CN113783892B - 反射攻击检测方法、系统、设备及计算机可读存储介质 - Google Patents
反射攻击检测方法、系统、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113783892B CN113783892B CN202111142669.0A CN202111142669A CN113783892B CN 113783892 B CN113783892 B CN 113783892B CN 202111142669 A CN202111142669 A CN 202111142669A CN 113783892 B CN113783892 B CN 113783892B
- Authority
- CN
- China
- Prior art keywords
- source
- pair
- destination
- determining
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种反射攻击检测方法、系统、设备及计算机可读存储介质。本公开通过统计同一时间窗口内访问同一目的IP的同一目的端口的源IP对,以及该源IP对出现的时间窗口数量,可以有效地区别内网中源IP的正常访问流量和非正常访问流量,避免了由于正常访问流量和非正常访问流量混杂在一起导致无法准确检测。同时,本公开实施例对目的IP的每个源IP分别进行分析统计,改善了由于反射攻击流量离散到多个源IP而出现漏判的情况,进一步提高了内网反射攻击检测的准确性。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种反射攻击检测方法、系统、设备及计算机可读存储介质。
背景技术
现下网络中的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)对抗中,基于TCP协议的反射攻击手法已经悄然兴起,对DDoS防护方带来严峻的挑战。攻击者会预先收集大量服务器的IP地址作为反射源,向这些IP的开放端口发送大量SYN报文,这些报文的原本的IP地址都被伪装成攻击目标的IP地址,大量服务器的开放端口在收到这些SYN报文后会向目标IP地址回复大量的响应报文,形成反射攻击流,消耗攻击目标的性能或网络带宽,使得其无法正常提供服务。
常用的防护手段是对防护的目标网段IP地址进行监控,当监控到其流量超过一定阈值时,判定系统受到了DDoS攻击,其中可能包括TCP反射攻击。
但是在传统方法中,由于反射攻击流是由多个IP共同形成的,在总的流量过大造成攻击目标瘫痪时,单个IP地址的访问流量可能并未超过阈值,因此无法及时发现反射攻击的发生。同时,如果反射攻击出现在内网中,用于反射攻击的多个IP地址通常会对目标IP有正常的访问流量,因此不能将该IP设置为黑名单以进行屏蔽,而且常规防护手段难以对正常和非正常流量进行区分,导致检测结果不准确。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种反射攻击检测方法、系统、设备及计算机可读存储介质,以准确检测内网中是否存在反射攻击行为。
第一方面,本公开实施例提供一种反射攻击检测方法,包括:
获取协议日志数据,所述协议日志数据包括至少一个源IP、至少一个目的IP和至少一个目的端口;
对所述协议日志数据按时间窗口进行切分;
根据切分得到的多个时间窗口内的协议日志数据,确定同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对;
根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP。
在一些实施例中,所述根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP包括:
针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对;
针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴随源IP对所包含的源IP数量;
若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对的目标IP为该目的IP。
在一些实施例中,所述针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对包括:
对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴随IP对。
在一些实施例中,所述根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP还包括:
确定所述反射攻击针对的目标端口。
在一些实施例中,所述确定所述反射攻击针对的目标IP的目标端口包括:
确定所有所述源IP共同访问的目的IP的目的端口为所述反射攻击针对的目标端口。
第二方面,本公开实施例提供一种反射攻击检测系统,包括:
获取模块,用于获取协议日志数据,所述协议日志数据包括至少一个源IP、至少一个目的IP和至少一个目的端口;
切分模块,用于对所述协议日志数据按时间窗口进行切分;
第一确定模块,用于根据切分得到的多个时间窗口内的协议日志数据,确定同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对;
第二确定模块,用于根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP。
在一些实施例中,所述第二确定模块用于:
针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对;
针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴随源IP对所包含的源IP数量;
若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对的目标IP为该目的IP。
在一些实施例中,所述第二确定模块还用于:
对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴随IP对。
在一些实施例中,所述第二确定模块还用于:
确定所述反射攻击针对的目标端口。
在一些实施例中,所述第二确定模块还用于:
确定所有所述源IP共同访问的目的IP的目的端口为所述反射攻击针对的目标端口。
第三方面,本公开实施例提供一种反射攻击检测设备,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面所述的方法。
第四方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现第一方面所述的方法。
第五方面,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执行时实现如上所述的反射攻击检测方法。
本公开实施例提供的反射攻击检测方法、系统、设备及计算机可读存储介质,通过统计同一时间窗口内访问同一目的IP的同一目的端口的源IP对,以及该源IP对出现的时间窗口数量,可以有效地区别源IP的正常访问流量和非正常访问流量,避免了由于正常访问流量和非正常访问流量混杂在一起导致无法准确检测。同时,本公开实施例对目的IP的每个源IP分别进行分析统计,改善了由于反射攻击流量离散到多个源IP而出现反射攻击的漏判的情况,进一步提高了内网反射攻击检测的准确性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种应用场景示意图;
图2为本公开实施例提供的一种反射攻击检测方法流程图;
图3为本公开实施例提供的另一种反射攻击检测方法流程图;
图4为本公开实施例提供的另一种反射攻击检测方法流程图;
图5为本公开实施例提供的一种反射攻击检测系统的结构示意图;
图6为本公开实施例提供的一种计算机设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1是一种常规的反射攻击场景示意图,本公开提供的反射攻击检测方法可以应用在如图1所示的场景中。如图1所示,在一个常规的内网反射攻击中,攻击者通过扫描获取网段IP以及内部存活的大量服务器IP作为反射源服务器,随后攻击者会伪造TCP请求报文,将发起请求的服务器IP伪装成被攻击的目标服务器的IP对所述存活的服务器IP发起请求,作为反射源的服务器收到SYN请求报文后,会向目标服务器IP返回SYN应答报文。在短时间内向所述存活服务器发起大量请求,所述作为反射源的服务器就会相应地向目标服务器返回大量应答报文,形成反射攻击流;而目标服务器在短时间内收到大量应答报文,使得目标服务器的带宽或资源被耗尽,从而导致目标服务器瘫痪,无法正常提供相应的业务服务。目前常规的检测方法是对目标网段IP的流量进行监控,在访问流量超过阈值时,判定存在反射攻击行为,但由于反射攻击流是由多个作为反射源的服务器IP共同提供的,在任意一个作为反射源的IP流量未达到预设阈值时,目标服务器的流量可能早已超过其负载能力。并且,在内网中,所述作为反射源的服务器IP对目标服务器存在一定的正常访问流量,因此不能简单地对作为反射源的服务器IP进行屏蔽,而现有的检测方法在检测时无法甄别这部分正常访问流量,导致对检测结果造成影响,针对上述问题,本公开提供了一种反射攻击检测方法,下面结合具体的实施例对该方法进行介绍。
图2为本公开实施例提供的反射攻击检测方法流程图。图2所提供的方法可以应用在图1所示的场景中,下面结合图1所示的应用场景对本公开实施例进行解释。如图2所示,在一个实施例中,反射攻击检测方法包括如下步骤:
S201、获取协议日志数据,所述协议日志数据包括至少一个源IP、至少一个目的IP和至少一个目的端口。
获取检测所涉及的服务器的协议日志数据,所述协议日志数据的时间范围可以是一天,也可以是一周,或是其他任意需要检测的时间范围。所述协议日志的数据至少包括:在所述协议日志数据的时间范围内,与所述服务器建立过访问关系的所有反射源服务器的源IP、所有所述源IP的目的IP以及目的端口。所述协议日志的数据还包括请求报文的数据和其他信息,在实际使用时可以筛选出指定服务器或指定端口的相关信息进行进一步分析。
S202、对所述协议日志数据按时间窗口进行切分。
将S201中获取到的协议日志数据按一定的时间窗口进行切分,获取多个时间段的协议日志数据。所述时间窗口的长度可以根据实际需求进行调整,可以是5秒,也可以是10秒或其他值,但一般控制在一分钟以内,时间窗口过长会对检测结果造成影响。
S203、根据切分得到的多个时间窗口内的协议日志数据,确定同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对。
在反射攻击中,攻击者通常是针对目标服务器的某一个目标端口进行攻击。因此,要对不同目的端口的协议日志数据分别进行分析。在同一个时间窗口内,如果有两个源IP对同一目的端口发起访问,则确定所述两个源IP为该目的端口的一个源IP对,基于上述规则,可以确定同一时间窗口访问内同一目的端口的所有源IP对。
S204、根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP。
