CN114745142A - 一种异常流量处理方法、装置、计算机设备及存储介质 - Google Patents
一种异常流量处理方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114745142A CN114745142A CN202011532542.5A CN202011532542A CN114745142A CN 114745142 A CN114745142 A CN 114745142A CN 202011532542 A CN202011532542 A CN 202011532542A CN 114745142 A CN114745142 A CN 114745142A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- traffic
- protection
- target
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 196
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000005111 flow chemistry technique Methods 0.000 title description 6
- 230000005540 biological transmission Effects 0.000 claims abstract description 88
- 238000001514 detection method Methods 0.000 claims abstract description 84
- 230000005856 abnormality Effects 0.000 claims abstract description 15
- 238000003672 processing method Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 16
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 13
- 238000001914 filtration Methods 0.000 claims description 8
- 230000002441 reversible effect Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 abstract description 18
- 230000006399 behavior Effects 0.000 description 10
- 230000000670 limiting effect Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 7
- 235000014510 cooky Nutrition 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000002829 reductive effect Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 239000000523 sample Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002147 killing effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种异常流量处理方法、装置、计算机设备及存储介质,本申请实施例可以获取待检测的流量,所述流量包括目的地址和源地址;对所述流量进行异常检测;当检测到所述流量存在攻击异常时,基于所述目的地址执行初始防护操作,并获取所述初始防护操作对应的防护日志;基于所述防护日志对所述流量进行异常类型检测;当检测到所述流量的异常类型为目标类型时,基于防护升级策略升级所述初始防护操作,得到目标防护操作;执行所述目标防护操作,以拦截所述源地址对应的异常流量。提高了对异常流量处理及时性和效率,并且提高了基于流量进行数据传输的安全性。
Description
技术领域
本申请涉及互联网技术领域,具体涉及一种异常流量处理方法、装置、计算机设备及存储介质。
背景技术
随着互联网技术的发展,服务器受到攻击和对服务器防护的技术也在不断提高,例如,分布式拒绝服务攻击(Distributed Denial of Service,DDoS)攻击和防护双方的技术能力也在不断提高,而对于用户数据报协议(User Datagram Protocol,UDP)反射攻击等普通攻击,由于该普通攻击对应的防护策略已经非常成熟,因此攻击者很难突破防护。但是现网任然存在少量高级的攻击手法,防护方难以防护,例如传输控制协议(TransmissionControl Protocol,TCP)连接耗尽。当出现这些高级的攻击手法时,防护方必须人工临时分析攻击手法,并手动调整对应防护策略来解决防护问题,这是由于这些防护策略本身对正常业务的流量存在误杀风险,所以往往默认情况下不能启动,只能在攻击出现后人工进行分析和策略配置。一方面,由于需要攻击发生后,人工进行分析和策略配置,因此,存在很大的防护延迟性,导致在策略上线前业务已经受到严重的影响;另一方面,人工的策略定制需要耗费大量的安全运维人员的精力,因此,需要人力投入大,导致人力成本非常大,且效率低下。
发明内容
本申请实施例提供一种异常流量处理方法、装置、计算机设备及存储介质,可以提高对异常流量处理及时性和效率。
为解决上述技术问题,本申请实施例提供以下技术方案:
本申请实施例提供了一种异常流量处理方法,包括:
获取待检测的流量,所述流量包括目的地址和源地址;
对所述流量进行异常检测;
当检测到所述流量存在攻击异常时,基于所述目的地址执行初始防护操作,并获取所述初始防护操作对应的防护日志;
基于所述防护日志对所述流量进行异常类型检测;
当检测到所述流量的异常类型为目标类型时,基于防护升级策略升级所述初始防护操作,得到目标防护操作;
执行所述目标防护操作,以拦截所述源地址对应的异常流量。
根据本申请的一个方面,还提供了一种异常流量处理装置,包括:
第一获取单元,用于获取待检测的流量,所述流量包括目的地址和源地址;
第一检测单元,用于对所述流量进行异常检测;
第二获取单元,用于当检测到所述流量存在攻击异常时,基于所述目的地址执行初始防护操作,并获取所述初始防护操作对应的防护日志;
第二检测单元,用于基于所述防护日志对所述流量进行异常类型检测;
升级单元,用于当检测到所述流量的异常类型为目标类型时,基于防护升级策略升级所述初始防护操作,得到目标防护操作;
执行单元,用于执行所述目标防护操作,以拦截所述源地址对应的异常流量。
根据本申请的一个方面,还提供了一种计算机设备,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行本申请实施例提供的任一种异常流量处理方法。
根据本申请的一个方面,还提供了一种存储介质,所述存储介质用于存储计算机程序,所述计算机程序被处理器加载,以执行本申请实施例提供的任一种异常流量处理方法。
根据本申请的一个方面,还提供了一种计算机程序,所述计算机程序包括计算机指令,所述计算机指令存储在计算机可读存储介质中,计算机设备的处理器从所述计算机可读存储介质读取所述计算机指令,所述处理器执行所述计算机指令,使得所述计算机设备执行本申请实施例提供的任一种异常流量处理方法。
本申请实施例可以获取待检测的流量,流量包括目的地址和源地址;然后可以对流量进行异常检测,当检测到流量存在攻击异常时,基于目的地址执行初始防护操作,并获取初始防护操作对应的防护日志;其次,可以基于防护日志对流量进行异常类型检测,当检测到流量的异常类型为目标类型时,基于防护升级策略升级初始防护操作,得到目标防护操作,此时可以执行目标防护操作,以拦截源地址对应的异常流量。该方案实现了自动对流量进行异常检测以及升级防护操作等,相对于现有的人工处理,提高了对异常流量处理及时性、便捷性和效率,以及降低了人力成本,并且提高了基于流量进行数据传输的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的异常流量处理方法应用的场景示意图;
图2是本申请实施例提供的异常流量处理方法的流程示意图;
图3是本申请实施例提供的异常流量处理系统架构的示意图;
图4是本申请实施例提供的异常流量处理方法的另一流程示意图;
图5是本申请实施例提供的异常流量处理装置的示意图;
图6是本申请实施例提供的计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种异常流量处理方法、装置、计算机设备及存储介质。
请参阅图1,图1为本申请实施例所提供的异常流量处理方法应用的场景示意图,该异常流量处理方法应用可以包括异常流量处理装置,该异常流量处理装置具体可以集成在计算机设备中,该计算机设备可以是服务器,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。
其中,计算机设备可以用于获取待检测的流量,以及对流量进行异常检测,当检测到流量存在攻击异常时,基于该流量对应的目的地址执行初始防护操作,并获取初始防护操作对应的防护日志。然后,可以基于防护日志对流量进行异常类型检测,当检测到流量的异常类型为目标类型时,基于防护升级策略升级初始防护操作,得到目标防护操作,此时可以执行目标防护操作,以拦截该流量的源地址对应的异常流量。该方案实现了自动对流量进行异常检测以及升级防护操作等,提高了对异常流量处理及时性、便捷性和效率,以及降低了人力成本,并且提高了基于流量进行数据传输的安全性。
需要说明的是,图1所示的异常流量处理方法应用的场景示意图仅仅是一个示例,本申请实施例描述的异常流量处理方法应用以及场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着异常流量处理方法应用的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
以下分别进行详细说明。需说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
在本实施例中,将从异常流量处理装置的角度进行描述,该异常流量处理装置具体可以集成在服务器等计算机设备中。
请参阅图2,图2是本申请一实施例提供的异常流量处理方法的流程示意图。该异常流量处理方法可以包括:
S101、获取待检测的流量,流量包括目的地址和源地址。
其中,待检测的流量可以是需要从互联网服务提供商(Internet ServiceProvider,ISP)的网络流向服务器的流量,例如,计算机设备可以将ISP到核心交换机方向的流量进行备份,得到待检测的流量,该流量中可以携带有流量起始流向的源地址和流量终止流向的目的地址,该源地址可以是网际互连协议(Internet Protocol,IP)的地址,简称为源IP,该目的地址可以是目的IP。
其中,ISP可以是指面向公众提供信息服务的经营者,提供的信息服务可以包括:一是接入服务,即帮助用户(即用户终端,例如手机或电脑等)接入因特网Internet;二是导航服务,即帮助用户在Internet上找到所需要的信息;三是信息服务,即建立数据服务系统,收集、加工、以及存储信息,定期维护更新,并通过网络向用户提供信息内容服务。
需要说明的是,待检测的流量及其获取方式还可以根据实际需要进行灵活设置,具体内容在此处不做限定。
S102、对流量进行异常检测。
其中,异常检测的方式可以根据实际需要进行灵活设置,具体内容在此处不做限定,例如,可以对流量进行DDoS攻击检测。
在一实施方式中,对流量进行异常检测可以包括:当基于特征过滤策略检测流量中携带有目标异常特征时,确定流量存在攻击异常。
具体地,可以通过特征过滤策略检测流量中是否携带有目标异常特征,其中,特征过滤策略和目标异常特征可以根据实际需要进行灵活设置,例如,可以从流量对应的流量数据包中提取字符特征,并判断该字符特征是否为目标异常特征(即目标异常字符特征),例如该目标异常特征可以是xxx或攻击者设定的字符等。若该字符特征为目标异常特征,则可以确定流量中携带有目标异常特征;若该字符特征不为目标异常特征,则可以确定流量中未携带有目标异常特征。当基于特征过滤策略检测流量中携带有目标异常特征时,确定流量存在攻击异常,该攻击异常可以是分布式拒绝服务攻击(Distributed Denial ofService,DDoS),即分布式的DoS攻击,。当基于特征过滤策略检测流量中未携带有目标异常特征时,确定流量不存在攻击异常。通过目标异常特征的检测来判定流量是否存在攻击异常,提高了异常检测的灵活性和便捷性。
其中,DDoS攻击可以是攻击者(例如黑客)通过控制分布在各处的僵尸网络Botnet向目的服务器发起大量异常流量,使得服务器忙于处理异常流量,无法处理正常用户请求,甚至导致系统崩溃,造成拒绝服务。僵尸网络Botnet可以是指采用一种或多种传播手段,将大量主机(例如服务器主机)感染僵尸程序(即bot程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
在一实施方式中,对流量进行异常检测可以包括:基于反向探测策略向流量对应的目的地址发送探测指令,当探测指令未被执行时,确定流量存在攻击异常。
其中,反向探测可以根据实际需要进行灵活设置,例如,可以基于反向探测策略向流量对应的目的地址发送探测指令,该探测指令可以用于指示目的地址对应的服务器执行探测响应等操作,当探测指令未被执行时,说明流量为正常流量,此时可以确定流量存在攻击异常,当探测指令被执行时,说明流量为异常流量(可以称为攻击流量),此时可以确定流量不存在攻击异常,从而提高了异常检测的准确性和便捷性。
S103、当检测到流量存在攻击异常时,基于目的地址执行初始防护操作,并获取初始防护操作对应的防护日志。
当检测到流量存在攻击异常时,由于此时仅获知流量为异常流量,而无法获知该异常流量的异常类型,因此可以先执行初始防护操作,该初始防护操作可以是将存在攻击异常的流量过滤,或者初始防护操作还可以是其他的操作方式,具体在此处不做限定。在执行初始防护操作的过程中,可以获取初始防护操作对应的防护日志(即防护日志文件),其中,该防护日志的具体内容可以根据实际需要进行灵活设置。
在一实施方式中,获取初始防护操作对应的防护日志可以包括:统计预设时间段内目的地址对应的握手信号报文传输的总包量、传输控制协议报文传输的总包量、被信任握手信号的包量、新建传输控制协议连接数、以及传输控制协议载荷出现异常特征的包量,得到防护信息;基于防护信息生成初始防护操作对应的防护日志。
为了提高防护日志生成的可靠性,以便后续可以基于防护日志准确对流量进行异常类型检测,可以统计预设时间段内目的地址对应的握手信号报文(SynchronizeSequence Numbers,SYN)传输的总包量(即TCP/IP建立连接时使用的握手信号传输的流量数据包的总包量,也可以称为转发SYN总包量)、传输控制协议报文传输的总包量(即基于TCP传输的流量数据包的总包量,也可以称为转发TCP总包量)、被信任握手信号的包量(例如命中syncookie算法信任的SYN包量)、新建传输控制协议连接数(即新建TCP连接数)、以及传输控制协议载荷出现异常特征的包量(异常特征可以称为黑特征,即TCP载荷出现黑特征的包量)等,得到防护信息。此时可以基于握手信号报文传输的总包量、传输控制协议报文传输的总包量、被信任握手信号的包量、新建传输控制协议连接数、以及传输控制协议载荷出现异常特征的包量等,生成初始防护操作对应的防护日志。需要说明的是,防护日志中还可以携带有源地址、以及目的地址等其他信息,具体内容在此处不做限定。其中,预设时间段可以根据实际需要进行灵活设置。
S104、基于防护日志对流量进行异常类型检测。
在得到防护日志后,可以基于防护日志对流量进行异常类型检测(例如DDoS攻击的类型),其中,异常类型可以包括半开式连接攻击SYNFLOOD(即连续发送SYN)、以及用户数据协议(User Datagram Protocol,UDP)反射攻击等容易防护的攻击手法,还可以包括TCP连接耗尽或者TCP四层CC(ChallengeCollapsar,挑战黑洞)攻击等高级的攻击手法。
其中,TCP连接耗尽可以是指:大量傀儡机(指可以被黑客远程控制的机器)与服务器同时建立TCP连接,而且不发送任何数据,强迫服务器维护大量无用连接,最终导致服务器连接资源耗尽,无法处理正常客户端请求。该TCP连接耗尽的防护难点在于傀儡机使用真实的源IP进行攻击,而且存在所有协议栈行为,所以无法通过反向挑战(即反向探测)、或超时重传等方式进行防护。
TCP四层CC可以是指:黑客通过控制大量傀儡机与服务器建立TCP连接后,发送大量垃圾数据,使得服务器忙于处理垃圾数据对应的垃圾流量,最终造成拒绝正常服务。该TCP四层CC攻击手法往往比TCP连接耗尽更加难以防护,因为攻击不但同样具有所有协议栈行为,而且访问行为跟正常业务更加接近,防护难度更大。
在一实施方式中,目标类型包括第一目标类型,基于防护日志对流量进行异常类型检测可以包括:当握手信号报文传输的总包量大于第一预设阈值、握手信号报文传输的总包量与传输控制协议报文传输的总包量之间的比值大于第二预设阈值、且被信任握手信号的包量等于握手信号报文传输的总包量时,确定流量的异常类型为第一目标类型。
其中,目标类型可以根据实际需要进行灵活设置,目标类型可以包括第一目标类型和第二类型等,其中,第一目标类型可以是TCP连接耗尽,第二类型可以是TCP四层CC。为了提高异常类型检测的便捷性和可靠性,可以将握手信号报文传输的总包量与第一预设阈值(例如1wpps,每秒钟转发的包量)进行比较,以及获取握手信号报文传输的总包量与传输控制协议报文传输的总包量之间的比值,并将握手信号报文传输的总包量与传输控制协议报文传输的总包量之间的比值与第二预设阈值(例如70%)进行比较,以及将被信任握手信号的包量与握手信号报文传输的总包量进行比较等,当握手信号报文传输的总包量大于第一预设阈值、握手信号报文传输的总包量与传输控制协议报文传输的总包量之间的比值大于第二预设阈值、且被信任握手信号的包量等于握手信号报文传输的总包量时,可以确定流量的异常类型为第一目标类型。反之,当握手信号报文传输的总包量不大于第一预设阈值、或握手信号报文传输的总包量与传输控制协议报文传输的总包量之间的比值不大于第二预设阈值、或被信任握手信号的包量不等于握手信号报文传输的总包量时,可以确定流量的异常类型不为第一目标类型。其中,第一预设阈值和第二预设阈值等可以根据实际需要进行灵活设置。
在一实施方式中,目标类型包括第二目标类型,基于防护日志对流量进行异常类型检测可以包括:当传输控制协议报文传输的总包量大于第三预设阈值、新建传输控制协议连接数大于预设连接数阈值、且传输控制协议载荷出现异常特征的包量大于第四预设阈值时,确定流量的异常类型为第二目标类型。
为了提高异常类型检测的准确性和可靠性,可以将传输控制协议报文传输的总包量与第三预设阈值(例如5wpps)进行比较,以及将新建传输控制协议连接数与预设连接数阈值(例如TCP连接数基线1.5倍)进行比较,以及统计传输控制协议载荷出现异常特征的包量,并将传输控制协议载荷出现异常特征的包量与第四预设阈值(例如1kpps)进行比较。当传输控制协议报文传输的总包量大于第三预设阈值、新建传输控制协议连接数大于预设连接数阈值、且传输控制协议载荷出现异常特征的包量大于第四预设阈值时,确定流量的异常类型为第二目标类型。反之,当传输控制协议报文传输的总包量不大于第三预设阈值、或新建传输控制协议连接数不大于预设连接数阈值、或传输控制协议载荷出现异常特征的包量不大于第四预设阈值时,确定流量的异常类型不为第二目标类型。其中,第三预设阈值、预设连接数阈值以及第四预设阈值等可以根据实际需要进行灵活设置。
S105、当检测到流量的异常类型为目标类型时,基于防护升级策略升级初始防护操作,得到目标防护操作。
其中,防护升级策略和目标防护操作等可以根据实际需要进行灵活设置。
在一实施方式中,当检测到流量的异常类型为目标类型时,基于防护升级策略升级初始防护操作,得到目标防护操作可以包括:当流量的异常类型为第一目标类型时,基于对源地址新建连接数限制、源地址并发连接数限制、以及连接异常行为拦截的防护升级策略升级初始防护操作,得到目标防护操作。
例如,当流量的异常类型为TCP连接耗尽时,可以基于对源地址(待检测的流量对应的源IP)新建连接数进行限制、对源地址并发连接数进行限制、以及连接异常行为进行拦截等防护升级策略升级初始防护操作,得到目标防护操作,即目标防护操作包括对源地址新建连接数进行限制、对源地址并发连接数进行限制、以及连接异常行为进行拦截等。
其中,源IP新建连接数限制可以是指在单位时间内允许源IP对被攻击IP(即目的IP)新建一定数量的TCP连接,超出数量范围的连接会被拒绝建立。源IP并发连接数限制可以是指源IP访问被攻击IP总共的连接数做限制,例如并发连接数限制为10,那么意味着只允许源IP最多同时保持10个TCP连接,超出范围的连接会被拒绝。连接异常行为拦截可以是指对源IP建立的TCP连接行为做分析,TCP连接耗尽攻击时,攻击的连接一般是TCP三次握手后直接断开,或者不发任何数据,所以可以基于这个特征做识别:如果某个连接在TCP三次握手后直接断开或者10s内不发任何数据,说明此连接行为异常,可以将其拦截,并且将源IP封禁一段时间等。
在一实施方式中,当检测到流量的异常类型为目标类型时,基于防护升级策略升级初始防护操作,得到目标防护操作可以包括:当异常类型为第二目标类型时,基于对源地址新建连接数限制、源地址并发连接数限制、传输控制协议报文限速、以及传输控制协议报文异常特征拦截的防护升级策略升级初始防护操作,得到目标防护操作。
例如,当流量的异常类型为TCP四层CC时,可以基于对源地址新建连接数进行限制、对源地址并发连接数进行限制、对传输控制协议报文进行限速、以及对传输控制协议报文异常特征进行拦截等防护升级策略升级初始防护操作,得到目标防护操作,即目标防护操作可以包括对源地址新建连接数进行限制、对源地址并发连接数进行限制、对传输控制协议报文进行限速、以及对传输控制协议报文异常特征进行拦截等。其中,TCP报文异常特征(即黑特征)拦截可以是:因为黑特征是由黑客编写的木马发起的,所以TCP载荷上往往存在一些异于正常业务的特征字符串等黑特征,因此可以对TCP载荷出现这些黑特征的TCP报文进行拦截。
S106、执行目标防护操作,以拦截源地址对应的异常流量。
在一实施方式中,执行目标防护操作,以拦截源地址对应的异常流量可以包括:对源地址新建连接数大于第一预设连接数、源地址并发连接数大于第二预设连接数、以及连接异常行为对应的异常流量进行拦截。
针对TCP连接耗尽,可以通过连接限速进行防护,也就是针对源IP的新建连接数、以及并发连接数进行限制等,由于傀儡机的新建连接数和并发连接数往往远大于正常用户,所以通过连接限速可以防护TCP连接耗尽,还可以基于连接异常行为对异常流量进行拦截等。例如,可以判断源地址新建连接数是否大于第一预设连接数、源地址并发连接数是否大于第二预设连接数、以及检测连接异常行为对应的异常流量等,然后可以对源地址新建连接数大于第一预设连接数对应的异常流量进行拦截,以及对源地址并发连接数大于第二预设连接数对应的异常流量进行拦截,以及连接异常行为对应的异常流量进行拦截,提高了对异常流量拦截的及时性和可靠性。其中,第一预设连接数和第二预设连接数等可以根据实际需要进行灵活设置。
在一实施方式中,执行目标防护操作,以拦截源地址对应的异常流量可以包括:对源地址新建连接数大于第三预设连接数、源地址并发连接数大于第四预设连接数、传输控制协议报文的速度大于预设速度阈值、以及传输控制协议报文中存在异常特征对应的异常流量进行拦截。
例如,针对TCP四层CC,可以通过连接限速、TCP报文限速、以及攻击特征(即异常特征)拦截等方式做防护。由于部分攻击木马使用固定字符串填充,所以会出现部分异于正常业务的特征字符串,所以可以通过攻击特征拦截以过滤这些特征字符串进行防护。例如,可以判断对源地址新建连接数是否大于第三预设连接数、源地址并发连接数是否大于第四预设连接数、传输控制协议报文的速度是否大于预设速度阈值、以及传输控制协议报文中是否存在异常特征等。然后可以对源地址新建连接数大于第三预设连接数、源地址并发连接数大于第四预设连接数、传输控制协议报文的速度大于预设速度阈值、以及传输控制协议报文中存在异常特征对应的异常流量进行拦截。其中,第三预设连接数、第四预设连接数和预设速度阈值等可以根据实际需要进行灵活设置。
实现了基于防护日志自动识别TCP连接耗尽和TCP四层CC攻击透传,并且自动升级对应的防护操作,实现对TCP连接耗尽和TCP四层CC攻击等击场景的自动检测和自动防护,实现了智能防护,解决了现有防护方案延迟大以及人力投入大等问题。
本申请实施例可以获取待检测的流量,流量包括目的地址和源地址;然后可以对流量进行异常检测,当检测到流量存在攻击异常时,基于目的地址执行初始防护操作,并获取初始防护操作对应的防护日志;其次,可以基于防护日志对流量进行异常类型检测,当检测到流量的异常类型为目标类型时,基于防护升级策略升级初始防护操作,得到目标防护操作,此时可以执行目标防护操作,以拦截源地址对应的异常流量。该方案实现了自动对流量进行异常检测以及升级防护操作等,相对于现有的人工处理,提高了对异常流量处理及时性、便捷性和效率,以及降低了人力成本,并且提高了基于流量进行数据传输的安全性。
根据上述实施例所描述的方法,以下将举例作进一步详细说明。
本实施例以异常流量处理装置集成在服务器集群为例,如图3所示,该服务器集群可以包括检测系统、控制系统以及防护系统等,其中,ISP对应的流量依次通过分光交换机、核心交换机、以及网关交换机等传输至服务器,在流量通过分光交换机流向核心交换机的过程中,分光交换机可以将流量镜像至检测系统,通过检测系统对流量进行DDoS攻击检测,并在检测到DDoS攻击时,向控制系统发送DDoS攻击告警,然后可以通过控制系统向防护系统发送防护指令,以指示防护系统进行防护操作,并向控制系统返回防护日志,以及通过控制系统基于防护日志进行TCP连接耗尽和TCP四层CC等高级攻击进行检测,当检测到高级攻击时,控制系统可以向防护系统发送防护升级策略,以便基于防护升级策略进行策略升级。核心交换机可以将接收的流量牵引至防护系统,防护系统可以基于升级后的防护操作将筛选出来的正常流量回注至核心交换机,核心交换机将正常流量通过网关交换机传输至服务器。以下将进行详细说明。
请参阅图4,图4为本申请实施例提供的异常流量处理方法的流程示意图。该方法流程可以包括:
S10、ISP将流量传输至分光交换机。
S11、分光交换机将流量镜像至检测系统。
其中,分光交换机可以部署在ISP网络和核心交换机之间,用于将ISP到核心交换机方向的流量镜像分光(即将流量备份copy一份)发送到流量检测系统,该流量中可以携带有流量源IP和目的IP等信息。
S12、检测系统对流量进行DDoS攻击检测,并当检测到存在DDoS攻击时,生成DDoS攻击告警。
例如,可以检测流量中是否携带有DDoS攻击对应的目标异常特征,当流量中携带有DDoS攻击对应的目标异常特征时,可以确定流量存在DDoS攻击,当流量中未携带有DDoS攻击对应的目标异常特征时,可以确定流量不存在DDoS攻击。
又例如,可以向流量对应的目的IP发送探测指令,当探测指令未被执行时,可以确定流量存在DDoS攻击,当探测指令被执行时,可以确定流量不存在DDoS攻击。当检测到存在DDoS攻击时,生成DDoS攻击告警,该DDoS攻击告警类型和具体内容等可以根据实际需要进行灵活设置。
需要说明的是,由于检测系统基于镜像流量做数据统计和分析,所以只能简单判断是否出现DDoS攻击,这里的DDoS攻击即包SYNFLOOD、UDP反射攻击等容易防护的攻击手法,也包括TCP连接耗尽或者TCP四层CC攻击等高级的攻击手法,检测系统无法区分具体哪种类型,只是产生DDoS攻击告警。
S13、检测系统将DDoS攻击告警发送给控制系统。
S14、控制系统基于接收到的DDoS攻击告警,向防护系统发送保护指令。
S15、防护系统基于保护指令执行初始防护操作。
S16、防护系统基于初始防护操作生成防护日志,并将防护日志发送给控制系统。
当控制系统接收到DDoS攻击告警时,由于此时仅获知流量为异常流量(即攻击流量),而无法获知该异常流量的异常类型,因此控制系统可以向防护系统发送保护指令,以指示防护系统启动防护,此时防护系统可以先执行初始防护操作,该初始防护操作可以是对被攻击的目的IP的流量进行牵引(即获取目的IP的流量),并对目的IP的流量进行识别和清洗,以将存在攻击异常的流量过滤,或者初始防护操作还可以是其他的操作方式,具体在此处不做限定。如果是普通的DDoS攻击,例如SYNFLOOD、UDP反射等,则防护系统上预设的默认策略可以将攻击流量清洗干净,完成防护。而如果是TCP连接耗尽或者TCP四层CC攻击等高级的攻击手法则在刚开始可能会出现透传,而成功防护还是防护透传,防护日志都会实时上报到控制系统。即在执行初始防护操作的过程中,防护系统可以生成初始防护操作对应的防护日志。例如,可以统计预设时间段内目的IP对应的握转发SYN总包量、转发TCP总包量、命中syncookie算法信任的SYN包量、新建TCP连接数、以及TCP载荷出现黑特征的包量等防护信息,以生成初始防护操作对应的防护日志。
S17、控制系统基于防护日志对流量进行高级攻击类型检测。
在接收到防护日志后,可以控制系统可以基于防护日志对流量进行高级攻击类型检测,该高级攻击类型可以包括TCP连接耗尽和TCP四层CC等。
例如,当转发SYN总包量大于1wpps、转发SYN总包量与转发TCP总包量之间的比值大于70%、且命中syncookie算法信任的SYN包量等于转发SYN总包量时,确定流量的异常类型为TCP连接耗尽。
又例如,当转发TCP总包量大于5wpps、新TCP连接数大于TCP连接数基线1.5倍、且TCP载荷出现异常特征的包量大于1kpps时,可以确定流量的异常类型为TCP四层CC。
S18、当检测到高级攻击类型时,向防护系统发送防护升级策略。
S19、防护系统执行目标防护操作。
防护系统可以基于防护升级策略对初始防护操作进行升级,得到升级后的目标防护操作,并执行该目标防护操作。
例如,当出现TCP连接耗尽或者TCP四层CC攻击等高级的攻击手法时,由于初始防护操作可能无法拦截这些高级攻击,所以会造成攻击流量透传,而因为防护系统会将防护日志实时返回到控制系统,所以控制系统可以基于防护日志自动判断出现攻击透传后,自动定位透传原因,即确定攻击类型,并且下发策略升级指令给防护系统。防护系统就可以根据策略升级指令,动态调整防护策略,以基于防护升级策略对初始防护操作进行升级,得到升级后的目标防护操作,完成负反馈的自动升级策略过程。
其中,控制系统检测高级攻击类型的判断依据可以如表1所示:
表1.检测高级DDoS攻击类型的判断依据
其中,表1中,基于告警类型的判断依据可以是指检测系统初步判断到的DDoS攻击告警类型。因为高级的DDoS攻击发生时在包量上就会出现异常,所以会触发SYNFLOOD、ACKFLOOD等的DDoS告警。
基于流量日志的判断依据可以是指防护系统基于当前防护情况的数据统计,这里可以将透传的各种类型报文(例如SYN或ACK)的包总量、新建连接数、命中算法信任的包总量统计等维度进行实时统计,例如转发SYN包总量可以是指单位时间内被攻击IP从防护系统上透传SYN报文数量总和。
命中syncookie算法信任可以是指防护系统对SYNFLOOD默认会有反向挑战算法,也就是syncookie算法,该syncookie算法可以防护普通的SYNFLOOD攻击,但是对于高级的DDoS攻击会被绕过,也就是攻击流量会被syncookie算法误以为是正常流量而加入信任。
新建TCP连接数>TCP连接数基线1.5倍:新建连接数可以是指当前被攻击IP在单位时间内新建TCP连接数的总和。TCP连接数基线可以是指被攻击IP正常业务新建连接数的峰值情况,例如正常业务情况下,被攻击IP在1秒内新建连接数是100个。那么TCP连接数基线就是100个/秒。当DDoS攻击发生时,新建连接数>TCP连接数基线1.5倍,说明有可能出现了基于TCP连接的高级DDoS攻击手法。
TCP载荷出现黑特征的包量:TCP四层CC攻击报文因为是黑客编写的木马发起的,所以载荷上往往存在一些异于正常业务的特征字符串,因此可以收集这些字符串作为黑特征,当TCP四层CC攻击出现时,命中这些黑特征的报文会大大增多,所以该维度可以作为判断依据之一。
上述对于被攻击IP统计发现某个被攻击IP同时命中“基于告警类型的判断依据”和“基于流量日志的判断依据”,这说明出现了TCP连接耗尽或者TCP四层CC攻击,而且出现了透传。此时控制系统可以下发对应的策略升级指令,以指示防护系统可以基于防护升级策略对初始防护操作进行升级,得到升级后的目标防护操作,并执行该目标防护操作,以完成基于负反馈的自动升级防护策略(即防护升级策略)。其中,防护升级策略可以如表2所示。
表2.防护升级策略的说明
表2中,源IP新建连接数限制可以是指在单位时间内,指允许源IP对被攻击IP新建一定数量的TCP连接,超出范围的连接会被防护系统拒绝。
源IP并发连接数限制可以是指源IP访问被攻击IP总共的连接数做限制,例如并发连接数限制为10,那么意味着只允许源IP最多同时保持10个TCP连接,超出范围的连接会被防护系统拒绝。
连接行为检查和拦截可以是指防护系统对源IP建立的TCP连接行为做分析。TCP连接耗尽攻击时,攻击的连接一般是TCP三次握手后直接断开,或者不发任何数据,所以防护系统可以基于这个特征做识别:如果某个连接在TCP三次握手后直接断开或者10s内不发任何数据,说明此连接行为异常,将其拦截,并且将来源IP封禁一段时间。
TCP报文黑特征拦截:黑特征如上文所述,是因为黑客编写的木马发起的,所以载荷上往往存在一些异于正常业务的特征字符串,防护系统可以对载荷出现这些黑特征的TCP报文进行拦截。
S20、防护系统基于执行的目标防护操作,将异常流量过滤,即将拦截源地址对应的异常流量,并将正常流量传输至核心交换机。
S21、核心交换机将正常流量传输至网关交换机。
S22、网关交换机将正常流量传输至服务器。
其中,防护系统可以用于对源IP对应的攻击流量进行拦截,完成攻击防护,防护系统可以与核心交换机建立边界网关协议(Border Gateway Protocol,BGP)邻居,当需要对某个目的IP进行保护时,可以向核心交换机发送32位主机路由(其中主机路由可以是标记一个32位的目的IP),使核心交换机将对应目的IP的流量转发到防护系统,防护系统将攻击流量丢弃后,会将合法的正常流量回注到核心交换机,核心交换机再将流量转发到服务器,完成整个防护过程。
需要说明的是,当攻击停止之后,控制系统可以控制防护系统撤销对被攻击IP的保护,已经清除下发的防护升级策略,规避这些防护升级策略对正常业务的误杀风险。本实施例基于负反馈的自动升级策略的DDoS智能防护方案可以用于应对TCP连接耗尽、以及TCP四层CC等高级的DDoS攻击手法,相比传统的人工定制策略的方法,本方案在防护效率以及人力投入等方面有明显的优势,可以在这些高级DDoS攻击出现后,快速地自动化地升级对应的防护策略实现有效防护。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上文针对异常流量处理方法的详细描述,此处不再赘述。
本申请实施例中分光交换机可以将流量镜像至检测系统,通过检测系统对流量进行DDoS攻击检测,并在检测到DDoS攻击时,向控制系统发送DDoS攻击告警,然后可以通过控制系统向防护系统发送防护指令,以指示防护系统进行防护操作,并向控制系统返回防护日志,以及通过控制系统基于防护日志进行TCP连接耗尽和TCP四层CC等高级攻击进行检测,当检测到高级攻击时,控制系统可以向防护系统发送防护升级策略,以便基于防护升级策略进行策略升级。核心交换机可以将接收的流量牵引至防护系统,防护系统可以基于升级后的防护操作将筛选出来的正常流量回注至核心交换机,核心交换机将正常流量通过网关交换机传输至服务器。实现了自动对流量进行异常检测以及升级防护操作等,提高了对异常流量处理及时性、便捷性和效率,以及降低了人力成本,并且提高了基于流量进行数据传输的安全性。
为便于更好的实施本申请实施例提供的异常流量处理方法,本申请实施例还提供一种基于上述异常流量处理方法的装置。其中名词的含义与上述异常流量处理方法中相同,具体实现细节可以参考方法实施例中的说明。
请参阅图5,图5为本申请实施例提供的异常流量处理装置的结构示意图,其中该异常流量处理装置可以包括第一获取单元301、第一检测单元302、第二获取单元303、第二检测单元304、升级单元305以及执行单元306等。
其中,第一获取单元301,用于获取待检测的流量,流量包括目的地址和源地址;
第一检测单元302,用于对流量进行异常检测。
第二获取单元303,用于当检测到流量存在攻击异常时,基于目的地址执行初始防护操作,并获取初始防护操作对应的防护日志。
第二检测单元304,用于基于防护日志对流量进行异常类型检测。
升级单元305,用于当检测到流量的异常类型为目标类型时,基于防护升级策略升级初始防护操作,得到目标防护操作。
执行单元306,用于执行目标防护操作,以拦截源地址对应的异常流量。
在一实施方式中,第二获取单元303具体可以用于统计预设时间段内目的地址对应的握手信号报文传输的总包量、传输控制协议报文传输的总包量、被信任握手信号的包量、新建传输控制协议连接数、以及传输控制协议载荷出现异常特征的包量,得到防护信息;基于防护信息生成初始防护操作对应的防护日志。
在一实施方式中,目标类型包括第一目标类型,第二检测单元304具体可以用于:当握手信号报文传输的总包量大于第一预设阈值、握手信号报文传输的总包量与传输控制协议报文传输的总包量之间的比值大于第二预设阈值、且被信任握手信号的包量等于握手信号报文传输的总包量时,确定流量的异常类型为第一目标类型。
在一实施方式中,目标类型包括第二目标类型,第二检测单元304具体可以用于:当传输控制协议报文传输的总包量大于第三预设阈值、新建传输控制协议连接数大于预设连接数阈值、且传输控制协议载荷出现异常特征的包量大于第四预设阈值时,确定流量的异常类型为第二目标类型。
在一实施方式中,升级单元305具体可以用于:当流量的异常类型为第一目标类型时,基于对源地址新建连接数限制、源地址并发连接数限制、以及连接异常行为拦截的防护升级策略升级初始防护操作,得到目标防护操作。
在一实施方式中,执行单元306具体可以用于:对源地址新建连接数大于第一预设连接数、源地址并发连接数大于第二预设连接数、以及连接异常行为对应的异常流量进行拦截。
在一实施方式中,升级单元305具体可以用于:当异常类型为第二目标类型时,基于对源地址新建连接数限制、源地址并发连接数限制、传输控制协议报文限速、以及传输控制协议报文异常特征拦截的防护升级策略升级初始防护操作,得到目标防护操作。
在一实施方式中,执行单元306具体可以用于:对源地址新建连接数大于第三预设连接数、源地址并发连接数大于第四预设连接数、传输控制协议报文的速度大于预设速度阈值、以及传输控制协议报文中存在异常特征对应的异常流量进行拦截。
在一实施方式中,第一检测单元302具体可以用于:当基于特征过滤策略检测流量中携带有目标异常特征时,确定流量存在攻击异常;或者,基于反向探测策略向流量对应的目的地址发送探测指令,当探测指令未被执行时,确定流量存在攻击异常。
本申请实施例可以由第一获取单元301获取待检测的流量,流量包括目的地址和源地址;然后可以由第一检测单元302对流量进行异常检测,当检测到流量存在攻击异常时,可以由第二获取单元303基于目的地址执行初始防护操作,并获取初始防护操作对应的防护日志;其次,可以由第二检测单元304基于防护日志对流量进行异常类型检测,当检测到流量的异常类型为目标类型时,可以由升级单元305基于防护升级策略升级初始防护操作,得到目标防护操作,此时可以由执行单元306执行目标防护操作,以拦截源地址对应的异常流量。该方案实现了自动对流量进行异常检测以及升级防护操作等,相对于现有的人工处理,提高了对异常流量处理及时性、便捷性和效率,以及降低了人力成本,并且提高了基于流量进行数据传输的安全性。
本申请实施例还提供一种计算机设备,该计算机设备可以是独立服务器或服务器集群等,如图6所示,其示出了本申请实施例所涉及的计算机设备的结构示意图,具体来讲:
该计算机设备可以包括一个或者一个以上处理核心的处理器401、一个或一个以上计算机可读存储介质的存储器402、电源403和输入单元404等部件。本领域技术人员可以理解,图6中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器401是该计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块,以及调用存储在存储器402内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监控。可选的,处理器401可包括一个或多个处理核心;优选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器402的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以包括存储器控制器,以提供处理器401对存储器402的访问。
计算机设备还包括给各个部件供电的电源403,优选的,电源403可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源403还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该计算机设备还可包括输入单元404,该输入单元404可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,计算机设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,计算机设备中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能,如下:
获取待检测的流量,流量包括目的地址和源地址;对流量进行异常检测,当检测到流量存在攻击异常时,基于目的地址执行初始防护操作,并获取初始防护操作对应的防护日志;基于防护日志对流量进行异常类型检测,当检测到流量的异常类型为目标类型时,基于防护升级策略升级初始防护操作,得到目标防护操作;执行目标防护操作,以拦截源地址对应的异常流量。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上文针对异常流量处理方法的详细描述,此处不再赘述。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中各种可选实现方式中提供的方法。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过计算机指令来完成,或通过计算机指令控制相关的硬件来完成,该计算机指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本申请实施例提供一种存储介质,其中存储有计算机程序,计算机程序可以包括计算机指令,该计算机程序能够被处理器进行加载,以执行本申请实施例所提供的任一种异常流量处理方法。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种异常流量处理方法中的步骤,因此,可以实现本申请实施例所提供的任一种异常流量处理方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本申请实施例所提供的一种异常流量处理方法、装置、计算机设备及存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (13)
1.一种异常流量处理方法,其特征在于,包括:
获取待检测的流量,所述流量包括目的地址和源地址;
对所述流量进行异常检测;
当检测到所述流量存在攻击异常时,基于所述目的地址执行初始防护操作,并获取所述初始防护操作对应的防护日志;
基于所述防护日志对所述流量进行异常类型检测;
当检测到所述流量的异常类型为目标类型时,基于防护升级策略升级所述初始防护操作,得到目标防护操作;
执行所述目标防护操作,以拦截所述源地址对应的异常流量。
2.根据权利要求1所述的异常流量处理方法,其特征在于,所述获取所述初始防护操作对应的防护日志包括:
统计预设时间段内所述目的地址对应的握手信号报文传输的总包量、传输控制协议报文传输的总包量、被信任握手信号的包量、新建传输控制协议连接数、以及传输控制协议载荷出现异常特征的包量,得到防护信息;
基于所述防护信息生成所述初始防护操作对应的防护日志。
3.根据权利要求2所述的异常流量处理方法,其特征在于,所述目标类型包括第一目标类型,所述基于所述防护日志对所述流量进行异常类型检测包括:
当所述握手信号报文传输的总包量大于第一预设阈值、所述握手信号报文传输的总包量与所述传输控制协议报文传输的总包量之间的比值大于第二预设阈值、且所述被信任握手信号的包量等于所述握手信号报文传输的总包量时,确定所述流量的异常类型为第一目标类型。
4.根据权利要求2所述的异常流量处理方法,其特征在于,所述目标类型包括第二目标类型,所述基于所述防护日志对所述流量进行异常类型检测包括:
当所述传输控制协议报文传输的总包量大于第三预设阈值、所述新建传输控制协议连接数大于预设连接数阈值、且所述传输控制协议载荷出现异常特征的包量大于第四预设阈值时,确定所述流量的异常类型为第二目标类型。
5.根据权利要求3所述的异常流量处理方法,其特征在于,所述当检测到所述流量的异常类型为目标类型时,基于防护升级策略升级所述初始防护操作,得到目标防护操作包括:
当所述流量的异常类型为第一目标类型时,基于对所述源地址新建连接数限制、所述源地址并发连接数限制、以及连接异常行为拦截的防护升级策略升级所述初始防护操作,得到目标防护操作。
6.根据权利要求5所述的异常流量处理方法,其特征在于,所述执行所述目标防护操作,以拦截所述源地址对应的异常流量包括:
对所述源地址新建连接数大于第一预设连接数、所述源地址并发连接数大于第二预设连接数、以及所述连接异常行为对应的异常流量进行拦截。
7.根据权利要求4所述的异常流量处理方法,其特征在于,所述当检测到所述流量的异常类型为目标类型时,基于防护升级策略升级所述初始防护操作,得到目标防护操作包括:
当异常类型为第二目标类型时,基于对所述源地址新建连接数限制、所述源地址并发连接数限制、传输控制协议报文限速、以及传输控制协议报文异常特征拦截的防护升级策略升级所述初始防护操作,得到目标防护操作。
8.根据权利要求7所述的异常流量处理方法,其特征在于,所述执行所述目标防护操作,以拦截所述源地址对应的异常流量包括:
对所述源地址新建连接数大于第三预设连接数、所述源地址并发连接数大于第四预设连接数、传输控制协议报文的速度大于预设速度阈值、以及传输控制协议报文中存在异常特征对应的异常流量进行拦截。
9.根据权利要求1至8任一项所述的异常流量处理方法,其特征在于,所述对所述流量进行异常检测包括:
当基于特征过滤策略检测所述流量中携带有目标异常特征时,确定所述流量存在攻击异常;或者,
基于反向探测策略向所述流量对应的目的地址发送探测指令,当所述探测指令未被执行时,确定所述流量存在攻击异常。
10.一种异常流量处理装置,其特征在于,包括:
第一获取单元,用于获取待检测的流量,所述流量包括目的地址和源地址;
第一检测单元,用于对所述流量进行异常检测;
第二获取单元,用于当检测到所述流量存在攻击异常时,基于所述目的地址执行初始防护操作,并获取所述初始防护操作对应的防护日志;
第二检测单元,用于基于所述防护日志对所述流量进行异常类型检测;
升级单元,用于当检测到所述流量的异常类型为目标类型时,基于防护升级策略升级所述初始防护操作,得到目标防护操作;
执行单元,用于执行所述目标防护操作,以拦截所述源地址对应的异常流量。
11.一种计算机设备,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至9任一项所述的异常流量处理方法。
12.一种存储介质,其特征在于,所述存储介质用于存储计算机程序,所述计算机程序被处理器加载以执行权利要求1至9任一项所述的异常流量处理方法。
13.一种计算机程序,其特征在于,所述计算机程序包括计算机指令,所述计算机指令存储在计算机可读存储介质中,计算机设备的处理器从所述计算机可读存储介质读取所述计算机指令,所述处理器执行所述计算机指令,使得所述计算机设备执行权利要求1至9任一项所述的异常流量处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011532542.5A CN114745142B (zh) | 2020-12-23 | 2020-12-23 | 一种异常流量处理方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011532542.5A CN114745142B (zh) | 2020-12-23 | 2020-12-23 | 一种异常流量处理方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114745142A true CN114745142A (zh) | 2022-07-12 |
| CN114745142B CN114745142B (zh) | 2023-11-24 |
Family
ID=82273918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011532542.5A Active CN114745142B (zh) | 2020-12-23 | 2020-12-23 | 一种异常流量处理方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114745142B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225393A (zh) * | 2022-07-20 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种源限速方法及装置、计算机程序产品、电子设备 |
| CN115412363A (zh) * | 2022-09-13 | 2022-11-29 | 杭州迪普科技股份有限公司 | 异常流量日志处理方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190068624A1 (en) * | 2017-08-31 | 2019-02-28 | Charter Communications Operating, Llc | Distributed denial-of-service attack detection and mitigation based on autonomous system number |
| CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
| CN111262851A (zh) * | 2020-01-14 | 2020-06-09 | 中移(杭州)信息技术有限公司 | Ddos攻击检测方法、装置、电子设备及存储介质 |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
-
2020
- 2020-12-23 CN CN202011532542.5A patent/CN114745142B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190068624A1 (en) * | 2017-08-31 | 2019-02-28 | Charter Communications Operating, Llc | Distributed denial-of-service attack detection and mitigation based on autonomous system number |
| CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
| CN111262851A (zh) * | 2020-01-14 | 2020-06-09 | 中移(杭州)信息技术有限公司 | Ddos攻击检测方法、装置、电子设备及存储介质 |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225393A (zh) * | 2022-07-20 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种源限速方法及装置、计算机程序产品、电子设备 |
| CN115225393B (zh) * | 2022-07-20 | 2023-09-26 | 北京天融信网络安全技术有限公司 | 一种源限速方法及装置、电子设备 |
| CN115412363A (zh) * | 2022-09-13 | 2022-11-29 | 杭州迪普科技股份有限公司 | 异常流量日志处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114745142B (zh) | 2023-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220045990A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
| CN111294365B (zh) | 攻击流量防护系统、方法、装置、电子设备和存储介质 | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
| US8006304B2 (en) | System and method for ARP anti-spoofing security | |
| US20060230456A1 (en) | Methods and apparatus to maintain telecommunication system integrity | |
| US8732296B1 (en) | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware | |
| US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
| WO2010031288A1 (zh) | 一种僵尸网络的检测方法和系统 | |
| WO2019179375A1 (zh) | 一种防御网络攻击的方法及装置 | |
| US20010039623A1 (en) | System, method and apparatus for preventing transmission of data on a network | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| US20030009554A1 (en) | Method and apparatus for tracing packets in a communications network | |
| US9531673B2 (en) | High availability security device | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| CN110365658B (zh) | 一种反射攻击防护与流量清洗方法、装置、设备及介质 | |
| CN104243408A (zh) | 域名解析服务dns系统中监控报文的方法、装置及系统 | |
| CN110213214B (zh) | 一种攻击防护方法、系统、装置和存储介质 | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| CN114745142B (zh) | 一种异常流量处理方法、装置、计算机设备及存储介质 | |
| EP1461704B1 (en) | Protecting against malicious traffic | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |