CN109005175A - 网络防护方法、装置、服务器及存储介质 - Google Patents
网络防护方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN109005175A CN109005175A CN201810889947.0A CN201810889947A CN109005175A CN 109005175 A CN109005175 A CN 109005175A CN 201810889947 A CN201810889947 A CN 201810889947A CN 109005175 A CN109005175 A CN 109005175A
- Authority
- CN
- China
- Prior art keywords
- message
- server
- user identifier
- watermark
- cycle time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络防护方法、装置、服务器及存储介质,属于网络安全领域。所述方法包括:当服务器被攻击时,获取向服务器发送的报文,报文包括用户标识和安全水印;根据报文中的安全水印对报文的合法性进行检测,得到检测结果;当检测结果为报文合法时,统计报文中的用户标识周期时间内出现的次数;当报文中的用户标识周期时间内出现的次数超过阈值时,丢弃报文;当报文中的用户标识周期时间内出现的次数未超过阈值时,向服务器转发报文。该方案通过安全水印和统计用户标识周期时间内出现的次数配合,不但能够拦截普通攻击方式发送的非法报文,还能够对重放攻击发送的报文进行拦截,从而确保了服务器的正常工作。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种网络防护方法、装置、服务器及存储介质。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,是指黑客通过控制分布在各处的僵死网络向目的服务器发起大量异常流量,服务器忙于处理异常流量,无法处理正常用户请求,甚至***崩溃,造成拒绝服务。
针对DDoS攻击,相关技术中提供了一种基于水印的防护策略,在客户端向服务器发送上行报文时,需要在报文中携带通过事先约定的算法算出的水印字段。设置在客户端和服务器之间的防护端,通过验证该上行报文中水印字段的合法性,从而判断是否将该报文转发给服务器,实现对非法报文进行拦截。
但是,当攻击端通过窃取到的合法报文进行重放攻击时,上述防护策略无法有效对攻击进行防护。
发明内容
本发明实施例提供了一种网络防护方法、装置、服务器及存储介质,能够解决相关技术中当攻击端通过窃取到的合法报文进行重放攻击时,防护策略无法有效对攻击进行防护的问题。所述技术方案如下:
一方面,提供了一种网络防护方法,所述方法包括:
当服务器被攻击时,获取向所述服务器发送的报文,所述报文包括用户标识和安全水印;根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果;当所述检测结果为报文合法时,统计所述报文中的用户标识周期时间内出现的次数;当所述报文中的用户标识周期时间内出现的次数超过阈值时,丢弃所述报文;当所述报文中的用户标识周期时间内出现的次数未超过阈值时,向所述服务器转发所述报文。
另一方面,还提供了一种网络防护装置,所述装置包括:
接收模块,用于当服务器被攻击时,获取向所述服务器发送的报文,所述报文包括用户标识和安全水印;检测模块,用于根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果;统计模块,用于当所述检测结果为报文合法时,统计所述报文中的用户标识周期时间内出现的次数;过滤模块,用于当所述报文中的用户标识周期时间内出现的次数超过阈值时,丢弃所述报文;当所述报文中的用户标识周期时间内出现的次数未超过阈值时,向所述服务器转发所述报文。
另一方面,还提供了一种服务器,所述服务器包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如第一方面所述的网络防护方法。
另一方面,还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如第一方面所述的网络防护方法。
本发明实施例提供的技术方案带来的有益效果是:
通过在接收到客户端发送的报文后,先对报文中的安全水印进行验证,从而确定该报文是否合法,当所述检测结果为报文合法时,统计报文中的用户标识周期时间内出现的次数,根据报文中的用户标识周期时间内出现的次数是否超过阈值,来决定是进行转发还是进行拦截。该方案通过安全水印和统计用户标识周期时间内出现的次数配合,不但能够拦截普通攻击方式发送的非法报文,还能够对重放攻击发送的报文进行拦截,从而确保了服务器的正常工作。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络防护***的拓扑示意图;
图2是本发明实施例提供的一种网络防护方法的流程图;
图3是本发明实施例提供的另一种网络防护方法的流程图;
图4是本发明实施例提供的一种报文的结构示意图;
图5是本发明实施例提供的一种网络防护装置的结构示意图;
图6是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为便于对本发明实施例提供的技术方案的理解,下面对现有DDoS攻击防护方案所存在的问题进行说明:
