CN114584491B - 检测方法、装置、存储介质及设备 - Google Patents
检测方法、装置、存储介质及设备 Download PDFInfo
- Publication number
- CN114584491B CN114584491B CN202210425566.3A CN202210425566A CN114584491B CN 114584491 B CN114584491 B CN 114584491B CN 202210425566 A CN202210425566 A CN 202210425566A CN 114584491 B CN114584491 B CN 114584491B
- Authority
- CN
- China
- Prior art keywords
- packet
- actual
- detection
- network
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
- H04L43/0829—Packet loss
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种检测方法、装置、存储介质、设备及程序产品,应用于安全、云安全、安全管理、云技术、人工智能、智慧交通、辅助驾驶等场景。该方法包括:基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;根据实际收包量和丢包量确定丢包率;根据预设时长内的多个原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,实际数据量包括实际流量与实际包量中的至少一种;根据不同类型的原始网络包的实际数据量和丢包率分别计算不同类型的原始网络包的检测数据量;及根据检测数据量检测是否受到网络包攻击。基于流量日志来确定的丢包率,还原实际数据量为较为准确地检测数据量,从而提高告警准确性。
Description
技术领域
本申请涉及网络安全技术,具体涉及一种检测方法、装置、存储介质、设备及程序产品。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDOS)是利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或者长期占用大量资源,从而达到拒绝服务的目的。DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应;另外就是通过短时间内发送海量数据包阻塞链路带宽,造成正常业务流量陡降,从而达到拒绝服务的目的。目前,因大流量DDoS攻击可能会使DDoS检测系统出现性能丢包,进而导致流量检测不够准确,告警的准确率较低。
发明内容
本申请实施例提供一种检测方法、装置、存储介质、设备及程序产品,可以提高检测效率,提高软件或游戏的开发进度。
一方面,提供一种检测方法,所述方法包括基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;根据所述实际收包量和所述丢包量确定丢包率;根据所述预设时长内的多个所述原始网络包的解析信息,统计不同类型的所述原始网络包的实际数据量,所述实际数据量包括实际流量与实际包量中的至少一种;根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量;及根据所述检测数据量检测是否受到网络包攻击。
另一方面,提供一种检测装置,所述装置包括第一确定模块、第二确定模块、统计模块、计算模块和检测模块。所述第一确定模块用于基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;所述第二确定模块用于根据所述实际收包量和所述丢包量确定丢包率;所述统计模块用于根据所述预设时长内的多个所述原始网络包的解析信息,统计不同类型的所述原始网络包的实际数据量,所述实际数据量包括实际流量与实际包量中的至少一种;所述计算模块用于根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量;所述检测模块用于根据所述检测数据量检测是否受到网络包攻击。
再一方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序适于处理器进行加载,以执行如上实施例所述的检测方法中的步骤。
另一方面,提供一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器通过调用所述存储器中存储的所述计算机程序,用于执行如上实施例所述的检测方法中的步骤。
另一方面,提供一种计算机程序产品,包括计算机指令,所述计算机指令被处理器执行时实现如上实施例所述的检测方法中的步骤。
本申请实施例的检测方法、检测装置、计算机可读存储介质和计算机设备,基于流量日志来确定预设时长内接收的多个原始网络包的实际收包量和丢包量,以计算瞬时丢包率,然后根据原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,并结合丢包率和不同类型的原始网络包的实际数据量,来分别还原不同类型的原始网络包的检测数据量,最后根据还原后较为准确的检测数据量来检测是否受到网络包攻击,从而提高告警的准确率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请针对大流量DDoS攻击的检测原理示意图。
图2为本申请实施例提供的检测系统的结构示意图。
图3为本申请实施例提供的检测方法的流程示意图。
图4为本申请实施例提供的IDS设备的结构示意图。
图5为本申请实施例提供的检测方法的流程示意图。
图6为本申请实施例提供的检测方法的流程示意图。
图7为本申请实施例提供的检测方法的检测告警对比图。
图8为本申请实施例提供的检测装置的结构示意图。
图9本申请实施例提供的计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种检测方法、装置、计算机设备和存储介质。具体地,本申请实施例的检测方法可以由计算机设备执行,其中,该计算机设备可以为终端或者云服务器等设备。终端包括但不限于手机、电脑、智能语音交互设备、穿戴式智能设备、智能家电、车载终端、飞行器等。终端还可以包括客户端,该客户端可以是云游戏客户端、客户端小程序、视频客户端、浏览器客户端或即时通信客户端等。云服务器可以是独立的物理云服务器,也可以是多个物理云服务器构成的云服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云云服务器。
本发明实施例可应用于各种场景,包括但不限于安全、云安全、安全管理、云技术、人工智能、智慧交通、辅助驾驶等。
首先,在对本申请实施例进行描述的过程中出现的部分名词或者术语作如下解释:
DDoS:是英文Distributed Denial of Service的缩写,意为“分布式拒绝服务”。DDoS的精髓就是:利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或者长期占用大量资源,从而达到拒绝服务的目的。DoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源(如synflood攻击),从而使合法用户无法得到服务的响应;另外就是通过短时间内发送海量数据包阻塞入侵检测系统(intrusiondetection system,IDS)的上游链路带宽,造成正常业务流量陡降,从而达到拒绝服务的目的。IDS为DDoS检测系统。
DDoS攻击检测:DDoS检测的本质是流量统计,是DDoS攻击防御的基础,一个优秀的检测系统除了能够产生告警给网络管理员处理之外,还需要能够准确的提供当前攻击的详细信息,比如:攻击的类型、攻击流量包量大小。业界已有的DDoS攻击流量检测方法主要是通过对网络中的数据类型,如:协议,标志位,应用层特征(GET/POST)进行统计,当统计结果偏离原有模型、阈值时,则认为攻击发生。DDoS攻击最明显的特征是被攻击的目标ip流量包量有突增,对于特定的攻击类型,当攻击流量包量达到一定的量级时,基本可以确定就是DDoS攻击。
云技术(Cloudtechnology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。云技术(Cloudtechnology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
云服务器:是指在云端运行游戏的服务器,并具备图像处理等功能。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1. 云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2. 安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。
智能交通系统(IntelligentTrafficSystem,ITS)又称智能运输系统(IntelligentTransportationSystem),是将先进的科学技术(信息技术、计算机技术、数据通信技术、传感器技术、电子控制技术、自动控制理论、运筹学、人工智能等)有效地综合运用于交通运输、服务控制和车辆制造,加强车辆、道路、使用者三者之间的联系,从而形成一种保障安全、提高效率、改善环境、节约能源的综合运输系统。
DDoS检测采用了两套并行的检测策略来检测现网攻击,一套是通用的人工智能检测,这套策略检测规则复杂,无论是大流量DDoS攻击还是小流量DDoS攻击都可以做检测,策略通用性强。
请参阅图1,另外一套策略是专门针对大流量DDoS攻击的检测,策略简单,只做简单的流量统计,针对大流量DDoS攻击(这里的大流量基于现网实际数据运营中的一些经验来定义,基本情况就:synflood攻击流量超过10Gbps,其它类型攻击流量超过50Gbps)总体上是采用直接统计流量并跟默认阈值进行比较来判断是否告警,具体步骤如下:
1、在运营商跟机房互联的链路上进行流量分光,即将流量实时复制一份,复制的流量经过分光交换机按照二元组(源+目的网际互连协议(Internet Protocol,ip)维度)哈希到不同的流量解析机器IDS上;
2、流量解析按照网络协议栈规范对原始网络包进行解包(如图中的解包模块1、解包模块2等),输出相应的网络协议字段;
3、以synflood为例,在单位时间T(比如3秒)内去统计特定目的ip、目的传输控制协议(Transmission Control Protocol,tcp)协议的流量解析数据中带有syn标记位的流量和包量,如果流量超过10Gbps,就发检测告警,通常的检测告警会有以下几个字段:时间(告警发出的时间,精确到秒级)、目的ip(比如1.1.1.1)、流量(单位是Mbps)、包量(单位是pps)等。
正常情况下这两套检测策略都没什么问题,但是当攻击流量非常大,尤其是小包攻击(攻击的网络包包长通常小于100字节)时,这时IDS设备通常需要极大的算力去解析攻击流量甚至因为CPU资源不够出现性能问题导致丢包,丢包带来的结果就是实际检测到的流量偏小,如攻击流量超过一定阈值会使得在运营商侧或者机房入口的路由器上将对应ip的流量全部丢掉,导致告警检测不够准确,进而威胁云平台的稳定。
本申请实施例提供了一种因大流量DDoS攻击使DDoS检测系统出现性能丢包进而导致检测告警不准确的软件解决方案。通过流量日志对实际收包量和丢包量进行统计,以计算瞬时丢包率,然后根据原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,并结合丢包率和不同类型的原始网络包的实际数据量,来分别还原不同类型的原始网络包的检测数据量,最后根据还原后较为准确的检测数据量来检测是否受到网络包攻击,从而提高告警的准确率。
请参阅图2,本申请各实施例提供了一种检测方法,该方法可以由检测系统执行,如可以由终端10或云服务器20执行,也可以由终端10和云服务器20共同执行;本申请实施例以检测方法由云服务器20执行为例来进行说明。
例如,云服务器20用于基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;根据实际收包量和丢包量确定丢包率;根据预设时长内的多个原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,实际数据量包括实际流量与实际包量中的至少一种;根据不同类型的原始网络包的实际数据量和丢包率分别计算不同类型的原始网络包的检测数据量;及根据检测数据量检测是否受到网络包攻击。再例如,云服务器20用于基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;根据实际收包量和丢包量确定丢包率;根据预设时长内的多个原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,实际数据量包括实际流量与实际包量中的至少一种;根据不同类型的原始网络包的实际数据量和丢包率分别计算不同类型的原始网络包的检测数据量;终端用于根据检测数据量检测是否受到网络包攻击。
请参阅图3、5和图6均为本申请实施例提供的检测方法的流程示意图。检测方法包括:
步骤011,基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量。
具体地,请参阅图4,在IDS设备(如云服务器)中的网络驱动组件收取到原始网络包后,流量日志记录预设时长内网口收包情况并记录日志。如预设时长为1秒、2秒、3秒等,记单个IDS设备在预设时长内实际收包量记为recv_cnt,丢包量为error_cnt。
IDS设备一般为多台,每一台均会记录收取到的原始网络包,从而生成流量日志,因此,对于每个IDS设备在预设时长内均存在对应的实际收包量和丢包量。可以理解,不同的IDS设备的丢包量也可以是不同的。
在确定最终的实际收包量和丢包量时,可综合考虑多个IDS设备的流量日志生成的recv_cnt和error_cnt,如将多个IDS设备对应的recv_cnt之和作为最终的实际收包量,将多个IDS设备对应的error_cnt之和作为最终的丢包量,从而防止单个IDS设备因重启等因素导致丢包量过大而影响最终的实际收包量和丢包量的准确性。
步骤012,根据实际收包量和丢包量确定丢包率。
具体地,IDS设备中的丢包率计算模块读取流量日志并获得流量日志中的recv_cnt和error_cnt,然后根据recv_cnt和error_cnt计算丢包率为error_rate=error_cnt/(error_cnt+recv_cnt)*100%。
