CN118300802A - 一种数据包状态检测方法、装置、存储介质及电子设备 - Google Patents
一种数据包状态检测方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN118300802A CN118300802A CN202310003713.2A CN202310003713A CN118300802A CN 118300802 A CN118300802 A CN 118300802A CN 202310003713 A CN202310003713 A CN 202310003713A CN 118300802 A CN118300802 A CN 118300802A
- Authority
- CN
- China
- Prior art keywords
- data packet
- analyzed
- packet
- header information
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 22
- 230000002159 abnormal effect Effects 0.000 claims abstract description 61
- 230000005540 biological transmission Effects 0.000 claims abstract description 54
- 238000000034 method Methods 0.000 claims abstract description 30
- 230000015654 memory Effects 0.000 claims description 15
- 238000000605 extraction Methods 0.000 claims description 7
- 230000001105 regulatory effect Effects 0.000 claims description 4
- 231100000279 safety data Toxicity 0.000 claims description 4
- 238000001914 filtration Methods 0.000 description 34
- 238000012544 monitoring process Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000013509 system migration Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种数据包状态检测方法、装置、存储介质及电子设备,其中的方法包括:获取待分析数据包;解析待分析数据包,得到待分析数据包的包头信息,包头信息包括发送待分析数据包的外网主机信息;根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量;若具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,则发出异常结果提示信息以提示该包头信息对应的待分析数据包为异常数据包;设定流量阈值根据与该包头信息对应的外网主机的数据包发送速率确定。以上方案,能够检测到恶意外网主机伪装成其他外网主机时的异常数据包并发出提示信息。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种数据包状态检测方法、装置、存储介质及电子设备。
背景技术
包过滤防火墙作为一种互联网路由器,可以配置为丢弃或转发数据包头中符合特定标准的数据包。具体来讲,它针对源IP(Internet Protocol:网际互连协议)地址、目的IP地址、协议类型、源端口、目的端口等包头信息及数据包传输方向等信息,按照设置的包过滤规则决定丢弃或转发数据包,以过滤来自外网的恶意数据包。过滤策略通常为允许或拒绝本地主机与外网主机的端口连接。因此,如果外网主机伪装成本地主机传送数据包时,包过滤防火墙能够及时发现并过滤该类数据包。然而,如果某一外网主机伪装为其他外网主机传送数据包,对于本地主机来说,根本无法识别到更无法过滤这类异常的数据包。因此,现有包过滤防火墙依然存在安全漏洞。
发明内容
本申请的目的在于提供一种数据包状态检测方法、装置、存储介质及电子设备,以解决现有技术难以过滤外网主机伪装为其他外网主机发送的数据包而导致的安全漏洞。
第一方面,本申请技术方案提供一种数据包状态检测方法,包括:
获取待分析数据包;
解析所述待分析数据包,得到所述待分析数据包的包头信息,所述包头信息包括发送所述待分析数据包的外网主机信息;
根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量;
若具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,则发出异常结果提示信息以提示该包头信息对应的所述待分析数据包为异常数据包;所述设定流量阈值根据与该包头信息对应的外网主机的数据包发送速率确定。
一些方案中所述的数据包状态检测方法,所述根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量,包括:
为具有相同包头信息的待分析数据包分配数据流标识;
根据所述数据流标识确定该包头信息对应的令牌桶;
从所述令牌桶中提取一令牌分配给待分析数据包;
以所述设定时间段内所述令牌桶内的令牌提取速率作为所述传送流量。
一些方案中所述的数据包状态检测方法,所述根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量,还包括:
向所述令牌桶内添加令牌,且令牌添加速率与所述设定速率阈值一致。
一些方案中所述的数据包状态检测方法,所述发出异常结果提示信息以提示该包头信息对应的所述待分析数据包为异常数据包之后,所述方法还包括:
获取基于所述异常结果提示信息的反馈信息;
若所述反馈信息表示所述待分析数据包为安全数据包,则调高所述设定流量阈值。
一些方案中所述的数据包状态检测方法,所述方法还包括:
若所述反馈信息表示所述待分析数据包为存疑数据包,则调低所述设定流量阈值。
一些方案中所述的数据包状态检测方法,所述方法还包括:
若所述反馈信息表示所述待分析数据包为危险数据包,则将所述设定流量阈值调节为零。
一些方案中所述的数据包状态检测方法,在所述获取待分析数据包之前,还包括:
获取待处理数据包并解析所述待处理数据包得到所述包头信息;
若所述包头信息在访问控制列表中,则将所述待处理数据包确定为所述待分析数据包。
第二方面,本申请技术方案提供一种数据包状态检测装置,包括:
待分析数据包获取模块,被配置为获取待分析数据包;
数据包解析模块,被配置为解析所述待分析数据包,得到所述待分析数据包的包头信息,所述包头信息包括发送所述待分析数据包的外网主机信息;
流量获取模块,被配置为根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量;
异常状态提示模块,被配置为若具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,则发出异常结果提示信息以提示该包头信息对应的所述待分析数据包为异常数据包;所述设定流量阈值根据与该包头信息对应的外网主机的数据包发送速率确定。
第三方面,本申请技术方案提供一种存储介质,所述存储介质中存储有程序信息,计算机调取所述程序信息后执行第一方面任一项所述的数据包状态检测方法。
第四方面,本申请技术方案提供一种电子设备,所述电子设备包括至少一个处理器和至少一个存储器,至少一个所述存储器中存储有程序信息,至少一个所述处理器调取所述程序信息后执行第一方面任一项所述的数据包状态检测方法。
采用上述技术方案,具有以下有益效果:
本申请提供的数据包状态检测方法、装置、存储介质及电子设备,在获取待分析数据包并得到待分析数据包的包头信息后,根据包头信息能够确定发送待分析数据包的外网主机信息,通过设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,能计算得到具有相同包头信息的待分析数据包的传送流量。在正常情形下,每一个外网主机的数据包发送速率是在一定的范围内的,根据外网主机的正常的发送速率确定对应的设定流量阈值。如果没有其他外网主机恶意伪装,外网主机对应的传送流量应当小于或等于设定流量阈值。如果具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,此时可说明有恶意主机伪装该包头信息对应的外网主机,导致外网主机的数据包传送流量超过设定流量阈值,此时发出异常结果提示信息以提示该包头信息对应的待分析数据包为异常数据包。以上方案,利用相同包头信息的待分析数据包的传送流量是否超过对应的设定流量阈值确定待分析数据包是否异常,能够检测到恶意外网主机伪装成其他外网主机时的异常数据包并发出提示信息,为过滤该类异常数据包提供了技术支撑,提升了包过滤防火墙的安全性能。
附图说明
图1为本申请一实施例提供的数据包状态检测方法的流程图;
图2为本申请一实施例提供的数据包状态检测方法的应用场景示意图;
图3为本申请一实施例提供的流量监测过程的流程图;
图4为本申请另一实施例提供的流量监测过程的流程图;
图5为本申请又一实施例提供的流量监测过程的流程图;
图6为本申请一实施例提供的数据包状态检测装置的结构框图;
图7为本申请一实施例提供的执行数据包状态检测方法的电子设备的硬件连接关系示意图。
具体实施方式
下面结合附图来进一步说明本申请的具体实施方式。
容易理解,根据本申请的技术方案,在不变更本申请实质精神下,本领域的一般技术人员可相互替换的多种结构方式以及实现方式。因此,以下具体实施方式以及附图仅是对本申请的技术方案的示例性说明,而不应当视为本申请的全部或视为对申请技术方案的限定或限制。
在本说明书中提到或者可能提到的上、下、左、右、前、后、正面、背面、顶部、底部等方位用语是相对于各附图中所示的构造进行定义的,它们是相对的概念,因此有可能会根据其所处不同位置、不同使用状态而进行相应地变化。所以,也不应当将这些或者其他的方位用语解释为限制性用语。
本申请实施例提供一种数据包状态检测方法,可应用于包过滤防火墙中,如图1所示,所述方法包括:
S10:获取待分析数据包。
具体地,如图2所示。所述待分析数据包来自于外网主机100,通过外部网络200传送至所述包过滤防火墙300,由所述包过滤防火墙300对所述待分析数据包是否异常进行判断后,将不存在异常情况的待分析数据包经由内部网络400传送至内网主机500。
S20:解析所述待分析数据包,得到所述待分析数据包的包头信息,所述包头信息包括发送所述待分析数据包的外网主机信息。
所述包头信息可以包括待分析数据包的IP头信息或TCP(Transmission ControlProtocol)头信息或UDP(User Datagram Protocol)头信息或设备标识信息。每一待分析数据包都会预先根据网络协议进行编码,编码后的待分析数据包包括多个比特位,在待分析数据包中会预留前几个比特位用于存储包头信息,包过滤防火墙在收到待分析数据包后依据网络协议将数据包解析后即可确定包头信息。如前所述,包头信息中记录了能够分辨外网主机的信息,由此即可确定外网主机的身份。
S30:根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量。
所述设定时间为预先写入防火墙内的数据,根据防火墙的数据处理能力确定,例如可选择1秒。所述待分析数据包的大小确定后,利用数据量大小除以设定时间就能够得到所述传送流量。
S40:若具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,则发出异常结果提示信息以提示该包头信息对应的所述待分析数据包为异常数据包;所述设定流量阈值根据与该包头信息对应的外网主机的数据包发送速率确定。
异常结果提示信息可以发送至控制端、移动终端等,供工作人员获得该提示。正常情况下,包过滤防火墙能够确定允许向内部网络发送数据的外网主机信息,这一类外网主机发送的数据包无需过滤,这一类外网主机被列入白名单内。而根据经验值或者预先约定等方式,能够确定每一外网主机发送的数据包正常的传送流量,根据该正常的传送流量可以为每一外网主机配置一设定流量阈值。
但是在实际应用中,可能存在一类恶意外网主机,伪装成白名单内的外网主机,该类恶意外网主机发送的恶意数据包解析完成后也能够得到正常的包头信息,此时,包过滤防火墙相当于能够接收到正常数据包和恶意数据包且二者都具有相同的包头信息。显然,针对该包头信息的数据包流量必然出现异常增长,会超出设定流量阈值。本实施例的以上方案基于上述原理,利用相同包头信息的待分析数据包的传送流量监管来检测待分析数据包是否异常,能够检测到恶意外网主机伪装成其他外网主机时的异常数据包,提升了包过滤防火墙的安全性能。
以上方案,在获取待分析数据包并得到待分析数据包的包头信息后,根据包头信息能够确定发送待分析数据包的外网主机信息,通过设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,能计算得到具有相同包头信息的待分析数据包的传送流量。在正常情形下,每一个外网主机的数据包发送速率是在一定的范围内的,根据外网主机的正常的发送速率确定对应的设定流量阈值。如果没有其他外网主机恶意伪装,外网主机对应的传送流量应当小于或等于设定流量阈值。如果具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,此时可说明有恶意主机伪装该包头信息对应的外网主机,导致外网主机的数据包传送流量超过设定流量阈值,此时发出异常结果提示信息以提示该包头信息对应的待分析数据包为异常数据包。以上方案,利用相同包头信息的待分析数据包的传送流量是否超过对应的设定流量阈值确定待分析数据包是否异常,能够检测到恶意外网主机伪装成其他外网主机时的异常数据包并发出提示信息,为过滤该类异常数据包提供了技术支撑,提升了包过滤防火墙的安全性能。
一些方案中的数据包状态检测方法,如图3所示,所述步骤S30可包括:
S301:为所述具有相同包头信息的待分析数据包分配数据流标识。
根据包头信息能够分辨外网主机,具有相同包头信息的待分析数据包可以认为是相同外网主机发送的。数据流标识可通过Stream ID(流量类别序号,示意待分析数据包属于哪种数据流)表示。
S302:根据所述数据流标识确定该包头信息对应的令牌桶。
所述令牌桶可以包括多个,不同令牌桶可对应于不同数据流标识的数据包。令牌桶已经广泛用于对突增流量进行限制,是一种常用的流量控制技术。
S303:从所述令牌桶中提取一令牌分配给待分析数据包。
令牌桶的基本原理为固定大小的令牌桶会持续累计令牌数量,即令牌会自动以一定的速率放入令牌桶中。当令牌桶填满后令牌会从桶中溢出。当有数据包到来后会消耗令牌桶中的令牌来传输数据包,当令牌桶中的令牌数量小于数据包传送量大小时则不发送数据包,即如果没有足够的令牌发送数据包,这个数据包就会等待,直到有足够的令牌之后再发送该数据包。此种方法能够对数据传输速度进行监控和限制,以使数据平稳发送。
S304:以所述设定时间段内所述令牌桶内的令牌提取速率作为所述传送流量。
显然,令牌桶发放令牌的速率(即令牌提取速率)即为待分析数据包的传送流量。本实施例通过令牌桶实现数据包的流量监控,方案简单易实现,且具有很高的监控准确度。
进一步地,以上方案中的步骤S30还可以包括:
S305:向所述令牌桶内添加令牌,且令牌添加速率与所述设定速率阈值一致。
如前所述,令牌会自动以一定的速率放入令牌桶中,本方案中令牌添加速度与设定速率阈值保持一致,避免令牌桶空置的情况出现。
优选地,以上方案中,如图4所示,所述方法还可以包括:
S50:获取基于所述异常结果提示信息的反馈信息。
继步骤S40,异常结果提示信息可以发送至控制端、移动终端等,供工作人员获得该提示,当工作人员收到该提示后能够通过控制端、移动终端等发送反馈信息。反馈信息能够反应出工作人员对于异常结果的处理策略。具体地,所述处理策略可以包括:
S601:若所述反馈信息表示所述待分析数据包为安全数据包,则调高所述设定流量阈值。
在一些情形下,可能是白名单内的某一外网主机在特定时间段需要发送更多数据包,例如需要更新系统迁移数据等情况,且工作人员对待分析数据包进行确认后能够确定待分析数据包是安全数据包,则根据新的传送流量的需求对设定流量阈值进行调高。
S602:若所述反馈信息表示所述待分析数据包为存疑数据包,则调低所述设定流量阈值。
在一些情形下,待分析数据包的安全性为未知,此时,可以暂时通过限流的方式减少该包头信息对应的外网主机发送的数据包的流量,即调低所述设定流量阈值,调低的幅度可以按照当前流量的10%-20%执行。
S603:若所述反馈信息表示所述待分析数据包为危险数据包,则将所述设定流量阈值调节为零。
在一些情形下,已经完全可以确认待分析数据包为危险数据包,则完全能够证明有恶意外网主机对白名单内的外网主机进行伪装并发送恶意的危险数据包,此时直接阻断该包头信息对应的外网主机的通信链路。
当待分析数据包属于上述步骤S601中的情形,或者不存在异常的情形时,包过滤防火墙会将待分析数据包传送至内部网络并经内部网络发送至对应的内部主机。
以上方案中,待分析数据包经过流量监控后会根据其传送流量决定是否继续、限制或阻断该待分析数据包的传送过程。当待分析数据包对应的外网主机的数据包传送流量超过设定流量阈值后,产生异常结果提示,工作人员可根据异常结果提示结合分析出的异常情况的产生原因对设定流量阈值重新分配。如果确认待分析数据包为安全数据包,则可增大设定流量阈值,如果为未知数据包则可相应减少设定流量阈值,如为恶意的危险数据包则可阻断该通信链路,即将设定流量阈值设置为零。本申请方案能够基于传送流量识别出异常恶意数据包,发出异常提示信息并进行限制或阻断,完善包过滤防火墙的原有过滤策略。
一些方案中,如图5所示,优选所述数据包状态检测方法,在所述获取待分析数据包之前,还包括:
S01:获取待处理数据包并解析所述待处理数据包得到所述包头信息。
当待处理数据包经外网主机经外部网络进入到包过滤防火墙中时被解析包头信息,如前所述,所述包头信息可以包括待分析数据包的IP头信息或TCP头信息或UDP头信息或设备标识信息。
S02:若所述包头信息在访问控制列表中,则将所述待处理数据包确定为所述待分析数据包。
所述访问控制列表可以为ACL表(Access Control List访问控制列表,列出何种类型数据包会被转发或丢弃的策略),如果ACL表中记录的名单显示允许该包头信息对应的数据包传输或接收,则此包便可以被继续处理,将其确定为所述待分析数据包。
之后执行步骤S10-S30,在步骤S30中,可以设置多个流量监控链路,不同流量监控链路对应不同数据流标识,因此设置不同的设定流量阈值,如图中数据流标识A、数据流标识B……数据流标识N分别对应不同的设定流量阈值,根据每一流量监控链路的监控结果执行步骤S50和S60,在步骤S60中执行数据包的继续转发、限流或阻断。
本申请的以上方案,保留包过滤防火墙应用于网络层与传输层所带来的处理数据速度优势,增加其针对来自外部网络基于IP/DNS(Domain Name System域名系统,域名和IP地址相互映射的一个分布式数据库)欺骗的恶意流量攻击的防范能力。当面对类似DDoS(Distributed denial of service attack分布式拒绝服务攻击,指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,在进行攻击的时候,可以对源IP地址进行伪造,使得这种攻击难以防范)的恶意攻击时,即使此时IP地址、端口号、协议类型符合包过滤防火墙的转发规则,此方案也能够基于传送流量识别出这些异常恶意流量,发出异常提示信息并进行限制或阻断,完善包过滤防火墙原有过滤策略。
本申请实施例还提供一种数据包状态检测装置,如图6所示,包括:
待分析数据包获取模块10,被配置为获取待分析数据包;所述待分析数据包来自于外网主机,通过外部网络传送至包过滤防火墙,由包过滤防火墙对所述待分析数据包是否异常进行判断后,将不存在异常情况的待分析数据包经由内部网络传送至内网主机。
数据包解析模块20,被配置为解析所述待分析数据包,得到所述待分析数据包的包头信息,所述包头信息包括发送所述待分析数据包的外网主机信息;所述包头信息可以包括待分析数据包的IP头信息或TCP(Transmission Control Protocol)头信息或UDP(User Datagram Protocol)头信息或设备标识信息。每一待分析数据包都会预先根据网络协议进行编码,编码后的待分析数据包包括多个比特位,在待分析数据包中会预留前几个比特位用于存储包头信息,包过滤防火墙在收到待分析数据包后依据网络协议将数据包解析后即可确定包头信息。如前所述,包头信息中记录了能够分辨外网主机的信息,由此即可确定外网主机的身份。
流量获取模块30,被配置为根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量;所述设定时间为预先写入防火墙内的数据,根据防火墙的数据处理能力确定,例如可选择1秒。所述待分析数据包的大小确定后,利用数据量大小除以设定时间就能够得到所述传送流量。
异常状态提示模块40,被配置为若具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,则发出异常结果提示信息以提示该包头信息对应的所述待分析数据包为异常数据包;所述设定流量阈值根据与该包头信息对应的外网主机的数据包发送速率确定。异常结果提示信息可以发送至控制端、移动终端等,供工作人员获得该提示。正常情况下,包过滤防火墙能够确定允许向内部网络发送数据的外网主机信息,这一类外网主机发送的数据包无需过滤,这一类外网主机被列入白名单内。而根据经验值或者预先约定等方式,能够确定每一外网主机发送的数据包正常的传送流量,根据该正常的传送流量可以为每一外网主机配置一设定流量阈值。但是在实际应用中,可能存在一类恶意外网主机,伪装成白名单内的外网主机,该类恶意外网主机发送的恶意数据包解析完成后也能够得到正常的包头信息,此时,包过滤防火墙相当于能够接收到正常数据包和恶意数据包且二者都具有相同的包头信息。显然,针对该包头信息的数据包流量必然出现异常增长,会超出设定流量阈值。
本实施例的以上方案基于上述原理,利用相同包头信息的待分析数据包的传送流量监管来检测待分析数据包是否异常,能够检测到恶意外网主机伪装成其他外网主机时的异常数据包,提升了包过滤防火墙的安全性能
一些方案中,所述流量获取模块30为所述具有相同包头信息的待分析数据包分配数据流标识。根据所述数据流标识确定该包头信息对应的令牌桶。从所述令牌桶中提取一令牌分配给待分析数据包。以所述设定时间段内所述令牌桶内的令牌提取速率作为所述传送流量。本方案中,根据包头信息能够分辨外网主机,具有相同包头信息的待分析数据包可以认为是相同外网主机发送的。数据流标识可通过Stream ID(流量类别序号,示意待分析数据包属于哪种数据流)表示。所述令牌桶可以包括多个,不同令牌桶可对应于不同数据流标识的数据包。令牌桶已经广泛用于对突增流量进行限制,是一种常用的流量控制技术。令牌桶的基本原理为固定大小的令牌桶会持续累计令牌数量,即令牌会自动以一定的速率放入令牌桶中。令牌桶发放令牌的速率(即令牌提取速率)与待分析数据包的传送流量具有对应关系,当令牌桶内的令牌提取速率大于设定速率阈值能够证明待分析数据包的传送流量超出了设定流量阈值,此时可证明待分析数据包存在异常。本实施例通过令牌桶实现数据包的流量监控,方案简单易实现,且具有很高的监控准确度。
进一步地,所述流量获取模块30,向所述令牌桶内添加令牌,且令牌添加速率与所述设定速率阈值一致。令牌会自动以一定的速率放入令牌桶中,本方案中令牌添加速度与设定速率阈值保持一致,避免令牌桶空置的情况出现。
一些方案中,上述装置还包括反馈信息获取模块,获取基于所述异常结果提示信息的反馈信息。异常结果提示信息可以发送至控制端、移动终端等,供工作人员获得该提示,当工作人员收到该提示后能够通过控制端、移动终端等发送反馈信息。反馈信息能够反应出工作人员对于异常结果的处理策略。
异常处理模块,若所述反馈信息表示所述待分析数据包为安全数据包,则调高所述设定流量阈值。若所述反馈信息表示所述待分析数据包为存疑数据包,则调低所述设定流量阈值。若所述反馈信息表示所述待分析数据包为危险数据包,则将所述设定流量阈值调节为零。在一些情形下,可能是白名单内的某一外网主机在特定时间段需要发送更多数据包,例如需要更新系统迁移数据等情况,且工作人员对待分析数据包进行确认后能够确定待分析数据包是安全数据包,则根据新的传送流量的需求对设定流量阈值进行调高。在一些情形下,待分析数据包的安全性为未知,此时,可以暂时通过限流的方式减少该包头信息对应的外网主机发送的数据包的流量,即调低所述设定流量阈值,调低的幅度可以按照当前流量的10%-20%执行。在一些情形下,已经完全可以确认待分析数据包为危险数据包,则完全能够证明有恶意外网主机对白名单内的外网主机进行伪装并发送恶意的危险数据包,此时直接阻断该包头信息对应的外网主机的通信链路。
一些方案中,上述装置还包括接收模块,获取待处理数据包并解析所述待处理数据包得到所述包头信息。当待处理数据包经外网主机经外部网络进入到包过滤防火墙中时被解析包头信息,如前所述,所述包头信息可以包括待分析数据包的IP头信息或TCP头信息或UDP头信息或设备标识信息。
判断模块,若所述包头信息在访问控制列表中,则将所述待处理数据包确定为所述待分析数据包。所述访问控制列表可以为ACL表,如果ACL表中记录的名单显示允许该包头信息对应的数据包传输或接收,则此包便可以被继续处理,将其确定为所述待分析数据包。
本申请以上装置也能够基于传送流量识别出这些异常恶意流量,发出异常提示信息并5进行限制或阻断,完善包过滤防火墙原有过滤策略。
本申请一些实施例中还提供一种存储介质,所述存储介质中存储有程序信息,计算机调取所述程序信息后执行以上实施例任一项方案所述的数据包状态检测方法。
本申请实施例还提供一种电子设备,如图7所示为其硬件结构示意图,包括:至少一
个处理器71;以及,与至少一个所述处理器71通信连接的存储器72;其中,所述存储器0 72存储有可被至少一个所述处理器71执行的指令,所述指令被至少一个所述处理器71执
行,以使至少一个所述处理器71能够执行如前所述的数据包状态检测方法。图7中以一个处理器71为例。电子设备还可以包括:输入装置73和输出装置74。处理器71、存储器72、输入装置73及输出装置74可以通过总线或者其他方式连接,图中以通过总线连接为
例。存储器72作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非5易失性计算机可执行程序以及模块,如本申请实施例中的数据包状态检测方法对应的程序
指令/模块。处理器71通过运行存储在存储器72中的非易失性软件程序、指令以及模块,从而执行各种功能应用以及数据处理,即实现上述实施例中的数据包状态检测方法。
存储器72可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据数据包状态检测方法的使用所创0建的数据等。此外,存储器72可以包括高速随机存取存储器,还可以包括非易失性存储器,
例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器72可选包括相对于处理器71远程设置的存储器,这些远程存储器可以通过网络连接至执行数据包状态检测方法的装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
5输入装置73可接收输入的用户点击,以及产生与数据包状态检测方法的用户设置以
及功能控制有关的信号输入。输出装置74可包括显示屏等显示设备。
在所述一个或者多个模块存储在所述存储器72中,当被所述一个或者多个处理器71运行时,执行上述任意方法实施例中的数据包状态检测方法。
根据需要,可以将上述各技术方案进行结合,以达到最佳技术效果。
0以上的仅是本申请的原理和较佳的实施例。应当指出,对于本领域的普通技术人员来说,在本申请原理的基础上,还可以做出若干其它变型,也应视为本申请的保护范围。
Claims (10)
1.一种数据包状态检测方法,其特征在于,包括:
获取待分析数据包;
解析所述待分析数据包,得到所述待分析数据包的包头信息,所述包头信息包括发送所述待分析数据包的外网主机信息;
根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量;
若具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,则发出异常结果提示信息以提示该包头信息对应的所述待分析数据包为异常数据包;所述设定流量阈值根据与该包头信息对应的外网主机的数据包发送速率确定。
2.根据权利要求1所述的数据包状态检测方法,其特征在于,所述根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量,包括:
为具有相同包头信息的待分析数据包分配数据流标识;
根据所述数据流标识确定该包头信息对应的令牌桶;
从所述令牌桶中提取一令牌分配给待分析数据包;
以所述设定时间段内所述令牌桶内的令牌提取速率作为所述传送流量。
3.根据权利要求2所述的数据包状态检测方法,其特征在于,所述根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量,还包括:
向所述令牌桶内添加令牌,且令牌添加速率与所述设定速率阈值一致。
4.根据权利要求1所述的数据包状态检测方法,其特征在于,所述发出异常结果提示信息以提示该包头信息对应的所述待分析数据包为异常数据包之后,所述方法还包括:
获取基于所述异常结果提示信息的反馈信息;
若所述反馈信息表示所述待分析数据包为安全数据包,则调高所述设定流量阈值。
5.根据权利要求4所述的数据包状态检测方法,其特征在于,所述方法还包括:
若所述反馈信息表示所述待分析数据包为存疑数据包,则调低所述设定流量阈值。
6.根据权利要求5所述的数据包状态检测方法,其特征在于,所述方法还包括:
若所述反馈信息表示所述待分析数据包为危险数据包,则将所述设定流量阈值调节为零。
7.根据权利要求1-6任一项所述的数据包状态检测方法,其特征在于,在所述获取待分析数据包之前,还包括:
获取待处理数据包并解析所述待处理数据包得到所述包头信息;
若所述包头信息在访问控制列表中,则将所述待处理数据包确定为所述待分析数据包。
8.一种数据包状态检测装置,其特征在于,包括:
待分析数据包获取模块,被配置为获取待分析数据包;
数据包解析模块,被配置为解析所述待分析数据包,得到所述待分析数据包的包头信息,所述包头信息包括发送所述待分析数据包的外网主机信息;
流量获取模块,被配置为根据设定时间段内获取到的具有相同包头信息的待分析数据包的数据量大小,得到具有相同包头信息的待分析数据包的传送流量;
异常状态提示模块,被配置为若具有相同包头信息的待分析数据包的传送流量大于设定流量阈值,则发出异常结果提示信息以提示该包头信息对应的所述待分析数据包为异常数据包;所述设定流量阈值根据与该包头信息对应的外网主机的数据包发送速率确定。
9.一种存储介质,其特征在于,所述存储介质中存储有程序信息,计算机调取所述程序信息后执行权利要求1-7任一项所述的数据包状态检测方法。
10.一种电子设备,其特征在于,所述电子设备包括至少一个处理器和至少一个存储器,至少一个所述存储器中存储有程序信息,至少一个所述处理器调取所述程序信息后执行权利要求1-7任一项所述的数据包状态检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310003713.2A CN118300802A (zh) | 2023-01-03 | 2023-01-03 | 一种数据包状态检测方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310003713.2A CN118300802A (zh) | 2023-01-03 | 2023-01-03 | 一种数据包状态检测方法、装置、存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118300802A true CN118300802A (zh) | 2024-07-05 |
Family
ID=91688527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310003713.2A Pending CN118300802A (zh) | 2023-01-03 | 2023-01-03 | 一种数据包状态检测方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118300802A (zh) |
-
2023
- 2023-01-03 CN CN202310003713.2A patent/CN118300802A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10097578B2 (en) | Anti-cyber hacking defense system | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
KR101231975B1 (ko) | 차단서버를 이용한 스푸핑 공격 방어방법 | |
US20140325648A1 (en) | Attack Defense Method and Device | |
US20080253380A1 (en) | System, method and program to control access to virtual lan via a switch | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
TWI492090B (zh) | 分散式阻斷攻擊防護系統及其方法 | |
KR100858271B1 (ko) | 분산서비스거부공격 차단장치 및 그 방법 | |
US10313238B2 (en) | Communication system, communication method, and non-transitiory computer readable medium storing program | |
CN107360182B (zh) | 一种用于嵌入式的主动网络防御系统及其防御方法 | |
US20070101428A1 (en) | Denial-of-service attack defense system, denial-of-service attack defense method, and denial-of-service attack defense program | |
KR101380015B1 (ko) | 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 | |
WO2019096104A1 (zh) | 攻击防范 | |
JP2008219149A (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
CN110995586B (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
KR100733830B1 (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
US20190028479A1 (en) | Relay apparatus | |
KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
CN118300802A (zh) | 一种数据包状态检测方法、装置、存储介质及电子设备 | |
KR101069341B1 (ko) | 분산 서비스 거부 공격 생성 방지 장치 | |
JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication |