本公开的实施例提供了恶意流量清洗方法、装置、电子设备及存储介质,应用于计算机网络安全技术领域。所述方法包括获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。以此方式,可以对流量设置层层清洗关卡,以应对不同攻击手法的DDoS攻击,提高恶意流量过滤的精准度。滤的精准度。滤的精准度。
【技术实现步骤摘要】
恶意流量清洗方法、装置、电子设备及存储介质
[0001]本公开涉及计算机网络安全
,尤其涉及恶意流量清洗方法、装置、电子设备及存储介质。
技术介绍
[0002]在网络攻防中,利用DDoS(Distributed Denial of Service,分布式阻断服务)攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的是最为常见的攻击手法之一,例如:常见DDoS攻击手法SYN Flood(Synchronize Sequence Numbers Flood,又称SYN洪水攻击,是拒绝服务攻击的一种),即攻击者在短时间内使用大量的肉鸡或伪造大量不存在的IP地址,向目标系统不断地发送SYN(Synchronize Sequence Numbers,同步序列编号)数据包,迫使目标系统需要回复大量SYN+ACK(Synchronize Sequence Numbers and Acknowledge character)回响数据包,并等待发送源的确认。由于源地址不对回响数据包进行响应或者源地址是根本就不存在的,目标系统需要不断的重发SYN+ACK回响数据包直至SYN包超时,这些一直得不到确认的SYN包将长时间占用SYN队列,导致正常的SYN请求被丢弃或被拒绝,进一步导致目标系统运行缓慢,严重地会引起网络堵塞甚至目标系统底层操作系统瘫痪,所以亟需对现有恶意流量的过滤技术。由于DDoS攻击具有不同攻击手法,被攻击的安全防护能力也会存在较大差异,现有流量过滤技术,不具备良好的变通性,无法实现有针对性的流量过滤与清洗。r/>
技术实现思路
[0003]本公开提供了一种恶意流量清洗方法、装置、电子设备及存储介质。
[0004]根据本公开的第一方面,提供了一种恶意流量清洗方法。该方法包括:
[0005]获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;
[0006]根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;
[0007]根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;
[0008]根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。
[0009]进一步地,所述根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量,包括:
[0010]根据所述五元组信息,基于预设黑名单和白名单,对所述待清洗流量进行流量过滤或认证,得到初始清洗流量。
[0011]进一步地,所述流量数据包包括SYN数据包和回响数据包,所述根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量,包括:
[0012]统计所述SYN数据包的发送速率和所述回响数据包的比率;其中,所述比率为所述
回响数据包的数量和所述SYN数据包的数量的比值;
[0013]根据统计结果,对所述初始清洗流量进行恶意识别;
[0014]将识别为恶意的流量从所述初始清洗流量中剔除,得到二次清洗流量。
[0015]进一步地,所述根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量,包括:
[0016]根据所述流量数据包的长度和/或特征码,确定所述二次清洗流量是否为恶意流量;
[0017]若确定所述二次清洗流量为恶意流量的,将该恶意流量从所述二次清洗流量中清除,得到最终清洗流量。
[0018]进一步地,所述方法还包括:对恶意流量的IP地址进行标记,若预设时间内被标记次数超过阈值,则将所述IP地址加入黑名单。
[0019]进一步地,所述方法还包括:
[0020]若所述最终清洗流量的流量速率超过预设流量速率的,则执行速率限制操作。
[0021]根据本公开的第二方面,提供了一种恶意流量清洗装置。该装置包括:
[0022]信息获取模块,用于获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;
[0023]过滤或认证模块,用于根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;
[0024]二次清洗模块,用于根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;
[0025]端口分析模块,用于根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。
[0026]根据本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
[0027]根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面所述的方法。
[0028]本公开的实施例提供的恶意流量清洗方法、装置、电子设备及存储介质,基于流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码,对流量设置层层清洗关卡,以应对不同攻击手法的DDoS攻击,提高恶意流量过滤的精准度。
[0029]应当理解,
技术实现思路
部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0030]结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0031]图1示出了根据本公开的实施例的恶意流量清洗方法的流程图;
[0032]图2示出了根据本公开的又一实施例的恶意流量清洗方法的流程图;
[0033]图3示出了根据本公开的实施例的恶意流量清洗装置的框图;
[0034]图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
[0035]为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
[0036]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0037]本公开中,涉及一种通过网络隧道清洁技术进行流量清洗的系统,该系统包括信息获取、动静态过滤、认证流量包、异常识别、协议分析、流量速率限制五个单元,其中,信息获取单元用于获取待清洗流量的信息;动静态过滤单元用于对流量进行静态和动态的过滤,其中包括预设的黑名单用本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意流量清洗方法,其特征在于,包括:获取待清洗流量的五元组信息、流量数据包、流量数据包的长度和流量数据包的特征码;根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量;根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量;根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量。2.根据权利要求1所述的方法,其特征在于,所述根据所述五元组信息对所述待清洗流量进行流量过滤或认证,得到初始清洗流量,包括:根据所述五元组信息,基于预设黑名单和白名单,对所述待清洗流量进行流量过滤或认证,得到初始清洗流量。3.根据权利要求1所述的方法,其特征在于,所述流量数据包包括SYN数据包和回响数据包,所述根据所述流量数据包,对所述初始清洗流量进行恶意识别,得到二次清洗流量,包括:统计所述SYN数据包的发送速率和所述回响数据包的比率;其中,所述比率为所述回响数据包的数量和所述SYN数据包的数量的比值;根据统计结果,对所述初始清洗流量进行恶意识别;将识别为恶意的流量从所述初始清洗流量中剔除,得到二次清洗流量。4.根据权利要求1所述的方法,其特征在于,所述根据所述流量数据包的长度和/或特征码,对所述二次清洗流量进行协议端口分析,得到最终清洗流量,包括:根据所述流量数据包的长度和/或特征码,确定所述二次清洗流量是否为恶意流量;若确定所述二次清洗流量为恶意流量的,将该恶...
【专利技术属性】
技术研发人员:肖达,何金栋,张航,张坤三,
申请(专利权)人:北京华云安信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。