本公开涉及一种反射攻击检测方法、系统、设备及计算机可读存储介质。本公开通过统计同一时间窗口内访问同一目的IP的同一目的端口的源IP对,以及该源IP对出现的时间窗口数量,可以有效地区别内网中源IP的正常访问流量和非正常访问流量,避免了由于正常访问流量和非正常访问流量混杂在一起导致无法准确检测。同时,本公开实施例对目的IP的每个源IP分别进行分析统计,改善了由于反射攻击流量离散到多个源IP而出现漏判的情况,进一步提高了内网反射攻击检测的准确性。攻击检测的准确性。攻击检测的准确性。
【技术实现步骤摘要】
反射攻击检测方法、系统、设备及计算机可读存储介质
[0001]本公开涉及网络安全
,尤其涉及一种反射攻击检测方法、 系统、设备及计算机可读存储介质。
技术介绍
[0002]现下网络中的分布式拒绝服务攻击(Distributed Denial of Service, DDoS)对抗中,基于TCP协议的反射攻击手法已经悄然兴起,对DDoS 防护方带来严峻的挑战。攻击者会预先收集大量服务器的IP地址作为 反射源,向这些IP的开放端口发送大量SYN报文,这些报文的原本 的IP地址都被伪装成攻击目标的IP地址,大量服务器的开放端口在收 到这些SYN报文后会向目标IP地址回复大量的响应报文,形成反射 攻击流,消耗攻击目标的性能或网络带宽,使得其无法正常提供服务。
[0003]常用的防护手段是对防护的目标网段IP地址进行监控,当监控到 其流量超过一定阈值时,判定系统受到了DDoS攻击,其中可能包括 TCP反射攻击。
[0004]但是在传统方法中,由于反射攻击流是由多个IP共同形成的,在 总的流量过大造成攻击目标瘫痪时,单个IP地址的访问流量可能并未 超过阈值,因此无法及时发现反射攻击的发生。同时,如果反射攻击 出现在内网中,用于反射攻击的多个IP地址通常会对目标IP有正常的 访问流量,因此不能将该IP设置为黑名单以进行屏蔽,而且常规防护 手段难以对正常和非正常流量进行区分,导致检测结果不准确。
技术实现思路
[0005]为了解决上述技术问题或者至少部分地解决上述技术问题,本公 开提供了一种反射攻击检测方法、系统、设备及计算机可读存储介质, 以准确检测内网中是否存在反射攻击行为。
[0006]第一方面,本公开实施例提供一种反射攻击检测方法,包括:
[0007]获取协议日志数据,所述协议日志数据包括至少一个源IP、至少 一个目的IP和至少一个目的端口;
[0008]对所述协议日志数据按时间窗口进行切分;
[0009]根据切分得到的多个时间窗口内的协议日志数据,确定同一时间 窗口内访问同一目的IP的同一目的端口的至少一个源IP对;
[0010]根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目 的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP。
[0011]在一些实施例中,所述根据所述多个时间窗口的数量和所述同一 时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定 反射攻击针对的目标IP包括:
[0012]针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口 的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异 常伴随源IP对;
[0013]针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴 随源IP对所包
含的源IP数量;
[0014]若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对 的目标IP为该目的IP。
[0015]在一些实施例中,所述针对任一源IP对,若该源IP对访问同一目 的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值, 则确定该源IP对为异常伴随源IP对包括:
[0016]对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴 随IP对。
[0017]在一些实施例中,所述根据所述多个时间窗口的数量和所述同一 时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定 反射攻击针对的目标IP还包括:
[0018]确定所述反射攻击针对的目标端口。
[0019]在一些实施例中,所述确定所述反射攻击针对的目标IP的目标端 口包括:
[0020]确定所有所述源IP共同访问的目的IP的目的端口为所述反射攻击 针对的目标端口。
[0021]第二方面,本公开实施例提供一种反射攻击检测系统,包括:
[0022]获取模块,用于获取协议日志数据,所述协议日志数据包括至少 一个源IP、至少一个目的IP和至少一个目的端口;
[0023]切分模块,用于对所述协议日志数据按时间窗口进行切分;
[0024]第一确定模块,用于根据切分得到的多个时间窗口内的协议日志 数据,确定同一时间窗口内访问同一目的IP的同一目的端口的至少一 个源IP对;
[0025]第二确定模块,用于根据所述多个时间窗口的数量和所述同一时 间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反 射攻击针对的目标IP。
[0026]在一些实施例中,所述第二确定模块用于:
[0027]针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口 的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异 常伴随源IP对;
[0028]针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴 随源IP对所包含的源IP数量;
[0029]若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对 的目标IP为该目的IP。
[0030]在一些实施例中,所述第二确定模块还用于:
[0031]对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴 随IP对。
[0032]在一些实施例中,所述第二确定模块还用于:
[0033]确定所述反射攻击针对的目标端口。
[0034]在一些实施例中,所述第二确定模块还用于:
[0035]确定所有所述源IP共同访问的目的IP的目的端口为所述反射攻击 针对的目标端口。
[0036]第三方面,本公开实施例提供一种反射攻击检测设备,包括:
[0037]存储器;
[0038]处理器;以及
[0039]计算机程序;
[0040]其中,所述计算机程序存储在所述存储器中,并被配置为由所述 处理器执行以实现如第一方面所述的方法。
[0041]第四方面,本公开实施例提供一种计算机可读存储介质,其上存 储有计算机程序,所述计算机程序被处理器执行以实现第一方面所述 的方法。
[0042]第五方面,本公开实施例还提供了一种计算机程序产品,该计算 机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执 行时实现如上所述的反射攻击检测方法。
[0043]本公开实施例提供的反射攻击检测方法、系统、设备及计算机可 读存储介质,通过统计同一时间窗口内访问同一目的IP的同一目的端 口的源IP对,以及该源IP对出现的时间窗口数量,可以有效地区别源 IP的正常访问流量和非正常访问流量,避免了由于正常访问流量和非 正常访问流量混杂在一起导致无法准确检测。同时,本公开实施例对 目的IP的每个源IP分别进行分析统计,改善了由于反射攻击流量离散 到多个源IP而出现反射攻击的漏判的情况,进一步提高了内网反射攻 击检测的准确性。
附图说明
[0044]此处的附图被并入说明书中并构成本说明书的一部分,示出了符 合本公开的实施例,并与说明书一起用于解释本公开的原理本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种反射攻击检测方法,其特征在于,所述方法包括:获取协议日志数据,所述协议日志数据包括至少一个源IP、至少一个目的IP和至少一个目的端口;对所述协议日志数据按时间窗口进行切分;根据切分得到的多个时间窗口内的协议日志数据,确定同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对;根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP。2.根据权利要求1所述的方法,其特征在于,所述根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP包括:针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对;针对任一目的IP,统计访问该目的IP的同一目的端口的各异常伴随源IP对所包含的源IP数量;若所述源IP数量超过预设的源IP数量阈值,则确定反射攻击针对的目标IP为该目的IP。3.根据权利要求2所述的方法,其特征在于,所述针对任一源IP对,若该源IP对访问同一目的IP的同一目的端口的时间窗口数量超过预设的时间窗口数量阈值,则确定该源IP对为异常伴随源IP对包括:对于不同目的IP的不同目的端口,分别确定其对应的所述异常伴随IP对。4.根据权利要求2所述的方法,其特征在于,所述根据所述多个时间窗口的数量和所述同一时间窗口内访问同一目的IP的同一目的端口的至少一个源IP对,确定反射攻击针对的目标IP还包括:确定所述反射攻击针对的目标端口。5.根据权利要求4所述的方法,其特征在于,所述确定所述反射攻击针对的目标IP的目标端口...
【专利技术属性】
技术研发人员:鲍青波,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。