CN115086069A - 一种DDoS攻击识别方法及装置 - Google Patents
一种DDoS攻击识别方法及装置 Download PDFInfo
- Publication number
- CN115086069A CN115086069A CN202210848008.8A CN202210848008A CN115086069A CN 115086069 A CN115086069 A CN 115086069A CN 202210848008 A CN202210848008 A CN 202210848008A CN 115086069 A CN115086069 A CN 115086069A
- Authority
- CN
- China
- Prior art keywords
- identity code
- address
- client
- webpage
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000000903 blocking effect Effects 0.000 claims abstract description 10
- 235000014510 cooky Nutrition 0.000 claims description 42
- 230000006870 function Effects 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 18
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 238000012790 confirmation Methods 0.000 claims description 7
- 230000000694 effects Effects 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 13
- 238000012795 verification Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种DDoS攻击识别方法及装置,该方法包括:接收客户端发送的访问I P地址的访问请求,其中,该访问请求中携带有该客户端基于同余定理生成的第一身份码;获取预先基于该同余定理生成的第二身份码;在判断第一身份码与该第二身份码不相同的情况下,确定该访问请求为分布式阻断服务DDoS攻击;在判断第一身份码与该第二身份码相同的情况下,确定该访问请求为非DDoS攻击,可以解决相关技术中动态地增加资源来抵抗DDoS攻击,投入大量设备资源对抗攻击效果很差的问题,通过同余定理生成的双方一致身份码验证访问请求是否为DDoS攻击,可以有效识别大量机器攻击且可以定位攻击源。
Description
技术领域
本发明涉及数据处理领域,具体而言,涉及一种DDoS攻击识别方法及装置。
背景技术
目前对分布式拒绝服务攻击(Distribute Denial of Service,简称为DDoS)攻击多采用机器横向扩展方式,动态地增加资源来抵抗DDoS攻击,但大量机器攻击时,无法识别与抵抗,且无法识别定位攻击源,造成投入大量设备资源对抗攻击,但效果很差。
针对相关技术中动态地增加资源来抵抗DDoS攻击,投入大量设备资源对抗攻击效果很差的问题,尚未提出解决方案。
发明内容
本发明实施例提供了一种DDoS攻击识别方法及装置,以至少解决相关技术中动态地增加资源来抵抗DDoS攻击,投入大量设备资源对抗攻击效果很差的问题。
根据本发明的一个实施例,提供了一种DDoS攻击识别方法,应用于服务端,包括:
接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;
获取预先基于所述同余定理生成的第二身份码;
在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;
在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击。
可选地,在接收客户端发送的访问IP地址的访问请求之前,所述方法还包括:
接收客户端发起的生成身份码的协调请求消息;
向所述客户端返回协调确认消息;
根据同余定理与所述客户端生成双方一致的所述身份码。
可选地,根据同余定理与所述客户端生成双方一致的所述身份码包括:
运行种子生成器,生成第一随机数种子b;
接收所述客户端运行所述种子生成器并生成第二随机数种子a之后生成的用于协商函数的质数P与整数G;
接收所述客户端运行所述身份码协商函数之后得到的第一结果Ga;
运行身份码协商函数得到第二结果Gb,并将所述第二结果Gb发送至所述客户端;
根据所述第一随机数种子b、所述质数P及所述第一结果Ga运行所述身份码协商函数得到所述身份码,其中,所述客户端根据第二随机数种子a、所述质数P及所述第二结果Gb运行所述身份码协商函数得到所述身份码。
可选地,所述方法还包括:
采用哈希算法确定所述IP地址与所述访问请求中携带的Cookie信息的预定数量的哈希值;
从攻击地址的布隆Bloom结构中确定所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值是否均为1,其中,所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数值为1;
在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值均为1的情况下,确定所述IP地址为攻击地址;
在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值不均为1的情况下,确定所述IP地址为非攻击地址。
可选地,所述方法还包括:
生成所述Bloom结构,并初始化所述Bloom结构中所有位置的数据值为0;
采用哈希算法生成所述攻击地址与所述Cookie信息的预定数量的哈希值;
将所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数据值置为1。
可选地,所述方法还包括:
以预设时间周期生成所述IP地址对应的网页信息的网页签名;
将生成的所述网页签名与预先存储的所述网页发布时生成的网页签名进行对比;
若生成的所述网页签名与预先存储的网页签名相同,确定所述网页信息未被攻击;
若生成的所述网页签名与预先存储的网页签名不相同,确定所述网页信息被攻击。
可选地,所述方法还包括:
在发布所述IP地址对应的网页信息时,生成所述网页信息的网页签名,并存储所述网页签名。
根据本发明的另一个实施例,还提供了一种DDoS攻击识别装置,应用于服务端,包括:
第一接收模块,用于接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;
获取模块,用于获取预先基于所述同余定理生成的第二身份码;
第一确定模块,用于在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;
第二确定模块,用于在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击。
可选地,所述装置还包括:
第二接收模块,用于接收客户端发起的生成身份码的协调请求消息;
返回模块,用于向所述客户端返回协调确认消息;
第一生成模块,用于根据同余定理与所述客户端生成双方一致的所述身份码。
可选地,所述生成模块,还用于运行种子生成器,生成第一随机数种子b;接收所述客户端运行所述种子生成器并生成第二随机数种子a之后生成的用于协商函数的质数P与整数G;接收所述客户端运行所述身份码协商函数之后得到的第一结果Ga;运行身份码协商函数得到第二结果Gb,并将所述第二结果Gb发送至所述客户端;根据所述第一随机数种子b、所述质数P及所述第一结果Ga运行所述身份码协商函数得到所述身份码,其中,所述客户端根据第二随机数种子a、所述质数P及所述第二结果Gb运行所述身份码协商函数得到所述身份码。
可选地,所述装置还包括:
第三确定模块,用于采用哈希算法确定所述IP地址与所述访问请求中携带的Cookie信息的预定数量的哈希值;从攻击地址的布隆Bloom结构中确定所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值是否均为1,其中,所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数值为1;
在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值均为1的情况下,确定所述IP地址为攻击地址;
在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值不均为1的情况下,确定所述IP地址为非攻击地址。
可选地,所述装置还包括:
初始化模块,用于生成所述Bloom结构,并初始化所述Bloom结构中所有位置的数据值为0;
第二生成模块,用于采用哈希算法生成所述攻击地址与所述Cookie信息的预定数量的哈希值;
设置模块,用于将所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数据值置为1。
可选地,所述装置还包括:
第三生成模块,用于以预设时间周期生成所述IP地址对应的网页信息的网页签名;
对比模块,用于将生成的所述网页签名与预先存储的所述网页发布时生成的网页签名进行对比;
第四确定模块,用于若生成的所述网页签名与预先存储的网页签名相同,确定所述网页信息未被攻击;若生成的所述网页签名与预先存储的网页签名不相同,确定所述网页信息被攻击。
可选地,所述装置还包括:
第三生成模块,用于在发布所述IP地址对应的网页信息时,生成所述网页信息的网页签名,并存储所述网页签名。
根据本发明的又一个实施例,还提供了一种计算机可读的存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;获取预先基于所述同余定理生成的第二身份码;在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击,可以解决相关技术中动态地增加资源来抵抗DDoS攻击,投入大量设备资源对抗攻击效果很差的问题,通过同余定理生成的双方一致身份码验证访问请求是否为DDoS攻击,可以有效识别大量机器攻击且可以定位攻击源。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的DDoS攻击识别方法的移动终端的硬件结构框图;
图2是根据本发明实施例的DDoS攻击识别方法的流程图;
图3是根据本发明实施例的SYN请求的示意图;
图4是根据本发明实施例的身份码协商过程的流程图;
图5是根据本发明实施例的身份码确认过程的流程图;
图6是根据本发明实施例的布隆结构的示意图;
图7是根据本发明实施例的IP地址压缩的示意图;
图8是根据本发明实施例的IP地址检索的示意图;
图9是根据本发明实施例的DDoS攻击识别装置的框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的DDoS攻击识别方法的移动终端的硬件结构框图,如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的DDoS攻击识别方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端或网络架构的DDoS攻击识别方法,图2是根据本发明实施例的DDoS攻击识别方法的流程图,如图2所示,应用于服务端,该流程包括如下步骤:
步骤S202,接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;
步骤S204,获取预先基于所述同余定理生成的第二身份码;
步骤S206,在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;
步骤S208,在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击。
通过上述步骤S202至S208,接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;获取预先基于所述同余定理生成的第二身份码;在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击,可以解决相关技术中动态地增加资源来抵抗DDoS攻击,投入大量设备资源对抗攻击效果很差的问题,通过同余定理生成的双方一致身份码验证访问请求是否为DDoS攻击,可以有效识别大量机器攻击且可以定位攻击源。
在一可选的实施例中,在上述步骤S202之前,所述方法还包括:接收客户端发起的生成身份码的协调请求消息;向所述客户端返回协调确认消息;根据同余定理与所述客户端生成双方一致的所述身份码,具体的,运行种子生成器,生成第一随机数种子b;接收所述客户端运行所述种子生成器并生成第二随机数种子a之后生成的用于协商函数的质数P与整数G;接收所述客户端运行所述身份码协商函数之后得到的第一结果Ga;运行身份码协商函数得到第二结果Gb,并将所述第二结果Gb发送至所述客户端;根据所述第一随机数种子b、所述质数P及所述第一结果Ga运行所述身份码协商函数得到所述身份码,其中,所述客户端根据第二随机数种子a、所述质数P及所述第二结果Gb运行所述身份码协商函数得到所述身份码,即双方生成相同的身份码。
本发明实施例中,基于同余定理生成动态身份码,区分人机,对抗SYN flood攻击。
图3是根据本发明实施例的SYN请求的示意图,如图3所示,SYN flood攻击方式,攻击傀儡机伪造大量的源IP地址,分别向服务器端发送大量的SYN包,此时服务器端会返回SYN/ACK包,由于源地址是伪造的,所以伪造的IP并不会应答,服务端没有收到伪造的IP回应,会重试3-5次并且等待一个SYN Time周期,一般一个SYN Time周期为30秒至120秒,如果超时则丢弃这个连接。攻击者大量发送伪造源地址的SYN请求,服务器端将会消耗非常多的资源来处理这种半连接,同时还要不断地对这些IP进行SYN+ACK重试。最后的结果是服务器无法处理正常请求,导致拒绝被拒绝。
根据同余定理生成动态身份码,为对抗SYN flood攻击,本发明提出客户端与服务端采用DiffieHellman协议根据同余定理交换生成共享的身份码。应用程序在客户端界面显示此身份码,通过要求客户端输入动态身份码的方式,识别请求的是人还是机器,进而达到流量过滤的目的。
图4是根据本发明实施例的身份码协商过程的流程图,如图4所示,客户端与服务端根据同余定理,经过协商生成双方可知身份码,具体包括:
步骤1.1、客户端发起身份码生成协调请求;
步骤1.2、服务接收请求,返回接受确认信息。
步骤2.1、客户端运行种子生成器,生成随机数种子a;
步骤2.2、客户端生成用于协商函数的质数P与整数G,发送至服务端;
步骤2.3、服务端运行种子生成器,生成随机数种子b;
步骤2.4、服务端接收用于协商函数的质数P与整数G;
步骤3.1、客户端运行身份码协商函数:f(a)=Ga;
步骤3.2、客户端将Ga发送至服务端;
步骤3.3、服务端运行身份码协商函数:f(b)=Gb;
步骤3.3、服务端将Gb发送至客户端;
步骤4.1、客户端运行身份码协商函数:f(a)=(Gb)amodP,得到共享双方一致的身份码;
步骤4.2、服务端运行身份码协商函数:f(b)=(Ga)bmodP,得到共享双方一致的身份码。
图5是根据本发明实施例的身份码确认过程的流程图,如图5所示,包括:
步骤S501,在身份码协商过程中,客户端与服务端生成了相同的用于身份确认的身份验证码。
步骤S502,客户端生成身份验证码后,将身份验证码显示在客户端,让用户手工输入。
步骤S503,用户输入验证码后,客户将此验证码发送服务器端。
步骤S504,服务端验证客户端发来的身份验证码与客户端存储的身份验证码是否一致。
步骤S505,若一致则通过验证,允许此次请求;若不一致则不通过验证,请求失败,关闭与此客户端的连接。
在另一可选的实施例中,所述方法还包括:采用哈希算法确定所述IP地址与所述访问请求中携带的Cookie信息的预定数量的哈希值;从攻击地址的布隆Bloom结构中确定所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值是否均为1,其中,所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数值为1;在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值均为1的情况下,确定所述IP地址为攻击地址;在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值不均为1的情况下,确定所述IP地址为非攻击地址。
进一步的,所述方法还包括:生成所述Bloom结构,并初始化所述Bloom结构中所有位置的数据值为0;采用哈希算法生成所述攻击地址与所述Cookie信息的预定数量的哈希值;将所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数据值置为1。
本发明实施例中,采用布隆过滤器,快速检索攻击IP,对抗SYN flood攻击。
SYN flood攻击中,攻击傀儡机伪造大量的源IP地址,分别向服务器端发送大量的SYN包,这些傀儡机的源IP地址与其携带的Cookie并不是频繁变化的。
因此,识别频繁发起同一访问的IP地址或Cookie的SYN包,可以有效过滤掉流量中的攻击。
由于网络请求数量巨大,实时生成的IP地址、Cookie信息列表也会随着时间推移迅速增长,这样在大规模数据中,搜索某个IP地址或Cookie信息,又会消耗大量服务器计算与存储资源。
本发明提出采用布隆过滤器原理,IP地址、Cookie信息压缩到布隆结构中,然后采用布隆过滤器来快速查找,以减少存储空间并提高查询效率。
图6是根据本发明实施例的布隆结构的示意图,如图6所示,构造了每个存储位128Bit位的大链表,并且每个空间位置为0。
图7是根据本发明实施例的IP地址压缩的示意图,如图7所示,将IP地址与Cookie信息压缩到布隆结构中包括:构建3个输出长度为128Bit位的Hash()函数。将待压缩的IP地址,输入到Hash1、Hash2、Hash3,分别生成三个哈希值。将三个长度为128Bit的哈希值,放入布隆结构中。
图8是根据本发明实施例的IP地址检索的示意图,如图8所示,将待检索的IP地址与Cookie信息,输入到Hash1、Hash2、Hash3,分别生成三个哈希值。在布隆结构中,查询三个哈希值对应位的值。如果三个值全为1,则说明此IP地址为非法IP;如果三个值不全为1,则说明此IP地址为合法IP。
在另一可选的实施例中,所述方法还包括:在发布所述IP地址对应的网页信息时,生成所述网页信息的网页签名,并存储所述网页签名。以预设时间周期生成所述IP地址对应的网页信息的网页签名;将生成的所述网页签名与预先存储的所述网页发布时生成的网页签名进行对比;若生成的所述网页签名与预先存储的网页签名相同,确定所述网页信息未被攻击;若生成的所述网页签名与预先存储的网页签名不相同,确定所述网页信息被攻击。
本发明实施例采用数字签名,防止网页挂马,对抗SYN flood攻击。SYN flood攻击方式中,还有较为常见的是攻击者入侵一个流量很大的网站,通过在网页中植入木马,让此网站的巨大流量,成为反向源,将其流量反射到被攻击网站,从而将其资源耗尽,达到攻击目标。
木马程序如:<iframesrc="http://www.xxxx.com/get.do"height=0width=0></iframe>。
生成网页的数字签名,具体的,当网页被挂马后,网页中出现与WEB发布网页不同的内容。因此,可以基于此特点,在网页程序部署前,采用摘要密码算法SM3,生成网页签名。
并采用SM4算法,加密签名数据,具体包括:使用SM3算法,根据网页信息生成数字签名A,使用SM4算法对数字签名A进行加密,得到加密数字签名SM4(A)。
验证网页的数字签名,服务端定期获取网页的数字签名,采用SM4算法解密数据,验证网页验证数据,具体包括:对加密数字签名SM4(A)进界面得到明文数字签名B,将数据签名A与明文数字签名B进行对比,若相同,确定网页未被攻击;若不同,确定网页被攻击。
根据本发明的另一个实施例,还提供了一种DDoS攻击识别装置,应用于服务端,图9是根据本发明实施例的DDoS攻击识别装置的框图,如图9所示,包括:
第一接收模块92,用于接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;
获取模块94,用于获取预先基于所述同余定理生成的第二身份码;
第一确定模块96,用于在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;
第二确定模块98,用于在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击。
可选地,所述装置还包括:
第二接收模块,用于接收客户端发起的生成身份码的协调请求消息;
返回模块,用于向所述客户端返回协调确认消息;
第一生成模块,用于根据同余定理与所述客户端生成双方一致的所述身份码。
可选地,所述生成模块,还用于运行种子生成器,生成第一随机数种子b;接收所述客户端运行所述种子生成器并生成第二随机数种子a之后生成的用于协商函数的质数P与整数G;接收所述客户端运行所述身份码协商函数之后得到的第一结果Ga;运行身份码协商函数得到第二结果Gb,并将所述第二结果Gb发送至所述客户端;根据所述第一随机数种子b、所述质数P及所述第一结果Ga运行所述身份码协商函数得到所述身份码,其中,所述客户端根据第二随机数种子a、所述质数P及所述第二结果Gb运行所述身份码协商函数得到所述身份码。
可选地,所述装置还包括:
第三确定模块,用于采用哈希算法确定所述IP地址与所述访问请求中携带的Cookie信息的预定数量的哈希值;从攻击地址的布隆Bloom结构中确定所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值是否均为1,其中,所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数值为1;
在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值均为1的情况下,确定所述IP地址为攻击地址;
在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值不均为1的情况下,确定所述IP地址为非攻击地址。
可选地,所述装置还包括:
初始化模块,用于生成所述Bloom结构,并初始化所述Bloom结构中所有位置的数据值为0;
第二生成模块,用于采用哈希算法生成所述攻击地址与所述Cookie信息的预定数量的哈希值;
设置模块,用于将所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数据值置为1。
可选地,所述装置还包括:
第三生成模块,用于以预设时间周期生成所述IP地址对应的网页信息的网页签名;
对比模块,用于将生成的所述网页签名与预先存储的所述网页发布时生成的网页签名进行对比;
第四确定模块,用于若生成的所述网页签名与预先存储的网页签名相同,确定所述网页信息未被攻击;若生成的所述网页签名与预先存储的网页签名不相同,确定所述网页信息被攻击。
可选地,所述装置还包括:
第三生成模块,用于在发布所述IP地址对应的网页信息时,生成所述网页信息的网页签名,并存储所述网页签名。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本发明的实施例还提供了一种计算机可读的存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;
S2,获取预先基于所述同余定理生成的第二身份码;
S3,在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;
S4,在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;
S2,获取预先基于所述同余定理生成的第二身份码;
S3,在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;
S4,在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种DDoS攻击识别方法,应用于服务端,其特征在于,包括:
接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;
获取预先基于所述同余定理生成的第二身份码;
在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;
在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击。
2.根据权利要求1所述的方法,其特征在于,在接收客户端发送的访问IP地址的访问请求之前,所述方法还包括:
接收客户端发起的生成身份码的协调请求消息;
向所述客户端返回协调确认消息;
根据同余定理与所述客户端生成双方一致的所述身份码。
3.根据权利要求2所述的方法,其特征在于,根据同余定理与所述客户端生成双方一致的所述身份码包括:
运行种子生成器,生成第一随机数种子b;
接收所述客户端运行所述种子生成器并生成第二随机数种子a之后生成的用于协商函数的质数P与整数G;
接收所述客户端运行所述身份码协商函数之后得到的第一结果Ga;
运行身份码协商函数得到第二结果Gb,并将所述第二结果Gb发送至所述客户端;
根据所述第一随机数种子b、所述质数P及所述第一结果Ga运行所述身份码协商函数得到所述身份码,其中,所述客户端根据第二随机数种子a、所述质数P及所述第二结果Gb运行所述身份码协商函数得到所述身份码。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
采用哈希算法确定所述IP地址与所述访问请求中携带的Cookie信息的预定数量的哈希值;
从攻击地址的布隆Bloom结构中确定所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值是否均为1,其中,所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数值为1;
在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值均为1的情况下,确定所述IP地址为攻击地址;
在所述IP地址与所述Cookie信息的预定数量的哈希值对应位置上的数值不均为1的情况下,确定所述IP地址为非攻击地址。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
生成所述Bloom结构,并初始化所述Bloom结构中所有位置的数据值为0;
采用哈希算法生成所述攻击地址与所述Cookie信息的预定数量的哈希值;
将所述Bloom结构中所述攻击地址与所述Cookie信息的预定数量的哈希值对应位置上的数据值置为1。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
以预设时间周期生成所述IP地址对应的网页信息的网页签名;
将生成的所述网页签名与预先存储的所述网页发布时生成的网页签名进行对比;
若生成的所述网页签名与预先存储的网页签名相同,确定所述网页信息未被攻击;
若生成的所述网页签名与预先存储的网页签名不相同,确定所述网页信息被攻击。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在发布所述IP地址对应的网页信息时,生成所述网页信息的网页签名,并存储所述网页签名。
8.一种DDoS攻击识别装置,应用于服务端,其特征在于,包括:
第一接收模块,用于接收客户端发送的访问IP地址的访问请求,其中,所述访问请求中携带有所述客户端基于同余定理生成的第一身份码;
获取模块,用于获取预先基于所述同余定理生成的第二身份码;
第一确定模块,用于在判断第一身份码与所述第二身份码不相同的情况下,确定所述访问请求为分布式阻断服务DDoS攻击;
第二确定模块,用于在判断第一身份码与所述第二身份码相同的情况下,确定所述访问请求为非DDoS攻击。
9.一种计算机可读的存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至7任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210848008.8A CN115086069B (zh) | 2022-07-19 | 2022-07-19 | 一种DDoS攻击识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210848008.8A CN115086069B (zh) | 2022-07-19 | 2022-07-19 | 一种DDoS攻击识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115086069A true CN115086069A (zh) | 2022-09-20 |
| CN115086069B CN115086069B (zh) | 2024-01-26 |
Family
ID=83259801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210848008.8A Active CN115086069B (zh) | 2022-07-19 | 2022-07-19 | 一种DDoS攻击识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115086069B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281258A (zh) * | 2010-06-09 | 2011-12-14 | 中兴通讯股份有限公司 | 基于密钥管理协议的防止拒绝服务攻击的方法和装置 |
| CN104113525A (zh) * | 2014-05-23 | 2014-10-22 | 中国电子技术标准化研究院 | 一种防御资源消耗型Web攻击方法及装置 |
| CN108683682A (zh) * | 2018-06-04 | 2018-10-19 | 上海交通大学 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
| CN109391600A (zh) * | 2017-08-10 | 2019-02-26 | 东软集团股份有限公司 | 分布式拒绝服务攻击防护方法、装置、系统、介质及设备 |
| CN110198293A (zh) * | 2018-04-08 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 服务器的攻击防护方法、装置、存储介质和电子装置 |
| US10581902B1 (en) * | 2015-11-30 | 2020-03-03 | F5 Networks, Inc. | Methods for mitigating distributed denial of service attacks and devices thereof |
| CN111371743A (zh) * | 2020-02-21 | 2020-07-03 | 上海红神信息技术有限公司 | 一种安全防御方法、装置及系统 |
| CN112532605A (zh) * | 2020-11-23 | 2021-03-19 | 中信银行股份有限公司 | 一种网络攻击溯源方法及系统、存储介质、电子设备 |
| CN113472542A (zh) * | 2021-06-29 | 2021-10-01 | 广州炒米信息科技有限公司 | 基于sm3算法的网络攻击防御方法、装置、存储介质及客户终端、服务终端 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| US20210392161A1 (en) * | 2020-06-16 | 2021-12-16 | Bank Of America Corporation | Automated distributed denial of service attack detection and prevention |
-
2022
- 2022-07-19 CN CN202210848008.8A patent/CN115086069B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281258A (zh) * | 2010-06-09 | 2011-12-14 | 中兴通讯股份有限公司 | 基于密钥管理协议的防止拒绝服务攻击的方法和装置 |
| CN104113525A (zh) * | 2014-05-23 | 2014-10-22 | 中国电子技术标准化研究院 | 一种防御资源消耗型Web攻击方法及装置 |
| US10581902B1 (en) * | 2015-11-30 | 2020-03-03 | F5 Networks, Inc. | Methods for mitigating distributed denial of service attacks and devices thereof |
| CN109391600A (zh) * | 2017-08-10 | 2019-02-26 | 东软集团股份有限公司 | 分布式拒绝服务攻击防护方法、装置、系统、介质及设备 |
| CN110198293A (zh) * | 2018-04-08 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 服务器的攻击防护方法、装置、存储介质和电子装置 |
| CN108683682A (zh) * | 2018-06-04 | 2018-10-19 | 上海交通大学 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
| CN111371743A (zh) * | 2020-02-21 | 2020-07-03 | 上海红神信息技术有限公司 | 一种安全防御方法、装置及系统 |
| US20210392161A1 (en) * | 2020-06-16 | 2021-12-16 | Bank Of America Corporation | Automated distributed denial of service attack detection and prevention |
| CN112532605A (zh) * | 2020-11-23 | 2021-03-19 | 中信银行股份有限公司 | 一种网络攻击溯源方法及系统、存储介质、电子设备 |
| CN113472542A (zh) * | 2021-06-29 | 2021-10-01 | 广州炒米信息科技有限公司 | 基于sm3算法的网络攻击防御方法、装置、存储介质及客户终端、服务终端 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| BIYEZUOPIN: "Diffie-Hellman协议中间人攻击方法及协议改进(网络空间安全实践与设计)", pages 1 - 6, Retrieved from the Internet <URL:https://blog.csdn.net/sheziqiong/article/details/125508141> * |
| 冯欢: "IP网络中DoS攻击源定位技术研究", 中国优秀硕士学位论文全文数据库 信息科技辑 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115086069B (zh) | 2024-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Keelveedhi et al. | {DupLESS}:{Server-Aided} encryption for deduplicated storage | |
| Di Crescenzo et al. | Perfectly secure password protocols in the bounded retrieval model | |
| CN107483383B (zh) | 一种数据处理方法、终端、后台服务器及存储介质 | |
| AlSa'deh et al. | Secure neighbor discovery: Review, challenges, perspectives, and recommendations | |
| US20150067796A1 (en) | Method for statistical object identification | |
| JP2016136735A (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
| CN110417717B (zh) | 登录行为的识别方法及装置 | |
| RU2530691C1 (ru) | Способ защищенного удаленного доступа к информационным ресурсам | |
| US9973499B2 (en) | Method for statistical object indentification | |
| US8528060B2 (en) | Method and system for password protocols in the bounded retrieval mode with security dictionary attacks and intrusions | |
| Scholz et al. | SYN flood defense in programmable data planes | |
| CN107181605B (zh) | 报文检测方法及系统、内容提取装置、流量匹配装置 | |
| JP2019517067A5 (zh) | ||
| US20110219233A1 (en) | Quadratic residue based password authenticated key exchange method and system | |
| CN113746788A (zh) | 一种数据处理方法及装置 | |
| CN110191467B (zh) | 一种物联网设备的鉴权方法、设备、装置及存储介质 | |
| CN101090321B (zh) | 使用非周期精确测量发现仿真客户机的设备和方法 | |
| CN102404345A (zh) | 分布式攻击阻止方法及装置 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| GB2488753A (en) | Encrypted communication | |
| CN115086069B (zh) | 一种DDoS攻击识别方法及装置 | |
| CN114499969B (zh) | 一种通信报文的处理方法、装置、电子设备及存储介质 | |
| CN112134884B (zh) | 一种报文序列号的更新方法 | |
| Bernstein et al. | {McTiny}: Fast {High-Confidence}{Post-Quantum} Key Erasure for Tiny Network Servers | |
| CN107463840B (zh) | 一种基于网站网页名称加密的防御cc攻击的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |