CN114338120A - 一种扫段攻击检测方法、装置、介质和电子设备 - Google Patents
一种扫段攻击检测方法、装置、介质和电子设备 Download PDFInfo
- Publication number
- CN114338120A CN114338120A CN202111590607.6A CN202111590607A CN114338120A CN 114338120 A CN114338120 A CN 114338120A CN 202111590607 A CN202111590607 A CN 202111590607A CN 114338120 A CN114338120 A CN 114338120A
- Authority
- CN
- China
- Prior art keywords
- address
- traffic
- flow
- similarity
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 72
- 230000002159 abnormal effect Effects 0.000 claims abstract description 153
- 238000012544 monitoring process Methods 0.000 claims abstract description 107
- 238000000034 method Methods 0.000 claims abstract description 37
- 230000003442 weekly effect Effects 0.000 claims abstract description 17
- 230000005540 biological transmission Effects 0.000 claims description 43
- 238000010408 sweeping Methods 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 claims description 11
- 230000000737 periodic effect Effects 0.000 claims description 9
- 230000002547 anomalous effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 12
- 230000003321 amplification Effects 0.000 description 9
- 238000003199 nucleic acid amplification method Methods 0.000 description 9
- 238000012935 Averaging Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种扫段攻击检测方法、装置、介质和电子设备,涉及计算机网络安全技术领域。该方法,基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,所述目标IP地址信息包括异常流量的IP地址;确定各所述异常流量的IP地址的周期间流量增长是否具有相似性特征;所述周期间流量增长为所述当前监测周期与所述当前监测周期的上一个监测周期相比的流量的增加量;针对所述当前监测周期,基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击。该方法能够实现准确确定异常流量的IP地址并对应地进行流量增量的剖析,可以有效地检出是否发生扫段攻击并提高检测准确率。
Description
技术领域
本申请实施例涉及计算机网络安全技术领域,尤其涉及一种扫段攻击检测方法、装置、介质和电子设备。
背景技术
与一般的攻击某个服务或者某个互联网协议IP(Internet Protocol)地址的DDoS(Distributed Denial of Service,分布式拒绝服务)攻击不一样,扫段攻击主要是针对IDC(Internet Data Center,互联网数据中心)服务商,通常IDC服务商下包含多个IP地址,而攻击者通常在发动攻击前期通过扫描或者其他渠道,获取到某IDC服务商下的IP地址段范围。扫段攻击不是针对某个IP地址或者某个服务发送DDoS攻击,而是对IDC服务商下的一大段IP地址同时或者顺序地发起DDoS攻击,同时攻击时,每个目标IP地址的攻击流量较小,但是全部加在一起就很大,而顺序攻击时,每个目标IP地址遭受的攻击流量很大,但是持续的时间很短。
攻击者对IDC服务商的IP地址进行DDoS攻击,通常会根据攻击目标(目标IP地址变化),攻击时长,攻击频率等不断的变化,这给传统的DDoS攻击的检测带来了新的挑战。
相关技术的DDoS攻击检测技术,通常是通过检测IDC服务商总流量超限的方式去应对扫段攻击,容易出现漏检或由错检导致的流量误杀,无法真正检出是否发生扫段攻击。
发明内容
本申请实施例提供了一种扫段攻击检测方法、装置、介质和电子设备,可以有效检出是否发生扫段攻击并提高检测准确率。
为达到上述目的,本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种扫段攻击检测方法,包括:
基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,所述目标IP地址信息包括异常流量的IP地址;
确定各所述异常流量的IP地址的周期间流量增长是否具有相似性特征;所述周期间流量增长为所述当前监测周期与所述当前监测周期的上一个监测周期相比的流量的增加量;
针对所述当前监测周期,基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击。
本申请实施例提供的扫段攻击检测方法,基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,所述目标IP地址信息包括异常流量的IP地址;确定各所述异常流量的IP地址的周期间流量增长是否具有相似性特征;所述周期间流量增长为所述当前监测周期与所述当前监测周期的上一个监测周期相比的流量的增加量;针对所述当前监测周期,基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击。该方法能够通过预设的互联网数据中心的IP地址集合的基准流量特征排除流量正常波动的IP地址,对异常流量的IP地址的当前监测周期对比上个监测周期的流量增加量进行相似性特征的分析,基于相似性特征判定是否发生扫段攻击,实现准确地确定异常流量的IP地址并对应地进行流量增量的剖析,可以有效地检出是否发生扫段攻击并提高检测准确率。
在一种可选的实施例中,所述目标IP地址信息还包括异常流量的IP地址数量;所述相似性特征为第一相似性特征;若各所述异常流量的IP地址的所述周期间流量增长,均存在满足第一判定条件的同一个预设的目标协议组成,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第一相似性特征;所述第一判定条件为在所述周期间流量增长中,所述目标协议组成对应的流量的增加量的占比超过预设的第一比例阈值;
所述基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击,包括:
若确定各所述异常流量的IP地址的所述周期间流量增长具有所述第一相似性特征且所述异常流量的IP地址数量超过预设的IP地址阈值,则判断所述互联网数据中心遭受扫段攻击。
