本申请提供的网络攻击识别方法及相关装置,应用于计算机网络领域。其中,网络安全设备接收待识别设备发送的ACK报文;根据ACK报文,向待识别设备发送快重传请求;若未接收到快重传请求的响应报文,则确定待识别设备为异常设备。如此,利用发起ACK Flood的设备无法响应快重传请求的特点,对待识别设备的类型进行主动探测,从而高效且准确的识别出正常设备与异常设备。设备。设备。
【技术实现步骤摘要】
网络攻击识别方法及相关装置
[0001]本申请涉及计算机网络领域,具体而言,涉及一种网络攻击识别方法及相关装置。
技术介绍
[0002]分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。因此,又被称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
[0003]TCP ACK Flood攻击则属于DDoS攻击中的其中,而传统的TCP ACK Flood攻击识别主要通过判断ACK序列号是否在合理区间范围的方式进行。研究发现,传统的方式无法精确缩小序列号的合法区间,容易造成误拦截、漏拦截比例高的问题;同时,在旁路部署时,只能获得单向的流量,无法拿到完整的信息,不利于准确判断序列号的合法性。
技术实现思路
[0004]为了克服现有技术中的至少一个不足,本申请的目的之一在于提供一种网络攻击识别方法及相关装置,用于高效且准确识别ACK Flood攻击,具体包括:
[0005]第一方面,本申请提供一种网络攻击识别方法,应用于网络安全设备,所述网络安全设备与待识别设备通信连接,所述方法包括:
[0006]接收所述待识别设备发送的ACK报文;
[0007]根据所述ACK报文,向所述待识别设备发送快重传请求;
[0008]若未接收到所述快重传请求的响应报文,则确定所述待识别设备为异常设备。
[0009]第二方面,本申请提供一种网络攻击识别装置,应用于网络安全设备,所述网络安全设备与待识别设备通信连接,所述装置包括:
[0010]报文收发模块,用于接收所述待识别设备发送的ACK报文;
[0011]异常检测模块,用于根据所述ACK报文,向所述待识别设备发送快重传请求;
[0012]所述异常检测模块,还用于若未接收到所述快重传请求的响应报文,则确定所述待识别设备为异常设备。
[0013]第三方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现所述的网络攻击识别方法。
[0014]第四方面,本申请提供一种网络安全设备,所述网络安全设备包括处理器以及存储器,所述存储器存储有计算机程序,所述计算机程序被处理器执行时,实现所述的网络攻击识别方法。
[0015]相对于现有技术而言,本申请具有以下有益效果:
[0016]本申请提供的网络攻击识别方法及相关装置,应用于计算机网络领域。其中,网络安全设备接收待识别设备发送的ACK报文;根据ACK报文,向待识别设备发送快重传请求;若
未接收到快重传请求的响应报文,则确定待识别设备为异常设备。如此,利用发起ACK Flood的设备无法响应快重传请求的特点,对待识别设备的类型进行主动探测,从而高效且准确的识别出正常设备与异常设备。
附图说明
[0017]为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0018]图1为本申请实施例提供的TCP三次握手的示意图;
[0019]图2为本申请实施例提供的网络攻击识别方法的流程示意图;
[0020]图3为本申请实施例提供的网络攻击识别装置的结构示意图;
[0021]图4为本申请实施例提供的网络安全设备的结构示意图。
[0022]图标:101
‑
报文收发模块;102
‑
异常检测模块;201
‑
存储器;202
‑
处理器;203
‑
通信单元;204
‑
系统总线。
具体实施方式
[0023]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
[0024]因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0025]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0026]在本申请的描述中,需要说明的是,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。此外,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0027]由于本实施例涉及到网络通信领域的一些专业知识,因此,为使本实施例更易于理解,先就本实施涉及的相关专业术语进行解释说明。
[0028]TCP,为(Transmission Control Protocol传输控制协议)的简写,用于提供可靠的网络连接。如图1所示,服务器在与网络设备建立TCP类型的网络连接时,需要基于TCP协议进行三次握手,以确保网络连接的可靠性。具体的,服务器先向网络设备发送SYN报文,其中,SYN报文包括SYN字段以及序列字段,SYN字段的内容为“1”,其序列字段中的序列号Seq
为“X”。网络设备在接受到SYN报文后,需要向服务器发送SYN
‑
ACK报文。其中,该SYN
‑
ACK报文包括SYN字段、ACK字段以及序列字段,SYN字段中内容为“1”,ACK字段的内容为“X+1”,序列字段的序列号Seq为“Y”。服务器在接受到SYN
‑
ACK报文后,需要向网络设备发送ACK报文。其中,该ACK报文包括ACK字段以及序列字段,ACK字段的内容为“Y+1”,序列字段的序列号Seq为“Z”。
[0029]在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击识别方法,其特征在于,应用于网络安全设备,所述网络安全设备与待识别设备通信连接,所述方法包括:接收所述待识别设备发送的ACK报文;根据所述ACK报文,向所述待识别设备发送快重传请求;若未接收到所述快重传请求的响应报文,则确定所述待识别设备为异常设备。2.根据权利要求1所述的网络攻击识别方法,其特征在于,所述若未接收到所述快重传请求的响应报文,则确定所述待识别设备为异常设备,包括:若未接收到所述快重传请求的响应报文,并且,距离发送所述快重传请求的时长超过预设时长,则确定所述待识别设备为异常设备。3.根据权利要求1所述的网络攻击识别方法,其特征在于,所述方法还包括:若收到所述快重传请求的响应报文,并且,距离发送所述快重传请求时长小于或者等于预设时长,则确定所述待识别设备为正常设备。4.根据权利要求3所述的网络攻击识别方法,其特征在于,所述若收到所述快重传请求的响应报文,并且,距离发送所述快重传请求时长小于或者等于预设时长,则确定所述待识别设备为正常设备,包括:若在距离发送所述快重传请求的预设时长内,接收到所述待识别设备发送的网络报文,则判断所述网络报文是否为所述快重传请求的响应报文;若所述网络报文为所述快重传请求的响应报文,则确定所述待识别设备为正常设备。5.根据权利要求4所述的网络攻击识别方法,其特征在于,所述判断所述络报文是否为所述快重传请求的响应报文,包括:获取所述网络报...
【专利技术属性】
技术研发人员:陈海洋,杨冀龙,赵伟,
申请(专利权)人:北京知道创宇信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。