CN114095258B - 攻击防御方法、装置、电子设备及存储介质 - Google Patents
攻击防御方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114095258B CN114095258B CN202111395076.5A CN202111395076A CN114095258B CN 114095258 B CN114095258 B CN 114095258B CN 202111395076 A CN202111395076 A CN 202111395076A CN 114095258 B CN114095258 B CN 114095258B
- Authority
- CN
- China
- Prior art keywords
- attack
- client
- connection request
- abnormal client
- defense
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 88
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000002159 abnormal effect Effects 0.000 claims abstract description 156
- 230000004044 response Effects 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 7
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 2
- 230000002547 anomalous effect Effects 0.000 claims 1
- 238000013459 approach Methods 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 7
- 230000007812 deficiency Effects 0.000 abstract 1
- 238000012544 monitoring process Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种攻击防御方法、装置、电子设备及存储介质,涉及安全技术领域。该方法在检测到设备出现内存不足时,获取当前连接数量,若当前连接数量超过设定数量,则表明设备是由于接收到大量的连接请求而不停申请内存导致出现内存不足,此时可根据接收到的连接请求报文确定异常客户端,然后分析异常客户端的攻击类型,并根据攻击类型确定对应的防御方式,这样就可以避免异常客户端因规避防御方式而改变攻击类型,设备采用统一的防御方式对其则不能达到防御效果的问题,所以,本申请可以自动识别异常客户端,然后针对不同的攻击类型采用不同的防御方式对异常客户端进行针对性地攻击防御,可达到较好的防御效果。
Description
技术领域
本申请涉及安全技术领域,具体而言,涉及一种攻击防御方法、装置、电子设备及存储介质。
背景技术
目前网上攻击日益频繁,使得一些设备在网络使用中出现了较多的问题。为了确保设备的安全性,一般会为设备配置相应的防御手段来抵御攻击,而目前是网络安全管理人员在设备上人为地配置统一的防御手段,无法实现针对性地攻击防御,防御效果较差。
发明内容
本申请实施例的目的在于提供一种攻击防御方法、装置、电子设备及存储介质,用以采用统一的防御手段无法实现针对性地攻击防御的问题。
第一方面,本申请实施例提供了一种攻击防御方法,所述方法包括:
在检测到设备出现内存不足时,获取当前连接数量;
在所述当前连接数量超过设定数量时,根据接收到的连接请求报文确定异常客户端;
分析所述异常客户端的攻击类型,并根据所述攻击类型确定对应的防御方式;
利用所述防御方式对所述异常客户端进行攻击防御。
在上述实现过程中,在检测到设备出现内存不足时,获取当前连接数量,若当前连接数量超过设定数量,则表明设备是由于接收到大量的连接请求而不停申请内存导致出现内存不足,此时可根据接收到的连接请求报文确定异常客户端,然后分析异常客户端的攻击类型,并根据攻击类型确定对应的防御方式,这样就可以避免异常客户端因规避防御方式而改变攻击类型,设备采用统一的防御方式对其则不能达到防御效果的问题,所以,本申请可以自动识别异常客户端,然后针对不同的攻击类型采用不同的防御方式对异常客户端进行针对性地攻击防御,可达到较好的防御效果。
可选地,所述分析所述异常客户端的攻击类型,包括:
获取所述异常客户端发送的连接请求信息;
根据所述连接请求信息确定所述异常客户端的攻击类型。
在上述实现过程中,根据连接请求信息确定异常客户端的攻击类型,由于连接请求信息可以从异常客户端发送的连接请求报文中获取,所以可以快速分析出异常客户端的攻击类型。
可选地,所述连接请求信息包括五元组信息;所述根据所述连接请求信息确定所述异常客户端的攻击类型,包括:
判断所述五元组信息是否为不可达地址信息;
若是,则确定所述异常客户端的攻击类型为伪造信息攻击。这样可以针对伪造信息攻击采用对应的防御方式进行针对性防御。
可选地,所述连接请求信息包括所述异常客户端对应的请求的窗口值,所述根据所述连接请求信息确定所述异常客户端的攻击类型,包括:
判断所述窗口值是否在预设数值范围内;
若否,则判断是否接收到所述异常客户端针对所述设备的响应报文反馈的应答报文;其中,所述响应报文为所述设备针对所述异常客户端的连接请求报文的响应报文;
若没有接收到所述应答报文,则确定所述异常客户端的攻击类型为拒绝服务攻击。这样可以针对拒绝服务攻击采用对应的防御方式进行针对性防御。
可选地,所述根据所述攻击类型确定对应的防御方式,包括:
确定所述攻击类型的危险程度;
根据所述危险程度在存储的多种防御方式中查找与其危险程度匹配的防御方式。
在上述实现过程中,采用与攻击类型的危险程度匹配的防御方式,这样针对危险程度高的攻击类型可以采用安全性更高的防御方式进行防御,安全性更高。
可选地,所述多种防御方式包括:拒绝或限制指定源地址的请求、拒绝或限制指定目的地址的请求、拒绝或限制指定目端口的请求、设置源认证策略、加入黑名单、输出告警信息、限制请求报文的大小、限制请求的窗口值的大小中的至少两种,每种防御方式对应的安全防御程度不同。
可选地,所述根据接收到的连接请求报文确定异常客户端,包括:
从接收到的连接请求报文中筛选出请求的窗口值大于设定值的目标连接请求报文;
若所述目标连接请求报文中有超过预设比例的报文来自同一客户端,则确定该客户端为异常客户端。
在上述实现过程中,通过分析报文中的窗口值来确定异常客户端,这样可以快速找出更多的异常客户端。
第二方面,本申请实施例提供了一种攻击防御装置,所述装置包括:
数据获取模块,用于在检测到设备出现内存不足时,获取当前连接数量;
异常分析模块,用于在所述当前连接数量超过设定数量时,根据接收到的连接请求报文确定异常客户端;
防御分析模块,用于分析所述异常客户端的攻击类型,并根据所述攻击类型确定对应的防御方式;
攻击防御模块,用于利用所述防御方式对所述异常客户端进行攻击防御。
可选地,所述防御分析模块,用于获取所述异常客户端发送的连接请求信息;根据所述连接请求信息确定所述异常客户端的攻击类型。
可选地,所述连接请求信息包括五元组信息;所述防御分析模块,用于判断所述五元组信息是否为不可达地址信息;若是,则确定所述异常客户端的攻击类型为伪造信息攻击。
可选地,所述连接请求信息包括所述异常客户端对应的请求的窗口值,所述防御分析模块,用于判断所述窗口值是否在预设数值范围内;若否,则判断是否接收到所述异常客户端针对所述设备的响应报文反馈的应答报文;其中,所述响应报文为所述设备针对所述异常客户端的连接请求报文的响应报文;若没有接收到所述应答报文,则确定所述异常客户端的攻击类型为拒绝服务攻击。
可选地,所述防御分析模块,用于确定所述攻击类型的危险程度;根据所述危险程度在存储的多种防御方式中查找与其危险程度匹配的防御方式。
可选地,所述多种防御方式包括:拒绝或限制指定源地址的请求、拒绝或限制指定目的地址的请求、拒绝或限制指定目端口的请求、设置源认证策略、加入黑名单、输出告警信息、限制请求报文的大小、限制请求的窗口值的大小中的至少两种,每种防御方式对应的安全防御程度不同。
可选地,所述异常分析模块,用于从接收到的连接请求报文中筛选出请求的窗口值大于设定值的目标连接请求报文;若所述目标连接请求报文中有超过预设比例的报文来自同一客户端,则确定该客户端为异常客户端。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种防御攻击方法的流程图;
图2为本申请实施例提供的一种防御攻击装置的结构框图;
图3为本申请实施例提供的一种用于执行防御攻击方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本申请实施例提供一种攻击防御方法,该方法在检测到设备出现内存不足时,获取当前连接数量,若当前连接数量超过设定数量,则表明设备是由于接收到大量的连接请求而不停申请内存导致出现内存不足,此时可根据接收到的连接请求报文确定异常客户端,然后分析异常客户端的攻击类型,并根据攻击类型确定对应的防御方式,这样就可以针对不同的攻击类型采用不同的防御方式对异常客户端进行针对性地攻击防御,可达到较好的防御效果。
请参照图1,图1为本申请实施例提供的一种攻击防御方法的流程图,该方法包括如下步骤:
步骤S110:在检测到设备出现内存不足时,获取当前连接数量。
本申请所说的设备可以是指网络设备、终端等,本申请的攻击防御方法可以由设备自身或服务器来执行。在以服务器来执行时,服务器可以从设备获取相关信息,如设备在检测到自身的内存不足时,向服务器反馈相应的信息,然后由服务器来确定相应的防御方式,并利用对应的防御方式对异常客户端进行防御等。当然,如果是由自身设备来执行,则自身设备可存储有相应的信息,然后在自身设备出现内存不足时,调用相关信息进行分析从而获得对应的防御方式。为了描述的便利,下述实施例中均以自身设备来执行该方法为例进行说明。
在一些实施方式中,设备可以在检测到自身的内存已经被全部占用时,则确定内存不足,或者还可以在检测到设备的访问流量大于设定流量时,确定内存不足,因为如果访问流量较多,则设备会不停地申请内存,以满足大量的用户访问需求,这样就会导致设备的内存无法满足大量的访问需求,而造成内存不足。
由于设备在内存不足时可能会出现宕机等情况,为了确定设备出现内存不足的原因是否是由于遭受攻击而导致的,所以,在设备出现内存不足时,设备进入到相应的处理流程,即获取当前连接数量,当前连接数量是指当前与设备建立传输控制协议(TransmissionControl Protocol,TCP)连接的客户端的数量,因为通常情况下是因为有大量的连接而不断地请求设备的内存,针对正常的连接请求报文,设备在对其进行响应后,可自动释放相应的内存,而异常的连接请求报文,由于客户端无法响应,所以设备无法正常释放内存,这时设备由于不停地申请内存,从而出现内存不足的情况,而出现大量的异常的连接请求报文可能是由于有客户端对设备进行攻击而产生的,所以还可以分析当前连接数量是否过大,根据连接数量判断是否是受到了客户端的攻击而产生大量连接的情况。
步骤S120:在所述当前连接数量超过设定数量时,根据接收到的连接请求报文确定异常客户端。
在判断当前连接数量超过设定数量时,则认为设备可能是遭受了客户端的攻击而产生了大量的连接,此时可以通过分析接收到的连接请求报文来确定异常客户端,异常客户端则认为是对设备进行攻击的攻击客户端。
在一些实施方式中,可以从接收到的连接请求报文中筛选出请求的窗口值大于设定值的目标连接请求报文,若目标连接请求报文中有超过预设比例的报文来自同一客户端,则确定该客户端为异常客户端。这样可以快速找出更多的异常客户端。
例如,设备可以将各个客户端发送的连接请求报文保存在存储器中,在当前连接数量大于设定数量时,则可以调用存储器中存储的连接请求报文,然后获取各个连接请求报文中携带的请求的窗口值,窗口值是指在建立TCP连接时,设备允许客户端发送的数据量。原则上各个客户端需按照设备允许的窗口值来发送报文,但是有的客户端为了攻击设备,所以在连接请求报文中携带的数据量较多,超过了设备允许的窗口值,所以可以将这部分客户端查找出来。即查找窗口值大于设定值的目标连接请求报文,其中,设定值即是指设备允许的设定窗口值,目标连接请求报文对应的客户端则可认为是异常客户端。
其中,若目标连接请求报文有多个时,则可认为各个目标连接请求报文对应的客户端均为异常客户端,则可对这些异常客户端分别进行攻击类型分析,进而获得对应的防御方式。
当然,为了更准确地识别异常客户端,避免误判,还可以在目标连接请求报文中有超过预设比例的报文来自同一客户端时,才认为该客户端为异常客户端。
其中,预设比例可以根据实际需求灵活配置,如预设比例可以为50%,比如目标连接请求报文有50个,若其中有超过25个目标连接请求报文是同一个客户端发的,则认为该客户端才是异常客户端,其余目标连接请求报文对应的客户端则认为是正常客户端。
在另一些实施方式中,为了避免漏检,还可以直接根据连接请求报文的数量来确定异常客户端,例如设备可以获取各个连接请求报文中携带的源IP地址,然后统计同一源IP地址的连接请求报文的数量,若同一源IP地址的连接请求报文的数量超过预设数量(预设数量可以根据实际需求灵活设置),则认为该源IP地址对应的客户端发起的连接请求较多,可能为异常客户端,此时则可确定该源IP地址对应的客户端为异常客户端。
步骤S130:分析所述异常客户端的攻击类型,并根据所述攻击类型确定对应的防御方式。
为了对异常客户端进行针对性防御,在确定异常客户端后,还需要分析异常客户端的攻击类型,攻击类型可以包括篡改消息的攻击、伪造攻击、拒绝服务攻击、被动攻击、节点攻击等,这样针对不同的攻击类型可以采用不同的防御方式进行防御。
设备中可以预先存储有不同的攻击类型与防御方式的对应关系,这样在分析出异常客户端的攻击类型后,可通过查找对应关系来获得攻击类型对应的防御方式。
在一些实施方式中,防御方式可包括:拒绝或限制指定源地址的请求、拒绝或限制指定目的地址的请求、拒绝或限制指定目的端口的请求、设置源认证策略、加入黑名单、输出告警信息、限制请求报文的大小、限制请求的窗口值的大小中的至少两种。
可以理解地,一种攻击类型可以对应多种防御方式,即针对异常客户端的攻击类型,若预先配置有对应的多种防御方式,则可以获得多种防御方式,后续可利用多种防御方式对异常客户端进行攻击防御。
步骤S140:利用所述防御方式对所述异常客户端进行攻击防御。
在获得对异常客户端的防御方式后,则可利用防御方式对异常客户端进行攻击防御。例如,若防御方式为加入黑名单,则可将异常客户端的IP地址加入黑名单,后续若接收到来自该IP地址的访问请求时,则直接拒绝请求;若防御方式为拒绝或限制指定源地址的请求,则后续在接收到来自指定源地址的请求报文时,则拒绝响应,或者限制其请求的数量;若防御方式为设置源认证策略,源认证策略可以是指采用相应的策略对异常客户端发送的报文进行认证,以确认其发送的报文是否合法,这种防御方式可针对是疑似攻击行为的异常客户端进行配置,例如,在确定异常客户端时,该异常客户端发送的连接请求报文数量虽然超过一定数量,但是其窗口值并没有超过设定窗口值,此时可以认为该异常客户端的攻击行为为疑似攻击行为,危险程度相对较小,为了避免直接对其拒绝访问,则可以为其配置源认证策略。
在上述实现过程中,在检测到设备出现内存不足时,获取当前连接数量,若当前连接数量超过设定数量,则表明设备是由于接收到大量的连接请求而不停申请内存导致出现内存不足,此时可根据接收到的连接请求报文确定异常客户端,然后分析异常客户端的攻击类型,并根据攻击类型确定对应的防御方式,这样就可以避免异常客户端因规避防御方式而改变攻击类型,设备采用统一的防御方式对其则不能达到防御效果的问题,所以,本申请可以自动识别异常客户端,然后针对不同的攻击类型采用不同的防御方式对异常客户端进行针对性地攻击防御,可达到较好的防御效果。
在上述实施例的基础上,在分析异常客户端的攻击类型的方式中,还可以获取异常客户端发送的连接请求信息,然后根据连接请求信息来确定异常客户端的攻击类型。
例如,设备可以从连接请求报文中获取相应的连接请求信息,连接请求信息可以包括五元组信息,如源IP地址、目的IP地址、源端口、目的端口和协议类型。然后可以判断五元组信息是否为不可达地址信息,若是,则确定异常客户端的攻击类型为伪造信息攻击。
例如,设备可以分析五元组信息中的源IP地址、目的IP地址、源端口、目的端口或协议类型是否为不可达地址信息,不可达地址信息是指这些信息不是真实的地址信息,是客户端伪造的,例如,连接请求信息中的IP地址并不在预设地址范围内、端口号也不在预设端口号范围内,和/或,协议类型也不是准确的协议类型,或者若五元组信息中的目的IP地址不是设备的IP地址,和/或目的端口号不是设备上的端口号,则认为五元组信息是不可达信息,是客户端伪造的。其中,预设地址范围和预设端口号范围可以是预先保存在设备中的,这样设备可以直接进行比对。
在上述实现过程中,根据连接请求信息确定异常客户端的攻击类型,由于连接请求信息可以从异常客户端发送的连接请求报文中获取,所以可以快速分析出异常客户端的攻击类型。
在上述实施例的基础上,连接请求信息还可以包括异常客户端对应的请求的窗口值,在判断异常客户端的攻击类型时,可以先判断窗口值是否在预设数值范围内,若否,则判断是否接收到异常客户端针对设备的响应报文反馈的应答报文,其中响应报文为设备针对异常客户端的连接请求报文的响应报文,若没有接收到应答报文,则确定异常客户端的攻击类型为拒绝服务攻击。
例如,设备可以根据异常客户端的连接请求报文的数据量来获取对应的窗口值,如果窗口值未在预设数值范围内(预设数值范围也可以根据实际需求灵活设置),则认为其客户端发送了窗口值很大的连接请求报文,设备在接收到窗口值很大的连接请求报文后,会发送响应报文给客户端,若客户端是攻击客户端,则客户端不会对设备发送的响应报文进行应答,若设备没有接收到异常客户端的应答,则认为异常客户端的攻击类型为拒绝服务攻击。
或者,设备在设定时间内未接收到异常客户端的应答报文时,则会再次发送响应报文,若有超过预设次数的响应报文均为收到对应的应答报文,或者若在预设时间段内发送的响应报文均未收到对应的应答报文,则认为异常客户端的攻击类型为拒绝服务攻击。
可以理解地,在分析其他攻击类型时,也可以根据相应的信息来进行分析,如通过一监控服务器可以统计异常客户端是否也在向其他设备发送连接请求报文,如果是,则向设备发送相应的提示信息,此时设备可认为异常客户端的攻击类型为节点攻击(即向多个设备都发送连接请求报文,攻击范围广)。
在上述实施例的基础上,在确定异常客户端后,为了确保安全,还可以删除为异常客户端所创建的连接,并释放连接所占用的内存,可能由于内存释放,使得设备解除内存不足的情况而进行正常运行。而若没有确定出异常客户端,此时设备又出现了内存不足的情况,则设备可以自动重启,以确保设备能够正常运行,如此可避免因为内存不足而出现卡死无法继续工作的情况。
在上述实施例的基础上,在根据攻击类型确定对应的防御方式时,还可以先确定攻击类型的危险程度,然后根据危险程度在存储的多种防御方式中查找与其危险程度匹配的防御方式。
其中,设备可预先为各种攻击类型配置了不同的危险程度,并且为不同的防御方式配置了对应的安全防御程度,即不同的防御方式对应的安全防御程度不同。例如,攻击类型为伪造消息攻击对应的危险程度最高,应该采用安全防御程度更高的防御方式进行防御,如采用拒绝源地址的请求的防御方式,而攻击类型为节点攻击对应的危险程度相对较低,则可以采用安全防御程度较低的防御方式进行防御,如限制请求报文的大小,这样就可以针对不同危险程度的攻击类型,采用匹配的安全防御程度的防御方式进行防御,实现更针对性的攻击防御。
其中,危险程度和安全防御程度可以采用数值来表示,如数值越大表示危险程度越大,数值越大表示安全防御程度越高,这样可以通过查找与危险程度的数值匹配的数值的安全防御程度的防御方式,依次来获得异常客户端的攻击类型对应的防御方式。如此可针对危险程度高的攻击类型可以采用安全性更高的防御方式进行防御,安全性更高。
另外,若在集群中存在大量的设备,则可以由监控服务器来针对每个设备下发对应的防御方式,例如,各个设备可以向监控服务器发送其接收到的连接请求报文,监控服务器可以通过分析连接请求报文来获得有关联的多个设备,如将接收到相同的连接请求报文的设备认为是有关联的设备,这些设备可以认为是遭受了相同客户端的攻击,则监控服务器可以根据攻击类型找到对应的防御方式后,可以批量向多个关联的设备发送对应的防御方式,这样多个关联的设备就无需分别对攻击类型进行分析以获得对应的防御方式,节约资源。并且,多个关联的设备可以形成对同一异常客户端的联合防御,能够确保该异常客户端不会在对这些设备造成攻击。
