本发明专利技术公开了一种网络防护方法、装置、服务器及存储介质,属于网络安全领域。所述方法包括:当服务器被攻击时,获取向服务器发送的报文,报文包括用户标识和安全水印;根据报文中的安全水印对报文的合法性进行检测,得到检测结果;当检测结果为报文合法时,统计报文中的用户标识周期时间内出现的次数;当报文中的用户标识周期时间内出现的次数超过阈值时,丢弃报文;当报文中的用户标识周期时间内出现的次数未超过阈值时,向服务器转发报文。该方案通过安全水印和统计用户标识周期时间内出现的次数配合,不但能够拦截普通攻击方式发送的非法报文,还能够对重放攻击发送的报文进行拦截,从而确保了服务器的正常工作。
【技术实现步骤摘要】
网络防护方法、装置、服务器及存储介质
本专利技术涉及网络安全领域,特别涉及一种网络防护方法、装置、服务器及存储介质。
技术介绍
分布式拒绝服务(DistributedDenialofService,DDoS)攻击,是指黑客通过控制分布在各处的僵死网络向目的服务器发起大量异常流量,服务器忙于处理异常流量,无法处理正常用户请求,甚至系统崩溃,造成拒绝服务。针对DDoS攻击,相关技术中提供了一种基于水印的防护策略,在客户端向服务器发送上行报文时,需要在报文中携带通过事先约定的算法算出的水印字段。设置在客户端和服务器之间的防护端,通过验证该上行报文中水印字段的合法性,从而判断是否将该报文转发给服务器,实现对非法报文进行拦截。但是,当攻击端通过窃取到的合法报文进行重放攻击时,上述防护策略无法有效对攻击进行防护。
技术实现思路
本专利技术实施例提供了一种网络防护方法、装置、服务器及存储介质,能够解决相关技术中当攻击端通过窃取到的合法报文进行重放攻击时,防护策略无法有效对攻击进行防护的问题。所述技术方案如下:一方面,提供了一种网络防护方法,所述方法包括:当服务器被攻击时,获取向所述服务器发送的报文,所述报文包括用户标识和安全水印;根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果;当所述检测结果为报文合法时,统计所述报文中的用户标识周期时间内出现的次数;当所述报文中的用户标识周期时间内出现的次数超过阈值时,丢弃所述报文;当所述报文中的用户标识周期时间内出现的次数未超过阈值时,向所述服务器转发所述报文。另一方面,还提供了一种网络防护装置,所述装置包括:接收模块,用于当服务器被攻击时,获取向所述服务器发送的报文,所述报文包括用户标识和安全水印;检测模块,用于根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果;统计模块,用于当所述检测结果为报文合法时,统计所述报文中的用户标识周期时间内出现的次数;过滤模块,用于当所述报文中的用户标识周期时间内出现的次数超过阈值时,丢弃所述报文;当所述报文中的用户标识周期时间内出现的次数未超过阈值时,向所述服务器转发所述报文。另一方面,还提供了一种服务器,所述服务器包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如第一方面所述的网络防护方法。另一方面,还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如第一方面所述的网络防护方法。本专利技术实施例提供的技术方案带来的有益效果是:通过在接收到客户端发送的报文后,先对报文中的安全水印进行验证,从而确定该报文是否合法,当所述检测结果为报文合法时,统计报文中的用户标识周期时间内出现的次数,根据报文中的用户标识周期时间内出现的次数是否超过阈值,来决定是进行转发还是进行拦截。该方案通过安全水印和统计用户标识周期时间内出现的次数配合,不但能够拦截普通攻击方式发送的非法报文,还能够对重放攻击发送的报文进行拦截,从而确保了服务器的正常工作。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种网络防护系统的拓扑示意图;图2是本专利技术实施例提供的一种网络防护方法的流程图;图3是本专利技术实施例提供的另一种网络防护方法的流程图;图4是本专利技术实施例提供的一种报文的结构示意图;图5是本专利技术实施例提供的一种网络防护装置的结构示意图;图6是本专利技术实施例提供的一种服务器的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术实施方式作进一步地详细描述。为便于对本专利技术实施例提供的技术方案的理解,下面对现有DDoS攻击防护方案所存在的问题进行说明:DDoS攻击可以分为2大类:阻塞带宽型和消耗性能型。阻塞带宽型即黑客通过肉鸡(被黑客控制的客户端)发送用户数据报协议(UserDatagramProtocol,UDP)长报文、同步序列编号(SynchronizeSequenceNumbers,SYN)长报文等恶意流量,阻塞服务器带宽,导致正常客户无法访问服务器。消耗性能型则通过发送大量SYN短报文、确认(Acknowledgement,ACK)短报文、超文本传输协议(HyperTextTransferProtocol,HTTP)报文等进行恶意请求,让服务器忙于处理恶意请求而导致服务器资源耗尽,无法响应正常请求,达到拒绝服务器攻击的目的。针对DDoS攻击,相关技术中提供了多种防护方案,例如验证源IP合法性策略、基于源IP和目的IP的限速防护策略、基于水印的防护策略等。然而,这些策略都存在一些问题。以验证源IP合法性策略为例,验证源IP合法性策略通常通过反弹挑战报文实现,或者通过丢弃首包让客户端自动重传来实现。只要攻击端是通过真实IP进行的DDoS攻击,该方案则无法进行防护。以限速防护策略为例,限速策略会造成正常业务流量被误杀,且无法完全限制攻击流量。以基于水印的防护策略为例,当攻击端通过窃取到的合法报文进行重放攻击时,上述防护策略无法有效对攻击进行防护。为此,本专利技术实施例提供了一种网络防护方法。在介绍本申请的网络防护方法前,先对网络防护系统(也即前述防护端)的架构进行简单说明。图1是本专利技术实施例提供的一种网络防护系统的拓扑示意图。参见图1,该网络防护系统10连接路由器20,该路由器20通常为网络中的核心路由器。路由器20连接运营商网络30,路由器20通过交换机40连接服务器50,从而实现服务器50与网络其他设备的连通。其中,路由器20可以连接多个交换机40,该交换机40可以为核心交换机,每个交换机40可以连接一个或多个服务器50。网络防护系统10包括攻击检测子系统101、防护子系统102和控制子系统103,三个子系统既可以分别采用独立的设备(如服务器)实现,也可以其中两个或者三个集成在一个设备上。路由器20在传输发送给服务器50的流量时,会产生镜像流量,并将镜像流量发送给攻击检测子系统101。攻击检测子系统101检测各个服务器50是否受到攻击,在检测到服务器50受到攻击时,向防护子系统102和控制子系统103输出告警信息。防护子系统102收到告警信息时,对服务器的报文进行过滤,将过滤后的服务器的报文回传给路由器20,再由路由器20传输给服务器50。并且在防护过程中,防护子系统102可以判断出恶意用户,将该恶意用户信息存在控制子系统103中。其中,服务器为前述路由器20连接的任一个服务器。图2是本专利技术实施例提供的一种网络防护方法的流程图,参见图2,该方法由前述网络防护系统执行,该方法包括:步骤101:当服务器被攻击时,获取向服务器发送的报文,报文包括用户标识和安全水印。在本专利技术实施例中,服务器受到攻击是指服务器收到大量的攻击流量,因此可以通过单位时间内向服务器发送的流量多少确定服务器是否受到攻击。在本专利技术实施例中,向服务器发送的流量可以包括传输控制协议(TransmissionControlProtocol,TCP)流量和UDP流量本文档来自技高网...
【技术保护点】
1.一种网络防护方法,其特征在于,所述方法包括:当服务器被攻击时,获取向所述服务器发送的报文,所述报文包括用户标识和安全水印;根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果;当所述检测结果为报文合法时,统计所述报文中的用户标识周期时间内出现的次数;当所述报文中的用户标识周期时间内出现的次数超过阈值时,丢弃所述报文;当所述报文中的用户标识周期时间内出现的次数未超过阈值时,向所述服务器转发所述报文。
【技术特征摘要】
1.一种网络防护方法,其特征在于,所述方法包括:当服务器被攻击时,获取向所述服务器发送的报文,所述报文包括用户标识和安全水印;根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果;当所述检测结果为报文合法时,统计所述报文中的用户标识周期时间内出现的次数;当所述报文中的用户标识周期时间内出现的次数超过阈值时,丢弃所述报文;当所述报文中的用户标识周期时间内出现的次数未超过阈值时,向所述服务器转发所述报文。2.根据权利要求1所述的方法,其特征在于,所述根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果,包括:从所述报文中获取所述用户标识和安全水印;采用水印计算方法和所述用户标识计算验证水印;若所述验证水印和所述安全水印相同,则所述检测结果为报文合法;若所述验证水印和所述安全水印不同,则所述检测结果为报文不合法。3.根据权利要求2所述的方法,其特征在于,所述采用水印计算方法和所述用户标识计算验证水印,包括:采用所述报文中的目的地址、目的端口和所述用户标识作为计算因子,采用所述水印计算方法计算验证水印。4.根据权利要求1所述的方法,其特征在于,所述用户标识为用户名哈希值。5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:当所述报文中的用户标识周期时间内出现的次数超过阈值时,将所述用户标识存入恶意用户信息中...
【专利技术属性】
技术研发人员:陈国,罗喜军,周志彬,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。