本公开是关于一种泛洪攻击的防御方法及装置、存储介质、电子设备,涉及网络技术与安全技术领域,该方法包括:基于预设的采样频率对网络服务器的实时网卡流量进行采样,得到待处理采样报文,根据第一字节数以及第一流经时间,计算当前数据流的实时流量速率,并在确定当前数据流的实时流量速率大于预设流量阈值时,将该当前数据流确定为目标数据流;从待处理采样报文中提取目标数据流的目标流特征,并根据目标流特征生成与目标数据流对应的访问控制列表规则;利用访问控制列表规则对当前黑名单进行更新,得到目标黑名单,并基于目标黑名单对上送报文进行过滤,以实现对上送报文中所包括的泛洪攻击进行防御。本公开提高了防御的精确度以及及时性。的精确度以及及时性。的精确度以及及时性。
【技术实现步骤摘要】
泛洪攻击的防御方法及装置、存储介质、电子设备
[0001]本公开实施例涉及网络技术与安全
,具体而言,涉及一种泛洪攻击的防御方法、泛洪攻击的防御装置、计算机可读存储介质以及电子设备。
技术介绍
[0002]随着人工智能、大数据以及5G技术的蓬勃发展,网络安全亦已成为互联网行业必不可缺的护城河。而在众多的网络攻击中,DDoS(Distributed Denial of Service,分布式拒绝服务)攻击最为常见,攻击者通过向目标服务器发送大量的伪造报文,起到消耗网络服务器的CPU(Central Processing Unit,中央处理器)资源并占用网络带宽的目的。
[0003]当网络服务器受到DDoS攻击时,最主要的特征表现为网路中充斥着大量虚假源的无用数据包,造成网络拥塞,使用户无法正常与外界通讯。为了应对这类攻击手段,业界提出了诸多应对手段,例如TM(Traffic Manager,流量管理器)三级调度、攻击溯源以及动态链路保护等。而在众多的防御手段中,IP(Internet Protocol,网际互联协议)黑名单因为其具有过滤攻击源的特点在网络安全领域展现出其独特的价值。
[0004]具体的,IP黑名单记录了历史攻击者的IP信息,是威胁情报的重要组成部分。通过对IP黑名单进行合理应用,企业可以过滤掉绝大部分的已知攻击源。然而,由于黑名单仅仅是历史攻击源的一个快照,若未能对该IP黑名单进行实时更新,则攻击者会利用该快照特性,换个IP即可避开黑名单的检测,因此使得防御的精确度较低。
[0005]因此,需要提供一种新的泛洪攻击的防御方法及装置。
[0006]需要说明的是,在上述
技术介绍
部分专利技术的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0007]本公开的目的在于提供一种泛洪攻击的防御方法、泛洪攻击的防御装置、计算机可读存储介质以及电子设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的防御的精确度较低的问题。
[0008]根据本公开的一个方面,提供一种泛洪攻击的防御方法,包括:
[0009]基于预设的采样频率对网络服务器的实时网卡流量进行采样,得到待处理采样报文,并提取所述待处理采样报文中包括的当前数据流以及所述当前数据流在与所述采样频率对应的第一时间间隔内,流经所述网络服务器的网卡的第一字节数以及第一流经时间;
[0010]根据所述第一字节数以及第一流经时间,计算所述当前数据流的实时流量速率,并在确定所述当前数据流的实时流量速率大于所述预设流量阈值时,将该当前数据流确定为目标数据流;
[0011]从所述待处理采样报文中提取所述目标数据流的目标流特征,并根据所述目标流特征生成与所述目标数据流对应的访问控制列表规则;
[0012]利用所述访问控制列表规则对当前黑名单进行更新,得到目标黑名单,并基于所
述目标黑名单对上送报文进行过滤,以实现对所述上送报文中所包括的泛洪攻击进行防御。
[0013]在本公开的一种示例性实施例中,在基于预设的采样频率对网络服务器的实时网卡流量进行采样,得到待处理采样报文之后,所述泛洪攻击的防御方法还包括:
[0014]将所述待处理采样报文发通过套接字通道发送至用户态的Netflow进程;
[0015]通过所述用户态的Netflow进程生成与所述待处理采样报文对应的哈希队列,并将所述待处理采样报文存储至所述哈希队列中。
[0016]在本公开的一种示例性实施例中,从所述待处理采样报文中提取所述目标数据流的目标流特征,并根据所述目标流特征生成与所述目标数据流对应的访问控制列表规则,包括:
[0017]通过所述用户态的Netflow进程从存储在所述哈希队列中的待处理采样报文中提取所述目标数据流的目标流特征;其中,所述目标流特征包括目标源IP地址、目标目的IP地址、目标通信协议以及目标端口号中多种;
[0018]根据所述目标源IP地址、目标目的IP地址、目标通信协议以及目标端口号,生成与所述目标数据流对应的访问控制列表规则。
[0019]在本公开的一种示例性实施例中,利用所述访问控制列表规则对当前黑名单进行更新,得到目标黑名单,包括:
[0020]通过用户态的Netflow进程将所述访问控制列表规则下发至Redis数据库,并在黑名单处理单元订阅到所述Redis数据库中存在访问控制列表规则时,将所述访问控制列表规则添加至当前黑名单中,得到所述目标黑名单。
[0021]在本公开的一种示例性实施例中,基于所述目标黑名单对上送报文进行过滤,以实现对所述上送报文中所包括的泛洪攻击进行防御,包括:
[0022]通过Netflow芯片提取所述上送报文的待识别流量特征;其中,所述待识别流量特征包括待识别源IP地址、待识别目的IP地址、待识别通信协议以及待识别端口号;
[0023]判断所述待识别源IP地址、待识别目的IP地址、待识别通信协议以及待识别端口号中,是否有任意一项存在于所述目标黑名单中;
[0024]在确定所述待识别源IP地址、待识别目的IP地址、待识别通信协议以及待识别端口号中有任意一项存在于所述目标黑名单中时,对所述上送报文进行丢弃,以实现对所述上送报文中所包括的泛洪攻击进行防御。
[0025]在本公开的一种示例性实施例中,所述泛洪攻击的防御方法还包括:
[0026]在确定所述待识别源IP地址、待识别目的IP地址、待识别通信协议以及待识别端口号中均未存在于所述目标黑名单中时,对所述上送报文进行上报,并执行流量采样步骤。
[0027]在本公开的一种示例性实施例中,所述泛洪攻击的防御方法还包括:
[0028]获取多个历史泛洪攻击的历史数据流,并获取各所述历史数据流在与所述采样频率对应的第一时间间隔内,流经所述网络服务器的网卡的第二字节数以及第二流经时间;
[0029]计算各所述第二字节数的字节数平均值以及第二流经时间的时间平均值,并根据所述字节数平均值以及时间平均值计算字节数方差值以及时间方差值;
[0030]根据所述字节数平均值以及字节数方差值计算泛洪攻击字节数,并根据时间平均值以及时间方差值计算泛洪攻击时间;
[0031]根据所述泛洪攻击字节数以及所述泛洪攻击时间,计算所述预设流量阈值。
[0032]根据本公开的一个方面,提供一种泛洪攻击的防御装置,包括:
[0033]第一采样模块,用于基于预设的采样频率对网络服务器的实时网卡流量进行采样,得到待处理采样报文,并提取所述待处理采样报文中包括的当前数据流以及所述当前数据流在与所述采样频率对应的第一时间间隔内,流经所述网络服务器的网卡的第一字节数以及第一流经时间;
[0034]流量速率计算模块,用于根据所述第一字节数以及第一流经时间,计算所述当前数据流的实时流量速率,并在确定所述当前数据流的实时流量速率大于所述预设流量阈值时,将该当前数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种泛洪攻击的防御方法,其特征在于,包括:基于预设的采样频率对网络服务器的实时网卡流量进行采样,得到待处理采样报文,并提取所述待处理采样报文中包括的当前数据流以及所述当前数据流在与所述采样频率对应的第一时间间隔内,流经所述网络服务器的网卡的第一字节数以及第一流经时间;根据所述第一字节数以及第一流经时间,计算所述当前数据流的实时流量速率,并在确定所述当前数据流的实时流量速率大于所述预设流量阈值时,将该当前数据流确定为目标数据流;从所述待处理采样报文中提取所述目标数据流的目标流特征,并根据所述目标流特征生成与所述目标数据流对应的访问控制列表规则;利用所述访问控制列表规则对当前黑名单进行更新,得到目标黑名单,并基于所述目标黑名单对上送报文进行过滤,以实现对所述上送报文中所包括的泛洪攻击进行防御。2.根据权利要求1所述的泛洪攻击的防御方法,其特征在于,在基于预设的采样频率对网络服务器的实时网卡流量进行采样,得到待处理采样报文之后,所述泛洪攻击的防御方法还包括:将所述待处理采样报文发通过套接字通道发送至用户态的Netflow进程;通过所述用户态的Netflow进程生成与所述待处理采样报文对应的哈希队列,并将所述待处理采样报文存储至所述哈希队列中。3.根据权利要求2所述的泛洪攻击的防御方法,其特征在于,从所述待处理采样报文中提取所述目标数据流的目标流特征,并根据所述目标流特征生成与所述目标数据流对应的访问控制列表规则,包括:通过所述用户态的Netflow进程从存储在所述哈希队列中的待处理采样报文中提取所述目标数据流的目标流特征;其中,所述目标流特征包括目标源IP地址、目标目的IP地址、目标通信协议以及目标端口号中多种;根据所述目标源IP地址、目标目的IP地址、目标通信协议以及目标端口号,生成与所述目标数据流对应的访问控制列表规则。4.根据权利要求1所述的泛洪攻击的防御方法,其特征在于,利用所述访问控制列表规则对当前黑名单进行更新,得到目标黑名单,包括:通过用户态的Netflow进程将所述访问控制列表规则下发至Redis数据库,并在黑名单处理单元订阅到所述Redis数据库中存在访问控制列表规则时,将所述访问控制列表规则添加至当前黑名单中,得到所述目标黑名单。5.根据权利要求1所述的泛洪攻击的防御方法,其特征在于,基于所述目标黑名单对上送报文进行过滤,以实现对所述上送报文中所包括的泛洪攻击进行防御,包括:通过Netflow芯片提取所述上送报文的待识别流量特征;其中,所述待识别流量特征包括待识别源IP地址、待识别目的IP地址、待识别通信协议以及待识别端口号;判断所述待识别源IP地址、待识别目的IP地址、待识别...
【专利技术属性】
技术研发人员:郑鑫鑫,成武文,欧亮,彭洁优,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。