一种攻击检测方法及装置制造方法及图纸

本申请实施例提供了一种攻击检测方法及装置，涉及网络安全技术领域。该方法包括：接收业务报文；从业务报文中提取预设指纹的目标特征值，预设指纹包括至少一个报文特征；计算所提取的目标特征值的第一哈希值；在预先存储的哈希值中查找与第一哈希值相同的第二哈希值，预先存储的哈希值是根据样本攻击报文中预设指纹的特征值计算得到的哈希值；若查找到，则确定业务报文为攻击报文。应用本申请实施例提供的技术方案，能够有效地降低攻击报文的误检率。

An attack detection method and device

The embodiment of the application provides an attack detection method and device, which relates to the technical field of network security. The method includes: receiving the service message; extracting the target characteristic value of the preset fingerprint from the service message, and the preset fingerprint includes at least one message characteristic; calculating the first hash value of the extracted target characteristic value; finding the second hash value which is the same as the first hash value in the pre stored hash value, and the pre stored hash value is based on the characteristics of the preset fingerprint in the sample attack message The hash value obtained from eigenvalue calculation; if it is found, it is determined that the service message is an attack message. Applying the technical scheme provided by the embodiment of the application can effectively reduce the false detection rate of attack message.

【技术实现步骤摘要】
一种攻击检测方法及装置
本申请涉及网络安全
，特别是涉及一种攻击检测方法及装置。
技术介绍
DDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户端/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标计算机发动DoS(DenialofService，拒绝服务)攻击，从而成倍地提高拒绝服务攻击的威力。在日益发达的网络环境中，分布式拒绝服务攻击越来越猖獗。为了提高网络安全性，针对分布式拒绝服务攻击，主要采用以下方式进行攻击检测：安全设备统计向五元组信息相同的报文数量；若统计得到的数量大于预设数量阈值，则确定包括该五元组信息的报文为攻击报文。安全设备按照防护措施丢弃所确定的攻击报文。现有技术中，采用上述阈值的方式检测攻击报文，容易将合法报文错误地识别为攻击报文。例如，在正常报文转发时，存在单通、丢包、或者服务器确认不及的情况，这会造成较大数量的报文重传。这种情况下，安全设备可能将统计得到正常报文的数量大于预设数量阈值，将正常报文误识别为攻击报文。
技术实现思路
本申请实施例的目的在于提供一种攻击检测方法及装置，以降低攻击报文的误检率。具体技术方案如下：第一方面，本申请实施例提供了一种攻击检测方法，所述方法包括：接收业务报文；从所述业务报文中提取预设指纹的目标特征值；所述预设指纹包括至少一个报文特征；计算所提取的目标特征值的第一哈希值；在预先存储的哈希值中查找与所述第一哈希值相同的第二哈希值，所述预先存储的哈希值是根据样本攻击报文中预设指纹的特征值计算得到的哈希值；若查找到，则确定所述业务报文为攻击报文。第二方面，本申请实施例提供了一种攻击检测装置，所述装置包括：接收单元，用于接收业务报文；提取单元，用于从所述业务报文中提取预设指纹的目标特征值；所述预设指纹包括至少一个报文特征；计算单元，用于计算所提取的目标特征值的第一哈希值；查找单元，用于在预先存储的哈希值中查找与所述第一哈希值相同的第二哈希值，所述预先存储的哈希值是根据样本攻击报文中预设指纹的特征值计算得到的哈希值；确定单元，用于若查找到所述第二哈希值，则确定所述业务报文为攻击报文。第三方面，本申请实施例提供了一种安全设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述任一所述的方法步骤。第四方面，本申请实施例提供了一种机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述任一所述的方法步骤。本申请实施例提供的一种攻击检测方法及装置，根据样本攻击报文中预设指纹的特征值计算得到的哈希值并存储。若业务报文中预设指纹的目标特征值的第一哈希值命中预先存储的哈希值，则可确定该业务报文为攻击报文。报文特征值相同的报文，指纹完全相同，报文特征值不同的报文，指纹不完全相同，即报文特征值不同的报文，指纹存在一定的差异，因此，本申请实施例中，基于预设指纹对应的哈希值确定攻击报文，能够有效地降低攻击报文的误检率。当然，实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种组网示意图；图2为本申请实施例提供的攻击检测方法的一种流程示意图；图3为本申请实施例提供的攻击检测方法的另一种流程示意图；图4为本申请实施例提供的攻击检测方法的再一种流程示意图；图5为本申请实施例提供的攻击检测装置的一种结构示意图；图6为本申请实施例提供的安全设备的一种结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。指纹：网络传输的数据报文在各个层次中包含很多字段，其中有报文长度、TTL(TimeToLive，生存时间)、源目的端口、源目的IP(InternetProtocol，网络协议)地址、ICMP(InternetControlMessageProtocol，网络控制消息协议)、ICMPSEQ(Sequence，序列)等信息，甚至包括数据段的一些信息，如表1所示。在不同的网络中，这些字段都表示报文特征，这些报文特征可以称为指纹。表1表1中，特征：表示报文中携带的指纹，例如报文长度、报文ID等；偏移(offset)：表示从报文头开始偏移n个字节的长度；长度(Length)：表示报文长度的数据字节长度。例如，报文长度表示报文的长度。报文长度：从报文头开始偏移2个字节后2字节长度的字段的特征值为表示报文长度的值。TTL：从报文头开始偏移8个字节后1个字节长度的字段的特征值为表示TTL的值。现有技术中，如图1所示的组网中，用户终端与安全设备间通过SYN(Synchronize，同步)报文、ACK(Acknowledgement，确认)报文、SYN&ACK报文以及GET(到达)报文进行三次握手，建立连接，服务器与安全设备间通过SYN报文、ACK报文、SYN&ACK报文以及GET报文进行三次握手，建立连接。在图1所示组网中，为检测DDoS攻击，如SYNFlOOD(泛洪)类型的DDoS攻击，安全设备统计五元组信息相同的业务报文的数量；若统计得到的数量大于预设数量阈值，则确定包括该五元组信息的业务报文为攻击报文。之后，安全设备按照防护措施丢弃所确定的攻击报文。采用上述阈值的方式检测攻击报文，容易将合法报文错误地识别为攻击报文。为解决上述问题，本申请实施例提供了一种攻击检测方法。该方法可应用于如图1所示的安全设备。安全设备可以是防火墙设备、交换机等网络设备。该攻击检测方法中，安全设备根据样本攻击报文中预设指纹的特征值计算得到的哈希值并存储。若业务报文中预设指纹的目标特征值的第一哈希值命中预先存储的哈希值，则安全设备可确定该业务报文为攻击报文。报文特征值相同的报文，指纹完全相同，报文特征值不同的报文，指纹不完全相同，即报文特征值不同的报文，指纹存在一定的差异，因此，本申请实施例中，基于预设指纹对应的哈希值确定攻击报文，能够有效地降低攻击报文的误检率。下面通过具体实施例，对本申请实施例提供的攻击检测方法进行详细说明。参考图2，图2为本申请实施例提供的攻击检测方法的一种流程示意图。为便于后续本文档来自技高网...

【技术保护点】
1.一种攻击检测方法，其特征在于，所述方法包括：/n接收业务报文；/n从所述业务报文中提取预设指纹的目标特征值；所述预设指纹包括至少一个报文特征；/n计算所提取的目标特征值的第一哈希值；/n在预先存储的哈希值中查找与所述第一哈希值相同的第二哈希值，所述预先存储的哈希值是根据样本攻击报文中预设指纹的特征值计算得到的哈希值；/n若查找到，则确定所述业务报文为攻击报文。/n

【技术特征摘要】
1.一种攻击检测方法，其特征在于，所述方法包括：
接收业务报文；
从所述业务报文中提取预设指纹的目标特征值；所述预设指纹包括至少一个报文特征；
计算所提取的目标特征值的第一哈希值；
在预先存储的哈希值中查找与所述第一哈希值相同的第二哈希值，所述预先存储的哈希值是根据样本攻击报文中预设指纹的特征值计算得到的哈希值；
若查找到，则确定所述业务报文为攻击报文。


2.根据权利要求1所述的方法，其特征在于，所述从所述业务报文中提取预设指纹的目标特征值的步骤，包括：
根据预先存储的目的地址与预设指纹的对应关系，确定所述业务报文的目的地址对应的预设指纹；
从所述业务报文中提取所确定的预设指纹的目标特征值。


3.根据权利要求1所述的方法，其特征在于，在查找到所述第二哈希值后之后，所述方法还包括：
统计命中所述第二哈希值的业务报文的报文数量；
根据所述报文数量与预设数量阈值的大小关系以及所述大小关系对应的防护动作，处理所述业务报文。


4.根据权利要求3所述的方法，其特征在于，所述防护动作包括：观察、限速和阻断；
所述根据所述报文数量与预设数量阈值的大小关系以及所述大小关系对应的防护动作，处理所述业务报文的步骤，包括：
若所述报文数量小于预设数量阈值，则将所述第二哈希值加入观察队列，所述观察队列用于存储包括需要观察的攻击报文的哈希值；统计命中所述第二哈希值的业务报文的报文数量；
若所述报文数量等于预设数量阈值，则将所述第二哈希值加入限速队列，所述限速队列用于存储包括需要限速的攻击报文的哈希值；限制命中所述第二哈希值的业务报文的转发速率小于等于预设速率阈值；
若所述报文数量大于预设数量阈值，则将所述第二哈希值加入阻断队列，所述阻断队列用于存储包括需要阻断的攻击报文的哈希值；丢弃命中所述第二哈希值的业务报文。


5.根据权利要求4所述的方法，其特征在于，所述方法还包括：
老化所述观察队列、限速队列和阻断队列中存储时长达到预设老化时长的哈希值。


6.根据权利要求1-5任一项所述的方法，其特征在于，所述预设指纹包括报文长度、报文标识、生存时间TTL、源网络协议IP地址、目的IP地址、序列号、确认号、源端口、目的端口、控制报文协议ICMP标识、ICMP序列中的一个或多个报文特征。


7.一种攻击检测装置，其特征在于，所述装置包括：
接收单元，用于接收业务报文；
提取单元，用于从所述业务报文中提取预设指纹的目标特征值；所述预设指纹包括至少一个报文特征；
计算单元，用于计算所...

【专利技术属性】
技术研发人员：王春磊，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽;34