在该实施例中,目标协议组成可以是常见的已知攻击特征中占主体的攻击报文的协议类型,例如,已知攻击特征可以是同步报文洪水攻击SYN Flood(Synchronizationcharacter Flood),确认字符洪水攻击ACK Flood(Acknowledge character Flood),用户数据报协议洪水攻击UDP Flood(User Datagram Protocol Flood),与之相对应的攻击报文的协议类型可以是同步字符SYN报文、确认字符ACK报文、用户数据报协议UDP报文。该方法可以通过目标协议组成快速地精准匹配常见的已知攻击特征,可以进一步提升扫段攻击的检出率和正确率,从而有效地检出是否发生扫段攻击并提高检测准确率。
在一种可选的实施例中,所述目标IP地址信息还包括传输持续时长;所述传输持续时长为所述当前监测周期内,在对应的所述异常流量的IP地址的数据流的数据流持续时间中,数据流数量的占比最大的所述数据流持续时间;所述相似性特征包括第二相似性特征和第三相似性特征;若各所述异常流量的IP地址的所述周期间流量增长,均存在满足第二判定条件的同一个流量参数,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第二相似性特征;所述第二判定条件为在所述周期间流量增长中,所述同一个所述流量参数对应的流量的增加量的占比超过预设的第二比例阈值;若IP地址细分组的流量增长值的均值分别与对应的所述传输持续时长的比值均相同,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第三相似性特征,其中所述IP地址细分组是基于各所述异常流量的IP地址的所述传输持续时长,对各所述异常流量的IP地址的所述周期间流量增长的流量增长值进行划分得到的;
所述基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击,包括:
若确定各所述异常流量的IP地址的所述周期间流量增长具有所述第二相似性特征和所述第三相似性特征,则判断所述互联网数据中心遭受扫段攻击。
在该实施例中,通过表征异常流量的IP地址的所述周期间流量增长的流量组成相似性的第二相似性特征,以及表征异常流量的IP地址的所述周期间流量增长的流量增长值相似性的第三相似性特征相结合,判断所述互联网数据中心是否遭受扫段攻击,实现了准确地确定异常流量的IP地址并对应地进行流量增量的多维分析,可以进一步提升扫段攻击的检出率和正确率,有效地检出是否发生扫段攻击并提高检测准确率。
在一种可选的实施例中,所述流量参数为协议类型数据、源端口数据或源IP地址数据。
在该实施例中,流量参数为协议类型数据、源端口数据或源IP地址数据。该方法通过以协议类型数据、源端口数据或源IP地址数据为流量参数,可以识别出流量组成相似性,可以匹配潜在的未知新型攻击特征,可以进一步提升扫段攻击的检出率和正确率,有效地检出是否发生扫段攻击并提高检测准确率。
在一种可选的实施例中,所述方法还包括:
针对所述当前监测周期,若确定只具有所述第二相似性特征,或只具有所述第三相似性特征,则判断所述互联网数据中心遭受疑似扫段攻击。
在该实施例中,若仅监测到表征异常流量的IP地址的所述周期间流量增长的流量组成相似性的第二相似性特征,或仅监测到表征异常流量的IP地址的所述周期间流量增长的流量增长值相似性的第三相似性特征,判断所述互联网数据中心遭受疑似扫段攻击,实现了对扫段攻击的更宽范围的检测,提升扫段攻击的检测效率,有效地检出是否发生扫段攻击并提高检测准确率。
在一种可选的实施例中,所述基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息之前,所述方法还包括:
基于路由器上传的IP地址别流量数据、预设的基线时间区间和统计周期,建立所述互联网数据中心的IP地址集合的所述基准流量特征;所述基准流量特征包括IP地址集合总流量基线、单IP地址流量基线、单IP地址流量协议组成基线、单IP地址流量地理组成基线中的部分或全部。
在该实施例中,基于路由器上传的IP地址别流量数据、预设的基线时间区间和统计周期,建立所述互联网数据中心的IP地址集合的所述基准流量特征。该方法可以构建互联网数据中心的正常状态的基准流量特征,从而使得能够基于基准流量特征进行异常流量的IP地址的识别及扫段攻击的检测,可以有效地检出是否发生扫段攻击并提高检测准确率。
在一种可选的实施例中,所述基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,包括:
若监测到所述当前监测周期的周期总流量,超过所述IP地址集合总流量基线中对应的所述统计周期的所述IP地址集合的总流量,则根据所述单IP地址流量基线、所述单IP地址流量协议组成基线和所述单IP地址流量地理组成基线,确定所述当前监测周期的所述目标IP地址信息。
在该实施例中,若监测到所述当前监测周期的周期总流量,超过所述IP地址集合总流量基线中对应的所述统计周期的所述IP地址集合的总流量,则根据所述单IP地址流量基线、所述单IP地址流量协议组成基线和所述单IP地址流量地理组成基线,确定所述当前监测周期的所述目标IP地址信息。该方法,将当前监测周期的总流量超过IP地址集合总流量基线的基线值作为扫段攻击检测的触发条件,若已超过IP地址集合总流量基线的基线值,即开始检测,可以降低扫段攻击检测过程的计算量,进一步提升扫段攻击的检测效率,有效地检出是否发生扫段攻击并提高检测准确率。
第二方面,本申请实施例还提供了一种扫段攻击检测装置,包括:
异常IP地址识别模块,用于基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,所述目标IP地址信息包括异常流量的IP地址;
相似性分析模块,用于确定各所述异常流量的IP地址的周期间流量增长是否具有相似性特征;所述周期间流量增长为所述当前监测周期与所述当前监测周期的上一个监测周期相比的流量的增加量;
扫段攻击判断模块,用于针对所述当前监测周期,基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击。
在一种可选的实施例中,所述目标IP地址信息还包括异常流量的IP地址数量;所述相似性特征为第一相似性特征;
所述相似性分析模块,具体用于:若各所述异常流量的IP地址的所述周期间流量增长,均存在满足第一判定条件的同一个预设的目标协议组成,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第一相似性特征;所述第一判定条件为在所述周期间流量增长中,所述目标协议组成对应的流量的增加量的占比超过预设的第一比例阈值;
所述扫段攻击判断模块,具体用于:
若确定各所述异常流量的IP地址的所述周期间流量增长具有所述第一相似性特征且所述异常流量的IP地址数量超过预设的IP地址阈值,则判断所述互联网数据中心遭受扫段攻击。
在一种可选的实施例中,所述目标IP地址信息还包括传输持续时长;所述传输持续时长为所述当前监测周期内,在对应的所述异常流量的IP地址的数据流的数据流持续时间中,数据流数量的占比最大的所述数据流持续时间;所述相似性特征包括第二相似性特征和第三相似性特征;
所述相似性分析模块,具体用于:
若各所述异常流量的IP地址的所述周期间流量增长,均存在满足第二判定条件的同一个流量参数,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第二相似性特征;所述第二判定条件为在所述周期间流量增长中,所述同一个所述流量参数对应的流量的增加量的占比超过预设的第二比例阈值;
若IP地址细分组的流量增长值的均值分别与对应的所述传输持续时长的比值均相同,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第三相似性特征,其中所述IP地址细分组是基于各所述异常流量的IP地址的所述传输持续时长,对各所述异常流量的IP地址的所述周期间流量增长的流量增长值进行划分得到的;
所述扫段攻击判断模块,具体用于:
若确定各所述异常流量的IP地址的所述周期间流量增长具有所述第二相似性特征和所述第三相似性特征,则判断所述互联网数据中心遭受扫段攻击。
在一种可选的实施例中,所述流量参数为协议类型数据、源端口数据或源IP地址数据。
在一种可选的实施例中,所述扫段攻击判断模块,还用于:
针对所述当前监测周期,若确定只具有所述第二相似性特征,或只具有所述第三相似性特征,则判断所述互联网数据中心遭受疑似扫段攻击。
在一种可选的实施例中,所述装置还包括:
基线特征构建模块,用于基于路由器上传的IP地址别流量数据、预设的基线时间区间和统计周期,建立所述互联网数据中心的IP地址集合的所述基准流量特征;所述基准流量特征包括IP地址集合总流量基线、单IP地址流量基线、单IP地址流量协议组成基线、单IP地址流量地理组成基线中的部分或全部。
在一种可选的实施例中,所述异常IP地址识别模块,具体用于:
若监测到所述当前监测周期的周期总流量,超过所述IP地址集合总流量基线中对应的所述统计周期的所述IP地址集合的总流量,则根据所述单IP地址流量基线、所述单IP地址流量协议组成基线和所述单IP地址流量地理组成基线,确定所述当前监测周期的所述目标IP地址信息。
第三方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现第一方面的扫段攻击检测方法。
第四方面,本申请实施例还提供了一种电子设备,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器实现第一方面的扫段攻击检测方法。
第二方面至第四方面中任意一种实现方式所带来的技术效果可参见第一方面中对应的实现方式所带来的技术效果,此处不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种扫段攻击检测方法的流程示意图;
图2为本申请实施例提供的一种IP地址集合总流量基线的示意图;
图3为本申请实施例提供的一种单IP地址流量基线的示意图;
图4为本申请实施例提供的一种单IP地址流量协议组成基线的示意图;
图5为本申请实施例提供的一种单IP地址流量地理组成基线的示意图;
图6为本申请实施例提供的另一种扫段攻击检测方法的流程示意图;
图7为本申请实施例提供的一种扫段攻击检测装置的结构示意图;
图8为本申请实施例提供的另一种扫段攻击检测装置的结构示意图;
图9为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
需要说明的是,本申请的文件中涉及的术语“包括”和“具有”以及它们的变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面对文中出现的一些词语进行解释:
(1)IDC(Internet Data Center,互联网数据中心):IDC是指一种拥有完善的设备(包括高速互联网接入带宽、高性能局域网络、安全可靠的机房环境等)、专业化的管理、完善的应用服务平台。在这个平台基础上,IDC服务商为客户提供互联网基础平台服务(服务器托管、虚拟主机、邮件缓存、虚拟邮件等)以及各种增值服务(场地的租用服务、域名系统服务、负载均衡系统、数据库系统、数据备份服务等)。
(2)DDoS:DDoS(Distributed Denial of Service,分布式拒绝服务)也称DDoS攻击,是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
(3)Netflow:Netflow是一种数据交换方式,其工作原理是:Netflow利用标准的交换模式处理数据流的第一个IP地址包数据,生成Netflow缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,Netflow缓存同时包含了随后数据流的统计信息。
(4)扫段攻击:扫段攻击是对一大段目标IP地址同时或顺序地实施DDoS攻击,同时攻击的情况下每个目标IP地址所受攻击流量较小,全部加一起则很大;顺序攻击时,每个目标IP地址遭受攻击流量很大,但持续的时间很短,短则3秒,长的超过30秒。也可以认为,扫段攻击是一系列关联的DDoS攻击事件的组合,但是攻击者会对攻击目标、攻击时长,攻击频度进行不断的变化。
(5)网络流:网络流(Flow),又称流,指在一段时间内,一个源IP地址和目的IP地址之间传输的单向报文流,所有报文具有相同的源端口号、目的端口号、协议号和源、目的IP地址,即五元组内容相同。
(6)异常流量的IP地址:本申请实施例中,异常流量IP地址是通过排除正常流量变化的源IP地址的干扰之后,得到的有异常流量的IP地址。异常流量的IP地址是指发生异常流量的源IP地址。其中,发生异常流量指该IP地址的当前监测周期内的以下任意一项流量数值,相对于对应的基准流量特征的基线中的基准数据,上下浮动超出预设的比例范围:流量数值、协议别的流量数值、访问地理属性别的流量数值。
与一般的攻击某个服务或者某个IP地址的DDoS(Distributed Denial ofService,分布式拒绝服务)攻击不一样,扫段攻击主要是针对IDC(Internet Data Center,互联网数据中心)服务商,通常IDC服务商下包含多个IP地址,而攻击者通常在发动攻击前期通过扫描或者其他渠道,获取到某IDC服务商下的IP地址段范围。扫段攻击不是针对某个IP地址或者某个服务发送DDoS攻击,而是对IDC服务商下的一大段IP地址同时或者顺序地发起DDoS攻击,同时攻击时,每个目标IP地址的攻击流量较小,但是全部加在一起就很大,而顺序攻击时,每个目标IP地址遭受的攻击流量很大,但是持续的时间很短。
攻击者对IDC服务商的IP地址进行DDoS攻击,通常会根据攻击目标(目标IP地址变化),攻击时长,攻击频率等不断的变化,这给传统的DDoS攻击的检测带来了新的挑战。
相关技术的DDoS攻击检测技术,通常是通过检测IDC服务商总流量超限的方式去应对扫段攻击,容易出现漏检或由错检导致的流量误杀,无法真正检出是否发生扫段攻击。
为解决现有存在的技术问题,本申请实施例提供了一种扫段攻击检测方法,基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,目标IP地址信息包括异常流量的IP地址;确定各异常流量的IP地址的周期间流量增长是否具有相似性特征;周期间流量增长为当前监测周期与当前监测周期的上一个监测周期相比的流量的增加量;针对当前监测周期,基于相似性特征,判断互联网数据中心是否遭受扫段攻击。该方法能够通过预设的互联网数据中心的IP地址集合的基准流量特征排除流量正常波动的IP地址,对异常流量的IP地址的当前监测周期对比上个监测周期的流量增加量进行相似性特征的分析,基于相似性特征判定是否发生扫段攻击,实现准确地确定异常流量的IP地址并对应地进行流量增量的剖析,可以有效地检出是否发生扫段攻击并提高检测准确率。
下面将结合附图,对本申请实施例提供的技术方案进行详细说明。
本申请实施例提供了一种扫段攻击检测方法,如图1所示,包括如下步骤:
步骤S101,基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息;目标IP地址信息包括异常流量的IP地址。
具体实施时,检测设备基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息。基准流量特征是预设的互联网数据中心的IP地址集合的流量画像。该流量画像可以是预设的基线时间区间的流量基线。其中,预设的基线时间区间可以是1天或1周。本申请以下实施例中,以预设的基线时间区间是1天为例进行说明。
在一种可选的实施例中,在扫段攻击检测的过程中,在基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息之前,基于路由器上传的IP地址别流量数据、预设的基线时间区间和统计周期,建立互联网数据中心的IP地址集合的基准流量特征;基准流量特征包括IP地址集合总流量基线、单IP地址流量基线、单IP地址流量协议组成基线、单IP地址流量地理组成基线中的部分或全部。
具体实施时,配置路由器向检测设备发送IP地址别流量数据,发送周期通常设置为30s或者60s。本申请的一些实施例中,检测设备的统计周期可以与发送周期相同。在本申请的其他一些实施例中,统计周期还可以是发送周期的N倍,N是大于1的整数。本申请的以下实施例均以统计周期与发送周期相同,均为30s为例进行说明。
本申请一些实施例中,路由器向检测设备发送的IP地址别流量数据是Netflow数据。每当发送周期到达或者路由器自身的Netflow缓存达到存储限值时,路由器会向检测设备发送Netflow数据,检测设备基于Netflow数据做流量分析。Netflow数据包括但不限于以下各项:源IP地址、源端口、目的IP地址、目的端口、传输层协议、网络流传输起始时间、网络流传输结束时间、网络流字节数,网络流包数。
检测设备对IDC客户的IP地址集合建立正常状态下的,预设的基线时间区间内的流量画像。其中,该正常状态指互联网数据中心未受到攻击。本申请的以下实施例中,IDC客户的IP地址集合也可以称为业务域。
在本申请的一种实施例中,IP地址集合总流量基线表征基线时间区间中的各个统计周期与IP地址集合的总流量的对应关系;单IP地址流量基线表征基线时间区间中的各个统计周期与IP地址集合的各个IP地址的流量的对应关系;单IP地址流量协议组成基线表征基线时间区间中的各个统计周期与IP地址集合的各个IP地址的协议别的流量的对应关系;单IP地址流量地理组成基线表征基线时间区间中的各个统计周期与IP地址集合的各个IP地址的访问地理属性别的流量的对应关系。
示例性地,图2示出了本申请实施例提供的一种IP地址集合总流量基线的示意图。由图2可见,IP地址集合总流量基线的基线时间区间是1天,该IP地址集合总流量基线表征了1天中的各个统计周期与IP地址集合的总流量的对应关系,也即可以通过图2获取1天的时间段中的各个30s长的统计周期内的业务域的总流量的基准数据。
图3示出了本申请实施例提供的一种单IP地址流量基线的示意图。由图3可见,该单IP地址流量基线表征了1天中的各个30s长的统计周期与IP地址集合的各个IP地址的流量的对应关系。也即可以通过图3获取1天的时间段中的各个30s长的统计周期内,IP地址集合的各个IP地址的流量值的基准数据。
图4示出了本申请实施例提供的一种单IP地址流量协议组成基线的示意图。由图4可见,该单IP地址流量协议组成基线表征了1天中的各个30s长的统计周期与IP地址集合的各个IP地址的协议别的流量之间的对应关系。从图4可以得到指定IP地址的,分别与TCP_ACK报文、TCP_SYN报文、TCP_FINRST报文及UDP_50000报文对应的流量值的基准数据。其中UDP_50000是指UDP协议且目的端口为50000的流量,该端口可根据实际网络情况变化。
图5示出了本申请实施例提供的一种单IP地址流量地理组成基线的示意图。由图5可见,该单IP地址流量地理组成基线表征了1天中的各个30s长的统计周期与IP地址集合的各个IP地址的访问地理属性别的流量之间的对应关系。从图5可以获取指定IP地址在1天中的各个30s长的统计周期访问地理属性分别为“中国”及“海外”的流量值的基准数据。
业务域的正常状态的流量画像建立之后,便可以对业务域的流量进行监控,对每个周期的流量统计,与通过流量画像中的基线取得的相同时间点的基线数据进行比较分析。
在一种可选的实施例中,基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,具体为:若监测到当前监测周期的周期总流量,超过IP地址集合总流量基线中对应的统计周期的IP地址集合的总流量,则根据单IP地址流量基线、单IP地址流量协议组成基线和单IP地址流量地理组成基线,确定当前监测周期的目标IP地址信息。
示例性地,在一些实施例中,将当前监测周期的总流量超过IP地址集合总流量基线的基线值作为扫段攻击检测的触发条件。若已超过IP地址集合总流量基线的基线值,则开始检测,确定当前监测周期的目标IP地址信息。
具体实施时,确定当前监测周期的目标IP地址信息,可以包括:通过排除正常流量变化的IP地址,从而剔除干扰信息,得到异常流量的IP地址。
在一些实施例中,排除正常流量变化的IP地址,剔除干扰信息,具体可以是通过检测当前监测周期内接收到数据的每个IP地址,对每个IP地址确认以下3个条件:
(1)该IP地址的当前监测周期内的流量数值,是否与对应的基准流量特征的单IP地址流量基线相近;
(2)该IP地址的当前监测周期内的协议别的流量数值,是否与对应的基准流量特征的单IP地址流量协议组成基线相近;
(3)该IP地址的当前监测周期内的访问地理属性别的流量数值,是否与对应的基准流量特征的单IP地址流量地理组成基线相近;
若条件(1)、(2)、(3)都满足,即可判定该IP地址为正常流量变化的IP地址,否则判定该IP地址是异常流量的IP地址。
可选地,判断上述的任一个条件中的流量数值与所对应的基线相近,可以是确定该条件下,IP地址的流量数值相对于对应的基准流量特征的基线中的基准数据,上下浮动在预设的比例范围之内。例如,上下浮动可以是在基准数据的±10%之内。
步骤S102,确定各异常流量的IP地址的周期间流量增长是否具有相似性特征。
其中,周期间流量增长为当前监测周期与当前监测周期的上一个监测周期相比的流量的增加量。
具体实施时,在确定异常流量的IP地址之后,确定各异常流量的IP地址的周期间流量增长是否具有相似性特征。其中,周期间流量增长为当前监测周期与当前监测周期的上一个监测周期相比的流量的增加量。
步骤S103,针对当前监测周期,基于相似性特征,判断互联网数据中心是否遭受扫段攻击。
在一种可选的实施例中,目标IP地址信息包括异常流量的IP地址、异常流量的IP地址数量;相似性特征为第一相似性特征;若各异常流量的IP地址的周期间流量增长,均存在满足第一判定条件的同一个预设的目标协议组成,则确定各异常流量的IP地址的周期间流量增长具有第一相似性特征;第一判定条件为在周期间流量增长中,目标协议组成对应的流量的增加量的占比超过预设的第一比例阈值;
基于相似性特征,判断互联网数据中心是否遭受扫段攻击,包括:
若确定各异常流量的IP地址的周期间流量增长具有第一相似性特征且异常流量的IP地址数量超过预设的IP地址阈值,则判断互联网数据中心遭受扫段攻击。
具体实施时,对提取的异常流量的IP地址进行分析,分析增加的流量组成。其中,分析增加的流量组成可以是分析目标协议组成对应的流量的增加量的占比。
通常情况下,扫段攻击对所有IP地址发起的攻击报文协议基本是一致的,因此可分析增加的流量的报文协议相似性。
示例性地,当在各异常流量的IP地址的周期间流量增长中,某个目标协议组成对应的流量的增加量的占比超过预设的比例阈值Rate1时,可以判定匹配上已知攻击特征,例如匹配上同步报文洪水攻击SYN Flood(Synchronization character Flood),确认字符洪水攻击ACK Flood(Acknowledge character Flood),用户数据报协议洪水攻击UDP Flood(User Datagram Protocol Flood)等。目标协议组成包括但不限于同步字符SYN报文、确认字符ACK报文、用户数据报协议UDP报文。
若异常流量的IP地址都匹配上同一个已知攻击特征,且异常流量的IP地址数量大于等于预设的IP地址阈值M,则可以判定为扫段攻击。
在一种可选的实施例中,目标IP地址信息还包括传输持续时长;传输持续时长为当前监测周期内,在对应的异常流量的IP地址的数据流的数据流持续时间中,数据流数量的占比最大的数据流持续时间;相似性特征包括第二相似性特征和第三相似性特征;若各异常流量的IP地址的周期间流量增长,均存在满足第二判定条件的同一个流量参数,则确定各异常流量的IP地址的周期间流量增长具有第二相似性特征;第二判定条件为在周期间流量增长中,同一个流量参数对应的流量的增加量的占比超过预设的第二比例阈值;若IP地址细分组的流量增长值的均值分别与对应的传输持续时长的比值均相同,则确定各异常流量的IP地址的周期间流量增长具有第三相似性特征,其中IP地址细分组是基于各异常流量的IP地址的传输持续时长,对各异常流量的IP地址的周期间流量增长的流量增长值进行划分得到的;
基于相似性特征,判断互联网数据中心是否遭受扫段攻击,包括:
若确定各异常流量的IP地址的周期间流量增长具有第二相似性特征和第三相似性特征,则判断互联网数据中心遭受扫段攻击。
本申请的实施例中,数据流也可以称为网络流。
具体实施时,目标IP地址信息包括异常流量的IP地址以及对应的传输持续时长;传输持续时长为当前监测周期内,在对应的异常流量的IP地址的数据流的数据流持续时间中,数据流数量的占比最大的数据流持续时间。通过将表征异常流量的IP地址的周期间流量增长的流量组成相似性的第二相似性特征,与表征异常流量的IP地址的周期间流量增长的流量增长值相似性的第三相似性特征相结合,综合判定互联网数据中心是否遭受扫段攻击。
若各异常流量的IP地址的周期间流量增长,均存在满足判定条件B的同一个流量参数,则确定各异常流量的IP地址的周期间流量增长具有第二相似性特征;判定条件B为在周期间流量增长中,同一个流量参数对应的流量的增加量的占比超过预设的第二比例阈值。
在一种可选的实施例中,流量参数为协议类型数据、源端口数据或源IP地址数据。
示例性地,扫段攻击对所有IP地址发起的攻击,协议类型数据、源端口数据或源IP地址数据具有一定的一致性,因此可针对增加的流量分析流量参数相似性。
示例性地,当在各异常流量的IP地址的周期间流量增长中,与某个协议类型数据、源端口数据或源IP地址数据对应的流量的增加量的占比超过预设的比例阈值Rate2时,可以判定可能匹配上扫段攻击。
本申请的实施例中,还可以分析与上个监测周期相比,本监测周期内流量有异常的IP地址增加的流量大小是否相似,该相似性可以称为流量增幅相似性。
具体地,第三相似性特征可以是流量增幅相似性,对于第三相似性特征,若IP地址细分组的流量增长值的均值分别与对应的传输持续时长的比值均相同,则确定各异常流量的IP地址的周期间流量增长具有第三相似性特征,其中IP地址细分组是基于各异常流量的IP地址的传输持续时长,对各异常流量的IP地址的周期间流量增长的流量增长值进行划分得到的。
示例性地,通常扫段攻击对于每IP地址的攻击速率是不变的,通过调整攻击IP地址数和攻击时间来控制速率和总流量,同时由于对每IP地址的攻击时间可能跨越统计周期,因此增长流量大小可能不一致,因此,本申请的实施例中分析增长流量大小是否具有相似性,也即流量增幅相似性。确定流量增幅相似性,可以通过以下步骤:
步骤C1,确定异常流量的IP地址。
步骤C2,获取各异常流量的IP地址的增加流量大小。
步骤C3,对当前监测周期内的每个异常流量的IP地址的网络流Flow进行分析,对每条网络流Flow计算持续时间,在各异常流量的IP地址的持续时间中分别取占比最大的持续时间,作为各异常流量的IP地址的增加流量的发生时间。
本申请实施例中,增加流量的发生时间也可以称为传输持续时长。
示例性地,IP001是一个异常流量的IP地址,对于IP001的传输持续时长,具体可以是:通过对当前监测周期内的IP001的网络流Flow进行分析,对IP001的各个网络流Flow分别计算持续时间,在IP001的网络流Flow的持续时间中取占比最大的持续时间,作为IP001的传输持续时长。传输持续时长可以用来表征异常流量的IP地址的增加流量的发生时间。例如,IP001的传输持续时长可以表征IP001的增加流量的发生时间。
步骤C4,基于各异常流量的IP地址的增加流量的发生时间,对各异常流量的IP地址的周期间流量增长的流量增长值进行划分,得到IP地址细分组。
具体地,将增加流量发生时间相同的异常流量的IP地址的增加流量作为一个IP地址细分组。
步骤C5,对各个IP地址细分组中的增加流量,分别取平均数。
对各个IP地址细分组中的增加流量,分别取平均数,具体为对增加流量发生时间相同的异常IP地址的增加流量取平均数。
可选地,在一些实施例中,对各个IP地址细分组中的增加流量,分别取平均数时,具体为各个IP地址细分组分别进行分析,使用置信区间剔除掉各个IP地址细分组中流量差异过大的IP地址,对各个IP地址细分组中落在置信区间内的IP地址的增加流量分别取平均数,得到与各个IP地址细分组对应的增加流量均值。
步骤C6,构建一个坐标系,y轴(竖坐标轴)为增加流量大小,x轴为增加流量的发生时间,计算的平均值。计算各个IP地址细分组对应的增加流量均值在构建的坐标系中对应的点是否具有相同的斜率,若具有相同的斜率,即判定为具有流量增幅相似性。若不具有相同的斜率,即不具有流量增幅相似性。
在确定流量参数相似性和流量增幅相似性之后,若确定各异常流量的IP地址的周期间流量增长同时具有流量参数相似性和流量增幅相似性,则判断互联网数据中心遭受扫段攻击。
在一种可选的实施例中,扫段攻击检测的过程中,还包括:针对当前监测周期,若确定只具有第二相似性特征,或只具有第三相似性特征,则判断互联网数据中心遭受疑似扫段攻击。
示例性地,若仅是具有流量参数相似性,又或者是仅具有流量增幅相似性,此时可判定为疑似扫段攻击。
在其他一些实施例中,还可以不以一个发送周期结果作为判定,而是结合多个发送周期结果的数据进行分析判定。因此,统计周期可以是发送周期的N倍,N是大于1的整数。例如,一些IP地址变化跨发送周期的扫段攻击,例如每次只攻击单IP地址,攻击持续时间(例如45s)超过了发送周期(例如30s)。发现有异常流量时,可跨越发送周期,记录下N个发送周期的异常IP地址的增加的流量大小,流量组成等,合并N个发送周期,作为一个统计周期,分析流量大小相似,流量组成相似等,最后综合判定是否是扫段攻击。
在另外一种实施例中,扫段攻击检测过程,如图6所示,执行以下步骤:
步骤S601,基于路由器上传的IP地址别流量数据、预设的基线时间区间和统计周期,建立互联网数据中心的IP地址集合的基准流量特征;基准流量特征包括IP地址集合总流量基线、单IP地址流量基线、单IP地址流量协议组成基线、单IP地址流量地理组成基线中的部分或全部。
步骤S602,若监测到当前监测周期的周期总流量,超过IP地址集合总流量基线中对应的统计周期的IP地址集合的总流量,则根据单IP地址流量基线、单IP地址流量协议组成基线和单IP地址流量地理组成基线,确定当前监测周期的目标IP地址信息。
目标IP地址信息包括异常流量的IP地址、异常流量的IP地址数量、传输持续时长;传输持续时长为当前监测周期内,在对应的异常流量的IP地址的数据流的数据流持续时间中,数据流数量的占比最大的数据流持续时间。
步骤S603,确定各异常流量的IP地址的周期间流量增长是否具有相似性特征。相似性特征包括第一相似性特征、第二相似性特征和第三相似性特征。
其中,周期间流量增长为当前监测周期与当前监测周期的上一个监测周期相比的流量的增加量。
具体实施时,若各异常流量的IP地址的周期间流量增长,均存在满足第一判定条件的同一个预设的目标协议组成,则确定各异常流量的IP地址的周期间流量增长具有第一相似性特征;第一判定条件为在周期间流量增长中,目标协议组成对应的流量的增加量的占比超过预设的第一比例阈值;
若各异常流量的IP地址的周期间流量增长,均存在满足第二判定条件的同一个流量参数,则确定各异常流量的IP地址的周期间流量增长具有第二相似性特征;第二判定条件为在周期间流量增长中,同一个流量参数对应的流量的增加量的占比超过预设的第二比例阈值;若IP地址细分组的流量增长值的均值分别与对应的传输持续时长的比值均相同,则确定各异常流量的IP地址的周期间流量增长具有第三相似性特征,其中IP地址细分组是基于各异常流量的IP地址的传输持续时长,对各异常流量的IP地址的周期间流量增长的流量增长值进行划分得到的。
可选地,流量参数为协议类型数据、源端口数据或源IP地址数据。
步骤S604,针对当前监测周期,若确定各异常流量的IP地址的周期间流量增长具有第一相似性特征且异常流量的IP地址数量超过预设的IP地址阈值,或者,确定各异常流量的IP地址的周期间流量增长具有第二相似性特征和第三相似性特征,则判断互联网数据中心遭受扫段攻击。
步骤S605,针对当前监测周期,若确定只具有第二相似性特征,或只具有第三相似性特征,则判断互联网数据中心遭受疑似扫段攻击。
步骤S601~步骤S605中各个步骤具体过程可以参照前述实施例中的方法步骤执行,在此不再赘述。
本申请实施例提供的扫段攻击检测方法,基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,目标IP地址信息包括异常流量的IP地址;确定各异常流量的IP地址的周期间流量增长是否具有相似性特征;周期间流量增长为当前监测周期与当前监测周期的上一个监测周期相比的流量的增加量;针对当前监测周期,基于相似性特征,判断互联网数据中心是否遭受扫段攻击。该方法能够通过预设的互联网数据中心的IP地址集合的基准流量特征排除流量正常波动的IP地址,对异常流量的IP地址的当前监测周期对比上个监测周期的流量增加量进行相似性特征的分析,基于相似性特征判定是否发生扫段攻击,实现准确地确定异常流量的IP地址并对应地进行流量增量的剖析,可以有效地检出是否发生扫段攻击并提高检测准确率。
与图1所示的扫段攻击检测方法基于同一发明构思,本申请实施例中还提供了一种扫段攻击检测装置。由于该装置是本申请的扫段攻击检测方法对应的装置,并且该装置解决问题的原理与该方法相似,因此该装置的实施可以参见上述方法的实施,重复之处不再赘述。
图7示出了本申请实施例提供的一种扫段攻击检测装置的结构示意图,如图7所示,该扫段攻击检测装置包括异常IP地址识别模块701、相似性分析模块702和扫段攻击判断模块703。
其中,异常IP地址识别模块701,用于基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,目标IP地址信息包括异常流量的IP地址;
相似性分析模块702,用于确定各异常流量的IP地址的周期间流量增长是否具有相似性特征;周期间流量增长为当前监测周期与当前监测周期的上一个监测周期相比的流量的增加量;
扫段攻击判断模块703,用于针对当前监测周期,基于相似性特征,判断互联网数据中心是否遭受扫段攻击。
在一种可选的实施例中,目标IP地址信息还包括异常流量的IP地址数量;相似性特征为第一相似性特征;
相似性分析模块702,具体用于:若各异常流量的IP地址的周期间流量增长,均存在满足第一判定条件的同一个预设的目标协议组成,则确定各异常流量的IP地址的周期间流量增长具有第一相似性特征;第一判定条件为在周期间流量增长中,目标协议组成对应的流量的增加量的占比超过预设的第一比例阈值;
扫段攻击判断模块703,具体用于:
若确定各异常流量的IP地址的周期间流量增长具有第一相似性特征且异常流量的IP地址数量超过预设的IP地址阈值,则判断互联网数据中心遭受扫段攻击。
在一种可选的实施例中,目标IP地址信息还包括传输持续时长;传输持续时长为当前监测周期内,在对应的异常流量的IP地址的数据流的数据流持续时间中,数据流数量的占比最大的数据流持续时间;相似性特征包括第二相似性特征和第三相似性特征;
相似性分析模块702,具体用于:
若各异常流量的IP地址的周期间流量增长,均存在满足第二判定条件的同一个流量参数,则确定各异常流量的IP地址的周期间流量增长具有第二相似性特征;第二判定条件为在周期间流量增长中,同一个流量参数对应的流量的增加量的占比超过预设的第二比例阈值;
若IP地址细分组的流量增长值的均值分别与对应的传输持续时长的比值均相同,则确定各异常流量的IP地址的周期间流量增长具有第三相似性特征,其中IP地址细分组是基于各异常流量的IP地址的传输持续时长,对各异常流量的IP地址的周期间流量增长的流量增长值进行划分得到的;
扫段攻击判断模块703,具体用于:
若确定各异常流量的IP地址的周期间流量增长具有第二相似性特征和第三相似性特征,则判断互联网数据中心遭受扫段攻击。
在一种可选的实施例中,流量参数为协议类型数据、源端口数据或源IP地址数据。
在一种可选的实施例中,扫段攻击判断模块703,还用于:
针对当前监测周期,若确定只具有第二相似性特征,或只具有第三相似性特征,则判断互联网数据中心遭受疑似扫段攻击。
在一种可选的实施例中,如图8所示,该装置还包括:
基线特征构建模块801,用于基于路由器上传的IP地址别流量数据、预设的基线时间区间和统计周期,建立互联网数据中心的IP地址集合的基准流量特征;基准流量特征包括IP地址集合总流量基线、单IP地址流量基线、单IP地址流量协议组成基线、单IP地址流量地理组成基线中的部分或全部。
在一种可选的实施例中,异常IP地址识别模块701,具体用于:
若监测到当前监测周期的周期总流量,超过IP地址集合总流量基线中对应的统计周期的IP地址集合的总流量,则根据单IP地址流量基线、单IP地址流量协议组成基线和单IP地址流量地理组成基线,确定当前监测周期的目标IP地址信息。
与上述方法实施例基于同一发明构思,本申请实施例中还提供了一种电子设备。该电子设备可以用于扫段攻击检测。在一种实施例中,该电子设备可以是服务器,也可以是终端设备或其他电子设备。在该实施例中,电子设备的结构可以如图9所示,包括存储器101,通讯模块103以及一个或多个处理器102。
存储器101,用于存储处理器102执行的计算机程序。存储器101可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及运行即时通讯功能所需的程序等;存储数据区可存储各种即时通讯信息和操作指令集等。
存储器101可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器101也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器101是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器101可以是上述存储器的组合。
处理器102,可以包括一个或多个中央处理单元(central processing unit,CPU)或者为数字处理单元等等。处理器102,用于调用存储器101中存储的计算机程序时实现上述扫段攻击检测方法。
通讯模块103用于与终端设备和其他服务器进行通信。
本申请实施例中不限定上述存储器101、通讯模块103和处理器102之间的具体连接介质。本公开实施例在图9中以存储器101和处理器102之间通过总线104连接,总线104在图9中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线104可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中的扫段攻击检测方法。所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种扫段攻击检测方法,其特征在于,包括:
基于预设的互联网数据中心的互联网协议IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,所述目标IP地址信息包括异常流量的IP地址;
确定各所述异常流量的IP地址的周期间流量增长是否具有相似性特征;所述周期间流量增长为所述当前监测周期与所述当前监测周期的上一个监测周期相比的流量的增加量;
针对所述当前监测周期,基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击。