或者监控服务器也可以向集群中的所有设备均下发针对该异常客户端的防御方式,这样即使有的设备当前没有受到该异常客户端的攻击,也可以利用防御方式防止异常客户端后续对设备进行攻击的情况。
在另一些实施方式中,若该出现内存不足的设备是集群中的其中一个设备,则该设备在获得针对异常客户端的防御方式后,还可以将防御方式以及异常客户端的信息共享给集群内的其他设备,设备可以获取其他设备共享的防御方式和异常客户端的信息。集群内的设备可以处于同一子网内,例如均在一个机房内,这样设备可以将防御方式快速共享给其他设备,使得其他设备可以提前部署防御方式,进而避免异常客户端的攻击。
当然,异常客户端可能只是随意选择设备进行攻击,并不会攻击集群内所有的设备,所以有的设备可能并不会受到异常客户端的攻击,进而其接收到的防御方式并不会启用。这种情况下,设备可在获得异常客户端的防御方式后,将该防御方式和异常客户端的信息存储在一个共享池中,该共享池可以位于监控服务器中,这样在其他设备后续在确定了异常客户端后,可在共享池中请求是否有针对该异常客户端的防御方式(因为同一客户端的攻击类型可能相同),如果有,则监控服务器可从共享池中获取对应的防御方式,并发送给该设备,这样也无需该设备重新对异常客户端的攻击类型进行分析,只需要一个设备进行分析即可,可快速实现防御方式的部署。
在一些实施方式中,若集群中的某个设备接收到了大量来自同一客户端的连接请求报文,此时,该设备若需要对连接请求报文进行分析其客户端是否为异常客户端,而分析大量的连接请求报文需要消耗过多的资源,此时设备可向监控服务器请求其他比较空闲的设备来协助进行分析,监控服务器则可获取集群中各个设备的负载,然后选择负载最小的目标设备,然后通知给需要协助的设备,此时设备就可以将连接请求报文发送给目标设备,由目标设备来协助进行分析后,将获得的分析结果发送给设备即可,这样可以避免设备由于要处理大量的连接请求报文而导致宕机的情况。
请参照图2,图2为本申请实施例提供的一种攻击防御装置200的结构框图,该装置200可以是电子设备上的模块、程序段或代码。应理解,该装置200与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
数据获取模块210,用于在检测到设备出现内存不足时,获取当前连接数量;
异常分析模块220,用于在所述当前连接数量超过设定数量时,根据接收到的连接请求报文确定异常客户端;
防御分析模块230,用于分析所述异常客户端的攻击类型,并根据所述攻击类型确定对应的防御方式;
攻击防御模块240,用于利用所述防御方式对所述异常客户端进行攻击防御。
可选地,所述防御分析模块230,用于获取所述异常客户端发送的连接请求信息;根据所述连接请求信息确定所述异常客户端的攻击类型。
可选地,所述连接请求信息包括五元组信息;所述防御分析模块230,用于判断所述五元组信息是否为不可达地址信息;若是,则确定所述异常客户端的攻击类型为伪造信息攻击。
可选地,所述连接请求信息包括所述异常客户端对应的请求的窗口值,所述防御分析模块230,用于判断所述窗口值是否在预设数值范围内;若否,则判断是否接收到所述异常客户端针对所述设备的响应报文反馈的应答报文;其中,所述响应报文为所述设备针对所述异常客户端的连接请求报文的响应报文;若没有接收到所述应答报文,则确定所述异常客户端的攻击类型为拒绝服务攻击。
可选地,所述防御分析模块230,用于确定所述攻击类型的危险程度;根据所述危险程度在存储的多种防御方式中查找与其危险程度匹配的防御方式。
可选地,所述多种防御方式包括:拒绝或限制指定源地址的请求、拒绝或限制指定目的地址的请求、拒绝或限制指定目端口的请求、设置源认证策略、加入黑名单、输出告警信息、限制请求报文的大小、限制请求的窗口值的大小中的至少两种,每种防御方式对应的安全防御程度不同。
可选地,所述异常分析模块220,用于从接收到的连接请求报文中筛选出请求的窗口值大于设定值的目标连接请求报文;若所述目标连接请求报文中有超过预设比例的报文来自同一客户端,则确定该客户端为异常客户端。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图3,图3为本申请实施例提供的一种用于执行防御攻击方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器310,例如CPU,至少一个通信接口320,至少一个存储器330和至少一个通信总线340。其中,通信总线340用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口320用于与其他节点设备进行信令或数据的通信。存储器330可以是高速RAM存储器,也可以是非易失性的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器330可选的还可以是至少一个位于远离前述处理器的存储装置。存储器330中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器310执行时,电子设备执行上述图1所示方法过程。
可以理解,图3所示的结构仅为示意,所述电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图1所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:在检测到设备出现内存不足时,获取当前连接数量;在所述当前连接数量超过设定数量时,根据接收到的连接请求报文确定异常客户端;分析所述异常客户端的攻击类型,并根据所述攻击类型确定对应的防御方式;利用所述防御方式对所述异常客户端进行攻击防御。
综上所述,本申请实施例提供一种攻击防御方法、装置、电子设备及存储介质,在检测到设备出现内存不足时,获取当前连接数量,若当前连接数量超过设定数量,则表明设备是由于接收到大量的连接请求而不停申请内存导致出现内存不足,此时可根据接收到的连接请求报文确定异常客户端,然后分析异常客户端的攻击类型,并根据攻击类型确定对应的防御方式,这样就可以避免异常客户端因规避防御方式而改变攻击类型,设备采用统一的防御方式对其则不能达到防御效果的问题,所以,本申请可以自动识别异常客户端,然后针对不同的攻击类型采用不同的防御方式对异常客户端进行针对性地攻击防御,可达到较好的防御效果。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种攻击防御方法,其特征在于,所述方法包括:
在检测到设备出现内存不足时,获取当前连接数量;
在所述当前连接数量超过设定数量时,根据接收到的连接请求报文确定异常客户端;
分析所述异常客户端的攻击类型,并根据所述攻击类型确定对应的防御方式;
利用所述防御方式对所述异常客户端进行攻击防御;
其中,所述根据接收到的连接请求报文确定异常客户端,包括:
从接收到的连接请求报文中筛选出请求的窗口值大于设定值的目标连接请求报文;
若所述目标连接请求报文中有超过预设比例的报文来自同一客户端,则确定该客户端为异常客户端。
2.根据权利要求1所述的方法,其特征在于,所述分析所述异常客户端的攻击类型,包括:
获取所述异常客户端发送的连接请求信息;
根据所述连接请求信息确定所述异常客户端的攻击类型。
3.根据权利要求2所述的方法,其特征在于,所述连接请求信息包括五元组信息;所述根据所述连接请求信息确定所述异常客户端的攻击类型,包括:
判断所述五元组信息是否为不可达地址信息;
若是,则确定所述异常客户端的攻击类型为伪造信息攻击。
4.根据权利要求2所述的方法,其特征在于,所述连接请求信息包括所述异常客户端对应的请求的窗口值,所述根据所述连接请求信息确定所述异常客户端的攻击类型,包括:
判断所述窗口值是否在预设数值范围内;
若否,则判断是否接收到所述异常客户端针对所述设备的响应报文反馈的应答报文;其中,所述响应报文为所述设备针对所述异常客户端的连接请求报文的响应报文;
若没有接收到所述应答报文,则确定所述异常客户端的攻击类型为拒绝服务攻击。
5.根据权利要求1所述的方法,其特征在于,所述根据所述攻击类型确定对应的防御方式,包括:
确定所述攻击类型的危险程度;
根据所述危险程度在存储的多种防御方式中查找与其危险程度匹配的防御方式。
6.根据权利要求5所述的方法,其特征在于,所述多种防御方式包括:拒绝或限制指定源地址的请求、拒绝或限制指定目的地址的请求、拒绝或限制指定目端口的请求、设置源认证策略、加入黑名单、输出告警信息、限制请求报文的大小、限制请求的窗口值的大小中的至少两种,每种防御方式对应的安全防御程度不同。
7.一种攻击防御装置,其特征在于,所述装置包括:
数据获取模块,用于在检测到设备出现内存不足时,获取当前连接数量;
异常分析模块,用于在所述当前连接数量超过设定数量时,根据接收到的连接请求报文确定异常客户端;
防御分析模块,用于分析所述异常客户端的攻击类型,并根据所述攻击类型确定对应的防御方式;
攻击防御模块,用于利用所述防御方式对所述异常客户端进行攻击防御;
其中,所述异常分析模块,具体用于从接收到的连接请求报文中筛选出请求的窗口值大于设定值的目标连接请求报文;若所述目标连接请求报文中有超过预设比例的报文来自同一客户端,则确定该客户端为异常客户端。
8.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-6任一所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-6任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111395076.5A CN114095258B (zh) | 2021-11-23 | 2021-11-23 | 攻击防御方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111395076.5A CN114095258B (zh) | 2021-11-23 | 2021-11-23 | 攻击防御方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114095258A CN114095258A (zh) | 2022-02-25 |
CN114095258B true CN114095258B (zh) | 2024-02-06 |
Family
ID=80303254
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111395076.5A Active CN114095258B (zh) | 2021-11-23 | 2021-11-23 | 攻击防御方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114095258B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114095258B (zh) * | 2021-11-23 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 攻击防御方法、装置、电子设备及存储介质 |
CN114826755B (zh) * | 2022-05-05 | 2023-12-01 | 烽火通信科技股份有限公司 | 一种防御网络恶意攻击的方法和装置 |
CN115396314B (zh) * | 2022-08-26 | 2024-04-26 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
CN115484098A (zh) * | 2022-09-15 | 2022-12-16 | 中国银行股份有限公司 | 一种登录认证处理方法、系统、存储介质及电子设备 |
CN117014232B (zh) * | 2023-10-07 | 2024-01-26 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572609A (zh) * | 2008-04-29 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 检测拒绝服务攻击的方法及其装置 |
CN102185858A (zh) * | 2011-05-06 | 2011-09-14 | 山东中创软件商用中间件股份有限公司 | 一种应用于应用层的web入侵防御方法及系统 |
WO2014040292A1 (zh) * | 2012-09-17 | 2014-03-20 | 华为技术有限公司 | 攻击防范方法和设备 |
CN105491063A (zh) * | 2015-12-30 | 2016-04-13 | 深圳市深信服电子科技有限公司 | 防御网络入侵的方法及装置 |
CN108632224A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
KR101918441B1 (ko) * | 2018-01-16 | 2018-11-13 | 전남대학교산학협력단 | 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템 |
CN110275508A (zh) * | 2019-05-08 | 2019-09-24 | 西安电子科技大学 | 车载can总线网络异常检测方法及系统 |
CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
KR102186127B1 (ko) * | 2020-05-11 | 2020-12-03 | (주)케이엔비씨 | 해킹 방지용 모의 훈련 방법, 이를 구현하기 위한 프로그램이 저장된 기록매체 및 이를 구현하기 위해 매체에 저장된 컴퓨터프로그램 |
WO2021008028A1 (zh) * | 2019-07-18 | 2021-01-21 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
CN112437077A (zh) * | 2020-11-19 | 2021-03-02 | 迈普通信技术股份有限公司 | 第三方arp攻击、异常处理方法、vrrp网络及系统 |
CN114095258A (zh) * | 2021-11-23 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 攻击防御方法、装置、电子设备及存储介质 |
-
2021
- 2021-11-23 CN CN202111395076.5A patent/CN114095258B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572609A (zh) * | 2008-04-29 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 检测拒绝服务攻击的方法及其装置 |
CN102185858A (zh) * | 2011-05-06 | 2011-09-14 | 山东中创软件商用中间件股份有限公司 | 一种应用于应用层的web入侵防御方法及系统 |
WO2014040292A1 (zh) * | 2012-09-17 | 2014-03-20 | 华为技术有限公司 | 攻击防范方法和设备 |
CN105491063A (zh) * | 2015-12-30 | 2016-04-13 | 深圳市深信服电子科技有限公司 | 防御网络入侵的方法及装置 |
CN108632224A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
KR101918441B1 (ko) * | 2018-01-16 | 2018-11-13 | 전남대학교산학협력단 | 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템 |
CN110275508A (zh) * | 2019-05-08 | 2019-09-24 | 西安电子科技大学 | 车载can总线网络异常检测方法及系统 |
WO2021008028A1 (zh) * | 2019-07-18 | 2021-01-21 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
KR102186127B1 (ko) * | 2020-05-11 | 2020-12-03 | (주)케이엔비씨 | 해킹 방지용 모의 훈련 방법, 이를 구현하기 위한 프로그램이 저장된 기록매체 및 이를 구현하기 위해 매체에 저장된 컴퓨터프로그램 |
CN112437077A (zh) * | 2020-11-19 | 2021-03-02 | 迈普通信技术股份有限公司 | 第三方arp攻击、异常处理方法、vrrp网络及系统 |
CN114095258A (zh) * | 2021-11-23 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 攻击防御方法、装置、电子设备及存储介质 |
Non-Patent Citations (3)
Title |
---|
半监督流形正则化算法检测应用层DDoS攻击研究;康松林;樊晓平;刘楚楚;李宏;安隆熙;;中南大学学报(自然科学版)(第12期);全文 * |
基于大数据分析的校园电子邮件异常行为检测技术研究;杨加;李笑难;张扬;马皓;张蓓;;通信学报(第S1期);全文 * |
常见拒绝服务攻击简析及防范;吴小丹;;信息与电脑(理论版)(第09期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114095258A (zh) | 2022-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114095258B (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
US7373666B2 (en) | Distributed threat management | |
AU2004289001B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
CN101064597B (zh) | 网络安全设备以及使用该网络安全设备处理包数据的方法 | |
CN107579995A (zh) | 车载系统的网络防护方法及装置 | |
CN112565300B (zh) | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 | |
US20150026806A1 (en) | Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack | |
KR101268104B1 (ko) | 침입방지시스템 및 그 제어방법 | |
CN112152972A (zh) | 检测iot设备漏洞的方法和装置、路由器 | |
CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
CN112153036B (zh) | 一种基于代理服务器的安全防御方法及系统 | |
CN112422501B (zh) | 正反向隧道防护方法、装置、设备及存储介质 | |
JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
CN112543177A (zh) | 一种网络攻击检测方法及装置 | |
CN114629689B (zh) | Ip地址欺诈行为识别方法、装置、计算机设备和存储介质 | |
CN116015876B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
CN108924158A (zh) | 一种监测物联网设备网络安全的方法及装置 | |
CN114826741B (zh) | 一种攻击监测系统及攻击监测方法 | |
CN111031062B (zh) | 带自学习的工业控制系统全景感知监测方法、装置和系统 | |
CN106790142A (zh) | 一种发现IoT设备遭受入侵的方法及系统 | |
CN112995174A (zh) | 基于snort的入侵防御系统 | |
CN118300802A (zh) | 一种数据包状态检测方法、装置、存储介质及电子设备 | |
CN115913693A (zh) | 网络安全防护方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |