CN115065527B - 抽样攻击检测方法、装置、电子设备及存储介质 - Google Patents
抽样攻击检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115065527B CN115065527B CN202210660185.3A CN202210660185A CN115065527B CN 115065527 B CN115065527 B CN 115065527B CN 202210660185 A CN202210660185 A CN 202210660185A CN 115065527 B CN115065527 B CN 115065527B
- Authority
- CN
- China
- Prior art keywords
- data stream
- source
- reputation
- attack detection
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 121
- 238000005070 sampling Methods 0.000 title claims abstract description 81
- 238000000034 method Methods 0.000 claims description 27
- 230000032683 aging Effects 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例公开了一种抽样攻击检测方法、装置、电子设备及存储介质。其中,抽样攻击检测方法包括:提供源IP信誉列表;将数据流与所述源IP信誉列表进行匹配;从匹配成功的数据流中进行抽样;对抽样得到的数据流和匹配失败的数据流进行攻击检测。
Description
技术领域
本公开涉及入侵检测技术领域,尤其涉及一种抽样攻击检测方法、装置、电子设备及存储介质。
背景技术
攻击检测与防御系统主要是基于数据流进行检测的。它通常对逐条流中的报文进行协议识别、协议解析(如果是TCP协议还涉及流重组)和攻击特征匹配,处理流程较为复杂,对于日益增长的网络流量,攻击检测与防御系统的处理压力是越来越大。
现有技术中存在多种对网络流量进行抽样攻击检测的方法,例如,专利CN103368952A提供一种用于对待入侵检测处理的数据包进行抽样处理的方法与设备,专利CN101141326A提供一种自适应抽样的流量检测方法,专利CN107819727A提供一种基于IP地址安全信誉度的网络安全防护方法及系统。
但发明人发现,现有技术中的各种方法仍存在抽样攻击检测的有效性待提高等问题。
发明内容
有鉴于此,本公开实施例提供了一种抽样攻击检测方法、装置、电子设备及存储介质,能够提高抽样攻击检测的有效性,降低攻击检测的漏报率。
第一方面,本公开实施例提供了一种抽样攻击检测方法,采用如下技术方案:
所述抽样攻击检测方法包括:
提供源IP信誉列表;
将数据流与所述源IP信誉列表进行匹配;
从匹配成功的数据流中进行抽样;
对抽样得到的数据流和匹配失败的数据流进行攻击检测。
可选地,所述源IP信誉列表中的源IP的信誉具有时效性;所述将数据流与所述源IP信誉列表进行匹配包括:在所述数据流命中所述源IP信誉列表中的源IP,且所述源IP的信誉的时效性为有效时,所述数据流匹配成功,否则,所述数据流匹配失败。
可选地,所述源IP信誉列表包括源IP及对应的信誉时间戳;判断源IP的信誉的时效性包括:在当前时间与所述源IP的信誉时间戳之间的差值,小于预定的信誉老化时间时,所述源IP的信誉的时效性为有效,否则为无效。
可选地,所述抽样攻击检测方法还包括:根据数据流的攻击检测结果,对所述源IP信誉列表进行维护。
可选地,所述根据数据流的攻击检测结果,对所述源IP信誉列表进行维护包括:
在所述数据流检测出攻击时,取消对应的源IP的信誉,并设置对应的源IP的第一连续合法数据流数M1为0;
在所述数据流未检测出攻击,且对应的源IP不在所述源IP信誉列表中时,将对应的源IP的第二连续合法数据流数M2加1;
在所述数据流未检测出攻击,且对应的源IP在所述源IP信誉列表中且时效性为无效时,取消对应的源IP的信誉,并设置对应的源IP的第三连续合法数据流数M3为1;
在所述数据流未检测出攻击,且对应的源IP在所述源IP信誉列表中且时效性为有效时,刷新对应的源IP的信誉时间戳。
可选地,所述根据数据流的攻击检测结果,对所述源IP信誉列表进行维护还包括:
将第二连续合法数据流数M2与预定的信誉合法数据流数阈值N进行比较,在M2≥N时,为对应的源IP设置信誉使其加入所述源IP信誉列表中,并刷新对应的源IP的信誉时间戳。
可选地,所述抽样攻击检测方法还包括:对抽样的数据流和匹配失败的数据流设置待检测标记;
所述对抽样得到的数据流和匹配失败的数据流进行攻击检测包括:对设置了所述待检测标记的数据流进行攻击检测。
可选地,所述抽样攻击检测方法还包括:在将数据流与所述源IP信誉列表进行匹配之前的以下步骤:
判断接收到的数据是否为所述数据流的数据流首包;
所述将数据流与所述源IP信誉列表进行匹配包括:在接收到的数据是所述数据流首包时,将所述数据流首包与所述源IP信誉列表进行匹配;
所述对抽样的数据流和匹配失败的数据流设置待检测标记包括:根据所述数据流首包与所述源IP信誉列表的匹配结果,为匹配失败的数据流设置待检测标记。
可选地,所述抽样攻击检测方法还包括:
在接收到的数据不是所述数据流首包时,识别所述数据流是否具有待检测标记,若具有,则对所述数据流进行攻击检测,若不具有,则结束。
可选地,所述对抽样得到的数据流和匹配失败的数据流进行攻击检测包括:对抽样得到的数据流和匹配失败的数据流进行基于攻击特征匹配的攻击检测,并对命中攻击特征的数据流上报攻击日志。
第二方面,本公开实施例还提供了一种抽样攻击检测装置,采用如下技术方案:
所述抽样攻击检测装置包括:
信誉模块,用于提供源IP信誉列表;
匹配模块,用于将数据流与所述源IP信誉列表进行匹配;
抽样模块,用于从匹配成功的数据流中进行抽样;
检测模块,用于对抽样得到的数据流和匹配失败的数据流进行攻击检测。
第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上任一所述的抽样攻击检测方法。
第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行以上任一所述的抽样攻击检测方法。
本公开实施例提供的抽样攻击检测方法、装置、电子设备及存储介质,其中该抽样攻击检测方法通过提供源IP信誉列表,将数据流与源IP信誉列表进行匹配,从匹配成功的数据流中进行抽样,对抽样得到的数据流和匹配失败的数据流进行攻击检测的方式,不仅实现了按照数据流进行抽样,而且保证了被检测的数据流的完整性,从而能够提高抽样攻击检测的有效性,降低攻击检测的漏报率。
上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本公开实施例提供的一种抽样攻击检测方法的流程图;
图2为本公开实施例提供的对数据流进行抽样攻击检测的过程示意图;
图3为本公开实施例提供的一种抽样攻击检测装置的原理框图;
图4为本公开实施例提供的一种电子设备的原理框图。
具体实施方式
下面结合附图对本公开实施例进行详细描述。
应当明确,以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
还需要说明的是,以下实施例中所提供的图示仅以示意方式说明本公开的基本构想,图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所述方面。
本实施例公开了一种抽样攻击检测方法,具体地,如图1和图2所示,该抽样攻击检测方法包括:
步骤S101、提供源IP信誉列表。
源IP信誉列表中记录一个或多个源IP的信誉。若一个源IP具有信誉,则说明来源于该源IP的数据流的安全性较高,若一个源IP不具有信誉,则说明来源于该源IP的数据流的安全性较低。
可选地,源IP信誉列表中的源IP的信誉具有时效性,该时效性具体可以有多种方式实现,例如,直接显示有效或无效,或者,通过信誉时间戳的方式来实现。可选地,源IP信誉列表包括源IP及对应的信誉时间戳,则可以通过如下方式确定源IP的信誉的时效性包括:在当前时间与源IP的信誉时间戳之间的差值,小于预定的信誉老化时间时,源IP的信誉的时效性为有效,否则为无效。上述源IP的信誉时间戳为源IP列入源IP信誉列表时的时间。预定的信誉老化时间可以根据实际需要进行设定,此处不进行限制。
步骤S102、将数据流与源IP信誉列表进行匹配。
可选地,将数据流与源IP信誉列表进行匹配的方式有多种,例如,将接收到的数据流的数据流首包和各数据流后续包均分别与源IP信誉列表进行匹配,或者,将接收到的数据流的数据流首包与源IP信誉列表进行匹配,考虑到数据流首包和各数据流后续包来自于同一数据流,则各数据流后续包则无需进行匹配。
本公开实施例中选择,抽样攻击检测方法还包括:在将数据流与源IP信誉列表进行匹配之前,判断接收到的数据是否为数据流的数据流首包。基于此,后续将数据流与源IP信誉列表进行匹配包括:在接收到的数据是数据流首包时,将数据流首包与源IP信誉列表进行匹配,即各数据流后续包无需再进行匹配,以进一步简化抽样攻击检测方法。
可选地,在源IP信誉列表中的源IP的信誉具有时效性时,将数据流与源IP信誉列表进行匹配包括:在数据流命中源IP信誉列表中的源IP,且源IP的信誉的时效性为有效时,数据流匹配成功,否则,数据流匹配失败。本公开实施例中可以对匹配失败的数据流设置待检测标记,例如1。
步骤S103、从匹配成功的数据流中进行抽样。
在数据流命中源IP信誉列表中的源IP,且源IP的信誉的时效性为有效时,数据流匹配成功,从此部分数据流中进行抽样,具体抽样算法可以根据实际需要进行确定,此处不进行限定。
本公开实施例中可以对抽样得到的数据流设置待检测标记,例如1。当然,对于匹配成功但未被抽样的数据流可以不设置标记,也可以对应设置不检测标记,例如0。
步骤S104、对抽样得到的数据流和匹配失败的数据流进行攻击检测。
也就是说,本公开实施例中只对匹配源IP信誉列表的数据流进行抽样攻击检测,对于不匹配源IP信誉列表的数据流全部都要进行攻击检测。
可选地,本公开实施例中的抽样攻击检测方法还包括:对抽样的数据流和匹配失败的数据流设置待检测标记。具体地,当仅将数据流首包与源IP信誉列表进行匹配时,对抽样的数据流和匹配失败的数据流设置待检测标记包括:根据数据流首包与源IP信誉列表的匹配结果,为匹配失败的数据流设置待检测标记。可选地,在后续接收到数据流后续包时,只需要识别该数据流是否具有待检测标记,若具有,则直接跳到步骤S104对数据流进行攻击检测,无需再执行步骤S102和步骤S103,若不具有,则结束。
可选地,在抽样的数据流和匹配失败的数据流均具有待检测标记时,直接根据待检测标记匹配到对应的数据流,对设置了待检测标记的数据流进行攻击检测即可。
可选地,本公开实施例中,对抽样得到的数据流和匹配失败的数据流进行基于攻击特征匹配的攻击检测,并对命中攻击特征的数据流上报攻击日志。
可选地,本公开实施例中的抽样攻击检测方法还包括:根据数据流的攻击检测结果,对源IP信誉列表进行维护。以上攻击检测结果包括检测出攻击,或为检测出攻击。步骤S101中可持续提供维护后的最新的源IP信誉列表。
可选地,根据数据流的攻击检测结果,对源IP信誉列表进行维护包括:
在数据流检测出攻击时,取消对应的源IP的信誉,并设置对应的源IP的第一连续合法数据流数M1为0;
在数据流未检测出攻击,且对应的源IP不在源IP信誉列表中时,将对应的源IP的第二连续合法数据流数M2加1;
在数据流未检测出攻击,且对应的源IP在源IP信誉列表中且时效性为无效时,取消对应的源IP的信誉,并设置对应的源IP的第三连续合法数据流数M3为1;
在数据流未检测出攻击,且对应的源IP在源IP信誉列表中且时效性为有效时,刷新对应的源IP的信誉时间戳。
可选地,根据数据流的攻击检测结果,对源IP信誉列表进行维护还包括:
将第二连续合法数据流数M2与预定的信誉合法数据流数阈值N进行比较,在M2≥N时,为对应的源IP设置信誉使其加入源IP信誉列表中,并刷新对应的源IP的信誉时间戳。信誉合法数据流数阈值N可以根据实际需要进行设定,此处不进行限定。
通过以上方式根据数据流的攻击检测结果,对源IP信誉列表进行维护,一方面,能够根据数据流的攻击检测结果自动地设置或取消信誉,只需要简单的设置一个信誉合法数据流数阈值和信誉老化时间即可,比较易用;另一方面,信誉是由攻击检测反馈的结果生成的,相比于数据流长度更加可靠,从而能进一步提高抽样攻击检测的有效性,降低攻击检测的漏报率。
该抽样攻击检测方法通过提供源IP信誉列表,将数据流与源IP信誉列表进行匹配,从匹配成功的数据流中进行抽样,对抽样得到的数据流和匹配失败的数据流进行攻击检测的方式,不仅实现了按照数据流进行抽样,而且保证了被检测的数据流的完整性,从而能够提高抽样攻击检测的有效性,降低攻击检测的漏报率。
此外,本公开实施例还提供一种抽样攻击检测装置,具体地,如图3所示,该抽样攻击检测装置包括:
信誉模块301,用于提供源IP信誉列表;
匹配模块302,用于将数据流与源IP信誉列表进行匹配;
抽样模块303,用于从匹配成功的数据流中进行抽样;
检测模块304,用于对抽样得到的数据流和匹配失败的数据流进行攻击检测。
可选地,本公开实施例中的抽样攻击检测装置还包括维护模块,维护模块用于根据数据流的攻击检测结果,对源IP信誉列表进行维护。
可选地,本公开实施例中的抽样攻击检测装置还包括标记模块,标记模块用于对抽样的数据流和匹配失败的数据流设置待检测标记。对应地,检测模块304对设置了待检测标记的数据流进行攻击检测。
可选地,本公开实施例中的抽样攻击检测装置还包括首包判断模块,首包判断模块用于在将数据流与源IP信誉列表进行匹配之前,判断接收到的数据是否为数据流的数据流首包。对应地,匹配模块302在接收到的数据是数据流首包时,将数据流首包与源IP信誉列表进行匹配;检测模块304根据数据流首包与源IP信誉列表的匹配结果,为匹配失败的数据流设置待检测标记。
可选地,本公开实施例中的抽样攻击检测装置还包括标记识别模块,标记识别模块用于在接收到的数据不是数据流首包时,识别数据流是否具有待检测标记,若具有,则对数据流进行攻击检测,若不具有,则结束。
需要说明的是,本公开实施例中抽样攻击检测方法中的相关内容均适用于抽样攻击检测装置对应的模块中,此处不再进行赘述。
此外,本公开实施例还提供一种电子设备,该电子设备包括:
至少一个处理器;以及,
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行以上任一的抽样攻击检测方法。
根据本公开实施例的电子设备包括存储器和处理器。该存储器用于存储非暂时性计算机可读指令。具体地,存储器可以包括一个或多个计算机程序产品,该计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。该易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。该非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
该处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以控制电子设备中的其它组件以执行期望的功能。在本公开的一个实施例中,该处理器用于运行该存储器中存储的该计算机可读指令,使得该电子设备执行前述的本公开各实施例的抽样攻击检测方法全部或部分步骤。
本领域技术人员应能理解,为了解决如何获得良好用户体验效果的技术问题,本实施例中也可以包括诸如通信总线、接口等公知的结构,这些公知的结构也应包含在本公开的保护范围之内。
如图4为本公开实施例提供的一种电子设备的结构示意图。其示出了适于用来实现本公开实施例中的电子设备的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图4所示,电子设备可以包括处理装置(例如中央处理器、图形处理器等),其可以根据存储在只读存储器(ROM)中的程序或者从存储装置加载到随机访问存储器(RAM)中的程序而执行各种适当的动作和处理。在RAM中,还存储有电子设备操作所需的各种程序和数据。处理装置、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
通常,以下装置可以连接至I/O接口:包括例如传感器或者视觉信息采集设备等的输入装置;包括例如显示屏等的输出装置;包括例如磁带、硬盘等的存储装置;以及通信装置。通信装置可以允许电子设备与其他设备(比如边缘计算设备)进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置从网络上被下载和安装,或者从存储装置被安装,或者从ROM被安装。在该计算机程序被处理装置执行时,执行本公开实施例的抽样攻击检测方法的全部或部分步骤。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
根据本公开实施例的计算机可读存储介质,其上存储有非暂时性计算机可读指令。当该非暂时性计算机可读指令由处理器运行时,执行前述的本公开各实施例的抽样攻击检测方法的全部或部分步骤。
上述计算机可读存储介质包括但不限于:光存储介质(例如:CD-ROM和DVD)、磁光存储介质(例如:MO)、磁存储介质(例如:磁带或移动硬盘)、具有内置的可重写非易失性存储器的媒体(例如:存储卡)和具有内置ROM的媒体(例如:ROM盒)。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
在本公开中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
另外,如在此使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。
还需要指出的是,在本公开的系统和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外,本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而,所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (11)
1.一种抽样攻击检测方法,其特征在于,包括:
提供源IP信誉列表,所述源IP信誉列表包括源IP及对应的信誉时间戳,所述源IP信誉列表中的源IP的信誉具有时效性;
将数据流与所述源IP信誉列表进行匹配;
从匹配成功的数据流中进行抽样;
对抽样得到的数据流和匹配失败的数据流进行攻击检测;
所述抽样攻击检测方法还包括:根据数据流的攻击检测结果,对所述源IP信誉列表进行维护;
所述根据数据流的攻击检测结果,对所述源IP信誉列表进行维护包括:
在所述数据流检测出攻击时,取消对应的源IP的信誉,并设置对应的源IP的第一连续合法数据流数M1为0;
在所述数据流未检测出攻击,且对应的源IP不在所述源IP信誉列表中时,将对应的源IP的第二连续合法数据流数M2加1;
在所述数据流未检测出攻击,且对应的源IP在所述源IP信誉列表中且时效性为无效时,取消对应的源IP的信誉,并设置对应的源IP的第三连续合法数据流数M3为1;
在所述数据流未检测出攻击,且对应的源IP在所述源IP信誉列表中且时效性为有效时,刷新对应的源IP的信誉时间戳。
2.根据权利要求1所述的抽样攻击检测方法,其特征在于,所述将数据流与所述源IP信誉列表进行匹配包括:在所述数据流命中所述源IP信誉列表中的源IP,且所述源IP的信誉的时效性为有效时,所述数据流匹配成功,否则,所述数据流匹配失败。
3.根据权利要求2所述的抽样攻击检测方法,其特征在于,判断源IP的信誉的时效性包括:在当前时间与所述源IP的信誉时间戳之间的差值,小于预定的信誉老化时间时,所述源IP的信誉的时效性为有效,否则为无效。
4.根据权利要求1所述的抽样攻击检测方法,其特征在于,所述根据数据流的攻击检测结果,对所述源IP信誉列表进行维护还包括:
将第二连续合法数据流数M2与预定的信誉合法数据流数阈值N进行比较,在M2≥N时,为对应的源IP设置信誉使其加入所述源IP信誉列表中,并刷新对应的源IP的信誉时间戳。
5.根据权利要求1所述的抽样攻击检测方法,其特征在于,还包括:对抽样的数据流和匹配失败的数据流设置待检测标记;
所述对抽样得到的数据流和匹配失败的数据流进行攻击检测包括:对设置了所述待检测标记的数据流进行攻击检测。
6.根据权利要求5所述的抽样攻击检测方法,其特征在于,还包括:在将数据流与所述源IP信誉列表进行匹配之前的以下步骤:
判断接收到的数据是否为所述数据流的数据流首包;
所述将数据流与所述源IP信誉列表进行匹配包括:在接收到的数据是所述数据流首包时,将所述数据流首包与所述源IP信誉列表进行匹配;
所述对抽样的数据流和匹配失败的数据流设置待检测标记包括:根据所述数据流首包与所述源IP信誉列表的匹配结果,为匹配失败的数据流设置待检测标记。
7.根据权利要求6所述的抽样攻击检测方法,其特征在于,还包括:
在接收到的数据不是所述数据流首包时,识别所述数据流是否具有待检测标记,若具有,则对所述数据流进行攻击检测,若不具有,则结束。
8.根据权利要求1所述的抽样攻击检测方法,其特征在于,所述对抽样得到的数据流和匹配失败的数据流进行攻击检测包括:对抽样得到的数据流和匹配失败的数据流进行基于攻击特征匹配的攻击检测,并对命中攻击特征的数据流上报攻击日志。
9.一种抽样攻击检测装置,其特征在于,包括:
信誉模块,用于提供源IP信誉列表,所述源IP信誉列表包括源IP及对应的信誉时间戳,所述源IP信誉列表中的源IP的信誉具有时效性;
匹配模块,用于将数据流与所述源IP信誉列表进行匹配;
抽样模块,用于从匹配成功的数据流中进行抽样;
检测模块,用于对抽样得到的数据流和匹配失败的数据流进行攻击检测;
所述抽样攻击检测装置还包括维护模块,用于根据数据流的攻击检测结果,对所述源IP信誉列表进行维护;
所述根据数据流的攻击检测结果,对所述源IP信誉列表进行维护包括:
在所述数据流检测出攻击时,取消对应的源IP的信誉,并设置对应的源IP的第一连续合法数据流数M1为0;
在所述数据流未检测出攻击,且对应的源IP不在所述源IP信誉列表中时,将对应的源IP的第二连续合法数据流数M2加1;
在所述数据流未检测出攻击,且对应的源IP在所述源IP信誉列表中且时效性为无效时,取消对应的源IP的信誉,并设置对应的源IP的第三连续合法数据流数M3为1;
在所述数据流未检测出攻击,且对应的源IP在所述源IP信誉列表中且时效性为有效时,刷新对应的源IP的信誉时间戳。
10.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8任一所述的抽样攻击检测方法。
11.一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行权利要求1-8任一所述的抽样攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210660185.3A CN115065527B (zh) | 2022-06-13 | 2022-06-13 | 抽样攻击检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210660185.3A CN115065527B (zh) | 2022-06-13 | 2022-06-13 | 抽样攻击检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115065527A CN115065527A (zh) | 2022-09-16 |
CN115065527B true CN115065527B (zh) | 2023-08-29 |
Family
ID=83200257
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210660185.3A Active CN115065527B (zh) | 2022-06-13 | 2022-06-13 | 抽样攻击检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115065527B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
CN102867209A (zh) * | 2011-07-05 | 2013-01-09 | 中国移动通信集团公司 | 一种智能卡和智能卡安全防护方法 |
CN104917765A (zh) * | 2015-06-10 | 2015-09-16 | 杭州华三通信技术有限公司 | 一种防范攻击的方法和设备 |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
CN107819727A (zh) * | 2016-09-13 | 2018-03-20 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
CN110912912A (zh) * | 2019-11-29 | 2020-03-24 | 杭州迪普科技股份有限公司 | 一种切换ip信誉检测模式的方法及装置 |
CN111147326A (zh) * | 2019-12-19 | 2020-05-12 | 芯创智(北京)微电子有限公司 | 一种网络包处理器及对数据包的处理方法 |
CN111756685A (zh) * | 2020-05-15 | 2020-10-09 | 长沙市智为信息技术有限公司 | 一种基于假设检验的ddos攻击检测方法 |
CN112272164A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
CN112751801A (zh) * | 2019-10-30 | 2021-05-04 | 中国科学院声学研究所 | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 |
CN113114694A (zh) * | 2021-04-17 | 2021-07-13 | 东南大学 | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 |
CN113554094A (zh) * | 2021-07-23 | 2021-10-26 | 清华大学 | 网络异常检测方法、装置、电子设备及存储介质 |
CN114143086A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 一种Web应用识别方法、装置、电子设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10686807B2 (en) * | 2018-06-12 | 2020-06-16 | International Business Machines Corporation | Intrusion detection system |
-
2022
- 2022-06-13 CN CN202210660185.3A patent/CN115065527B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
CN102867209A (zh) * | 2011-07-05 | 2013-01-09 | 中国移动通信集团公司 | 一种智能卡和智能卡安全防护方法 |
CN104917765A (zh) * | 2015-06-10 | 2015-09-16 | 杭州华三通信技术有限公司 | 一种防范攻击的方法和设备 |
CN107819727A (zh) * | 2016-09-13 | 2018-03-20 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
CN112751801A (zh) * | 2019-10-30 | 2021-05-04 | 中国科学院声学研究所 | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 |
CN110912912A (zh) * | 2019-11-29 | 2020-03-24 | 杭州迪普科技股份有限公司 | 一种切换ip信誉检测模式的方法及装置 |
CN111147326A (zh) * | 2019-12-19 | 2020-05-12 | 芯创智(北京)微电子有限公司 | 一种网络包处理器及对数据包的处理方法 |
CN111756685A (zh) * | 2020-05-15 | 2020-10-09 | 长沙市智为信息技术有限公司 | 一种基于假设检验的ddos攻击检测方法 |
CN112272164A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
CN113114694A (zh) * | 2021-04-17 | 2021-07-13 | 东南大学 | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 |
CN113554094A (zh) * | 2021-07-23 | 2021-10-26 | 清华大学 | 网络异常检测方法、装置、电子设备及存储介质 |
CN114143086A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 一种Web应用识别方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115065527A (zh) | 2022-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
CN107454103B (zh) | 基于时间线的网络安全事件过程分析方法及系统 | |
CN108327745B (zh) | 一种列车数据实时解析方法和装置 | |
CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
CN109802953A (zh) | 一种工控资产的识别方法及装置 | |
CN110808962B (zh) | 一种畸形数据包检测方法及装置 | |
CN111917740A (zh) | 一种异常流量告警日志检测方法、装置、设备及介质 | |
CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
CN105187408A (zh) | 网络攻击检测方法和设备 | |
CN114079579B (zh) | 一种恶意加密流量检测方法及装置 | |
CN107508832A (zh) | 一种设备指纹识别方法及系统 | |
CN115065527B (zh) | 抽样攻击检测方法、装置、电子设备及存储介质 | |
CN113282921B (zh) | 一种文件检测方法、装置、设备及存储介质 | |
CN110830500A (zh) | 网络攻击追踪方法、装置、电子设备及可读存储介质 | |
CN111125704B (zh) | 一种网页挂马识别方法及系统 | |
CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
CN104219253A (zh) | 多步攻击警报关联网络服务接口开发方法 | |
CN108664489B (zh) | 网站内容监控方法和装置 | |
CN107203718B (zh) | 一种sql命令注入的检测方法及系统 | |
CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 | |
CN114448685B (zh) | 一种生成网络协议报文防护策略的方法及装置 | |
CN109495538B (zh) | 一种共享接入终端数量的检测方法及装置 | |
CN114338195B (zh) | 基于改进孤立森林算法的web流量异常检测方法及装置 | |
CN114021146B (zh) | 一种基于值集分析的非结构化差异补丁分析方法 | |
CN114244572B (zh) | 一种基于零拷贝报文收集系统的物联网安全网关方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |