CN117061213A

CN117061213A - 一种流量攻击检测方法、装置、电子设备及存储介质

Info

Publication number: CN117061213A
Application number: CN202311120980.4A
Authority: CN
Inventors: 李丹青
Original assignee: Beijing Baidu Netcom Science and Technology Co Ltd
Current assignee: Beijing Baidu Netcom Science and Technology Co Ltd
Priority date: 2023-08-31
Filing date: 2023-08-31
Publication date: 2023-11-14

Abstract

本公开提供了一种流量攻击检测方法、装置、电子设备及存储介质，涉及计算机安全技术领域，具体涉及网络安全、信息安全等技术，可以用于对DDoS攻击的检测场景，包括：对流量攻击源数据包进行采样得到目标采样数据包；其中，目标采样数据包包括目标类型流量攻击的攻击行为信息；根据目标采样数据包生成目标攻击请求摘要和目标攻击响应摘要；根据目标攻击请求摘要和目标攻击响应摘要生成流量攻击映射记录表。本公开实施例能够降低流量攻击的检测成本，提高流量攻击的检测效率。

Description

一种流量攻击检测方法、装置、电子设备及存储介质

技术领域

本公开涉及计算机安全技术领域，具体涉及网络安全、信息安全等技术，可以用于对分布式拒绝服务攻击(Distributed Denial of Service Attack，DDoS攻击)的检测场景。

背景技术

流量攻击一般指DDoS攻击，是指攻击者利用雇佣的多台计算机对一个或者多个目标服务器分别发起拒绝服务攻击，从而使服务器无法处理合法用户的指令。利用DDoS攻击能够对网络造成巨大破坏，因此有效地检测DDoS攻击已成为亟待解决的重大问题。

发明内容

本公开实施例提供了一种流量攻击检测方法、装置、电子设备及存储介质，能够降低流量攻击的检测成本，提高流量攻击的检测效率。

第一方面，本公开实施例提供了一种流量攻击检测方法，包括：

对流量攻击源数据包进行采样得到目标采样数据包；其中，所述目标采样数据包包括目标类型流量攻击的攻击行为信息；

根据所述目标采样数据包生成目标攻击请求摘要和目标攻击响应摘要；

根据所述目标攻击请求摘要和所述目标攻击响应摘要生成流量攻击映射记录表。

第二方面，本公开实施例提供了一种流量攻击检测装置，包括：

目标采样数据包获取模块，用于对流量攻击源数据包进行采样得到目标采样数据包；其中，所述目标采样数据包包括目标类型流量攻击的攻击行为信息；

请求响应摘要生成模块，用于根据所述目标采样数据包生成目标攻击请求摘要和目标攻击响应摘要；

流量攻击映射记录表生成模块，用于根据所述目标攻击请求摘要和所述目标攻击响应摘要生成流量攻击映射记录表。

第三方面，本公开实施例提供了一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行第一方面实施例所提供的流量攻击检测方法。

第四方面，本公开实施例还提供了一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使所述计算机执行第一方面实施例所提供的流量攻击检测方法。

第五方面，本公开实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现第一方面实施例所提供的流量攻击检测方法。

本公开实施例通过对流量攻击源数据包进行采样，得到包括目标类型流量攻击的攻击行为信息的目标采样数据包，以根据目标采样数据包生成目标攻击请求摘要和目标攻击响应摘要，进而根据目标攻击请求摘要和目标攻击响应摘要生成流量攻击映射记录表，通过采样得到的少量特定类型的数据包可以实现目标类型流量攻击行为的快速检测，解决现有流量攻击行为检测成本高且效率低等问题，能够降低流量攻击的检测成本，提高流量攻击的检测效率。

应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

附图说明

附图用于更好地理解本方案，不构成对本公开的限定。其中：

图1是本公开实施例提供的一种流量攻击检测方法的流程图；

图2是本公开实施例提供的一种DDoS反射攻击请求数据包的结构示意图；

图3是本公开实施例提供的另一种流量攻击检测方法的流程图；

图4是本公开实施例提供的一种反射请求摘要生成的流程示意图；

图5是本公开实施例提供的一种反射响应摘要生成的流程示意图；

图6是本公开实施例提供的一种生成流量攻击映射记录表的流程示意图；

图7是本公开实施例提供的一种反射验证流程的示意图；

图8是本公开实施例提供的一种流量攻击检测流程的示意图；

图9是本公开实施例提供的一种流量攻击检测装置的结构图；

图10是用来实现本公开实施例的流量攻击检测方法的电子设备的结构示意图。

具体实施方式

以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

流量攻击(Traffic Attack)是指攻击者通过向目标网络发送大量的数据流量，占用网络资源、耗尽网络带宽或使网络拥堵，从而导致网络瘫痪或服务中断的攻击行为。流量攻击是网络攻击的一种，常被用于对付网站或网络应用，对其进行破坏或使其无法正常运行。DDoS攻击作为一种典型的流量攻击方式，其种类多、危害大，也是当下十分常见的网络安全攻击方式之一，受到了广泛的关注。

DDoS反射攻击是一种典型的DDoS攻击行为，也是一种成本低，溯源难，危害大的攻击方式。随着互联网、物联网基建的高速发展，有安全漏洞的新型协议陆续出现，反射攻击可利用的网络资源越来越多，使得DDoS防御情况变得更加严峻。在DDoS攻防对抗上，防守方通过网络取证，还原攻击手法，发现在野0day(泛指所有在官方发布该作品之前或者当天)，推进漏洞修复，从而缓解攻击。目前流量攻击手法还原主要是通过攻击知识库与人工流量分析，其中对新型攻击的响应周期平均大于1天，这在攻防对抗中处于明显的劣势。

其中，人工识别的方式主要是通过对采样包中的协议数据，使用人工分析网络流量的方式来还原攻击手法，对公有协议需要分析RFC(Request For Comments，一系列以编号排定的文件)文档，构造并重放通信包，以探测是否成功。对私有协议，需要用协议中的可读关键字搜索厂商的技术接口文档，构造并重放通信包，以探测是否成功。这种人工分析方式存在周期长以及分析结果不稳定等缺陷，同时对私有协议的识别率依赖于前期协议知识库的累积。而反射攻击手法自动化探测方案如协议模版模糊识别的反射攻击手法自动化探测方案等，需要根据协议模版生成反射请求数据包，并执行发包探测流程，输出能造成反射攻击的请求数据包载荷。这种自动分析方式存在系统计算复杂的问题，同时在私有协议的识别率上依赖于协议模版库的累积与反射源探测时期的存活率。

在一个示例中，图1是本公开实施例提供的一种流量攻击检测方法的流程图，本实施例可适用于依据采样得到的特定类型的数据包快速检测流量攻击行为的情况，该方法可以由流量攻击检测装置来执行，该装置可以由软件和/或硬件的方式来实现，并一般可集成在电子设备中。该电子设备可以是终端设备，也可以是服务器设备，本公开实施例并不对电子设备的具体设备类型进行限定。相应的，如图1所示，该方法包括如下操作：

S110、对流量攻击源数据包进行采样得到目标采样数据包；其中，所述目标采样数据包包括目标类型流量攻击的攻击行为信息。

其中，流量攻击源数据包可以是攻击方设备对受害方设备发起的攻击请求数据包或响应攻击请求的数据包。可选的，流量攻击源数据包可以包括流量攻击的请求数据包和流量攻击的响应数据包，以DDoS反射攻击为例说明，流量攻击的请求数据包可以是DDoS反射请求数据包，响应攻击请求的数据包则可以是DDoS反射请求响应的数据包。目标采样数据包可以是能够用于快速检测目标类型流量攻击行为的数据包类型。以DDoS攻击为例说明，目标采样数据包可以是能够泄露攻击行为信息的ICMP数据包。目标类型流量攻击行为可以是能够通过特定类型的数据包被快速检测的流量攻击行为，例如可以包括但不限于UDP(User Datagram Protocol，用户数据报协议)FLOOD(UDP洪泛)、ICMP(InternetControl Message Protocol的缩写，即互联网控制消息协议)FLOOD(ICMP洪泛)、放大攻击、TCP(Transmission Control Protocol，传输控制协议)FLOOD(TCP洪泛)以及SYN(Synchronize Sequence Numbers，同步序列编号)FLOOD(SYN洪泛)等。目标类型流量攻击的攻击行为信息例如可以包括但不限于攻击方的IP(Internet Protocol，网际互连协议)、受害方的IP以及攻击事件类型等，可以理解的是，流量攻击的类型的不同，其对应的攻击行为信息也可以不同，本公开实施例并不对目标类型流量攻击的攻击行为信息的信息类型和信息内容进行限定。

在本公开实施例中，当存在目标类型流量攻击的检测需求时，可以首先确定目标类型流量攻击的攻击类型，以根据目标类型流量攻击的攻击类型确定其匹配的流量攻击源数据包，进而对流量攻击源数据包进行采样，获取包括目标类型流量攻击的攻击行为信息的目标采样数据包。

以DDoS攻击手法为例说明，当攻击者发起DDoS攻击时，由于使用的攻击源存在伪造或服务不稳定的情况，造成了端口不可达，因此可以通过此类ICMP数据包同步获取攻击方攻击请求的构造情况。

在一个具体的例子中，以快速检测DDoS反射攻击为例具体说明。图2是本公开实施例提供的一种DDoS反射攻击请求数据包的结构示意图，示例性的，如图2所示，当反射器不存活，或者反射器的端口服务未开放时，DDoS反射攻击可以以受害者IP构造攻击请求数据包。该攻击请求数据包会被路由器封装在ICMP差错报文的载荷里，发送到受害者那里。如果防守方能捕获到该攻击请求数据包，即可掌握DDoS反射的具体实现方式。

需要说明的是，目前进行流量攻击检测时，现有技术通常需要通过全网主动扫描流量进行分析，这往往需要复杂的流量识别，流量攻击检测的成本高且效率低。或者现有技术还可以通过发包探测的方式，主动探测攻击行为，这往往也需要较高的检索成本和检索时间，降低了流量攻击检测的效率。而本公开通过采集包括目标类型流量攻击的攻击行为信息的特定类型的目标采样数据包，无需对全网流量进行扫描分析，也无需主动发送探测包，能够以最少的流量分析成本快速检测特定类型的流量攻击行为，可应用于大规模的网络流量威胁分析设备。

S120、根据所述目标采样数据包生成目标攻击请求摘要和目标攻击响应摘要。

其中，目标攻击请求摘要可以是对流量攻击的请求数据包提取关键信息后所生成的摘要数据。目标攻击响应摘要可以是对流量攻击的响应数据包提取关键信息后所生成的摘要数据。

相应的，在通过对流量攻击源数据包进行采样得到目标采样数据包后，即可对采用得到的目标采样数据包进行关键信息的提取，进而针对流量攻击的请求数据包生成目标攻击请求摘要，并针对流量攻击的响应数据包生成目标攻击响应摘要。由此可见，目标攻击请求摘要和目标攻击响应摘要能够反应目标类型流量攻击的攻击行为的关键信息。

S130、根据所述目标攻击请求摘要和所述目标攻击响应摘要生成流量攻击映射记录表。

其中，流量攻击映射记录表可以是能够全量反应对目标类型流量攻击的攻击行为信息进行攻击检测的记录数据表。

在本公开实施例中，当根据目标采样数据包生成目标攻击请求摘要和目标攻击响应摘要之后，即可通过目标攻击请求摘要和目标攻击响应摘要建立攻击请求与攻击响应之间的映射关系，进而根据攻击请求与攻击响应之间的映射关系，对目标攻击请求摘要和目标攻击响应摘要进行汇总，生成最终的流量攻击映射记录表。防守方可以通过流量攻击映射记录表快速掌握当前检测到的目标类型流量攻击的具体攻击行为信息。

在一个示例中，图3是本公开实施例提供的另一种流量攻击检测方法的流程图，本公开实施例在上述各实施例的技术方案的基础上，进行了优化改进，给出了采样得到目标采样数据包、生成目标攻击请求摘要和目标攻击响应摘要以及生成流量攻击映射记录表的多种具体可选的实现方式。

在本公开的一个可选实施例中，所述目标采样数据包可以包括ICMP数据包；所述目标类型流量攻击可以包括DDoS反射攻击；所述目标攻击请求摘要可以包括反射请求摘要，所述目标攻击响应摘要可以包括反射响应摘要。

其中，反射请求摘要也即DDoS反射请求数据包的摘要信息，反射响应摘要也即DDoS反射请求的响应数据包的摘要信息。

由于UDP DDoS反射特殊的UDP载荷(即payload)的影响，使得UDP DDoS反射成为一种无法预期的攻击手法，因此，利用特定类型的数据包来快速检测DDoS反射攻击的意义重大。

相应的，如图3所示的一种流量攻击检测方法，包括：

S210、对所述流量攻击源数据包采集并全量存储第一目标采样数据包。

其中，第一目标采样数据包可以是数据量较少，且包括目标类型流量攻击的攻击行为信息的数据包。可选的，第一目标采样数据包可以包括目的不可达ICMP差错报文和反射器响应UDP-IP分片报文。其中，目的不可达ICMP差错报文也即ICMP首部中类型为目标不可达的ICMP差错报文。反射器响应UDP-IP分片报文也即反射器响应的UDP层数据报在IP层被分片得到的报文。

可以理解的是，由于目的不可达ICMP差错报文和反射器响应UDP-IP分片报文的数据量较少，因此为了提高DDoS反射攻击检测的准确率，可以全量存储目的不可达ICMP差错报文和反射器响应UDP-IP分片报文等第一目标采样数据包。

S220、对所述流量攻击源数据包采样存储第二目标采样数据包。

其中，第二目标采样数据包可以是数据量较多，且包括目标类型流量攻击的攻击行为信息的数据包。可选的，第二目标采样数据包可以包括反射器响应UDP报文。反射器响应UDP报文也即反应器响应的UDP报文。

可以理解的是，由于反射器响应UDP报文的数据量较多，全量存储不仅消耗存储资源，也会增加数据分析成本，降低DDoS反射攻击检测的效率。因此为了提高DDoS反射攻击检测的准确率，可以部分存储反射器响应UDP报文。具体的，可以对全量的反射器响应UDP报文进行采样，并仅存储采样得到的部分反射器响应UDP报文。

上述技术方案，通过对数据量不同的目标采样数据包按照不同的存储策略进行存储，可以降低存储资源消耗，降低数据分析成本，在保证DDoS反射攻击检测的准确率的基础上，可以提高DDoS反射攻击检测的效率。

在本公开的一个可选实施例中，所述对所述流量攻击源数据包采样存储第二目标采样数据包，可以包括：根据所述流量攻击源数据包确定统计的流量攻击源对象；按照预设流量采样规则对各所述流量攻击源对象匹配的全量反射器响应UDP报文进行采样，得到所述第二目标采样数据包；存储所述第二目标采样数据包。

其中，流量攻击源对象可以统计的各个攻击对象，例如可以是统计的各个反射器等。预设流量采样规则可以是预设的流量采用规则，可选的，各流量攻击源对象的预设流量采样规则可以相同，也可以不同，本公开实施例对此并不进行限制。全量反射器响应UDP报文也即全部的反射器响应UDP报文。

具体的，当采样第二目标采样数据包时，可以首先对流量攻击源数据包进行解析，以确定统计的各个流量攻击源对象，进而对各流量攻击源对象匹配的全量反射器响应UDP报文进行采样得到第二目标采样数据包。示例性，针对当前流量攻击源对象匹配的全量反射器响应UDP报文，可以首次先采1个数据包，然后可以每隔1024个包采1个数据包。相应的，在得到所有的第二目标采样数据包之后，即可存储各第二目标采样数据包。

上述技术方案，通过按照预设流量采样规则对各流量攻击源对象匹配的全量反射器响应UDP报文进行采样，可以满足对不同流量攻击源对象个性化的流量采集需求。

S230、根据所述目标采样数据包生成反射请求摘要。

在本公开的一个可选实施例中，根据所述目标采样数据包生成反射请求摘要，可以包括：解析所述目标采样数据包，以获取包括UDP载荷的目的不可达ICMP差错报文，并对所述UDP载荷的目的不可达ICMP差错报文进行解析。根据所述UDP载荷的目的不可达ICMP差错报文的解析结果生成所述反射请求摘要。

图4是本公开实施例提供的一种反射请求摘要生成的流程示意图。在一个具体的例子中，如图4所示，根据目标采样数据包生成反射请求摘要时，可以解析目标采样数据包，从中筛选出目的不可达的差错报文。进一步的，对筛选的目的不可达的差错报文进一步解析，以筛选出包括UDP载荷的目的不可达ICMP差错报文。进一步的，对获取的包括UDP载荷的目的不可达ICMP差错报文再次进行解析，以提取包括UDP载荷的目的不可达ICMP差错报文中的关键信息，从而生成反射请求摘要。

可以理解的是，包括UDP载荷的目的不可达ICMP差错报文中通常会包括DDoS反射攻击请求的相关关键信息，因此，仅对UDP载荷的目的不可达ICMP差错报文进行解析生成反射请求摘要，可以实现最少的流量分析成本，不仅能够保证DDoS反射攻击检测的准确率，而且能够提高DDoS反射攻击检测的效率。

在本公开的一个可选实施例中，所述反射请求摘要可以包括以下至少一种字段：摘要ID、受害者IP、受害者端口、反射源端口、UDP载荷字节数、UDP载荷、反射请求标识、攻击事件ID以及更新时间。

其中，反射请求摘要的摘要ID可以用于唯一标识反射请求摘要，反射请求标识可以用于标识该数据请求是否为反射请求。

在一个具体的例子中，反射请求摘要可以包括但不限于如表1记载的内容。

表1反射请求摘要

在上述反射请求摘要表中，可选的，反射请求摘要的摘要ID可以基于受害者IP、受害者端口、反射源端口以及UDP载荷(即UDP载荷的十六进字符)等信息通过加密的方式生成，作为反射请求摘要的唯一键。

S240、根据所述目标采样数据包生成反射响应摘要。

在本公开的一个可选实施例中，根据所述目标采样数据包生成反射响应摘要，可以包括：解析所述目标采样数据包，以获取所述反射器响应UDP报文；在确定所述目标采样数据包中存在所述反射器响应UDP-IP分片报文的情况下，对所述反射器响应UDP-IP分片报文进行重组得到重组UDP数据包；对所述重组UDP数据包和所述反射器响应UDP报文进行解析；根据所述重组UDP数据包和所述反射器响应UDP报文的解析结果生成所述反射响应摘要。

其中，重组UDP数据包可以是对反射器响应UDP-IP分片报文进行重组得到的UDP数据包。

图5是本公开实施例提供的一种反射响应摘要生成的流程示意图。在一个具体的例子中，如图5所示，根据目标采样数据包生成反射响应摘要时，可以解析目标采样数据包，并判断目标采样数据包中是否存在反射器响应UDP-IP分片报文。如果确定目标采样数据包中存在反射器响应UDP-IP分片报文，则可以对反射器响应UDP-IP分片报文进行重组得到重组UDP数据包。如果确定目标采样数据包中不存在反射器响应UDP-IP分片报文，则可以直接获取完整的反射器响应UDP报文。进一步的，对获取的重组UDP数据包和反射器响应UDP报文再次进行解析，以提取其中的关键信息，从而生成反射响应摘要。可以理解的是，如果不存在重组UDP数据包，则可以仅对反射器响应UDP报文进行解析生成反射响应摘要。

可以理解的是，重组UDP数据包和反射器响应UDP报文中通常会包括DDoS反射攻击响应的相关关键信息，因此，仅对重组UDP数据包和反射器响应UDP报文进行解析生成反射响应摘要，可以实现最少的流量分析成本，不仅能够保证DDoS反射攻击检测的准确率，而且能够提高DDoS反射攻击检测的效率。

在本公开的一个可选实施例中，所述反射响应摘要可以包括以下至少一种字段：摘要ID、受害者IP、受害者端口、反射源IP、反射源端口、UDP载荷字节数、UDP载荷、反射响应标识、攻击事件ID以及更新时间。

其中，反射响应摘要的摘要ID可以用于唯一标识反射请求摘要，反射响应标识可以用于标识该数据响应是否为反射请求的响应。

在一个具体的例子中，反射请求摘要可以包括但不限于如表2记载的内容。

表2反射响应摘要

在上述反射响应摘要表中，可选的，反射响应摘要的摘要ID可以基于受害者IP、受害者端口、反射源IP、反射源端口以及UDP载荷(即UDP载荷的十六进字符)等信息通过加密的方式生成，作为反射响应摘要的唯一键。

S250、确定目标反射源端口匹配的目标反射请求摘要和目标反射响应摘要。

其中，目标反射源端口可以是需要计算生成流量攻击映射记录表的反射源端口。相应的，目标反射请求摘要可以是基于目标反射源端口发起的反射请求生成的反射请求摘要。目标反射响应摘要可以是基于目标反射源端口发起的反射请求的响应数据生成的反射请求摘要。

S260、计算所述目标反射请求摘要的第一端口聚合信息和所述目标反射响应摘要的第二端口聚合信息。

其中，第一端口聚合信息可以是对目标反射源端口计算的反射请求包载荷的聚合信息，例如可以包括但不限于目标反射源端口接收的反射请求包载荷的最小值和最大值等。第二端口聚合信息可以是对目标反射源端口计算的反射响应包载荷的聚合信息，例如可以包括但不限于目标反射源端口的反射响应包载荷的最小值和最大值等。

图6是本公开实施例提供的一种生成流量攻击映射记录表的流程示意图。在一个具体的例子中，如图6所示，针对目标反射源端口在建立反射请求与反射响应之间的映射关系时，可以利用反射请求摘要计算第一端口聚合信息，并利用反射响应摘要计算第二端口聚合信息。

同时，在计算放大倍数前，可以首先给目标反射器发送请求包，以检测是否能够正常连接目标反射源端口。如果确定能够连接目标反射源端口，则表明该目标反射源端口不是无用的端口。如果不能连接目标反射源端口，则表明该目标反射源端口是无用的端口，其发出的数据包是垃圾包。相应的，如果确定不能连接目标反射源端口，则可以目标反射源端口匹配的摘要ID为单位，更新目标反射源端口对应的目标反射请求摘要，例如可以是对目标反射请求摘要中的反射请求标识is_ref的值更新为0，表示目标反射源端口发起的请求并不是反射请求。同理，还可以目标反射源端口匹配的摘要ID为单位，更新目标反射源端口对应的目标反射响应摘要，例如可以是对目标反射响应摘要中的反射响应标识is_ref的值更新为0，表示该目标反射源端口匹配的响应数据并不是反射响应数据。通过与目标反射源端口建立连接的方式可以验证目标采样数据包中是否存在垃圾包，并排除垃圾包，从而进一步提高DDoS反射攻击的检测效率。

S270、根据所述第一端口聚合信息和所述第二端口聚合信息计算所述目标反射源端口的目标放大倍数。

其中，目标放大倍数可以是对目标反射源端口计算得到的最大放大倍数。

可以理解的是，一个目标反射源端口可以对应计算一个最大放大倍数和一个最小放大倍数。其中，放大倍数的计算公式可以为：反射响应摘要中的UDP载荷字节数/反射请求摘要中的UDP载荷字节数。相应的，目标反射源端口的最大放大倍数的计算方式可以为反射响应摘要中的UDP载荷字节数的最大值与反射请求摘要中的UDP载荷字节数的最小值的比值，目标反射源端口的最小放大倍数的计算方式可以为反射响应摘要中的UDP载荷字节数的最小值与反射请求摘要中的UDP载荷字节数的最大值的比值。

S280、判断目标放大倍数是否大于目标数值。若是，执行S290，否则，执行S2110。

可选的，目标数值可以设置为1。

S290、根据所述目标反射请求摘要和所述目标反射响应摘要生成所述目标反射源端口的流量攻击映射记录表。

如图6所示，为了避免漏检，可以将目标反射源端口的最大放大倍数作为目标放大倍数，并判断目标反射源端口的最大放大倍数是否大于1。如果确定目标反射源端口的最大放大倍数大于1，则可以确定该目标反射源端口的流量数据具有放大特性，即可根据目标反射请求摘要和目标反射响应摘要生成目标反射源端口的流量攻击映射记录表。

在一个具体的例子中，流量攻击映射记录表包括的数据内容如下表所示。

表3流量攻击映射记录表

S2110、更新目标反射请求摘要和目标反射响应摘要中的目标字段。

其中，目标字段可以是目标反射请求摘要中的反射请求标识，以及目标反射响应摘要中的反射响应标识。

相应的，如图6所示，如果确定目标反射源端口的最大放大倍数小于或等于1，则可以确定该目标反射源端口的流量数据不具有放大特性，此时可以更新目标反射请求摘要中的反射请求标识和目标反射响应摘要中的反射响应标识。可选的，可以以摘要ID为单位，将目标反射请求摘要中的反射请求标识is_ref的值更新为0，并以摘要ID为单位，将目标反射响应摘要中的反射响应标识is_ref的值更新为0。

上述技术方案，通过利用目标反射源端口的目标放大倍数生成目标反射源端口的流量攻击映射记录表，可以保证DDoS反射攻击检测的准确性。

在本公开的一个可选实施例中，在根据所述目标攻击请求摘要和所述目标攻击响应摘要生成流量攻击映射记录表之后，还可以包括：加载待验证反射请求摘要和待验证反射响应摘要；根据所述待验证反射请求摘要确定待验证反射请求载荷；根据所述待验证反射响应摘要确定待验证反射源IP和待验证反射源端口；根据所述待验证反射请求载荷、所述待验证反射源IP和所述待验证反射源端口重组待验证UDP数据包；重放所述待验证UDP数据包，并根据所述待验证UDP数据包的重放结果生成反射验证数据。

其中，待验证反射请求摘要可以是需要验证的反射请求摘要。待验证反射响应摘要可以是需要验证的反射响应摘要。待验证反射请求载荷可以是待验证反射请求摘要记录的载荷。待验证反射源IP可以是待验证反射响应摘要记录的反射源IP。待验证反射源端口可以是待验证反射响应摘要记录的反射源端口。待验证UDP数据包可以是根据待验证反射请求摘要和待验证反射响应摘要重组的UDP数据包。反射验证数据可以是根据待验证反射请求摘要和待验证反射响应摘要进行反射验证得到的数据。

图7是本公开实施例提供的一种反射验证流程的示意图。在一个具体的例子中，如图7所示，在进行反射验证的流程中，可以加载待验证反射请求摘要的UDP载荷作为待验证反射请求载荷，以确定重新发包的数据包内容，并加载待验证反射响应摘要的反射源IP与反射源端口，以确定发包的目的信息。进一步的，根据待验证反射请求载荷、待验证反射源IP和待验证反射源端口重组待验证UDP数据包，并重放待验证UDP数据包进行反射验证。检测重放结果，如果有响应就表示反射验证成功，可以记录相关的反射验证数据；如果没响应就表示反射验证失败，此时可以返回执行加载待验证反射请求摘要和待验证反射响应摘要的操作，对下一个反射源IP继续验证，直至完成所有反射源IP的反射验证流程。

在一个具体的例子中，反射验证通过后的反射验证数据可以如下表所示：

表4反射验证表

上述技术方案，通过进行反射验证，可以保证DDoS反射攻击检测的准确率。

在本公开的一个可选实施例中，在根据所述待验证UDP数据包的重放结果生成反射验证数据之后，还可以包括：根据所述反射验证数据生成反射攻击情报摘要；在确定所述反射攻击情报摘要满足攻击预警条件时，生成反射攻击预警通知信息；在确定所述反射验证数据通过验证，且确定所述反射验证数据存在新型反射攻击的情况下，对所述新型反射攻击分配漏洞标识信息；其中，所述攻击预警条件包括新增反射源端口和/或新增放大倍数。

其中，反射攻击情报摘要可以是记录反射攻击相关信息的摘要。攻击预警条件可以是用于确定对反射攻击进行预警通知的条件。反射攻击预警通知信息可以是反射攻击的相关预警通知信息。漏洞标识信息可以用于标识新型反射攻击。示例性的，可以将CVE(Common Vulnerabilities and Exposures，公共漏洞和暴露)编号作为漏洞标识信息。

图8是本公开实施例提供的一种流量攻击检测流程的示意图。在一个具体的例子中，如图8所示，当完成反射验证流程后，可以根据反射检测和反射验证的相关数据生成反射攻击手法情报。具体的，可以首先根据反射验证数据生成反射攻击情报摘要，反射攻击情报摘要的信息可以包括但不限于反射协议、反射源端口以及放大倍数范围等。相应的，如果确定出现新型反射攻击，还可以对新型反射攻击进行预警。可选的，当出现新的反射源端口和/或新的放大倍数时，可以生成反射攻击预警通知信息并发送至DDoS的防守方。同时，还可以生成反射攻击的模拟数据，通过加载反射验证数据(如反射验证表)进行反射验证，如果确定反射验证数据通过验证，且确定反射验证数据存在新型反射攻击，则可以对新型反射攻击申请对应的CVE编号，以实现治理网络协议漏洞，缓解DDoS反射攻击。

上述技术方案，通过对特定的ICMP数据包进行采集和分析，以根据生成的反射请求摘要和反射响应摘要进一步生成流量攻击映射记录表，实现了DDoS反射攻击的自动化检测，简化了DDoS反射攻击的检测方式，可大规模部署应用，从而提效DDoS攻防对抗。

需要说明的是，以上各实施例中各技术特征之间的任意排列组合也属于本公开的保护范围。

在一个示例中，图9是本公开实施例提供的一种流量攻击检测装置的结构图，本公开实施例可适用于依据采样得到的特定类型的数据包快速检测流量攻击行为的情况，该装置通过软件和/或硬件实现，并具体配置于电子设备中。该电子设备可以是终端设备，也可以是服务器设备，本公开实施例并不对电子设备的具体设备类型进行限定。

如图9所示的一种流量攻击检测装置300，包括：目标采样数据包获取模块310、请求响应摘要生成模块320和流量攻击映射记录表生成模块330。其中，

目标采样数据包获取模块310，用于对流量攻击源数据包进行采样得到目标采样数据包；其中，所述目标采样数据包包括目标类型流量攻击的攻击行为信息；

请求响应摘要生成模块320，用于根据所述目标采样数据包生成目标攻击请求摘要和目标攻击响应摘要；

流量攻击映射记录表生成模块330，用于根据所述目标攻击请求摘要和所述目标攻击响应摘要生成流量攻击映射记录表。

可选的，所述目标采样数据包包括ICMP数据包；所述目标类型流量攻击包括DDoS反射攻击；所述目标攻击请求摘要包括反射请求摘要，所述目标攻击响应摘要包括反射响应摘要。

可选的，目标采样数据包获取模块310具体用于：对所述流量攻击源数据包采集并全量存储第一目标采样数据包；其中，所述第一目标采样数据包包括目的不可达ICMP差错报文和反射器响应UDP-IP分片报文；对所述流量攻击源数据包采样存储第二目标采样数据包；其中，所述第二目标采样数据包包括反射器响应UDP报文。

可选的，目标采样数据包获取模块310具体用于：根据所述流量攻击源数据包确定统计的流量攻击源对象；按照预设流量采样规则对各所述流量攻击源对象匹配的全量反射器响应UDP报文进行采样，得到所述第二目标采样数据包；存储所述第二目标采样数据包。

可选的，请求响应摘要生成模块320具体用于：解析所述目标采样数据包，以获取包括UDP载荷的目的不可达ICMP差错报文；对所述UDP载荷的目的不可达ICMP差错报文进行解析；根据所述UDP载荷的目的不可达ICMP差错报文的解析结果生成所述反射请求摘要。

可选的，所述反射请求摘要包括以下至少一种字段：摘要ID、受害者IP、受害者端口、反射源端口、UDP载荷字节数、UDP载荷、反射请求标识、攻击事件ID以及更新时间。

可选的，请求响应摘要生成模块320具体用于：解析所述目标采样数据包，以获取所述反射器响应UDP报文；在确定所述目标采样数据包中存在所述反射器响应UDP-IP分片报文的情况下，对所述反射器响应UDP-IP分片报文进行重组得到重组UDP数据包；对所述重组UDP数据包和所述反射器响应UDP报文进行解析；根据所述重组UDP数据包和所述反射器响应UDP报文的解析结果生成所述反射响应摘要。

可选的，所述反射响应摘要包括以下至少一种字段：摘要ID、受害者IP、受害者端口、反射源IP、反射源端口、UDP载荷字节数、UDP载荷、反射响应标识、攻击事件ID以及更新时间。

可选的，流量攻击映射记录表生成模块330具体用于：确定目标反射源端口匹配的目标反射请求摘要和目标反射响应摘要；计算所述目标反射请求摘要的第一端口聚合信息和所述目标反射响应摘要的第二端口聚合信息；根据所述第一端口聚合信息和所述第二端口聚合信息计算所述目标反射源端口的目标放大倍数；在确定所述目标放大倍数大于目标数值的情况下，根据所述目标反射请求摘要和所述目标反射响应摘要生成所述目标反射源端口的流量攻击映射记录表。

可选的，流量攻击检测装置，还包括反射验证数据生成模块，用于：加载待验证反射请求摘要和待验证反射响应摘要；根据所述待验证反射请求摘要确定待验证反射请求载荷；根据所述待验证反射响应摘要确定待验证反射源IP和待验证反射源端口；根据所述待验证反射请求载荷、所述待验证反射源IP和所述待验证反射源端口重组待验证UDP数据包；重放所述待验证UDP数据包，并根据所述待验证UDP数据包的重放结果生成反射验证数据。

可选的，流量攻击检测装置，还包括情报信息生成模块，用于：根据所述反射验证数据生成反射攻击情报摘要；在确定所述反射攻击情报摘要满足攻击预警条件时，生成反射攻击预警通知信息；在确定所述反射验证数据通过验证，且确定所述反射验证数据存在新型反射攻击的情况下，对所述新型反射攻击分配漏洞标识信息；其中，所述攻击预警条件包括新增反射源端口和/或新增放大倍数。

上述流量攻击检测装置可执行本公开任意实施例所提供的流量攻击检测方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本公开任意实施例提供的流量攻击检测方法。

由于上述所介绍的流量攻击检测装置为可以执行本公开实施例中的流量攻击检测方法的装置，故而基于本公开实施例中所介绍的流量攻击检测方法，本领域所属技术人员能够了解本实施例的流量攻击检测装置的具体实施方式以及其各种变化形式，所以在此对于该流量攻击检测装置如何实现本公开实施例中的流量攻击检测方法不再详细介绍。只要本领域所属技术人员实施本公开实施例中流量攻击检测方法所采用的装置，都属于本公开所欲保护的范围。

在一个示例中，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。

图10示出了可以用来实施本公开的实施例的示例电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。

如图10所示，设备400包括计算单元401，其可以根据存储在只读存储器(ROM)402中的计算机程序或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序，来执行各种适当的动作和处理。在RAM 403中，还可存储设备400操作所需的各种程序和数据。计算单元401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。

设备400中的多个部件连接至I/O接口405，包括：输入单元406，例如键盘、鼠标等；输出单元407，例如各种类型的显示器、扬声器等；存储单元408，例如磁盘、光盘等；以及通信单元409，例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理，例如流量攻击检测方法。

例如，在一些实施例中，流量攻击检测方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元408。在一些实施例中，计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM 403并由计算单元401执行时，可以执行上文描述的流量攻击检测方法的一个或多个步骤。备选地，在其他实施例中，计算单元401可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行流量攻击检测方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。服务器还可以分布式系统的服务器，或者是结合了区块链的服务器。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

Claims

1.一种流量攻击检测方法，包括：

2.根据权利要求1所述的流量攻击检测方法，其中，所述目标采样数据包包括互联网控制消息协议ICMP数据包；所述目标类型流量攻击包括分布式拒绝服务攻击DDoS反射攻击；所述目标攻击请求摘要包括反射请求摘要，所述目标攻击响应摘要包括反射响应摘要。

3.根据权利要求2所述的流量攻击检测方法，其中，所述对流量攻击源数据包进行采样得到目标采样数据包，包括：

对所述流量攻击源数据包采集并全量存储第一目标采样数据包；其中，所述第一目标采样数据包包括目的不可达ICMP差错报文和反射器响应UDP-IP分片报文；

对所述流量攻击源数据包采样存储第二目标采样数据包；其中，所述第二目标采样数据包包括反射器响应UDP报文。

4.根据权利要求3所述的流量攻击检测方法，其中，所述对所述流量攻击源数据包采样存储第二目标采样数据包，包括：

根据所述流量攻击源数据包确定统计的流量攻击源对象；

按照预设流量采样规则对各所述流量攻击源对象匹配的全量反射器响应UDP报文进行采样，得到所述第二目标采样数据包；

存储所述第二目标采样数据包。

5.根据权利要求3所述的流量攻击检测方法，其中，根据所述目标采样数据包生成反射请求摘要，包括：

解析所述目标采样数据包，以获取包括UDP载荷的目的不可达ICMP差错报文；

对所述UDP载荷的目的不可达ICMP差错报文进行解析；

根据所述UDP载荷的目的不可达ICMP差错报文的解析结果生成所述反射请求摘要。

6.根据权利要求5所述的流量攻击检测方法，其中，所述反射请求摘要包括以下至少一种字段：摘要ID、受害者IP、受害者端口、反射源端口、UDP载荷字节数、UDP载荷、反射请求标识、攻击事件ID以及更新时间。

7.根据权利要求3所述的流量攻击检测方法，其中，根据所述目标采样数据包生成反射响应摘要，包括：

解析所述目标采样数据包，以获取所述反射器响应UDP报文；

在确定所述目标采样数据包中存在所述反射器响应UDP-IP分片报文的情况下，对所述反射器响应UDP-IP分片报文进行重组得到重组UDP数据包；

对所述重组UDP数据包和所述反射器响应UDP报文进行解析；

根据所述重组UDP数据包和所述反射器响应UDP报文的解析结果生成所述反射响应摘要。

8.根据权利要求7所述的流量攻击检测方法，其中，所述反射响应摘要包括以下至少一种字段：摘要ID、受害者IP、受害者端口、反射源IP、反射源端口、UDP载荷字节数、UDP载荷、反射响应标识、攻击事件ID以及更新时间。

9.根据权利要求1所述的流量攻击检测方法，其中，根据所述目标攻击请求摘要和所述目标攻击响应摘要生成流量攻击映射记录表，包括：

确定目标反射源端口匹配的目标反射请求摘要和目标反射响应摘要；

计算所述目标反射请求摘要的第一端口聚合信息和所述目标反射响应摘要的第二端口聚合信息；

根据所述第一端口聚合信息和所述第二端口聚合信息计算所述目标反射源端口的目标放大倍数；

在确定所述目标放大倍数大于目标数值的情况下，根据所述目标反射请求摘要和所述目标反射响应摘要生成所述目标反射源端口的流量攻击映射记录表。

10.根据权利要求2所述的流量攻击检测方法，还包括：

加载待验证反射请求摘要和待验证反射响应摘要；

根据所述待验证反射请求摘要确定待验证反射请求载荷；

根据所述待验证反射响应摘要确定待验证反射源IP和待验证反射源端口；

根据所述待验证反射请求载荷、所述待验证反射源IP和所述待验证反射源端口重组待验证UDP数据包；

重放所述待验证UDP数据包，并根据所述待验证UDP数据包的重放结果生成反射验证数据。

11.根据权利要求10所述的流量攻击检测方法，还包括：

根据所述反射验证数据生成反射攻击情报摘要；

在确定所述反射攻击情报摘要满足攻击预警条件时，生成反射攻击预警通知信息；

在确定所述反射验证数据通过验证，且确定所述反射验证数据存在新型反射攻击的情况下，对所述新型反射攻击分配漏洞标识信息；

其中，所述攻击预警条件包括新增反射源端口和/或新增放大倍数。

12.一种流量攻击检测装置，包括：

13.根据权利要求12所述的流量攻击检测装置，其中，所述目标采样数据包包括ICMP数据包；所述目标类型流量攻击包括DDoS反射攻击；所述目标攻击请求摘要包括反射请求摘要，所述目标攻击响应摘要包括反射响应摘要。

14.根据权利要求13所述的流量攻击检测装置，其中，所述目标采样数据包获取模块具体用于：

15.根据权利要求14所述的流量攻击检测装置，其中，所述目标采样数据包获取模块具体用于：

根据所述流量攻击源数据包确定统计的流量攻击源对象；

存储所述第二目标采样数据包。

16.根据权利要求14所述的流量攻击检测装置，其中，所述请求响应摘要生成模块具体用于：

对所述UDP载荷的目的不可达ICMP差错报文进行解析；

17.根据权利要求16所述的流量攻击检测装置，其中，所述反射请求摘要包括以下至少一种字段：摘要ID、受害者IP、受害者端口、反射源端口、UDP载荷字节数、UDP载荷、反射请求标识、攻击事件ID以及更新时间。

18.根据权利要求14所述的流量攻击检测装置，其中，所述请求响应摘要生成模块具体用于：

解析所述目标采样数据包，以获取所述反射器响应UDP报文；

对所述重组UDP数据包和所述反射器响应UDP报文进行解析；

19.根据权利要求18所述的流量攻击检测装置，其中，所述反射响应摘要包括以下至少一种字段：摘要ID、受害者IP、受害者端口、反射源IP、反射源端口、UDP载荷字节数、UDP载荷、反射响应标识、攻击事件ID以及更新时间。

20.根据权利要求12所述的流量攻击检测装置，其中，所述流量攻击映射记录表生成模块具体用于：

21.根据权利要求13所述的流量攻击检测装置，还包括反射验证数据生成模，用于：

加载待验证反射请求摘要和待验证反射响应摘要；

根据所述待验证反射请求摘要确定待验证反射请求载荷；

22.根据权利要求21所述的流量攻击检测装置，还包括情报信息生成模块，用于：

根据所述反射验证数据生成反射攻击情报摘要；

23.一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-11中任一项所述的流量攻击检测方法。

24.一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使计算机执行权利要求1-11中任一项所述的流量攻击检测方法。

25.一种计算机程序产品，包括计算机程序/指令，其中，该计算机程序/指令被处理器执行时实现权利要求1-11中任一项所述的流量攻击检测方法。