网络攻击防护方法技术

本申请提供一种网络攻击防护方法

【技术实现步骤摘要】
网络攻击防护方法、电子设备和计算机可读存储介质


[0001]本申请涉及网络安全
，具体而言，涉及一种网络攻击防护方法
、
电子设备和计算机可读存储介质
。

技术介绍

[0002]分布式阻断服务
(Distributed Denial of Service
，
DDOS)
是网络攻击的一种类型，其使用多台主机向服务器发送大量攻击报文，消耗服务器的网络资源，影响服务器与正常主机之间的响应
。
当
DDOS
攻击发生时，防火墙除了转发正常流量，还要拦截
DDOS
攻击流量
。
[0003]目前，为了应对
DDOS
攻击，一般将
DDOS
攻击涉及的每个防护模块以及每种防护方法均开辟一块内存，并将这块内存与攻击源相关联，当攻击流量到达防火墙后，防火墙根据攻击源去拿相应源内存中存储的信息进行防护
。
但在大流量环境下，攻击源混杂着正常源，每个源又要为每种防护方法预留内存，整个
ADS
模块就需要占用大量内存，但使用率又很低，严重影响整个防火墙的性能
。

技术实现思路

[0004]本申请实施例的目的在于提供一种网络攻击防护方法
、
电子设备和计算机可读存储介质，用以解决目前将
DDOS
攻击涉及的每个防护模块以及每种防护方法均开辟一块内存，存在的占用大量内存但使用率低的问题
。<br/>[0005]第一方面，本专利技术提供一种网络攻击防护方法，该方法包括：获取网络攻击的防护信息；其中，网络攻击的防护信息包括攻击源信息
、
防护策略标识以及目标防护模块；根据攻击源信息和防护策略标识，确定防护策略所在的目标内存区域；其中，目标内存区域包括固定内存区域和动态内存区域，固定内存区域存储所述目标防护模块的通用信息，动态内存区域存储防护策略对应的防护方法所需的数据信息；获取每个目标防护模块对应的防护方法所需数据信息在动态内存区域的内存地址；调用每个目标防护模块在动态内存区域的内存地址的数据信息以及固定内存区域的通用信息，对网络攻击进行防护
。
[0006]上述设计的网络攻击防护方法，将每一攻击源和对应防护策略所需的防护模块的通用信息存储在固定内存区域中，将防护策略对应的防护方法独有数据存储在动态内存区域中，这样使得防护方法只需占用内存区域中动态内存区域的字节空间，从而相比传统方法每种方法均申请对应内存来说占用更少的内存，进而在实现了
ADS
模块防护功能的前提下为防火墙节省了大量内存空间，提高防火墙的防护性能
。
[0007]在第一方面的可选实施方式中，获取每个目标防护模块对应的防护方法所需数据信息在动态内存区域的内存地址，包括：获取内存映射位图信息；其中，内存映射位置信息包括多个不同映射位置，每个映射位置与一个目标防护模块对应，每个映射位置表征对应目标防护模块对应的防护方法在动态内存区域的内存偏移量；获取预先配置的每个目标防护模块对应的内存首地址；根据每个目标防护模块的内存首地址和内存偏移量，确定每个
目标防护模块对应的防护方法所需数据信息在动态内存区域的内存地址
。
[0008]本实施方式通过并且通过位图对应的内存偏移量和分配的内存首地址才能对动态内存区域中存储的防护方法对应的数据地址进行确定，实现动态内存区域中的防护方法调用，进而相比传统方法每种方法均申请对应内存来说占用更少的内存
。
[0009]在第一方面的可选实施方式中，根据攻击源信息和防护策略标识，确定防护策略所在的目标内存区域，包括：根据攻击源信息和防护策略标识，计算目标哈希值；判断内存中是否存在与目标哈希值匹配的内存区域；若内存中存在与目标哈希值匹配的内存区域，则将与目标哈希值匹配的内存区域确定为目标内存区域
。
[0010]在第一方面的可选实施方式中，该方法还包括：若内存中不存在与目标哈希值匹配的内存区域，则在内存中划分一块内存区域作为目标内存区域
。
[0011]在第一方面的可选实施方式中，该方法还包括：若内存中不存在与目标哈希值匹配的内存区域，则判断是否存在回收内存区域；其中，回收内存区域表征内存数据超过第一预设时长未被调用的内存区域；若判定存在回收内存区域，则将回收内存区域确定为目标内存区域
。
本实施方式将内存中内存数据超过第一预设时长未被调用的内存区域进行回收，从而利用回收内存区域实现新的数据存储，进而提高内存利用率和防火墙性能
。
[0012]在第一方面的可选实施方式中，在获取每个目标防护模块分配的内存映射位图信息之前，该方法还包括：将目标内存区域划分为固定内存区域和动态内存区域；将目标防护模块的通用信息存储于固定内存区域中，将防护策略对应的防护方法所需的数据信息存储于动态内存区域中
。
[0013]在第一方面的可选实施方式中，其中，网络攻击的判定方法包括：获取各个防护模块的流量速率；若判定存在流量速率超过预设的速率阈值的防护模块，则确定流量速率超过预设的速率阈值的防护模块遭受网络攻击
。
[0014]在第一方面的可选实施方式中，该方法还包括：在目标内存区域的数据存储时长超过第二预设时长的情况下，将目标内存区域的数据清空
。
本实施方式在可在目标内存区域的数据存储时长超过第二预设时长的情况下，从而利用回收的内存区域实现新的数据存储，进而提高内存利用率和防火墙性能
。
[0015]第二方面，本专利技术提供一种网络攻击防护装置，该装置包括获取模块
、
确定模块以及调用模块，该获取模块，用于获取网络攻击的防护信息；其中，网络攻击的防护信息包括攻击源信息
、
防护策略标识以及目标防护模块；确定模块，用于根据攻击源信息和防护策略标识，确定防护策略所在的目标内存区域；其中，目标内存区域包括固定内存区域和动态内存区域，固定内存区域存储目标防护模块的通用信息，动态内存区域存储防护策略对应的防护方法所需的数据信息；该获取模块，还用于获取每个目标防护模块对应的防护方法所需数据信息在动态内存区域的内存地址；该调用模块，用于调用每个目标防护模块在动态内存区域的内存地址的数据信息以及固定内存区域的通用信息，对网络攻击进行防护
。
[0016]上述设计的网络攻击防护装置，将每一攻击源和对应防护策略所需的防护模块的通用信息存储在固定内存区域中，将防护策略对应的防护方法独有数据存储在动态内存区域中，这样使得防护方法只需占用内存区域中动态内存区域的字节空间，从而相比传统方法每种方法均申请对应内存来说占用更少的内存，进而在实现了
ADS
模块防护功能的前提下为防火墙节省了大量内存空间，提高防火墙的防护性能
。
[0017]在第二方面的可选实施方式中，该获取模块，具体用于获取内存映本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种网络攻击防护方法，其特征在于，所述方法包括：获取网络攻击的防护信息；其中，所述网络攻击的防护信息包括攻击源信息
、
防护策略标识以及目标防护模块；根据所述攻击源信息和防护策略标识，确定防护策略所在的目标内存区域；其中，所述目标内存区域包括固定内存区域和动态内存区域，所述固定内存区域存储所述目标防护模块的通用信息，所述动态内存区域存储防护策略对应的防护方法所需的数据信息；获取每个目标防护模块对应的防护方法所需数据信息在动态内存区域的内存地址；调用每个目标防护模块在动态内存区域的内存地址的数据信息以及固定内存区域的通用信息，对网络攻击进行防护
。2.
根据权利要求1所述的方法，其特征在于，所述获取每个目标防护模块对应的防护方法所需数据信息在动态内存区域的内存地址，包括：获取内存映射位图信息；其中，所述内存映射位置信息包括多个不同映射位置，每个映射位置与一个目标防护模块对应，每个映射位置表征对应目标防护模块对应的防护方法在动态内存区域的内存偏移量；获取预先配置的每个所述目标防护模块对应的内存首地址；根据每个所述目标防护模块的内存首地址和内存偏移量，确定每个目标防护模块对应的防护方法所需数据信息在动态内存区域的内存地址
。3.
根据权利要求1所述的方法，其特征在于，所述根据所述攻击源信息和防护策略标识，确定防护策略所在的目标内存区域，包括：根据所述攻击源信息和防护策略标识，计算目标哈希值；判断内存中是否存在与所述目标哈希值匹配的内存区域；若所述内存中存在与所述目标哈希值匹配的内存区域，则将与所述目标哈希值匹配的内存区域确定为目标内存区域
。4.
根据权利要求3所述的方法，其特...

【专利技术属性】
技术研发人员：徐涵，隋鹤，范鸿雷，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：