DDoS攻击可以分为2大类:阻塞带宽型和消耗性能型。阻塞带宽型即黑客通过肉鸡(被黑客控制的客户端)发送用户数据报协议(User Datagram Protocol,UDP)长报文、同步序列编号(Synchronize Sequence Numbers,SYN)长报文等恶意流量,阻塞服务器带宽,导致正常客户无法访问服务器。消耗性能型则通过发送大量SYN短报文、确认(Acknowledgement,ACK)短报文、超文本传输协议(Hyper Text Transfer Protocol,HTTP)报文等进行恶意请求,让服务器忙于处理恶意请求而导致服务器资源耗尽,无法响应正常请求,达到拒绝服务器攻击的目的。
针对DDoS攻击,相关技术中提供了多种防护方案,例如验证源IP合法性策略、基于源IP和目的IP的限速防护策略、基于水印的防护策略等。
然而,这些策略都存在一些问题。以验证源IP合法性策略为例,验证源IP合法性策略通常通过反弹挑战报文实现,或者通过丢弃首包让客户端自动重传来实现。只要攻击端是通过真实IP进行的DDoS攻击,该方案则无法进行防护。以限速防护策略为例,限速策略会造成正常业务流量被误杀,且无法完全限制攻击流量。以基于水印的防护策略为例,当攻击端通过窃取到的合法报文进行重放攻击时,上述防护策略无法有效对攻击进行防护。
为此,本发明实施例提供了一种网络防护方法。在介绍本申请的网络防护方法前,先对网络防护***(也即前述防护端)的架构进行简单说明。
图1是本发明实施例提供的一种网络防护***的拓扑示意图。参见图1,该网络防护***10连接路由器20,该路由器20通常为网络中的核心路由器。路由器20连接运营商网络30,路由器20通过交换机40连接服务器50,从而实现服务器50与网络其他设备的连通。其中,路由器20可以连接多个交换机40,该交换机40可以为核心交换机,每个交换机40可以连接一个或多个服务器50。
网络防护***10包括攻击检测子***101、防护子***102和控制子***103,三个子***既可以分别采用独立的设备(如服务器)实现,也可以其中两个或者三个集成在一个设备上。
路由器20在传输发送给服务器50的流量时,会产生镜像流量,并将镜像流量发送给攻击检测子***101。攻击检测子***101检测各个服务器50是否受到攻击,在检测到服务器50受到攻击时,向防护子***102和控制子***103输出告警信息。
防护子***102收到告警信息时,对服务器的报文进行过滤,将过滤后的服务器的报文回传给路由器20,再由路由器20传输给服务器50。并且在防护过程中,防护子***102可以判断出恶意用户,将该恶意用户信息存在控制子***103中。
其中,服务器为前述路由器20连接的任一个服务器。
图2是本发明实施例提供的一种网络防护方法的流程图,参见图2,该方法由前述网络防护***执行,该方法包括:
步骤101:当服务器被攻击时,获取向服务器发送的报文,报文包括用户标识和安全水印。
在本发明实施例中,服务器受到攻击是指服务器收到大量的攻击流量,因此可以通过单位时间内向服务器发送的流量多少确定服务器是否受到攻击。
在本发明实施例中,向服务器发送的流量可以包括传输控制协议(TransmissionControl Protocol,TCP)流量和UDP流量中的至少一种,其中,TCP流量也即采用TCP协议传输给服务器的数据,UDP流量也即采用UDP协议传输给服务器的数据。因此,前述向服务器发送的报文可以为UDP报文、也可以为SYN报文、ACK报文、TCP报文等,其中SYN报文和ACK报文为客户端与服务器建立TCP连接时传输的报文。
该报文中的用户标识可以为用户名、用户编号或者用户哈希值(Playheadhash)。例如,在游戏领域,该用户标识可以为用户注册游戏时使用的用户名,或者用户注册游戏时得到的用户编号,或者采用该用户名通过哈希运算得到的用户哈希值。其中,游戏业务作为当今收入最高的互联网业务之一,经常会由于恶意玩家、恶意竞争等原因,而经常遭受DDoS攻击。游戏业务遭受DDoS攻击后,会造成游戏掉线、玩家流失、影响口碑、影响收入等严重后果,所以本申请提供的方案特别适用于游戏业务,能够保证游戏业务的稳定运行。
在本发明实施例中,可以采用用户哈希值来表示用户标识,用户哈希值的长度固定,也即不同长度的用户名或者不同长度的用户编号,通过哈希运算后得到的用户哈希值的长度都是相同的,这样便于用户哈希值携带在报文中。
该报文中的安全水印(Footprint)的计算方式如下:采用目的地址(服务器的IP地址)、目的端口和用户标识作为计算因子,采用水印计算方法计算该安全水印。这里的水印计算方法可以为CRC32算法,当然也可以为其他算法,本申请对此不做限制。
步骤102:根据报文中的安全水印对报文的合法性进行检测,得到检测结果。当检测结果为报文合法时,执行步骤103。当检测结果为报文不合法时,执行步骤104。
该水印计算方法事先约定好,客户端可以采用该水印计算方法计算安全水印,而网络防护***则可以采用该水印计算方法进行安全水印的验证。
在步骤102中,根据报文中的安全水印对报文的合法性进行检测,得到检测结果,是指网络防护***生成验证水印,通过比较验证水印和安全水印来确定报文的合法性。
步骤103:统计报文中的用户标识周期时间内出现的次数。当报文中的用户标识周期时间内出现的次数超过阈值时,执行步骤104。当报文中的用户标识周期时间内出现的次数未超过阈值时,执行步骤105。
在步骤102中,如果根据安全水印判断出报文合法,则可能存在两种情况,一种是正常客户端发送的正常报文,另一种是攻击端通过重放攻击发送的报文。由于正常客户端周期时间内发送的正常报文的数量不会太多,而重放攻击为了阻塞服务器,周期时间内会发送大量报文,因此,步骤103通过统计用户标识周期时间内出现的次数,对重放攻击发送的报文进行过滤。
步骤104:丢弃报文。
通过丢弃报文,避免攻击报文被发送到服务器,影响正常业务运转。
步骤105:向服务器转发报文。
通过前述步骤验证的正常报文需要转发给服务器,避免影响正常业务。
本申请通过在接收到客户端发送的报文后,先对报文中的安全水印进行验证,从而确定该报文是否合法,当检测结果为报文合法时,统计报文中的用户标识周期时间内出现的次数,根据报文中的用户标识周期时间内出现的次数是否超过阈值,来决定是进行转发还是进行拦截。该方案通过安全水印和统计用户标识周期时间内出现的次数配合,不但能够拦截普通攻击方式发送的非法报文,还能够对重放攻击发送的报文进行拦截,并且不影响正常报文的传输,从而确保了服务器的正常工作。
图3是本发明实施例提供的另一种网络防护方法的流程图,参见图3,该方法由前述网络防护***和客户端共同执行,该方法流程包括:
步骤200:客户端向服务器发送报文,该报文包括用户标识和安全水印。
该报文中的用户标识可以为用户名、用户编号或者用户哈希值。例如,在游戏领域,该用户标识可以为用户注册游戏时使用的用户名,或者用户注册游戏时得到的用户编号,或者采用该用户名通过哈希运算得到的用户哈希值。
在本发明实施例中,可以采用用户哈希值来表示用户标识,用户哈希值的长度固定,也即不同长度的用户名或者不同长度的用户编号,通过哈希运算后得到的用户哈希值的长度都是相同的,这样便于用户哈希值携带在报文中。
该报文中的安全水印的计算方式如下:采用目的地址(服务器的IP地址)、目的端口和用户标识作为计算因子,采用水印计算方法计算该安全水印。
在本发明实施例中,报文包括载荷,载荷的前若干个字节为用户标识和安全水印,这样设计,便于网络防护***从报文中提取用户标识和安全水印进行校验,节省性能。图4是本发明实施例提供的一种报文的结构示意图。参见图4,该报文包括IP头、TCP/UDP头、安全水印、用户哈希值和数据,安全水印和用户哈希值分别为4字节,位于载荷的前8个字节。这里的安全水印、用户哈希值和数据构成前述报文的载荷。
具体地,该步骤可以包括:客户端计算安全水印;根据安全水印生成报文;向服务器发送生成的报文。其中,客户端计算安全水印可以采用如下方式实现:客户端调用水印插件计算安全水印,该水印插件中携带有计算安全水印的水印计算方法,例如CRC32算法,当然也可以为其他算法,本申请对此不做限制。这里,采用插件将水印计算方法直接封装给客户端,客户端无需了解算法实现,直接调用插件即可,实现简单;插件实现更稳定;更新更方便,如果水印计算方法更新,直接替换插件即可。
值得说明的是,虽然该客户端生成的报文目的地是服务器,表示向服务器发送报文,但该报文可能最终并不能到达服务器,当报文经过连接有网络防护***的路由器时,可能会被拦截,从而无法到达服务器。因此,图3中采用虚线表示该发送过程。
步骤201:网络防护***判断各个服务器是否被攻击。
在本发明实施例中,服务器受到攻击是指服务器收到大量的攻击流量,在本申请中,可以通过单位时间内向服务器发送的流量多少确定服务器是否受到攻击。该步骤201由网络防护***中的攻击检测子***实现,可以包括:
第一步,网络防护***接收路由器发送的镜像流量。
该镜像流量既包括发送到服务器的各种流量,例如UDP流量、TCP流量。按照流量中报文的目的地址,统计单位时间内发送到服务器的流量的多少,例如单位时间内发送到服务器的流量为50G等。
在本发明实施例中,路由器发送的镜像流量包括多个服务器的流量,所以在统计时,对各个服务器的流量分别进行统计。当镜像流量包括多个服务器的流量时,后续各个步骤也需要针对各个服务器的流量分别执行。
第二步,根据单位时间内发送到服务器的流量以及服务器对应的安全阈值,确定服务器是否受到攻击。
例如,获取服务器对应的安全阈值;比较单位时间内发送到服务器的流量与对应的安全阈值的大小;当单位时间内发送到服务器的流量大于或等于对应的安全阈值时,确定该服务器受到攻击,当单位时间内发送到服务器的流量小于对应的安全阈值时,确定该服务器未受到攻击。
其中,服务器对应的安全阈值可以事先存储在该网络防护***中,每个服务器的安全阈值与服务器的功能相关,例如域名***(Domain Name System,DNS)服务器、视频服务器的安全阈值大小不同。对于未设置安全阈值的服务器,则采用默认安全阈值。
步骤202:当服务器被攻击时,网络防护***获取向服务器发送的报文,报文包括用户标识和安全水印。
步骤202可以由网络防护***中的防护子***执行,当服务器被攻击时,执行后续步骤;当服务器未被攻击时,不需要执行后续步骤。
可选地,该方法还包括:当服务器受到攻击时,生成告警信息。该告警信息由攻击检测子***生成,然后输出到防护子***。
当防护子***接收到告警信息时,防护子***与路由器之间进行流量牵引,将服务器的流量牵引到防护子***。
其中,防护子***与路由器之间进行流量牵引,将服务器的流量牵引到网络防护***可以通过如下方式实现:防护子***通过与路由器建立的边界网关协议(BorderGateway Protocol,BGP)邻居关系。向路由器发布服务器的牵引路由,将服务器的流量发送到防护子***。
具体地,路由器中可以虚拟出两个路由器:第一虚拟路由器和第二虚拟路由器,第一虚拟路由器负责接收服务器的报文,第二虚拟路由器负责将服务器的报文发送给服务器。防护子***向第一虚拟路由器发布服务器的牵引路由,该牵引路由的下一跳为防护子***,该牵引路由的子网掩码比第一虚拟路由器学习到的服务器的路由的子网掩码长,根据最长掩码匹配原则,第一虚拟路由器采用该牵引路由作为服务器的路由。第一虚拟路由器将接收到的服务器的报文发送给防护子***,防护子***进行网络防护。在服务器结束被攻击后,防护子***可以向第一虚拟路由器发送宣告牵引路由无效的信息,使服务器未受到攻击时的报文不再发送给防护子***,而是直接发送给服务器。
步骤203:网络防护***根据报文中的安全水印对报文的合法性进行检测,得到检测结果。当检测结果为报文合法时,执行步骤204。当检测结果为报文不合法时,执行步骤205。
在步骤203中,根据报文中的安全水印对报文的合法性进行检测,得到检测结果,是指网络防护***生成验证水印,通过比较验证水印和安全水印来确定报文的合法性。
步骤203可以由网络防护***中的防护子***执行,具体地步骤203可以包括:从报文中获取用户标识和安全水印;采用水印计算方法和用户标识计算验证水印;比较验证水印和安全水印是否相同;若验证水印和安全水印相同,则报文合法;若验证水印和安全水印不同,则报文不合法。
该水印计算方法事先约定好,客户端可以采用该水印计算方法计算安全水印,而防护子***则可以采用该水印计算方法进行安全水印的验证。
步骤204:网络防护***统计报文中的用户标识周期时间内出现的次数。当报文中的用户标识周期时间内出现的次数超过阈值时,执行步骤205。当报文中的用户标识周期时间内出现的次数未超过阈值时,执行步骤206。
在步骤203中,如果根据安全水印判断出报文合法,则可能存在两种情况,一种是正常客户端发送的正常报文,另一种是攻击端通过重放攻击发送的报文。由于正常客户端周期时间内发送的正常报文的数量不会太多,而重放攻击为了阻塞服务器,周期时间内会发送大量报文,因此,步骤204需要通过统计用户标识周期时间内出现的次数,对重放攻击发送的报文进行过滤。
其中,周期时间可以根据需要进行设定,例如周期时间可以为1秒。如1秒内共检查到300个的报文携带有某一个用户标识,阈值为250,此时该用户标识周期时间内出现的次数超过阈值,说明出现重放攻击,执行步骤205。
步骤205:网络防护***丢弃报文。
通过丢弃报文,避免攻击报文被发送到服务器,影响正常业务运转。
步骤206:网络防护***向服务器转发报文。
防护子***将过滤后的报文返回路由器,由路由器发送给服务器。
具体地,防护子***在进行网络防护后将服务器的报文发送给前述第二虚拟路由器,由第二虚拟路由器发送给服务器。
下面通过举例对上述防护过程的效果进行说明:
场景1:攻击者不知道水印计算方法,无法正确计算安全水印,只能随机伪造垃圾报文发起DDoS攻击。
此时,网络防护***通过对每个报文做水印检查,实现对攻击报文的拦截,防护成功。
场景2:攻击者抓取正常业务报文,通过重放报文来发起DDoS攻击。
此时,网络防护***通过对每个报文做水印检查,无法拦截该攻击报文。但是,网络防护***通过统计报文中的用户标识周期时间内出现的次数,发现该用户标识周期时间内出现的次数超过阈值,判断该用户标识为恶意用户,此时对带有该用户标识的报文做拦截,防护成功。
可选地,该方法还可以包括:当报文中的用户标识周期时间内出现的次数超过阈值时,将用户标识存入恶意用户信息中。将用户标识存入恶意用户信息中,然后可以在后续防护过程中利用该恶意用户信息进行报文拦截或者对用户账号进行处理,避免再次受到该用户的攻击。
可选地,该方法还可以包括:将该恶意用户信息传输给服务器,使得服务器可以根据该恶意用户信息进行恶意账号审计、封号、通报等线上打击操作。其中,当前述用户标识为用户哈希值时,服务器中存储有用户名或用户编号与用户哈希值的对应表,根据用户哈希值找到对应的用户名或用户编号,从而能够实现封号等操作。
进一步地,该方法还可以包括:
在对报文的合法性进行检测前,确定报文中的用户标识是否存在于恶意用户信息中;当报文中的用户标识存在于恶意用户信息中,丢弃报文。
进一步地,还可以限定使用恶意用户信息进行拦截的时间,例如在用户标识加入恶意用户信息中的一段时间内(如30分钟、1小时等),拦截携带该用户标识的所有报文。当超过该时间段后,不再拦截携带该用户标识的所有报文,而是通过步骤203和204的方式进行拦截。
这样可以方便拦截之前进行过恶意攻击的用户发送的报文,降低防护子***的处理压力。而超过该时间段后,不再拦截恶意用户信息中用户标识的所有报文,避免采用该用户的报文进行的重放攻击结束后,持续拦截影响该用户的正常业务报文传输。
本申请通过在接收到客户端发送的报文后,先对报文中的安全水印进行验证,从而确定该报文是否合法,当检测结果为报文合法时,统计报文中的用户标识周期时间内出现的次数,根据报文中的用户标识周期时间内出现的次数是否超过阈值,来决定是进行转发还是进行拦截。该方案通过安全水印和统计用户标识周期时间内出现的次数配合,不但能够拦截普通攻击方式发送的非法报文,还能够对重放攻击发送的报文进行拦截,并且不影响正常报文的传输,从而确保了服务器的正常工作。
图5是本发明实施例提供的一种网络防护装置的结构示意图,参见图5,该装置300包括:接收模块301、检测模块302、过滤模块303和统计模块304。
接收模块301用于当服务器被攻击时,获取向服务器发送的报文,报文包括用户标识和安全水印;检测模块302用于根据报文中的安全水印对报文的合法性进行检测,得到检测结果;统计模块304用于当检测结果为报文合法时,统计报文中的用户标识周期时间内出现的次数;过滤模块303用于当报文中的用户标识周期时间内出现的次数超过阈值时,丢弃报文;当报文中的用户标识周期时间内出现的次数未超过阈值时,向服务器转发报文。
在本发明实施例中,过滤模块303还用于当检测结果为报文不合法时,丢弃报文。
在本发明实施例中,检测模块302用于从报文中获取用户标识和安全水印;采用水印计算方法和用户标识计算验证水印;比较验证水印和安全水印是否相同;若验证水印和安全水印相同,则报文合法;若验证水印和安全水印不同,则报文不合法。
在本发明实施例中,报文包括载荷,载荷的前若干个字节为用户标识和安全水印。
在本发明实施例中,用户标识为用户名哈希值。
进一步地,该装置还可以包括存储模块305。存储模块305用于当报文中的用户标识周期时间内出现的次数超过阈值时,将用户标识存入恶意用户信息中。
进一步地,过滤模块303还用于在对报文的合法性进行检测前,确定报文中的用户标识是否存在于恶意用户信息中;当报文中的用户标识存在于恶意用户信息中,丢弃报文。
需要说明的是:上述实施例提供的网络防护装置在实现网络防护方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的网络防护装置与网络防护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图6是本发明实施例提供的一种服务器的结构示意图。该服务器可以是网络防护***。具体来讲:
网络防护***400包括中央处理单元(CPU)401、包括随机存取存储器(RAM)402和只读存储器(ROM)403的***存储器404,以及连接***存储器404和中央处理单元401的***总线405。网络防护***400还包括帮助计算机内的各个器件之间传输信息的基本输入/输出***(I/O***)406,和用于存储操作***413、应用程序414和其他程序模块415的大容量存储设备407。
基本输入/输出***406包括有用于显示信息的显示器408和用于用户输入信息的诸如鼠标、键盘之类的输入设备409。其中显示器408和输入设备409都通过连接到***总线405的输入输出控制器410连接到中央处理单元401。基本输入/输出***406还可以包括输入输出控制器410以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器410还提供输出到显示屏、打印机或其他类型的输出设备。
大容量存储设备407通过连接到***总线405的大容量存储控制器(未示出)连接到中央处理单元401。大容量存储设备407及其相关联的计算机可读介质为网络防护***400提供非易失性存储。也就是说,大容量存储设备407可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储13介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的***存储器404和大容量存储设备407可以统称为存储器。
根据本发明的各种实施例,网络防护***400还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即网络防护***400可以通过连接在***总线405上的网络接口单元411连接到网络412,或者说,也可以使用网络接口单元411来连接到其他类型的网络或远程计算机***(未示出)。
上述存储器还包括一个或者一个以上的程序,一个或者一个以上程序存储于存储器中,被配置由CPU执行。CPU 401通过执行该一个或一个以上程序来实现图2或图3所示的网络防护方法。
本发明实施例还提供了一种非临时性计算机可读存储介质,当存储介质中的指令由网络防护***的处理器执行时,使得网络防护***能够执行图2或图3所示实施例提供的网络防护方法。
一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述图2或图3所示实施例提供的网络防护方法。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络防护方法,其特征在于,所述方法包括:
当服务器被攻击时,获取向所述服务器发送的报文,所述报文包括用户标识和安全水印;
根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果;
当所述检测结果为报文合法时,统计所述报文中的用户标识周期时间内出现的次数;
当所述报文中的用户标识周期时间内出现的次数超过阈值时,丢弃所述报文;
当所述报文中的用户标识周期时间内出现的次数未超过阈值时,向所述服务器转发所述报文。
2.根据权利要求1所述的方法,其特征在于,所述根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果,包括:
从所述报文中获取所述用户标识和安全水印;
采用水印计算方法和所述用户标识计算验证水印;
若所述验证水印和所述安全水印相同,则所述检测结果为报文合法;
若所述验证水印和所述安全水印不同,则所述检测结果为报文不合法。
3.根据权利要求2所述的方法,其特征在于,所述采用水印计算方法和所述用户标识计算验证水印,包括:
采用所述报文中的目的地址、目的端口和所述用户标识作为计算因子,采用所述水印计算方法计算验证水印。
4.根据权利要求1所述的方法,其特征在于,所述用户标识为用户名哈希值。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
当所述报文中的用户标识周期时间内出现的次数超过阈值时,将所述用户标识存入恶意用户信息中。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在对所述报文的合法性进行检测前,确定所述报文中的用户标识是否存在于所述恶意用户信息中;
当所述报文中的用户标识存在于所述恶意用户信息中,丢弃所述报文。
7.一种网络防护装置,其特征在于,所述装置包括:
接收模块,用于当服务器被攻击时,获取向所述服务器发送的报文,所述报文包括用户标识和安全水印;
检测模块,用于根据所述报文中的安全水印对所述报文的合法性进行检测,得到检测结果;
统计模块,用于当所述检测结果为报文合法时,统计所述报文中的用户标识周期时间内出现的次数;
过滤模块,用于当所述报文中的用户标识周期时间内出现的次数超过阈值时,丢弃所述报文;当所述报文中的用户标识周期时间内出现的次数未超过阈值时,向所述服务器转发所述报文。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括存储模块,用于当所述报文中的用户标识周期时间内出现的次数超过阈值时,将所述用户标识存入恶意用户信息中。
9.一种服务器,其特征在于,所述服务器包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如权利要求1至6任一项所述的网络防护方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如权利要求1至6任一项所述的网络防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810889947.0A CN109005175B (zh) | 2018-08-07 | 2018-08-07 | 网络防护方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810889947.0A CN109005175B (zh) | 2018-08-07 | 2018-08-07 | 网络防护方法、装置、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109005175A true CN109005175A (zh) | 2018-12-14 |
| CN109005175B CN109005175B (zh) | 2020-12-25 |
Family
ID=64595394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810889947.0A Active CN109005175B (zh) | 2018-08-07 | 2018-08-07 | 网络防护方法、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109005175B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109309690A (zh) * | 2018-12-28 | 2019-02-05 | 中国人民解放军国防科技大学 | 一种基于报文认证码的软件白名单控制方法 |
| CN112003873A (zh) * | 2020-08-31 | 2020-11-27 | 成都安恒信息技术有限公司 | 一种抗DDoS攻击的http流量防御方法及*** |
| CN112448889A (zh) * | 2019-08-28 | 2021-03-05 | 北京新能源汽车股份有限公司 | 一种网关控制器路由配置方法、装置、设备及汽车 |
| CN113872976A (zh) * | 2021-09-29 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种基于http2攻击的防护方法、装置及电子设备 |
| CN113973011A (zh) * | 2021-10-15 | 2022-01-25 | 杭州安恒信息安全技术有限公司 | 一种网络攻击防护方法、***及计算机存储介质 |
| WO2022033157A1 (zh) * | 2020-08-11 | 2022-02-17 | 华为技术有限公司 | 网络攻击的防御方法、cp设备及up设备 |
| CN114095426A (zh) * | 2021-09-28 | 2022-02-25 | 浪潮软件科技有限公司 | 一种vpp平台的报文处理方法及装置 |
| CN114553452A (zh) * | 2020-11-25 | 2022-05-27 | 华为技术有限公司 | 攻击防御方法及防护设备 |
| CN115002797A (zh) * | 2021-11-18 | 2022-09-02 | 荣耀终端有限公司 | 一种网络质量的检测方法及相关电子设备 |
| CN115766055A (zh) * | 2022-09-08 | 2023-03-07 | 中国联合网络通信集团有限公司 | 一种用于通信报文验证的方法和装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002165081A (ja) * | 2000-11-28 | 2002-06-07 | Toshiba Corp | 電子透かしシステム、電子透かし解析装置、電子透かし解析方法及び記録媒体 |
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、*** |
| US20110296185A1 (en) * | 2010-05-28 | 2011-12-01 | Cisco Technology, Inc. | Protection of Control Plane Traffic Against Replayed and Delayed Packet Attack |
| CN102355452A (zh) * | 2011-08-09 | 2012-02-15 | 北京网御星云信息技术有限公司 | 一种滤除网络攻击流量的方法与装置 |
| CN104104652A (zh) * | 2013-04-03 | 2014-10-15 | 阿里巴巴集团控股有限公司 | 一种人机识别方法、网络服务接入方法及相应的设备 |
| CN104333529A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | 一种云计算环境下http dos攻击的检测方法及*** |
| CN104917739A (zh) * | 2014-03-14 | 2015-09-16 | 腾讯科技(北京)有限公司 | 虚假账号的识别方法及装置 |
| CN104967610A (zh) * | 2015-04-30 | 2015-10-07 | 中国人民解放军国防科学技术大学 | 一种基于时隙的水印跳变通信方法 |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN105429940A (zh) * | 2015-10-26 | 2016-03-23 | 华侨大学 | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 |
| CN105592070A (zh) * | 2015-11-16 | 2016-05-18 | ***股份有限公司 | 应用层DDoS防御方法及*** |
| US20160315921A1 (en) * | 2015-04-27 | 2016-10-27 | Cisco Technology, Inc. | Cumulative schemes for network path proof of transit |
| CN107369125A (zh) * | 2017-06-13 | 2017-11-21 | 重庆第二师范学院 | 用于数据流的鲁棒水印检测方法和装置 |
| CN107707547A (zh) * | 2017-09-29 | 2018-02-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的检测方法及设备 |
-
2018
- 2018-08-07 CN CN201810889947.0A patent/CN109005175B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002165081A (ja) * | 2000-11-28 | 2002-06-07 | Toshiba Corp | 電子透かしシステム、電子透かし解析装置、電子透かし解析方法及び記録媒体 |
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、*** |
| US20110296185A1 (en) * | 2010-05-28 | 2011-12-01 | Cisco Technology, Inc. | Protection of Control Plane Traffic Against Replayed and Delayed Packet Attack |
| CN102355452A (zh) * | 2011-08-09 | 2012-02-15 | 北京网御星云信息技术有限公司 | 一种滤除网络攻击流量的方法与装置 |
| CN104104652A (zh) * | 2013-04-03 | 2014-10-15 | 阿里巴巴集团控股有限公司 | 一种人机识别方法、网络服务接入方法及相应的设备 |
| CN104333529A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | 一种云计算环境下http dos攻击的检测方法及*** |
| CN104917739A (zh) * | 2014-03-14 | 2015-09-16 | 腾讯科技(北京)有限公司 | 虚假账号的识别方法及装置 |
| US20160315921A1 (en) * | 2015-04-27 | 2016-10-27 | Cisco Technology, Inc. | Cumulative schemes for network path proof of transit |
| CN104967610A (zh) * | 2015-04-30 | 2015-10-07 | 中国人民解放军国防科学技术大学 | 一种基于时隙的水印跳变通信方法 |
| CN105429940A (zh) * | 2015-10-26 | 2016-03-23 | 华侨大学 | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 |
| CN105592070A (zh) * | 2015-11-16 | 2016-05-18 | ***股份有限公司 | 应用层DDoS防御方法及*** |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN107369125A (zh) * | 2017-06-13 | 2017-11-21 | 重庆第二师范学院 | 用于数据流的鲁棒水印检测方法和装置 |
| CN107707547A (zh) * | 2017-09-29 | 2018-02-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的检测方法及设备 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109309690A (zh) * | 2018-12-28 | 2019-02-05 | 中国人民解放军国防科技大学 | 一种基于报文认证码的软件白名单控制方法 |
| CN112448889A (zh) * | 2019-08-28 | 2021-03-05 | 北京新能源汽车股份有限公司 | 一种网关控制器路由配置方法、装置、设备及汽车 |
| CN112448889B (zh) * | 2019-08-28 | 2022-04-19 | 北京新能源汽车股份有限公司 | 一种网关控制器路由配置方法、装置、设备及汽车 |
| WO2022033157A1 (zh) * | 2020-08-11 | 2022-02-17 | 华为技术有限公司 | 网络攻击的防御方法、cp设备及up设备 |
| CN112003873B (zh) * | 2020-08-31 | 2022-04-19 | 成都安恒信息技术有限公司 | 一种抗DDoS攻击的http流量防御方法及*** |
| CN112003873A (zh) * | 2020-08-31 | 2020-11-27 | 成都安恒信息技术有限公司 | 一种抗DDoS攻击的http流量防御方法及*** |
| CN114553452B (zh) * | 2020-11-25 | 2023-06-02 | 华为技术有限公司 | 攻击防御方法及防护设备 |
| CN114553452A (zh) * | 2020-11-25 | 2022-05-27 | 华为技术有限公司 | 攻击防御方法及防护设备 |
| CN114095426A (zh) * | 2021-09-28 | 2022-02-25 | 浪潮软件科技有限公司 | 一种vpp平台的报文处理方法及装置 |
| CN113872976A (zh) * | 2021-09-29 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种基于http2攻击的防护方法、装置及电子设备 |
| CN113872976B (zh) * | 2021-09-29 | 2023-06-02 | 绿盟科技集团股份有限公司 | 一种基于http2攻击的防护方法、装置及电子设备 |
| CN113973011A (zh) * | 2021-10-15 | 2022-01-25 | 杭州安恒信息安全技术有限公司 | 一种网络攻击防护方法、***及计算机存储介质 |
| CN115002797A (zh) * | 2021-11-18 | 2022-09-02 | 荣耀终端有限公司 | 一种网络质量的检测方法及相关电子设备 |
| CN115766055A (zh) * | 2022-09-08 | 2023-03-07 | 中国联合网络通信集团有限公司 | 一种用于通信报文验证的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109005175B (zh) | 2020-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109005175A (zh) | 网络防护方法、装置、服务器及存储介质 | |
| US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| US9781157B1 (en) | Mitigating denial of service attacks | |
| Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
| Geva et al. | Bandwidth distributed denial of service: Attacks and defenses | |
| US6973040B1 (en) | Method of maintaining lists of network characteristics | |
| CN112351012A (zh) | 一种网络安全防护方法、装置及*** | |
| CN108809923A (zh) | 在检测DDoS攻击时的流量过滤的***和方法 | |
| JP4373306B2 (ja) | Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 | |
| CN104468624A (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| CN109327426A (zh) | 一种防火墙攻击防御方法 | |
| CN1906905B (zh) | 拒绝服务攻击防御***、拒绝服务攻击防御方法 | |
| KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
| CN108810008A (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| Habib et al. | DDoS mitigation in eucalyptus cloud platform using snort and packet filtering—IP-tables | |
| JP2010193083A (ja) | 通信システムおよび通信方法 | |
| JP2006100874A (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| Fu et al. | Club: a cluster based framework for mitigating distributed denial of service attacks | |
| KR101380096B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
| Alosaimi et al. | Mitigation of distributed denial of service attacks in the cloud | |
| Khirwadkar | Defense against network attacks using game theory | |
| Pimpalkar et al. | Defense against DDOS attacks using IP address spoofing | |
| JP3828523B2 (ja) | 不正アクセス防御装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |