CN114826741B - 一种攻击监测系统及攻击监测方法 - Google Patents
一种攻击监测系统及攻击监测方法 Download PDFInfo
- Publication number
- CN114826741B CN114826741B CN202210452966.3A CN202210452966A CN114826741B CN 114826741 B CN114826741 B CN 114826741B CN 202210452966 A CN202210452966 A CN 202210452966A CN 114826741 B CN114826741 B CN 114826741B
- Authority
- CN
- China
- Prior art keywords
- monitoring
- server
- target
- flow
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 266
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012806 monitoring device Methods 0.000 claims abstract description 129
- 230000002159 abnormal effect Effects 0.000 claims abstract description 79
- 230000007123 defense Effects 0.000 abstract description 4
- 230000005856 abnormality Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000009792 diffusion process Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002498 deadly effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种攻击监测系统及攻击监测方法,该方法应用于监测服务器中,该方法为:向每个第一监测设备发送监测指令,所述监测指令中携带所要监测的目标服务器的第一地址,所述第一监测设备用于对对应监测区域内的区域设备进行监测;接收各第一监测设备发送的流量统计信息;若根据各流量统计信息确认发往所述目标服务器的流量存在异常,则确认所述目标服务器被攻击。由此,监测服务器可以有效地识别出服务器是否受到攻击,即,实现了在区域设备侧对发往目标服务器的流量的识别,进而在识别出攻击时及时做出应对措施,在一定程度上实现了攻击防御。
Description
技术领域
本申请涉及安全技术领域,尤其涉及一种攻击监测系统及攻击监测方法。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是目前黑客惯用的一种网络攻击手段,指的是利用足够数量且分布在不同地方的傀儡计算机产生数量庞大的攻击数据包,对网络中的一台或者多台目标计算机发起攻击,造成被攻击的计算机无法提供正常的服务。
而SYN-Flood攻击是最常见的DDoS攻击,也是最经典的拒绝服务攻击方式,它利用了TCP协议实现上的缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,这就会造成目标计算机中的半开连接队列被占满,从而阻止其他合法用户进行访问。
目前提供的DDOS攻击是针对服务器端收到的攻击进行防护设计,但是当DDOS攻击的流量过大时,目前现有的防护方案基本不起作用,而且无法定位攻击源头,也就是说,目前尚未有公认的有效识别DDOS攻击的方法。
因此,如何对DDOS攻击进行有效的识别是值得考虑的技术问题之一。
发明内容
有鉴于此,本申请提供一种攻击监测系统及攻击监测方法,用以对DDOS攻击进行有效的识别,以及时进行DDOS防御。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种攻击监测系统,包括监测服务器、至少一个服务器和至少一个用于监测终端的第一监测设备,每个第一监测设备用于监测对应监测区域内的区域设备,其中:
所述监测服务器,用于向每个第一监测设备发送监测指令,所述监测指令中携带所要监测的目标服务器的第一地址,所述目标服务器为所述至少一个服务器中的一个;
每个第一监测设备,用于在接收到所述监测指令后,对从对应监测区域内区域设备发送的目的IP为所述第一地址的流量进行统计,得到流量统计信息;将所述流量统计信息发送给所述监测服务器;
所述监测服务器,还用于接收各第一监测设备发送的流量统计信息;若根据各流量统计信息确认发往所述目标服务器的流量存在异常,则确认所述目标服务器被攻击。
根据本申请的第二方面,提供一种攻击监测方法,应用于监测服务器,所述方法,包括:
向每个第一监测设备发送监测指令,所述监测指令中携带所要监测的目标服务器的第一地址,所述第一监测设备用于对对应监测区域内的区域设备进行监测;
接收各第一监测设备发送的流量统计信息;
若根据各流量统计信息确认发往所述目标服务器的流量存在异常,则确认所述目标服务器被攻击。
根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
本申请实施例提供的攻击监测系统及攻击监测方法中,利用监测服务器向各个第一监测设备下发期望监测的目标服务器的第一地址,以使各个第一监测设备可以统计得到对应监测区域内区域设备发往目标服务器的流量统计信息,进而上报给监测服务器,由此,监测服务器就可以有效地识别出服务器是否受到攻击,即,实现了在区域设备侧对发往目标服务器的流量的识别,进而在识别出攻击时及时做出应对措施,在一定程度上实现了攻击防御。
附图说明
图1是本申请实施例提供的一种攻击监测系统的结构示意图;
图2是本申请实施例提供的一种监测服务器与第一监测设备实施的攻击监测方法的交换流程示意图;
图3是本申请实施例提供的一种攻击监测方法的流程示意图;
图4是本申请实施例提供的一种攻击监测装置的结构示意图;
图5是本申请实施例提供的一种实施攻击监测方法的电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请提供的攻击监测系统进行详细地说明。
参见图1,图1是本申请提供的一种攻击监测系统的结构示意图,该攻击检测系统包括监测服务器、至少一个服务器和至少一个用于监测终端的第一监测设备(1~n),每个第一监测设备用于监测对应监测区域(1~n)内的区域设备,上述监测服务器与每个第一监测设备之间的交互流程可以参考图2所示,包括以下步骤:
S201、监测服务器向每个第一监测设备发送监测指令,所述监测指令中携带所要监测的目标服务器的第一地址。
其中,上述目标服务器为所述至少一个服务器中的一个。
具体地,目前现有的DDOS攻击是针对服务器受到攻击时进行设计,当DDOS攻击的流量过大时,大部分的防护方案基本不起作用,而且也无法定位到攻击的源头。有鉴于此,可以将本申请提供的攻击监测系统应该也到DDOS攻击场景中,以有效识别出DDOS攻击。即,本申请提出在区域设备的流量到达服务器之前,引入第一监测设备,即,将区域设备外接第一监测设备,这样,就可以将流量流入到第一监测设备。然后由第一监测设备对区域设备发往服务器的流量进行监测。
需要说明的是,众所周知一般提供服务的服务器是分布式的,不同的服务器负责不同的区域,基于此原理,可以针对服务器服务的区域进行网络规划设计。如图1所示,本申请将服务器服务的区域划分成若干个小的监测区域,并将每个监测区域配置一个第一监测设备,即,将每个监测区域内的区域设备接入到一个第一监测设备中。
可选地,上述监测区域划分的原则是该监测区域配置的第一监测设备的性能可以满足该监测区域内的所有区域设备同时运行的最大流量,这样就可以对监测区域内的所有流量进行分析。每个第一监测设备会连接到对应的服务器,以使监测区域内的区域设备的流量能够到达对应的服务器,即实现流量消息的实时同步。
这样,当监测服务器需要监测某个服务器(即上述目标服务器)时,会向每个第一监测设备发送用于监测该目标服务器的监测指令,该监测指令会携带目标服务器的第一地址。需要说明的是,上述第一地址可以但不限于为目标服务器的IP地址。
值得注意的是,上述区域设备可以但不限于为终端设备等等。
S202、每个第一监测设备在接收到所述监测指令后,对从对应监测区域内区域设备发送的目的IP为所述第一地址的流量进行统计,得到流量统计信息;将所述流量统计信息发送给所述监测服务器。
本步骤中,针对每个第一监测设备,该第一监测设备在接收到监测服务器发送的监测指令后,就可以从监测指令中解析出目标服务器的第一地址,然后对该第一监测设备内区域设备到达该第一监测设备中的流量中目的地址为第一地址的流量进行统计,从而可以得到目的地址为第一地址的流量的流量统计信息,然后将统计得到的针对目标服务器的流量统计信息发送给监测服务器。
可选地,上述流量统计信息可以但不限于包括访问目标服务器的最高流量值、访问目标服务器的高峰时间段等等。
S203、监测服务器接收各第一监测设备发送的流量统计信息;若根据各流量统计信息确认发往所述目标服务器的流量存在异常,则确认所述目标服务器被攻击。
本步骤中,监测服务器会对从各个第一监测设备上报的流量统计信息进行汇总,以确认发往目标服务器的总流量是否存在异常,当存在异常时,则可以确认目标服务器被攻击。
具体来说,监测服务器内设置有正常访问该目标服务器的各类流量统计信息的阈值,例如流量峰值阈值、访问频次阈值等等。基于此可以在监测服务器设置第一流量异常条件,该流量异常条件可以但不限于为总流量峰值高于第一设定流量峰值阈值,和/或,访问频次大于设定的第一访问频次阈值等等。例如,当确认访问该目标服务器的总流量峰值高于设定流量峰值阈值时,则确认发往目标服务器的总流量异常,或者,若确认访问该目标服务器的访问频次大于设定的访问频次阈值时,则也可以确认发往目标服务器的总流量异常;或者,当确认发往目标服务器的总流量峰值高于设定流量峰值阈值,且访问频次大于设定的访问频次阈值时,则可以确认发往目标服务器的总流量异常。此外,还可以统计多个时间段,然后不同的时间段,分别设置对应的流量峰值阈值及访问频次阈值等等。
采用上述攻击检测系统,利用监测服务器向各个第一监测设备下发期望监测的目标服务器的第一地址,以使各个第一监测设备可以统计得到对应监测区域内区域设备发往目标服务器的流量统计信息,进而上报给监测服务器,由此,监测服务器就可以有效地识别出服务器是否受到攻击,即,实现了在区域设备侧对发往目标服务器的流量的识别,进而在识别出攻击时及时做出应对措施,在一定程度上实现了攻击防御。
在此基础上,本实施例提供的攻击监测方法,还包括:监测服务器当确认总流量不异常时,则可以针对每个第一监测设备上报的流量统计信息进行分析处理,若确认任一第一监测设备上报的流量统计信息表征该第一监测设备对应的监测区域内存在发往目标服务器的流量异常的情况,则可以向该第一监测设备发送异常告警信息,以使第一监测设备根据该异常告警信息确认对应的监测区域内发生攻击的区域设备。
具体地,本实施例中,可能存在如下场景,至少一个监测区域对应的第一监测设备上报到监测服务器的发往目标服务器的流量是异常的,但是各个第一监测设备上报的分别发往目标服务器的总流量是正常的,基于这种场景,为了避免目标服务器之后会受到攻击,监测服务器可以先定位出发生异常的区域设备,然后执行攻击防御操作,即监测服务器会基于流量统计信息确定出发生异常的流量对应的第一监测设备,然后将异常告警信息发送给该第一监测设备,这样第一监测设备接收到该异常告警信息后,就可以对该第一监测区域所对接的各区域设备上送的流量进行分析,以定位出存在攻击的区域设备。进一步地,该第一监测设备定位出存在攻击的区域设备后,就可以将该区域设备的设备信息上报给监测服务器,这样,监测服务器就可以对该区域设备执行防御措施,如指示第一监测设备丢弃该区域设备发往目标服务器的流量,从而避免目标服务器后续遭到异常流量的攻击。或者,第一监测设备也可以主动丢弃发生攻击的区域设备发往目标服务器的流量,从而也能避免目标服务器遭到异常流量的攻击。
基于上述任一实施例,本实施例提供的攻击监测系统,还可以包括至少一个用于监测服务器(1~m)的第二监测设备(1~m),第二监测设备与服务器一一对应。即,本实施例会为每个服务器配置一个第二监测设备,用于对发往对应服务器的流量进行分析识别处理。
具体地,每个第二监测设备,用于对发往对应服务器的流量进行监测,将所述流量发送给所述对应服务器;当监测到发往对应服务器的流量存在异常时,则确认所述对应服务器被攻击;并将攻击信息发送给所述监测服务器,所述攻击信息包括所述对应服务器的第二地址;
监测服务器,还用于在接收到所述攻击信息后,对从各第一监测设备接收到的目的地址为所述第二地址的流量统计信息进行识别,以识别出存在异常流量所在的目标监测区域;并将所述攻击信息转发给所述目标监测区域对应的第一监测设备;
上述对应的第一监测设备,还用于在接收到所述攻击信息后,根据本地统计的所述目标监测区域中各区域设备发往所述对应服务器的流量,识别出存在异常流量的目标区域设备。
具体来说,针对每个服务器,该服务器对应的第二监测设备会对发往该服务器的流量进行监测,同时将流量发送给服务器。在监测发往服务器的流量的过程中,会对发往服务器的流量进行统计,当统计到发往该服务器的流量存在异常,满足第二流量异常条件时,则可以确认该服务器被攻击;然后基于识别出的攻击生成攻击信息发送给监测服务器,上述攻击信息可以但不限于包括该服务器的第二地址,这样监测服务器接收到该攻击信息后,可以解析出第二地址,然后就可以对各第一监测设备发来的流量统计信息进行识别,各流量统计信息会携带区域设备所访问的各目的地址分别对应的流量统计信息,这样,监测服务器就可以识别出目的地址为第二地址的流量统计信息,进而识别出存在异常的流量对应的第一监测设备,监测服务器从而可以将攻击信息转发给该第一监测设备,进而由第一监测设备识别出所属区域设备中存在异常流量的目标区域设备。上述该第二流量异常条件可以但不限于为访问服务器的总流量高于设定的流量阈值(第二流量峰值阈值),和/或,访问该服务器的访问频次大于设定的第二访问频次阈值等等。
此外,上述接收到攻击信息的第一监测设备会对到达该第一监测设备的各区域设备发来的流量进行识别,例如单个区域设备发出的目的地址为第二地址的流量满足第三异常流量条件时,则确认出该流量属于异常流量,进而可以确定出异常流量进入区域设备的端口,再基于每个区域设备到达监测服务器的端口与区域设备之间的映射关系,从而可以定位出异常流量对应的区域设备,即上述目标区域设备。上述第三异常流量条件可以但不限于为访问第二地址的服务器的流量峰值高于第三流量峰值阈值,和/或,访问第二地址的服务器的访问频次大于第三访问频次阈值等等。
值得注意的是,上述第一流量峰值阈值、第二流量峰值阈值、第三流量峰值阈值的具体值可以根据实际情况进行配置,本实施例对其取值不进行限定。同理,上述第一访问频次阈值、第二访问频次阈值和第三访问频次阈值的具体值可以根据实际情况进行配置,本实施例对其取值不进行限定。
此外,监测服务器可以记录第一监测设备的设备标识、所属监测区域的区域标识与所属监测区域中区域设备所使用的IP地址三者之间的对应关系。这样,监测服务器在确定出发生异常流量所属的第一监测设备后,可以基于上述对应关系,可以定位出第一监测设备所属的目标监测区域。
进一步地,上述对应的第一监测设备,还用于将目标区域设备的设备信息发送给所述监测服务器;
上述监测服务器,还用于在接收到所述设备信息后,输出展示所述设备信息、所述目标监测区域及所述攻击信息。
具体地,第一监测设备在基于攻击信息识别出发生异常流量的目标区域设备(存在威胁的终端)后,可以将该目标区域设备的设备信息上报给监测服务器,这样,监测服务器接收到该目标区域设备的设备信息后,就可以将该设备信息,该目标区域设备所在目标监测区域、攻击信息输出展示,以便维护人员基于这些信息及时定位到该目标区域设备,进而执行对应的防御措施等等。
此外,对应的第一监测设备在确认出目标区域设备后,可以对目标区域设备的流量进行控制,如对设定时间内的瞬时流量高于设定阈值的流量进行丢弃处理等等。
此外,该攻击信息还可以包括本次流量攻击所匹配的攻击类型,该攻击类型可以但不限于为SSH横向扩散成功/尝试、RDP横向扩散成功/尝试、端口水平扫描等等,在此基础上,第二监测设备可以分别为每一攻击类型设置一个第二异常流量检测条件,从而将监控的流量来识别各个第二异常流量检测条件,当匹配到任一一个时,则确认该流量存在异常,即对应服务器被攻击,同时可以确定出匹配到的第二异常流量条件所属的攻击类型,然后将其携带在攻击信息中上报给监测服务器。
当包括攻击类型时,上述对应的第一监测设备中会存储有各攻击类型分别对应的第三异常流量检测条件,在此基础上,该第一监测设备也会对所收到的区域设备发送的流量进行监测,然后各区域设备的流量来匹配攻击信息中的攻击类型对应的第三异常流量检测条件,当匹配成功时,匹配成功的流量对应的区域设备即为上述目标区域设备。
可选地,每个第一监测区域,还用于将所属监测区域的地址信息与所属监测区域的区域标识之间的对应关系发送给所述监测服务器。该地址信息可以但不限于为IP地址。
具体地,由于目前提供的上网IP地址一般都是动态申请的,并不是每一台设备的IP地址是固定的,而是一个区域使用一个IP地址,区域内的设备通过nat等技术进行网络访问。有鉴于此,本申请在确定出目标监测区域后,在确定对应的目标区域设备时,本申请中的第一监测设备会通过分析DHCP报文或者与DHCP服务器进行联动,获取每一个IP地址的设备信息,这样就将IP地址与具体监测区域进行了动态绑定,可以通过IP地址快速定位到具体的监测区域。在此基础上,对应的第一监测服务器接收到监测服务器反馈的目标监测区域的区域标识后,就可以通过目标监测区域内的出口设备存储的信息,定位到具体的目标区域设备。
此外,每个第一监测设备,还用于实时分析所监测区域中的IP地址的分配情况,并通过IP地址获取到区域设备的相应信息(例如,设备信息),并存储在本地,然后将IP地址和设备信息传递给监测服务器。当IP地址发生变化时,实时更新本地和远端的监测服务器中存储的信息。此外,第一监测设备当将需要监测的目标服务器的流量统计信息实时发送给监测服务器后,不需要将流量的详细信息发送给监测服务器,但是可以将详细的信息存储在本地。
可选地,基于上述实施例,本实施例中,上述监测服务器,还用于根据确定出的目标监测区域的数量及异常流量的异常程度,确定流量攻击的预警等级并输出所述预警等级。
具体地,上述预警等级可以但不限于为提示、一般、严重和致命等等,每个预警等级所对应的异常流量的异常程度、发生异常的目标监测区域的数量不同,具体可以根据实际情况来设定。当输出预警等级后,运维人员可以根据预警等级执行对应的防御措施,从而避免服务器受到攻击。
此外,监测服务器在确定出预警等级后,该监测服务器中可以内置以后不同预警等级对应的防御策略,则监测服务器就可以将对应的防御策略下发给发生异常的目标监测区域对应的第一监测设备,也可以将防御策略下发给目标服务器,以避免目标服务器因受到攻击而导致服务器的安全性受到影响等问题的发生。
可选地,本实施例提供的攻击监测系统,还可以包括下述方案:
每个第一监测设备,用于监测所属监测区域内的区域设备上报的流量,当确认匹配到的流量存在异常时,可以将存在异常流量的区域设备的设备信息和所属监测区域携带在异常信息中上报给监测服务器,该异常信息还包括流量的目的地址及流量统计信息。
监测服务器,还用于在接收到第一监测设备上报的异常信息后,识别出异常信息的目的地址,并向目的地址对应的服务器对应的第二监测设备下发指示消息,以指示第二监测设备对上述目的地址对应的服务器的流量进行监测,以识别出发往该服务器的流量是否异常;
监测服务器,还用于接收第二监测设备上报的监测结果,若所述监测结果用于指示发往所述服务器的流量正常,则根据各异常信息确定预警等级并输出。
具体来说,当监测服务器收到某一个或某几个监测区域的第一监测设备发送来流量异常的异常消息,但是服务器端对应的第二监测设备发送来的监测结果指示发往该服务器的流量正常时,说明某些监测区域的区域设备被劫持发生了局部的攻击,但是恰好此时其他监测区域访问服务器的流量处于低谷,使得第二监测设备监测到发往服务器的整体流量并没有达到阈值,使得该第二监测设备没有发现异常。此时如果其他监测区域流量逐渐增加就可能超出服务器的性能极限,对正常客户的访问造成影响。此时,监测服务器根据各监测区域的第一监测设备上报的异常信息进行预警,由于可能有一监测区域确实由于某种原因造成访问服务器的真实流量发生了波动导致异常,所以监测服务器可以根据监测区域的异常数量,异常数据的偏差值(实际流量与正常流量的差值)等对预警的等级进行区分,从而输出本次的预警等级,这样运维人员就可以根据预警的等级进行相应的操作处理,例如,将某些监测区域访问服务器的流量丢弃等,从而保证大部分的客户的访问是正常的。
基于上述任一实施例,本实施例中,每个第一监测设备,还用于将各统计时间段内采集到的对应监测区域内的区域设备的发往目标服务器的流量的流量统计信息发送给所述监测服务器;
所述监测服务器,还用于在接收到各第一监测设备发送的流量统计信息后,在基于各统计时间段分别接收到的流量统计信息确认流量无异常时,统计并学习所述目标服务器的流量访问情况;根据所述目标服务器的流量访问情况和后续接收到的针对所述目标服务器的流量统计信息,确定所述目标服务器是否被攻击。
通过执行上述过程,可以对历史访问服务器的各时间段的流量进行分析,以此衡量后续各时间段访问服务器的流量是否异常,从而提升了流量异常识别的准确性。
基于上述任一实施例,本实施例中的攻击可以但不限于为DDOS攻击等等。
通过实施本申请任一实施例提供的攻击监测系统,可以有效定位出发生攻击的服务器,以便及时做出应对措施,以降低服务器上的流量的影响。
如图3所示,为本申请提供的一种攻击监测方法的流程示意图,该方法可以应用到监测服务器中,监测服务器实施上述攻击监测方法时,可包括如下所示步骤:
S301、向每个第一监测设备发送监测指令,所述监测指令中携带所要监测的目标服务器的第一地址,所述第一监测设备用于对对应监测区域内的区域设备进行监测。
S302、接收各第一监测设备发送的流量统计信息。
S303、若根据各流量统计信息确认发往所述目标服务器的流量存在异常,则确认所述目标服务器被攻击。
具体地,步骤S301~S303的实施可以参考系统实施例中监测服务器的实施过程,此处不再一一详细说明。
基于上述实施例,本实施例提供的攻击监测方法,还可以包括:接收用于监测服务器的第二监测设备发送的攻击信息,所述攻击信息为所述第二监测设备在对发往所述服务器的流量进行监测时,当监测到发往对应服务器的流量存在异常时生成并发送的,所述攻击信息包括所述对应服务器的第二地址;对从各第一监测设备接收到的目的地址为所述第二地址的流量统计信息进行识别,以识别出存在异常流量所在的目标监测区域;将所述攻击信息转发给所述目标监测区域对应的第一监测设备,以使所述对应的第一监测设备根据本地统计的所述目标监测区域中各区域设备发往所述对应服务器的流量,识别出存在异常流量的目标区域设备。
具体地,上述实施例的实施可以参考系统实施例中监测服务器的对应实施过程,此处不再一一详细说明。
进一步地,基于上述实施例,本实施例提供的攻击监测方法,还可以包括:接收所述对应的第一监测设备发送的所述目标区域设备的设备信息;输出展示所述设备信息、所述目标监测区域及所述攻击信息。
具体地,本实施例的实施可以参考系统实施例中监测服务器的对应实施过程,此处不再一一详细说明。
进一步地,基于上述实施例,本实施例提供的攻击监测方法,还可以包括:根据确定出的目标监测区域的数量及异常流量的异常程度,确定流量攻击的预警等级并输出所述预警等级。
具体地,本实施例的实施可以参考系统实施例中监测服务器的对应实施过程,此处不再一一详细说明。
可选地,基于上述任一实施例,本实施例提供的攻击监测方法,还可以包括:接收各第一监测设备在各统计时间段内发送的采集到的对应监测区域内的区域设备发往所述目标服务器的流量的流量统计信息;在基于各统计时间段分别接收到的流量统计信息确认流量无异常时,统计并学习所述目标服务器的流量访问情况;根据所述目标服务器的流量访问情况和后续接收到的针对所述目标服务器的流量统计信息,确定所述目标服务器是否被攻击。
具体地,本实施例的实施可以参考系统实施例中监测服务器的对应实施过程,此处不再一一详细说明。
通过实施本申请提供的攻击监测方法,监测服务器向各个第一监测设备下发期望监测的目标服务器的第一地址,以使各个第一监测设备可以统计得到对应监测区域内区域设备发往目标服务器的流量统计信息,进而上报给监测服务器,由此,监测服务器就可以有效地识别出服务器是否受到攻击,即,实现了在区域设备侧对发往目标服务器的流量的识别,进而在识别出攻击时及时做出应对措施,在一定程度上实现了攻击防御。
基于同一发明构思,本申请还提供了与上述攻击监测方法对应的攻击监测装置。该攻击监测装置的实施具体可以参考上述对攻击监测方法的描述,此处不再一一论述。
参见图4,图4是本申请一示例性实施例提供的一种攻击监测装置,设置于监测服务器中,上述装置包括:
发送模块401,用于向每个第一监测设备发送监测指令,所述监测指令中携带所要监测的目标服务器的第一地址,所述第一监测设备用于对对应监测区域内的区域设备进行监测;
第一接收模块402,用于接收各第一监测设备发送的流量统计信息;
第一识别模块403,用于若根据各流量统计信息确认发往所述目标服务器的流量存在异常,则确认所述目标服务器被攻击。
可选地,基于上述任一实施例,本实施例提供的攻击监测装置,还包括:
上述第二接收模块(图中未示出),还用于接收用于监测服务器的第二监测设备发送的攻击信息,所述攻击信息为所述第二监测设备在对发往所述服务器的流量进行监测时,当监测到发往对应服务器的流量存在异常时生成并发送的,所述攻击信息包括所述对应服务器的第二地址;
第二识别模块(图中未示出),用于对从各第一监测设备接收到的目的地址为所述第二地址的流量统计信息进行识别,以识别出存在异常流量所在的目标监测区域;
所述发送模块401,用于将所述攻击信息转发给所述目标监测区域对应的第一监测设备,以使所述对应的第一监测设备根据本地统计的所述目标监测区域中各区域设备发往所述对应服务器的流量,识别出存在异常流量的目标区域设备。
可选地,所述第一接收模块402,还用于接收所述对应的第一监测设备发送的所述目标区域设备的设备信息;
在此基础上,本实施例提供的攻击监测装置,还包括:
输出模块(图中未示出),用于输出展示所述设备信息、所述目标监测区域及所述攻击信息。
可选地,基于上述实施例,本实施例提供的攻击监测装置,还包括:
确定模块(图中未示出),用于根据确定出的目标监测区域的数量及异常流量的异常程度,确定流量攻击的预警等级并输出所述预警等级。
可选地,上述第一接收模块402,还用于接收各第一监测设备在各统计时间段内发送的采集到的对应监测区域内的区域设备发往所述目标服务器的流量的流量统计信息;
在此基础上,本实施例提供的攻击监测装置,还包括:
统计模块,用于在基于各统计时间段分别接收到的流量统计信息确认流量无异常时,统计并学习所述目标服务器的流量访问情况;
所述第一识别模块403,还用于根据所述目标服务器的流量访问情况和后续接收到的针对所述目标服务器的流量统计信息,确定所述目标服务器是否被攻击。
基于同一发明构思,本申请实施例提供了一种电子设备,该电子设备可以但不限于为上述监测服务器、服务器、第一监测设备和第二监测设备。如图5所示,该电子设备包括处理器501和机器可读存储介质502,机器可读存储介质502存储有能够被处理器501执行的计算机程序,处理器501被计算机程序促使执行本申请任一实施例所提供的攻击监测方法。此外,该电子设备还包括通信接口503和通信总线504,其中,处理器501,通信接口503,机器可读存储介质502通过通信总线504完成相互间的通信。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
上述机器可读存储介质502可以为存储器,该存储器可以包括随机存取存储器(Random Access Memory,RAM)、DDR SRAM(Double Data Rate Synchronous DynamicRandom Access Memory,双倍速率同步动态随机存储器),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
对于电子设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (9)
1.一种攻击监测系统,其特征在于,包括监测服务器、至少一个服务器和至少一个用于监测终端的第一监测设备,每个第一监测设备用于监测对应监测区域内的区域设备,其中:
所述监测服务器,用于向每个第一监测设备发送监测指令,所述监测指令中携带所要监测的目标服务器的第一地址,所述目标服务器为所述至少一个服务器中的一个;
每个第一监测设备,用于在接收到所述监测指令后,对从对应监测区域内区域设备发送的目的IP为所述第一地址的流量进行统计,得到流量统计信息;将所述流量统计信息发送给所述监测服务器;
所述监测服务器,还用于接收各第一监测设备发送的流量统计信息;若根据各流量统计信息确认发往所述目标服务器的流量存在异常,则确认所述目标服务器被攻击;
所述攻击监测系统还包括至少一个用于监测服务器的第二监测设备,第二监测设备与服务器一一对应;
每个第二监测设备,用于对发往对应服务器的流量进行监测,将所述流量发送给所述对应服务器;当监测到发往对应服务器的流量存在异常时,则确认所述对应服务器被攻击;并将攻击信息发送给所述监测服务器,所述攻击信息包括所述对应服务器的第二地址;
所述监测服务器,还用于在接收到所述攻击信息后,对从各第一监测设备接收到的目的地址为所述第二地址的流量统计信息进行识别,以识别出存在异常流量所在的目标监测区域;并将所述攻击信息转发给所述目标监测区域对应的第一监测设备;
所述对应的第一监测设备,还用于在接收到所述攻击信息后,根据本地统计的所述目标监测区域中各区域设备发往所述对应服务器的流量,识别出存在异常流量的目标区域设备。
2.根据权利要求1所述的系统,其特征在于,
所述对应的第一监测设备,还用于将目标区域设备的设备信息发送给所述监测服务器;
所述监测服务器,还用于在接收到所述设备信息后,输出展示所述设备信息、所述目标监测区域及所述攻击信息。
3.根据权利要求1所述的系统,其特征在于,
所述监测服务器,还用于根据确定出的目标监测区域的数量及异常流量的异常程度,确定流量攻击的预警等级并输出所述预警等级。
4.根据权利要求1所述的系统,其特征在于,
每个第一监测设备,还用于将所属监测区域的地址信息与所属监测区域的区域标识之间的对应关系发送给所述监测服务器。
5.根据权利要求1所述的系统,其特征在于,
每个第一监测设备,还用于将各统计时间段内采集到的对应监测区域内的区域设备的发往目标服务器的流量的流量统计信息发送给所述监测服务器;
所述监测服务器,还用于在接收到各第一监测设备发送的流量统计信息后,在基于各统计时间段分别接收到的流量统计信息确认流量无异常时,统计并学习所述目标服务器的流量访问情况;根据所述目标服务器的流量访问情况和后续接收到的针对所述目标服务器的流量统计信息,确定所述目标服务器是否被攻击。
6.一种攻击监测方法,其特征在于,应用于监测服务器,所述方法,包括:
向每个第一监测设备发送监测指令,所述监测指令中携带所要监测的目标服务器的第一地址,所述第一监测设备用于对对应监测区域内的区域设备进行监测;
接收各第一监测设备发送的流量统计信息;
若根据各流量统计信息确认发往所述目标服务器的流量存在异常,则确认所述目标服务器被攻击;
所述方法,还包括:
接收用于监测服务器的第二监测设备发送的攻击信息,所述攻击信息为所述第二监测设备在对发往所述服务器的流量进行监测时,当监测到发往对应服务器的流量存在异常时生成并发送的,所述攻击信息包括所述对应服务器的第二地址;
对从各第一监测设备接收到的目的地址为所述第二地址的流量统计信息进行识别,以识别出存在异常流量所在的目标监测区域;
将所述攻击信息转发给所述目标监测区域对应的第一监测设备,以使所述对应的第一监测设备根据本地统计的所述目标监测区域中各区域设备发往所述对应服务器的流量,识别出存在异常流量的目标区域设备。
7.根据权利要求6所述的方法,其特征在于,还包括:
接收所述对应的第一监测设备发送的所述目标区域设备的设备信息;
输出展示所述设备信息、所述目标监测区域及所述攻击信息。
8.根据权利要求6所述的方法,其特征在于,还包括:
根据确定出的目标监测区域的数量及异常流量的异常程度,确定流量攻击的预警等级并输出所述预警等级。
9.根据权利要求6所述的方法,其特征在于,还包括:
接收各第一监测设备在各统计时间段内发送的采集到的对应监测区域内的区域设备发往所述目标服务器的流量的流量统计信息;
在基于各统计时间段分别接收到的流量统计信息确认流量无异常时,统计并学习所述目标服务器的流量访问情况;
根据所述目标服务器的流量访问情况和后续接收到的针对所述目标服务器的流量统计信息,确定所述目标服务器是否被攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210452966.3A CN114826741B (zh) | 2022-04-27 | 2022-04-27 | 一种攻击监测系统及攻击监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210452966.3A CN114826741B (zh) | 2022-04-27 | 2022-04-27 | 一种攻击监测系统及攻击监测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114826741A CN114826741A (zh) | 2022-07-29 |
CN114826741B true CN114826741B (zh) | 2024-02-09 |
Family
ID=82510039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210452966.3A Active CN114826741B (zh) | 2022-04-27 | 2022-04-27 | 一种攻击监测系统及攻击监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114826741B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104348794A (zh) * | 2013-07-30 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 网络层ddos攻击源识别方法、装置及系统 |
CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
CN107018084A (zh) * | 2017-04-12 | 2017-08-04 | 南京工程学院 | 基于sdn架构的ddos攻击防御网络安全系统和方法 |
CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
CN111669371A (zh) * | 2020-05-18 | 2020-09-15 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
CN112968913A (zh) * | 2021-04-15 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于可编程交换机的ddos防御方法、装置、设备及介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8726384B2 (en) * | 2011-04-21 | 2014-05-13 | Barracuda Networks, Inc. | Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such |
-
2022
- 2022-04-27 CN CN202210452966.3A patent/CN114826741B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104348794A (zh) * | 2013-07-30 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 网络层ddos攻击源识别方法、装置及系统 |
CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
CN107018084A (zh) * | 2017-04-12 | 2017-08-04 | 南京工程学院 | 基于sdn架构的ddos攻击防御网络安全系统和方法 |
CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
CN111669371A (zh) * | 2020-05-18 | 2020-09-15 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
CN112968913A (zh) * | 2021-04-15 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于可编程交换机的ddos防御方法、装置、设备及介质 |
Non-Patent Citations (2)
Title |
---|
Eugen Petac ; Abdel Rahman Alzoubaidi ; Petrut Duma.Some experimental results about security solutions against DDoS attacks.《International Symposium on Signals, Circuits and Systems ISSCS2013》.2013,全文. * |
网络监控与有效防御DDoS攻击的研究;厉斌;;信息网络安全(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114826741A (zh) | 2022-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190044962A1 (en) | Method, Apparatus, and Device for Detecting E-mail Attack | |
US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
US8356350B2 (en) | Method and system for managing denial of service situations | |
US11374835B2 (en) | Apparatus and process for detecting network security attacks on IoT devices | |
US8966627B2 (en) | Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session | |
CN101741847B (zh) | 一种ddos攻击检测方法 | |
US7373666B2 (en) | Distributed threat management | |
US8489755B2 (en) | Technique of detecting denial of service attacks | |
US20140189867A1 (en) | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH | |
US20080235799A1 (en) | Network Attack Signature Generation | |
US20070150955A1 (en) | Event detection system, management terminal and program, and event detection method | |
US10326794B2 (en) | Anycast-based spoofed traffic detection and mitigation | |
CN114095258B (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
CN106534068A (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
Duy et al. | A role-based statistical mechanism for DDoS attack detection in SDN | |
CN114301700A (zh) | 调整网络安全防御方案的方法、装置、系统及存储介质 | |
CN114826741B (zh) | 一种攻击监测系统及攻击监测方法 | |
CN112688970B (zh) | 一种基于可编程芯片的大流量DDoS攻击检测方法及系统 | |
JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
CN114584356A (zh) | 网络安全监控方法及网络安全监控系统 | |
CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 | |
Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
CN108200076B (zh) | Host头域伪造攻击的防护方法和装置 | |
Raj et al. | Low-rate Denial of Service Attack Mitigation Using Resource Usage Tracking | |
CN116208347A (zh) | 一种网络异常的检测方法、系统及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |