【技术实现步骤摘要】
网络攻击识别方法、装置、计算机设备及介质
本申请涉及网络安全
,尤其涉及一种网络攻击识别方法、装置、计算机设备及介质。
技术介绍
随着因特网和其他互联网承载的通信量持续增长和变化,例如,当今网络带宽由1Gbps发展到10Gbps、40Gbps,甚至100Gbps。尽管网络带宽不断增加,但随之而来也产生了各式各样的网络攻击,占用了网络带宽,从而降低了网络的利用效率。在各种网络攻击中,SYNflood(洪水攻击)是基于TCP协议栈发起的攻击,据统计,SYNflood攻击的占比高达79%。因此,如何在网络环境中准确的识别出SYNflood网络攻击迫在眉睫。
技术实现思路
本申请提出一种网络攻击识别方法,该方法能够在网络环境下,根据目标地址的半连接总数准确的识别出网络攻击,大大提高服务器的安全性。本申请第一方面实施例提出了一种网络攻击识别方法,所述方法包括:根据监测到的多个TCP(TransmissionControlProtocol,传输控制协议)连接数据包,生成连接请求记录表,其中,所述连接请求记录表用于指示发送至同一目的地址的TCP连接数据包产生的半连接总数,以及发送至所述目的地址的首个TCP连接数据包所携带的起始时间戳;获取当前时间戳;根据所述当前时间戳,查询所述连接请求记录表,以从所述连接请求记录表记录的目的地址中,识别出所述起始时间戳与所述当前时间戳之差大于设定阈值时长的目标地址;根据所述目标地址的半连接总数,识别网络攻击。根据本申请实施例的网络攻击识别方法,根据...
【技术保护点】
1.一种网络攻击识别方法,其特征在于,所述方法包括:/n根据监测到的多个TCP连接数据包,生成连接请求记录表,其中,所述连接请求记录表用于指示发送至同一目的地址的TCP连接数据包产生的半连接总数,以及发送至所述目的地址的首个TCP连接数据包所携带的起始时间戳;/n获取当前时间戳;/n根据所述当前时间戳,查询所述连接请求记录表,以从所述连接请求记录表记录的目的地址中,识别出所述起始时间戳与所述当前时间戳之差大于设定阈值时长的目标地址;/n根据所述目标地址的半连接总数,识别网络攻击。/n
【技术特征摘要】
1.一种网络攻击识别方法,其特征在于,所述方法包括:
根据监测到的多个TCP连接数据包,生成连接请求记录表,其中,所述连接请求记录表用于指示发送至同一目的地址的TCP连接数据包产生的半连接总数,以及发送至所述目的地址的首个TCP连接数据包所携带的起始时间戳;
获取当前时间戳;
根据所述当前时间戳,查询所述连接请求记录表,以从所述连接请求记录表记录的目的地址中,识别出所述起始时间戳与所述当前时间戳之差大于设定阈值时长的目标地址;
根据所述目标地址的半连接总数,识别网络攻击。
2.根据权利要求1所述的网络攻击识别方法,其特征在于,所述根据监测到的多个TCP连接数据包,生成连接请求记录表,包括:
每当监测到一个TCP连接数据包,查询当前TCP连接数据包携带的TCP标志位;
若所述TCP标志位中设置为有效的字段用于指示开始会话,则根据当前TCP连接数据包中携带的目的地址,在所述连接请求记录表中创建对应的第一记录,其中,在所述第一记录中,所述半连接总数设定为初始值;
若所述TCP标志位中设置为有效的字段用于指示应答,则获取当前TCP连接数据包中携带的目的地址所对应的第二记录,以根据当前TCP连接数据包中携带的序列号,更新所述第二记录的所述半连接总数。
3.根据权利要求2所述的网络攻击方法,其特征在于,所述第二记录还包括会话跟踪项,用于指示五元组信息和序列号;
所述根据当前TCP连接数据包中携带的序列号,更新所述第二记录中的所述半连接总数,包括:
将当前TCP连接数据包中携带的五元组信息作为搜索条件,搜索所述第二记录中的会话跟踪项,以得到所述五元组信息匹配的会话跟踪项;
将所述五元组信息匹配的会话跟踪项中的所述序列号作为参考序列号;
所述当前TCP连接数据包中携带的序列号大于所述参考序列号,且所述当前TCP连接数据包中携带的序列号与所述参考序列号相邻,则将所述第二记录中所述半连接总数减一。
4.根据权利要求3所述的网络攻击识别方法,其特征在于,所述在所述连接请求记录表中创建对应的第一记录之后,还包括:
根据所述一个TCP连接数据包中携带的五元组信息和序列号,生成所述第一记录中的会话跟踪项。
5.根据权利要求2所述的网络攻击识别方法,其特征在于,所述在所述连接请求记录表中创建对应的第一记录之前,还包括:
根据当前TCP连接数据包中携带的目的地...
【专利技术属性】
技术研发人员:杨洋,
申请(专利权)人:OPPO重庆智能科技有限公司,
类型:发明
国别省市:重庆;50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。