基于全流量存储回溯系统的技术方案

本发明专利技术的实施例提供了基于全流量存储回溯系统的

【技术实现步骤摘要】
基于全流量存储回溯系统的syn flood攻击存储方法


[0001] 本专利技术一般涉及网络安全领域，并且更具体地，涉及基于全流量存储回溯系统的
syn flood
攻击存储方法
。

技术介绍

[0002]对于安全厂商而言，全流量存储回溯系统通常具有数据包采集
、
协议解码与分析
、
流量统计
、
故障诊断与性能管理等多种功能为一体的网络分析产品，能够提供高精度网络诊断分析，多层次展现网络通讯全景，有效地帮助网络管理者梳理网络应用
。SYN Flood
泛洪攻击是当前最流行的
DoS(Denial of Service
，拒绝服务攻击
)
与
DDoS(Distributed Denial of Service
，分布式拒绝服务攻击
)
的方式之一，它是利用
TCP
协议缺陷，发送大量伪造的
TCP SYN
连接请求，从而使得被攻击方资源耗尽
(CPU
满负荷或内存不足
)
的攻击方式，最终导致系统或服务器宕机
。
当遭遇
syn
泛洪攻击时，全流量存储回溯系统会因为海量的攻击而导致存储空间突然变大，其次因为
syn flood
攻击的
ip
地址大多为伪造，短时间内的海量攻击会由于攻击
ip
地址数量的骤增导致检索性能大幅下降
。
当前的厂商中，对
syn flood
攻击的处理基本上都是完整存储报文与索引相关，甚至有的系统都没有分析流量是否为攻击流量，从而导致占用大量存储空间并且影响检索性能
。

技术实现思路

[0003]根据本专利技术的实施例，提供了一种基于全流量存储回溯系统的
syn flood
攻击存储方案
。
本方案能够大幅节省存储空间，提升目的
ip
检索性能，提升攻击报文的分析回溯功能
。
[0004]在本专利技术的第一方面，提供了一种基于全流量存储回溯系统的
syn flood
攻击存储方法
。
该方法包括：
S101、
获取报文，提取所述报文的目的
ip
地址；
S102、
根据所述目的
ip
地址对映射关系表进行查询，若所述映射关系表中存在所述目的
ip
地址对应的映射关系组，则执行
S103
；否则建立所述目的
ip
地址的映射关系组，将所述目的
ip
地址的映射关系组加入到所述映射关系表；所述映射关系组包括第一映射关系和第二映射关系；所述第一映射关系为目的
ip
地址与攻击
ip
地址之间的1：
N
映射关系；所述第二映射关系为攻击
ip
地址与
syn flood
攻击交互报文之间的1：
M
映射关系；
S103、
查询所述第一映射关系，若所述第一映射关系中存在所述报文的源
ip
地址，则执行
S104
；否则，在所述第一映射关系中添加所述源
ip
；
S104、
判断所述第一映射关系中是否存在所述源
ip
地址对应的第二映射关系，若存在，则执行
S105
；否则新建所述源
ip
对应的第二映射关系，执行
S105
；
S105、
判断所述报文的攻击模式是否为模板关联模式，若是，则使用所述模板关联模式关联的模板创建所述源
ip
地址对应的第二映射关系；否则根据所述报文的报文类型将所述报文存储到第二映射关系中
。
[0005]进一步地，所述将所述目的
ip
的映射关系组加入到所述映射关系表，包括：在所述映射关系表中新建目的
ip
地址，并新建所述目的
ip
地址对应的第一映射关系，将所述目的
ip
地址对应的源
ip
地址加入到所述第一映射关系中
。
[0006]进一步地，所述判断所述报文的攻击模式是否为模板关联模式，包括：
S401、
对于同一会话的报文，获取上一报文的类型和上一报文的序列号以及当前报文的类型和当前报文的序列号；
S402、
若上一报文的类型为序列号请求且当前报文的类型为序列号响应，则执行
S403
；
S403、
若所述当前报文的序列号是所述上一报文的序列号的下一序列，则
syn
响应报文序列号类型正确，执行
S404
；否则
syn
响应报文序列号类型错误，执行
S405
；
S404、
判断在第一时间内是否收到报文，若是，则所述报文的攻击模式为正常模式；否则所述报文的攻击模式关联第一模板；
S405、
判断在第二时间内是否收到
reset
报文，若是，则所述报文的攻击模式为正常模式；否则所述报文的攻击模式关联第一模板
。
[0007]进一步地，所述第一模板包括源端口号
、
目的端口号
、syn
的序列号
、syn
的确认应答号及其各自对应的存储空间；所述第二模板为：源端口号
、
目的端口号
、syn
‑
seq
信息
、syn
‑
ack
‑
seq
信息
、syn
‑
ack
‑
error
‑
seq
信息及其各自对应的存储空间
。
[0008]进一步地，当所述报文的攻击模式关联所述第一模板时，使用所述模板关联模式关联的模板创建所述源
ip
对应的第二映射关系，包括：若所述报文为
syn
报文，则以所述第一模板新建一个空项目，提取
syn
报文的源端口号
、
目的端口号
、syn
‑
seq
信息记录到所述第一模板对应的空项目；若所述报文为
syn
‑
ack
报文，则提取
syn
‑
ack
报文的源端口号
、
目的端口号
、syn
‑
ack
‑
seq
信息；根据源端口号和目的端口号查找对应项目，若找到对应项目，则将
syn本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于全流量存储回溯系统的
syn flood
攻击存储方法，其特征在于，包括：
S101、
获取报文，提取所述报文的目的
ip
地址；
S102、
根据所述目的
ip
地址对映射关系表进行查询，若所述映射关系表中存在所述目的
ip
地址对应的映射关系组，则执行
S103
；否则建立所述目的
ip
地址的映射关系组，将所述目的
ip
地址的映射关系组加入到所述映射关系表；所述映射关系组包括第一映射关系和第二映射关系；所述第一映射关系为目的
ip
地址与攻击
ip
地址之间的1：
N
映射关系；所述第二映射关系为攻击
ip
地址与
syn flood
攻击交互报文之间的1：
M
映射关系；
S103、
查询所述第一映射关系，若所述第一映射关系中存在所述报文的源
ip
地址，则执行
S104
；否则，在所述第一映射关系中添加所述源
ip
；
S104、
判断所述第一映射关系中是否存在所述源
ip
地址对应的第二映射关系，若存在，则执行
S105
；否则新建所述源
ip
对应的第二映射关系，执行
S105
；
S105、
判断所述报文的攻击模式是否为模板关联模式，若是，则使用所述模板关联模式关联的模板创建所述源
ip
地址对应的第二映射关系；否则根据所述报文的报文类型将所述报文存储到第二映射关系中
。2.
根据权利要求1所述的方法，其特征在于，所述将所述目的
ip
的映射关系组加入到所述映射关系表，包括：在所述映射关系表中新建目的
ip
地址，并新建所述目的
ip
地址对应的第一映射关系，将所述目的
ip
地址对应的源
ip
地址加入到所述第一映射关系中
。3.
根据权利要求1所述的方法，其特征在于，所述判断所述报文的攻击模式是否为模板关联模式，包括：
S401、
对于同一会话的报文，获取上一报文的类型和上一报文的序列号以及当前报文的类型和当前报文的序列号；
S402、
若上一报文的类型为序列号请求且当前报文的类型为序列号响应，则执行
S403
；
S403、
若所述当前报文的序列号是所述上一报文的序列号的下一序列，则
syn
响应报文序列号类型正确，执行
S404
；否则
syn
响应报文序列号类型错误，执行
S405
；
S404、
判断在第一时间内是否收到报文，若是，则所述报文的攻击模式为正常模式；否则所述报文的攻击模式关联第一模板；
S405、
判断在第二时间内是否收到
reset
报文，若是，则所述报文的攻击模式为正常模式；否则所述报文的攻击模式关联第一模板
。4.
根据权利要求3所述的方法，其特征在于，所述第一模板包括源端口号
、
目的端口号
、syn
的序列号
、syn
的确认应答号及其各自对应的存储空间；所述第二模板为：源端口号
、
目的端口号
、syn
‑
seq
信息
、syn
‑
ack
‑
seq
信息
、syn
‑
ack
‑
error
‑
seq
信息及其各自对应的存储空间
。5.
根据权利要求4所述的方法，其特征在于，当所述报文的攻击模式关联所述第一模板时，使用所述模板关联模...

【专利技术属性】
技术研发人员：曲武，
申请(专利权)人：金睛云华沈阳科技有限公司，
类型：发明
国别省市：