根据S203中确定的源IP对出现的多个时间窗口的数量,可以判断是否存在反射攻击行为。结合所述协议日志数据中的源IP数据,最终确定所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对所访问的目的IP,即为反射攻击针对的目标IP。
本公开实施例通过统计同一时间窗口内访问同一目的IP的同一目的端口的源IP对,以及该源IP对出现的时间窗口数量,可以有效地区别源IP的正常访问流量和非正常访问流量,避免了在内网反射攻击中由于正常访问流量和非正常访问流量混杂在一起导致无法准确检测。同时,本公开实施例对目的IP的每个源IP分别进行分析,改善了由于反射攻击流量离散到多个源IP而出现反射攻击的漏判的情况,有效提高了反射攻击检测的准确性。
在上述实施例的基础上,如图3所示,所述根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP包括以下步骤:
S301、针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对。
对于任一源IP对,该源IP对可以在多个时间窗口内访问同一目的IP的同一目的端口,此时认为该源IP对所包括的两个源IP存在伴随行为。在正常情况下,内网中源IP对目的IP的访问是随机的,不存在集中的伴随行为,如果伴随行为过于集中,即如果所述多个时间窗口的数量过多,则认为该源IP对所包括的两个源IP存在异常伴随行为,此时存在发生反射攻击的可能性。
S302、针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴随源IP对所包含的源IP数量。
执行步骤S301后,可以获得每个目的端口的所有异常伴随源IP对,对于这些源IP对包含的多个源IP,统计所述多个源IP的个数。需要说明的是,统计源IP个数时,如果一个源IP多次出现在多个源IP对中,该源IP只被统计一次。
S303、若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对的目标IP为该目的IP。
若所述源IP数量超过预设阈值,则说明对于一个目的IP的特定端口,有多个源IP持续对该端口发起访问,且源IP个数已经超过正常范围,此时确认发生了反射攻击。同时,上文中获取的协议日志数据中还包括目的IP信息,基于该信息可以确定所述源IP访问的目的IP,该目的IP即为反射攻击的目标IP。
在上述实施例的基础上,所述针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对包括:对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴随IP对。
在实际情况中,由于反射攻击通常是针对特定端口发起的,如果对于多个端口,都有存在伴随行为的源IP对,则需要分别计算每个端口对应的源IP对的伴随度。
在上述实施例的基础上,所述根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP还包括:确定所述反射攻击针对的目标端口。
在步骤S303中,根据获取的协议日志数据可以确定反射攻击的目的IP,同时,所述获取的协议日志数据中还包括目的端口信息,基于该信息可以确定S303中所有源IP共同访问的目的端口,该目的端口即为反射攻击的目标端口。
本公开实施例通过对访问同一目的IP的同一目的端口的异常伴随源IP对所包含的源IP个数以及异常伴随源IP对出现的窗口个数进行统计,将统计结果与预设阈值进行对比从而得出检测结果,有效地将正常访问流量与反射攻击流量进行区别,以更精确方式对内网中是否存在反射攻击行为进行检测,进一步提高了反射攻击检测的准确性。并且,通过根据实际情况设置上述预设阈值,能够使本公开实施例提供的方法适应各种不同情况,提高了反射攻击检测方法的普适性。
在一些实施例中,如图4所示,一种反射攻击检测方法包括以下步骤:
S401、获取协议日志数据,所述协议日志数据包括至少一个源IP、至少一个目的IP和至少一个目的端口。
获取检测所涉及的服务器的协议日志数据,所述协议日志数据的时间范围可以是一天,也可以是一周,或是其他任意需要检测的时间范围。所述协议日志的数据至少包括:在所述协议日志数据的时间范围内,与所述服务器建立过访问关系的所有反射源服务器的源IP、所有所述源IP的目的IP以及目的端口。所述协议日志的数据还包括请求报文的数据和其他信息,在实际使用时可以筛选出指定服务器或指定端口的相关信息进行进一步分析。
S402、对所述协议日志数据按时间窗口进行切分。
将S401中获取到的协议日志数据按一定的时间窗口进行切分,获取多个时间段的协议日志数据。所述时间窗口的长度可以根据实际需求进行调整,可以是5秒,也可以是10秒或其他值,但一般控制在一分钟以内,时间窗口过长会对检测结果造成影响。
S403、若存在源IP对在同一时间窗口内对同一目的端口发起请求,计算所述源IP对的伴随度。
对于任一源IP对,该源IP对在多个时间窗口内访问同一目的IP的同一目的端口,此时认为该源IP对所包括的两个源IP存在伴随行为。如果所述多个时间窗口的数量过多,则认为该源IP对所包括的两个源IP存在异常伴随行为,此时存在发生反射攻击的可能性。源IP对的伴随行为聚集程度称为“伴随度”,具体计算方式为:
其中IP1和IP2是任一源IP对中的两个源IP,Wi指第i个时间窗口,N指时间窗口的总个数。当伴随度RIP1,IP2大于预设阈值时,代表该源IP对出现伴随行为的时间窗口数量过多,此时确定IP1和IP2两个源IP存在异常伴随行为,IP1和IP2两个源IP所组成的源IP对为异常伴随源IP对。
S404、基于所述源IP对的伴随度,构建相应的同现关联图及其最大连通子图。
基于S401中确定的异常伴随源IP对构建同现关联图,每个异常伴随源IP对所包含的源IP作为该同现关联图上的一个点,每个异常伴随源IP对所包含的两个源IP对应的点之间连通。在所述同现关联图中,存在一个最大连通子图,该最大连通子图中任意两个点之间都有直接或间接连通的路径,表示这些连通的点对应的源IP之间均存在异常伴随行为,统计这些相互连通的点的个数,即统计所有存在异常伴随行为的源IP的个数。需要说明的是,构建同现关联图时,如果一个源IP多次出现在多个异常伴随源IP对中,该源IP只被统计一次,即在同现关联图及其最大连通子图中,每个源IP只有一个对应的点,但可以有多条不同的与其他源IP连通的路径。
由于在一般的反射攻击中,攻击者会针对某一特定端口进行攻击,因此在根据伴随度构建同现关联图及其最大连通子图时,需要针对不同目的端口,分别构建每个端口对应的同现关联图及其最大连通子图。
S405、基于所述同现关联图及其最大连通子图,得出检测结果。
上述根据异常伴随关系构成的最大连通子图中,若所有连通的点的个数超过预设阈值,即所有存在异常伴随行为的源IP的个数超过预设阈值,则确定存在反射攻击行为,根据所述协议日志数据中源IP和目的IP的信息,可以确定所有所述源IP访问的目的IP即为反射攻击的目标IP。
进一步地,根据所述协议日志数据中源IP和目的端口的信息,还可以确定所有所述源IP访问的目的端口即为反射攻击的目标端口。
本公开实施例通过计算源IP对的伴随度,并且基于伴随度与预设阈值的比较关系构建同现关联图及其最大连通子图,以更直观的形式体现了源IP之间的伴随关系,不但提高了内网中反射攻击检测的准确性,同时还便于技术人员对检测情况和结果进行进一步分析,以优化系统防护手段。
图5为本公开实施例提供的反射检测攻击系统的结构示意图。本公开实施例提供的反射攻击检测系统可以执行反射攻击检测方法实施例提供的处理流程,如图5所示,反射攻击检测装置500包括:获取模块510、切分模块520、第一确定模块530、第二确定模块540。
所述获取模块310用于获取协议日志数据,所述协议日志数据包括至少一个源IP、至少一个目的IP和至少一个目的端口;
所述切分模块520用于对所述协议日志数据按时间窗口进行切分;
所述第一确定模块530用于根据切分得到的多个时间窗口内的协议日志数据,确定同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对;
所述第二确定模块540用于根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP。
在一些实施例中,所述第二确定模块540还用于针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对;针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴随源IP对所包含的源IP数量;若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对的目标IP为该目的IP。
可选的,所述第二确定模块540还用于确定源IP对的伴随度以及构建同现关联图,确定所述同现关联图中最大连通子图中包含源IP的个数,具体包括:
对于任一源IP对,该源IP对可以在多个时间窗口内访问同一目的IP的同一目的端口,此时判断该源IP对所包括的两个源IP存在伴随行为。如果所述多个时间窗口的数量过多,则认为该源IP对所包括的两个源IP存在异常伴随行为,此时存在发生反射攻击的可能性。源IP对的伴随行为聚集程度称为“伴随度”,具体计算方式为:
其中IP1和IP2是任一源IP对中的两个源IP,Wi指第i个时间窗口,N指时间窗口的总个数。当伴随度RIP1,IP2大于预设阈值时,判断IP1和IP2两个源IP存在异常伴随行为,IP1和IP2两个源IP所组成的源IP对为异常伴随源IP对。基于所述异常伴随源IP对的信息构建同现关联图,每个异常伴随源IP对所包含的源IP作为该同现关联图上的一个点,每个异常伴随源IP对所包含的两个源IP对应的点之间连通。
所述根据异常伴随关系构成的同现关联图中,存在一个最大连通子图,该最大连通子图中任意两个点之间都有直接或间接连通的路径,表示这些连通的点对应的源IP之间均存在异常伴随行为,统计这些相互连通的点的个数,即统计所有存在异常伴随行为的源IP的个数。
所述根据异常伴随关系构成的最大连通子图中,若所有连通的点的个数超过预设阈值,即所有存在异常伴随行为的源IP的个数超过预设阈值,则确定存在反射攻击行为,根据所述协议日志数据中源IP和目的IP的信息,可以确定所述源IP访问的目的IP即为反射攻击的目标IP。
在一些实施例中,所述第二确定模块540还用于对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴随IP对。
可选的,所述第二确定模块540还用于在根据异常伴随关系构建同现关联图及其最大连通子图时,针对不用目的IP的不同目的端口,分别构建每个端口对应的同现关联图及其最大连通子图。
在一些实施例中,所述第二确定模块540还用于确定所述反射攻击针对的目标端口。
在一些实施例中,所述第二确定模块540还用于确定所有所述源IP共同访问的目的IP的目的端口为所述反射攻击针对的目标端口。
图5所示实施例的反射攻击检测系统可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本公开实施例提供的计算机设备的结构示意图。本公开实施例提供的计算机设备可以执行内核升级方法实施例提供的处理流程,如图6所示,计算机设备600包括:存储器601、处理器602、计算机程序和通讯接口603;其中,计算机程序存储在存储器601中,并被配置为由处理器602执行如上所述的反射攻击检测方法。该计算机设备的存储器601储有操作系统和计算机程序,并为操作系统和计算机程序的运行提供环境。该计算机设备的处理器602用于提供计算和控制能力。该计算机设备的通讯接口603用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
另外,本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现上述实施例所述的反射攻击检测方法。
此外,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执行时实现如上所述的反射攻击检测方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种反射攻击检测方法,其特征在于,所述方法包括:
获取协议日志数据,所述协议日志数据包括至少一个源IP、至少一个目的IP和至少一个目的端口;
对所述协议日志数据按时间窗口进行切分;
根据切分得到的多个时间窗口内的协议日志数据,确定同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对;
根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP;
所述根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP包括:
针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对;
针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴随源IP对所包含的源IP数量;
若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对的目标IP为该目的IP。
2.根据权利要求1所述的方法,其特征在于,所述针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对包括:
对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴随源IP对。
3.根据权利要求1所述的方法,其特征在于,所述根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP还包括:
确定所述反射攻击针对的目标端口。
4.根据权利要求3所述的方法,其特征在于,确定所述反射攻击针对的目标IP的目标端口包括:
确定所有所述源IP共同访问的目的IP的目的端口为所述反射攻击针对的目标端口。
5.一种反射攻击检测系统,其特征在于,包括:
获取模块,用于获取协议日志数据,所述协议日志数据包括至少一个源IP、至少一个目的IP和至少一个目的端口;
切分模块,用于对所述协议日志数据按时间窗口进行切分;
第一确定模块,用于根据切分得到的多个时间窗口内的协议日志数据,确定同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对;
第二确定模块,用于根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP;
所述第二确定模块用于:
针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对;
针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴随源IP对所包含的源IP数量;
若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对的目标IP为该目的IP。
6.根据权利要求5所述的系统,其特征在于,所述第二确定模块还用于:
对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴随源IP对。
7.一种计算机设备,其特征在于,包括:
存储器;
处理器;
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-4中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111142669.0A CN113783892B (zh) | 2021-09-28 | 2021-09-28 | 反射攻击检测方法、系统、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111142669.0A CN113783892B (zh) | 2021-09-28 | 2021-09-28 | 反射攻击检测方法、系统、设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113783892A CN113783892A (zh) | 2021-12-10 |
CN113783892B true CN113783892B (zh) | 2023-04-07 |
Family
ID=78854111
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111142669.0A Active CN113783892B (zh) | 2021-09-28 | 2021-09-28 | 反射攻击检测方法、系统、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113783892B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296904B (zh) * | 2022-08-03 | 2023-10-27 | 中国电信股份有限公司 | 域名反射攻击检测方法及装置、电子设备、存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108173884A (zh) * | 2018-03-20 | 2018-06-15 | 国家计算机网络与信息安全管理中心 | 基于网络攻击伴随行为的DDoS攻击群体分析方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789831B (zh) * | 2015-11-19 | 2020-10-23 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
CN110311925B (zh) * | 2019-07-30 | 2022-06-28 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
CN112261019B (zh) * | 2020-10-13 | 2022-12-13 | 中移(杭州)信息技术有限公司 | 分布式拒绝服务攻击检测方法、装置及存储介质 |
-
2021
- 2021-09-28 CN CN202111142669.0A patent/CN113783892B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108173884A (zh) * | 2018-03-20 | 2018-06-15 | 国家计算机网络与信息安全管理中心 | 基于网络攻击伴随行为的DDoS攻击群体分析方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113783892A (zh) | 2021-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9503463B2 (en) | Detection of threats to networks, based on geographic location | |
US8997231B2 (en) | Preventive intrusion device and method for mobile devices | |
Hsu et al. | Fast-flux bot detection in real time | |
CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
US9282116B1 (en) | System and method for preventing DOS attacks utilizing invalid transaction statistics | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
CN114830112A (zh) | 通过QUIC通信协议执行的检测和缓解DDoS攻击 | |
US11363044B2 (en) | Method and system for detecting and mitigating HTTPS flood attacks | |
CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
CN111970261B (zh) | 网络攻击的识别方法、装置及设备 | |
EP4050859A1 (en) | Network security protection method and protection device | |
CN113783892B (zh) | 反射攻击检测方法、系统、设备及计算机可读存储介质 | |
CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
US20230208857A1 (en) | Techniques for detecting cyber-attack scanners | |
CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
KR101517328B1 (ko) | Arp 스푸핑 탐지 장치 및 탐지 방법 | |
CN113037841B (zh) | 一种提供分布式拒绝攻击的防护方法 | |
US12041079B2 (en) | Detecting patterns in network traffic responses for mitigating DDOS attacks | |
CN113660666B (zh) | 一种中间人攻击的双向请求应答检测方法 | |
CN113055405B (zh) | 一种dns旁路抢答设备识别及溯源方法 | |
US20240171607A1 (en) | Techniques for detecting advanced application layer flood attack tools | |
US20230283631A1 (en) | Detecting patterns in network traffic responses for mitigating ddos attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |