CN115174249A - 安全日志的处理方法及电子设备、存储介质 - Google Patents
安全日志的处理方法及电子设备、存储介质 Download PDFInfo
- Publication number
- CN115174249A CN115174249A CN202210844266.9A CN202210844266A CN115174249A CN 115174249 A CN115174249 A CN 115174249A CN 202210844266 A CN202210844266 A CN 202210844266A CN 115174249 A CN115174249 A CN 115174249A
- Authority
- CN
- China
- Prior art keywords
- log
- attack
- protection
- log information
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000012545 processing Methods 0.000 title claims description 16
- 230000001681 protective effect Effects 0.000 claims abstract description 34
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 238000003672 processing method Methods 0.000 claims abstract description 11
- 238000012546 transfer Methods 0.000 claims description 7
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种安全日志的处理方法及电子设备、存储介质,方法包括:主设备定时向多个防护设备下发指示传输日志的DMT指令;其中,DMT指令包括采集时间段和传递时间;每一防护设备响应于DMT指令,在传递时间将采集时间段内采集的日志信息,传递至主设备;主设备汇总多个防护设备传递的日志信息后存储至本地数据库,并将已存储的日志信息的日志索引信息,写入至与日志信息匹配的防护结构体中;其中,防护结构体为防护对象对应的结构体。本申请方案,可以同步采集分布式抗DDOS设备下多个防护设备所生成的日志信息。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种安全日志的处理方法及电子设备、计算机可读存储介质。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标服务器发起DDOS攻击,消耗目标服务器的计算资源或网络带宽,从而导致目标服务器无法正常提供服务,使得用户无法正常访问目标服务器上的业务。更严重的,黑客在对目标服务器发起DDOS攻击时,可能窃取目标服务器上的核心数据。针对DDOS攻击,采取必要的防护措施尤为重要,而在防护过程中收集网络流量和攻击状态的日志信息也非常必要。收集到的日志信息可以反映当前网络的实时情况和设备运行状态,因此,维护人员可以通过分析日志信息而为攻击开启针对性的防护手段,从而达到最佳防护效果。
由于DDOS攻击的巨大流量,单独的抗DDOS设备的性能存在不足,往往通过分布式抗DDOS设备抵抗DDOS攻击。如何处理分布式抗DDOS设备下多个设备产生的日志信息是亟待解决的问题。
发明内容
本申请实施例的目的在于提供一种安全日志的处理方法及电子设备、计算机可读存储介质,用于同步采集分布式抗DDOS设备下多个防护设备所生成的日志信息。
一方面,本申请提供了一种安全日志的处理方法,应用于分布式抗DDOS设备,所述分布式抗DDOS设备包括交换设备和多个防护设备,所述多个防护设备包括主设备和若干从设备,包括:
所述主设备定时向所述多个防护设备下发指示传输日志的DMT指令;其中,所述DMT指令包括采集时间段和传递时间;
每一防护设备响应于DMT指令,在所述传递时间将所述采集时间段内采集的日志信息,传递至所述主设备;
所述主设备汇总所述多个防护设备传递的日志信息后存储至本地数据库,并将已存储的日志信息的日志索引信息,写入至与日志信息匹配的防护结构体中;其中,所述防护结构体为防护对象对应的结构体。
通过上述措施,分布式抗DDOS设备内各个防护设备可以在统一时刻采集及传递日志,保证了日志信息的同步性,使得主设备汇总的日志信息能够更准确地反应同一时刻访问服务器的流量状态以及对服务器的DDOS攻击状态;此外,各个防护设备所传递的日志信息表征单一防护设备所处理的流量,主设备汇总的各个防护设备的日志信息相互独立,无需额外的去重操作。
在一实施例中,所述方法还包括:
所述主设备在获取任一防护设备传递的日志信息之后,检查所述日志信息内是否包括攻击开始日志;其中,所述攻击开始日志指示针对任一目标服务器开始DDOS攻击;
若存在,以所述攻击开始日志中目的IP作为防护对象,并以所述目的IP在本地已构建的防护结构体中进行查找;
若查到与目的IP对应的防护结构体,将所述攻击开始日志写入所述数据库后,将所述攻击开始日志的日志索引信息,写入与所述目的IP对应的防护结构体;
若未查到与目的IP对应的防护结构体,为所述目的IP创建对应的防护结构体,并将所述攻击开始日志写入所述数据库后,将所述攻击开始日志的日志索引信息,写入与所述目的IP对应的防护结构体。
通过上述措施,主设备可以处理各个防护设备所传递的攻击开始日志,为首次受到DDOS攻击的目标服务器构建防护结构体,在已构建的防护结构体中,写入针对该防护结构体对应防护对象(服务器)的攻击开始日志的日志索引信息。
在一实施例中,所述方法还包括:
所述主设备在获取任一防护设备传递的日志信息之后,检查所述日志信息内是否包括攻击结束日志;其中,所述攻击结束日志指示针对任一目标服务器结束DDOS攻击;
若存在,以所述攻击结束日志中目的IP,在本地已构建的防护结构体中进行查找;
将所述攻击结束日志写入所述数据库后,将所述攻击结束日志的日志索引信息,写入查找到的防护结构体。
通过上述措施,主设备可以处理各个防护设备所传递的攻击结束日志,从而完善对DDOS攻击的监控,在数据库中记录已经结束的DDOS攻击。
在一实施例中,所述每一防护设备响应于DMT指令,在所述传递时间将所述采集时间段内采集的日志信息,传递至所述主设备,包括:
每一防护设备在所述采集时间段内采集通用流量日志和攻击流量日志,作为日志信息;其中,所述通用流量日志对应于以目的IP划分的流量,所述攻击流量日志对应于以源IP和目的IP划分的攻击流量;
在到达所述传递时间后,每一防护设备将采集到的日志信息传递至所述主设备。
通过上述措施,各个防护设备可以响应DMT指令,周期性同步采集通用流量日志以及已经认定为攻击流量的攻击流量日志。
在一实施例中,所述方法还包括:
每一防护设备接收到交换设备转发的报文后,依据防护策略判断所述报文是否为首次出现的攻击流量的报文;
若是,为所述报文对应的攻击流量生成攻击开始日志,并将所述攻击开始日志作为日志信息。
通过上述措施,防护设备可以对自身所处理的报文进行DDOS攻击检测,进而及时为攻击流量生成攻击开始日志,从而对攻击流量进行监控。
在一实施例中,所述方法还包括:
任一防护设备为攻击流量生成攻击开始日志之后,对所述攻击流量进行监控,若所述攻击流量满足攻击终止条件,生成攻击结束日志,并将所述攻击结束日志作为日志信息。
通过上述措施,防护设备可以对攻击流量进行监控,从而在DDOS攻击结束时及时生成攻击结束日志,以日志信息记录攻击行为的终止。
在一实施例中,所述方法还包括:
在所述防护设备采集日志信息之前,所述交换设备根据从外部接收的报文的源IP和目的IP,确定流量哈希;
所述交换设备在本地流量分配表中查找所述流量哈希;其中,所述流量分配表包括若干流量分配表项,每一流量分配表项包括流量哈希与防护设备的设备标识之间的映射关系;
若查到与流量哈希对应的流量分配表项,所述交换设备将报文发送至流量分配表项指示的防护设备;
若未查到与流量哈希对应的流量分配表项,所述交换设备为所述流量哈希分配防护设备,基于已分配的防护设备的设备标识和所述流量哈希构建流量分配表项,并将报文发送至已分配的防护设备。
通过上述措施,交换设备可以快速分配接收到的报文,并可充分发挥分布式抗DDOS设备中各个防护设备的性能。
在一实施例中,所述方法还包括:
所述主设备接收到针对任一防护对象的日志信息查询请求,返回所述防护对象的防护结构体中的若干日志索引信息;
所述主设备响应于针对任一日志索引信息的日志信息获取请求,从所述数据库中读取与日志索引信息对应的日志信息,并返回读取到的日志信息。
通过上述措施,可以借助防护结构体提供快捷的日志查询服务。
另一方面,本申请提供了一种电子设备,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述安全日志的处理方法。
进一步的,本申请提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成上述安全日志的处理方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍。
图1为本申请一实施例提供的安全日志的处理方法的应用场景示意图;
图2为本申请一实施例提供的电子设备的结构示意图;
图3为本申请一实施例提供的安全日志的处理方法的流程示意图;
图4为本申请一实施例提供的攻击开始日志的处理方法的流程示意图;
图5为本申请一实施例提供的攻击结束日志的处理方法的流程示意图;
图6为本申请一实施例提供的数据表示意图;
图7为本申请一实施例提供的报文分配方法的流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
图1为本申请实施例提供的安全日志的处理方法的应用场景示意图。如图1所示,该应用场景包括分布式抗DDOS设备20和服务器30;分布式抗DDOS设备20包括交换设备和多个防护设备,防护设备包括一个主设备和多个从设备;交换设备用于接收外部网络发往服务器的报文,并将报文分配至防护设备;防护设备可以对DDOS攻击进行防护,从而过滤出正常报文交由服务器30处理。在处理流量的过程中,各个防护设备可以生成日志信息,并由主设备进行汇总存储。
如图2所示,本实施例提供一种电子设备1,包括:至少一个处理器11和存储器12,图2中以一个处理器11为例。处理器11和存储器12通过总线10连接,存储器12存储有可被处理器11执行的指令,指令被处理器11执行,以使电子设备1可执行下述的实施例中方法的全部或部分流程。在一实施例中,电子设备1可以是上述交换设备或主设备或从设备,用于执行安全日志的处理方法。
存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
本申请还提供了一种计算机可读存储介质,存储介质存储有计算机程序,计算机程序可由处理器11执行以完成本申请提供的安全日志的处理方法。
参见图3,为本申请一实施例提供的安全日志的处理方法的流程示意图,如图3所示,该方法可以包括以下步骤310-步骤330。
步骤310:主设备定时向多个防护设备下发指示传输日志的DMT指令;其中,DMT指令包括采集时间段和传递时间。
分布式抗DDOS设备包括多个防护设备,在启动时,多个防护设备通过预设选举机制相互通信,以确定出一个主设备,除了主设备以外的其它防护设备为从设备。
主设备上可以启动定时进程或定时线程,根据预设周期时长周期性地向分布式抗DDOS设备内多个防护设备下发DMT(Data Message Transmission,数据消息传输)指令。这里,周期时长可以根据实际需要进行配置,示例性的,周期时长可以是1分钟、5分钟、30分钟等。DMT指令可以指示各个防护设备向主设备传输日志信息;DMT指令内包含采集时间段和传递时间,采集时间段表示各防护设备采集日志信息的时间段,采集时间段可以通过起始时间和结束时间来表示,或者,通过采集时长、起始时间或结束时间来表示,示例性的,DMT指令可以指示在10秒后开始采集日志,采集时长会1分钟,则每个防护设备可以在接收到DMT指令的10秒之后采集1分钟日志信息;传递时间表示各防护设备向主设备传递日志信息的时间,传递时间可以为采集时间段的结束时间,也可以为采集时间段之后的时间点,示例性的,DMT指令可以指示在80秒后传递日志信息,则每个防护设备可在接收到DMT指令的80秒之后向主设备传输日志信息。
主设备上的定时线程或定时进程可以周期性地向主设备以及各个从设备下发DMT指令。
步骤320:每一防护设备响应于DMT指令,在传递时间将采集时间段内采集的日志信息,传递至主设备。
每个防护设备接收到DMT指令后,可以从中解析出采集时间段和传递时间,并在采集时间段内采集自身所处理流量的日志信息,这里,日志信息可以包括DDOS攻击流量的日志信息。各个防护设备可以将采集到的日志信息写入本地数据队列。在到达传递时间之后,各个防护设备可以分别从自身数据队列中将已采集的日志信息传递至主设备。在一实施例中,各个防护设备所采集的日志信息可以记录防护设备的设备标识,便于主设备汇总不同设备所传递的日志信息。在一实施例中,各个防护设备均搭载多核心CPU(CentralProcessing Unit,中央处理器),对于每一防护设备而言,可采用不同的CPU核心处理向数据队列写入日志信息以及从数据队列将日志信息传递至主设备的工作。通过数据队列解耦日志采集和日志传输的工作,可以提高防护设备的整体性能。
对于各个从设备而言,从设备可以将自身采集的日志信息发送至主设备。对于主设备而言,可以直接获取自身采集的日志信息。
步骤330:主设备汇总多个防护设备传递的日志信息后存储至本地数据库,并将已存储的日志信息的日志索引信息,写入至与日志信息匹配的防护结构体中;其中,防护结构体为防护对象对应的结构体。
主设备从多个防护设备接收日志信息后,可以对日志信息进行汇总,并存储至本地数据库中。存储至数据库的日志信息存在对应的日志索引信息(比如:数据库内存放日志信息的数据表标识、表项标识等)。由于主设备可能接收DDOS攻击的流量的日志信息,在将此类日志信息写入数据库后,主设备还可以将日志信息的日志索引信息写入至防护结构体中。
这里,防护结构体用于存储防护对象的相关数据,防护对象为需要防护DDOS攻击的服务器,可以通过服务器IP地址来表示。在确定任一服务器收到DDOS攻击后,可以确定该服务器为防护对象,并为其构建相应的防护结构体。
主设备将DDOS攻击流量的日志信息写入数据库之后,基于日志信息中流量的目的IP查找到对应的防护结构体,并向防护结构体写入日志索引信息,有助于后续从防护结构体中直接获取防护对象相关流量的日志信息。
通过上述措施,分布式抗DDOS设备内各个防护设备可以在统一时刻采集及传递日志,保证了日志信息的同步性,使得主设备汇总的日志信息能够更准确地反应同一时刻访问服务器的流量状态以及对服务器的DDOS攻击状态;此外,各个防护设备所传递的日志信息表征单一防护设备所处理的流量,主设备汇总的各个防护设备的日志信息相互独立,无需额外的去重操作。
在一实例中,参见图4,为本申请一实施例提供的攻击开始日志的处理方法的流程示意图,如图4所示,该方法可以包括如下步骤410-步骤440。
步骤410:主设备在获取任一防护设备传递的日志信息之后,检查日志信息内是否包括攻击开始日志;其中,攻击开始日志指示针对任一目标服务器开始DDOS攻击。
防护设备向主设备传递的日志信息之中,可能包括攻击开始日志。主设备从任一防护设备获得日志信息后,可以检查其中是否包含攻击开始日志。这里,攻击开始日志可以包含攻击开始标识,该攻击开始标识用于指示攻击开始日志中源IP对应网络设备开始向目的IP对应的目标服务器进行DDOS攻击。
一方面,如果不存在攻击开始日志,主设备可以照常处理日志信息。另一方面,如果存在攻击开始日志,主设备可以继续执行步骤420。
步骤420:若存在,以攻击开始日志中目的IP作为防护对象,并以目的IP在本地已构建的防护结构体中进行查找。
在存在攻击开始日志的情况下,主设备可以将攻击开始日志所记录的目的IP作为防护对象,并查找与目标IP对应的防护结构体。
步骤430:若查到与目的IP对应的防护结构体,将攻击开始日志写入数据库后,将攻击开始日志的日志索引信息,写入与目的IP对应的防护结构体。
一种情况下,查到与目的IP对应的防护结构体,说明本次接收到攻击开始日志之前,目的IP对应的目标服务器已经受到DDOS攻击,这种情况下,主设备可以将攻击开始日志写入数据库,并将攻击开始日志的日志索引信息,写入查到的防护结构体中。
步骤440:若未查到与目的IP对应的防护结构体,为目的IP创建对应的防护结构体,并将攻击开始日志写入数据库后,将攻击开始日志的日志索引信息,写入与目的IP对应的防护结构体。
另一种情况下,未查到与目的IP对应的防护结构体,说明本次接收到攻击开始日志之前,目的IP对应的目标服务器尚未受到DDOS攻击,这种情况下,主设备可以为该目标服务器构建防护结构体,该防护结构体中记录目标服务器的IP地址。主设备可以将攻击开始日志写入数据库,并将攻击开始日志的日志索引信息,写入到已构建的防护结构体中。
主设备将攻击开始日志写入数据库时,可以在数据库的攻击流量表中为攻击开始日志创建对应的攻击流量表项。其中,攻击流量表项可以包括分配给攻击流量的攻击流量标识AID、目的地址、对攻击流量的处理动作、攻击类型、攻击开始日志中的攻击开始时间、攻击状态、地理位置等。此外,攻击流量表项还可以在后续写入攻击更新时间、攻击结束时间等。主设备可以将攻击流量标识AID作为攻击开始日志的日志索引信息。
通过上述措施,主设备可以处理各个防护设备所传递的攻击开始日志,为首次受到DDOS攻击的目标服务器构建防护结构体,在已构建的防护结构体中,写入针对该防护结构体对应防护对象(服务器)的攻击开始日志的日志索引信息。
在一实施例中,参见图5,为本申请一实施例提供的攻击结束日志的处理方法的流程示意图,如图5所示,该方法可以包括如下步骤510-步骤530。
步骤510:主设备在获取任一防护设备传递的日志信息之后,检查日志信息内是否包括攻击结束日志;其中,攻击结束日志指示针对任一目标服务器结束DDOS攻击。
防护设备向主设备传递的日志信息之中,可能包括攻击结束日志。主设备从任一防护设备获得日志信息后,可以检查其中是否包含攻击结束日志。这里,攻击结束日志可以包括攻击结束标识,该攻击结束标识用于指示攻击结束日志中源IP对应网络设备结束向目的IP对应的目标服务器的DDOS攻击。
一方面,如果不存在攻击结束日志,主设备可以照常处理日志信息。另一方面,如果存在攻击结束日志,主设备可以继续执行步骤520。
步骤520:若存在,以攻击结束日志中目的IP,在本地已构建的防护结构体中进行查找。
步骤530:将攻击结束日志写入数据库后,将攻击结束日志的日志索引信息,写入查找到的防护结构体。
在存在攻击结束日志的情况下,主设备可以根据攻击结束日志中的目的IP,查找本地已构建的防护结构体。主设备在收到攻击结束日志之前,已经收到与攻击结束日志对应的攻击开始日志。比如:如果收到攻击结束日志,其中源IP为IP1,目的IP为IP2,说明IP1指示的网络设备停止对IP2指示的目标服务器进行DDOS攻击。在此之前,主设备已经收到源IP为IP1、目的IP为IP2的攻击开始日志。这种情况下,在收到攻击结束日志时,主设备上已经为攻击结束日志中目的IP构建对应的防护结构体。主设备可以根据攻击结束日志中目的IP查到对应的防护结构体。
主设备可以将攻击结束日志写入数据库,并将攻击结束日志的日志索引信息,写入查找到的防护结构体中。
主设备将攻击结束日志写入数据库时,可以将攻击结束日志写入已为攻击结束日志对应的攻击流量所创建的攻击流量表项,并在攻击流量表项内写入攻击结束日志中的攻击结束时间。
通过上述措施,主设备可以处理各个防护设备所传递的攻击结束日志,从而完善对DDOS攻击的监控,在数据库中记录已经结束的DDOS攻击。
在一实施例中,每一防护设备在响应于DMT指令向主设备传递日志信息时,可以在DMT指令指示的采集时间段内采集通用流量日志和攻击流量日志,作为日志信息。其中,通用流量日志对应于以目的IP划分的流量,攻击流量日志对应于以源IP和目的IP划分的攻击流量。
对于每一防护设备而言,防护设备在接收交换设备所分配的报文后,可以以报文的目的IP,确定报文所属流量为访问该目的IP指示的服务器的流量,可以生成该目的IP对应的通用流量日志,并在该目的IP的通用流量日志中记录该报文的相关信息。此外,若防护设备确定报文属于攻击流量,换而言之,报文中源IP指示的网络设备在对目的IP指示的目标服务器进行DDOS攻击,此时,防护设备可以生成该源IP和该目的IP组合所对应的攻击流量日志,并在该攻击流量日志中记录该报文的相关信息。
在到达传递时间后,每一防护设备可以将采集到的日志信息传递至主设备。示例性的,当前接收的DMT指令指示在10点整开始采集5分钟日志信息,且10点6分为传递时间。各个防护设备可以采集10点到10点5分的日志信息,并在10点6分将日志信息传递至主设备。
通过上述措施,各个防护设备可以响应DMT指令,周期性同步采集通用流量日志以及已经认定为攻击流量的攻击流量日志。
在一实施例中,各个防护设备在处理交换设备所分配的报文时,可以检查报文是否属于攻击流量。每一防护设备接收到交换设备转发的报文后,可以依据防护策略判断报文是否为首次出现的攻击流量的报文。示例性的,防护策略可以为源IP和目的IP相同的报文,在单位时间的报文总量达到预设数量阈值。这里,数量阈值可以是经验值。
如果报文不属于攻击流量,或者,报文属于已接受监控的攻击流量,防护设备可以依据报文照常生成通用流量日志、或生成通用流量日志及攻击流量日志。
如果报文属于首次出现的攻击流量,换而言之,防护设备依据当前接收的报文判断报文所属流量为攻击流量,则可以生成攻击开始日志,指示报文内源IP对应的网络设备开始向目的IP对应的目标服务器进行DDOS攻击。防护设备可以将攻击开始日志作为日志信息,并放入本地数据队列。
防护设备并非由DMT指令触发生成攻击开始日志,而是持续以防护策略处理报文,从而生成攻击开始日志。防护设备在生成攻击开始日志后,可以在最近的一次传递时间将其作为日志信息传递至主设备。
通过上述措施,防护设备可以对自身所处理的报文进行DDOS攻击检测,进而及时为攻击流量生成攻击开始日志,从而对攻击流量进行监控。
在一实施例中,任一防护设备在为攻击流量生成攻击开始日志之后,可以对攻击流量进行监控,并在监控过程中判断攻击流量是否满足攻击终止条件。示例性的,攻击终止条件可以为攻击流量在单位时间的报文总量低于预设数量阈值,且持续时长达到预设时长阈值。这里,时长阈值可以是经验值,比如,10分钟。
一种情况下,若不满足攻击终止条件,可以持续对攻击流量进行监控,并在接收到DMT指令时为攻击流量生成攻击流量日志和通用流量日志。
另一种情况下,若满足攻击终止条件,防护设备可以为攻击流量生成攻击结束日志,指示攻击结束日志内源IP对应的网络设备结束对目的IP对应的目标服务器的DDOS攻击。防护设备可以将攻击结束日志作为日志信息,并放入本地数据队列。
防护设备并非由DMT指令触发生成攻击结束日志,而是持续对攻击流量进行监控,并在攻击流量对应的网络设备结束DDOS攻击时生成攻击结束日志。防护设备在生成攻击结束日志后,可以在最近的一次传递时间将其作为日志信息传递至主设备。
通过上述措施,防护设备可以对攻击流量进行监控,从而在DDOS攻击结束时及时生成攻击结束日志。
参见图6,为本申请一实施例提供的数据表示意图。本申请中可以以目的IP划分通用流量,以源IP和目的IP划分攻击流量。这种情况下,若存在三个源IP不同的网络设备向同一目标服务器发起DDOS攻击,则三个网络设备发出的流量被划分为一条通用流量、三条攻击流量。而对于正常访问服务器的普通流量,同样以目的IP划分为通用流量。
在通用流量维度上的日志信息,可以写入通用流量表,每一通用流量对应一条通用流量表项。其中,通用流量表项可以包括分配给通用流量的通用流量标识FID、目的地址、开始时间、结束时间等内容。主设备在获得防护设备所传递的通用流量日志后,可以写入通用流量日志指示的通用流量所对应的通用流量表项。如图6所示,通用流量表中包括多个通用流量表项,且每一通用流量表项内包括多条通用流量日志。
在攻击流量维度上的日志信息,可以写入攻击流量表,每一攻击流量对应一条攻击流量表项。主设备在获得防护设备所传递的攻击开始日志,为攻击流量创建攻击流量表项,并在后续接收攻击流量日志时,写入对应的攻击流量表项,在收到攻击流量对应的攻击结束日志后,可以更新攻击流量表项,说明一个网络设备对一个目标服务器的攻击行为结束。
在一实施例中,参见图7,为本申请一实施例提供的报文分配方法的流程示意图,如图7所示,该方法可以包括如下步骤301-步骤304。
步骤301:在防护设备采集日志信息之前,交换设备根据从外部接收的报文的源IP和目的IP,确定流量哈希。
分布式抗DDOS设备中的交换设备最先接收到外部网络访问服务器的报文,交换设备可以解析报文的源IP和目的IP,并将源IP和目的IP作为整体计算哈希值,得到该报文对应的流量哈希。
步骤302:交换设备在本地流量分配表中查找流量哈希;其中,流量分配表包括若干流量分配表项,每一流量分配表项包括流量哈希与防护设备的设备标识之间的映射关系。
交换设备通过本地的流量分配表记录分配给各个防护设备的流量。在获得报文的流量哈希之后,可以在流量分配表中查找对应的流量分配表项。
步骤303:若查到与流量哈希对应的流量分配表项,交换设备将报文发送至流量分配表项指示的防护设备。
在查到对应于流量哈希的流量分配表项时,可以确定当前接收的报文所属流量已经分配给流量分配表项中记录的防护设备。这种情况下,交换设备可以直接将报文发送至流量分配表项指示的防护设备。
步骤304:若未查到与流量哈希对应的流量分配表项,交换设备为流量哈希分配防护设备,基于已分配的防护设备的设备标识和流量哈希构建流量分配表项,并将报文发送至已分配的防护设备。
在未查到对应于流量哈希的流量分配表项时,可以确定尚未将当前接收的报文所属流量分配给任一防护设备。这种情况下,交换设备可以基于预设分配规则为流量哈希分配防护设备。示例性的,交换设备为各个防护设备轮流分配流量哈希。或者,交换设备可以根据各个防护设备所处理的报文数量,以负载均衡原则分配流量哈希。
在为流量哈希分配防护设备之后,交换设备可以基于已分配的防护设备的设备标识和流量哈希,构建流量分配表项,并写入到流量分配表。交换设备可以将报文发送至已分配处理该报文所属流量的防护设备。
通过上述措施,交换设备可以快速分配接收到的报文,并可充分发挥分布式抗DDOS设备中各个防护设备的性能。
在一实施例中,主设备汇总并存储多个防护设备的日志信息之后,可以提供日志信息的查询服务。主设备接收到针对任一防护对象的日志信息查询请求后,可以向日志信息查询请求的发起方返回防护对象的防护结构体中的若干日志索引信息。示例性的,主设备接收到针对服务器A的日志信息查询请求,可以根据服务器A的IP地址查到对应的防护结构体,并从中获取日志索引信息并返回。
在返回若干日志索引信息之后,主设备可以收到日志信息获取请求,该日志信息获取请求包含至少一条待获取的日志信息的日志索引信息。主设备从日志信息获取请求中解析出日志索引信息,并依据日志索引信息从本地数据库中读取对应的日志信息,向日志信息获取请求的发起方返回读取到的日志信息。
由于本申请方案针对每一被攻击的防护对象构建了防护结构体,并在防护结构体中写入防护对象相关流量的日志索引信息,从而可以借助防护结构体提供快捷的日志查询服务。
Claims (10)
1.一种安全日志的处理方法,应用于分布式抗DDOS设备,所述分布式抗DDOS设备包括交换设备和多个防护设备,所述多个防护设备包括主设备和若干从设备,其特征在于,包括:
所述主设备定时向所述多个防护设备下发指示传输日志的DMT指令;其中,所述DMT指令包括采集时间段和传递时间;
每一防护设备响应于DMT指令,在所述传递时间将所述采集时间段内采集的日志信息,传递至所述主设备;
所述主设备汇总所述多个防护设备传递的日志信息后存储至本地数据库,并将已存储的日志信息的日志索引信息,写入至与日志信息匹配的防护结构体中;其中,所述防护结构体为防护对象对应的结构体。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述主设备在获取任一防护设备传递的日志信息之后,检查所述日志信息内是否包括攻击开始日志;其中,所述攻击开始日志指示针对任一目标服务器开始DDOS攻击;
若存在,以所述攻击开始日志中目的IP作为防护对象,并以所述目的IP在本地已构建的防护结构体中进行查找;
若查到与目的IP对应的防护结构体,将所述攻击开始日志写入所述数据库后,将所述攻击开始日志的日志索引信息,写入与所述目的IP对应的防护结构体;
若未查到与目的IP对应的防护结构体,为所述目的IP创建对应的防护结构体,并将所述攻击开始日志写入所述数据库后,将所述攻击开始日志的日志索引信息,写入与所述目的IP对应的防护结构体。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述主设备在获取任一防护设备传递的日志信息之后,检查所述日志信息内是否包括攻击结束日志;其中,所述攻击结束日志指示针对任一目标服务器结束DDOS攻击;
若存在,以所述攻击结束日志中目的IP,在本地已构建的防护结构体中进行查找;
将所述攻击结束日志写入所述数据库后,将所述攻击结束日志的日志索引信息,写入查找到的防护结构体。
4.根据权利要求1所述的方法,其特征在于,所述每一防护设备响应于DMT指令,在所述传递时间将所述采集时间段内采集的日志信息,传递至所述主设备,包括:
每一防护设备在所述采集时间段内采集通用流量日志和攻击流量日志,作为日志信息;其中,所述通用流量日志对应于以目的IP划分的流量,所述攻击流量日志对应于以源IP和目的IP划分的攻击流量;
在到达所述传递时间后,每一防护设备将采集到的日志信息传递至所述主设备。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
每一防护设备接收到交换设备转发的报文后,依据防护策略判断所述报文是否为首次出现的攻击流量的报文;
若是,为所述报文对应的攻击流量生成攻击开始日志,并将所述攻击开始日志作为日志信息。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
任一防护设备为攻击流量生成攻击开始日志之后,对所述攻击流量进行监控,若所述攻击流量满足攻击终止条件,生成攻击结束日志,并将所述攻击结束日志作为日志信息。
7.根据权利要求4所述的方法,其特征在于,所述方法还包括:
在所述防护设备采集日志信息之前,所述交换设备根据从外部接收的报文的源IP和目的IP,确定流量哈希;
所述交换设备在本地流量分配表中查找所述流量哈希;其中,所述流量分配表包括若干流量分配表项,每一流量分配表项包括流量哈希与防护设备的设备标识之间的映射关系;
若查到与流量哈希对应的流量分配表项,所述交换设备将报文发送至流量分配表项指示的防护设备;
若未查到与流量哈希对应的流量分配表项,所述交换设备为所述流量哈希分配防护设备,基于已分配的防护设备的设备标识和所述流量哈希构建流量分配表项,并将报文发送至已分配的防护设备。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述主设备接收到针对任一防护对象的日志信息查询请求,返回所述防护对象的防护结构体中的若干日志索引信息;
所述主设备响应于针对任一日志索引信息的日志信息获取请求,从所述数据库中读取与日志索引信息对应的日志信息,并返回读取到的日志信息。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-8任意一项所述的安全日志的处理方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成权利要求1-8任意一项所述的安全日志的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210844266.9A CN115174249B (zh) | 2022-07-18 | 2022-07-18 | 安全日志的处理方法及电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210844266.9A CN115174249B (zh) | 2022-07-18 | 2022-07-18 | 安全日志的处理方法及电子设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174249A true CN115174249A (zh) | 2022-10-11 |
| CN115174249B CN115174249B (zh) | 2024-09-24 |
Family
ID=83495380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210844266.9A Active CN115174249B (zh) | 2022-07-18 | 2022-07-18 | 安全日志的处理方法及电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174249B (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201839310U (zh) * | 2010-09-21 | 2011-05-18 | 上海地面通信息网络有限公司 | 一种集中式远端云计算安全装置 |
| US20130104230A1 (en) * | 2011-10-21 | 2013-04-25 | Mcafee, Inc. | System and Method for Detection of Denial of Service Attacks |
| CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
| CN104580216A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| CN105634845A (zh) * | 2014-10-30 | 2016-06-01 | 任子行网络技术股份有限公司 | 一种用于对海量dns日志进行多维统计分析的方法及系统 |
| US20170318036A1 (en) * | 2016-04-29 | 2017-11-02 | Vmware, Inc. | Preemptive alerts in a connected environment |
| CN109495423A (zh) * | 2017-09-11 | 2019-03-19 | 网宿科技股份有限公司 | 一种防止网络攻击的方法及系统 |
| US20200244672A1 (en) * | 2019-01-30 | 2020-07-30 | Cisco Technology, Inc. | Ransomware detection using file replication logs |
| CN111478798A (zh) * | 2020-03-18 | 2020-07-31 | 华为技术有限公司 | 故障处理方法、故障处理的装置和存储介质 |
| CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
| CN111711577A (zh) * | 2020-07-24 | 2020-09-25 | 杭州迪普信息技术有限公司 | 流控设备的报文转发方法及装置 |
| CN112835885A (zh) * | 2019-11-22 | 2021-05-25 | 北京金山云网络技术有限公司 | 一种分布式表格存储的处理方法、装置及系统 |
| CN114218000A (zh) * | 2021-11-26 | 2022-03-22 | 深圳市优必选科技股份有限公司 | 日志管理方法、装置、电子设备及计算机可读存储介质 |
| CN114281774A (zh) * | 2021-12-14 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种日志识别方法、装置、电子设备及存储介质 |
| CN114567571A (zh) * | 2022-03-14 | 2022-05-31 | Oppo广东移动通信有限公司 | 性能测试方法、装置、电子设备和计算机可读存储介质 |
-
2022
- 2022-07-18 CN CN202210844266.9A patent/CN115174249B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201839310U (zh) * | 2010-09-21 | 2011-05-18 | 上海地面通信息网络有限公司 | 一种集中式远端云计算安全装置 |
| US20130104230A1 (en) * | 2011-10-21 | 2013-04-25 | Mcafee, Inc. | System and Method for Detection of Denial of Service Attacks |
| CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
| CN105634845A (zh) * | 2014-10-30 | 2016-06-01 | 任子行网络技术股份有限公司 | 一种用于对海量dns日志进行多维统计分析的方法及系统 |
| CN104580216A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| US20170318036A1 (en) * | 2016-04-29 | 2017-11-02 | Vmware, Inc. | Preemptive alerts in a connected environment |
| CN109495423A (zh) * | 2017-09-11 | 2019-03-19 | 网宿科技股份有限公司 | 一种防止网络攻击的方法及系统 |
| US20200244672A1 (en) * | 2019-01-30 | 2020-07-30 | Cisco Technology, Inc. | Ransomware detection using file replication logs |
| CN112835885A (zh) * | 2019-11-22 | 2021-05-25 | 北京金山云网络技术有限公司 | 一种分布式表格存储的处理方法、装置及系统 |
| CN111478798A (zh) * | 2020-03-18 | 2020-07-31 | 华为技术有限公司 | 故障处理方法、故障处理的装置和存储介质 |
| CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
| CN111711577A (zh) * | 2020-07-24 | 2020-09-25 | 杭州迪普信息技术有限公司 | 流控设备的报文转发方法及装置 |
| CN114218000A (zh) * | 2021-11-26 | 2022-03-22 | 深圳市优必选科技股份有限公司 | 日志管理方法、装置、电子设备及计算机可读存储介质 |
| CN114281774A (zh) * | 2021-12-14 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种日志识别方法、装置、电子设备及存储介质 |
| CN114567571A (zh) * | 2022-03-14 | 2022-05-31 | Oppo广东移动通信有限公司 | 性能测试方法、装置、电子设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174249B (zh) | 2024-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10904277B1 (en) | Threat intelligence system measuring network threat levels | |
| US8479048B2 (en) | Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained | |
| EP3297213B1 (en) | Method and apparatus for identifying application information in network traffic | |
| CN110324313B (zh) | 基于蜜罐系统的恶意用户的识别方法及相关设备 | |
| CN106713049B (zh) | 一种监控的告警方法及装置 | |
| EP2563062B1 (en) | Long connection management apparatus and link resource management method for long connection communication | |
| US8904524B1 (en) | Detection of fast flux networks | |
| JP2018531527A6 (ja) | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 | |
| CN111600856A (zh) | 数据中心运维的安全系统 | |
| CN105144138A (zh) | 分布式事件关联系统 | |
| CN104580216A (zh) | 一种对访问请求进行限制的系统和方法 | |
| KR101211207B1 (ko) | 캐시 클라우드 구조를 이용한 캐시 시스템 및 캐싱 서비스 제공 방법 | |
| CN112019533A (zh) | 一种缓解CDN系统被DDoS攻击的方法及系统 | |
| US8117181B2 (en) | System for notification of group membership changes in directory service | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN103916376A (zh) | 具攻击防护机制的云端系统及其防护方法 | |
| CN115174249B (zh) | 安全日志的处理方法及电子设备、存储介质 | |
| CN105893150B (zh) | 接口调用频度控制、接口调用请求处理方法及装置 | |
| CN105338017A (zh) | 一种web防御方法和系统 | |
| CN110134578B (zh) | 一种数据处理方法及装置 | |
| CN113923260B (zh) | 一种对代理环境进行处理的方法、装置、终端及存储介质 | |
| CN106850835B (zh) | 数据处理方法及装置 | |
| CN106878247B (zh) | 一种攻击识别方法和装置 | |
| CN112929347B (zh) | 一种限频方法、装置、设备及介质 | |
| CN112202821B (zh) | 一种cc攻击的识别防御系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |