平衡的白名单成员监控方法。其中,该方法基于包个数平衡对白名单成员进行监控,包个数平衡是指白名单中某IP成员的有效返回报文、中性返回报文数与其向受保护网络发送的报文数的比例平衡关系。
IP白名单用于存储外部网络的可信IP成员,其中单个成员需要记录的信息包括:IP地址、活跃度、TTL值、TTL更新活跃位、TTL更改稳定位。如图2所示。可根据不同协议、应用类型设置多个IP白名单,独立运行各自流程。
有效返回报文指由受保护网络发往外部网络的,能够表征受保护网络与外部网络存在有效信息交互的报文。中性返回报文指由受保护网络发往外部网络的,能够表征受保护网络与外部网络存在包个数相对平衡关系的报文。有效、中性返回报文可根据不同协议、应用类型有不同的具体匹配规则。
以TCP协议为例,此处划分有效返回报文、中性返回报文的原因在于:虽然中性返回报文无法表征报文目的IP与服务器之间存在有效交互(因LOCI http attack等攻击软件能够与目标服务器建立连接并诱导其回复此类报文),但这类报文在表征IP白名单成员与受保护网络存在包个数相对平衡关系中是必不可少的,有时甚至占据网络流量的较大比例(如合法用户对服务器的大规模数据上传)。如果不将这类报文在基于包个数平衡的白名单监控方法中纳入统计,则可能使一部分合法IP被误判为攻击IP。
比如,对TCP协议,有效返回报文:由受保护网络发往外部网络的,TCP标志位为SYN的报文、TCP标志位为ACK的四层数据长度不为0的报文、TCP标志位为PSHACK的HTTP状态码(如果有)不为4xx或5xx(如404/503等)的报文。中性返回报文:由受保护网络发往外部网络的,TCP标志位为ACK的四层数据长度为0的报文。
若用户需要过滤基于TCP协议的拒绝服务攻击,则定义有效返回报文:由受保护网络发往外部网络的,TCP标志位为SYN的报文、TCP标志位为ACK的四层数据长度不为0的报文、TCP标志位为PSHACK的HTTP状态码(如果有)不为4xx或5xx(如404/503等)的报文。中性返回报文:由受保护网络发往外部网络的,TCP标志位为ACK的四层数据长度为0的报文。
在未遭到拒绝服务攻击时,处于白名单学习状态,从网络流量中学习更新IP白名单信息;在遭到攻击时,处于白名单过滤状态,依据IP白名单信息放行合法流量,过滤恶意流量,状态切换流程图如3所示。此处判断是否遭到攻击的方法是开放的,如fps(或bps、cps)阈值法、受保护服务器CPU占用率、第三方预警平台等。
当处于白名单学习状态时,过滤模块根据实时网络流量,更新维护白名单内的IP地址及其活跃度、TTL值、TTL更新活跃位、TTL更改稳定位信息,放行所有报文,具体流程图如图4所示。此流程中应用了基于有效返回报文获取白名单IP方法、基于更新活跃位与更改稳定位的获取白名单成员TTL。
在这一过程中,外部网络的合法IP地址凭借与受保护网络服务器的正常流量交互,产生了大量有效返回报文。这些报文被模块识别后,将这些合法IP地址插入到白名单中,并依据交互频次使其在白名单的活跃度递增。活跃度可作为白名单成员更新淘汰的依据,并提高该IP地址在白名单中的抗污染能力。
在这一过程中,外部网络的攻击者使用伪造源IP地址向受保护服务器发送大量各类型报文,或者使用真实源IP配合LOIC等攻击软件与受保护服务器建立垃圾连接。但由于受保护网络服务器不会向这些IP地址回复有效返回报文,于是黑客无法将IP插入白名单,污染白名单的企图失效。
在这一过程中,外部攻击者企图修改白名单内某IP的TTL值,于是向受保护网络发送大量以该IP为源IP地址、TTL值混淆的报文。但由于受保护网络不会回复有效返回报文,所以白名单中该IP的更新稳定位为0,其TTL值不会被修改更新。即使攻击者趁该IP与受保护网络正常交互时发送上述混淆报文,由于TTL更新稳定位为1的时间窗口极短,再加上TTL更改稳定位的保护作用,攻击者污染白名单TTL值的企图也难以实现。
当处于白名单过滤状态时,依据IP白名单信息与实施网络流量,过滤攻击流量,放行合法流量,具体流程图如图5所示。此流程中应用了基于包个数平衡的对白名单成员进行监控。
在这一过程中,外部网络中曾经与内部网络服务器进行有效交互的合法用户,凭借白名单中自己的IP地址、相匹配的TTL值、包个数平衡的交互方式,使全过程自己与服务器的合法流量能够被模块完整放行,不被误杀。其中TTL值匹配可依据所有可能跳数并设定一定的宽容度,为网络波动、NAT等可能影响的情形做出准备。
在这一过程中,外部网络攻击者使用随机伪造源IP地址或真实的源IP地址对受保护发动攻击。但由于攻击流量源IP地址绝大部分不在白名单中,或其TTL值与白名单记录值矛盾,故被高效过滤。
在这一过程中,攻击者试图在平时使用傀儡机的真实源IP地址,像正常用户一样与服务器产生大量合法交互,将该IP地址渗透进白名单,以备在攻击时使用这些傀儡机发动攻击。虽然此类型攻击流量的IP地址、TTL值字段符合模块的校验,但由于交互包个数严重失衡,导致这些IP地址的活跃度被快速减到0而被白名单踢出。此过程单个渗透IP地址能够泄露的攻击流量极少,故攻击者的企图无法得逞。
由此,本方法实现了拒绝服务攻击的高效过滤,保护了合法流量的正常通行,攻击者泄露攻击流量或污染白名单的成本极高。本方法的白名单学习、过滤流程基于数据包级别,运行效率高,抗渗透能力强。
实施例2:
本发明的实施例2提出了一种基于IP白名单的拒绝服务攻击过滤装置,所述装置包括:
状态判断模块,用于判断当前受保护网络的状态;
IP白名单学习模块,用于当状态为未遭到攻击时,监听网络流量,基于有效返回报文更新IP白名单;基于更新活跃位与更改稳定位更新IP白名单的TTL值;
IP白名单过滤模块,用于当状态为遭到攻击时,根据IP白名单过滤IP地址或TTL值不匹配的攻击流量,放行合法流量,同时,基于包个数平衡的对IP白名单成员的流量状态进行监控,将IP白名单内发动洪泛攻击的恶意成员删除。
实施例3
本发明的实施例3提供了一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现实施例1的方法。
实施例4
本发明的实施例4提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行实施例1所述的方法。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于IP白名单的拒绝服务攻击过滤方法,所述方法包括:
判断当前受保护网络的状态;
当状态为未遭到攻击时,监听网络流量,基于有效返回报文更新IP白名单;基于更新活跃位与更改稳定位更新IP白名单的TTL值;
当状态为遭到攻击时,根据IP白名单过滤IP地址或TTL值不匹配的攻击流量,放行合法流量,同时,基于包个数平衡的对IP白名单成员的流量状态进行监控,将IP白名单内发动洪泛攻击的恶意成员删除;
所述基于更新活跃位与更改稳定位更新IP白名单的TTL值;具体包括:
步骤T1)接收网络报文,如果该网络报文是有效返回报文,进入步骤T2),如果是外部网络发往受保护网络的报文,进入步骤T3);
步骤T2)将有效返回报文的目的IP地址在IP白名单中的TTL更新活跃位置为1,结束流程;
步骤T3)判断外部网络发往受保护网络的报文的源IP地址是否在IP白名单中,如果在,则执行步骤T4),否则,结束流程;
步骤T4)判断该源IP地址在IP白名单中的TTL更新活跃位是否为1,如果是,将其TTL更新活跃位置为0,进入步骤T5),否则,结束流程;
步骤T5)判断IP白名单中该源IP地址的TTL更改稳定位是否为0,如果是,则将IP白名单中该源IP地址的TTL值修改为外部网络发往受保护网络的报文的TTL值,否则,执行步骤T6);
步骤T6)判断外部网络发往受保护网络的报文的TTL值与白名单中该源IP地址的TTL值是否矛盾,如果矛盾,则将IP白名单中该源IP地址的TTL更改稳定位递减,如果不矛盾,则将该源IP地址的TTL更改稳定位递增;
其中,TTL更新活跃位表征了IP成员的TTL值是否处于可更新状态,TTL更改稳定位表征了IP成员在白名单中记录的TTL值的可信度。
2.根据权利要求1所述的方法,其特征在于,所述IP白名单用于存储外部网络的可信IP地址及其对应的活跃度、TTL值、TTL更新活跃位和TTL更改稳定位。
3.根据权利要求2所述的方法,其特征在于,所述基于有效返回报文更新IP白名单;具体包括:
步骤S1)接收网络报文,如果是有效返回报文,则执行步骤S2),否则结束流程;其中,有效返回报文为由受保护网络发往外部网络的,能够表征受保护网络与外部网络存在有效信息交互的报文;
步骤S2)将有效返回报文的目的IP地址作为外部网络的可信IP地址,如果IP白名单中有该IP地址,在将其活跃度递增,否则,将该IP地址插入IP白名单。
4.根据权利要求3所述的方法,其特征在于,所述基于包个数平衡的对IP白名单成员的流量状态进行监控,具体包括:
接收网络报文,如果该网络报文是有效返回报文或中性返回报文,将其目的IP地址在IP白名单的活跃度递增x;如果是外部网络发往受保护网络的报文,将其源IP在IP白名单中的活跃度递减y;其中,x大于y;
其中,所述中性返回报文为由受保护网络发往外部网络的,能够表征受保护网络与外部网络存在包个数相对平衡关系的报文。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:当IP白名单的IP地址的活跃度减到了0或以下,则将其从IP白名单中移除。
6.一种基于IP白名单的拒绝服务攻击过滤装置,其特征在于,所述装置包括:
状态判断模块,用于判断当前受保护网络的状态;
IP白名单学习模块,用于当状态为未遭到攻击时,监听网络流量,基于有效返回报文更新IP白名单;基于更新活跃位与更改稳定位更新IP白名单的TTL值;
IP白名单过滤模块,用于当状态为遭到攻击时,根据IP白名单过滤IP地址或TTL值不匹配的攻击流量,放行合法流量,同时,基于包个数平衡的对IP白名单成员的流量状态进行监控,将IP白名单内发动洪泛攻击的恶意成员删除;
所述基于更新活跃位与更改稳定位更新IP白名单的TTL值;具体包括:
步骤T1)接收网络报文,如果该网络报文是有效返回报文,进入步骤T2),如果是外部网络发往受保护网络的报文,进入步骤T3);
步骤T2)将有效返回报文的目的IP地址在IP白名单中的TTL更新活跃位置为1,结束流程;
步骤T3)判断外部网络发往受保护网络的报文的源IP地址是否在IP白名单中,如果在,则执行步骤T4),否则,结束流程;
步骤T4)判断该源IP地址在IP白名单中的TTL更新活跃位是否为1,如果是,将其TTL更新活跃位置为0,进入步骤T5),否则,结束流程;
步骤T5)判断IP白名单中该源IP地址的TTL更改稳定位是否为0,如果是,则将IP白名单中该源IP地址的TTL值修改为外部网络发往受保护网络的报文的TTL值,否则,执行步骤T6);
步骤T6)判断外部网络发往受保护网络的报文的TTL值与白名单中该源IP地址的TTL值是否矛盾,如果矛盾,则将IP白名单中该源IP地址的TTL更改稳定位递减,如果不矛盾,则将该源IP地址的TTL更改稳定位递增;
其中,TTL更新活跃位表征了IP成员的TTL值是否处于可更新状态,TTL更改稳定位表征了IP成员在白名单中记录的TTL值的可信度。
7.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行权利要求1至5任一项所述的方法。
CN201911043084.6A 2019-10-30 2019-10-30 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 Active CN112751801B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911043084.6A CN112751801B (zh) 2019-10-30 2019-10-30 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911043084.6A CN112751801B (zh) 2019-10-30 2019-10-30 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备

Publications (2)

Publication Number Publication Date
CN112751801A CN112751801A (zh) 2021-05-04
CN112751801B true CN112751801B (zh) 2022-03-04

Family

ID=75641745

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911043084.6A Active CN112751801B (zh) 2019-10-30 2019-10-30 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备

Country Status (1)

Country Link
CN (1) CN112751801B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115065527B (zh) * 2022-06-13 2023-08-29 北京天融信网络安全技术有限公司 抽样攻击检测方法、装置、电子设备及存储介质
CN115412366B (zh) * 2022-10-28 2023-01-31 成都数默科技有限公司 基于服务提供商动态ip白名单的流量采集过滤方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125242A (zh) * 2014-08-18 2014-10-29 北京阅联信息技术有限公司 识别伪装ldns请求的ddos攻击的防护方法及装置
CN104933354A (zh) * 2014-12-30 2015-09-23 国家电网公司 一种基于可信计算的白名单静态度量方法
CN105827646A (zh) * 2016-05-17 2016-08-03 浙江宇视科技有限公司 Syn攻击防护的方法及装置
CN106713220A (zh) * 2015-07-24 2017-05-24 中兴通讯股份有限公司 基于ddos攻击防范方法和装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2169898A1 (en) * 2008-09-25 2010-03-31 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Method of and telecommunication apparatus for mitigating Distributed Denial-of-Service attacks in SIP packet networks
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
US10382436B2 (en) * 2016-11-22 2019-08-13 Daniel Chien Network security based on device identifiers and network addresses
US10771436B2 (en) * 2018-04-06 2020-09-08 Cisco Technology, Inc. Dynamic whitelist management

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125242A (zh) * 2014-08-18 2014-10-29 北京阅联信息技术有限公司 识别伪装ldns请求的ddos攻击的防护方法及装置
CN104933354A (zh) * 2014-12-30 2015-09-23 国家电网公司 一种基于可信计算的白名单静态度量方法
CN106713220A (zh) * 2015-07-24 2017-05-24 中兴通讯股份有限公司 基于ddos攻击防范方法和装置
CN105827646A (zh) * 2016-05-17 2016-08-03 浙江宇视科技有限公司 Syn攻击防护的方法及装置

Also Published As

Publication number Publication date
CN112751801A (zh) 2021-05-04

Similar Documents

Publication Publication Date Title
US11570212B2 (en) Method and apparatus for defending against network attack
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
KR102039842B1 (ko) 네트워크 공격 방지 방법, 장치 및 시스템
CN109005175B (zh) 网络防护方法、装置、服务器及存储介质
KR101263329B1 (ko) 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법
CN109587167B (zh) 一种报文处理的方法和装置
CN108234473B (zh) 一种报文防攻击方法及装置
US7617526B2 (en) Blocking of spam e-mail at a firewall
CN106487790B (zh) 一种ack flood攻击的清洗方法及系统
EP3588897B1 (en) Method and system for defending an infrastructure against a distributed denial of service attack
CN112751801B (zh) 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备
US10142360B2 (en) System and method for iteratively updating network attack mitigation countermeasures
Trabelsi et al. Denial of firewalling attacks (dof): The case study of the emerging blacknurse attack
WO2019096104A1 (zh) 攻击防范
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
CN106357661A (zh) 一种基于交换机轮换的分布式拒绝服务攻击防御方法
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
CN104348785B (zh) IPv6网中防止主机PMTU攻击的方法、装置与系统
Seo et al. Witnessing Distributed Denial-of-Service traffic from an attacker's network
KR102027438B1 (ko) Ddos 공격 차단 장치 및 방법
Sadhasivam et al. Hocs: Host oscommunication service layer
CN113014530A (zh) Arp欺骗攻击防范方法及系统
CN115622754B (zh) 一种检测并防止mqtt漏洞的方法、系统和装置
CN113660666B (zh) 一种中间人攻击的双向请求应答检测方法
CN114584338B (zh) 基于Nftables的白盒交换机安全防护方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant