本申请的目的是提供一种基于动态调整的攻击防护方法及设备,本申请通过根据源IP的入向流量和目的IP的入向流量,确定目的IP是否存在丢包;当目的IP存在丢包时,根据获取的源IP的当前速度阈值、目的IP的当前速度阈值及目的IP的当前总流量,对源IP的当前速度阈值进行第一调整处理,得到源IP的新的速度阈值;或,当目的IP不存在丢包时,根据获取的源IP的当前速度阈值、目的IP的当前速度阈值、目的IP的当前总流量及目的IP的当前丢包率,对源IP的当前速度阈值进行第二调整处理,得到源IP的新的速度阈值,实现了根据系统流量情况动态调整源IP的当前速度阈值,降低了误拦率,同时提高了防御效果和用户体验。
【技术实现步骤摘要】
一种基于动态调整的攻击防护方法及设备
本申请涉及计算机领域,尤其涉及一种基于动态调整的攻击防护方法及设备。
技术介绍
现有技术中,随着移动互联网、物联网的高速发展,越来越多的存在漏洞的硬件设备暴露在互联网上,通过漏洞的利用,黑客控制的肉鸡规模也越来越大。黑客可以很容易通过控制的大量肉鸡发起大规模的DDOS攻击。随机源IP的攻击方式可以通过真实源IP认证机制进行过滤,但真实源IP攻击由于具有完整的协议栈行为,甚至具有真实的用户访问行为,可以轻松突破各种源IP认证机制。要达到攻击效果,攻击源IP的访问频率肯定要比正常源IP的访问频率高,可以通过针对源IP速度来过滤攻击的源IP。实践中根据经验值设置静态的源IP速度阈值,容易产生如下问题:一方面,阈值过大,此时有更多的数据包在目的IP速度那里被丢掉,这样小流量的源IP由于无法与大流量的源IP(有可能是攻击IP)竞争,其数据包一直得不到转发,导致正常请求得不到响应,造成误拦率高。另一方面,阈值过小,经过源IP过滤后,大多数数据包被丢弃,通过的流量远小于防护目标IP的带宽,造成带宽的浪费,并且达不到防御效果。因此,如何调整源IP速度阈值,在DDOS防护过程中避免误拦,提高防御效果成为当前研究的主要课题和方向。
技术实现思路
本申请的一个目的是提供一种基于动态调整的攻击防护方法及设备,以解决现有技术中如何动态调整源IP的速度阈值从而降低误拦率,提高防御效果和用户体验的问题。根据本申请的一个方面,提供了一种动态调整源IP速度阈值的方法,包括:r>根据源IP的入向流量和目的IP的入向流量,确定所述目的IP是否存在丢包;当所述目的IP存在丢包时,根据获取的所述源IP的当前速度阈值、所述目的IP的当前速度阈值及所述目的IP的当前总流量,对所述源IP的当前速度阈值进行第一调整处理,得到所述源IP的新的速度阈值;或,当所述目的IP不存在丢包时,根据获取的所述源IP的当前速度阈值、所述目的IP的当前速度阈值、所述目的IP的当前总流量及所述目的IP的当前丢包率,对所述源IP的当前速度阈值进行第二调整处理,得到所述源IP的新的速度阈值。进一步地,上述动态调整源IP速度阈值的方法中,对所述源IP的当前速度阈值进行第一调整处理,得到所述源IP的新的速度阈值,包括:对所述源IP的当前速度阈值进行第一调整处理后得到源IP的调整后的第一速度阈值;取所述源IP的调整后的第一速度阈值与预置的所述源IP的预设速度阈值中的最大值为所述源IP的新的速度阈值。进一步地,上述动态调整源IP速度阈值的方法中,对所述源IP的当前速度阈值进行第二调整处理,得到所述源IP的新的速度阈值,包括:对所述源IP的当前速度阈值进行第二调整处理后得到所述源IP的调整后的第二速度阈值;取所述源IP的调整后的第二速度阈值与预置的所述源IP的所述预设速度阈值中的最小值为所述源IP的新的速度阈值。进一步地,上述动态调整源IP速度阈值的方法中,所述根据源IP的入向流量和目的IP的入向流量,确定所述目的IP是否存在丢包,包括:预置所述源IP的预设速度阈值和所述目的IP的预设速度阈值;按照预设时间间隔统计并汇总所有线程的统计数据,所述统计数据包括所述源IP的相关数据和所述目的IP的相关数据,所述源IP的相关数据包括所述源IP的入向流量,所述目的IP的相关数据包括所述目的IP的入向流量;根据源IP的入向流量、所述源IP的当前速度阈值、所述目的IP的入向流量及所述目的IP的当前速度阈值,确定所述目的IP是否存在丢包。进一步地,上述动态调整源IP速度阈值的方法中,根据源IP的入向流量、所述源IP的当前速度阈值、所述目的IP的入向流量及所述目的IP的当前速度阈值,确定所述目的IP是否存在丢包,包括:判断所述源IP的入向流量是否大于所述源IP的当前速度阈值,若是,则丢弃所述源IP的入向数据包,并统计所述源IP的丢包率;若否,则统计所述源IP的出向流量,并根据所述目的IP的入向流量及所述目的IP的当前速度阈值,确定所述目的IP是否存在丢包。进一步地,上述动态调整源IP速度阈值的方法中,根据所述目的IP的入向流量及所述目的IP的当前速度阈值,确定所述目的IP是否存在丢包,包括:判断所述目的IP的入向流量是否大于所述目的IP的当前速度阈值,若是,则丢弃所述目的IP的入向数据包,并统计所述目的IP的丢包率;若否,则转发所述目的IP的出向数据包,并统计所述目的IP的出向流量。进一步地,上述动态调整源IP速度阈值的方法中,所述对所述源IP的当前速度阈值进行第一调整或第二调整处理之后,所述方法还包括:清空所述所有线程的所述统计数据。进一步地,上述动态调整源IP速度阈值的方法中,所述源IP的相关数据还包括:所述源IP的丢包率和所述源IP的出向流量;所述目的IP的相关数据还包括:所述目的IP的丢包率和所述目的IP的出向流量。根据本申请的另一方面,还提供了一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行时,使所述处理器实现如上述任一项所述的方法。根据本申请的另一方面,还提供了一种基于动态调整的攻击防护设备,该设备包括:一个或多个处理器;计算机可读介质,用于存储一个或多个计算机可读指令,当所述一个或多个计算机可读指令被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述中任一项所述的方法。与现有技术相比,本申请通过根据源IP的入向流量和目的IP的入向流量,确定所述目的IP是否存在丢包;当所述目的IP存在丢包时,根据获取的所述源IP的当前速度阈值、所述目的IP的当前速度阈值及所述目的IP的当前总流量,对所述源IP的当前速度阈值进行第一调整处理,得到所述源IP的新的速度阈值;或,当所述目的IP不存在丢包时,根据获取的所述源IP的当前速度阈值、所述目的IP的当前速度阈值、所述目的IP的当前总流量及所述目的IP的当前丢包率,对所述源IP的当前速度阈值进行第二调整处理,得到所述源IP的新的速度阈值,实现了根据系统流量情况动态调整源IP的当前速度阈值,避免了在系统运行过程中过分依赖源IP的速度阈值的经验值,从而将所述目的IP的丢包率及所述源IP的丢包率始终维持在一个合理的值,灵活适应各种用户访问量的场景,避免系统运行过程中频繁的手动更改所述源IP的速度阈值,降低了误拦率,同时提高了防御效果和用户体验。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:图1示出根据本申请一个方面的一种基于动态调整的攻击防护方法的流程示意图;图2示出根据本申请一个方面的一种基于动态调整的攻击防护方法的一优选实施例中确定所述目的IP是否存在丢包的流程示意图;图3示出根据本申请一个方面的一种基于动态调整的攻击防护方法的一优选实施例的调本文档来自技高网...
【技术保护点】
1.一种基于动态调整的攻击防护的方法,其特征在于,所述方法包括:/n根据源IP的入向流量和目的IP的入向流量,确定所述目的IP是否存在丢包;/n当所述目的IP存在丢包时,根据获取的所述源IP的当前速度阈值、所述目的IP的当前速度阈值及所述目的IP的当前总流量,对所述源IP的当前速度阈值进行第一调整处理,得到所述源IP的新的速度阈值;或,/n当所述目的IP不存在丢包时,根据获取的所述源IP的当前速度阈值、所述目的IP的当前速度阈值、所述目的IP的当前总流量及所述目的IP的当前丢包率,对所述源IP的当前速度阈值进行第二调整处理,得到所述源IP的新的速度阈值。/n
【技术特征摘要】
1.一种基于动态调整的攻击防护的方法,其特征在于,所述方法包括:
根据源IP的入向流量和目的IP的入向流量,确定所述目的IP是否存在丢包;
当所述目的IP存在丢包时,根据获取的所述源IP的当前速度阈值、所述目的IP的当前速度阈值及所述目的IP的当前总流量,对所述源IP的当前速度阈值进行第一调整处理,得到所述源IP的新的速度阈值;或,
当所述目的IP不存在丢包时,根据获取的所述源IP的当前速度阈值、所述目的IP的当前速度阈值、所述目的IP的当前总流量及所述目的IP的当前丢包率,对所述源IP的当前速度阈值进行第二调整处理,得到所述源IP的新的速度阈值。
2.根据权利要求1所述的方法,其特征在于,对所述源IP的当前速度阈值进行第一调整处理,得到所述源IP的新的速度阈值,包括:
对所述源IP的当前速度阈值进行第一调整处理后得到所述源IP的调整后的第一速度阈值;
取所述源IP的调整后的第一速度阈值与预置的所述源IP的预设速度阈值中的最大值为所述源IP的新的速度阈值。
3.根据权利要求1或2所述的方法,其特征在于,对所述源IP的当前速度阈值进行第二调整处理,得到所述源IP的新的速度阈值,包括:
对所述源IP的当前速度阈值进行第二调整处理后得到所述源IP的调整后的第二速度阈值;
取所述源IP的调整后的第二速度阈值与预置的所述源IP的预设速度阈值中的最小值为所述源IP的新的速度阈值。
4.根据权利要求1所述的方法,其特征在于,根据源IP的入向流量和目的IP的入向流量,确定所述目的IP是否存在丢包,包括:
预置所述源IP的预设速度阈值和所述目的IP的预设速度阈值;
按照预设时间间隔统计并汇总所有线程的统计数据,所述统计数据包括所述源IP的相关数据和所述目的IP的相关数据,所述源IP的相关数据包括所述源IP的入向流量,所述目的IP的相关数据包括所述目的IP的入向流量;
根据源IP的入向流量、所述源IP的当前速度阈值、所述目的IP的入向流量及所述...
【专利技术属性】
技术研发人员:刘贺,
申请(专利权)人:上海云盾信息技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。