本发明专利技术公开了一种网络攻击的处理方法和装置。其中,该方法包括:采集数据流中的数据包信息;解析数据包信息,得到攻击检测维度数据和包特征维度数据;将攻击检测维度数据和包特征维度数据与预设/学习数据进行比较,判断攻击检测维度数据和包特征维度数据是否存在异常;当判断结果为是时,上报异常事件,并依据预设/学习数据检测包特征维度数据是否存在异常特征;当检测结果为是时,依据包特征维度数据匹配对应的缓解方案;执行缓解方案。本发明专利技术解决了由于相关技术中对正常流量的数据包在缓解洪泛攻击的过程中误伤大,确认攻击的精度低以及预防洪泛攻击而消耗的系统资源大的技术问题。
【技术实现步骤摘要】
本专利技术涉及计算机应用
,具体而言,涉及一种网络攻击的处理方法和装置。
技术介绍
随着互联网的发展,在互联网方便民众生活的同时,网络攻击和网络安全成为了互联网时代的一个典型特点,其中,洪泛DOS Flood攻击是拒绝服务攻击中的一种,攻击原理简单,成本低,危害大,难于防范,可以短时间对网络的安全带来严重的破坏。常见的DOSFlood攻击有握手信号洪泛攻击(Synchronous Flood,简称SYN Flood),复位连接洪泛攻击(Rest The conect1n Flood,简称RST Flood),关闭连接洪泛攻击(Finish Flood,简称FIN Flood),确认信号洪泛攻击ACK Flood,用户数据包协议洪泛攻击(User DertagramProtocolJI^lUDP Flood),控制报文协议洪泛攻击(Internet Control MessageProtocolJI^IlCMP Flood)。攻击者首先攻破大量电脑,移动终端等设备作为攻击者的“肉鸡”,通过大量“肉鸡”发起Flood攻击,使攻击流量和正常流量混杂在一起,也可以通过伪造源IP地址发起Flood攻击,耗尽目标系统的资源,造成目标系统的瘫痪而无法正常响应服务。由于Flood攻击流量大特征不明显,和正常流量混杂在一起,很难检测到攻击,即使能够检测到,也很难做到阻断异常流的情况下对正常流量没有影响。因此当下对于Flood攻击的检测及缓解主要存在以下问题:1,在不同网络环境下,无法在没有人为干预的情况下、快速准确的检测到攻击。2,在检测到攻击后,无法精确定位到异常流量,也无法准确的缓解攻击。3,对于伪造IP地址的Flood攻击即使检测出来,也很难做到缓解攻击的同时对被伪造IP的真实正常流量“误伤”小。相关技术在解决上述洪泛攻击的过程中主要有以下方案:方案一,目前大多数的网络安全设备或防攻击软件都是通过对被保护系统设定资源访问的门限值,超出门限值则认为有异常,例如SYN Flood攻击的检测办法就是设置I分钟内访问被保护系统的SYN包个数不能超过5000个。即,设置被保护系统单位时间内SYN包的上限,当单位时间内访问被保护系统的SYN包个数超过门限值后,认为已经发生SYNFlood攻击,并通过概率的丢弃SYN包,来缓解攻击。但是无规则的丢弃SYN包,会造成严重的“误伤”,阻断异常流量的同时正常流量同样被阻断,这样所有访问者都会发生随机的TCP连接请求失败的情况,方案一的缓解的方法是不可以接受的。基于此方法,为了提高缓解的精度,有的安全厂商不惜牺牲巨大的内存资源,来做基于源IP的统计,即统计单位时间内每个源IP访问被保护资源的SYN包个数,虽然检测到攻击后可以基于源IP来丢弃SYN包,缓解范围较上面的方法准确了些,但无法区分源IP的攻击流量和正常流量,这样对于正常流量依然会“误伤”,同时检测本身消耗巨大的内存资源和系统性能。方案一的缺陷在于检测方法单一,不适应不同网络环境,也无法解决不同周期内门限值不同的情况,更无法对检测出来的攻击做智能的“清洗”,而是简单的根据源IP地址丢弃包,结果是异常流量和正常流量都被阻断,这种缓解的方法本身也是拒绝服务。方案二,当下针对SYN Flood攻击最常见的防范手段是开启SYN Cookie功能。它的原理是在TCP服务器端收到SYN包时,并不及时为其分配资源,而是根据这个SYN包计算出一个Cookie值,通过验证ACK包的确认号来判断ACK的合法性。如果合法,则容许此TCP连接建立,否则丢弃SYN包请求。即,SYN Cookies是根据时间戮、MSS(Maximum Segment Size)、IP地址以及端口号等信息依照一定规则编码生成初始序号,作为服务器响应的SYN+ACK包的序号,根据TCP规范,当客户端发回TCP ACK包给服务器以响应服务器的SYN+ACK包时,客户端必须使用由服务器发送的初始序号加I作为数据包中的确认号。服务器接着从确认号中减去I,以便还原向客户端发送的原始SYN Cookie。方案二的缺陷在于只有3位二进制空间可用于表示MSS(Maximum Segment Size)编码,所以服务器只能编码八种MSS数值;为了节省空间需要牺牲TCP选项来达到保护连接的目的;此功能本身非常消耗安全设备的内存资源、运算资源、带宽以及造成安全设备性能下降;有的厂商在此基础上有微小的创新,比如将SYN Cookie功能应用在网络设备透明模式中,或者对SYN Cooike加白名单等,根本上还是SYN Cookie,对于SYN Flood攻击流量大,SYN Cookie运算和验证的时间复杂度高,且本身也需要耗很多内存资源,而且受到capacity的限制,在实际遭到严重的SYN Flood攻击时,安全设备本身也会受到严重的影响和危害。方案三,通过采集TCP包头信息,对每个信息的hash值构建hash散列列表,根据一定算法来识别那些信息有异常,当数据包相应信息的hash值所在bucket已经被标记为异常,则丢弃这个包。即,需要对所有TCP包头信息采集,并生成相应信息的hash表,将采集的信息散列到hash表中,根据hash表中某个bucket值变化的情况来决定是否有异常,如果有异常则标记异常。当收到的TCP包头信息对应的hash值所在bucket已经被标记为异常,则丢弃包。例如TCP包头的目的IP和目的端口,当某个端口访问量太大,则认为是Flood攻击,丢弃访问该端口包。方案三的缺陷在于没有把攻击的检测和攻击的缓解独立分开,不能通过简单包特征异常而认为有攻击,这样误报的概率极大,没有准确的攻击检测方法;只是统计TCP包头信息,不能更准确的找到攻击的特征;只是针对TCP的Flood攻击,对于更常见的UDP Flood、ICMP Flood攻击无能为力。方案四,对于UDPFlood攻击,通过构建两个二叉树A和B,树A用来存储等待分析的UDP数据包,树B用来存储已被检测出来的正在进行UDP Flood攻击的主机IP,如果源IP在树B中,则丢弃此源IP的UDP包。即,当收到UDP包,先通过源IP查找树B是否有匹配的节点,如果有,则丢弃包,否则走下面对树A的操作。通过源IP查找树A是否有此IP的节点,如果没有,将此源IP节点插入树A,并记录UDP包的内容,如果找到此节点,与节点保存的UDP包内容做比较,如果内容相同,则当前节点的“匹配计数”加1,否则“不匹配计数”加1,当一定时间内“匹配计数”大于一定值,则认为此源IP发起UDP Flood攻击,并将此IP添加到树B中。方案四的缺陷在于记录每个源IP的第一个UDP包内容,同样非常消耗内存资源,当实际网络中源IP比较多的情况下,树A会非常大,对于每个UDP包都要查找树A,无论是时间复杂度还是空间复杂度都是无法接受的;检测方法比较单一,只是通过UDP包内容来判断,当内容为随机字符,此方法失效,而且对于伪造源IP的攻击,有可能是攻击流量与非攻击流量混杂在一起,收到的第一个源IP的包不一定就是攻击包;缓解方法只是基于源IP丢弃包,会对正常流量有较大“误伤”;只能检测UDP Flood攻击,其它攻击类型无法检测。针对上述由于相关本文档来自技高网...
【技术保护点】
一种网络攻击的处理方法,其特征在于,包括:采集数据流中的数据包信息;解析所述数据包信息,得到攻击检测维度数据和包特征维度数据;将所述攻击检测维度数据和所述包特征维度数据与预设/学习数据进行比较,判断所述攻击检测维度数据和所述包特征维度数据是否存在异常;当判断结果为否时,将所述攻击检测维度数据和所述包特征维度数据分别输入预先建立的分析模型,生成对应的分析数据;当判断结果为是时,上报异常事件,并依据预设/学习数据检测所述包特征维度数据是否存在异常特征,所述异常事件用于指示所述数据流中的数据包存在洪泛攻击的威胁;当检测结果为是时,依据所述包特征维度数据匹配对应的缓解方案;执行所述缓解方案。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘小东,
申请(专利权)人:山石网科通信技术有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。