安全攻击检测方法、装置、计算机设备及存储介质制造方法及图纸

本发明专利技术公开了一种安全攻击检测方法、装置、计算机设备及存储介质，所述安全攻击检测方法包括：获取镜像流量；针对请求连接所述目的端的源端，根据所述镜像流量创建所述源端与所述目的端之间的会话；对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理，等待所述源端针对所述第一特定报文进行重传；将所述源端重传的所述第一特定报文转发至所述目的端，通过对所述会话的跟踪，检测所述源端是否进入连接建立状态；如果检测到所述源端未进入所述连接建立状态，则确认所述目的端受到来自于所述源端的TCP反射攻击，对待传输至目的端的流量中对应于所述会话的流量进行拦截。采用本发明专利技术解决了现有技术中安全攻击检测存在较高的误检率的问题。

Security attack detection methods, devices, computer equipment and storage media

【技术实现步骤摘要】
安全攻击检测方法、装置、计算机设备及存储介质
本专利技术涉及计算机
，尤其涉及一种安全攻击检测方法、装置、计算机设备及存储介质。
技术介绍
DDOS是英文DistributedDenialofService的缩写，为“分布式拒绝服务”。DDOS类型的安全攻击，是指攻击者通过控制分布在互联网各处的僵尸网络，向攻击目标(例如服务器)发起大量看似合法实质恶意的业务请求，以消耗或者长期占用攻击目标的大量资源，导致攻击目标无法响应正常的业务请求，从而达到攻击目标拒绝服务的目的。目前，DDOS类型的安全攻击主要包括：synack伪造攻击、UDP(UserDatagramProtocol，用户数据报协议)反射攻击、TCP(TransmissionControlProtocol传输控制协议)反射攻击等等。针对上述安全攻击，防护方案要么通过tcp源端口封禁，要么通过syn/ack报文限速或者封禁，都有可能对正常的业务请求造成误杀。由此可知，现有的安全攻击检测仍存在较高的误检率。
技术实现思路
为了解决相关技术中安全攻击检测存在较高的误检率的问题，本专利技术各实施例提供一种安全攻击检测方法、装置、计算机设备及存储介质。其中，本专利技术所采用的技术方案为：根据本专利技术的一方面，一种安全攻击检测方法，包括：获取镜像流量，所述镜像流量是对待传输至目的端的流量进行分光生成的，所述待传输至目的端的流量是源端请求连接所述目的端产生的；针对请求连接所述目的端的源端，根据所述镜像流量创建所述源端与所述目的端之间的会话；对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理，等待所述源端针对所述第一特定报文进行重传；将所述源端重传的所述第一特定报文转发至所述目的端，通过对所述会话的跟踪，检测所述源端是否进入连接建立状态；如果检测到所述源端未进入所述连接建立状态，则确认所述目的端受到来自于所述源端的TCP反射攻击，对待传输至目的端的流量中对应于所述会话的流量进行拦截。在本专利技术的一实施例中，所述通过对所述会话的跟踪，检测所述源端是否进入连接建立状态之后，所述方法还包括：如果检测到所述源端进入所述连接建立状态，则确认所述目的端未受到来自于所述源端的TCP反射攻击，将所述会话存储为连接信任会话；将待传输至所述目的端的流量传输至所述目的端。根据本专利技术的一方面，一种安全攻击检测装置，包括：流量获取模块，用于获取镜像流量，所述镜像流量是对待传输至目的端的流量进行分光生成的，所述待传输至目的端的流量是源端请求连接所述目的端产生的；会话创建模块，用于针对请求连接所述目的端的源端，根据所述镜像流量创建所述源端与所述目的端之间的会话；报文丢弃模块，用于对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理，等待所述源端针对所述第一特定报文进行重传；会话跟踪模块，用于将所述源端重传的所述第一特定报文转发至所述目的端，通过对所述会话的跟踪，检测所述源端是否进入连接建立状态；如果检测到所述源端未进入所述连接建立状态，则确认所述目的端受到来自于所述源端的TCP反射攻击，通知流量拦截模块；所述流量拦截模块，用于对待传输至目的端的流量中对应于所述会话的流量进行拦截。根据本专利技术的一方面，一种计算机设备，包括处理器及存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现如上所述的安全攻击检测方法。根据本专利技术的一方面，一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的安全攻击检测方法。在上述技术方案中，通过重传防护机制+连接建立防护机制，对DDOS类型的安全攻击进行检测，能够有效地防止DDOS类型的安全攻击，而且对正常的业务请求不存在任何的误杀。具体而言，重传防护机制包括：获取镜像流量，根据该镜像流量创建源端与目的端之间的会话，以对该镜像流量中对应于该会话的第一特定报文进行丢弃处理，等待源端针对该第一特定报文进行重传。如果未接收到源端重传的第一特定报文，则确认目的端受到来自于源端的synack伪造攻击。连接建立防护机制包括：当接收到源端重传的第一特定报文，将所述源端重传的所述第一特定报文转发至所述目的端，便对会话进行跟踪，以此检测源端是否进入连接建立状态，如果检测到源端未进入连接建立状态，则确认目的端受到来自于源端的TCP反射攻击。当目的端受到来自于源端的安全攻击，便对会话对应的流量进行拦截，从而高效、准确地检测和防护了DDOS类型的安全攻击，解决了现有技术中安全攻击检测存在较高的误检率的问题。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本专利技术。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并于说明书一起用于解释本专利技术的原理。图1是根据本专利技术所涉及的TCP反射攻击的系统架构的示意图。图2是根据本专利技术所涉及的实施环境的示意图。图3是根据一示例性实施例示出的一种服务器的硬件结构框图。图4是根据一示例性实施例示出的一种安全攻击检测方法的流程图。图5是根据一示例性实施例示出的另一种安全攻击检测方法的流程图。图6是根据一示例性实施例示出的另一种安全攻击检测方法的流程图。图7是图4、图5、图6对应实施例中步骤330在一个实施例的流程图。图8是图7对应实施例中步骤333在一个实施例的流程图。图9是图4、图5、图6对应实施例中步骤330在另一个实施例的流程图。图10是图4、图5、图6对应实施例中步骤350在一个实施例的流程图。图11是根据一示例性实施例示出的源端进入连接建立状态的示意图。图12是图4、图5、图6对应实施例中步骤370在一个实施例的流程图。图13是图12对应实施例中步骤375在一个实施例的流程图。图14是根据一示例性实施例示出的目的端受到安全攻击时源端未进入连接建立状态的示意图。图15是根据一示例性实施例示出的目的端受到安全攻击并反馈复位报文时源端未进入连接建立状态的示意图。图16是图4、图5、图6对应实施例中步骤390在一个实施例的流程图。图17是图16对应实施例中步骤395在一个实施例的流程图。图18是根据一示例性实施例示出的一种安全攻击检测装置的框图。图19是根据一示例性实施例示出的一种计算机设备的框图。通过上述附图，已示出本专利技术明确的实施例，后文中将有更详细的描述，这些附图和文字描述并不是为了通过任何方式限制本专利技术构思的范围，而是通过参考特定实施例为本领域技术人员说明本专利技术的概念。具体实施方式这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。如前所述，DDOS类型的安全攻击主要包括：synack伪造攻击、UDP(UserDatagramProtocol，用户数据报协议)反射攻击、TCP(TransmissionControlProtocol传输控制协议)反射攻击等等。以TCP反射攻击为例说明下安全攻击防护的大体过程。如图1所示，攻击者Attacker通过IP地址欺骗方式，伪造攻击目标TargetServer本文档来自技高网...

【技术保护点】
1.一种安全攻击检测方法，其特征在于，包括：获取镜像流量，所述镜像流量是对待传输至目的端的流量进行分光生成的，所述待传输至目的端的流量是源端请求连接所述目的端产生的；针对请求连接所述目的端的源端，根据所述镜像流量创建所述源端与所述目的端之间的会话；对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理，等待所述源端针对所述第一特定报文进行重传；将所述源端重传的所述第一特定报文转发至所述目的端，通过对所述会话的跟踪，检测所述源端是否进入连接建立状态；如果检测到所述源端未进入所述连接建立状态，则确认所述目的端受到来自于所述源端的TCP反射攻击，对待传输至目的端的流量中对应于所述会话的流量进行拦截。

【技术特征摘要】
1.一种安全攻击检测方法，其特征在于，包括：获取镜像流量，所述镜像流量是对待传输至目的端的流量进行分光生成的，所述待传输至目的端的流量是源端请求连接所述目的端产生的；针对请求连接所述目的端的源端，根据所述镜像流量创建所述源端与所述目的端之间的会话；对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理，等待所述源端针对所述第一特定报文进行重传；将所述源端重传的所述第一特定报文转发至所述目的端，通过对所述会话的跟踪，检测所述源端是否进入连接建立状态；如果检测到所述源端未进入所述连接建立状态，则确认所述目的端受到来自于所述源端的TCP反射攻击，对待传输至目的端的流量中对应于所述会话的流量进行拦截。2.如权利要求1所述的方法，其特征在于，所述针对请求连接所述目的端的源端，根据所述镜像流量创建所述源端与所述目的端之间的会话，包括：从所述镜像流量中，提取得到所述源端的会话信息和所述目的端的会话信息；根据所述源端的会话信息和所述目的端的会话信息，创建所述源端与所述目的端之间的会话。3.如权利要求2所述的方法，其特征在于，所述根据所述源端的会话信息和所述目的端的会话信息，创建所述源端与所述目的端之间的会话，包括：根据所述源端的会话信息确定所述源端的IP地址、TCP端口，以及根据所述目的端的会话信息确定所述目的端的IP地址、TCP端口；以所述源端的IP地址、TCP端口作为第一传输端，以所述目的端的IP地址、TCP端口作为第二传输端；在所述第一传输端与所述第二传输端之间建立传输通道，形成所述源端与所述目的端之间的会话。4.如权利要求2所述的方法，其特征在于，所述从所述镜像流量中，提取得到所述源端的会话信息和所述目的端的会话信息之后，所述方法还包括：根据所述源端的会话信息，确认所述源端是否首次请求连接所述目的端；如果是，则执行所述根据所述源端的会话信息和所述目的端的会话信息，创建所述源端与所述目的端之间的会话的步骤。5.如权利要求1所述的方法，其特征在于，所述对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理，等待所述源端针对所述第一特定报文进行重传，包括：确认所述镜像流量中对应于所述会话的第一特定报文是否为连接建立过程中的第一个同步响应报文；如果对应于所述会话的第一特定报文是所述连接建立过程中的第一个同步响应报文，则丢弃该第一个同步响应报文，并针对所述会话启动第一计时器；通过所述第一计时器的数值，确认所述源端重传所述同步响应报文是否超时；如果否，则确认所述源端已重传所述同步响应报文。6.如权利要求1所述的方法，其特征在于，所述将所述源端重传的所述第一特定报文转发至所述目的端，通过对所述会话的跟踪，检测所述源端是否进入连接建立状态，包括：转发所述源端重传的所述第一特定报文至所述目的端，并针对所述会话启动第二计时器；在所述第二计时器的数值未超过设定时长时，接收所述源端发送的第二特定报文，并确认所述第二特定报文的报文类型；根据所述第二特定报文的报文类型，判断所述源端是否进入连接建立状态。7.如权利要求6所述的方法，其特征在于，所述根据所述第二特定报文的报文类型，判断所述源端是否进入连接建立状态，包括：当所述报文类型指示所述第二特定报文为同步响应报文时，基于所述会话，统计接...

【专利技术属性】
技术研发人员：陈国，
申请(专利权)人：深圳市腾讯计算机系统有限公司，
类型：发明
国别省市：广东,44