專利名稱:一種識別攻擊的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,尤其涉及一種識別攻擊的方法及裝置��。
背景技術(shù):
隨著網(wǎng)絡(luò)通信技術(shù)的進(jìn)步��,各種網(wǎng)絡(luò)攻擊引發(fā)的網(wǎng)絡(luò)安全問題日益受到人們的關(guān)注�����。其中��,分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DD0S)是一種常見的網(wǎng)絡(luò)攻擊����,DDOS攻擊俗稱泛洪攻擊。拒絕服務(wù)攻擊是指攻擊者通過某種手段���,有意地造成計算機或網(wǎng)絡(luò)不能正常運轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者使得服務(wù)質(zhì)量降低��。所謂分布式就是處于不同位置的多個攻擊者同時向一個或者數(shù)個目標(biāo)發(fā)起攻擊����。圖I是現(xiàn)有技術(shù)中DDOS攻擊的示意圖�。如圖I所示,DDOS攻擊就是一個或多個攻擊者通過控制大量的計算機作為攻擊源�����,同時向某個服務(wù)器發(fā)送大量數(shù)據(jù)����,最終導(dǎo)致服·務(wù)器癱瘓。DDOS攻擊將造成網(wǎng)絡(luò)資源浪費��、鏈路帶寬堵塞���、服務(wù)器資源耗盡而業(yè)務(wù)中斷����。由于網(wǎng)絡(luò)層的拒絕服務(wù)攻擊有的利用了網(wǎng)絡(luò)協(xié)議的漏洞,有的則搶占網(wǎng)絡(luò)或者設(shè)備有限的處理能力����,使得對拒絕服務(wù)攻擊的防治成為了一個令管理員非常頭痛的問題。尤其是目前在大多數(shù)的網(wǎng)絡(luò)環(huán)境骨干線路上普遍使用的防火墻�����、負(fù)載均衡等設(shè)備���,在發(fā)生DDOS攻擊的時候往往成為整個網(wǎng)絡(luò)的瓶頸����,造成全網(wǎng)的癱瘓���。DDOS攻擊分為如下兩種類型固定源攻擊����,惡意攻擊者構(gòu)造一類報文向服務(wù)器大量發(fā)送以攻擊服務(wù)器���,此種攻擊的數(shù)據(jù)包某些特征字段相同���,即攻擊服務(wù)器的攻擊流的特征類似,具有很大的雷同度���,例如攻擊者利用某個固定源IP構(gòu)造SYN請求報文向服務(wù)器大量發(fā)送攻擊服務(wù)器�����。離散源攻擊���,固定源攻擊的報文雷同度高容易識別防范,目前充斥網(wǎng)絡(luò)的惡意攻擊主要以離散源攻擊為主����,離散源攻擊流量的源IP是隨機變化的假冒IP,由于攻擊流離散程度高使用常規(guī)方法很難識別和防護?����,F(xiàn)有的DDOS攻擊識別的方案�,主要是根據(jù)不同協(xié)議類型統(tǒng)計訪問防護目標(biāo)IP的報文流量,若報文流量超出正常值則認(rèn)為攻擊產(chǎn)生�,類似的在較為特殊的DNS防護中�,不是針對于具體的防護目標(biāo)而是根據(jù)DNS請求包的源IP或者域名字段進(jìn)行計數(shù)���,超過正常值則認(rèn)為攻擊產(chǎn)生?�,F(xiàn)有DDOS攻擊識別方案���,只是根據(jù)協(xié)議類型或者某類報文特征通過統(tǒng)計分析訪問服務(wù)器的報文流量,當(dāng)報文流量超出正常值認(rèn)為攻擊產(chǎn)生����,對于固定源攻擊使用此方案分析攻擊流特征可以獲得攻擊源然后針對性的采取防護,由于固定攻擊源的攻擊流量很容易識別���,當(dāng)前充斥網(wǎng)絡(luò)的惡意攻擊主要以離散源攻擊為主��,即攻擊流量的源IP是隨機變化的假冒IP���,對于離散源攻擊現(xiàn)有攻擊識別方案很難快速高效地識別攻擊。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的目的是提供一種識別攻擊的方法及裝置����,以提高對報文攻擊進(jìn)行識別的效率����。
為實現(xiàn)上述目的�,本發(fā)明提供技術(shù)方案如下一種識別攻擊的方法����,應(yīng)用于網(wǎng)絡(luò)安全設(shè)備中,所述網(wǎng)絡(luò)安全設(shè)備位于服務(wù)器之前�����,所述方法包括根據(jù)客戶端與服務(wù)器之間的交互報文建立會話表�����;獲取會話表中處于單向會話的會話數(shù)量�����;當(dāng)所述處于單向會話的會話數(shù)量大于預(yù)設(shè)的攻擊閾值時���,確定所述服務(wù)器受到攻擊��。一種識別攻擊的裝置�����,應(yīng)用于網(wǎng)絡(luò)安全設(shè)備中���,所述網(wǎng)絡(luò)安全設(shè)備位于服務(wù)器之前����,所述裝置包括 會話表建立單元���,用于根據(jù)客戶端與服務(wù)器之間的交互報文建立會話表�����;會話統(tǒng)計單元��,用于獲取會話表中處于單向會話的會話數(shù)量�����;攻擊識別單元�,用于當(dāng)所述處于單向會話的會話數(shù)量大于預(yù)設(shè)的攻擊閾值時��,確定所述服務(wù)器受到攻擊。與現(xiàn)有技術(shù)根據(jù)流量閾值來識別報文攻擊相比�����,本發(fā)明利用會話狀態(tài)來識別報文攻擊��,通過統(tǒng)計沒有形成雙向交互的單向會話數(shù)量����,可以快速有效地識別報文攻擊���。
圖I是現(xiàn)有技術(shù)中DDOS攻擊的示意圖��;圖2是本發(fā)明實施例的識別攻擊的方法流程圖�;圖3是本發(fā)明實施例的識別攻擊的裝置結(jié)構(gòu)圖�。
具體實施例方式針對現(xiàn)有技術(shù)根據(jù)流量閾值識別報文攻擊的方法存在的,對離散源攻擊不容易識別的問題�����,本發(fā)明實施例提供一種利用會話狀態(tài)識別攻擊的方案����,是根據(jù)攻擊者一般利用假冒IP或其他手段對目標(biāo)服務(wù)器進(jìn)行攻擊,無法與目標(biāo)服務(wù)器正常建立會話形成業(yè)務(wù)交互,通過統(tǒng)計沒有形成雙向交互的單向會話數(shù)量可以快速有效地識別攻擊����。以下結(jié)合附圖對本發(fā)明進(jìn)行詳細(xì)描述。圖2是本發(fā)明實施例的識別攻擊的方法流程圖����,所述方法應(yīng)用于網(wǎng)絡(luò)安全設(shè)備中,所述網(wǎng)絡(luò)安全設(shè)備位于服務(wù)器之前�����。所述網(wǎng)絡(luò)安全設(shè)備可以是防火墻���、負(fù)載均衡等設(shè)備等����。網(wǎng)絡(luò)安全設(shè)備位于服務(wù)器之前是指�����,所述網(wǎng)絡(luò)安全設(shè)備能夠獲取用戶端與服務(wù)器之間的交互報文��,可以理解�,該網(wǎng)絡(luò)安全設(shè)備也可以作為一個邏輯設(shè)備設(shè)置在服務(wù)器上���。參照圖2,所述識別攻擊的方法可以包括如下步驟步驟201�,根據(jù)客戶端與服務(wù)器之間的交互報文建立會話表;網(wǎng)絡(luò)安全設(shè)備能夠獲取客戶端與服務(wù)器之間的交互報文����,然后,根據(jù)所述交互報文建立會話表�。所述會話表中包括多個會話表項�,每個會話表項可以用報文的五元組信息進(jìn)行標(biāo)識。其中五元組是指����,源IP、目的IP�、源端口、目的端口和協(xié)議號�����。其中���,會話是指�����,客戶端通過源端口 sport�,訪問服務(wù)器的開放目的端口 dport,服務(wù)器接受請求后���,將dport作為源端口��,sport作為目的端口�,回應(yīng)客戶端的請求����,客戶端和服務(wù)器就這樣來回交互?�?梢愿鶕?jù)五元組信息建立會話�,會話是連接交互的唯一標(biāo)識,是一種面向連接的可靠通信方式���。步驟202����,獲取會話表中處于單向會話的會話數(shù)量��;首先,對于所述會話表中的每一個會話表項����,獲取該會話表項對應(yīng)的會話狀態(tài);然后����,當(dāng)所述會話狀態(tài)為非穩(wěn)定狀態(tài)時,確定該會話表項對應(yīng)的會話為單向會話�����;最后����,統(tǒng)計所有非穩(wěn)定狀態(tài)的會話表項數(shù)目�,得到處于單向會話的會話數(shù)量。例如�,對于TCP會話,所述獲取該會話表項對應(yīng)的會話狀態(tài)�,可以包括當(dāng)所述會話表項表示客戶端向服務(wù)器發(fā)起連接請求時,確定客戶端的會話為新建狀態(tài)�;當(dāng)所述會話表項表示服務(wù)器對客戶端的連接請求進(jìn)行響應(yīng)時,確定客戶端的會話為反向回應(yīng)狀態(tài)�;
當(dāng)所述會話表項表示客戶端與服務(wù)器進(jìn)行業(yè)務(wù)交互時�����,確定客戶端的會話為穩(wěn)定狀態(tài)��。又例如�����,對于DNS會話�����,所述獲取該會話表項對應(yīng)的會話狀態(tài)�,可以包括當(dāng)所述會話表項表示客戶端向服務(wù)器發(fā)送DNS響應(yīng)報文時����,確定客戶端的會話為非穩(wěn)定狀態(tài)。步驟203�,當(dāng)所述處于單向會話的會話數(shù)量大于預(yù)設(shè)的攻擊閾值時,確定所述服務(wù)器受到攻擊�����。這里����,所述攻擊閾值可以根據(jù)經(jīng)驗或者仿真確定����。上述利用會話狀態(tài)識別攻擊的方案���,依據(jù)惡意客戶端無法與服務(wù)器端形成正常業(yè)務(wù)交互的特點���,根據(jù)客戶端與服務(wù)器端連接建立的五元組信息作為標(biāo)志進(jìn)行流量狀態(tài)統(tǒng)計判定會話狀態(tài),統(tǒng)計沒有形成交互的單向會話從而判定攻擊狀態(tài)�。其中,客戶端向服務(wù)器端發(fā)起連接請求會話為新建狀態(tài)����,服務(wù)器端響應(yīng)客戶端此時會話狀態(tài)為反向回應(yīng)狀態(tài),客戶端與服務(wù)器正常業(yè)務(wù)交互后會話進(jìn)入穩(wěn)定狀態(tài)����。惡意客戶端無法與服務(wù)器形成交互會話無法進(jìn)入穩(wěn)定狀態(tài)�,連接狀態(tài)屬于不完整連接。利用會話狀態(tài)識別攻擊是通過統(tǒng)計判斷沒有形成雙向交互的會話數(shù)量���,當(dāng)沒有形成雙向交互的會話數(shù)量超出正常值時判定攻擊產(chǎn)生��。例如��,惡意客戶端發(fā)送SYN報文攻擊服務(wù)器����,服務(wù)器響應(yīng)后惡意客戶端不會再與服務(wù)器交互,會話無法進(jìn)入穩(wěn)定狀態(tài)��;再如惡意客戶端發(fā)送DNS響應(yīng)報文攻擊服務(wù)器����,服務(wù)器不會回應(yīng)客戶端形成單向會話,客戶端不能與服務(wù)器建立完整連接進(jìn)入穩(wěn)定狀態(tài)�。對應(yīng)于上述方法,本發(fā)明實施例還提供一種識別攻擊的裝置����,所述裝置應(yīng)用于網(wǎng)絡(luò)安全設(shè)備中,所述網(wǎng)絡(luò)安全設(shè)備位于服務(wù)器之前����。所述網(wǎng)絡(luò)安全設(shè)備可以是防火墻、負(fù)載均衡等設(shè)備等�����。網(wǎng)絡(luò)安全設(shè)備位于服務(wù)器之前是指,所述網(wǎng)絡(luò)安全設(shè)備能夠獲取用戶端與服務(wù)器之間的交互報文����,可以理解,該網(wǎng)絡(luò)安全設(shè)備也可以作為一個邏輯設(shè)備設(shè)置在服務(wù)器上����。參照圖3,所述識別攻擊的裝置可以包括會話表建立單元10�����、會話統(tǒng)計單元20和攻擊識別單元30�。所述會話表建立單元10用于根據(jù)客戶端與服務(wù)器之間的交互報文建立會話表。網(wǎng)絡(luò)安全設(shè)備能夠獲取客戶端與服務(wù)器之間的交互報文�,然后,所述會話表建立單元10根據(jù)所述交互報文建立會話表�。所述會話表中包括多個會話表項,每個會話表項可以用報文的五元組信息進(jìn)行標(biāo)識���。其中五元組是指�����,源IP�、目的IP����、源端口、目的端口和協(xié)議號�����。所述會話統(tǒng)計單元20用于獲取會話表中處于單向會話的會話數(shù)量����。具體地,所述會話統(tǒng)計單元20可以按照如下方式獲取單向會話的會話數(shù)量首先��,對于所述會話表中的每一個會話表項�,獲取該會話表項對應(yīng)的會話狀態(tài);然后�,當(dāng)所述會話狀態(tài)為非穩(wěn)定狀態(tài)時,確定該會話表項對應(yīng)的會話為單向會話��;最后���,統(tǒng)計所有非穩(wěn)定狀態(tài)的會話表項數(shù)目���,得到處于單向會話的會話數(shù)量�����。例如���,對于TCP會話,所述獲取該會話表項對應(yīng)的會話狀態(tài),包括當(dāng)所述會話表項表示客戶端向服務(wù)器發(fā)起連接請求時,確定客戶端的會話為新建狀態(tài)��;
當(dāng)所述會話表項表示服務(wù)器對客戶端的連接請求進(jìn)行響應(yīng)時��,確定客戶端的會話為反向回應(yīng)狀態(tài)�;當(dāng)所述會話表項表示客戶端與服務(wù)器進(jìn)行業(yè)務(wù)交互時,確定客戶端的會話為穩(wěn)定狀態(tài)���。又例如��,對于DNS會話���,所述獲取該會話表項對應(yīng)的會話狀態(tài),包括當(dāng)所述會話表項表不客戶端向服務(wù)器發(fā)送DNS響應(yīng)報文時,確定客戶端的會話為非穩(wěn)定狀態(tài)���。所述攻擊識別單元30用于當(dāng)所述處于單向會話的會話數(shù)量大于預(yù)設(shè)的攻擊閾值時�����,確定所述服務(wù)器受到攻擊��。這里�,所述攻擊閾值可以根據(jù)經(jīng)驗或者仿真確定����。綜上所述,本發(fā)明實施例提供的利用會話狀態(tài)來識別攻擊的方案�,能夠快速有效地判定報文攻擊,比現(xiàn)有技術(shù)通過統(tǒng)計流量超出閾值判定報文攻擊的方法更加高效和靈敏���。以上所述僅為本發(fā)明的較佳實施例而已�,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改�、等同替換、改進(jìn)等�����,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)。
權(quán)利要求
1.一種識別攻擊的方法����,應(yīng)用于網(wǎng)絡(luò)安全設(shè)備中,所述網(wǎng)絡(luò)安全設(shè)備位于服務(wù)器之前����,其特征在于,所述方法包括 根據(jù)客戶端與服務(wù)器之間的交互報文建立會話表����; 獲取會話表中處于單向會話的會話數(shù)量; 當(dāng)所述處于單向會話的會話數(shù)量大于預(yù)設(shè)的攻擊閾值時�,確定所述服務(wù)器受到攻擊。
2.如權(quán)利要求I所述的方法�,其特征在于,所述獲取會話表中處于單向會話的會話數(shù)量����,包括 對于所述會話表中的每一個會話表項,獲取該會話表項對應(yīng)的會話狀態(tài)���; 當(dāng)所述會話狀態(tài)為非穩(wěn)定狀態(tài)時���,確定該會話表項對應(yīng)的會話為單向會話����; 統(tǒng)計所有非穩(wěn)定狀態(tài)的會話表項數(shù)目���,得到處于單向會話的會話數(shù)量���。
3.如權(quán)利要求2所述的方法��,其特征在于��,對于TCP會話���,所述獲取該會話表項對應(yīng)的會話狀態(tài)��,包括 當(dāng)所述會話表項表示客戶端向服務(wù)器發(fā)起連接請求時�,確定客戶端的會話為新建狀態(tài)��; 當(dāng)所述會話表項表示服務(wù)器對客戶端的連接請求進(jìn)行響應(yīng)時�,確定客戶端的會話為反向回應(yīng)狀態(tài); 當(dāng)所述會話表項表示客戶端與服務(wù)器進(jìn)行業(yè)務(wù)交互時����,確定客戶端的會話為穩(wěn)定狀態(tài)�����。
4.如權(quán)利要求2所述的方法�,其特征在于����,對于DNS會話,所述獲取該會話表項對應(yīng)的會話狀態(tài)�,包括 當(dāng)所述會話表項表示客戶端向服務(wù)器發(fā)送DNS響應(yīng)報文時,確定客戶端的會話為非穩(wěn)定狀態(tài)�。
5.如權(quán)利要求I所述的方法,其特征在于 所述會話表中的會話表項以五元組信息進(jìn)行標(biāo)識��。
6.一種識別攻擊的裝置����,應(yīng)用于網(wǎng)絡(luò)安全設(shè)備中,所述網(wǎng)絡(luò)安全設(shè)備位于服務(wù)器之前�����,其特征在于����,所述裝置包括 會話表建立單元��,用于根據(jù)客戶端與服務(wù)器之間的交互報文建立會話表�; 會話統(tǒng)計單元�,用于獲取會話表中處于單向會話的會話數(shù)量; 攻擊識別單元��,用于當(dāng)所述處于單向會話的會話數(shù)量大于預(yù)設(shè)的攻擊閾值時�����,確定所述服務(wù)器受到攻擊�����。
7.如權(quán)利要求6所述的裝置�,其特征在于�,所述會話統(tǒng)計單元具體用于 對于所述會話表中的每一個會話表項,獲取該會話表項對應(yīng)的會話狀態(tài)�����; 當(dāng)所述會話狀態(tài)為非穩(wěn)定狀態(tài)時���,確定該會話表項對應(yīng)的會話為單向會話����; 統(tǒng)計所有非穩(wěn)定狀態(tài)的會話表項數(shù)目,得到處于單向會話的會話數(shù)量�。
8.如權(quán)利要求7所述的裝置,其特征在于�,對于TCP會話,所述獲取該會話表項對應(yīng)的會話狀態(tài)�,包括 當(dāng)所述會話表項表示客戶端向服務(wù)器發(fā)起連接請求時,確定客戶端的會話為新建狀態(tài)����; 當(dāng)所述會話表項表示服務(wù)器對客戶端的連接請求進(jìn)行響應(yīng)時,確定客戶端的會話為反向回應(yīng)狀態(tài)����; 當(dāng)所述會話表項表示客戶端與服務(wù)器進(jìn)行業(yè)務(wù)交互時,確定客戶端的會話為穩(wěn)定狀態(tài)�����。
9.如權(quán)利要求7所述的裝置���,其特征在于��,對于DNS會話�����,所述獲取該會話表項對應(yīng)的會話狀態(tài)����,包括 當(dāng)所述會話表項表示客戶端向服務(wù)器發(fā)送DNS響應(yīng)報文時,確定客戶端的會話為非穩(wěn)定狀態(tài)�。
10.如權(quán)利要求6所述的裝置,其特征在于 所述會話表中的會話表項以五元組信息進(jìn)行標(biāo)識�。
全文摘要
本發(fā)明提供一種識別攻擊的方法及裝置,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����。所述方法包括根據(jù)客戶端與服務(wù)器之間的交互報文建立會話表�;獲取會話表中處于單向會話的會話數(shù)量�;當(dāng)所述處于單向會話的會話數(shù)量大于預(yù)設(shè)的攻擊閾值時,確定所述服務(wù)器受到攻擊�����。本發(fā)明能夠提高對報文攻擊進(jìn)行識別的效率����。
文檔編號H04L29/06GK102882894SQ20121042427
公開日2013年1月16日 申請日期2012年10月30日 優(yōu)先權(quán)日2012年10月30日
發(fā)明者滕曉燕 申請人:杭州迪普科技有限公司