此外,IDS设备重启瞬间网口的丢包率非常高,可达到99.99%,那么按照上述公式还原到的流量会失真,会导致流量被放大,这可能会引起误告警,为了解决这个问题,当丢包率大于预设阈值(如99.9%)的时候,直接将预设阈值作为丢包率,即丢包率记为99.9%,这样单机流量最多放大10倍,从而降低误告警的几率。且IDS设备一般为多台,多台IDS设备可错峰重启,这样即使一台IDS设备的较高,也不会导致整体的流量统计出现较大波动,可避免最终检测数据量被放大导致数据失真的问题。
步骤013,根据预设时长内的多个原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,实际数据量包括实际流量与实际包量中的至少一种。
具体地,IDS设备中的收包模块接收到网络驱动组件发送的原始网络包后,会将原始网络包发送给解包模块,由解包模块按照网络协议栈规范对原始网络包进行解析,以得到每个原始网络包的解析信息,解析信息可包括不同类型的原始网络包的字段信息,如用户数据报协议(User Datagram Protocol,UDP)类型的原始网络包解析出UDP相关字段信息,如UDP.sport(UDP源端口)、UDP.len(UDP包总长);或者如ip类型的原始网络包解析出ip相关字段信息,如ip.dst(目的ip)、ip.len(ip包总长)、Ip.hl(ip首部长度)等;再或者如tcp类型的原始网络包解析出tcp相关字段信息,如tcp.sport(tcp源端口)、tcp.flag(tcp标记位)、tcp.hl(tcp首部长度)、tcp.win(tcp窗口)等。
其中,对于tcp.sport<1024时认为源端口异常,并确定源端口异常指标,记为tcp.black_sport,其取值为第一预设值,如1或0,以tcp.black_sport为1表示tcp源端口异常,tcp.black_sport为0表示tcp源端口正常为例进行说明。对于tcp.win<100时认为tcp窗口异常,并确定窗口异常指标,记为tcp.black_win,取值为第二预设值,如1或0,以tcp.black_sport为1表示tcp窗口异常,tcp.black_sport为0表示tcp窗口正常为例进行说明。
对于DDOS攻击(如syn flood攻击)而言,其tcp源端口和tcp窗口一般都是异常的,因此,tcp源端口和tcp窗口均异常可作为进行syn flood攻击的原始网络包的特征之一,通过对tcp源端口和tcp窗口的值和对应的预设阈值(即1024和100)进行比较快速确定源端口异常指标和窗口异常指标,以分别表征原始网络包的tcp源端口和tcp窗口是否异常,从而方便后续快速统计出用于进行syn flood攻击的原始网络包。
原始网络包具有不同的类型,如原始网络包可以是syn包(即tcp标记位包含syn)的原始网络包,原始网络包可以是fin包(即tcp标记位包含fin)的原始网络包等。在确定每个原始网络包的解析信息后,秒级汇聚模块即可统计不同类型的原始网络包的实际数据量,以输出图4中初次统计流量。可根据需要检测的DDOS攻击类型,确定需要统计的原始网络包的类型,以检测syn flood攻击为例,需要统计的原始网络包分别为syn包、fin包和具有syn flood攻击特征的syn包,例如将tcp源端口和tcp窗口均异常的syn包统计为具有synflood攻击特征的syn包;或者,为了检测UDP flood攻击,则需要统计的原始网络包为UDP包等。
可选地,将DDOS所有的攻击类型对应的原始网络包类型均进行统计,从而根据不同类型的检测数据量判断所收到的攻击类型。
步骤014,根据不同类型的原始网络包的实际数据量和丢包率分别计算不同类型的原始网络包的检测数据量。
具体地,因为ddos检测的本质是流量统计,实际处理过程中采用抽样的方式做流量统计,那么网口的丢包率按照统计学规律其实也可以近似到不同类型的原始网络包的丢包率,即整体的丢包率和不同类型的原始网络包的丢包率是一致的。
因此,在统计了不同类型的原始网络包的实际数据量后,再利用丢包率还原每种类型的原始网络包的实际数据量对应的检测数据量,从而保证检测数据量更为接近每种类型的原始网络包在不丢包的情况下,应接收到的数据量。如检测数据量=实际数据量/(1-error_rate)。
步骤015,根据检测数据量检测是否受到网络包攻击。
具体地,在确定不同类型的原始网络包的检测数据量后,即可根据不同类型的原始网络包的检测数据量实现网络包攻击(如DDOS攻击)的检测。如在检测数据量大于预设阈值时,确定受到网络包攻击,如对于syn flood攻击而言,在syn包的检测数据量大于预设数据量阈值(如10Gbps)时,即确定受到syn flood攻击。
下面以检测syn flood为例进行具体说明。
请参阅图5,步骤013:根据预设时长内的多个原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,包括:
步骤0131,统计传输控制协议标记位为第一预设标志位的原始网络包的数据量,以作为第一类型的网络包的实际数据量。
第一类型的网络包的实际流量根据所有第一类型的网络包的网络互联协议包总长和网络互联协议首部长度确定,第一类型的网络包的实际包量根据所有第一类型的网络包数量确定;
具体地,第一预设标志位为syn,即tcp标志位中包含syn(如syn、syn-ack等)的原始网络包的数据量,即第一类型的网络包的实际数据量即为syn包的实际数据量,实际数据量包含了实际流量和实际包量,实际流量可以根据所有syn包的ip包总长和ip首部长度之和来确定,实际包量则是所有syn包的总数量。
在统计得到syn包的实际流量和实际包量后,即可通过丢包率来还原syn包的检测数据量,如syn包的检测流量=syn包的实际流量/(1-error_rate),syn包的检测包量=syn包的实际包量/(1-error_rate)。可以理解,当syn包的数据量过大(如syn包的检测流量大于第一数据量阈值)时,可确定受到syn flood攻击;或者,当syn包的数据量过大(如syn包的检测包量大于第二数据量阈值)时,可确定受到syn flood攻击。其中,第一数据量阈值和第二数据量阈值均为经验值,可根据实际需求进行设定。
步骤0132,统计传输控制协议标记位为第二预设标志位的原始网络包的包量,以作为第二类型的网络包的实际包量,第一预设标志位和第二预设标志位不同。
具体地,第二预设标志位为fin,一般对于正常通信的syn包而言,都会存在一个fin包,fin包用于结束一个tcp回话,即syn包和fin包是一一对应的,但syn flood攻击的syn一般不存在对应fin包,导致tcp回话无法正常结束,从而实现攻击效果。
在统计得到fin包的实际包量后,即可通过丢包率来还原fin包的检测包量,如fin包的检测包量=fin包的实际包量/(1-error_rate)。可以理解,当fin包和syn包的检测包量的比例失调,如fin包的检测包量和syn包的的检测包量的比例小于1的情况下(即fin包的检测包量小于syn包的检测包量的情况下),可确定受到syn flood攻击。
可选地,由于正常通信时,也可能存在syn包和fin包一一对应进行通信的情况,因此,可在fin包的检测包量和syn包的的检测包量的比例小于第一预设比例(如0.8、0.9等)的情况下,再确定受到syn flood攻击,从而具有一定的容错率,防止误检测。
步骤0133,统计传输控制协议标记位为第一预设标志位、源端口异常指标为第一预设值、窗口异常指标均为第二预设值、传输控制协议首部长度小于第一长度阈值、网络互联协议包总长小于第二长度阈值的原始网络包的包量,以作为第三类型的网络包的实际包量。
具体地,进行synflood攻击的syn包具有特定的特征,如源端口异常指标为第一预设值(即1)和窗口异常指标为第二预设值(即1)即表示该syn包的tcp源端口和tcp窗口均异常;tcp首部长度和ip包总长均较短,以在相同的带宽限制下,能够发送更多数量的syn包,如tcp首部长度小于第一长度阈值(如可以是5、6、7等)、ip包总长较短,如ip包总长小于第二长度阈值(如44、45等)。
在统计得到带有上述synflood攻击的特定特征的syn包的实际数据量后,即可通过丢包率来还原第三类型的网络包的检测包量,如第三类型的网络包的检测包量=第三类型的网络包的实际包量/(1-error_rate)。可以理解,当第三类型的网络包占总的syn包的比例过大时,说明大概率受到了syn flood攻击。如第三类型的网络包的检测包量和syn包的检测包量的比例大于第二预设比例(如0.7、0.8等)的情况下,确定受到了syn flood攻击。
可选地,可以在得到第一检测流量(即syn包的检测流量)、第一检测包量(即syn包的检测包量)、第二检测包量(即fin包的检测包量)和第三检测包量(即第三类型的网络包的检测包量)后,综合进行判断,以检测是否受到网络攻击。
具体地,可在第一检测流量大于第一数据量阈值、第一检测包量大于第二数据量阈值、第二检测包量和第一检测包量的比例大于第一预设比例、和第三检测包量和第一检测包量的比例大于第二预设比例中至少一个满足条件的情况下,确定受到网络包攻击。
例如,在第一检测流量大于第一数据量阈值、第一检测包量大于第二数据量阈值、第二检测包量和第一检测包量的比例大于第一预设比例、或第三检测包量和第一检测包量的比例大于第二预设比例的情况下,确定受到网络包攻击。
再例如,在第一检测流量大于第一数据量阈值且第一检测包量大于第二数据量阈值、第一检测流量大于第一数据量阈值且第二检测包量且第一检测包量的比例大于第一预设比例、第一检测流量大于第一数据量阈值且第三检测包量和第一检测包量的比例大于第二预设比例、第一检测包量大于第二数据量阈值且第二检测包量和第一检测包量的比例大于第一预设比例、第一检测包量大于第二数据量阈值且第三检测包量和第一检测包量的比例大于第二预设比例、或第二检测包量和第一检测包量的比例大于第一预设比例且第三检测包量和第一检测包量的比例大于第二预设比例的情况下,确定受到网络包攻击。
再例如,在第一检测流量大于第一数据量阈值、第一检测包量大于第二数据量阈值且第二检测包量和第一检测包量的比例大于第一预设比例;或者,在第一检测流量大于第一数据量阈值、第一检测包量大于第二数据量阈值且第三检测包量和第一检测包量的比例大于第二预设比例;或者,第一检测包量大于第二数据量阈值、第二检测包量和第一检测包量的比例大于第一预设比例、且第三检测包量和第一检测包量的比例大于第二预设比例的情况下,确定受到网络包攻击。
又例如,在第一检测流量大于第一数据量阈值、第一检测包量大于第二数据量阈值、第二检测包量和第一检测包量的比例大于第一预设比例、和第三检测包量和第一检测包量的比例大于第二预设比例的情况下,确定受到网络包攻击。
可选地,可以为每一个判断条件设定不同的权值,通过对不同的判断条件的判断结果进行加权以得到评价值,进而判断评价值是否大于预设评价值阈值,以检测是否受到网络包攻击。
例如,上述四个判断条件中,第一个判断条件和第四个判断条件的重要性较高,则给予较高的权值,如均为0.3,第二个断条件和第三个判断条件的重要性较低,则给予较低的权值,如均为0.2,每个判断条件满足时确定判断结果为1,反之则为0,如第一个判断条件满足条件(即第一检测流量大于第一数据量阈值)的情况下,第一个判断条件的判断结果即为1,第二个判断条件和第三个判断条件的判断结果为1,第四个判断条件的判断结果为0;从而根据上述四个判断条件的判断结果,以及对应的权值计算评价值(即0.3*1+0.2*1+0.2*1+0.3*0=0.7),若评价值大于或等于评价值阈值(如0.6、0.7等),则确定受到网络包攻击。
请参阅图6,本申请的检测方法还包括:
步骤016,在确定受到网络包攻击后,根据检测数据量确定告警信息。
在确定受到网络包攻击后,即可根据检测数据量确定告警信息,如告警信息包括攻击类型、攻击时间、攻击者的网络互联协议地址、及数据量信息中至少一种。
例如,根据检测数据量对应的原始网络包的类型确定攻击类型。如进行攻击检测的检测数据量的原始网络包的类型为syn包、fin包和具有syn flood攻击的特定特征的syn包,则可确定攻击类型为syn flood攻击;如进行攻击检测的检测数据量的原始网络包的类型为UDP包,则可确定攻击类型为UDP flood攻击。
再例如,根据检测数据量确定数据量信息。如直接将进行攻击检测的不同类型的原始网络包对应的检测数据量作为数据量信息。
再例如,根据检测数据量对应的原始网络包的网络互联协议地址确定攻击者的网络互联协议地址。可以理解,进行syn flood攻击的主机或服务器一般具有特定的目的ip,可根据进行攻击检测的检测数据量对应的所有原始网络包包含的目的ip来确定攻击者的ip地址。
又例如,根据检测数据量的对应的原始网络包的收包时间确定攻击时间。可以理解,本申请每隔预设时长均会进行一次流量统计,因此,可将第一个进行攻击的原始网络包的收包时间确定为攻击时间,如每个预设时长内第一个接收到且用于攻击检测的原始网络包的收包时间确定为攻击时间。
上述所有的技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
本申请实施例基于流量日志来确定预设时长内接收的多个原始网络包的实际收包量和丢包量,且将多个IDS设备对应的recv_cnt之和作为最终的实际收包量,将多个IDS设备对应的error_cnt之和作为最终的丢包量,从而防止单个IDS设备因重启等因素导致丢包量过大而影响最终的实际收包量和丢包量的准确性。然后根据最终的实际收包量和丢包量计算瞬时丢包率,并根据原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,并结合丢包率和不同类型的原始网络包的实际数据量,来分别还原不同类型的原始网络包的检测数据量,最后根据还原后较为准确的检测数据量来检测是否受到网络包攻击,从而提高告警的准确率。
请参阅图7,图中的曲线S1为实际数据量,曲线S2为检测数据量,在测试时,数据源在任一时刻发出的总的数据量是预设的,经验证,根据本申请的流量日志获取的丢包率还原的检测数据量与预设的总的数据量在相同时刻的数据量基本接近,可确定本申请的检测方案的告警准确性较高。
为便于更好的实施本申请实施例的检测方法,本申请实施例还提供一种检测装置。请参阅图8,图8为本申请实施例提供的检测装置1000的结构示意图。其中,该检测装置1000可以包括:
第一确定模块1010,用于基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;
第二确定模块1020,用于根据实际收包量和丢包量确定丢包率。
统计模块1030,用于根据预设时长内的多个原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,实际数据量包括实际流量与实际包量中的至少一种。
统计模块1030具体用于:
统计传输控制协议标记位为第一预设标志位的原始网络包的数据量,以作为第一类型的网络包的实际数据量,第一类型的网络包的实际数据量包括第一类型的网络包的实际流量和实际包量,第一类型的网络包的实际流量根据所有第一类型的网络包的网络互联协议包总长和网络互联协议首部长度确定,第一类型的网络包的实际包量根据所有第一类型的网络包数量确定;
统计传输控制协议标记位为第二预设标志位的原始网络包的包量,以作为第二类型的网络包的实际包量,第一预设标志位和第二预设标志位不同;
统计传输控制协议标记位为第一预设标志位、源端口异常指标为第一预设值、窗口异常指标均为第二预设值、传输控制协议首部长度小于第一长度阈值、网络互联协议包总长小于第二长度阈值的原始网络包的包量,以作为第三类型的网络包的实际包量。
计算模块1040,用于根据不同类型的原始网络包的实际数据量和丢包率分别计算不同类型的原始网络包的检测数据量。
计算模块1040具体用于:
根据第一类型的网络包的实际流量和实际包量、以及丢包率,分别计算第一类型的网络包的第一检测流量和第一检测包量;
根据第二类型的网络包的实际包量和丢包率,计算第二类型的网络包的第二检测包量;
根据第三类型的网络包的实际包量和丢包率,计算第三类型的网络包的第三检测包量。
检测模块1050用于根据检测数据量检测是否受到网络包攻击。
检测模块1050具体用于根据第一检测流量、第一检测包量、第二检测包量和第三检测包量检测是否受到网络包攻击。
检测模块1050具体还用于在第一检测流量大于第一数据量阈值、第一检测包量大于第二数据量阈值、第二检测包量和第一检测包量的比例大于第一预设比例、和第三检测包量和第一检测包量的比例大于第二预设比例中至少一个满足条件的情况下,确定受到网络包攻击。
告警模块1060,用于在确定受到网络包攻击后,根据检测数据量确定告警信息,告警信息包括攻击类型、攻击时间、攻击者的网络互联协议地址、及数据量信息中至少一种。
告警模块1060具体用于:
根据检测数据量对应的原始网络包的类型确定攻击类型;
根据检测数据量确定数据量信息;
根据检测数据量对应的原始网络包的网络互联协议地址确定攻击者的网络互联协议地址;及
根据检测数据量的对应的原始网络包的收包时间确定攻击时间。
检测装置1000还包括:
判断模块1070,用于判断丢包率是否大于预设阈值;
修改模块1080,用于在丢包率大于预设阈值的情况下,将丢包率的值修改为预设阈值。
检测装置1000还包括:
解析模块1090,用于对预设时长内的多个原始网络包进行解析,以获取预设时长内的多个原始网络包的解析信息。
检测装置1000还包括:
第三确定模块1100,用于根据传输控制协议源端口和第一预定阈值确定源端口异常指标,源端口异常指标为第一预设值的情况下,传输控制协议源端口正常;
第四确定模块1110,用于根据传输控制协议窗口和第二预定阈值确定窗口异常指标,窗口异常指标为第二预设值的情况下,传输控制协议窗口正常。
上述检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各个模块可以以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行上述各个模块对应的操作。
检测装置,可以集成在具备储存器并安装有处理器而具有运算能力的终端10和/或云服务器20中,或者该检测装置为该终端10和/或云服务器20。
可选地,本申请还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
图9为本申请实施例提供的计算机设备4000的结构示意图,该计算机设备4000可以是图2所示的终端10或云服务器20。如图9所示,该计算机设备4000可以包括:通信接口4010,存储器4020,处理器4030和通信总线4040。通信接口4010,存储器4020,处理器4030通过通信总线4040实现相互间的通信。通信接口4010用于检测装置1000与外部设备进行数据通信。存储器4020可用于存储软件程序以及模块,处理器4030通过运行存储在存储器4020的软件程序以及模块,例如前述方法实施例中的相应操作的软件程序。
可选地,该处理器4030可以调用存储在存储器4020的软件程序以及模块执行如下操作:基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;根据实际收包量和丢包量确定丢包率;根据预设时长内的多个原始网络包的解析信息,统计不同类型的原始网络包的实际数据量,实际数据量包括实际流量与实际包量中的至少一种;根据不同类型的原始网络包的实际数据量和丢包率分别计算不同类型的原始网络包的检测数据量;及根据检测数据量检测是否受到网络包攻击。
本申请还提供了一种计算机可读存储介质,用于存储计算机程序。该计算机可读存储介质可应用于计算机设备,并且该计算机程序使得计算机设备执行本申请实施例中的检测方法中的相应流程,为了简洁,在此不再赘述。
本申请还提供了一种计算机程序产品,该计算机程序产品包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得计算机设备执行本申请实施例中的检测方法中的相应流程,为了简洁,在此不再赘述。
本申请还提供了一种计算机程序,该计算机程序包括计算机指令,计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得计算机设备执行本申请实施例中的检测方法中的相应流程,为了简洁,在此不再赘述。
应理解,本申请实施例的处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
应理解,上述存储器为示例性但不是限制性说明,例如,本申请实施例中的存储器还可以是静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synch link DRAM,SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)等等。也就是说,本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,云服务器20)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (13)
1.一种检测方法,其特征在于,包括:
基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;
根据所述实际收包量和所述丢包量确定丢包率;
根据所述预设时长内的多个所述原始网络包的解析信息,统计不同类型的所述原始网络包的实际数据量,所述实际数据量包括实际流量与实际包量中的至少一种;
根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量;及
根据所述检测数据量检测是否受到网络包攻击;
所述解析信息包括传输控制协议源端口和传输控制协议窗口;所述解析信息还包括目的网络互联协议地址、传输控制协议标记位、网络互联协议包总长、网络互联协议标记位、网络互联协议首部长度和传输控制协议首部长度,所述根据所述预设时长内的多个所述原始网络包的解析信息,统计不同类型的所述原始网络包的实际数据量,包括:
统计所述传输控制协议标记位为第一预设标志位的所述原始网络包的数据量,以作为第一类型的网络包的实际数据量,所述第一类型的网络包的实际数据量包括所述第一类型的网络包的实际流量和实际包量,所述第一类型的网络包的实际流量根据所有所述第一类型的网络包的所述网络互联协议包总长和所述网络互联协议首部长度确定,所述第一类型的网络包的实际包量根据所有所述第一类型的网络包数量确定;
统计所述传输控制协议标记位为第二预设标志位的所述原始网络包的包量,以作为第二类型的网络包的实际包量,所述第一预设标志位和所述第二预设标志位不同;
统计所述传输控制协议标记位为所述第一预设标志位、源端口异常指标为第一预设值、窗口异常指标均为第二预设值、所述传输控制协议首部长度小于第一长度阈值、所述网络互联协议包总长小于第二长度阈值的所述原始网络包的包量,以作为第三类型的所述网络包的实际包量;
其中,所述源端口异常指标为第一预设值的情况下,所述传输控制协议源端口异常,所述窗口异常指标为第二预设值的情况下,所述传输控制协议窗口异常。
2. 根据权利要求1所述的检测方法,其特征在于,还包括:
判断所述丢包率是否大于预设阈值;及
若是,则将所述丢包率的值修改为所述预设阈值。
3.根据权利要求1所述的检测方法,其特征在于,所述检测方法还包括:
对所述预设时长内的多个所述原始网络包进行解析,以获取所述预设时长内的多个所述原始网络包的解析信息。
4. 根据权利要求1所述的检测方法,其特征在于,所述检测方法还包括:
根据所述传输控制协议源端口和第一预定阈值确定源端口异常指标;及
根据所述传输控制协议窗口和第二预定阈值确定窗口异常指标。
5.根据权利要求4所述的检测方法,其特征在于,所述根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量,包括:
根据所述第一类型的网络包的实际流量和实际包量、以及所述丢包率,分别计算第一类型的网络包的第一检测流量和第一检测包量;
根据所述第二类型的网络包的实际包量和所述丢包率,计算所述第二类型的网络包的第二检测包量;
根据所述第三类型的网络包的实际包量和所述丢包率,计算所述第三类型的网络包的第三检测包量。
6.根据权利要求5所述的检测方法,其特征在于,所述根据所述检测数据量检测是否受到网络包攻击,包括:
根据所述第一检测流量、第一检测包量、第二检测包量和第三检测包量检测是否受到网络包攻击。
7.根据权利要求6所述的检测方法,其特征在于,所述根据所述第一检测流量、第一检测包量、第二检测包量和第三检测包量检测是否受到网络包攻击,包括:
在所述第一检测流量大于第一数据量阈值、所述第一检测包量大于第二数据量阈值、所述第二检测包量和所述第一检测包量的比例大于第一预设比例、和所述第三检测包量和所述第一检测包量的比例大于第二预设比例中至少一个满足条件的情况下,确定受到网络包攻击。
8.根据权利要求1-7任一项所述的检测方法,其特征在于,还包括:
在确定受到网络包攻击后,根据所述检测数据量确定告警信息,所述告警信息包括攻击类型、攻击时间、攻击者的网络互联协议地址、及数据量信息中至少一种。
9.根据权利要求8所述的检测方法,其特征在于,根据所述检测数据量确定告警信息,包括:
根据所述检测数据量对应的所述原始网络包的类型确定所述攻击类型;
根据所述检测数据量确定所述数据量信息;
根据所述检测数据量对应的所述原始网络包的网络互联协议地址确定攻击者的网络互联协议地址;及
根据所述检测数据量的对应的所述原始网络包的收包时间确定所述攻击时间。
10.根据权利要求1-7任一项所述的检测方法,其特征在于,所述流量日志为多个,多个所述流量日志分别为多个入侵检测系统记录所述预设时长内接收的多个所述原始网络包的信息生成。
11.一种检测装置,其特征在于,所述装置包括:
第一确定模块,用于基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量;
第二确定模块,用于根据所述实际收包量和所述丢包量确定丢包率;
统计模块,用于根据所述预设时长内的多个所述原始网络包的解析信息,统计不同类型的所述原始网络包的实际数据量,所述实际数据量包括实际流量与实际包量中的至少一种;
计算模块,用于根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量;
检测模块,用于根据所述检测数据量检测是否受到网络包攻击;
所述解析信息包括传输控制协议源端口和传输控制协议窗口;所述解析信息还包括目的网络互联协议地址、传输控制协议标记位、网络互联协议包总长、网络互联协议标记位、网络互联协议首部长度和传输控制协议首部长度,所述根据所述预设时长内的多个所述原始网络包的解析信息,统计不同类型的所述原始网络包的实际数据量,包括:
统计所述传输控制协议标记位为第一预设标志位的所述原始网络包的数据量,以作为第一类型的网络包的实际数据量,所述第一类型的网络包的实际数据量包括所述第一类型的网络包的实际流量和实际包量,所述第一类型的网络包的实际流量根据所有所述第一类型的网络包的所述网络互联协议包总长和所述网络互联协议首部长度确定,所述第一类型的网络包的实际包量根据所有所述第一类型的网络包数量确定;
统计所述传输控制协议标记位为第二预设标志位的所述原始网络包的包量,以作为第二类型的网络包的实际包量,所述第一预设标志位和所述第二预设标志位不同;
统计所述传输控制协议标记位为所述第一预设标志位、源端口异常指标为第一预设值、窗口异常指标均为第二预设值、所述传输控制协议首部长度小于第一长度阈值、所述网络互联协议包总长小于第二长度阈值的所述原始网络包的包量,以作为第三类型的所述网络包的实际包量;
其中,所述源端口异常指标为第一预设值的情况下,所述传输控制协议源端口异常,所述窗口异常指标为第二预设值的情况下,所述传输控制协议窗口异常。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序适于处理器进行加载,以执行如权利要求1-10任一项所述的检测方法中的步骤。
13.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器通过调用所述存储器中存储的所述计算机程序,用于执行权利要求1-10任一项所述的检测方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210425566.3A CN114584491B (zh) | 2022-04-21 | 2022-04-21 | 检测方法、装置、存储介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210425566.3A CN114584491B (zh) | 2022-04-21 | 2022-04-21 | 检测方法、装置、存储介质及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584491A CN114584491A (zh) | 2022-06-03 |
| CN114584491B true CN114584491B (zh) | 2023-09-08 |
Family
