CN113347186B - 反射攻击探测方法、装置和电子设备 - Google Patents
反射攻击探测方法、装置和电子设备 Download PDFInfo
- Publication number
- CN113347186B CN113347186B CN202110610824.0A CN202110610824A CN113347186B CN 113347186 B CN113347186 B CN 113347186B CN 202110610824 A CN202110610824 A CN 202110610824A CN 113347186 B CN113347186 B CN 113347186B
- Authority
- CN
- China
- Prior art keywords
- protocol
- data packet
- reflection
- packet
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种反射攻击探测方法、装置、电子设备、存储介质和计算机程序产品,涉及网络安全技术领域。该方法包括:获取响应数据包使用的协议载荷以及对应的反射服务器的地址;基于预设协议模板库得到该协议载荷对应的协议名;根据该预设协议模板库中该协议名对应的请求协议模版生成第一请求数据包载荷;基于该第一请求数据包载荷构造第二请求数据包载荷;使用该第二请求数据包载荷进行UDP探测,得到UDP响应数据包;如果该UDP响应数据包与采样的该响应数据包一致,则将该第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。利用本公开能够快速还原反射攻击手法。
Description
技术领域
本公开涉及网络安全技术领域,具体涉及一种反射攻击探测方法、装置、电子设备、存储介质和计算机程序产品。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务攻击)反射放大攻击是一种成本低、溯源难、危害大的DDoS攻击方式,反射攻击的攻击者只需付出少量的代价,即可对攻击的目标产生巨大的流量,不仅影响用户的正常使用,还有可能造成一定的经济损失。举例来说,在DNS(Domain Name System,域名系统)的反射攻击手法中,假设DNS请求报文的数据部分长度约为40字节,而响应报文数据部分的长度可能会高达4000字节,也就是说利用反射攻击手法能够产生约100倍的放大效应,因此攻击者只需要控制一个能够产生150M流量的网络就能够进行大规模(约15G)的DDoS攻击,危害性极大。另一方面,随着物联网与5G通信技术的发展,陆续出现了携带安全漏洞的新型协议,使用这些新型协议的反射源设备数量巨大,使得网络安全防御形势日益严峻。
发明内容
本公开提供一种反射攻击探测方法、装置、电子设备、存储介质和计算机程序产品,用于解决以上至少一个问题。
根据本公开的第一方面,提供了一种反射攻击探测方法,包括:
在受到反射攻击过程中对反射攻击的响应数据包进行采样;
获取所述响应数据包使用的协议载荷以及对应的反射服务器的地址;
基于预设协议模板库对所述协议载荷进行模糊识别,得到所述协议载荷对应的协议名;
根据所述预设协议模板库中所述协议名对应的请求协议模版,生成第一请求数据包载荷;
基于所述第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷;
使用所述第二请求数据包载荷对所述反射服务器进行用户数据报协议UDP探测,得到UDP响应数据包;
如果所述UDP响应数据包与采样的所述响应数据包一致,则将所述第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。
根据本公开的第二方面,提供了一种反射攻击探测装置,包括:
采样模块,用于在受到反射攻击过程中对反射攻击的响应数据包进行采样;
获取模块,用于获取所述响应数据包使用的协议载荷以及对应的反射服务器的地址;
识别模块,用于基于预设协议模板库对所述协议载荷进行模糊识别,得到所述协议载荷对应的协议名;
生成模块,用于根据所述预设协议模板库中所述协议名对应的请求协议模版,生成第一请求数据包载荷;
构造模块,用于基于所述第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷;
探测模块,用于使用所述第二请求数据包载荷对所述反射服务器进行用户数据报协议UDP探测,得到UDP响应数据包;
确定模块,用于在所述UDP响应数据包与采样的所述响应数据包一致的情况下,将所述第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。
根据本公开的第三方面,提供了一种电子设备,包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如上所述的方法。
根据本公开的第四方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行如上方法。
根据本公开的第五方面,提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现如上所述的方法。
本公开基于对协议模版的模糊识别对反射攻击手法进行自动探测,能够高效地对反射攻击的响应数据包进行处理从而确认反射攻击源,不需要通过人工分析网络流量。本公开应急响应速度快、出错率低,有助于减轻网络安全人员作业负担,提升对于网络环境的安全保障。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是本公开实施例的一种反射攻击探测方法的流程框图;
图2是本公开实施例的反射攻击手法探测过程的原理示意图;
图3是一种反射攻击过程的逻辑示意图;
图4是本公开实施例的一种反射攻击手法还原的过程示意图;
图5是本公开实施例的一种反射攻击探测装置的结构框图;
图6是实现本公开实施例反射攻击探测方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
在当前网络安全对抗场景中,通常是由安全人员快速还原反射攻击手法、发布攻击报告,从而进行网络攻击预警,推进反射源治理,达到缓解网络攻击的目的。然而在大多数场景下,针对采样的协议数据,主要还是依赖人工分析网络流量的方式来还原反射攻击手法,由于人工分析周期长且分析结果不稳定,应急响应的平均周期大于1天,这在瞬息万变的攻防对抗形势中明显处于劣势。
鉴于此,本公开实施例提供一种反射攻击探测方法,图1示出了本公开实施例的反射攻击探测方法的流程框图,该方法包括:
S101,在受到反射攻击过程中对反射攻击的响应数据包进行采样;
S102,获取该响应数据包使用的协议载荷以及对应的反射服务器地址;
S103,基于预设协议模板库对该响应数据包的协议载荷进行模糊识别,得到该协议载荷对应的协议名;
S104,根据该预设协议模板库中该协议名对应的请求协议模版,生成第一请求数据包载荷;
S105,基于该第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷;
S106,使用该第二请求数据包载荷对该反射服务器进行用户数据报协议UDP探测,得到UDP响应数据包;
S107,如果该UDP响应数据包与采样的该响应数据包一致,则将该第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。
根据本公开的实施例,在遭到反射攻击(例如DDoS反射放大攻击)时对反射攻击的响应数据包进行采样,然后通过对采样的响应数据包进行分析还原,最终可确定反射源的攻击手法,其中对响应数据包进行分析还原处理的主要思想在于,预先构建一协议模板库,模板库中可包括多个已知的协议模板及相关信息(例如协议名对应的响应协议模版、请求协议模版等),当收到响应数据包时,可利用模板库中的协议模板对响应数据包进行模糊(fuzz)识别处理,可识别出模板库中与响应数据包相同或相近的协议模板,基于识别出的协议模板可构建一个新的协议(例如可对识别出的协议模板进行必要的修改),构建新协议的目的是使新协议的请求数据包载荷可以造成反射攻击,如此,利用新的请求数据包载荷对反射服务器进行UDP发包探测,可得到UDP响应数据包,然后通过对比UDP响应数据包与原先采样的响应数据包,即可判断新构建的协议是否是反射攻击使用的协议,也即还原了反射攻击的协议和请求数据包载荷,完成了反射攻击手法的探测。
可以看到,本公开实施例的反射攻击探测方法不需要通过人工分析网络流量的方式来还原反射攻击手法,而是可以基于对协议模版的fuzz识别进行反射攻击手法的自动探测,利用本公开的实施例能够高效地对反射攻击的响应数据包进行一系列处理,直至确认造成反射攻击的网络协议和请求数据包载荷,应急响应速度快,出错率低,利用本公开的实施例有助于提高网络环境安全保障,减轻人员负担。
需要说明,在本公开实施例中,如果通过模糊识别处理无法识别出与响应数据包相同或相近的协议模版,那么对该响应数据包可不予处理。
在本公开实施例中,可选地,如果该UDP响应数据包与采样的该响应数据包不一致,则对该第二请求数据包载荷进行调整,得到第三请求数据包载荷,并使用该第三请求数据包载荷对该反射服务器进行UDP探测。由此,通过对发包探测使用的请求数据包载荷的调整修改,使之不断接近反射攻击使用的请求数据包载荷,能够达到还原反射攻击手法的目的。
在本公开实施例中,可选地,如果该UDP响应数据包与采样的该响应数据包不一致,或者,如果未接收到UDP响应数据包,则确定对采样的该响应数据包不予处理。也就是说,如果使用新的请求数据包载荷进行发包探测而不能得到满意的结果,可对当前的响应数据包不予处理,可继续处理采样的其他响应数据包。
在本公开实施例中,可选地,在该获取该响应数据包使用的协议载荷以及对应的反射服务器地址之前,可按照预设条件对采样的该响应数据包中的用户数据报协议UDP数据包进行处理,以确认该响应数据包是否属于反射攻击。
也就是说,本公开的实施例可从响应数据包中筛选出UDP数据包进行处理,从而根据UDP数据包的处理情况来判断采样的响应数据包是否属于反射攻击。这样处理的好处是,在UDP反射协议中包含部分不需要身份认证的协议,因此对UDP数据包的处理以及后续对反射服务器进行UDP发包探测,均有利于提高整体处理效率。
在本公开实施例中,可选地,可通过以下任一种方式来确认该响应数据包是否属于反射攻击:
·将所述响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合,如果聚合后得到的UDP数据包的数量在UDP数据包的总数中的占比超过第一阈值,则确认该响应数据包属于反射攻击;其中预定要求包括:源端口为反射服务器的端口,目的IP地址为受到反射攻击的终端的IP地址;
·将所述响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合,如果聚合后得到的UDP数据包的字节数在UDP数据包的总字节数中的占比超过第二阈值,则确认该响应数据包属于反射攻击;其中预定要求包括:源端口为反射服务器的端口,目的IP地址为受到反射攻击的终端的IP地址。
可选地,其中第一阈值和第二阈值可以相同或不同,可根据实际情况或需求设置,例如可取10%、15%、20%,或者更大或更小,第一阈值和第二阈值的取值越大,方案整体识别的准确率越高。
在本公开实施例中,可选地,基于预设协议模板库对该响应数据包的协议载荷进行模糊识别,得到该响应数据包的协议载荷对应的协议名,可通过如下方式实现:计算该响应数据包的协议载荷与该预设协议模板库中的各响应协议模版之间的相似度,将相似度大于或等于第三阈值的响应协议模版的协议名确定为该响应数据包的协议载荷对应的协议名。
可选地,其中第三阈值可根据实际情况或需求设置,例如可取80%、85%、90%,或者更大或更小,第一阈值和第二阈值的取值越大,方案整体识别的准确率越高。
在本公开实施例中,可选地,根据该预设协议模板库中该协议名对应的请求协议模版,生成第一请求数据包载荷,可通过如下方式实现:使用基于生成generation-based的模糊(fuzz)算法,基于该预设协议模板库中该协议名对应的请求协议模版,生成该第一请求数据包载荷。
这里,利用基于生成generation-based的fuzz技术应用在本公开实施例中,可基于请求协议模版生成系列请求数据包载荷,为后续的构建新的协议以及发包探测等一系列还原处理做好准备。
在本公开实施例中,可选地,该预设协议模板库中包括协议名以及与该协议名对应的响应协议模版和请求协议模版。
通过协议模板库可模糊识别出与发射响应数据包相同或相近的协议,是攻击者有可能使用的协议,进而利用对应的响应协议模版和请求协议模版可还原反射攻击手法,并且通过对协议模板库的更新维护还可进行知识累积,累积的协议模板越多,越能够快速识别反射攻击的协议,越有利于提高系统响应速度。当然,协议模板库中还可以包含其他协议信息,下文中将进行详细描述。
在本公开实施例中,可选地,可将该第二请求数据包载荷对应的请求协议模板存入该预设协议模板库中。
也就是说,本公开实施例中可以将构建的新的协议加入协议模板库中,如此,可不断更新丰富协议模板库中的协议内容,有利于提高模糊识别的速度和匹配度。举例来说,当模板库中的协议数量足够多时,再次受到某种反射攻击,可从模板库中精准识别出匹配的协议模板(相似度为100%),迅速确定其对应的协议名,从而可以快速发布攻击预警,及时防御网络攻击。
以上描述了本公开实施例的反射攻击探测方法的实施方式以及取得的优势。以下通过具体的例子详细描述本公开实施例的具体处理过程。
示例性地,参考图2,本公开一种实施方式的反射攻击手法自动化探测过程主要包括:反射响应包采样和反射手法还原,其中,通过反射响应包采样获取数据源,经过反射手法还原处理之后输出探测结果。
①关于反射响应包采样
参考图2,示意性地示出了反射攻击发生时的数据流向示意图,其中,攻击者利用网络发出一系列请求数据包形成DDoS反射攻击,个人电脑、物联网设备(IOT设备)和网络服务器均可能对其产生大量响应数据包,大量的响应数据包将进入网络服务器,使大量设备遭受攻击。
参考图3,在本公开的一种实施方式中,在受到反射攻击时,可由监测防御设备将反射响应数据包采样至监测设备中,例如全流量监测分析系统,之后通过分析采样的响应数据包还原攻击手法。
这里,反射攻击手法通常包括:造成反射攻击的网络协议和/或造成反射攻击的请求数据包载荷(payload)。
②关于反射手法还原
参考图4,在本公开的一种实施方式中,反射手法还原主要包括以下过程:
(1)对反射响应数据包分类,输出反射服务器地址以及反射响应包载荷集。
具体来看,可基于UDP数据包对反射响应数据包分类,从响应数据包中筛选UDP数据包,然后按照二元组(源端口,目的IP)进行聚合,也就是对源端口为反射服务器的端口,并且目的IP地址为被攻击的终端的IP地址的UDP数据包进行聚合处理,如果聚合后的UDP数据包数或者字节数超过该响应包中UDP数据包的一定百分比(例如10%),则确认响应数据包为一类反射攻击,可输出以下信息:
·多元组(Tuple):(源IP,源端口),这里为二元组数据,根据(源IP-源端口)可确定反射服务器的地址;
·协议载荷集合(set):(协议载荷),将其作为反射协议识别的处理对象。
(2)识别反射协议
具体来看,对反射响应包载荷进行基于协议模版的fuzz识别,根据载荷相似度的计算结果,输出造成反射攻击的set(网络协议名)集,示例性地,可有以下几种情况:
·模糊识别(相似度符合要求),可输出例如相似度超过85%的网络服务协议名的集合;
·精准识别(相似度100%),可输出准确的网络服务协议名,可直接用于发布攻击预警;
·无法识别,可不予处理,终止流程。
在描述上述载荷相似度的计算过程之前,首先对本公开实施例构建的协议模版库进行详细描述:
首先,对于构建的协议模版库,使用时可进行初始化,用于载荷相似度计算,可周期或非周期地进行模版库的更新维护。
示例性地,以下表1提供一种协议模版库的结构:
表1
表1所示的协议模版库中协议模板信息包括:协议类型(例如简单协议或复杂协议)、协议名、协议属性(例如公有协议或私有协议)、协议结构名、响应协议模版和请求协议模版等。在本公开其他实施方式中,可根据需求创建合适的协议模版库。
对协议模版库初始化时,可使用已知的可用于反射攻击的网络协议来初始化协议模版库。在利用本公开实施例进行反射攻击手法探测时,如果构建了新的协议,可将新的协议加入协议模版库,以形成知识积累,对协议模版库进行更新维护。
关于载荷相似度计算,处理时将响应包载荷与协议模板库中的响应协议模板进行比对。例如,如果协议载荷为文本(例如可打印的ASCII字符),可选择简单协议分类的模版库进行比对,采用文本相似性算法得到相似度;又如,如果协议载荷为复杂协议(例如二进制数据),可选择复杂协议的模版库进行比对,采用二进制结构相似性算法得到相似度。
(3)生成反射请求数据包
具体来看,可使用上述第(2)部分中识别反射协议后得到对应的请求协议模版来生成请求数据包载荷,例如,可使用基于生成generation-based的fuzz技术,该类fuzz技术可基于请求协议模版生成系列请求数据包载荷,根据生成的请求数据包载荷构建新的请求数据包载荷,例如对生成的请求数据包载荷进行修改,修改后的新的请求数据包载荷应能够形成发射攻击(用于发包探测)。
(4)反射请求数据包探测
使用上述第(3)部分中构建的请求数据包载荷,对上述第(1)部分中获得的反射服务器进行UDP发包探测,如果反射服务器有响应,可收到UDP响应包,将收到的UDP响应包与受到攻击时采样的反射响应数据包进行对比,根据对比结果可确定构造的新的请求数据包载荷是否准确,可有以下几种情况:
a)如果反射服务器有响应,且收到的UDP响应包与采样的反射响应数据包相同,则构造的反射请求数据包为受到的反射攻击的请求数据包载荷;
b)如果反射服务器有响应,但对收到的UDP响应包与采样的反射响应数据包不相同,则本次探测不成功,可对本次构建的请求数据包载荷进行调整,然后再次发包探测,或者,也可对采样的反射响应数据包不予处理,或者,也可终止流程;
c)如果所有的反射服务器均无响应,说明本次探测不成功,可对本次构建的请求数据包载荷进行大幅修改,然后再次发包探测,或者,也可对采样的反射响应数据包不予处理,或者,也可终止流程。
根据本公开的以上至少一个示例,可对反射攻击进行高效识别,应急响应速度快,可将操作人员从手动处理中解放出来,选择UDP发包探测的识别成功率高,更新维护的协议模板库能够进行知识累积,提高整体的识别效率和准确率,有助于快速、准确还原反射攻击手法,及时发布攻击预警,维护网络安全环境。
以上通过多个实施例从不同角度描述了本公开实施例的具体设置和实现方式。与上述至少一个实施例的处理方法相对应地,本公开实施例还提供一种反射攻击探测装置100,参考图5,包括:
采样模块110,用于在受到反射攻击过程中对反射攻击的响应数据包进行采样;
获取模块120,用于获取该响应数据包使用的协议载荷以及对应的反射服务器地址;
识别模块130,用于基于预设协议模板库对该响应数据包的协议载荷进行模糊识别,得到该协议载荷对应的协议名;
生成模块140,用于根据该预设协议模板库中该协议名对应的请求协议模版,生成第一请求数据包载荷;
构造模块150,用于基于该第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷;
探测模块160,用于使用该第二请求数据包载荷对该反射服务器进行用户数据报协议UDP探测,得到UDP响应数据包;
确定模块170,用于在该UDP响应数据包与采样的该响应数据包一致的情况下,将该第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。
可选地,该反射攻击探测装置100还包括调整模块,用于在该UDP响应数据包与采样的该响应数据包不一致的情况下,对该第二请求数据包载荷进行调整,得到第三请求数据包载荷,并触发该探测模块使用该第三请求数据包载荷对该反射服务器进行UDP探测。
可选地,该确定模块还用于在该UDP响应数据包与采样的该响应数据包不一致的情况下,或者,在未接收到UDP响应数据包的情况下,确定对采样的该响应数据包不予处理
可选地,该反射攻击探测装置100还包括UDP数据包处理模块,用于对采样的该响应数据包中的用户数据报协议UDP数据包进行处理,以确认该响应数据包是否属于反射攻击。
可选地,该UDP数据包处理模块包括:第一聚合处理模块,用于将该响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合该,如果聚合后得到的UDP数据包的数量在UDP数据包的总数中的占比超过第一阈值,则确认该响应数据包属于反射攻击;以及,第二聚合处理模块,用于该响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合该,如果聚合后得到的UDP数据包的字节数在UDP数据包的总字节数中的占比超过第二阈值,则确认该响应数据包属于反射攻击;其中该预定要求包括:该源端口为该反射服务器的端口,该目的IP地址为受到反射攻击的终端的IP地址。
可选地,该识别模块包括:相似度计算处理子模块,用于计算该响应数据包的协议载荷与该预设协议模板库中的各响应协议模版之间的相似度;以及,协议名确定子模块,用于将相似度大于或等于第三阈值的响应协议模版的协议名,确定为该响应数据包的协议载荷对应的协议名。
可选地,该生成模块使用基于生成的模糊算法,基于该预设协议模板库中该协议名对应的请求协议模版,生成该第一请求数据包载荷。
可选地,该协议模板库中包括协议名以及与该协议名对应的响应协议模版和请求协议模版。
可选地,该反射攻击探测装置100还包括模板库更新模块,用于将该第二请求数据包载荷对应的请求协议模板存入该预设协议模板库中。
本公开实施例还提供一种电子设备,如图6所示,该电子设备包括:一个或多个处理器1001、存储器1002,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示图形用户界面(Graphical UserInterface,GUI)的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图6中以一个处理器1001为例。
存储器1002即为本公开所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本公开所提供的反射攻击探测方法。本公开的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本公开所提供的反射攻击探测方法。
存储器1002作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本公开实施例中的反射攻击探测方法对应的程序指令/模块。处理器1001通过运行存储在存储器1002中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的反射攻击探测方法。
存储器1002可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据搜索结果的分析处理电子设备的使用所创建的数据等。此外,存储器1002可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器1002可选包括相对于处理器1001远程设置的存储器,这些远程存储器可以通过网络连接至搜索结果的分析处理电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本公开实施例的反射攻击探测方法对应的电子设备还可以包括:输入装置1003和输出装置1004。处理器1001、存储器1002、输入装置1003和输出装置1004可以通过总线或者其他方式连接,本公开图6实施例中以通过总线连接为例。
输入装置1003可接收输入的数字或字符信息,以及产生与搜索结果的分析处理电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置1004可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(Liquid Crystal Display,LCD)、发光二极管(Light EmittingDiode,LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
本公开实施例中描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用集成电路(Application Specific Integrated Circuits,ASIC)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(programmable logic device,PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(Cathode Ray Tube,阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(Local Area Network,LAN)、广域网(Wide Area Network,WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开提供的技术方案所期望的结果,本文在此不进行限制。上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (21)
1.一种反射攻击探测方法,包括:
在受到反射攻击过程中对反射攻击的响应数据包进行采样;
获取所述响应数据包使用的协议载荷以及对应的反射服务器的地址;
基于预设协议模板库对所述协议载荷进行模糊识别,得到所述协议载荷对应的协议名;
根据所述预设协议模板库中所述协议名对应的请求协议模版,生成第一请求数据包载荷;
基于所述第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷;
使用所述第二请求数据包载荷对所述反射服务器进行用户数据报协议UDP探测,得到UDP响应数据包;
如果所述UDP响应数据包与采样的所述响应数据包一致,则将所述第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。
2.根据权利要求1所述的反射攻击探测方法,其中,如果所述UDP响应数据包与采样的所述响应数据包不一致,则对所述第二请求数据包载荷进行调整,得到第三请求数据包载荷,并使用所述第三请求数据包载荷对所述反射服务器进行UDP探测。
3.根据权利要求1所述的反射攻击探测方法,其中,如果所述UDP响应数据包与采样的所述响应数据包不一致,或者,如果未接收到UDP响应数据包,则确定对采样的所述响应数据包不予处理。
4.根据权利要求1所述的反射攻击探测方法,还包括:
对采样的所述响应数据包中的UDP数据包进行处理,以确认所述响应数据包是否属于反射攻击。
5.根据权利要求4所述的反射攻击探测方法,其中,所述对采样的所述响应数据包中的UDP数据包进行处理,以确认所述响应数据包是否属于反射攻击,包括:
将所述响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合,如果聚合后得到的UDP数据包的数量在UDP数据包的总数中的占比超过第一阈值,则确认所述响应数据包属于反射攻击;
或者,
将所述响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合,如果聚合后得到的UDP数据包的字节数在UDP数据包的总字节数中的占比超过第二阈值,则确认所述响应数据包属于反射攻击;
其中所述预定要求包括:所述源端口为所述反射服务器的端口,所述目的IP地址为受到反射攻击的终端的IP地址。
6.根据权利要求1所述的反射攻击探测方法,其中,所述基于预设协议模板库对所述响应数据包的协议载荷进行模糊识别,得到所述响应数据包的协议载荷对应的协议名,包括:
计算所述响应数据包的协议载荷与所述预设协议模板库中的各响应协议模版之间的相似度;
将相似度大于或等于第三阈值的响应协议模版的协议名,确定为所述响应数据包的协议载荷对应的协议名。
7.根据权利要求1所述的反射攻击探测方法,其中,所述根据所述预设协议模板库中所述协议名对应的请求协议模版,生成第一请求数据包载荷,包括:
使用基于生成的模糊算法,基于所述预设协议模板库中所述协议名对应的请求协议模版,生成所述第一请求数据包载荷。
8.根据权利要求1-7中任一项所述的反射攻击探测方法,其中,
所述预设协议模板库中包括协议名以及与所述协议名对应的响应协议模版和请求协议模版。
9.根据权利要求1-7中任一项所述的反射攻击探测方法,还包括:
将所述第二请求数据包载荷对应的请求协议模板存入所述预设协议模板库中。
10.一种反射攻击探测装置,包括:
采样模块,用于在受到反射攻击过程中对反射攻击的响应数据包进行采样;
获取模块,用于获取所述响应数据包使用的协议载荷以及对应的反射服务器的地址;
识别模块,用于基于预设协议模板库对所述协议载荷进行模糊识别,得到所述协议载荷对应的协议名;
生成模块,用于根据所述预设协议模板库中所述协议名对应的请求协议模版,生成第一请求数据包载荷;
构造模块,用于基于所述第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷;
探测模块,用于使用所述第二请求数据包载荷对所述反射服务器进行用户数据报协议UDP探测,得到UDP响应数据包;
确定模块,用于在所述UDP响应数据包与采样的所述响应数据包一致的情况下,将所述第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。
11.根据权利要求10所述的反射攻击探测装置,还包括:调整模块,用于在所述UDP响应数据包与采样的所述响应数据包不一致的情况下,对所述第二请求数据包载荷进行调整,得到第三请求数据包载荷,并触发所述探测模块使用所述第三请求数据包载荷对所述反射服务器进行UDP探测。
12.根据权利要求10所述的反射攻击探测装置,其中,所述确定模块还用于在所述UDP响应数据包与采样的所述响应数据包不一致的情况下,或者,在未接收到UDP响应数据包的情况下,确定对采样的所述响应数据包不予处理。
13.根据权利要求10所述的反射攻击探测装置,还包括;
UDP数据包处理模块,用于对采样的所述响应数据包中的UDP数据包进行处理,以确认所述响应数据包是否属于反射攻击。
14.根据权利要求13所述的反射攻击探测装置,所述UDP数据包处理模块包括:
第一聚合处理模块,用于将所述响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合,如果聚合后得到的UDP数据包的数量在UDP数据包的总数中的占比超过第一阈值,则确认所述响应数据包属于反射攻击;
第二聚合处理模块,用于所述响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合,如果聚合后得到的UDP数据包的字节数在UDP数据包的总字节数中的占比超过第二阈值,则确认所述响应数据包属于反射攻击;
其中所述预定要求包括:所述源端口为所述反射服务器的端口,所述目的IP地址为受到反射攻击的终端的IP地址。
15.根据权利要求10所述的反射攻击探测装置,所述识别模块包括:
相似度计算处理子模块,用于计算所述响应数据包的协议载荷与所述预设协议模板库中的各响应协议模版之间的相似度;
协议名确定子模块,用于将相似度大于或等于第三阈值的响应协议模版的协议名,确定为所述响应数据包的协议载荷对应的协议名。
16.根据权利要求10所述的反射攻击探测装置,其中,
所述生成模块使用基于生成的模糊算法,基于所述预设协议模板库中所述协议名对应的请求协议模版,生成所述第一请求数据包载荷。
17.根据权利要求10-16中任一项所述的反射攻击探测装置,其中,
所述预设协议模板库中包括协议名以及与所述协议名对应的响应协议模版和请求协议模版。
18.根据权利要求10-16中任一项所述的反射攻击探测装置,还包括:
模板库更新模块,用于将所述第二请求数据包载荷对应的请求协议模板存入所述预设协议模板库中。
19.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-9中任一项所述的反射攻击探测方法。
20.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使计算机执行如权利要求1-9中任一项所述的方法。
21.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如权利要求1-9中任一项所述的反射攻击探测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110610824.0A CN113347186B (zh) | 2021-06-01 | 2021-06-01 | 反射攻击探测方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110610824.0A CN113347186B (zh) | 2021-06-01 | 2021-06-01 | 反射攻击探测方法、装置和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113347186A CN113347186A (zh) | 2021-09-03 |
| CN113347186B true CN113347186B (zh) | 2022-05-06 |
Family
ID=77474369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110610824.0A Active CN113347186B (zh) | 2021-06-01 | 2021-06-01 | 反射攻击探测方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113347186B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296904B (zh) * | 2022-08-03 | 2023-10-27 | 中国电信股份有限公司 | 域名反射攻击检测方法及装置、电子设备、存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| CN110505232A (zh) * | 2019-08-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 网络攻击的检测方法及装置、电子设备、存储介质 |
| CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN111225002A (zh) * | 2020-03-18 | 2020-06-02 | 深圳市腾讯计算机系统有限公司 | 一种网络攻击溯源方法、装置、电子设备和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210112091A1 (en) * | 2019-10-10 | 2021-04-15 | Charter Communications Operating, Llc | Denial-of-service detection and mitigation solution |
-
2021
- 2021-06-01 CN CN202110610824.0A patent/CN113347186B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| CN110505232A (zh) * | 2019-08-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 网络攻击的检测方法及装置、电子设备、存储介质 |
| CN111225002A (zh) * | 2020-03-18 | 2020-06-02 | 深圳市腾讯计算机系统有限公司 | 一种网络攻击溯源方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113347186A (zh) | 2021-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| EP1701285A1 (en) | System security approaches using multiple processing units | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| CN104836702A (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
| CN111147394B (zh) | 一种远程桌面协议流量行为的多级分类检测方法 | |
| CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
| CN109150859B (zh) | 一种基于网络流量流向相似性的僵尸网络检测方法 | |
| US20170295068A1 (en) | Logical network topology analyzer | |
| CN114050940A (zh) | 一种资产漏洞探测方法、装置和电子设备 | |
| CN110572399A (zh) | 漏洞检测处理方法、装置、设备及存储介质 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN113347186B (zh) | 反射攻击探测方法、装置和电子设备 | |
| US20190058597A1 (en) | Method and system for compression and optimization of in-line and in-transit information security data | |
| KR20220074819A (ko) | 효율적인 서브그래프 검출을 위한 그래프 스트림 마이닝 파이프라인 | |
| CN111654499B (zh) | 一种基于协议栈的暴破攻击识别方法和装置 | |
| CN111641659A (zh) | 一种交换机的中央处理器防攻击的方法、装置、设备及存储介质 | |
| CN111294318B (zh) | 一种网络攻击的ip地址分析方法、装置和存储介质 | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
| CN114553546A (zh) | 基于网络应用的报文抓取的方法和装置 | |
| CN113452647B (zh) | 特征鉴定方法、装置、电子设备及计算机可读存储介质 | |
| US20190158464A1 (en) | Inspection context caching for deep packet inspection | |
| CN115378746B (zh) | 网络入侵检测规则生成方法、装置、设备以及存储介质 | |
| Cheng et al. | Cheetah: a space-efficient HNB-based NFAT approach to supporting network forensics | |
| CN110912928B (zh) | 一种防火墙实现方法、装置以及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |