一种攻击流量的记录方法和装置制造方法及图纸

本发明专利技术公开了一种攻击流量的记录方法和装置，用以解决现有技术中存在的DDoS攻击记录冗余，以及长时间开启手工抓包导致防护工具防护性能下降的问题，所述攻击流量的记录方法，包括：接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；根据所述数据包序列每一数据包的大小，确定所述数据包序列对应的流量值；根据所述流量值及所述第一时间确定流量记录频率；按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。

【技术实现步骤摘要】

本专利技术涉及计算机网络安全
，尤其涉及一种攻击流量的记录方法和装置。
技术介绍
DDoS(Distributed Denial of service，分布式拒绝服务)：很多DOS攻击源一起攻击某台服务器就组成了DDoS攻击，DDoS攻击借助于客户端/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发起DoS攻击，从而成倍地提高拒绝服务攻击的威力。DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，DDoS一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源。对DDoS的攻击过程进行完整的记录，有助于研究人员在对DDoS流量攻击进行分析时能够迅速地制定出有效地防护策略。现有的记录DDoS攻击流量的方法一般采用人工检测及记录的方法，当检测到DDoS攻击时，手动开启流量抓包，这种方法能够实现对DDoS攻击流量的记录，但是记录结果中存在大量冗余信息，同时占用防护工具一定的性能资源，这是因为DDoS攻击服务器会根据攻击效果，不断调整攻击方式，直至击瘫服务器，即在攻击期间某一种攻击方式由于攻击效果好的原因可能存在很长时间，而其他攻击方式由于攻击效果不太理想的原因可能存在的时间很短，如果在这种情况下，持续不断的手工抓包，会导致抓包中存在同一种攻击的大量冗余的记录，而其他攻击记录被湮没在这些冗余的记录中，同时由于攻击时间不确定(可能一直持续下去，也可能是间歇性攻击)，如果一直开启手工抓包，将影响防护工具的防护性能。由此可见，如何准确高效地记录DDoS攻击流量的同时，又不影响流量防护工具的防护性能成为现有技术中亟待解决的技术问题之一。
技术实现思路
本专利技术实施例提供一种攻击流量的记录方法和装置，用以解决现有技术中DDoS攻击记录中存在大量冗余流量信息以及由于长时间开启抓包影响防护工具防护性能的问题。本专利技术实施例提供一种攻击流量的记录方法，包括：接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；根据所述数据包序列中包含的每一数据包的大小，确定所述数据包序列对应的流量值；根据所述流量值及所述第一时间确定流量记录频率；按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。本专利技术实施例提供一种攻击流量的记录装置，包括：接收单元，用于接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；第一确定单元，用于根据所述数据包序列中包含的每一数据包的大小，确定所述数据包序列对应的流量值；第二确定单元，用于根据所述流量值及所述第一时间确定流量记录频率；记录单元，用于按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。本专利技术的有益效果：本专利技术实施例提供的攻击流量的记录方法和装置，只有在接收到流量检测引擎发送的开始记录流量的第一请求后才开始记录流量，而且在记录流量过程中，并非每一时刻都记录，而是根据该第一请求中携带的需记录的数据包序列每一数据包的大小，确定出每一数据包对应的流量值，然后根据确定出的所述流量值和该第一请求中携带的所述数据包序列的第一时间，确定流量记录频率，按照确定出的流量记录频率对服务器访问流量进行记录并存储，一方面能够灵活地根据当前流量的变化确定流量记录频率，以剔除流量记录中冗余的记录，提高流量记录质量，另一方面由于无需重复记录大量冗余的流量信息，从而减少了流量记录运行的时间，解决了长时间开启手工抓包导致防护工具防护性能下降的问题，同时，由于剔除了大量的冗余，节省了流量存储记录的空间。本专利技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本专利技术的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1为本专利技术实施例提供的流量检测引擎进行流量检测的实施流程示意图；图2a为本专利技术实施例提供的攻击流量的记录方法的实施流程示意图；图2b为本专利技术实施例提供的攻击流量的记录方法中确定流量记录频率的实施流程示意图；图3为本专利技术实施例提供的攻击流量的记录方法中删除流量记录引擎内存中流量记录的第一种方法；图4为本专利技术实施例提供的攻击流量的记录方法中删除流量记录引擎内存中流量记录的第二种方法；图5为本专利技术实施例提供的攻击流量的记录装置的结构示意图。具体实施方式本专利技术实施例提供了一种攻击流量的记录方法和装置，用以解决现有技术中存在的DDoS攻击记录冗余，以及长时间开启手工抓包导致防护工具防护性能下降的问题，节省了流量记录占用的存储空间。以下结合说明书附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本专利技术，并不用于限定本专利技术，并且在不冲突的情况下，本专利技术中的实施例及实施例中的特征可以相互组合。本专利技术实施例中，由流量检测引擎进行流量检测，在检测到单位时间内服务器访问流量超过预设阈值时通知流量记录引擎进行记录，需要说明的是，流量检测引擎采用的是定时连续的方式对服务器访问流量进行检测。即流量检测引擎按照预设的周期对服务器访问流量进行检测，在每一流量检测周期到达时，流量检测引擎统计当前时刻单位时间内服务器访问流量，具体的，流量检测引擎检测服务器在当前检测周期单位时间内接收到的数据包序列对应的流量值(即服务器接收到数据包序列中包含的所有数据包的大小之和与周期的比值)。流量检测引擎判断当前检测周期服务器单位时间内接收到的数据包序列对应的流量值是否超过预设阈值，若超过，则通知流量记录引擎对服务器访问流量进行记录。由于流量检测引擎和流量记录引擎是并行独立运行的，流量检测引擎检测数据包流量的操作并不影响流量记录引擎记录服务器访问流量，如果流量检测引擎在当前检测周期判断出服务器单位时间内接收到的数据包序列对应的流量值不超过预设阈值时，说明服务器访问流量在预设阈值范围内，但是，流量检测引擎可能在上一检测周期判断出单位时间内服务器访问流量超过预设阈值并通知流量记录引擎启动记录，因此，具体实施时，流量检测引擎判断出单位时间内服务器接收到的数据包序列对应的流量值不超过预设阈值时，还需要进一步判断流量记录引擎是否启动，如果启动，则流量检测引擎通知流量记录引擎停止记录，如果没有启动，则流量检测引擎在下一检测周期到达时，再对服务器访问流量进行检测，如此循环，使得流量记录引擎根据流量检测引擎的通知启动或者停止记录服务器访问流量。而对于流量记录引擎来说，其在流量检测引擎的触发下开始记录服务器访问流量，直至接收到流量检测引擎停止记录服务器访问流量的信号。在再次接收到开始记录服务器访问流量的信号开始启动记录，直至再次接收到停止记录服务器访问流量的信号停止记录，如此循环。实施例一、如图1所示，为本专利技术实施例提供的流量检测引擎进行流量检测的实施流程示意图，可以包括以下步骤：S本文档来自技高网...

【技术保护点】
一种攻击流量的记录方法，其特征在于，包括：接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；根据所述数据包序列中包含的每一数据包的大小，确定所述数据包序列对应的流量值；根据所述流量值及所述第一时间确定流量记录频率；按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。

【技术特征摘要】
1.一种攻击流量的记录方法，其特征在于，包括：接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；根据所述数据包序列中包含的每一数据包的大小，确定所述数据包序列对应的流量值；根据所述流量值及所述第一时间确定流量记录频率；按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。2.如权利要求1所述的方法，其特征在于，所述第一请求为所述流量检测引擎检测到单位时间内服务器访问流量超过预设阈值时发送的。3.如权利要求1所述的方法，其特征在于，还包括：在接收到所述流量检测引擎发送的停止记录流量的第二请求时，停止记录服务器访问流量，其中，所述第二请求为所述流量检测引擎检测到单位时间内服务器访问流量不超过预设阈值时发送的。4.如权利要求1所述的方法，其特征在于，根据所述流量值及所述第一时间确定流量记录频率，具体包括：分别确定记录服务器访问流量的速率和单位时间内的服务器访问流量；确定记录服务器访问流量的速率与服务器访问流量的比值为所述流量记录频率。5.如权利要求4所述的方法，其特征在于，还包括：如果单位时间内服务器访问流量和/或服务器访问流量变化值为零，则确定所述流量记录频率为预设的固定频率。6.如权利要求4所述的方法，其特征在于，按照以下公式确定单位时间内的服务器访问流量：其中：ΔB为预设的最大流量阈值与所述流量值之间的差值；Δt为达到所述最大流量阈值的第二时间与所述第一时间之间的差值，其中所述第二时间为根据所述流量值和所述第一时间预测得到的。7.如权利要求6所述的方法，其特征在于，按照以下公式确定所述第二时间：其中：tmax为所述第二时间；Bmax为预设的最大流量阈值；σc为根据所述流量值和第一时间确定出的纠正因子。8.如权利要求7所述的方法，其特征在于，根据所述流量值和第一时间按照以下公式确定σc：其中：tc为所述第一时间；fc为所述流量值。9.如权利要求1所述的方法，其特征在于，还包括：统计记录的数据包序列数量；如果超过预设数量值，则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。10.如权利要求1所述的方法，其特征在于，还包括：统计记录的数据包序列所占用的存储空间；如果记录的数据包序列所占用的存储空间超过预设内存阈值，则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。11.一种攻击流量的记录装置，其特征在于，包括：接收单元，用于接收流量检测引擎发送的开始记录流量的第一请求，所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间；第一确...

【专利技术属性】
技术研发人员：刘文辉，樊宇，张磊，何坤，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11