ID=81784226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210425566.3A Active CN114584491B (zh) | 2022-04-21 | 2022-04-21 | 检测方法、装置、存储介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584491B (zh) |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616129A (zh) * | 2008-06-27 | 2009-12-30 | 成都市华为赛门铁克科技有限公司 | 防网络攻击流量过载保护的方法、装置和系统 |
| WO2015078388A1 (zh) * | 2013-11-29 | 2015-06-04 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
| WO2018113436A1 (zh) * | 2016-12-19 | 2018-06-28 | 深圳创维数字技术有限公司 | 一种网络拥塞处理方法及装置 |
| CN108989135A (zh) * | 2018-09-29 | 2018-12-11 | 新华三技术有限公司合肥分公司 | 网络设备故障检测方法及装置 |
| CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN110838949A (zh) * | 2018-08-16 | 2020-02-25 | 阿里巴巴集团控股有限公司 | 一种网络流量日志记录方法及装置 |
| CN111245675A (zh) * | 2020-01-06 | 2020-06-05 | 杭州涂鸦信息技术有限公司 | 一种网络延时和丢数据包检测方法及系统 |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
| WO2020143180A1 (zh) * | 2019-01-11 | 2020-07-16 | 深圳市网心科技有限公司 | 基于网络拥塞探测的智能限速方法、装置及存储介质 |
| CN111756685A (zh) * | 2020-05-15 | 2020-10-09 | 长沙市智为信息技术有限公司 | 一种基于假设检验的ddos攻击检测方法 |
| CN111934951A (zh) * | 2020-07-30 | 2020-11-13 | 杭州迪普科技股份有限公司 | 网络丢包检测方法及装置 |
| CN111935485A (zh) * | 2020-08-10 | 2020-11-13 | 北京佳讯飞鸿电气股份有限公司 | 一种rs码前向纠错方法及装置 |
| CN112272186A (zh) * | 2020-10-30 | 2021-01-26 | 深信服科技股份有限公司 | 一种网络流量检测框架、方法及电子设备和存储介质 |
| CN112351042A (zh) * | 2020-11-16 | 2021-02-09 | 百度在线网络技术(北京)有限公司 | 攻击流量计算方法、装置、电子设备和存储介质 |
| CN112751648A (zh) * | 2020-04-03 | 2021-05-04 | 腾讯科技(深圳)有限公司 | 一种丢包数据恢复方法和相关装置 |
| CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
| CN113067804A (zh) * | 2021-03-15 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
| CN113691507A (zh) * | 2021-08-05 | 2021-11-23 | 武汉卓尔信息科技有限公司 | 一种工业控制网络安全检测方法及系统 |
| WO2021243663A1 (zh) * | 2020-06-04 | 2021-12-09 | 深圳市欢太科技有限公司 | 一种会话检测方法、装置、检测设备及计算机存储介质 |
| CN114006706A (zh) * | 2020-07-13 | 2022-02-01 | 深信服科技股份有限公司 | 网络安全检测方法、系统、计算机装置及可读存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7903566B2 (en) * | 2008-08-20 | 2011-03-08 | The Boeing Company | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data |
| US7995496B2 (en) * | 2008-08-20 | 2011-08-09 | The Boeing Company | Methods and systems for internet protocol (IP) traffic conversation detection and storage |
| CN103152223B (zh) * | 2013-03-15 | 2016-08-03 | 华为技术有限公司 | 网络性能监测方法及装置 |
| US20150033336A1 (en) * | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
| CN104506482B (zh) * | 2014-10-10 | 2018-09-11 | 香港理工大学 | 网络攻击检测方法及装置 |
| US9749340B2 (en) * | 2015-04-28 | 2017-08-29 | Arbor Networks, Inc. | System and method to detect and mitigate TCP window attacks |
| US10142353B2 (en) * | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US11777966B2 (en) * | 2019-11-25 | 2023-10-03 | Cisco Technology, Inc. | Systems and methods for causation analysis of network traffic anomalies and security threats |
-
2022
- 2022-04-21 CN CN202210425566.3A patent/CN114584491B/zh active Active
Patent Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616129A (zh) * | 2008-06-27 | 2009-12-30 | 成都市华为赛门铁克科技有限公司 | 防网络攻击流量过载保护的方法、装置和系统 |
| WO2015078388A1 (zh) * | 2013-11-29 | 2015-06-04 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
| WO2018113436A1 (zh) * | 2016-12-19 | 2018-06-28 | 深圳创维数字技术有限公司 | 一种网络拥塞处理方法及装置 |
| CN110838949A (zh) * | 2018-08-16 | 2020-02-25 | 阿里巴巴集团控股有限公司 | 一种网络流量日志记录方法及装置 |
| CN108989135A (zh) * | 2018-09-29 | 2018-12-11 | 新华三技术有限公司合肥分公司 | 网络设备故障检测方法及装置 |
| WO2020143180A1 (zh) * | 2019-01-11 | 2020-07-16 | 深圳市网心科技有限公司 | 基于网络拥塞探测的智能限速方法、装置及存储介质 |
| WO2021008028A1 (zh) * | 2019-07-18 | 2021-01-21 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN111245675A (zh) * | 2020-01-06 | 2020-06-05 | 杭州涂鸦信息技术有限公司 | 一种网络延时和丢数据包检测方法及系统 |
| CN112751648A (zh) * | 2020-04-03 | 2021-05-04 | 腾讯科技(深圳)有限公司 | 一种丢包数据恢复方法和相关装置 |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
| CN111756685A (zh) * | 2020-05-15 | 2020-10-09 | 长沙市智为信息技术有限公司 | 一种基于假设检验的ddos攻击检测方法 |
| WO2021243663A1 (zh) * | 2020-06-04 | 2021-12-09 | 深圳市欢太科技有限公司 | 一种会话检测方法、装置、检测设备及计算机存储介质 |
| CN114006706A (zh) * | 2020-07-13 | 2022-02-01 | 深信服科技股份有限公司 | 网络安全检测方法、系统、计算机装置及可读存储介质 |
| CN111934951A (zh) * | 2020-07-30 | 2020-11-13 | 杭州迪普科技股份有限公司 | 网络丢包检测方法及装置 |
| CN111935485A (zh) * | 2020-08-10 | 2020-11-13 | 北京佳讯飞鸿电气股份有限公司 | 一种rs码前向纠错方法及装置 |
| CN112272186A (zh) * | 2020-10-30 | 2021-01-26 | 深信服科技股份有限公司 | 一种网络流量检测框架、方法及电子设备和存储介质 |
| CN112351042A (zh) * | 2020-11-16 | 2021-02-09 | 百度在线网络技术(北京)有限公司 | 攻击流量计算方法、装置、电子设备和存储介质 |
| CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
| CN113067804A (zh) * | 2021-03-15 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
| CN113691507A (zh) * | 2021-08-05 | 2021-11-23 | 武汉卓尔信息科技有限公司 | 一种工业控制网络安全检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584491A (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8677473B2 (en) | Network intrusion protection | |
| KR102135024B1 (ko) | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 | |
| KR101574193B1 (ko) | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 | |
| KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
| US10693908B2 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
| EP2850781B1 (en) | Methods, systems, and computer readable media for measuring detection accuracy of a security device using benign traffic | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| CN114830112A (zh) | 通过QUIC通信协议执行的检测和缓解DDoS攻击 | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| Ireland | Intrusion detection with genetic algorithms and fuzzy logic | |
| US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
| CN115087977A (zh) | 防止恶意自动化攻击的方法和系统 | |
| CN109474623B (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
| Sree et al. | Detection of http flooding attacks in cloud using dynamic entropy method | |
| Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
| CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| Echevarria et al. | An experimental study on the applicability of SYN cookies to networked constrained devices | |
| CN114584491B (zh) | 检测方法、装置、存储介质及设备 | |
| Boteanu et al. | A comprehensive study of queue management as a DoS counter-measure | |
| Basicevic et al. | Evaluation of entropy‐based detection of outbound denial‐of‐service attacks in edge networks | |
| CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
| CN112532617A (zh) | 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 | |
| KR101701310B1 (ko) | DDoS 공격 탐지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |