CN116346499A - 恶意流量清洗方法、装置、电子设备及存储介质 - Google Patents
恶意流量清洗方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116346499A CN116346499A CN202310513065.5A CN202310513065A CN116346499A CN 116346499 A CN116346499 A CN 116346499A CN 202310513065 A CN202310513065 A CN 202310513065A CN 116346499 A CN116346499 A CN 116346499A
- Authority
- CN
- China
- Prior art keywords
- flow
- data packet
- cleaning
- malicious
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004140 cleaning Methods 0.000 title claims abstract description 98
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000001914 filtration Methods 0.000 claims abstract description 33
- 238000004458 analytical method Methods 0.000 claims abstract description 15
- 230000000670 limiting effect Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 description 11
- 238000001514 detection method Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 6
- 230000003068 static effect Effects 0.000 description 6
- 238000005406 washing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 241000287828 Gallus gallus Species 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000010926 purge Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例提供了恶意流量清洗方法、装置、电子设备及存储介质,应用于计算机网络安全技术领域。所述方法包括获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。以此方式,可以对流量设置层层清洗关卡,以应对不同攻击手法的DDoS攻击,提高恶意流量过滤的精准度。
Description
技术领域
本公开涉及计算机网络安全技术领域,尤其涉及恶意流量清洗方法、装置、电子设备及存储介质。
背景技术
在网络攻防中,利用DDoS(Distributed Denial of Service,分布式阻断服务)攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的是最为常见的攻击手法之一,例如:常见DDoS攻击手法SYN Flood(Synchronize Sequence Numbers Flood,又称SYN洪水攻击,是拒绝服务攻击的一种),即攻击者在短时间内使用大量的肉鸡或伪造大量不存在的IP地址,向目标系统不断地发送SYN(Synchronize Sequence Numbers,同步序列编号)数据包,迫使目标系统需要回复大量SYN+ACK(Synchronize Sequence Numbers andAcknowledge character)回响数据包,并等待发送源的确认。由于源地址不对回响数据包进行响应或者源地址是根本就不存在的,目标系统需要不断的重发SYN+ACK回响数据包直至SYN包超时,这些一直得不到确认的SYN包将长时间占用SYN队列,导致正常的SYN请求被丢弃或被拒绝,进一步导致目标系统运行缓慢,严重地会引起网络堵塞甚至目标系统底层操作系统瘫痪,所以亟需对现有恶意流量的过滤技术。由于DDoS攻击具有不同攻击手法,被攻击的安全防护能力也会存在较大差异,现有流量过滤技术,不具备良好的变通性,无法实现有针对性的流量过滤与清洗。
发明内容
本公开提供了一种恶意流量清洗方法、装置、电子设备及存储介质。
根据本公开的第一方面,提供了一种恶意流量清洗方法。该方法包括:
获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;
根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;
根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;
根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。
进一步地,所述根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量,包括:
根据所述五元组信息,基于预设黑名单和白名单,对所述待清洗流量进行流量过滤或认证,得到初始清洗流量。
进一步地,所述流量数据包包括SYN数据包和回响数据包,所述根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量,包括:
统计所述SYN数据包的发送速率和所述回响数据包的比率;其中,所述比率为所述回响数据包的数量和所述SYN数据包的数量的比值;
根据统计结果,对所述初始清洗流量进行恶意识别;
将识别为恶意的流量从所述初始清洗流量中剔除,得到二次清洗流量。
进一步地,所述根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量,包括:
根据所述流量数据包的长度和/或特征码,确定所述二次清洗流量是否为恶意流量;
若确定所述二次清洗流量为恶意流量的,将该恶意流量从所述二次清洗流量中清除,得到最终清洗流量。
进一步地,所述方法还包括:对恶意流量的IP地址进行标记,若预设时间内被标记次数超过阈值,则将所述IP地址加入黑名单。
进一步地,所述方法还包括:
若所述最终清洗流量的流量速率超过预设流量速率的,则执行速率限制操作。
根据本公开的第二方面,提供了一种恶意流量清洗装置。该装置包括:
信息获取模块,用于获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;
过滤或认证模块,用于根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;
二次清洗模块,用于根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;
端口分析模块,用于根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。
根据本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面所述的方法。
本公开的实施例提供的恶意流量清洗方法、装置、电子设备及存储介质,基于流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码,对流量设置层层清洗关卡,以应对不同攻击手法的DDoS攻击,提高恶意流量过滤的精准度。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本公开的实施例的恶意流量清洗方法的流程图;
图2示出了根据本公开的又一实施例的恶意流量清洗方法的流程图;
图3示出了根据本公开的实施例的恶意流量清洗装置的框图;
图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本公开中,涉及一种通过网络隧道清洁技术进行流量清洗的系统,该系统包括信息获取、动静态过滤、认证流量包、异常识别、协议分析、流量速率限制五个单元,其中,信息获取单元用于获取待清洗流量的信息;动静态过滤单元用于对流量进行静态和动态的过滤,其中包括预设的黑名单用于静态过滤和实时更新后的黑名单用于动态过滤;认证流量包单元用于验证进入系统的流量数据包没有欺骗或者攻击信息,其中包括预设的白名单;异常识别单元用于查找流入系统的恶意流量,并进一步识别恶意流量的来源,其中包括预设的异常识别规则用于识别恶意流量;协议分析单元用于识别特定的应用攻击,包括对特定常用的应用端口,进行进一步拦截,其中包括预设的样本库检测规则;流量速率限制单元用于在某一特定时间内,允许特定大小的流量参与服务,防止目标服务崩溃。以此,可甄别恶意流量和正常流量,并过滤恶意流量,从而避免了间接DDoS攻击的发生,且将合法流量转发到各自的最初目的地,与现有技术相比过滤精准性有了很大的提高。
图1示出了根据本公开实施例的恶意流量清洗方法100的流程图。方法100包括:
步骤110,获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码。
在一些实施例中,当有流量待清洗时,或者当通信过程中产生流量,需要对该通信进行监控,以对抗DDoS攻击时,获取待清洗流量的五元组信息,该五元组信息包括源IP地址、目的IP地址、协议号、源端口号、目的端口号,以及流量数据包,并从流量数据包的长度字段和特征码字段,获取到流量数据包的长度和特征码。其中,流量数据包的特征码为流量数据包中的特征信息,例如,http通信请求访问指定Web页面时,流量数据包中的TRACE、PUT、DELETE、COPY操作:TRACE---请求服务器在响应中的实体主体部分返回所得到的内容;PUT---从客户端向服务器传送的数据取代指定的文档的内容;DELETE---请求服务器删除指定的页面;COPY---请求服务器将指定的页面拷贝至另一个网络地址。
步骤120,根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量。
在一些实施例中,根据步骤110中获得的五元组信息,基于预设黑名单和白名单,对所述待清洗流量进行流量过滤或认证,得到初始清洗流量。一方面,对所述待清洗流量进行流量过滤,包括预先设置的黑名单,黑名单中包含黑名单源IP地址、黑名单目的IP地址、黑名单协议号等信息,凡是待清洗流量包中包含了黑名单中的任一信息,即所述待清洗流量的源IP地址或目的IP地址或协议号或源端口号或目的端口号在黑名单中的,则将对应的流量包过滤掉,以实现恶意流量的初步静态过滤。另一方面,通过预先设置白名单的机制,对进入的流量进行白名单过滤。白名单主要包括对源IP地址、目的IP地址、协议号、源端口号、目的端口号等信息进行标记,满足该标记特征的流量被认定为白名单流量。如果进入的待清洗流量特征满足上述白名单机制的任一要求,即所述待清洗流量的源IP地址或目的IP地址或协议号或源端口号或目的端口号在白名单中的,则该流量被认定为白名单流量,无需做后续清洗工作,直接转入到流量速率限制单元,以认证进入系统的流量数据包没有欺骗或者攻击信息。
步骤130,根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量。
在一些实施例中,如图2所示的流量二次清洗的流程示意图,所述流量数据包包括SYN数据包和回响数据包,所述根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量,具体包括以下步骤:
步骤210,统计所述SYN数据包的发送速率和所述回响数据包的比率。
其中,所述比率为所述回响数据包的数量和所述SYN数据包的数量的比值。
步骤220,根据统计结果,对所述初始清洗流量进行恶意识别。
步骤230,将识别为恶意的流量从所述初始清洗流量中剔除,得到二次清洗流量。
在一些实施例中,常见的DDoS攻击手法,即攻击者在短时间内使用大量的肉鸡或伪造大量不存在的IP地址,向目标系统不断地发送SYN数据包,迫使目标系统需要回复大量SYN+ACK回响数据包,并等待发送源的确认,但由于源地址不对回响数据包进行响应或者源地址本身就不存在,导致系统需要不断的重发SYN+ACK回响数据包,长时间占用SYN队列,导致正常的SYN请求被丢弃或被拒绝,导致目标系统运行缓慢,甚至引起网络堵塞和造成系统瘫痪。故可以基于SYN数据包的发送速率和SYN+ACK回响数据包的回复比率来识别恶意流量。
在一些实施例中,针对任一源IP地址,可以是通过如下异常识别规则进行恶意流量识别:其SYN数据包的发送速率大于等于第一预设阈值的,则该源IP地址为恶意IP,对应的流量识别为恶意流量。即某源IP地址发送的SYN数据数据包的速率大于T个/秒,判定该IP为恶意IP,加入恶意IP黑名单,T为常数,这种情况针对源IP短时间发送大量SYN数据包的情况;若其SYN数据包的发送速率小于所述第一预设阈值并大于等于第二预设阈值的,则若所述待清洗流量的回响数据包的比率大于等于第三预设阈值,且该源IP地址的回响数据包的比率小于第四预设阈值的,则该源IP地址为恶意IP,对应的流量识别为恶意流量。即某源IP发送的SYN数据数据包的速率小于T个/秒并大于等于C个/秒,且所述待清洗流量的SYN+ACK回响数据包的比率在B%以上,而该IP的SYN+ACK回响数据包确认的比率低于K%时,判定该IP为恶意IP,加入恶意IP黑名单,C、B、K均为常数。通过发包速率和回响数据包比例来进一步识别恶意流量,使得识别的结果更为准确,同时,还可以进一步识别恶意流量包的来源,动态的将恶意IP及时加入黑名单中,并将这些新的黑名单信息加入到动静态过滤单元中,实现动态过滤的同时,还能提高恶意流量清洗速率。
步骤140,根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。
在一些实施例中,根据所述流量数据包的长度和/或特征码,确定所述二次清洗流量是否为恶意流量;若确定所述二次清洗流量为恶意流量的,将该恶意流量从所述二次清洗流量中清除,得到最终清洗流量。
在一些实施例中,预先构建恶意攻击样本数据,记录下每一种特定攻击样本的特征,包括数据包协议号、数据包中特征码等,例如,通过分析接接收到的http数据包中的内容,按照http协议对格式的定义,从数据包中提取“请求方法”字段,得到数据包特征码,如:TRACE、PUT、DELETE、COPY等操作。样本库检测规则表示形式为:(协议号、数据包中特征码、http数据包、数据包长度字段、标记结果)。该样本库检测规则项---协议号、数据包中特征码、http数据包、数据包长度字段、标记结果,可以都填满,也可以部分空置。检测时,对收到的数据包按样本库检测规则进行比较,满足样本库检测规则内容的,则按样本库检测规则中的“标记结果”字段进行标记。“标记结果”字段的取值只有两种:正常、恶意。通过这种方式,可以灵活的设置不同的样本库检测规则,对恶意流量进行灵活检测,在兼顾检测效率的同时,还能确保检测的准确性。
基于上述实施方式,在本公开提供的又一实施方式的所述步骤220,还可以是通过如下异常识别规则进行恶意流量识别:预设时间间隔区间内的SYN数据包的发送速率大于第五预设阈值,且所述待清洗流量的回响数据包的比率大于第六预设阈值,且所述预设时间间隔区间内的回响数据包的比率小于第七预设阈值的,则所述预设时间间隔区间内的源IP地址均为恶意IP,对应的流量识别为恶意流量。
在一些实施例中,单位时间内,对多个源IP发送的SYN数据包的发送速率进行统计大于R个/秒,当所述待清洗流量的SYN+ACK回响数据包比率在P%以上,而该多个IP的SYN+ACK回响数据包确认的比率低于Q%时,整个这一组源IP均判定为恶意IP,加入恶意IP黑名单,对应的流量识别为恶意流量,R、P、Q均为常数。通过设置不同的异常识别规则,不仅仅实现针对单个IP地址的过滤,还能实现一组恶意IP的同步过滤,提高恶意流量清洗速率。
基于上述实施方式,在本公开提供的又一实施方式的步骤140,还包括:对恶意流量的IP地址进行标记,若预设时间内被标记次数超过阈值,则将所述IP地址加入黑名单。
在一些实施例中,如果一个IP在时间t内,被标记为恶意流量的次数超过E次,则该IP被标记为恶意IP,加入恶意IP黑名单。t、E均为常数。
基于上述实施方式,在本公开提供的又一实施方式的所述方法还包括:若所述最终清洗流量的流量速率超过预设流量速率的,则执行速率限制操作。
在一些实施例中,通过设置流量速率限制单元,在某一特定时间内,允许特定总大小流量参与服务,以防止目标服务崩溃,流量速率可由用户灵活设置和调整。通过动静态过滤、认证流量包、异常识别、协议分析四个单元的流量清洗操作,合法且正常的访问流量会被送达被保护的目标网络。如果清洁后的数据流量仍然超过被保护的目标网络能够承载的最高限额,清洁流量在回送到被保护的目标网络前采取速率限制操作,以保证被保护的目标网络的正常运转。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图3示出了根据本公开的实施例的恶意流量清洗装置300的方框图。
如图3所示,装置300包括:
信息获取模块310,用于获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;
过滤或认证模块320,用于根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;
二次清洗模块330,用于根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;
端口分析模块340,用于根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质。
图4示出了可以用来实施本公开的实施例的电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
电子设备400包括计算单元401,其可以根据存储在ROM402中的计算机程序或者从存储单元408加载到RAM403中的计算机程序,来执行各种适当的动作和处理。在RAM403中,还可存储电子设备400操作所需的各种程序和数据。计算单元401、ROM402以及RAM403通过总线404彼此相连。I/O接口405也连接至总线404。
电子设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许电子设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM402和/或通信单元409而被载入和/或安装到电子设备400上。当计算机程序加载到RAM403并由计算单元401执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,计算单元401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (9)
1.一种恶意流量清洗方法,其特征在于,包括:
获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;
根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;
根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;
根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。
2.根据权利要求1所述的方法,其特征在于,所述根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量,包括:
根据所述五元组信息,基于预设黑名单和白名单,对所述待清洗流量进行流量过滤或认证,得到初始清洗流量。
3.根据权利要求1所述的方法,其特征在于,所述流量数据包包括SYN数据包和回响数据包,所述根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量,包括:
统计所述SYN数据包的发送速率和所述回响数据包的比率;其中,所述比率为所述回响数据包的数量和所述SYN数据包的数量的比值;
根据统计结果,对所述初始清洗流量进行恶意识别;
将识别为恶意的流量从所述初始清洗流量中剔除,得到二次清洗流量。
4.根据权利要求1所述的方法,其特征在于,所述根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量,包括:
根据所述流量数据包的长度和/或特征码,确定所述二次清洗流量是否为恶意流量;
若确定所述二次清洗流量为恶意流量的,将该恶意流量从所述二次清洗流量中清除,得到最终清洗流量。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:对恶意流量的IP地址进行标记,若预设时间内被标记次数超过阈值,则将所述IP地址加入黑名单。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述最终清洗流量的流量速率超过预设流量速率的,则执行速率限制操作。
7.一种恶意流量清洗装置,其特征在于,包括:
信息获取模块,用于获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;
过滤或认证模块,用于根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;
二次清洗模块,用于根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;
端口分析模块,用于根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。
8.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-6中任一权利要求所述的方法。
9.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行根据权利要求1-6中任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310513065.5A CN116346499A (zh) | 2023-05-08 | 2023-05-08 | 恶意流量清洗方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310513065.5A CN116346499A (zh) | 2023-05-08 | 2023-05-08 | 恶意流量清洗方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116346499A true CN116346499A (zh) | 2023-06-27 |
Family
ID=86880657
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310513065.5A Pending CN116346499A (zh) | 2023-05-08 | 2023-05-08 | 恶意流量清洗方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116346499A (zh) |
-
2023
- 2023-05-08 CN CN202310513065.5A patent/CN116346499A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240154977A1 (en) | Efficient Threat Context-Aware Packet Filtering for Network Protection | |
| EP2289221B1 (en) | Network intrusion protection | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US8769681B1 (en) | Methods and system for DMA based distributed denial of service protection | |
| US9398027B2 (en) | Data detecting method and apparatus for firewall | |
| US20150033343A1 (en) | Method, Apparatus, and Device for Detecting E-Mail Attack | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
| US20170126714A1 (en) | Attack detection device, attack detection method, and attack detection program | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| CN106961422B (zh) | 一种dns递归服务器的拟态安全方法及装置 | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| KR101200906B1 (ko) | 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법 | |
| CN110191104A (zh) | 一种安全防护的方法及装置 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Masumi et al. | Towards efficient labeling of network incident datasets using tcpreplay and snort | |
| CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
| WO2021098527A1 (zh) | 一种蠕虫检测方法及网络设备 | |
| CN111181967B (zh) | 数据流识别方法、装置、电子设备及介质 | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
| CN116346499A (zh) | 恶意流量清洗方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |