The embodiment of the application provides an attack detection method and device, which relates to the technical field of network security. The method includes: receiving the service message; extracting the target characteristic value of the preset fingerprint from the service message, and the preset fingerprint includes at least one message characteristic; calculating the first hash value of the extracted target characteristic value; finding the second hash value which is the same as the first hash value in the pre stored hash value, and the pre stored hash value is based on the characteristics of the preset fingerprint in the sample attack message The hash value obtained from eigenvalue calculation; if it is found, it is determined that the service message is an attack message. Applying the technical scheme provided by the embodiment of the application can effectively reduce the false detection rate of attack message.
【技术实现步骤摘要】
一种攻击检测方法及装置
本申请涉及网络安全
,特别是涉及一种攻击检测方法及装置。
技术介绍
DDoS(DistributedDenialofService,分布式拒绝服务)攻击指借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标计算机发动DoS(DenialofService,拒绝服务)攻击,从而成倍地提高拒绝服务攻击的威力。在日益发达的网络环境中,分布式拒绝服务攻击越来越猖獗。为了提高网络安全性,针对分布式拒绝服务攻击,主要采用以下方式进行攻击检测:安全设备统计向五元组信息相同的报文数量;若统计得到的数量大于预设数量阈值,则确定包括该五元组信息的报文为攻击报文。安全设备按照防护措施丢弃所确定的攻击报文。现有技术中,采用上述阈值的方式检测攻击报文,容易将合法报文错误地识别为攻击报文。例如,在正常报文转发时,存在单通、丢包、或者服务器确认不及的情况,这会造成较大数量的报文重传。这种情况下,安全设备可能将统计得到正常报文的数量大于预设数量阈值,将正常报文误识别为攻击报文。
技术实现思路
本申请实施例的目的在于提供一种攻击检测方法及装置,以降低攻击报文的误检率。具体技术方案如下:第一方面,本申请实施例提供了一种攻击检测方法,所述方法包括:接收业务报文;从所述业务报文中提取预设指纹的目标特征值;所述预设指纹包括至少一个报文特征;计算所提取的目标特征值的第一哈希值;在预先存储的哈希值中查找与所述第一哈希值相同的第二哈希值,所述预先存储的 ...
【技术保护点】
1.一种攻击检测方法,其特征在于,所述方法包括:/n接收业务报文;/n从所述业务报文中提取预设指纹的目标特征值;所述预设指纹包括至少一个报文特征;/n计算所提取的目标特征值的第一哈希值;/n在预先存储的哈希值中查找与所述第一哈希值相同的第二哈希值,所述预先存储的哈希值是根据样本攻击报文中预设指纹的特征值计算得到的哈希值;/n若查找到,则确定所述业务报文为攻击报文。/n
【技术特征摘要】
1.一种攻击检测方法,其特征在于,所述方法包括:
接收业务报文;
从所述业务报文中提取预设指纹的目标特征值;所述预设指纹包括至少一个报文特征;
计算所提取的目标特征值的第一哈希值;
在预先存储的哈希值中查找与所述第一哈希值相同的第二哈希值,所述预先存储的哈希值是根据样本攻击报文中预设指纹的特征值计算得到的哈希值;
若查找到,则确定所述业务报文为攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述从所述业务报文中提取预设指纹的目标特征值的步骤,包括:
根据预先存储的目的地址与预设指纹的对应关系,确定所述业务报文的目的地址对应的预设指纹;
从所述业务报文中提取所确定的预设指纹的目标特征值。
3.根据权利要求1所述的方法,其特征在于,在查找到所述第二哈希值后之后,所述方法还包括:
统计命中所述第二哈希值的业务报文的报文数量;
根据所述报文数量与预设数量阈值的大小关系以及所述大小关系对应的防护动作,处理所述业务报文。
4.根据权利要求3所述的方法,其特征在于,所述防护动作包括:观察、限速和阻断;
所述根据所述报文数量与预设数量阈值的大小关系以及所述大小关系对应的防护动作,处理所述业务报文的步骤,包括:
若所述报文数量小于预设数量阈值,则将所述第二哈希值加入观察队列,所述观察队列用于存储包括需要观察的攻击报文的哈希值;统计命中所述第二哈希值的业务报文的报文数量;
若所述报文数量等于预设数量阈值,则将所述第二哈希值加入限速队列,所述限速队列用于存储包括需要限速的攻击报文的哈希值;限制命中所述第二哈希值的业务报文的转发速率小于等于预设速率阈值;
若所述报文数量大于预设数量阈值,则将所述第二哈希值加入阻断队列,所述阻断队列用于存储包括需要阻断的攻击报文的哈希值;丢弃命中所述第二哈希值的业务报文。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
老化所述观察队列、限速队列和阻断队列中存储时长达到预设老化时长的哈希值。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述预设指纹包括报文长度、报文标识、生存时间TTL、源网络协议IP地址、目的IP地址、序列号、确认号、源端口、目的端口、控制报文协议ICMP标识、ICMP序列中的一个或多个报文特征。
7.一种攻击检测装置,其特征在于,所述装置包括:
接收单元,用于接收业务报文;
提取单元,用于从所述业务报文中提取预设指纹的目标特征值;所述预设指纹包括至少一个报文特征;
计算单元,用于计算所...
【专利技术属性】
技术研发人员:王春磊,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。