【技术实现步骤摘要】
本专利技术涉及扫段攻击,尤其是一种扫段攻击的检测方法及装置。
技术介绍
1、ddos攻击通过控制的多台机器同时发起攻击来达到破坏被攻击对象正常工作或对外提供服务的能力。近年来,ddos攻击愈演愈烈,无论是受控主机还是攻击对象,都日益呈现出大规模化和多样化的态势,破坏性也越来越强。其中,就有一种新出现的、隐蔽性更强的ddos攻击方式—扫段攻击。扫段攻击是对一大段ip实施ddos攻击,主要分为同时攻击和顺序攻击两种方式。同时攻击的情况下每个目标ip所受攻击流量较小,但是总流量很大;顺序攻击时,不断的变换目标ip,每个目标ip遭受攻击流量很大,但持续的时间很短。这两种方式的攻击都给攻击检测带来了困难。
2、针对扫段攻击,当前的解决方案主要是对目标网段的流量(一般为netflow)进行统计,根据流量特征,确定是否为扫段攻击。但是考虑到运营商网络具有流量大(每秒上千万fps)以及网段多(仅全球ipv4地址对应的c类网段近1700万个)的特点,如对每个网段netflow流量都进行统计分析,则性能上消耗极大,实时性也会受到较大影响,可行性不高。
3、扫段攻击的隐蔽性给攻击检测带来了极大的困难,没有有效的检测,攻击者往往能够得手,并严重威胁客户业务和大网的安全运行。因此,大网的运维者急需一种高效的技术手段来实现对扫段攻击的快速检测。
技术实现思路
1、为解决现有技术存在的上述问题,本专利技术提供一种扫段攻击的检测方法及装置,通过对接口流量的预分析,减少了flow流量分析的范
2、为实现上述目的,本专利技术采用下述技术方案:
3、在本专利技术一实施例中,提出了一种扫段攻击的检测方法,该方法包括:
4、通过snmp方式对网络设备接口下行流量进行采集,分析周期内接口下行流速;
5、将接口下行流速与接口下行流速基线进行比对,若超过基线浮动范围,则确定接口为疑似接口;
6、对疑似接口进行flow流量分析,将地址段作为监测对象,对其下属地址进行流量分析;
7、将地址段的流量与该地址段的流量阈值进行比对,若超过流量阈值,则确定该地址段受到了扫段攻击。
8、进一步地,地址段为疑似接口下的路由网段、地理位置或者客户备案地址段。
9、进一步地,将地址段、地址段内的细分地址段以及地址段内的细分流量类型作为监测对象,将监测对象的流量与相应的流量阈值进行比对,若超过流量阈值,则确定该地址段受到了扫段攻击。
10、在本专利技术一实施例中,还提出了一种扫段攻击的检测装置,该装置包括:
11、snmp流量分析模块,用于通过snmp方式对网络设备接口下行流量进行采集,将周期内接口下行流速;将接口下行流速与接口下行流速基线进行比对,若超过基线浮动范围,则确定接口为疑似接口;
12、flow流量采集模块,用于按照采样比,对疑似接口进行flow流量采集,并将flow流量分发至flow流量分析模块;
13、接口流速基线分析模块,用于在特定时间段内正常流量情况下,对通过snmp方式采集到的接口下行流速进行分析,统计接口在指定周期内的流速,形成接口下行流速基线;
14、flow流量分析模块,用于按照flow协议的标准进行flow流量解析,并根据预设的网络边界、网络设备信息以及地址段信息,对解析后的flow流量按照地址段、流量类型以及指定端口进行分析;
15、扫段攻击识别模块,用于将地址段作为监测对象,将地址段的流量与该地址段的流量阈值进行比对,若超过流量阈值,则确定该地址段受到了扫段攻击。
16、进一步地,地址段为疑似接口下的路由网段、地理位置或者客户备案地址段。
17、进一步地,将地址段、地址段内的细分地址段以及地址段内的细分流量类型作为监测对象,将监测对象的流量与相应的流量阈值进行比对,若超过流量阈值,则确定该地址段受到了扫段攻击。
18、在本专利技术一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述扫段攻击的检测方法。
19、在本专利技术一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行扫段攻击的检测方法的计算机程序。
20、有益效果:
21、本专利技术通过先从接口的维度统计流量(可基于snmp方式采集接口计数器的方式,统计接口总流量),如果接口总流量偏离基线,出现突增,则初步判断该接口下存在攻击的可能性,再对该接口下的flow的目的ip流量按网段进行聚合,以识别这些ip网段是否存在扫段攻击。这种将扫段攻击判定限制在特定的异常路由器接口即疑似接口下的方案,具有如下优势:
22、1、大大减少了计算对内存需求的规模。如果整个骨干网进行扫段检测,需要分析存储的ipv4及ipv6地址段数量约为三千万级,对应的内存约为3gb;而对于一个路由器接口下的目的地址段,数量在万级左右,需要的内存在1mb左右。
23、2、大大提升了检测速度。当检测范围限制到特定的路由器接口时,一方面,地址段数量缩小到不到千分之一,flow量也缩小到千分之一左右,这样按地址段的流量汇总计算速度将提升3个数量级以上,整体检测速度可提升到秒级。
本文档来自技高网...【技术保护点】
1.一种扫段攻击的检测方法,其特征在于,该方法包括:
2.根据权利要求1所述的扫段攻击的检测方法,其特征在于,所述地址段为疑似接口下的路由网段、地理位置或者客户备案地址段。
3.根据权利要求1所述的扫段攻击的检测方法,其特征在于,将地址段、地址段内的细分地址段以及地址段内的细分流量类型作为监测对象,将监测对象的流量与相应的流量阈值进行比对,若超过流量阈值,则确定该地址段受到了扫段攻击。
4.一种扫段攻击的检测装置,其特征在于,该装置包括:
5.根据权利要求4所述的扫段攻击的检测装置,其特征在于,所述地址段为疑似接口下的路由网段、地理位置或者客户备案地址段。
6.根据权利要求4所述的扫段攻击的检测装置,其特征在于,将地址段、地址段内的细分地址段以及地址段内的细分流量类型作为监测对象,将监测对象的流量与相应的流量阈值进行比对,若超过流量阈值,则确定该地址段受到了扫段攻击。
7.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-3任一项所述方法的计算机程序。
...【技术特征摘要】
1.一种扫段攻击的检测方法,其特征在于,该方法包括:
2.根据权利要求1所述的扫段攻击的检测方法,其特征在于,所述地址段为疑似接口下的路由网段、地理位置或者客户备案地址段。
3.根据权利要求1所述的扫段攻击的检测方法,其特征在于,将地址段、地址段内的细分地址段以及地址段内的细分流量类型作为监测对象,将监测对象的流量与相应的流量阈值进行比对,若超过流量阈值,则确定该地址段受到了扫段攻击。
4.一种扫段攻击的检测装置,其特征在于,该装置包括:
5.根据权利要求4所述的扫段攻击的检测装置,其特征在于,所述地址段为疑似接口下的...
【专利技术属性】
技术研发人员:周世军,何文娟,
申请(专利权)人:中盈优创资讯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。