TW201828147A - 電文清理方法及裝置 - Google Patents

電文清理方法及裝置 Download PDF

Info

Publication number
TW201828147A
TW201828147A TW106102730A TW106102730A TW201828147A TW 201828147 A TW201828147 A TW 201828147A TW 106102730 A TW106102730 A TW 106102730A TW 106102730 A TW106102730 A TW 106102730A TW 201828147 A TW201828147 A TW 201828147A
Authority
TW
Taiwan
Prior art keywords
message
attack
type
attack type
cleaned
Prior art date
Application number
TW106102730A
Other languages
English (en)
Other versions
TWI784938B (zh
Inventor
何衛斌
Original Assignee
阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 阿里巴巴集團服務有限公司 filed Critical 阿里巴巴集團服務有限公司
Priority to TW106102730A priority Critical patent/TWI784938B/zh
Publication of TW201828147A publication Critical patent/TW201828147A/zh
Application granted granted Critical
Publication of TWI784938B publication Critical patent/TWI784938B/zh

Links

Landscapes

  • Debugging And Monitoring (AREA)
  • Forklifts And Lifting Vehicles (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申請公開了一種電文清理方法及裝置。其中,該方法包括:獲取待清理電文的電文類型以及目的位址;根據所述電文類型,從預設的配置文件中獲取與所述電文類型對應的第一攻擊類型集合,並根據所述目的位址獲取第二攻擊類型集合,其中,所述第二攻擊類型集合包含所述目的位址所指向的設備在預設時間段內受到的攻擊類型;根據所述第一攻擊類型集合和所述第二攻擊類型集合,生成對應於所述待清理電文的清理策略鏈;依據所述清理策略鏈,清理所述待清理電文。本申請解決了由於策略是事先配置好的造成的清理設備的清理效率較低的技術問題。

Description

電文清理方法及裝置
本申請涉及網路安全領域,具體而言,涉及一種電文清理方法及裝置。
在遭遇電文攻擊時,一般會將流量牽引至專門的清理設備,對攻擊電文進行過濾。清理設備的一般處理過程是這樣的:電文從入方向進來,根據該電文目的IP,查詢得到針對此目的IP的策略。根據策略,可以對電文做出“接受”、“通過”或者“丟棄”的決定。
對目前的技術而言,對於某一種特定的攻擊類型,會有一個或者多個對應的策略,清理設備只需要機械地執行這些策略即可。在一般的工程實踐中,策略是事先配置好的,即,針對某個被保護的IP,預測其可能遭受的攻擊類型,然後把所有對應的策略都加入策略鏈。
然而,這會帶來這樣的問題:電文會進入一些完全不需要進入的策略,造成誤清理,降低清理設備的清理效率。
針對上述的問題,目前尚未提出有效的解決方案。
本申請實施例提供了一種電文清理方法及裝置,以至少解決由於策略是事先配置好的造成的清理設備的清理效率較低的技術問題。
根據本申請實施例的一個方面,提供了一種電文清理方法,包括:獲取待清理電文的電文類型以及目的位址;根據所述電文類型,從預設的配置文件中獲取與所述電文類型對應的第一攻擊類型集合,並根據所述目的位址獲取第二攻擊類型集合,其中,所述第二攻擊類型集合包含所述目的位址所指向的設備在預設時間段內受到的攻擊類型;根據所述第一攻擊類型集合和所述第二攻擊類型集合,生成對應於所述待清理電文的清理策略鏈;依據所述清理策略鏈,清理所述待清理電文。
根據本申請實施例的另一方面,還提供了一種電文清理裝置,包括:第一獲取單元,用於獲取待清理電文的電文類型以及目的位址;第二獲取單元,用於根據所述電文類型,從預設的配置文件中獲取與所述電文類型對應的第一攻擊類型集合,並根據所述目的位址獲取第二攻擊類型集合,其中,所述第二攻擊類型集合包含所述目的位址所指向的設備在預設時間段內受到的攻擊類型;生成單元,用於根據所述第一攻擊類型集合和所述第二攻擊類型集合,生成對應於所述待清理電文的清理策略鏈;清理單元,用於依據所述清理策略鏈,清理所述待清理電文。
在本申請實施例中,採用獲取待清理電文的電文類型以及目的位址;根據電文類型,從預設的配置文件中獲取與電文類型對應的第一攻擊類型集合,並根據目的位址獲取第二攻擊類型集合,其中,第二攻擊類型集合包含目的位址所指向的設備在預設時間段內受到的攻擊類型;根據第一攻擊類型集合和第二攻擊類型集合,生成對應於待清理電文的清理策略鏈;依據清理策略鏈,清理待清理電文的方式,透過基於待清理電文的電文類型以及目的位址得到一條對應於待清理電文的動態的清理策略鏈,達到了有針對性地進行電文清理的目的,從而實現了提高電文清理效率的技術效果,進而解決了由於策略是事先配置好的造成的清理設備的清理效率較低的技術問題。
10‧‧‧計算機終端
102‧‧‧處理器
104‧‧‧儲存器
106‧‧‧傳輸裝置
302‧‧‧第一獲取單元
304‧‧‧第二獲取單元
306‧‧‧生成單元
308‧‧‧清理單元
402‧‧‧計算模組
404‧‧‧生成模組
502‧‧‧發送單元
602‧‧‧解析模組
604‧‧‧提取模組
702‧‧‧處理器
704‧‧‧儲存器
706‧‧‧傳輸裝置
此處所說明的附圖用來提供對本申請的進一步理解,構成本申請的一部分,本申請的示意性實施例及其說明用於解釋本申請,並不構成對本申請的不當限定。在附圖中:圖1是根據本申請實施例的一種運行電文清理方法的計算機終端的硬體結構方塊圖;圖2是根據本申請實施例的一種可選的電文清理方法的流程示意圖;圖3是根據本申請實施例的一種可選的電文清理裝置的結構示意圖; 圖4是根據本申請實施例的一種可選的生成單元的結構示意圖;圖5是根據本申請實施例的另一種可選的電文清理裝置的結構示意圖;圖6是根據本申請實施例的一種可選的第一獲取單元的結構示意圖;圖7是根據本申請實施例的一種計算機終端的結構方塊圖。
為了使本技術領域的人員更好地理解本申請方案,下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本申請一部分的實施例,而不是全部的實施例。基於本申請中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本申請保護的範圍。
需要說明的是,本申請的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資訊在適當情況下可以互換,以便這裏描述的本申請的實施例能夠以除了在這裏圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或 單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
實施例1
根據本申請實施例,還提供了一種電文清理方法的方法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
本申請實施例一所提供的方法實施例可以在行動終端、計算機終端或者類似的運算裝置中執行。以運行在計算機終端上為例,圖1是本申請實施例的一種電文清理方法的計算機終端的硬體結構方塊圖。如圖1所示,計算機終端10可以包括一個或多個(圖中僅示出一個)處理器102(處理器102可以包括但不限於微處理器MCU或可編程邏輯器件FPGA等的處理裝置)、用於儲存資訊的儲存器104、以及用於通訊功能的傳輸裝置106。本領域普通技術人員可以理解,圖1所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,計算機終端10還可包括比圖1中所示更多或者更少的組件,或者具有與圖1所示不同的配置。
儲存器104可用于儲存應用軟體的軟體程式以及模組,如本申請實施例中的電文清理方法對應的程式指令/ 模組,處理器102透過運行儲存在儲存器104內的軟體程式以及模組,從而執行各種功能應用以及資訊處理,即實現上述的電文清理方法。儲存器104可包括高速隨機記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃內存記憶體、或者其他非揮發性固態記憶體。在一些實例中,儲存器104可進一步包括相對於處理器102遠程設置的儲存器,這些遠程儲存器可以透過網路連接至計算機終端10。上述網路的實例包括但不限於網際網路路、企業內部網、區域網路、行動通訊網及其組合。
傳輸裝置106用於經由一個網路接收或者發送資訊。上述的網路具體實例可包括計算機終端10的通訊供應商提供的無線網路。在一個實例中,傳輸裝置106包括一個網路適配器(Network Interface Controller,NIC),其可透過基站與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸裝置106可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
在上述運行環境下,本申請提供了如圖2所示的電文清理方法。圖2是根據本申請實施例一的電文清理方法的流程圖。
步驟S202,獲取待清理電文的電文類型以及目的位址。
本申請步驟S202中,電文類型包括以下一種或幾種:TCP SYN(Transmission Control Protocol synchronous ,傳輸控制協定同步)電文、傳輸控制協定確認TCP ACK(Transmission Control Protocol acknowledge,傳輸控制協定確認)電文以及傳輸控制協定重置TCP RST(Transmission Control Protocol reset,傳輸控制協定重置)電文。目的位址用於指示所述待清理電文需發送到達的設備。
可選地,步驟S202,獲取待清理電文的電文類型以及目的位址可以包括:
步驟S10,解析待清理電文的報頭。
本申請步驟S10中,為了獲取待清理電文的電文類型和目的位址,首先需要解析出該待清理電文的報頭。
步驟S12,基於電文類型對應的字節的偏移量,從待清理電文中提取電文類型,以及基於目的位址對應的字節的偏移量,從待清理電文中提取目的位址。
本申請步驟S12中,在解析出待清理電文的報頭之後,基於電文類型對應的字節的偏移量,從待清理電文中提取電文類型,以及基於目的位址對應的字節的偏移量,從待清理電文中提取目的位址,其中,電文類型對應的字節的偏移量與目的位址對應的字節的偏移量可以從協定中確定。
步驟S204,根據電文類型,從預設的配置文件中獲取與電文類型對應的第一攻擊類型集合,並根據目的位址獲取第二攻擊類型集合。
本申請步驟S204中,對於進入的每個待清理電文, 分析出待清理電文的電文類型,進而獲取到與電文類型對應的第一攻擊類型集合(記為AttackSet_1)。需要說明的是,每種攻擊類型使用何種電文是確定的,因此,把攻擊類型和電文類型的映射關係整理成一份配置文件,即可以在電文清理時根據待清理電文的電文類型,反向推測出該待清理電文可能造成哪些攻擊。
其中,第一攻擊類型集合包含與電文類型對應的攻擊類型,攻擊類型包括以下一種或幾種:syn電文泛洪攻擊SYN flood、ack電文泛洪攻擊ACK flood、rst電文泛洪攻擊RST flood以及udp電文泛洪攻擊UDP flood。
例如,如表1所示,為上述預設的配置文件,配置文件中包含有電文類型、攻擊類型以及電文類型與攻擊類型的對應關係:
可選地,根據電文類型,從預設的配置文件中獲取與電文類型對應的第一攻擊類型集合可以包括:
步驟S20,從預設的配置文件中,查找電文類型對應的攻擊類型。
本申請步驟S20中,預設的配置文件中包含有電文類 型與攻擊類型之間的對應關係,以待清理電文的電文類型為TCP ACK電文為例,在表1中查找出電文類型為TCP ACK電文對應的攻擊類型ACK flood。
步驟S22,生成包含電文類型對應的攻擊類型的第一攻擊類型集合。
本申請步驟S22中,仍以待清理電文的電文類型為TCP ACK電文為例,基於從表1查找出的攻擊類型ACK flood,生成第一攻擊類型集合,即AttackSet_1={ACK flood}。
進一步地,第二攻擊類型集合包含目的位址所指向的設備在預設時間段內受到的攻擊類型。
例如,對於目的位址所指向的設備,駭客正在實施DDOS攻擊(Distributed Denial of Service,是指攻擊者透過控制大量的僵屍主機,向被攻擊目標發送大量精心構造的攻擊電文,造成被攻擊者所在網路的鏈路擁塞、系統資源耗盡,從而使被攻擊者產生拒絕向正常用戶的請求提供服務的效果),而且駭客同時發動了多種類型的DDOS攻擊,例如有SYN flood、RST flood以及UDP flood,那麼,第二攻擊類型集合(記為AttackSet_2)中就會有{SYN flood,RST flood,UDP flood}。
需要補充的是,第一攻擊類型集合的權重值可以是從電文清理裝置獲取到的,第二攻擊類型集合的權重值可以是預先設置的,也可以不預先設置,而使用預設值,其中,權重值可以用來指示後續生成的清理策略鏈的排列組 成,後續實施例中會進行詳細描述,此處不作贅述。
步驟S206,根據第一攻擊類型集合和第二攻擊類型集合,生成對應於待清理電文的清理策略鏈。
本申請步驟S206中,在獲取到第一攻擊類型集合和第二攻擊類型集合之後,可以根據第一攻擊類型集合和第二攻擊類型集合,生成對應於待清理電文的清理策略鏈。
可選地,步驟S206,根據第一攻擊類型集合和第二攻擊類型集合,生成對應於待清理電文的清理策略鏈可以包括:
步驟S30,計算第一攻擊類型集合與第二攻擊類型集合的交集,得到第三攻擊類型集合。
本申請步驟S30中,第三攻擊類型集合中包含第一攻擊類型集合與第二攻擊類型集合中相同的攻擊類型。
仍以待清理電文的電文類型為TCP ACK電文為例,AttackSet_1={ACK flood},AttackSet_2={SYN flood,RST flood,ACK flood},計算AttackSet_1與AttackSet_2的交集,得到第三攻擊類型集合(記為AttackSet_3)為{ACK flood}。
步驟S32,根據第三攻擊類型集合,生成清理策略鏈。
本申請步驟S32中,在得到第三攻擊類型集合之後,可以基於第三攻擊類型集合中每個攻擊類型的權重值,生成針對於待清理電文的清理策略鏈。
可選地,步驟S32,根據第三攻擊類型集合,生成清 理策略鏈可以包括:
步驟S40,獲取第三攻擊類型集合中各個攻擊類型的權重值。
本申請步驟S40中,權重值可以是用來衡量某個攻擊類型在第一攻擊類型集合和第二攻擊類型集合中所占比例的一個指標。例如,假設造成SYN flood的TCP SYN電文PPS(Packets per Second,資訊包每秒)是10000,造成RST flood的TCP RST電文PPS是5000,造成UDPflood的UDP電文TCP PPS是20000,那麼,SYN flood的權重就是2,RST flood的權重就是1,UDP flood的權重是4。權重值也可以是預先設定的,例如設定第一攻擊類型集合中的ACK flood的權重是3。
步驟S42,按照權重值的大小,對各個攻擊類型進行排序。
步驟S44,獲取排序後的各個攻擊類型對應的清理策略,其中,各個清理策略的排列順序與排序後的各個攻擊類型的排列順序一致。
本申請步驟S44中,在對各個攻擊類型進行排序的基礎上,獲取排序後的各個攻擊類型對應的清理策略,例如Rule_a,Rule_b,Rule_c,Rule_d。
步驟S46,生成包含排序後的各個攻擊類型對應的清理策略的清理策略鏈。
本申請步驟S46中,最終得到清理策略鏈(記為RuleList),RuleList={Rule_a,Rule_b,Rule_c,Rule_d}。
又例如,AttackSet_3包含的攻擊類型是Attack_1和Attack_2。根據配置文件,Attack_1的清理策略集合是RuleSet_1,RuleSet_1中包含的清理策略是Rule_a、Rule_b,Attack_2的清理策略集合是RuleSet_2,RuleSet_2中包含的清理策略是Rule_b、Rule_c。
1、如果Attack_1的權重高於Attack_2,那麼最終策略鏈RuleList的生成邏輯可以用如下公式來表示:RuleList={RuleSet_1、RuleSet_2}={Rule_a、Rule_b、Rule_b、Rule_c}={Rule_a、Rule_b、Rule_c}
2、如果Attack_2的權重高於Attack_1,那麼最終策略鏈RuleList的生成邏輯可以用如下公式來表示:RuleList={RuleSet_2、RulsSet_1}={Rule_b、Rule_c、Rule_a、Rule_b}={Rule_b、Rule_c、Rule_a}
此處需要說明的是,攻擊類型的取集合動作是交集,清理策略的取集合動作是並集。
需要補充的是,如果清理設備不支持權重值,則使用預設權重值,RuleList中的策略Rule_a、Rule_b、Rule_c,就不需要有先後順序,只需要簡單取交集即可。
步驟S208,依據清理策略鏈,清理待清理電文。
本申請步驟S208中,待清理電文進入清理策略鏈時,根據上一步驟生成的清理策略鏈,順序叫用每個清理策略。如果待清理電文被“丟棄”,則結束清理策略鏈,丟 棄待清理電文。如果待清理電文被“通過”,則根據清理策略的順序,叫用後續的清理策略。如果待清理電文被“接受”,或者透過所有清理策略後,未被“丟棄”,則將待清理電文送入出方向通道,轉發至原始目的地(即目的位址所指向的設備)。
需要補充說明的是,本實施例的電文清理方法中,所有清理策略的輸入、輸出需要保持一致。例如,所有的輸入統一為電文的指針,所有的輸出統一為針對電文的動作(比如:“接受”、“通過”、“拒絕”)。所有清理策略統一註冊。比如將所有清理策略的函數指針統一註冊到某個全部變量。對所有清理策略統一編號,程式內部透過編號來引用某個清理策略,清理策略鏈,本質上就是一個元素為策略編號的向量。
由上可知,本申請上述實施例一所提供的方案,透過基於待清理電文的電文類型以及目的位址得到一條對應於待清理電文的動態的清理策略鏈,達到了有針對性地進行電文清理的目的,從而實現了提高電文清理效率的技術效果,進而解決了由於策略是事先配置好的造成的清理設備的清理效率較低的技術問題。
可選地,所述依據所述清理策略鏈,清理所述待清理電文包括:按照所述清理策略鏈中各個清理策略的順序,依次叫用各個清理策略對所述待清理電文進行清理,以確定是否丟棄所述待清理電文。
進一步地,在確定不丟棄所述待清理電文的情況下, 本實施例的電文清理方法還可以包括:將所述待清理電文發送至所述目的位址所指向的設備。
由上可知,現有技術存在的由於策略是事先配置好的,即,針對某個被保護的IP,預測其可能遭受的攻擊類型,然後把所有對應的策略都查詢出,使得電文會進入一些完全不需要進入的策略,造成誤清理,降低清理設備的清理效率的問題,本申請提出一種電文清理方法,透過基於待清理電文的電文類型以及目的位址得到一條對應於待清理電文的動態的清理策略鏈,達到了有針對性地進行電文清理的目的,從而實現了提高電文清理效率的技術效果。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本申請並不受所描述的動作順序的限制,因為依據本申請,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬於優選實施例,所涉及的動作和模組並不一定是本申請所必須的。
透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的方法可藉由軟體加必需的通用硬體平台的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本申請的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在 一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,計算機,伺服器,或者網路設備等)執行本申請各個實施例所述的方法。
實施例2
根據本申請實施例,還提供了一種用於實施上述方法實施例的裝置實施例,本申請上述實施例所提供的裝置可以在計算機終端上運行。
圖3是根據本申請實施例的電文清理裝置的結構示意圖。
如圖3所示,該電文清理裝置可以包括第一獲取單元302、第二獲取單元304、生成單元306以及清理單元308。
其中,第一獲取單元302,用於獲取待清理電文的電文類型以及目的位址;第二獲取單元304,用於根據所述電文類型,從預設的配置文件中獲取與所述電文類型對應的第一攻擊類型集合,並根據所述目的位址獲取第二攻擊類型集合,其中,所述第二攻擊類型集合包含所述目的位址所指向的設備在預設時間段內受到的攻擊類型;生成單元306,用於根據所述第一攻擊類型集合和所述第二攻擊類型集合,生成對應於所述待清理電文的清理策略鏈;清理單元308,用於依據所述清理策略鏈,清理所述待清理電文。
由上可知,本申請上述實施例二所提供的方案,透過基於待清理電文的電文類型以及目的位址得到一條對應於待清理電文的動態的清理策略鏈,達到了有針對性地進行電文清理的目的,從而實現了提高電文清理效率的技術效果,進而解決了由於策略是事先配置好的造成的清理設備的清理效率較低的技術問題。
此處需要說明的是,上述第一獲取單元302、第二獲取單元304、生成單元306以及清理單元308對應於實施例一中的步驟S202至步驟S208,四個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例一所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例一提供的計算機終端10中,可以透過軟體實現,也可以透過硬體實現。
可選地,如圖4所示,所述生成單元306包括:計算模組402和生成模組404。
其中,計算模組402,用於計算所述第一攻擊類型集合與所述第二攻擊類型集合的交集,得到第三攻擊類型集合,其中,所述第三攻擊類型集合中包含所述第一攻擊類型集合與所述第二攻擊類型集合中相同的攻擊類型;生成模組404,用於根據所述第三攻擊類型集合,生成所述清理策略鏈。
此處需要說明的是,上述計算模組402和生成模組404對應於實施例一中的步驟S30至步驟S32,兩個模組與對應的步驟所實現的示例和應用場景相同,但不限於上 述實施例一所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例一提供的計算機終端10中,可以透過軟體實現,也可以透過硬體實現。
可選地,生成模組404用於執行以下步驟根據所述第三攻擊類型集合,生成所述清理策略鏈:獲取所述第三攻擊類型集合中各個攻擊類型的權重值;按照所述權重值的大小,對各個攻擊類型進行排序;獲取排序後的各個攻擊類型對應的清理策略,其中,各個清理策略的排列順序與排序後的各個攻擊類型的排列順序一致;生成包含排序後的各個攻擊類型對應的清理策略的所述清理策略鏈。
可選地,清理單元308用於執行以下步驟依據所述清理策略鏈,清理所述待清理電文:按照所述清理策略鏈中各個清理策略的順序,依次叫用各個清理策略對所述待清理電文進行清理,以確定是否丟棄所述待清理電文。
可選地,如圖5所示,電文清理裝置還包括:發送單元502,用於在確定不丟棄所述待清理電文的情況下,將所述待清理電文發送至所述目的位址所指向的設備。
可選地,如圖6所示,所述第一獲取單元302包括:解析模組602和提取模組604。
其中,解析模組602,用於解析所述待清理電文的報頭;提取模組604,用於基於所述電文類型對應的字節的偏移量,從所述待清理電文中提取所述電文類型,以及基於所述目的位址對應的字節的偏移量,從所述待清理電文中提取所述目的位址。
此處需要說明的是,上述解析模組602和提取模組604對應於實施例一中的步驟S10至步驟S12,兩個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例一所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例一提供的計算機終端10中,可以透過軟體實現,也可以透過硬體實現。
可選地,所述第二獲取單元304用於執行以下步驟根據所述電文類型,從預設的配置文件中獲取與所述電文類型對應的第一攻擊類型集合:從所述預設的配置文件中,查找所述電文類型對應的攻擊類型,其中,所述預設的配置文件中包含有所述電文類型與攻擊類型之間的對應關係;生成包含所述電文類型對應的攻擊類型的所述第一攻擊類型集合。
可選地,所述電文類型包括以下一種或幾種:傳輸控制協定同步TCP SYN電文、傳輸控制協定確認TCP ACK電文以及傳輸控制協定重置TCP RST電文;所述攻擊類型包括以下一種或幾種:syn電文泛洪攻擊SYN flood、ack電文泛洪攻擊ACK flood、rst電文泛洪攻擊RST flood以及udp電文泛洪攻擊UDP flood。
實施例3
本申請的實施例可以提供一種計算機終端,該計算機終端可以是計算機終端群中的任意一個計算機終端設備。可選地,在本實施例中,上述計算機終端也可以替換為行 動終端等終端設備。
可選地,在本實施例中,上述計算機終端可以位於計算機網路的多個網路設備中的至少一個網路設備。
在本實施例中,上述計算機終端可以執行電文清理方法中以下步驟的程式代碼:獲取待清理電文的電文類型以及目的位址;根據所述電文類型,從預設的配置文件中獲取與所述電文類型對應的第一攻擊類型集合,並根據所述目的位址獲取第二攻擊類型集合,其中,所述第二攻擊類型集合包含所述目的位址所指向的設備在預設時間段內受到的攻擊類型;根據所述第一攻擊類型集合和所述第二攻擊類型集合,生成對應於所述待清理電文的清理策略鏈;依據所述清理策略鏈,清理所述待清理電文。
可選地,圖7是根據本申請實施例的一種計算機終端的結構方塊圖。如圖7所示,該計算機終端A可以包括:一個或多個(圖中僅示出一個)處理器702、儲存器704、以及傳輸裝置706。
其中,儲存器704可用於儲存軟體程式以及模程式塊,如本申請實施例中的電文清理方法及裝置對應的程式指令/程式模組,處理器702透過運行儲存在儲存器704內的軟體程式以及程式模組,從而執行各種功能應用以及資訊處理,即實現上述的電文清理方法。儲存器704可包括高速隨機記憶體,還可以包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃內存記憶體、或者其他非揮發性固態記憶體。在一些實例中,儲存器704可進一步包 括相對於處理器遠程設置的儲存器,這些遠程儲存器可以透過網路連接至終端A。上述網路的實例包括但不限於網際網路、企業內部網、區域網路、行動通訊網及其組合。
上述的傳輸裝置706用於經由一個網路接收或者發送資訊。上述的網路具體實例可包括有線網路及無線網路。在一個實例中,傳輸裝置706包括一個網路適配器(Network Interface Controller,NIC),其可透過網線與其他網路設備與路,由器相連從而可與網際網路或區域網路進行通訊。在一個實例中,傳輸裝置706為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
其中,具體地,儲存器704用於儲存預設動作條件和預設權限用戶的資訊、以及應用程式。
處理器702可以透過傳輸裝置叫用儲存器儲存的資訊及應用程式,以執行下述步驟:獲取待清理電文的電文類型以及目的位址;根據所述電文類型,從預設的配置文件中獲取與所述電文類型對應的第一攻擊類型集合,並根據所述目的位址獲取第二攻擊類型集合,其中,所述第二攻擊類型集合包含所述目的位址所指向的設備在預設時間段內受到的攻擊類型;根據所述第一攻擊類型集合和所述第二攻擊類型集合,生成對應於所述待清理電文的清理策略鏈;依據所述清理策略鏈,清理所述待清理電文。
由上可知,本申請上述實施例三所提供的方案,透過基於待清理電文的電文類型以及目的位址得到一條對應於 待清理電文的動態的清理策略鏈,達到了有針對性地進行電文清理的目的,從而實現了提高電文清理效率的技術效果,進而解決了由於策略是事先配置好的造成的清理設備的清理效率較低的技術問題。
可選的,上述處理器702還可以執行如下步驟的程式代碼:計算所述第一攻擊類型集合與所述第二攻擊類型集合的交集,得到第三攻擊類型集合,其中,所述第三攻擊類型集合中包含所述第一攻擊類型集合與所述第二攻擊類型集合中相同的攻擊類型;根據所述第三攻擊類型集合,生成所述清理策略鏈。
可選的,上述處理器702還可以執行如下步驟的程式代碼:獲取所述第三攻擊類型集合中各個攻擊類型的權重值;按照所述權重值的大小,對各個攻擊類型進行排序;獲取排序後的各個攻擊類型對應的清理策略,其中,各個清理策略的排列順序與排序後的各個攻擊類型的排列順序一致;生成包含排序後的各個攻擊類型對應的清理策略的所述清理策略鏈。
可選的,上述處理器702還可以執行如下步驟的程式代碼:按照所述清理策略鏈中各個清理策略的順序,依次叫用各個清理策略對所述待清理電文進行清理,以確定是否丟棄所述待清理電文。
可選的,上述處理器702還可以執行如下步驟的程式代碼:將所述待清理電文發送至所述目的位址所指向的設備。
可選的,上述處理器702還可以執行如下步驟的程式代碼:解析所述待清理電文的報頭;基於所述電文類型對應的字節的偏移量,從所述待清理電文中提取所述電文類型,以及基於所述目的位址對應的字節的偏移量,從所述待清理電文中提取所述目的位址。
可選的,上述處理器702還可以執行如下步驟的程式代碼:從所述預設的配置文件中,查找所述電文類型對應的攻擊類型,其中,所述預設的配置文件中包含有所述電文類型與攻擊類型之間的對應關係;生成包含所述電文類型對應的攻擊類型的所述第一攻擊類型集合。
本領域普通技術人員可以理解,圖7所示的結構僅為示意,計算機終端也可以是智慧型手機(如Android手機、iOS手機等)、平板電腦、掌聲電腦以及行動網際網路設備(MobileInternetDevices,MID)、PAD等終端設備。圖7其並不對上述電子裝置的結構造成限定。例如,計算機終端10還可包括比圖7中所示更多或者更少的組件(如網路介面、顯示裝置等),或者具有與圖7所示不同的配置。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以透過程式來指令終端設備相關的硬體來完成,該程式可以儲存於一計算機可讀儲存媒體中,儲存媒體可以包括:快閃記憶體碟、唯讀記憶體(Read-Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)、磁碟或光碟等。
實施例4
本申請的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例一所提供的電文清理方法所執行的程式代碼。
可選地,在本實施例中,上述儲存媒體可以位於計算機網路中計算機終端群中的任意一個計算機終端中,或者位於行動終端群中的任意一個行動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式代碼:獲取待清理電文的電文類型以及目的位址;根據所述電文類型,從預設的配置文件中獲取與所述電文類型對應的第一攻擊類型集合,並根據所述目的位址獲取第二攻擊類型集合,其中,所述第二攻擊類型集合包含所述目的位址所指向的設備在預設時間段內受到的攻擊類型;根據所述第一攻擊類型集合和所述第二攻擊類型集合,生成對應於所述待清理電文的清理策略鏈;依據所述清理策略鏈,清理所述待清理電文。
可選地,儲存媒體還被設置為儲存用於執行以下步驟的程式代碼:計算所述第一攻擊類型集合與所述第二攻擊類型集合的交集,得到第三攻擊類型集合,其中,所述第三攻擊類型集合中包含所述第一攻擊類型集合與所述第二攻擊類型集合中相同的攻擊類型;根據所述第三攻擊類型集合,生成所述清理策略鏈。
可選地,儲存媒體還被設置為儲存用於執行以下步驟 的程式代碼:獲取所述第三攻擊類型集合中各個攻擊類型的權重值;按照所述權重值的大小,對各個攻擊類型進行排序;獲取排序後的各個攻擊類型對應的清理策略,其中,各個清理策略的排列順序與排序後的各個攻擊類型的排列順序一致;生成包含排序後的各個攻擊類型對應的清理策略的所述清理策略鏈。
可選地,儲存媒體還被設置為儲存用於執行以下步驟的程式代碼:按照所述清理策略鏈中各個清理策略的順序,依次叫用各個清理策略對所述待清理電文進行清理,以確定是否丟棄所述待清理電文。
可選地,儲存媒體還被設置為儲存用於執行以下步驟的程式代碼:將所述待清理電文發送至所述目的位址所指向的設備。
可選地,儲存媒體還被設置為儲存用於執行以下步驟的程式代碼:解析所述待清理電文的報頭;基於所述電文類型對應的字節的偏移量,從所述待清理電文中提取所述電文類型,以及基於所述目的位址對應的字節的偏移量,從所述待清理電文中提取所述目的位址。
可選地,儲存媒體還被設置為儲存用於執行以下步驟的程式代碼:從所述預設的配置文件中,查找所述電文類型對應的攻擊類型,其中,所述預設的配置文件中包含有所述電文類型與攻擊類型之間的對應關係;生成包含所述電文類型對應的攻擊類型的所述第一攻擊類型集合。
可選地,在本實施例中,上述儲存媒體可以包括但不 限於:U碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、行動硬碟、磁碟或者光碟等各種可以儲存程式代碼的媒體。
可選地,本實施例中的具體示例可以參考上述實施例1中所描述的示例,本實施例在此不再贅述。
上述本申請實施例序號僅僅為了描述,不代表實施例的優劣。
在本申請的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本申請所提供的幾個實施例中,應該理解到,所揭露的訂單資訊的處理裝置,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通訊連接可以是透過一些介面,單元或模組的間接耦合或通訊連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是實體上分開的,作為單元顯示的部件可以是或者也可以不是實體單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本申請各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨實體存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個計算機可讀取儲存媒體中。基於這樣的理解,本申請的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台計算機設備(可為個人計算機、伺服器或者網路設備等)執行本申請各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:U碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、行動硬碟、磁碟或者光碟等各種可以儲存程式代碼的媒體。
以上所述僅是本申請的優選實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本申請原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本申請的保護範圍。

Claims (16)

  1. 一種電文清理方法,其特徵在於,包括:獲取待清理電文的電文類型以及目的位址;根據該電文類型,從預設的配置文件中獲取與該電文類型對應的第一攻擊類型集合,並根據該目的位址獲取第二攻擊類型集合,其中,該第二攻擊類型集合包含該目的位址所指向的設備在預設時間段內受到的攻擊類型;根據該第一攻擊類型集合和該第二攻擊類型集合,生成對應於該待清理電文的清理策略鏈;依據該清理策略鏈,清理該待清理電文。
  2. 根據申請專利範圍第1項所述的方法,其中,該根據該第一攻擊類型集合和該第二攻擊類型集合,生成對應於該待清理電文的清理策略鏈包括:計算該第一攻擊類型集合與該第二攻擊類型集合的交集,得到第三攻擊類型集合,其中,該第三攻擊類型集合中包含該第一攻擊類型集合與該第二攻擊類型集合中相同的攻擊類型;根據該第三攻擊類型集合,生成該清理策略鏈。
  3. 根據申請專利範圍第2項所述的方法,其中,所述根據該第三攻擊類型結合,生成該清理策略鏈包括:獲取該第三攻擊類型集合中各個攻擊類型的權重值;按照該權重值的大小,對各個攻擊類型進行排序;獲取排序後的各個攻擊類型對應的清理策略,其中,各個清理策略的排列順序與排序後的各個攻擊類型的排列 順序一致;生成包含排序後的各個攻擊類型對應的清理策略的該清理策略鏈。
  4. 根據申請專利範圍第3項所述的方法,其中,所述依據該清理策略鏈,清理該待清理電文包括:按照該清理策略鏈中各個清理策略的順序,依次叫用各個清理策略對該待清理電文進行清理,以確定是否丟棄該待清理電文。
  5. 根據申請專利範圍第4項所述的方法,其中,在確定不丟棄該待清理電文的情況下,該方法還包括:將該待清理電文發送至該目的位址所指向的設備。
  6. 根據申請專利範圍第1項所述的方法,其特徵在於,該獲取待清理電文的電文類型以及目的位址包括:解析該待清理電文的報頭;基於該電文類型對應的字節的偏移量,從該待清理電文中提取該電文類型,以及基於該目的位址對應的字節的偏移量,從該待清理電文中提取該目的位址。
  7. 根據申請專利範圍第1項所述的方法,其中,所述根據該電文類型,從預設的配置文件中獲取與該電文類型對應的第一攻擊類型集合包括:從該預設的配置文件中,查找該電文類型對應的攻擊類型,其中,該預設的配置文件中包含有該電文類型與攻擊類型之間的對應關係;生成包含該電文類型對應的攻擊類型的該第一攻擊類 型集合。
  8. 根據申請專利範圍第1至7項中任一項所述的方法,其中,該電文類型包括以下一種或幾種:傳輸控制協定同步TCP SYN電文、傳輸控制協定確認TCP ACK電文以及傳輸控制協定重置TCP RST電文;該攻擊類型包括以下一種或幾種:syn電文泛洪攻擊SYN flood、ack電文泛洪攻擊ACK flood、rst電文泛洪攻擊RST flood以及udp電文泛洪攻擊UDP flood。
  9. 一種電文清理裝置,其特徵在於,包括:第一獲取單元,用於獲取待清理電文的電文類型以及目的位址;第二獲取單元,用於根據該電文類型,從預設的配置文件中獲取與該電文類型對應的第一攻擊類型集合,並根據該目的位址獲取第二攻擊類型集合,其中,該第二攻擊類型集合包含該目的位址所指向的設備在預設時間段內受到的攻擊類型;生成單元,用於根據該第一攻擊類型集合和該第二攻擊類型集合,生成對應於該待清理電文的清理策略鏈;清理單元,用於依據該清理策略鏈,清理該待清理電文。
  10. 根據申請專利範圍第9項所述的裝置,其中,該生成單元包括:計算模組,用於計算該第一攻擊類型集合與該第二攻擊類型集合的交集,得到第三攻擊類型集合,其中,該第 三攻擊類型集合中包含該第一攻擊類型集合與該第二攻擊類型集合中相同的攻擊類型;生成模組,用於根據該第三攻擊類型集合,生成該清理策略鏈。
  11. 根據申請專利範圍第10項所述的裝置,其中,該生成模組用於執行以下步驟根據該第三攻擊類型集合,生成該清理策略鏈:獲取該第三攻擊類型集合中各個攻擊類型的權重值;按照該權重值的大小,對各個攻擊類型進行排序;獲取排序後的各個攻擊類型對應的清理策略,其中,各個清理策略的排列順序與排序後的各個攻擊類型的排列順序一致;生成包含排序後的各個攻擊類型對應的清理策略的該清理策略鏈。
  12. 根據申請專利範圍第11項所述的裝置,其中,該清理單元用於執行以下步驟依據該清理策略鏈,清理該待清理電文:按照該清理策略鏈中各個清理策略的順序,依次叫用各個清理策略對該待清理電文進行清理,以確定是否丟棄該待清理電文。
  13. 根據申請專利範圍第12項所述的裝置,其中,該裝置還包括:發送單元,用於在確定不丟棄該待清理電文的情況下,將該待清理電文發送至該目的位址所指向的設備。
  14. 根據申請專利範圍第9項所述的裝置,其中,該第一獲取單元包括:解析模組,用於解析該待清理電文的報頭;提取模組,用於基於該電文類型對應的字節的偏移量,從該待清理電文中提取該電文類型,以及基於該目的位址對應的字節的偏移量,從該待清理電文中提取該目的位址。
  15. 根據申請專利範圍第9項所述的裝置,其中,該第二獲取單元用於執行以下步驟根據該電文類型,從預設的配置文件中獲取與該電文類型對應的第一攻擊類型集合:從該預設的配置文件中,查找該電文類型對應的攻擊類型,其中,該預設的配置文件中包含有該電文類型與攻擊類型之間的對應關係;生成包含該電文類型對應的攻擊類型的該第一攻擊類型集合。
  16. 根據申請專利範圍第9至15項中任一項所述的裝置,其中,該電文類型包括以下一種或幾種:傳輸控制協定同步TCP SYN電文、傳輸控制協定確認TCP ACK電文以及傳輸控制協定重置TCP RST電文;該攻擊類型包括以下一種或幾種:syn電文泛洪攻擊SYN flood、ack電文泛洪攻擊ACK flood、rst電文泛洪攻擊RST flood以及udp電文泛洪攻擊UDP flood。
TW106102730A 2017-01-24 2017-01-24 電文清理方法及裝置 TWI784938B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW106102730A TWI784938B (zh) 2017-01-24 2017-01-24 電文清理方法及裝置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106102730A TWI784938B (zh) 2017-01-24 2017-01-24 電文清理方法及裝置

Publications (2)

Publication Number Publication Date
TW201828147A true TW201828147A (zh) 2018-08-01
TWI784938B TWI784938B (zh) 2022-12-01

Family

ID=63960555

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106102730A TWI784938B (zh) 2017-01-24 2017-01-24 電文清理方法及裝置

Country Status (1)

Country Link
TW (1) TWI784938B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115118464A (zh) * 2022-06-10 2022-09-27 深信服科技股份有限公司 一种失陷主机检测方法、装置、电子设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100579003C (zh) * 2007-11-08 2010-01-06 华为技术有限公司 一种采用网流技术防御tcp攻击的方法和系统
TW201029412A (en) * 2009-01-17 2010-08-01 Univ Nat Taiwan Science Tech Network attack detection systems and methods, and computer program products thereof
CN101741847B (zh) * 2009-12-22 2012-11-07 北京锐安科技有限公司 一种ddos攻击检测方法
CN104506482B (zh) * 2014-10-10 2018-09-11 香港理工大学 网络攻击检测方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115118464A (zh) * 2022-06-10 2022-09-27 深信服科技股份有限公司 一种失陷主机检测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
TWI784938B (zh) 2022-12-01

Similar Documents

Publication Publication Date Title
WO2017114200A1 (zh) 报文清洗方法及装置
Liu et al. Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
US20130198845A1 (en) Monitoring a wireless network for a distributed denial of service attack
CN110417717B (zh) 登录行为的识别方法及装置
CN104768139B (zh) 一种短信发送的方法及装置
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN107181605B (zh) 报文检测方法及系统、内容提取装置、流量匹配装置
CN106657126B (zh) 检测及防御DDoS攻击的装置及方法
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
WO2020037781A1 (zh) 一种实现服务器防攻击方法及装置
Shah et al. Mitigating TCP SYN flooding based EDOS attack in cloud computing environment using binomial distribution in SDN
CN106961414B (zh) 一种基于蜜罐的数据处理方法、装置及系统
CN106487790A (zh) 一种ack flood攻击的清洗方法及系统
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN106790310B (zh) 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统
CN111049780A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
TWI784938B (zh) 電文清理方法及裝置
Cusack et al. Detecting and tracing slow attacks on mobile phone user service
Khirwadkar Defense against network attacks using game theory
US11075911B2 (en) Group-based treatment of network addresses
CN110162969B (zh) 一种流量的分析方法和装置
Singh et al. Comparative analysis of state-of-the-art EDoS mitigation techniques in cloud computing environment
CN112153001A (zh) 基于waf的网络通信方法、系统、电子装置和存储介质