本公开提供一种防攻击方法、装置、设备及机器可读存储介质,该方法包括:接收陌生来源流量,提取陌生来源流量的流量特征;统计单位时间内匹配所述流量特征的报文数量,将报文数量大于等于第一阈值的流量特征认为是攻击特征;统计若干个单位时间内匹配流量特征的报文数量,将报文数量大于等于第二阈值的流量特征认为是攻击特征;为非攻击特征的关联于所述陌生来源流量的流量特征建立关联的逻辑转发会话,对攻击特征启用安全防范动作。通过本公开的技术方案,接收某一陌生来源的流量特征为安全监测对象后,对最初时段被认为是合法的流量源继续进行一端时间的监测,从而防止攻击者以先行伪装为正常用户探测网络而后进行大流量攻击的行为。攻击的行为。攻击的行为。
【技术实现步骤摘要】
一种防攻击方法、装置、设备及机器可读存储介质
[0001]本公开涉及通信
,尤其是涉及一种防攻击方法、装置、设备及机器可读存储介质。
技术介绍
[0002]攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文、加入黑名单或客户端验证列表。
[0003]攻击防范功能够检测单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施。
[0004]安全产品中攻击防范各业务都走慢转流程,保证了检测的准确率,但性能低。因此,当前实现了一种攻击防范开启时流量可走逻辑转发的方法。开启该功能开关,由于会影响单包检测、七层flood检测、慢速攻击、双向代理的功能,因此,实现方法为设备配置了单包检测、七层flood检测、慢速攻击、双向代理功能时,平台禁止下流表,仍然进行慢转流程检测;若不配置这些功能,报文进入设备,攻击防范先根据报文首包统计结果判断否为攻击。如果不是攻击,则允许下流表,平台会话表和快转表下发逻辑;如果是攻击,跟以前慢转处理一样,根据动作处理,一定程上提高了攻击防范的新建性能。
[0005]但是对于攻击防范开启时流量可走逻辑转发方法,如果设备未配置禁止下流表的配置,攻击者先探测网络,发送一些报文,在平台业务处理时,设备统计首包检测不是攻击,认为是合法报文,允许下流表,做完所有平台业务,平台给逻辑下刷会话表和快转表。此时攻击者加大流量速率,发现都没有被阻止,即可继续加大该报文周期内的报文数量进行攻击,对于已经建立会话的报文,在当前的功能下,报文直接上逻辑进行了转发,设备无法检测出攻击,造成被攻击。
技术实现思路
[0006]有鉴于此,本公开提供一种防攻击方法、装置及电子设备、机器可读存储介质,以改善上述难以检测先期具有探测的攻击行为的问题。
[0007]具体地技术方案如下:
[0008]本公开提供了一种防攻击方法,应用于安全设备,所述方法包括:接收陌生来源流量,提取陌生来源流量的流量特征;统计首个单位时间内匹配所述流量特征的报文数量,将首个单位时间内关联的报文数量大于等于第一阈值的流量特征认为是攻击特征;统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量,将任一个单位时间内关联的报文数量大于等于第二阈值的流量特征认为是攻击特征;为非攻击特征的关联于所述陌生来源流量的流量特征建立关联的逻辑转发会话,对攻击特征启用安全防范动作。
[0009]作为一种技术方案,所述统计若干个单位时间内匹配所述首个单位时间内关联的
报文数量小于第一阈值的流量特征的报文数量后,包括:若干个单位时间后,周期性地统计单位时间内匹配所述任一个单位时间内关联的报文数量小于第二阈值的流量特征的报文数量,将存在一个单位时间内关联的报文数量大于等于第三阈值的流量特征认为是攻击特征。
[0010]作为一种技术方案,所述第三阈值根据第二阈值设置,第三阈值大于第二阈值;所述第二阈值根据所述首个单位时间内关联的报文数量设置,第二阈值大于所述首个单位时间内关联的报文数量。
[0011]作为一种技术方案,所述第二阈值根据所述首个单位时间内关联的报文数量设置,第二阈值大于所述首个单位时间内关联的报文数量。
[0012]本公开同时提供了一种防攻击装置,应用于安全设备,所述装置包括:提取模块,用于接收陌生来源流量,提取陌生来源流量的流量特征;统计模块,用于统计首个单位时间内匹配所述流量特征的报文数量,将首个单位时间内关联的报文数量大于等于第一阈值的流量特征认为是攻击特征;统计模块还用于统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量,将任一个单位时间内关联的报文数量大于等于第二阈值的流量特征认为是攻击特征;处理模块,用于为非攻击特征的关联于所述陌生来源流量的流量特征建立关联的逻辑转发会话,对攻击特征启用安全防范动作。
[0013]作为一种技术方案,所述统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量后,包括:若干个单位时间后,周期性地统计单位时间内匹配所述任一个单位时间内关联的报文数量小于第二阈值的流量特征的报文数量,将存在一个单位时间内关联的报文数量大于等于第三阈值的流量特征认为是攻击特征。
[0014]作为一种技术方案,所述第三阈值根据第二阈值设置,第三阈值大于第二阈值;所述第二阈值根据所述首个单位时间内关联的报文数量设置,第二阈值大于所述首个单位时间内关联的报文数量。
[0015]作为一种技术方案,所述第二阈值根据所述首个单位时间内关联的报文数量设置,第二阈值大于所述首个单位时间内关联的报文数量。
[0016]本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的防攻击方法。
[0017]本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的防攻击方法。
[0018]本公开提供的上述技术方案至少带来了以下有益效果:
[0019]接收某一陌生来源的流量特征为安全监测对象后,对最初时段被认为是合法的流量源继续进行一端时间的监测,从而防止攻击者以先行伪装为正常用户探测网络而后进行大流量攻击的行为。
附图说明
[0020]为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
[0021]图1是本公开一种实施方式中的防攻击方法的流程图;
[0022]图2是本公开一种实施方式中的防攻击装置的结构图;
[0023]图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
[0024]在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
[0025]应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在
……
时”本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防攻击方法,其特征在于,应用于安全设备,所述方法包括:接收陌生来源流量,提取陌生来源流量的流量特征;统计首个单位时间内匹配所述流量特征的报文数量,将首个单位时间内关联的报文数量大于等于第一阈值的流量特征认为是攻击特征;统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量,将任一个单位时间内关联的报文数量大于等于第二阈值的流量特征认为是攻击特征;为非攻击特征的关联于所述陌生来源流量的流量特征建立关联的逻辑转发会话,对攻击特征启用安全防范动作。2.根据权利要求1所述的方法,其特征在于,所述统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量后,包括:若干个单位时间后,周期性地统计单位时间内匹配所述任一个单位时间内关联的报文数量小于第二阈值的流量特征的报文数量,将存在一个单位时间内关联的报文数量大于等于第三阈值的流量特征认为是攻击特征。3.根据权利要求2所述的方法,其特征在于,所述第三阈值根据第二阈值设置,第三阈值大于第二阈值;所述第二阈值根据所述首个单位时间内关联的报文数量设置,第二阈值大于所述首个单位时间内关联的报文数量。4.根据权利要求1所述的方法,其特征在于,所述第二阈值根据所述首个单位时间内关联的报文数量设置,第二阈值大于所述首个单位时间内关联的报文数量。5.一种防攻击装置,其特征在于,应用于安全设备,所述装置包括:提取模块,用于接收陌生来源流量,提取陌生来源流量的流量特征;统计模块,用于统计首个单位时间内匹配所述流量特征的报文数量,将首个单位时间内关联的报文数量大于等于第一阈值的流量特征认为是攻击特征;统计模块...
【专利技术属性】
技术研发人员:钟文年,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。