2.根据权利要求1所述的方法,其特征在于,所述目标IP地址信息还包括异常流量的IP地址数量;所述相似性特征为第一相似性特征;若各所述异常流量的IP地址的所述周期间流量增长,均存在满足第一判定条件的同一个预设的目标协议组成,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第一相似性特征;所述第一判定条件为在所述周期间流量增长中,所述目标协议组成对应的流量的增加量的占比超过预设的第一比例阈值;
所述基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击,包括:
若确定各所述异常流量的IP地址的所述周期间流量增长具有所述第一相似性特征且所述异常流量的IP地址数量超过预设的IP地址阈值,则判断所述互联网数据中心遭受扫段攻击。
3.根据权利要求1所述的方法,其特征在于,所述目标IP地址信息还包括传输持续时长;所述传输持续时长为所述当前监测周期内,在对应的所述异常流量的IP地址的数据流的数据流持续时间中,数据流数量的占比最大的所述数据流持续时间;所述相似性特征包括第二相似性特征和第三相似性特征;若各所述异常流量的IP地址的所述周期间流量增长,均存在满足第二判定条件的同一个流量参数,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第二相似性特征;所述第二判定条件为在所述周期间流量增长中,所述同一个所述流量参数对应的流量的增加量的占比超过预设的第二比例阈值;若IP地址细分组的流量增长值的均值分别与对应的所述传输持续时长的比值均相同,则确定各所述异常流量的IP地址的所述周期间流量增长具有所述第三相似性特征,其中所述IP地址细分组是基于各所述异常流量的IP地址的所述传输持续时长,对各所述异常流量的IP地址的所述周期间流量增长的流量增长值进行划分得到的;
所述基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击,包括:
若确定各所述异常流量的IP地址的所述周期间流量增长具有所述第二相似性特征和所述第三相似性特征,则判断所述互联网数据中心遭受扫段攻击。
4.根据权利要求3所述的方法,其特征在于,所述流量参数为协议类型数据、源端口数据或源IP地址数据。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
针对所述当前监测周期,若确定只具有所述第二相似性特征,或只具有所述第三相似性特征,则判断所述互联网数据中心遭受疑似扫段攻击。
6.根据权利要求1所述的方法,其特征在于,所述基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息之前,所述方法还包括:
基于路由器上传的IP地址别流量数据、预设的基线时间区间和统计周期,建立所述互联网数据中心的IP地址集合的所述基准流量特征;所述基准流量特征包括IP地址集合总流量基线、单IP地址流量基线、单IP地址流量协议组成基线、单IP地址流量地理组成基线中的部分或全部。
7.根据权利要求6所述的方法,其特征在于,所述基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,包括:
若监测到所述当前监测周期的周期总流量,超过所述IP地址集合总流量基线中对应的所述统计周期的所述IP地址集合的总流量,则根据所述单IP地址流量基线、所述单IP地址流量协议组成基线和所述单IP地址流量地理组成基线,确定所述当前监测周期的所述目标IP地址信息。
8.一种扫段攻击检测装置,其特征在于,包括:
异常IP地址识别模块,用于基于预设的互联网数据中心的IP地址集合的基准流量特征,确定当前监测周期的目标IP地址信息,所述目标IP地址信息包括异常流量的IP地址;
相似性分析模块,用于确定各所述异常流量的IP地址的周期间流量增长是否具有相似性特征;所述周期间流量增长为所述当前监测周期与所述当前监测周期的上一个监测周期相比的流量的增加量;
扫段攻击判断模块,用于针对所述当前监测周期,基于所述相似性特征,判断所述互联网数据中心是否遭受扫段攻击。
9.一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,其特征在于:所述计算机程序被处理器执行时,实现权利要求1~7中任一项所述的方法。
10.一种电子设备,其特征在于,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,实现权利要求1~7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111590607.6A CN114338120B (zh) | 2021-12-23 | 2021-12-23 | 一种扫段攻击检测方法、装置、介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111590607.6A CN114338120B (zh) | 2021-12-23 | 2021-12-23 | 一种扫段攻击检测方法、装置、介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338120A true CN114338120A (zh) | 2022-04-12 |
| CN114338120B CN114338120B (zh) | 2023-11-21 |
Family
ID=81053653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111590607.6A Active CN114338120B (zh) | 2021-12-23 | 2021-12-23 | 一种扫段攻击检测方法、装置、介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338120B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174358A (zh) * | 2022-09-08 | 2022-10-11 | 浪潮电子信息产业股份有限公司 | 存储集群接口的监测处理方法、系统、设备及存储介质 |
| CN117640257A (zh) * | 2024-01-25 | 2024-03-01 | 华能澜沧江水电股份有限公司 | 一种基于大数据的网络安全运营的数据处理方法及系统 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| CN107623685A (zh) * | 2017-09-08 | 2018-01-23 | 杭州安恒信息技术有限公司 | 快速检测SYN Flood攻击的方法及装置 |
| US20190068624A1 (en) * | 2017-08-31 | 2019-02-28 | Charter Communications Operating, Llc | Distributed denial-of-service attack detection and mitigation based on autonomous system number |
| CN110166418A (zh) * | 2019-03-04 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 攻击检测方法、装置、计算机设备和存储介质 |
| CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN110493260A (zh) * | 2019-09-12 | 2019-11-22 | 贵州电网有限责任公司 | 一种网络洪范攻击行为检测方法 |
| CN110958245A (zh) * | 2019-11-29 | 2020-04-03 | 广州市百果园信息技术有限公司 | 一种攻击的检测方法、装置、设备和存储介质 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
| US20210120015A1 (en) * | 2019-10-17 | 2021-04-22 | Arbor Networks, Inc. | DYNAMIC DETECTION OF HTTP-BASED DDoS ATTACKS USING ESTIMATED CARDINALITY |
| CN112788047A (zh) * | 2020-07-14 | 2021-05-11 | 袁媛 | 基于工业互联网的网络流量异常检测方法及大数据平台 |
| CN112839017A (zh) * | 2019-11-25 | 2021-05-25 | 中移(苏州)软件技术有限公司 | 一种网络攻击检测方法及其装置、设备和存储介质 |
-
2021
- 2021-12-23 CN CN202111590607.6A patent/CN114338120B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| US20190068624A1 (en) * | 2017-08-31 | 2019-02-28 | Charter Communications Operating, Llc | Distributed denial-of-service attack detection and mitigation based on autonomous system number |
| CN107623685A (zh) * | 2017-09-08 | 2018-01-23 | 杭州安恒信息技术有限公司 | 快速检测SYN Flood攻击的方法及装置 |
| CN110166418A (zh) * | 2019-03-04 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 攻击检测方法、装置、计算机设备和存储介质 |
| CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN110493260A (zh) * | 2019-09-12 | 2019-11-22 | 贵州电网有限责任公司 | 一种网络洪范攻击行为检测方法 |
| US20210120015A1 (en) * | 2019-10-17 | 2021-04-22 | Arbor Networks, Inc. | DYNAMIC DETECTION OF HTTP-BASED DDoS ATTACKS USING ESTIMATED CARDINALITY |
| CN112839017A (zh) * | 2019-11-25 | 2021-05-25 | 中移(苏州)软件技术有限公司 | 一种网络攻击检测方法及其装置、设备和存储介质 |
| CN110958245A (zh) * | 2019-11-29 | 2020-04-03 | 广州市百果园信息技术有限公司 | 一种攻击的检测方法、装置、设备和存储介质 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
| CN112788047A (zh) * | 2020-07-14 | 2021-05-11 | 袁媛 | 基于工业互联网的网络流量异常检测方法及大数据平台 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174358A (zh) * | 2022-09-08 | 2022-10-11 | 浪潮电子信息产业股份有限公司 | 存储集群接口的监测处理方法、系统、设备及存储介质 |
| CN115174358B (zh) * | 2022-09-08 | 2023-01-17 | 浪潮电子信息产业股份有限公司 | 存储集群接口的监测处理方法、系统、设备及存储介质 |
| CN117640257A (zh) * | 2024-01-25 | 2024-03-01 | 华能澜沧江水电股份有限公司 | 一种基于大数据的网络安全运营的数据处理方法及系统 |
| CN117640257B (zh) * | 2024-01-25 | 2024-04-16 | 华能澜沧江水电股份有限公司 | 一种基于大数据的网络安全运营的数据处理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338120B (zh) | 2023-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN107623685B (zh) | 快速检测SYN Flood攻击的方法及装置 | |
| US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
| CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
| JP2019134484A (ja) | アクセス要求を規制するシステムおよび方法 | |
| CN111212096B (zh) | 一种降低idc防御成本的方法、装置、存储介质和计算机 | |
| CN114338120A (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
| KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| CN105577669B (zh) | 一种识别虚假源攻击的方法及装置 | |
| US20240022596A1 (en) | Malicious C&C channel to fixed IP detection | |
| CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
| Sen | A robust mechanism for defending distributed denial of service attacks on web servers | |
| CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
| CN112995235B (zh) | 一种对DDoS攻击进行检测的方法、装置及电子设备 | |
| Gonzalez et al. | The impact of application-layer denial-of-service attacks | |
| JP2019140573A (ja) | 監視システム、監視方法及び監視プログラム | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| Smith et al. | Comparison of operating system implementations of SYN flood defenses (cookies) | |
| US11683327B2 (en) | Demand management of sender of network traffic flow | |
| US20220353169A1 (en) | Method for detecting systematic communications in a communications network, corresponding device, and computer program product | |
| CN113179247B (zh) | 拒绝服务攻击防护方法、电子装置和存储介质 | |
| KR101475084B1 (ko) | 인터넷 환경에서의 피투피 헤비 트래픽 검출 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |