【技术实现步骤摘要】
安全攻击检测方法、装置、计算机设备及存储介质
本专利技术涉及计算机
,尤其涉及一种安全攻击检测方法、装置、计算机设备及存储介质。
技术介绍
DDOS是英文DistributedDenialofService的缩写,为“分布式拒绝服务”。DDOS类型的安全攻击,是指攻击者通过控制分布在互联网各处的僵尸网络,向攻击目标(例如服务器)发起大量看似合法实质恶意的业务请求,以消耗或者长期占用攻击目标的大量资源,导致攻击目标无法响应正常的业务请求,从而达到攻击目标拒绝服务的目的。目前,DDOS类型的安全攻击主要包括:synack伪造攻击、UDP(UserDatagramProtocol,用户数据报协议)反射攻击、TCP(TransmissionControlProtocol传输控制协议)反射攻击等等。针对上述安全攻击,防护方案要么通过tcp源端口封禁,要么通过syn/ack报文限速或者封禁,都有可能对正常的业务请求造成误杀。由此可知,现有的安全攻击检测仍存在较高的误检率。
技术实现思路
为了解决相关技术中安全攻击检测存在较高的误检率的问题,本专利技术各实施例提供一种安全攻击检测方法、装置、计算机设备及存储介质。其中,本专利技术所采用的技术方案为:根据本专利技术的一方面,一种安全攻击检测方法,包括:获取镜像流量,所述镜像流量是对待传输至目的端的流量进行分光生成的,所述待传输至目的端的流量是源端请求连接所述目的端产生的;针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话;对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端 ...
【技术保护点】
1.一种安全攻击检测方法,其特征在于,包括:获取镜像流量,所述镜像流量是对待传输至目的端的流量进行分光生成的,所述待传输至目的端的流量是源端请求连接所述目的端产生的;针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话;对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传;将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态;如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,对待传输至目的端的流量中对应于所述会话的流量进行拦截。
【技术特征摘要】
1.一种安全攻击检测方法,其特征在于,包括:获取镜像流量,所述镜像流量是对待传输至目的端的流量进行分光生成的,所述待传输至目的端的流量是源端请求连接所述目的端产生的;针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话;对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传;将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态;如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,对待传输至目的端的流量中对应于所述会话的流量进行拦截。2.如权利要求1所述的方法,其特征在于,所述针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话,包括:从所述镜像流量中,提取得到所述源端的会话信息和所述目的端的会话信息;根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话。3.如权利要求2所述的方法,其特征在于,所述根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话,包括:根据所述源端的会话信息确定所述源端的IP地址、TCP端口,以及根据所述目的端的会话信息确定所述目的端的IP地址、TCP端口;以所述源端的IP地址、TCP端口作为第一传输端,以所述目的端的IP地址、TCP端口作为第二传输端;在所述第一传输端与所述第二传输端之间建立传输通道,形成所述源端与所述目的端之间的会话。4.如权利要求2所述的方法,其特征在于,所述从所述镜像流量中,提取得到所述源端的会话信息和所述目的端的会话信息之后,所述方法还包括:根据所述源端的会话信息,确认所述源端是否首次请求连接所述目的端;如果是,则执行所述根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话的步骤。5.如权利要求1所述的方法,其特征在于,所述对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传,包括:确认所述镜像流量中对应于所述会话的第一特定报文是否为连接建立过程中的第一个同步响应报文;如果对应于所述会话的第一特定报文是所述连接建立过程中的第一个同步响应报文,则丢弃该第一个同步响应报文,并针对所述会话启动第一计时器;通过所述第一计时器的数值,确认所述源端重传所述同步响应报文是否超时;如果否,则确认所述源端已重传所述同步响应报文。6.如权利要求1所述的方法,其特征在于,所述将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态,包括:转发所述源端重传的所述第一特定报文至所述目的端,并针对所述会话启动第二计时器;在所述第二计时器的数值未超过设定时长时,接收所述源端发送的第二特定报文,并确认所述第二特定报文的报文类型;根据所述第二特定报文的报文类型,判断所述源端是否进入连接建立状态。7.如权利要求6所述的方法,其特征在于,所述根据所述第二特定报文的报文类型,判断所述源端是否进入连接建立状态,包括:当所述报文类型指示所述第二特定报文为同步响应报文时,基于所述会话,统计接...
【专利技术属性】
技术研发人员:陈国,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。