TW201738796A - 網路攻擊的防控方法、裝置及系統 - Google Patents

網路攻擊的防控方法、裝置及系統 Download PDF

Info

Publication number
TW201738796A
TW201738796A TW106104299A TW106104299A TW201738796A TW 201738796 A TW201738796 A TW 201738796A TW 106104299 A TW106104299 A TW 106104299A TW 106104299 A TW106104299 A TW 106104299A TW 201738796 A TW201738796 A TW 201738796A
Authority
TW
Taiwan
Prior art keywords
attack
terminal
packet
address
network
Prior art date
Application number
TW106104299A
Other languages
English (en)
Inventor
le-le Ma
yang-yang Song
Lai Zhou
Original Assignee
Alibaba Group Services Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Services Ltd filed Critical Alibaba Group Services Ltd
Publication of TW201738796A publication Critical patent/TW201738796A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本發明公開了一種網路攻擊的防控方法、裝置及系統。其中,該方法包括:當檢測到網路攻擊時,解析攻擊報文,其中,攻擊報文包含:地址資訊;依據地址資訊定位第一網關設備;向第一網關設備發送防控指令,其中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制。本發明解決了由於相關技術中缺少對網路攻擊進行監控和反制的技術,導致目標伺服器在遭受攻擊時被動防禦,從而導致防禦效率低的技術問題。

Description

網路攻擊的防控方法、裝置及系統
本發明係關於通信應用技術領域,具體而言,係關於一種網路攻擊的防控方法、裝置及系統。
隨著網際網路的發展,特別是網際網路技術的廣泛運用,網際網路由開始提供的一個開放平台發展至由於資源的豐富引發的來自各個原因的網路攻擊,網際網路安全成為了現如今網際網路時代廣泛關注的一個問題,針對如何防禦網路攻擊,以及如何反制網路攻擊的發起源頭,成為了現如今網際網路技術一個反復探索的研究課題。
現有的網路攻擊中,分布式拒絕服務攻擊(Distributed Denial of Service,簡稱DDoS)是目前最難防禦的一種網路攻擊行為,目前業界的防禦系統都是在伺服器前端部署防火牆產品,在伺服器被攻擊時通過部署在伺服器前端的防火牆將攻擊清洗掉,目前面臨的最大問題就是:問題(1)攻擊量越來越大,但是伺服器側的帶寬卻無法無限擴充,單純的靠伺服器端的清洗已經無法滿足越來越多的網路攻擊;問題(2)發起DDoS攻擊的攻擊 方一般會組織大量的私人電腦(personal computer,簡稱pc),這些pc一般被攻擊者控制,由大量該類pc組成的計算機網路被稱作僵屍網路,該僵屍網路都是真實的機器,目前沒有一種有效的方法能直接追蹤到僵屍網路。問題(3)無法反制該DDos網路攻擊,只能被動的挨打。
DDos攻擊帶來的危害則是攻擊者會控制大量的僵屍主機對目標伺服器發起攻擊,此時正常的用戶將無法存取目標主機。
相關技術中採用較多的緩解僵屍網路的DDoS攻擊的方法主要有:方法一,基於入侵檢測系統(Intrusion Detection System,簡稱IDS)、入侵防禦系統(Intrusion Prevention System,簡稱IPS)發現僵屍網路的方法:IDS按照一定的安全規則和安全策略,對網路、系統的運行情況進行監控,如果發現保護的網路內有機器被外界主機所控制,IDS設備能根據配置好的安全策略產生告警,提供網路管理員參考。方法二,基於蜜網技術發現僵屍網路的方法:蜜罐技術是一個由防護方佈置的一套資訊收集系統,故意的暴露在網路上,並且會留下一些未修復的漏洞。一旦攻擊者入侵後,就可以知曉其如何實施並得逞的,從而隨時瞭解駭客發動的最新的攻擊和漏洞。蜜罐還可以通過竊聽駭客之間的聯繫,收集駭客所用的種種工具,並且掌握他們的社交網路。方法三,基於流量分析特別是深包檢測技術(Deep Packet Inspection,簡稱DPI)的僵屍網路監控方法:流量分析可以找出部分的僵屍主 機。該技術只能在網路局部進行僵屍主機和僵屍網路的分析,很難對整個網際網路的僵屍主機和僵屍網路進行定位,都不能找出特定僵屍網路的所有的僵屍主機;更不能對僵屍網路進行抑制。
縱使上述方法能夠對DDos攻擊進行防禦,但是上述方法存在以下問題:問題一,基於IDS、IPS發現僵屍網路缺點:如上這種方式的好處就是檢測是基於逐包分析的方式,通過匹配安全策略和規則來告警,但是這種方式只能是基於局域網和企業網內使用,且單點和單點之間的資料無法共享,因此無論是從檢測覆蓋度還是速度上都無法解決大規模DDoS攻擊中的攻擊源分析的問題;問題二,基於蜜罐技術捕獲僵屍網路的缺點:蜜罐技術需要大量部署且容易被駭客當作攻擊跳板,由於蜜罐主機的操作系統有很多的漏洞,很容易被攻擊導致系統無法啟動,同時蜜罐系統收集的資料在整個網際網路的資料中只是很小的一部分,需要部署大量的蜜罐系統才能有足夠的資料使用,在實際用途中一般用作研究使用,很難真正廣泛推廣;問題三,基於流量分析特別是DPI檢測技術的僵屍網路監控方法缺點:如上DPI技術和流量分析技術具有滯後性,且傳統的DPI技術和流量分析技術都是靠部署在伺服器側的設備來進行分析和定位,屬於攻擊的最後一公里去反推攻擊的源頭,不僅分析起來耗時久,而且隨著僵屍網路的變化,前面的分析可能很快就不具備時效性,很難比攻擊者速度快。
針對上述由於相關技術中缺少對網路攻擊進行監控和反制的技術,導致目標伺服器在遭受攻擊時被動防禦,從而導致防禦效率低的問題,目前尚未提出有效的解決方案。
本發明實施例提供了一種網路攻擊的防控方法、裝置及系統,以至少解決由於相關技術中缺少對網路攻擊進行監控和反制的技術,導致目標伺服器在遭受攻擊時被動防禦,從而導致防禦效率低的技術問題。
根據本發明實施例的一個方面,提供了一種網路攻擊的防控方法,包括:當檢測到網路攻擊時,解析攻擊報文,其中,攻擊報文包含:地址資訊;依據地址資訊定位第一網關設備;向第一網關設備發送防控指令,其中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制。
根據本發明實施例的一個方面,提供了另一種網路攻擊的防控方法,包括:接收防控指令,其中,防控指令包括:被攻擊伺服器接收到的攻擊報文的地址資訊;依據地址資訊查詢得到發送攻擊報文的攻擊終端;獲取攻擊終端的端口資訊,並依據端口資訊得到與攻擊終端存在通信連接的計算設備;依據端口資訊,篩選與攻擊終端存在通信連接的計算設備,得到發起攻擊報文的初始終端,其中,攻擊終端依據初始終端的控制指令發送攻擊報文;通過預 設方式控制初始終端。根據本發明實施例的另一個方面,提供了一種網路攻擊的防控裝置,包括:解析模組,用於當檢測到網路攻擊時,解析攻擊報文,其中,攻擊報文包含:地址資訊;定位模組,用於依據地址資訊定位第一網關設備;發送模組,用於向第一網關設備發送防控指令,其中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制。
根據本發明實施例的另一個方面,提供了另一種網路攻擊的防控裝置,包括:接收模組,用於接收防控指令,其中,防控指令包括:被攻擊伺服器接收到的攻擊報文的地址資訊;查詢模組,用於依據地址資訊查詢得到發送攻擊報文的攻擊終端;獲取模組,用於獲取攻擊終端的端口資訊,並依據端口資訊得到與攻擊終端存在通信連接的計算設備;篩選模組,用於依據端口資訊,篩選與攻擊終端存在通信連接的計算設備,得到發起攻擊報文的初始終端,其中,攻擊終端依據初始終端的控制指令發送攻擊報文;防控模組,用於通過預設方式控制初始終端。
根據本發明實施例的又一個方面,提供了一種網路攻擊的防控系統,包括:伺服器和城域設備,伺服器與城域設備通信連接,其中,伺服器為上述一種網路攻擊的防控裝置;城域設備為上述另一種網路攻擊的防控裝置。
在本發明實施例中,通過當檢測到網路攻擊時,解析攻擊報文,其中,攻擊報文包含:地址資訊;依據地址資訊定位第一網關設備;向第一網關設備發送防控指令,其 中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制,達到了伺服器和網關設備主動對網路攻擊進行安全控制的目的,從而實現了提升防禦效率的技術效果,進而解決了由於相關技術中缺少對網路攻擊進行監控和反制的技術,導致目標伺服器在遭受攻擊時被動防禦,從而導致防禦效率低的技術問題。
10‧‧‧伺服器
102‧‧‧處理器
104‧‧‧記憶體
106‧‧‧傳輸模組
92‧‧‧解析模組
94‧‧‧定位模組
96‧‧‧發送模組
921‧‧‧採集單元
922‧‧‧解析單元
923‧‧‧獲取單元
941‧‧‧資訊解析單元
942‧‧‧定位單元
943‧‧‧查詢單元
961‧‧‧指令產生單元
962‧‧‧發送單元
1302‧‧‧接收模組
1304‧‧‧查詢模組
1306‧‧‧獲取模組
1308‧‧‧篩選模組
1310‧‧‧防控模組
13061‧‧‧查詢單元
13081‧‧‧檢測單元
13082‧‧‧篩選單元
13101‧‧‧類型獲取單元
13102‧‧‧匹配單元
13103‧‧‧執行單元
13104‧‧‧鎖禁單元
此處所說明的附圖用來提供對本發明的進一步理解,構成本發明的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中:圖1是本發明實施例的一種網路攻擊的防控方法的伺服器的硬體結構框圖;圖2是根據本發明實施例一的網路攻擊的防控方法的流程圖;圖3是根據本發明實施例一的網路攻擊的防控方法中伺服器側的結構示意圖;圖4是根據本發明實施例一的網路攻擊的防控方法中攻擊報文所屬位置的分佈圖;圖5是根據本發明實施例二的網路攻擊的防控方法的流程圖;圖6是根據本發明實施例二的一種網路攻擊的防控方法的流程圖; 圖7是根據本發明實施例提供的網路攻擊的防控系統的結構示意圖;圖8是根據本發明實施例提供的網路攻擊的防控系統執行防控方法的流程示意圖;圖9是根據本發明實施例三的網路攻擊的防控裝置的結構示意圖;圖10是根據本發明實施例三的一種網路攻擊的防控裝置的結構示意圖;圖11是根據本發明實施例三的另一種網路攻擊的防控裝置的結構示意圖;圖12是根據本發明實施例三的又一種網路攻擊的防控裝置的結構示意圖;圖13是根據本發明實施例四的網路攻擊的防控裝置的結構示意圖;圖14是根據本發明實施例四的一種網路攻擊的防控裝置的結構示意圖;圖15是根據本發明實施例四的另一種網路攻擊的防控裝置的結構示意圖;圖16是根據本發明實施例四的又一種網路攻擊的防控裝置的結構示意圖;圖17是本發明實施例五的網路攻擊的防控系統的結構示意圖。
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本發明保護的範圍。
需要說明的是,本發明的說明書和請求項書及上述附圖中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
本發明實施例涉及的技術名詞:
DDos攻擊:分布式拒絕服務攻擊(Distributed Denial of Service,簡稱DDoS);IP地址:網路之間互聯的協議地址(Internet Protocol,簡稱IP)。
實施例1
根據本發明實施例,還提供了一種網路攻擊的防控方法的方法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組伺服器可執行指令的伺服器架構中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
本發明實施例一所提供的方法實施例可以在伺服器、與伺服器集群連接的網關設備或者類似的運算裝置中執行。以運行在伺服器上為例,圖1是本發明實施例的一種網路攻擊的防控方法的伺服器的硬體結構框圖。如圖1所示,伺服器10可以包括一個或多個(圖中僅示出一個)處理器102(處理器102可以包括但不限於微處理器MCU或可編程邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體104、以及用於通信功能的傳輸模組106。本領域普通技術人員可以理解,圖1所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,伺服器10還可包括比圖1中所示更多或者更少的組件,或者具有與圖1所示不同的配置。
記憶體104可用於儲存應用軟體的軟體程式以及模組,如本發明實施例中的網路攻擊的防控方法對應的程式指令/模組,處理器102通過運行儲存在記憶體104內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的應用程式的漏洞檢測方法。記憶體104 可包括高速隨機記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體104可進一步包括相對於處理器102遠程設置的記憶體,這些遠程記憶體可以通過網路連接至伺服器10。上述網路的實例包括但不限於網際網路、企業內部網、局域網、行動通信網及其組合。
傳輸裝置106用於經由一個網路接收或者發送資料。上述的網路具體實例可包括伺服器10的通信供應商提供的無線網路。在一個實例中,傳輸裝置106包括一個網路適配器(Network Interface Controller,NIC),其可通過基站與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸裝置106可以為射頻(Radio Frequency,RF)模組,其用於通過無線方式與網際網路進行通訊。
在上述運行環境下,本發明提供了如圖2所示的網路攻擊的防控方法。在伺服器側,圖2是根據本發明實施例一的網路攻擊的防控方法的流程圖。
步驟S202,當檢測到網路攻擊時,解析攻擊報文,其中,攻擊報文包含:地址資訊;本發明實施例提供的網路攻擊的防控方法可以適用於網際網路或城際局域網環境下,在本發明中以DDos攻擊為例進行說明,其中,在針對DDos攻擊的過程中,相關技術中在伺服器端僅僅是靠部署在伺服器前端的防火牆阻 絕攻擊,但是隨著攻擊量的越來越大,防火牆的被動防禦將不能滿足防禦需求;針對DDos攻擊的特點,即,發起DDoS攻擊的攻擊方一般會組織大量的個人電腦(Personal Computer,簡稱PC),這些PC一般被攻擊者控制,由此形成僵屍網路,進而攻擊方通過控制僵屍網路對伺服器進行攻擊,從而增加攻擊量。本發明實施例提供的網路攻擊的防控方法為有效解決上述DDos攻擊造成的影響,在伺服器側,通過在伺服器前段配置清洗系統,除了區別於相關技術中的被動防禦外,伺服器將針對DDos攻擊主動執行安全控制。
本發明上述步驟S202中,在伺服器側,當檢測到網路攻擊時,通過解析形成網路攻擊的攻擊報文,得到攻擊報文中的地址資訊,其中該地址資訊可以指示攻擊報文的來源位置,在本發明中來源位置可以為發送攻擊報文的終端所屬的城市,具體執行步驟S204。
步驟S204,依據地址資訊定位第一網關設備;基於步驟S202中獲取到的攻擊資訊中的地址資訊,本發明上述步驟S204中,本發明實施例中的地址資訊可以包括:IP地址,基於網際網路地址協議,在網路報文發送的過程中網路報文將攜帶源地址和目的地址(可以為IP地址或媒體存取控制(Media Access Control,簡稱MAC)地址),在伺服器側,由於攻擊報文也屬於網路報文的一種,當伺服器接收到該攻擊報文時,根據該攻擊報文中的源IP地址,將可以依據現有的IP協議,確定該IP 地址所屬的位置。本發明實施例提供的地址資訊中以IP地址為例進行說明,以實現本發明實施例提供的網路攻擊的防控方法為準,具體不做限定。
步驟S206,向第一網關設備發送防控指令,其中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制。
基於步驟S204中確定的攻擊報文所屬的位置,本發明上述步驟S206中,在確定攻擊報文所屬位置後,伺服器側將產生防控指令,並將該防控指令發送至該位置所定位的第一網關設備處,以使得由第一網關設備依據該防控指令主動對發起攻擊報文的終端進行安全控制,從而在攻擊源頭遏制當前伺服器側所面對的網路攻擊,即,主動的對當前的網路攻擊進行防禦控制。
這裡本發明實施例提供的網路攻擊的防控方法中,本發明實施例將清洗系統分別部署在伺服器側和城域設備側,在伺服器側受到網路攻擊的同時,除了被動防禦,還將主動的分析攻擊來源,並通過協同城域設備進行反制,即,通過向攻擊報文發起的終端所屬的城域設備發送防控指令,以使得由城域設備將當前的網路攻擊遏制於發起的源頭,從而達到了對網路攻擊的主動防禦,減輕了被動防禦過程中對帶寬的佔用,提升了對網路攻擊的防禦效率。其中,城域設備可以為部署於各個城市或各個網路節點的網關設備。
結合步驟S202至步驟S206,圖3是根據本發明實施 例一的網路攻擊的防控方法中伺服器側的結構示意圖。如圖3所示,本發明實施例提供的伺服器側的防護架構中,包括:運營商路由設備、伺服器設備和清洗系統,其中,上述清洗系統可以包括:檢測裝置、清洗裝置、路由設備和管理裝置。這裡管理裝置管理檢測裝置和清洗裝置,當運營商路由設備接收到流量資訊時,與運營商路由設備通信連接的清洗系統,將通過路由設備接收當前所有流量資訊,並通過管理裝置控制檢測裝置對當前接收到的流量資訊進行檢測,篩選出攻擊流量,進而通過清洗裝置對攻擊流量進行清洗,從而向伺服器設備返回正常流量,即,不含攻擊流量的流量資訊,並通過向攻擊流量所屬的位置發送防控指令,啟動主動防控。
在本發明實施例通過的網路攻擊的防控方法中,當步驟S202檢測到網路攻擊後(即,上述圖3中清洗系統中的檢測裝置),通過解析攻擊報文,通過步驟S204定位該攻擊報文所屬位置,進而在通過步驟S206向該位置的第一網關設備發送防控指令的同時,啟動清洗先對當前網路攻擊進行緩解,從而通過第一網關設備側的溯源主動控制攻擊報文的發送終端,執行主動防禦。歸避了相關技術中伺服器側僅能依靠防火牆被動防禦的問題,提升了防禦效率。
由上可知,本發明上述實施例一所提供的方案,通過當檢測到網路攻擊時,解析攻擊報文,其中,攻擊報文包含:地址資訊;依據地址資訊定位第一網關設備;向第一 網關設備發送防控指令,其中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制,達到了伺服器和網關設備主動對網路攻擊進行安全控制的目的,從而實現了提升防禦效率的技術效果,進而解決了由於相關技術中缺少對網路攻擊進行監控和反制的技術,導致目標伺服器在遭受攻擊時被動防禦,從而導致防禦效率低的技術問題。
可選的,步驟S202中解析攻擊報文包括:本發明實施例提供的網路攻擊的防控方法中,基於上述步驟S202,如何解析攻擊報文具體如下:
Step1,在預設的單位時間內,採集攻擊報文;本發明上述步驟Step1中,在獲取攻擊報文的攻擊資訊時,首先,需要篩選出攻擊報文,即,常規網路報文不會在短時間內頻繁向伺服器側發送網路報文,以此為基準,當在單位時間內採集到,發送網路報文的源地址為同一地址,報文協議類型相同,且報文長度大於預設長度時,判定該網路報文為攻擊報文。其中,本發明實施例中的預設的單位時間可以為如表1所示的報文採集時間,本發明實施例中在判斷網路報文是否為攻擊報文的過程中,以在一個採集時間內源地址相同、報文協議類型相同且報文長度大於預設長度的報文為攻擊報文。表1為在單位時間內採集到的網路報文列表:
其中,由表1可知,以0X年7月11日6點XX分XX秒為報文的採集時間為例,在該時間點,如表1所示,源地址為113.X.X發送了多條(兩條以上)網路報文,且報文長度大於接收到的所有報文長度的均值,由此得到該源地址為113.X.X,協議類型為:簡單服務發現協議(Simple Service Discovery Protocol,簡稱SSDP)的網路報文為攻擊報文。
Step2,解析攻擊報文,得到攻擊報文的地址資訊和流量資訊;基於上述步驟Step1中採集的攻擊報文,本發明上述步驟Step2中,通過對攻擊報文的解析,將得到攻擊報文的地址資訊,以及流量資訊,其中,流量資訊可以為當前 該攻擊報文在所有用戶資料包協議(User Datagram Protocol,簡稱UDP)中超文本傳輸協議資料包(Hypertext Transfer Protocol,簡稱HTP)中所占的百分比,以及所占的位元比;地址資訊可以為上述表1中的源地址,在本發明實施例中該源地址以IP地址為例進行說明。
Step3,依據流量資訊和地址資訊得到攻擊報文的攻擊特徵,其中,攻擊特徵為在預設的單位時間內攻擊報文由地址資訊對伺服器的流量衝擊方式。
本發明上述步驟Step3中,結合Step1和Step2在得到流量資訊和地址資訊後,將能夠得到在Step1步驟中單位時間內,地址資訊為113.X.X的攻擊報文的攻擊特徵,即,在單位時間內,根據攻擊報文的源地址和Step2中的流量資訊計算得到該攻擊報文的攻擊特徵,其中,該攻擊特徵可以包括:高頻發送了大量簡單服務發現協議SSDP報文,即,已經構成了SSDP反射攻擊的特徵。
進一步地,可選的,步驟S204中依據地址資訊定位第一網關設備包括:
Step1,解析地址資訊,得到攻擊報文的源地址;基於步驟S202中的Step2得到的地址資訊,本發明上述步驟Step1中,由於地址資訊可以包括:源地址、源端口、目的地址和目的端口,目的地址可以為伺服器側的IP地址,目的端口可以為伺服器側接收攻擊報文的端口,由於在伺服器側接收到的攻擊報文,所以目的地址在伺服 器側為已知,即伺服器的IP地址,通過解析上述地址資訊,將得到源地址。
Step2,在預先設置的資料庫中匹配源地址對應的位置,得到攻擊報文所屬的位置;基於上述步驟Step1得到攻擊報文的源地址後,本發明上述步驟Step2中,由於在網際網路協議的框架下,通過IP地址均可以查詢得到該IP地址對應的位置,即,該IP所屬的城市,由此可知,在本發明實施例中通過在資料庫中匹配該源地址,將得到該源地址所屬省份和城市。
Step3,在資料庫中查詢位置對應的網關設備,得到攻擊報文所屬的位置對應的第一網關設備。
基於上述步驟Step2確定的攻擊報文所屬的位置,本發明上述步驟Step3中,基於網際網路協議框架,當通過源IP地址得到該源IP所屬的城市(即,本發明實施例中的位置)時,通過協同該城市的運用商,得到轉發攜帶有該源IP攻擊報文的第一網關設備。
其中,圖4是根據本發明實施例一的網路攻擊的防控方法中攻擊報文所屬位置的分佈圖。如圖4可知,通過扇形圖分佈可以得到,在伺服器側接收的攻擊報文中,攻擊來源最大的城市和/或運營商,通過知曉攻擊來源最大的城市可以通過協同該城市設置的網關設備,對該城市區域中源地址所指示的終端進行安全控制,達到了主動防禦的效果。其中,所占攻擊源IP分佈百分比最大的城市可以為攻擊來源最大的城市,如圖4所示為11%對應的城市, 這裡需要說明的是,通過獲取運營商資訊將可以通過利用運營商資源更進一步的對發起攻擊報文的終端匹配對應的防控策略,以使得達到最佳防控效果。具體防控執行步驟S206。
進一步地,可選的,步驟S206中向位置所定位的網關設備發送防控指令包括:
Step1,依據攻擊特徵產生防控指令;基於上述步驟S204確定的攻擊報文所屬的位置,本發明上述步驟Step1中,由於上述步驟S204中的得到攻擊特徵,將產生防控指令。該防控指令可以包括本地防控指令和指示攻擊報文所屬位置的網關設備執行的防控指令。
其中,本地防控指令為在伺服器側執行的防禦操作,該防禦操作可以包括:設置白名單或設置伺服器側接收資料流量的門限閾值。
這裡通過設置白名單,將白名單以外的源IP地址進行甄別處理,當獲取到攜帶攻擊特徵的網路報文時,將禁止接收處理該攻擊特徵對應的源IP的網路報文,通過甄別學習,擴充白名單;同理,黑名單處理方式相同,通過標記攜帶攻擊特徵的源IP,根據上述源IP產生黑名單,對來自該源IP地址的網路報文禁止接收處理。
在本地防控指令中,當定位到城市後,還可以進一步分析,攻擊來源的類型和主機系統的特點,如:NAT內網IP、偽造爬蟲IP、代理IP、個人僵屍主機、伺服器僵屍 主機和3G網關,對於不同的類型,在伺服器側(即,近目的端)採用的策略不一樣,根據不同的IP策略來進行本地的防禦處理,其中,IP策略可以包括:對於NAT內網IP和3G網關可以採取限速策略,對於其他IP則採取封禁策略。
在接收資料流量上,可以通過設置門限閾值,將大於當前門限閾值的資料報文進行丟包,以保障伺服器側的安全。這裡伺服器側所執行的本地防控指令為被動防禦,通過產生用於指示攻擊報文所屬位置的網關設備執行的防控指令,協同該攻擊報文所屬位置的網關設備,達到主動防禦的目的。
Step2,將防控指令發送至第一網關設備。
結合步驟S206中Step1得到的防控指令,並在得到的攻擊報文所屬的位置對應的第一網關設備後,本發明上述步驟Step2中,將防控指令發送至第一網關設備。其中,該第一網關設備為配置有清洗系統的城域網關設備,具體的,在每個城域網出口均部署流量清洗系統,以使得清洗系統與城域網出口的路由器建立邊界網關協議(Border Gateway Protocol,簡稱BGP)鄰居關係。
需要說明的是,本發明實施例提供的網路攻擊的防控方法中,區別於相關技術中在伺服器側的被動防禦,本發明實施例提供了一種防控網路,除在伺服器側配置清洗系統,在城域設備側,同樣配置清洗系統,以達到當伺服器側檢測到網路攻擊時,通過定位到攻擊報文的發起終端所 屬的城市,協同該城市的城域設備,依據攻擊報文的攻擊資訊進行溯源篩選得到整個攻擊流程的源頭,即,整個網路攻擊的發起終端,通過城域設備的清洗系統對發起終端執行安全控制,達到消除由該發起終端組成的攻擊網路,杜絕該發起終端再次發起的網路攻擊,區別於相關技術中盡在伺服器側的被動防禦,本發明實施例提供的網路攻擊的防控方法,伺服器側除了常規防控外,還通過主動獲取攻擊報文源IP,並進行定位,協同該源IP所屬位置的城域設備,達到主動防禦的效果,提升了伺服器側在面對網路攻擊時的防禦效率。
實施例2
根據本發明實施例,還提供了另一種網路攻擊的防控方法的方法實施例,在城域設備側,本發明提供了如圖5所示的網路攻擊的防控方法。圖5是根據本發明實施例二的網路攻擊的防控方法的流程圖。
步驟S502,接收防控指令,其中,防控指令包括:被攻擊伺服器接收到的攻擊報文的地址資訊;本發明實施例提供的網路攻擊的防控方法可以適用於城域設備側,其中,城域設備可以為每個城域網路的網關設備,在本發明實施例中該網關設備為配置有清洗系統的網關設備,其中,清洗系統與城域網出口的路由器建立有邊界網關協議(Border Gateway Protocol,簡稱BGP)鄰居關係。
本發明上述步驟S502中,城域設備接收由伺服器發送的防控指令,城域設備通過該防控指令獲取被攻擊伺服器接收到的攻擊報文的地址資訊。
步驟S504,依據地址資訊查詢得到發送攻擊報文的攻擊終端;基於步驟S502中防控指令中的地址資訊,本發明上述步驟S504中,城域設備依據該地址資訊,查詢得到發送該攻擊報文的攻擊終端,其中,根據攻擊報文中的地址資訊可以查詢得到該地址資訊中的源地址,這裡根據源地址將能夠查詢到發送該攻擊報文的終端。
具體的,基於網際網路協議框架,在網路報文進行傳輸的過程中網路報文會攜帶源地址和目的地址和/或源端口和目的端口,以及該網路報文的協議類型,由此可知,在城域設備接收到防控指令後,由於防控指令攜帶攻擊報文的地址資訊,城域設備將可以通過該地址資訊查詢得到發起攻擊報文的攻擊終端,即,伺服器接收攻擊報文,該攻擊報文的目的地址和目的端口將為伺服器的IP地址和端口,由該攻擊報文中地址資訊中的源地址和源端口可以得到發送該攻擊報文的終端的IP地址和端口,城域設備也是根據該源地址和源端口得到發送攻擊報文的攻擊終端。
這裡本發明實施例提供的網路攻擊的防控方法以DDos攻擊為例進行說明,以實現本發明實施例提供的網路攻擊的防控方法為准,具體不做限定。
步驟S506,獲取攻擊終端的端口資訊,並依據端口資訊得到與攻擊終端存在通信連接的計算設備;基於步驟S506中查詢得到的攻擊終端,本發明上述步驟S506中,首先獲取該攻擊終端的端口資訊,進而根據端口資訊獲取與該攻擊終端建立有通信連接的所有計算設備,這裡計算設備可以為具備發起整個網路攻擊嫌疑的初始終端。
具體的,城域設備通過獲取該攻擊終端的端口資訊,將可以得到與該攻擊終端存在通信連接的計算設備的個數以及分佈,即,在網際網路通信中存在與該攻擊終端具有通信連接的多個計算設備,而發起整個網路攻擊的初始終端將會存在於與該攻擊終端具有通信連接的眾多計算設備之中。其中,本發明實施例中的計算設備可以為與攻擊終端和初始終端一樣的PC機、筆記本電腦或超級計算機等能夠接入通信網路的計算設備,本發明實施例僅以PC機為例進行說明,以實現本發明實施例提供的網路攻擊的防控方法為准,具體不做限定。
步驟S508,依據端口資訊,篩選與攻擊終端存在通信連接的計算設備,得到發起攻擊報文的初始終端,其中,攻擊終端依據初始終端的控制指令發送攻擊報文;基於上述步驟S506得到計算設備,本發明上述步驟S508中,在城域設備側,當網路攻擊發生時,能夠檢測到發送攻擊報文的攻擊終端和與該攻擊終端通信連接的計算設備存在通信報文的地方有兩個,其一,與該攻擊終端 通信連接的計算設備所在的城域網出口;其二,發起攻擊報文的攻擊終端所在的城域網出口。其中,與該攻擊終端通信連接的終端可以為步驟S506中的計算設備,因為與該攻擊終端通信連接的計算設備可以為多個終端,特別是在網路攻擊發起前和發生時肯定會存在與該攻擊終端多次通信的計算設備。
這裡如何從多個計算設備中篩選得到初始終端可以包括:以當攻擊終端對伺服器發起攻擊時,首先要從初始終端獲取攻擊指令(即,本發明實施例中提到的控制指令),攻擊指令中可以包含了攻擊類型、攻擊時長、攻擊流量大小等,由於攻擊前初始終端需要下發給大量的攻擊終端上述攻擊指令,因此將可以能通過某一段時間某個IP同樣端口的流量急劇上升來判斷該初始終端的存在,並定位到該初始終端。
步驟S510,通過預設方式控制初始終端。
本發明上述步驟S510中,城域設備將可以依據初始終端的攻擊方式得到該初始終端的設備類型,進而依據該設備類型匹配對應的安全控制方法,城域設備通過控制初始終端,執行防控策略,其中,控制初始終端可以為該初始終端對應的城域設備對該初始終端的權限進行管制,如,關閉任何與該初始終端建立有通信連接的攻擊終端,以使得該初始終端與外界隔絕;進而通過執行防控策略,中斷由初始終端以及多個發送攻擊報文的攻擊終端組成的攻擊網路中攻擊終端與攻擊終端之 間的通信鏈路,進而將初始終端黑洞處理,使得整個攻擊網路失去攻擊能力。
具體見圖6,圖6是根據本發明實施例二的一種網路攻擊的防控方法的流程圖,其中,如圖6所示,在城域設備側,當伺服器檢測到網路攻擊後,城域設備接收到伺服器發送的防控指令,城域設備對與該發送攻擊報文的攻擊終端建立通信連接的計算設備進行全網近源檢測,通過發現異常的五元組,進而定位整個網路攻擊的初始終端,並通過清洗系統截斷該初始終端的通信,從而在城域網出口將該初始終端的IP進行封禁(即,黑洞處理),最終達到網路攻擊被阻斷的效果,以規避相關技術中伺服器的被動防禦,進而達到本發明實施例提供的網路攻擊的防控方法中伺服器與城域設備通過協同主動對網路攻擊進行防禦的目的。其中,本發明實施例提供的五元組可以包括:(1)源IP地址;(2)目的IP地址;(3)源端口;(4)目的端口;(5)協議類型。遍佈於各處的城域設備通過檢測源IP地址、目的IP地址、源端口和目的端口之間的資料流量是否大於預設閾值,將可以得到與發送攻擊報文的攻擊終端具有通信連接的計算設備,進而篩選該計算設備得到發起整個網路攻擊的初始終端。
由上可知,本發明上述實施例二所提供的方案,通過接收防控指令,其中,防控指令包括:被攻擊伺服器接收到的攻擊報文的地址資訊;依據地址資訊查詢得到發送攻擊報文的攻擊終端;獲取攻擊終端的端口資訊,並依據端 口資訊得到與攻擊終端存在通信連接的計算設備;依據端口資訊,篩選與攻擊終端存在通信連接的計算設備,得到發起攻擊報文的初始終端,其中,攻擊終端依據初始終端的控制指令發送攻擊報文;通過預設方式控制初始終端。達到了伺服器和網關設備主動對網路攻擊進行安全控制的目的,從而實現了提升防禦效率的技術效果,進而解決了由於相關技術中缺少對網路攻擊進行監控和反制的技術,導致目標伺服器在遭受攻擊時被動防禦,從而導致防禦效率低的技術問題。
可選的,步驟S506中依據端口資訊得到與攻擊終端存在通信連接的計算設備包括:
Step1,依據端口資訊查詢在接收防控指令之前與攻擊終端通信的計算設備。
本發明上述步驟Step1中,城域設備依據該端口資訊查詢在接收防控指令之前,與該攻擊終端具有通信連接的計算設備,即,存在發起整個網路攻擊嫌疑的初始終端。
具體的,城域設備通過該端口資訊,將得到曾與發送攻擊報文的攻擊終端建立有通信連接的各個計算設備的通信端口資訊,進而通過標記與發送攻擊報文的攻擊終端通信連接的計算設備,篩選實際發起整個網路攻擊的初始終端,而如何獲取該初始終端,執行步驟S508。
可選的,步驟S508中依據端口資訊,篩選與攻擊終端存在通信連接的計算設備,得到發起攻擊報文的初始終端包括:
Step1,在端口資訊包括:源地址、目標地址、源端口、目標端口和協議類型的情況下,將攻擊終端的地址作為目標地址,並檢測在預設時間內與目標地址通信次數大於預設安全值的源地址;基於步驟S506中的Step1,本發明上述步驟Step1中,在本發明實施例提供的網路攻擊的防護方法中,提出了一個五元組的概念,即,五元組包括:(1)源IP地址;(2)目的IP地址;(3)源端口;(4)目的端口;(5)協議類型。城域設備獲取該攻擊終端與各個計算設備之間的端口資訊,即,五元組資訊。
具體的,城域設備檢測以該攻擊終端的地址為目標地址,在預設時間內與該目標地址通信次數大於預設安全值的源地址,如表2所示,表2為在一次攻擊發生前在城域網出口捕獲到的發送攻擊報文的攻擊終端跟各個計算設備建立通信的五元組資訊。其中,本發明實施例中的源地址和目標地址以IP地址為例。
其中,如表2所示,若城域設備在接收防控指令之前,檢測到在短時間內表2中的一個源IP存在與目標IP一直存在通信,且端口固定,則可以確定該源IP為發起整個網路攻擊的初始終端的IP。這裡短時間可以為在預設的通信週期內,其中,該通信週期可以依據實際通信環境決定。
Step2,將通信次數大於預設安全值的源地址對應的計算設備,作為初始終端。
基於步驟Step1中對預設時間內檢測到的源地址,本發明上述Step2中,由於若發起一場網路攻擊,初始終端需要與發送攻擊報文的攻擊終端頻繁通信,以告知該攻擊終端攻擊指令,進而通過將短時間內通信次數大於安全至的源地址對應的計算設備作為初始終端,即,完成了對初始終端的定位。
進一步地,可選的,在防控指令還包括攻擊特徵的情況下,步驟S510中通過預設方式控制初始終端包括:
Step1,獲取初始終端的設備類型;基於步驟S508中得到的初始終端,本發明上述步驟Step1中,由於城域設備側配置有清洗系統以及流量檢測系統,城域設備獲取初始終端的設備類型。
Step2,在攻擊特徵為預設的單位時間內攻擊報文由地址資訊對伺服器的流量衝擊方式的情況下,依據攻擊特徵和設備類型在預設資料庫中匹配對應的防控策略。
基於步驟Step1中獲取的設備類型,本發明上述步驟 Step2中,城域設備依據預先配置的清洗系統,根據攻擊特徵和設備類型,由清洗系統(即,本發明中的預設資料庫)匹配對應該初始終端的防控策略。
Step3,中斷攻擊終端與初始終端之間的通信鏈路;本發明上述步驟Step3中,城域設備將中斷發送攻擊報文的攻擊終端與初始終端之間的通信連接,從而達到令由多個攻擊終端組成的攻擊網路與攻擊源頭的初始終端斷絕通信連接的效果,由於攻擊網路與攻擊源頭斷絕了通信連接,由此攻擊網路將無法繼續接收初始終端發送的攻擊指令,進而攻擊網路將在執行攻擊行為時癱瘓,從而土崩瓦解,消除了當前DDos攻擊這一現象。
Step4,依據防控策略鎖禁初始終端。
本發明上述步驟Step4中,在中斷攻擊終端與初始終端之間的通信鏈路的同時,可以通過鎖禁初始終端,具體的,通過封禁初始終端的IP地址,使該IP地址成為無效地址,進而斷絕初始終端與任一攻擊終端的通信可能。
需要說明的是,結合實施例1和實施例2,通過伺服器側和城域設備側兩側合作協同防禦,避免了相關技術中伺服器只能被動防禦的現狀,進而在本發明實施例提供的網路攻擊的防控方法下,伺服器和城域設備主動對網路攻擊進行安全控制,提升了防禦效率。具體的,本發明提出了一種防禦架構,如圖7所示,圖7是根據本發明實施例提供的網路攻擊的防控系統的結構示意圖。圖7中,每個城域往出口均配置有清洗系統,以使得該清洗系統與城域 網出口的路由器建立BGP鄰居關係,且,每個城域網均配置流量檢測系統,其中,城域網將出口路由器的流量資訊均發送到流量檢測系統,以使得在網路攻擊發生時,能夠有效根據端口資訊(即,五元組)檢測出初始終端。
結合圖7,基於實施例1和實施例2,圖8是根據本發明實施例提供的網路攻擊的防控系統執行防控方法的流程示意圖,如圖8所示,該網路攻擊的防控系統的處理流程具體如下:首先,在伺服器側,當檢測到DDos攻擊時,啟動清洗,協同聯動城域設備(即,防控指令的下達);其次,城域設備側獲取五元組(源地址、源端口、目標地址、目標端口和協議類型);第三,城域設備側執行反向溯源分析,提交IP通信的關聯IP、關聯區域、可疑機器以及可以操作者(即,本發明實施例中提到的攻擊終端和初始終端);第四,定位發起整個DDos攻擊的初始終端,執行防控策略。
本發明實施例提供的網路攻擊的防控方法中,以DDos攻擊為例進行說明,在執行DDos攻擊的過程中,由發送攻擊報文的攻擊終端組成的僵屍網路,為危害伺服器側的主要攻擊源頭,其中,僵屍網路的檢測和清除是解決運營商面臨的DOS、DDOS攻擊的源頭防禦方案,本發明實施例提供的網路攻擊的防控方法解決了僵屍網路的問題,運營商受DOS和DDOS攻擊的威脅將得到最大程度 的降低,在上述通信架構下,DDOS解決方案從只是被動的檢測、封堵、清洗等,到一個源頭解決方案的過渡。本發明實施例提供的網路攻擊的防控方法可以為以後作為DDOS的源頭解決方案真正解決運營商網路的DDOS攻擊問題。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬於較佳實施例,所涉及的動作和模組並不一定是本發明所必須的。
通過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的網路攻擊的防控方法可借助軟體加必需的通用硬體平台的方式來實現,當然也可以通過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,計算機,伺服器,或者網路設備等)執行本發明各個實施例所述的方法。
實施例3
根據本發明實施例,還提供了一種用於實施上述方法實施例的網路攻擊的防控裝置實施例,本發明上述實施例所提供的裝置可以在伺服器上運行。
圖9是根據本發明實施例三的網路攻擊的防控裝置的結構示意圖。
如圖9所示,該網路攻擊的防控裝置包括:解析模組92、定位模組94和發送模組96。
其中,解析模組92,用於當檢測到網路攻擊時,解析攻擊報文,其中,攻擊報文包含:地址資訊;定位模組94,用於依據地址資訊定位第一網關設備;發送模組96,用於向第一網關設備發送防控指令,其中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制。
由上可知,本發明上述實施例三所提供的方案,通過當檢測到網路攻擊時,解析攻擊報文,其中,攻擊報文包含:地址資訊;依據地址資訊定位第一網關設備;向第一網關設備發送防控指令,其中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制,達到了伺服器和網關設備主動對網路攻擊進行安全控制的目的,從而實現了提升防禦效率的技術效果,進而解決了由於相關技術中缺少對網路攻擊進行監控和反制的技術,導致目標伺服器在遭受攻擊時被動防禦,從而導致防禦效率低的技術問題。
此處需要說明的是,上述解析模組92、定位模組94 和發送模組96對應於實施例一中的步驟S202至步驟S206,三個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例一所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例一提供的伺服器10中,可以通過軟體實現,也可以通過硬體實現。
可選的,圖10是根據本發明實施例三的一種網路攻擊的防控裝置的結構示意圖,如圖10所示,解析模組92包括:採集單元921、解析單元922和獲取單元923。
其中,採集單元921,用於在預設的單位時間內,採集攻擊報文;解析單元922,用於解析攻擊報文,得到攻擊報文的地址資訊和流量資訊;獲取單元923,用於依據流量資訊和地址資訊得到攻擊報文的攻擊特徵,其中,攻擊特徵為在預設的單位時間內攻擊報文由地址資訊對伺服器的流量衝擊方式。
此處需要說明的是,上述採集單元921、解析單元922和獲取單元923對應於實施例一中的步驟S202的Step1至Step3,三個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例一所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例一提供的伺服器10中,可以通過軟體實現,也可以通過硬體實現。
進一步地,可選的,圖11是根據本發明實施例三的另一種網路攻擊的防控裝置的結構示意圖,如圖11所 示,定位模組94包括:資訊解析單元941、定位單元942和查詢單元943。
其中,資訊解析單元941,用於解析地址資訊,得到攻擊報文的源地址;定位單元942,用於在預先設置的資料庫中匹配源地址對應的位置,得到攻擊報文所屬的位置;查詢單元943,用於在資料庫中查詢位置對應的網關設備,得到攻擊報文所屬的位置對應的第一網關設備。
此處需要說明的是,上述資訊解析單元941、定位單元942和查詢單元943對應於實施例一中的步驟S204的Step1至Step3,三個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例一所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例一提供的伺服器10中,可以通過軟體實現,也可以通過硬體實現。
進一步地,可選的,圖12是根據本發明實施例三的又一種網路攻擊的防控裝置的結構示意圖,如圖12所示,發送模組96包括:指令產生單元961和發送單元962。
其中,指令產生單元961,用於依據攻擊特徵產生防控指令;發送單元962,用於將防控指令發送至第一網關設備。
此處需要說明的是,上述指令產生單元961和發送單元962對應於實施例一中的步驟S206的Step1和Step2,兩個模組與對應的步驟所實現的示例和應用場景相同,但 不限於上述實施例一所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例一提供的伺服器10中,可以通過軟體實現,也可以通過硬體實現。
本發明實施例提供的網路攻擊的防控裝置中,區別於相關技術中在伺服器側的被動防禦,本發明實施例提供了一種防控網路,除在伺服器側配置清洗系統,在城域設備側,同樣配置清洗系統,以達到當伺服器側檢測到網路攻擊時,通過定位到攻擊報文的發起終端所屬的城市,協同該城市的城域設備,依據攻擊報文的攻擊資訊進行溯源篩選得到整個攻擊流程的源頭,即,整個網路攻擊的發起終端,通過城域設備的清洗系統對發起終端執行安全控制,達到消除由該發起終端組成的攻擊網路,杜絕該發起終端再次發起的網路攻擊,區別於相關技術中盡在伺服器側的被動防禦,本發明實施例提供的網路攻擊的防控方法,伺服器側除了常規防控外,還通過主動獲取攻擊報文源IP,並進行定位,協同該源IP所屬位置的城域設備,達到主動防禦的效果,提升了伺服器側在面對網路攻擊時的防禦效率。
實施例4
根據本發明實施例,還提供了一種用於實施上述方法實施例的網路攻擊的防控裝置實施例,本發明上述實施例所提供的裝置可以在城域設備上運行。
圖13是根據本發明實施例四的網路攻擊的防控裝置 的結構示意圖。
如圖13所示,該網路攻擊的防控裝置包括:接收模組1302、查詢模組1304、獲取模組1306、篩選模組1308和防控模組1310。
其中,接收模組1302,用於接收防控指令,其中,防控指令包括:被攻擊伺服器接收到的攻擊報文的地址資訊;查詢模組1304,用於依據地址資訊查詢得到發送攻擊報文的攻擊終端;獲取模組1306,用於獲取攻擊終端的端口資訊,並依據端口資訊得到與攻擊終端存在通信連接的計算設備;篩選模組1308,用於依據端口資訊,篩選與攻擊終端存在通信連接的計算設備,得到發起攻擊報文的初始終端,其中,攻擊終端依據初始終端的控制指令發送攻擊報文;防控模組1310,用於通過預設方式控制初始終端。
由上可知,本發明上述實施例四所提供的方案,通過接收防控指令,其中,防控指令包括:被攻擊伺服器接收到的攻擊報文的地址資訊;依據地址資訊查詢得到發送攻擊報文的攻擊終端;獲取攻擊終端的端口資訊,並依據端口資訊得到與攻擊終端存在通信連接的計算設備;依據端口資訊,篩選與攻擊終端存在通信連接的計算設備,得到發起攻擊報文的初始終端,其中,攻擊終端依據初始終端的控制指令發送攻擊報文;通過預設方式控制初始終端。達到了伺服器和網關設備主動對網路攻擊進行安全控制的目的,從而實現了提升防禦效率的技術效果,進而解決了 由於相關技術中缺少對網路攻擊進行監控和反制的技術,導致目標伺服器在遭受攻擊時被動防禦,從而導致防禦效率低的技術問題。
此處需要說明的是,上述接收模組1302、查詢模組1304、獲取模組1306、篩選模組1308和防控模組1310對應於實施例二中的步驟S502至步驟S510,五個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例二所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例二提供的城域設備中,可以通過軟體實現,也可以通過硬體實現。
可選的,圖14是根據本發明實施例四的一種網路攻擊的防控裝置的結構示意圖,如圖14所示,獲取模組1306包括:查詢單元13061。
其中,查詢單元13061,用於依據端口資訊查詢在接收防控指令之前與攻擊終端通信的計算設備。
此處需要說明的是,上述查詢單元13061對應於實施例二中的步驟S506中的Step1,該模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例二所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例二提供的城域設備中,可以通過軟體實現,也可以通過硬體實現。
可選的,圖15是根據本發明實施例四的另一種網路攻擊的防控裝置的結構示意圖,如圖15所示,篩選模組1308包括:檢測單元13081和篩選單元13082。
其中,檢測單元13081,用於在端口資訊包括:源地址、目標地址、源端口、目標端口和協議類型的情況下,將攻擊終端的地址作為目標地址,並檢測在預設時間內與目標地址通信次數大於預設安全值的源地址;篩選單元13082,用於將通信次數大於預設安全值的源地址對應的計算設備,作為初始終端。
此處需要說明的是,上述檢測單元13081和篩選單元13082對應於實施例二中的步驟S508中的Step1和Step2,兩個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例二所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例二提供的城域設備中,可以通過軟體實現,也可以通過硬體實現。
進一步地,可選的,圖16是根據本發明實施例四的又一種網路攻擊的防控裝置的結構示意圖,如圖16所示,防控模組1310包括:類型獲取單元13101、匹配單元13102、執行單元13103和鎖禁單元13104。
其中,類型獲取單元13101,用於獲取初始終端的設備類型;匹配單元13102,用於在攻擊特徵為預設的單位時間內攻擊報文由地址資訊對伺服器的流量衝擊方式的情況下,依據攻擊特徵和設備類型在預設資料庫中匹配對應的防控策略;執行單元13103,用於中斷攻擊終端與初始終端之間的通信鏈路;鎖禁單元13104,用於依據防控策略鎖禁初始終端。
此處需要說明的是,上述類型獲取單元13101、匹配單元13102、執行單元13103和鎖禁單元13104對應於實施例二中的步驟S510中的Step1至Step4,四個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例二所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例二提供的城域設備中,可以通過軟體實現,也可以通過硬體實現。
本發明實施例提供的網路攻擊的防控裝置中,以DDos攻擊為例進行說明,在執行DDos攻擊的過程中,由發送攻擊報文的終端組成的僵屍網路,為危害伺服器側的主要攻擊源頭,其中,僵屍網路的檢測和清除是解決運營商面臨的DOS、DDOS攻擊的源頭防禦方案,本發明實施例提供的網路攻擊的防控方法解決了僵屍網路的問題,運營商受DOS和DDOS攻擊的威脅將得到最大程度的降低,在上述通信架構下,DDOS解決方案從只是被動的檢測、封堵、清洗等,到一個源頭解決方案的過渡。本發明實施例提供的網路攻擊的防控方法可以為以後作為DDOS的源頭解決方案真正解決運營商網路的DDOS攻擊問題。
實施例5
根據本發明實施例,還提供了一種用於實施上述網路攻擊的防控方法實施例的系統實施例,圖17是本發明實施例五的網路攻擊的防控系統的結構示意圖。
如圖17所示,該網路攻擊的防控系統包括:伺服器 1702和城域設備1704,伺服器1702與城域設備1704通信連接,其中,伺服器1702為上述圖9至圖12中的任一項的網路攻擊的防控裝置;城域設備1704為上述圖13至圖16中的任一項的網路攻擊的防控裝置。
實施例6
本發明的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例一所提供的網路攻擊的防控方法所執行的程式代碼。
可選地,在本實施例中,上述儲存媒體可以位於計算機網路中計算機終端群中的任意一個計算機終端中,或者位於行動終端群中的任意一個行動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式代碼:當檢測到網路攻擊時,解析攻擊報文的攻擊報文,其中,攻擊報文包含:地址資訊;依據地址資訊定位第一網關設備;向第一網關設備發送防控指令,其中,防控指令用於指示第一網關設備對攻擊報文所屬的終端執行安全控制。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式代碼:在預設的單位時間內,採集攻擊報文;解析攻擊報文,得到攻擊報文的地址資訊和流量資訊;依據流量資訊和地址資訊得到攻擊報文的攻擊特徵,其中,攻擊特徵為在預設的單位時間內攻擊報文由地址資訊對伺服器的流量衝擊方式。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式代碼:解析地址資訊,得到攻擊報文的源地址;在預先設置的資料庫中匹配源地址對應的位置,得到攻擊報文所屬的位置;在資料庫中查詢位置對應的網關設備,得到攻擊報文所屬的位置對應的第一網關設備。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式代碼:依據攻擊特徵產生防控指令;將防控指令發送至第一網關設備。
可選地,在本實施例中,上述儲存媒體可以包括但不限於:U碟、只讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、行動硬碟、磁碟或者光碟等各種可以儲存程式代碼的媒體。
可選地,本實施例中的具體示例可以參考上述實施例1中所描述的示例,本實施例在此不再贅述。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本發明所提供的幾個實施例中,應該理解到,所揭露的技術內容,可通過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分 方式,例如多個單元或組件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個計算機可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台計算機設備(可為個人計算機、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:U碟、唯讀記憶體(ROM,Read- Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、行動硬碟、磁碟或者光碟等各種可以儲存程式代碼的媒體。
以上所述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。

Claims (17)

  1. 一種網路攻擊的防控方法,包括:當檢測到網路攻擊時,解析攻擊報文,其中,所述攻擊報文包含:地址資訊;依據所述地址資訊定位第一網關設備;向所述第一網關設備發送防控指令,其中,所述防控指令用於指示所述第一網關設備對所述攻擊報文所屬的終端執行安全控制。
  2. 根據請求項1所述的方法,其中,所述解析攻擊報文包括:在預設的單位時間內,採集所述攻擊報文;解析所述攻擊報文,得到所述攻擊報文的地址資訊和流量資訊;依據所述流量資訊和所述地址資訊得到所述攻擊報文的攻擊特徵,其中,所述攻擊特徵為在所述預設的單位時間內所述攻擊報文由所述地址資訊對伺服器的流量衝擊方式。
  3. 根據請求項2所述的方法,其中,所述依據所述地址資訊定位第一網關設備包括:解析所述地址資訊,得到所述攻擊報文的源地址;在預先設置的資料庫中匹配所述源地址對應的位置,得到所述攻擊報文所屬的位置;在所述資料庫中查詢所述位置對應的網關設備,得到所述攻擊報文所屬的位置對應的所述第一網關設備。
  4. 根據請求項2所述的方法,其中,所述向所述第一網關設備發送防控指令包括:依據所述攻擊特徵產生防控指令;將所述防控指令發送至所述第一網關設備。
  5. 一種網路攻擊的防控方法,包括:接收防控指令,其中,所述防控指令包括:被攻擊伺服器接收到的攻擊報文的地址資訊;依據所述地址資訊查詢得到發送所述攻擊報文的攻擊終端;獲取所述攻擊終端的端口資訊,並依據所述端口資訊得到與所述攻擊終端存在通信連接的計算設備;依據所述端口資訊,篩選與所述攻擊終端存在通信連接的所述計算設備,得到發起所述攻擊報文的初始終端,其中,所述攻擊終端依據所述初始終端的控制指令發送所述攻擊報文;通過預設方式控制所述初始終端。
  6. 根據請求項5所述的方法,其中,所述依據所述端口資訊得到與所述攻擊終端存在通信連接的計算設備包括:依據所述端口資訊查詢在接收所述防控指令之前與所述攻擊終端通信的計算設備。
  7. 根據請求項6所述的方法,其中,所述依據所述端口資訊,篩選與所述攻擊終端存在通信連接的所述計算設備,得到發起所述攻擊報文的初始終端包括: 在所述端口資訊包括:源地址、目標地址、源端口、目標端口和協議類型的情況下,將所述攻擊終端的地址作為所述目標地址,並檢測在預設時間內與所述目標地址通信次數大於預設安全值的源地址;將所述通信次數大於所述預設安全值的源地址對應的所述計算設備,作為所述初始終端。
  8. 根據請求項7所述的方法,其中,在所述防控指令還包括攻擊特徵的情況下,所述通過預設方式控制所述初始終端包括:獲取所述初始終端的設備類型;在所述攻擊特徵為預設的單位時間內所述攻擊報文由所述地址資訊對伺服器的流量衝擊方式的情況下,依據所述攻擊特徵和所述設備類型在預設資料庫中匹配對應的防控策略;中斷所述攻擊終端與所述初始終端之間的通信鏈路;依據所述防控策略鎖禁所述初始終端。
  9. 一種網路攻擊的防控裝置,包括:解析模組,用於當檢測到網路攻擊時,解析攻擊報文,其中,所述攻擊報文包含:地址資訊;定位模組,用於依據所述地址資訊定位第一網關設備;發送模組,用於向所述第一網關設備發送防控指令,其中,所述防控指令用於指示所述第一網關設備對所述攻擊報文所屬的終端執行安全控制。
  10. 根據請求項9所述的防控裝置,其中,所述解析模組包括:採集單元,用於在預設的單位時間內,採集所述攻擊報文;解析單元,用於解析所述攻擊報文,得到所述攻擊報文的地址資訊和流量資訊;獲取單元,用於依據所述流量資訊和所述地址資訊得到所述攻擊報文的攻擊特徵,其中,所述攻擊特徵為在所述預設的單位時間內所述攻擊報文由所述地址資訊對伺服器的流量衝擊方式。
  11. 根據請求項10所述的防控裝置,其中,所述定位模組包括:資訊解析單元,用於解析所述地址資訊,得到所述攻擊報文的源地址;定位單元,用於在預先設置的資料庫中匹配所述源地址對應的位置,得到所述攻擊報文所屬的位置;查詢單元,用於在所述資料庫中查詢所述位置對應的網關設備,得到所述攻擊報文所屬的位置對應的所述第一網關設備。
  12. 根據請求項10所述的防控裝置,其中,所述發送模組包括:指令產生單元,用於依據所述攻擊特徵產生防控指令;發送單元,用於將所述防控指令發送至所述第一網關 設備。
  13. 一種網路攻擊的防控裝置,包括:接收模組,用於接收防控指令,其中,所述防控指令包括:被攻擊伺服器接收到的攻擊報文的地址資訊;查詢模組,用於依據所述地址資訊查詢得到發送所述攻擊報文的攻擊終端;獲取模組,用於獲取所述攻擊終端的端口資訊,並依據所述端口資訊得到與所述攻擊終端存在通信連接的計算設備;篩選模組,用於依據所述端口資訊,篩選與所述攻擊終端存在通信連接的所述計算設備,得到發起所述攻擊報文的初始終端,其中,所述攻擊終端依據所述初始終端的控制指令發送所述攻擊報文;防控模組,用於通過預設方式控制所述初始終端。
  14. 根據請求項13所述的防控裝置,其中,所述獲取模組包括:查詢單元,用於依據所述端口資訊查詢在接收所述防控指令之前與所述攻擊終端通信的計算設備。
  15. 根據請求項14所述的防控裝置,其中,所述篩選模組包括:檢測單元,用於在所述端口資訊包括:源地址、目標地址、源端口、目標端口和協議類型的情況下,將所述攻擊終端的地址作為所述目標地址,並檢測在預設時間內與所述目標地址通信次數大於預設安全值的源地址; 篩選單元,用於將所述通信次數大於所述預設安全值的源地址對應的所述計算設備,作為所述初始終端。
  16. 根據請求項15所述的防控裝置,其中,所述防控模組包括:類型獲取單元,用於在所述防控指令還包括攻擊特徵的情況下,獲取所述初始終端的設備類型;匹配單元,用於在所述攻擊特徵為預設的單位時間內所述攻擊報文由所述地址資訊對伺服器的流量衝擊方式的情況下,依據所述攻擊特徵和所述設備類型在預設資料庫中匹配對應的防控策略;執行單元,用於中斷所述攻擊終端與所述初始終端之間的通信鏈路;鎖禁單元,用於依據所述防控策略鎖禁所述初始終端。
  17. 一種網路攻擊的防控系統,包括:伺服器和城域設備,所述伺服器與所述城域設備通信連接,其中,所述伺服器為請求項9至12中的任一項所述的網路攻擊的防控裝置;所述城域設備為請求項13至16中的任一項所述的網路攻擊的防控裝置。
TW106104299A 2016-02-29 2017-02-09 網路攻擊的防控方法、裝置及系統 TW201738796A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610112465.5A CN107135187A (zh) 2016-02-29 2016-02-29 网络攻击的防控方法、装置及系统

Publications (1)

Publication Number Publication Date
TW201738796A true TW201738796A (zh) 2017-11-01

Family

ID=59721222

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106104299A TW201738796A (zh) 2016-02-29 2017-02-09 網路攻擊的防控方法、裝置及系統

Country Status (4)

Country Link
US (1) US20180367566A1 (zh)
CN (1) CN107135187A (zh)
TW (1) TW201738796A (zh)
WO (1) WO2017148263A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI644228B (zh) * 2017-12-25 2018-12-11 中華電信股份有限公司 伺服器及其監控方法
TWI672605B (zh) * 2017-11-29 2019-09-21 財團法人資訊工業策進會 應用層行為辨識系統與方法
TWI769748B (zh) * 2021-03-22 2022-07-01 廣達電腦股份有限公司 偵測駭客攻擊的方法及電腦程式產品

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109962903B (zh) * 2017-12-26 2022-01-28 中移(杭州)信息技术有限公司 一种家庭网关安全监控方法、装置、系统和介质
CN109995714B (zh) * 2017-12-29 2021-10-29 中移(杭州)信息技术有限公司 一种处置流量的方法、装置和系统
CN108234484B (zh) * 2017-12-30 2021-01-19 广东世纪网通信设备股份有限公司 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统
CN108200088B (zh) * 2018-02-02 2020-11-06 杭州迪普科技股份有限公司 一种网络流量的攻击防护处理方法及装置
CN110391988B (zh) * 2018-04-16 2023-05-02 阿里巴巴集团控股有限公司 网络流量控制方法、系统及安全防护装置
CN109255243B (zh) * 2018-09-28 2022-06-21 深信服科技股份有限公司 一种终端内潜在威胁的修复方法、系统、装置及存储介质
CN109981573B (zh) * 2019-02-20 2021-09-10 新华三信息安全技术有限公司 安全事件响应方法及装置
CN109617932B (zh) * 2019-02-21 2021-07-06 北京百度网讯科技有限公司 用于处理数据的方法和装置
US10951649B2 (en) * 2019-04-09 2021-03-16 Arbor Networks, Inc. Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content
CN110324334B (zh) * 2019-06-28 2023-04-07 深圳前海微众银行股份有限公司 安全组策略管理方法、装置、设备及计算机可读存储介质
CN110445770B (zh) * 2019-07-18 2022-07-22 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN110505243A (zh) * 2019-09-18 2019-11-26 浙江大华技术股份有限公司 网络攻击的处理方法及装置、存储介质、电子装置
CN110764969A (zh) * 2019-10-25 2020-02-07 新华三信息安全技术有限公司 网络攻击溯源方法及装置
CN110798404A (zh) * 2019-11-14 2020-02-14 北京首都在线科技股份有限公司 攻击数据的清洗方法、装置、设备、存储介质和系统
CN111079137A (zh) * 2019-11-19 2020-04-28 泰康保险集团股份有限公司 一种防病毒处理方法和装置
CN111193724B (zh) * 2019-12-18 2021-08-17 腾讯科技(深圳)有限公司 鉴权方法、装置、服务器及存储介质
CN111212063A (zh) * 2019-12-31 2020-05-29 北京安码科技有限公司 一种基于网关远程控制攻击反制方法
CN111343176B (zh) * 2020-01-16 2022-05-27 郑州昂视信息科技有限公司 一种网络攻击的反制装置、方法、存储介质及计算机设备
CN113497786B (zh) * 2020-03-20 2023-05-09 腾讯科技(深圳)有限公司 一种取证溯源方法、装置以及存储介质
CN111641951B (zh) * 2020-04-30 2023-10-24 中国移动通信集团有限公司 一种基于sa架构的5g网络apt攻击溯源方法及系统
CN111565205B (zh) * 2020-07-16 2020-10-23 腾讯科技(深圳)有限公司 网络攻击识别方法、装置、计算机设备和存储介质
CN111885046B (zh) * 2020-07-21 2021-04-30 广州锦行网络科技有限公司 一种基于Linux的透明内网访问方法及装置
CN111865724B (zh) * 2020-07-28 2022-02-08 公安部第三研究所 视频监控设备信息采集控制实现方法
CN111970256A (zh) * 2020-07-31 2020-11-20 深圳市研锐智能科技有限公司 智能隔离与信息交换网闸系统
CN114079576B (zh) * 2020-08-18 2024-06-11 奇安信科技集团股份有限公司 安全防御方法、装置、电子设备及介质
CN112615863A (zh) * 2020-12-18 2021-04-06 成都知道创宇信息技术有限公司 反制攻击主机的方法、装置、服务器及存储介质
CN112751864B (zh) * 2020-12-30 2023-04-07 招联消费金融有限公司 网络攻击反制系统、方法、装置和计算机设备
CN113452692A (zh) * 2021-06-24 2021-09-28 北京卫达信息技术有限公司 一种防御网络攻击的方法
CN113472772B (zh) * 2021-06-29 2023-05-16 深信服科技股份有限公司 网络攻击的检测方法、装置、电子设备及存储介质
CN113627744B (zh) * 2021-07-21 2024-02-09 南方医科大学第七附属医院(佛山市南海区第三人民医院) 新发重大传染病社区防控信息管理系统、方法和存储介质
CN113596044B (zh) * 2021-08-03 2023-04-25 北京恒安嘉新安全技术有限公司 一种网络防护方法、装置、电子设备及存储介质
CN113553590B (zh) * 2021-08-12 2022-03-29 广州锦行网络科技有限公司 一种蜜罐防止攻击者逃逸的方法
CN113626808B (zh) * 2021-08-13 2022-06-28 北京丁牛科技有限公司 一种攻击溯源方法及装置
CN113676472B (zh) * 2021-08-18 2023-05-02 国网湖南省电力有限公司 电力行业可扩展式蜜罐溯源反制方法
CN114124540B (zh) * 2021-11-25 2023-12-29 中国工商银行股份有限公司 Ips封禁方法及装置
CN114567615B (zh) * 2022-02-28 2024-08-02 天翼安全科技有限公司 一种网络攻击溯源定位方法、装置、设备和介质
CN115484059A (zh) * 2022-08-09 2022-12-16 中汽创智科技有限公司 车载总线报文处理方法、装置、车载终端及存储介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7409714B2 (en) * 2001-06-13 2008-08-05 Mcafee, Inc. Virtual intrusion detection system and method of using same
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
CN102045327B (zh) * 2009-10-09 2013-11-27 杭州华三通信技术有限公司 防范cc攻击的方法和设备
CN102045302A (zh) * 2009-10-10 2011-05-04 中兴通讯股份有限公司 网络攻击的防范方法、业务控制节点及接入节点
CN102111394B (zh) * 2009-12-28 2015-03-11 华为数字技术(成都)有限公司 网络攻击防护方法、设备及系统
CN101834875B (zh) * 2010-05-27 2012-08-22 华为技术有限公司 防御DDoS攻击的方法、装置和系统
CN103685318B (zh) * 2013-12-31 2017-09-12 山石网科通信技术有限公司 用于网络安全防护的数据处理方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI672605B (zh) * 2017-11-29 2019-09-21 財團法人資訊工業策進會 應用層行為辨識系統與方法
US10630701B2 (en) 2017-11-29 2020-04-21 Institute For Information Industry System and method for identifying application layer behavior
TWI644228B (zh) * 2017-12-25 2018-12-11 中華電信股份有限公司 伺服器及其監控方法
TWI769748B (zh) * 2021-03-22 2022-07-01 廣達電腦股份有限公司 偵測駭客攻擊的方法及電腦程式產品

Also Published As

Publication number Publication date
US20180367566A1 (en) 2018-12-20
CN107135187A (zh) 2017-09-05
WO2017148263A1 (zh) 2017-09-08

Similar Documents

Publication Publication Date Title
TW201738796A (zh) 網路攻擊的防控方法、裝置及系統
Fahana et al. Pemanfaatan Telegram Sebagai Notifikasi Serangan untuk Keperluan Forensik Jaringan
Deshmukh et al. Understanding DDoS attack & its effect in cloud environment
Hoque et al. Network attacks: Taxonomy, tools and systems
Long et al. Trends in denial of service attack technology
Wang et al. Honeypot detection in advanced botnet attacks
WO2019179375A1 (zh) 一种防御网络攻击的方法及装置
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US20150215285A1 (en) Network traffic processing system
US20060282893A1 (en) Network information security zone joint defense system
WO2008079990A2 (en) Proactive worm containment (pwc) for enterprise networks
Zang et al. Botnet detection through fine flow classification
CA2545753A1 (en) Method and apparatus for identifying and disabling worms in communication networks
Arukonda et al. The innocent perpetrators: reflectors and reflection attacks
Saad et al. A study on detecting ICMPv6 flooding attack based on IDS
Nayak et al. Depth analysis on DoS & DDoS attacks
Govil et al. Criminology of botnets and their detection and defense methods
De Donno et al. A taxonomy of distributed denial of service attacks
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Patel et al. A Snort-based secure edge router for smart home
Goncalves et al. WIDIP: Wireless distributed IPS for DDoS attacks
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
Nelle et al. Securing IPv6 neighbor discovery and SLAAC in access networks through SDN
Qinquan et al. Research on network attack and detection methods