CN115484110A - Ddos处理方法、装置、电子设备和存储介质 - Google Patents
Ddos处理方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115484110A CN115484110A CN202211164530.0A CN202211164530A CN115484110A CN 115484110 A CN115484110 A CN 115484110A CN 202211164530 A CN202211164530 A CN 202211164530A CN 115484110 A CN115484110 A CN 115484110A
- Authority
- CN
- China
- Prior art keywords
- rule
- target
- data packet
- detection
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供DDOS处理方法、装置、电子设备和存储介质。该方法包括:获取待检测数据包;对所述待检测数据包进行解析,以确定所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议;利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,其中,所述目标检测规则利用规则模板生成;通过所述目标检测规则所关联的检测函数,对所述待检测数据包进行DDOS检测。因此针对不同的DDOS,能够通过该规则模板生成相应的目标检测规则,进而对DDOS进行处理,相对于现有技术通过固定化的配置模式,本申请实施例这种根据规则模板生成目标检测规则对DDOS进行处理的方式,更加灵活。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,涉及DDOS处理方法、装置、电子设备和存储介质。
背景技术
分布式拒绝服务攻击(Distributed denial of service attack,DDOS)可以在短时间内伪造大量的数据包发送给目标网络设备,使得目标网络设备在短时间内接收到大量的数据包,从而导致目标网络设备无法正常提供网络业务服务,因此DDOS通常能够造成重大影响。
在实际应用中,通常可以利用抗DDOS设备来检测和防御DDOS,然而目前的抗DDOS设备往往采用固定化的配置模式,需要操作人员人工输入固定化的预设命令行,或在web界面进行固定化的预设信息配置,导致对抗DDOS的灵活性较差。
发明内容
本申请实施例的目的在于提供DDOS处理方法、装置、电子设备和存储介质,用于解决现有技术DDOS检测灵活性较差的问题。
本申请实施例第一方面提供了一种DDOS处理方法,所述方法包括:
获取待检测数据包;
对所述待检测数据包进行解析,以确定所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议;
利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,其中,所述目标检测规则利用规则模板生成;
通过所述目标检测规则所关联的检测函数,对所述待检测数据包进行DDOS检测。
于一实施例中,所述规则模板包括动作属性规范、通信协议属性规范、四元组属性规范和特征选项属性规范;以及,所述方法还包括:
根据所述动作属性规范、所述通信协议属性规范、所述四元组属性规范以及所述特征选项属性规范,分别对应确定所述目标检测规则中,动作属性的属性值、通信协议属性的属性值、四元组属性的属性值和特征选项属性的属性值,以生成所述目标检测规则。
于一实施例中,规则库包括利用所述规则模板所生成的多个检测规则;以及,
利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,具体包括:
将所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,与所述多个检测规则中四元组属性的属性值进行匹配,以及将所述待检测数据包的通信协议与所述多个检测规则中通信协议属性的属性值进行匹配,根据匹配结果确定,从所述多个检测规则中确定出所述目标检测规则。
于一实施例中,所述方法还包括:
获取所述目标检测规则的标识;
确定所述标识的哈希值;
利用所述哈希值查询哈希表,以确定所述目标检测规则所关联的检测函数;其中,所述哈希表包括key字段和检测函数字段,所述key字段的字段值为各个检测规则的标识的哈希值,所述检测函数字段的字段值为各个检测规则分别所关联的检测函数。
于一实施例中,在检测到所述待检测数据包为DDOS的数据包的情况下,所述方法还包括:
利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标防御规则,其中,所述目标检测规则利用规则模板生成;
通过所述目标防御规则所关联的防御函数进行DDOS防御。
于一实施例中,通过所述目标防御规则所关联的防御函数进行DDOS防御,具体包括:
获取所述目标防御规则中特征选项属性的属性值;
确定所述属性值的哈希值;
利用所述属性值的哈希值查询bitmap位图,以确定所述目标防御规则所关联的防御函数。
于一实施例中,所述方法还包括:生成日志信息,以记录对所述待检测数据包的DDOS检测以及DDOS防御。
本申请实施例第二方面提供了一种DDOS处理装置,包括:
获取单元,用于获取待检测数据包;
确定单元,用于对所述待检测数据包进行解析,以确定所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议;
检测规则确定单元,用于利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,其中,所述目标检测规则利用规则模板生成;
检测单元,用于通过所述目标检测规则所关联的检测函数,对所述待检测数据包进行DDOS检测。
本申请实施例第三方面提供了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行本申请实施例第一方面任意一项所述的方法。
本申请实施例第四方面提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成本申请实施例第一方面任意一项所述的方法。
采用本申请实施例所提供的DDOS处理方法,包括获取待检测数据包,然后对待检测数据包进行解析,以确定待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,然后利用待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,然后通过目标检测规则所关联的检测函数,对待检测数据包进行DDOS检测,其中,该目标检测规则利用规则模板生成。因此针对不同的DDOS,能够通过该规则模板生成相应的目标检测规则,进而对DDOS进行处理,相对于现有技术通过固定化的配置模式,本申请实施例这种根据规则模板生成目标检测规则对DDOS进行处理的方式,更加灵活。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请一实施例提供的,检测规则的具体结构示意图;
图2为本申请一实施例提供的,DDOS处理方法的具体流程示意图;
图3为本申请一实施例提供的,DDOS处理装置的具体结构示意图;
图4为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。在本申请的描述中,诸如“第一”、“第二”、“第三”等术语仅用于区分描述,而不能理解为指示或暗示相对重要性或先后顺序。
如前所述,目前的抗DDOS设备往往采用固定化的配置模式,需要操作人员人工输入固定化的预设命令行,或在web界面进行固定化的预设信息配置,导致对抗DDOS的灵活性较差。比如,对于固定化的预设命令行没有涉及到的通信协议(比如新的通信协议等),抗DDOS设备难以对该通信协议的数据包进行DDOS的检测和防御,因此对抗DDOS的灵活性较差。
在本申请实施例中,预先生成规则模板,这样能够利用该规则模板灵活地来生成检测规则和防御规则,进而在DDOS处理过程中,能够利用该检测规则检测数据表是否为DDOS的数据包,或利用防御规则进行DDOS防御。
在实际应用中,该规则模板包括动作属性规范、通信协议属性规范、四元组属性规范和特征选项属性规范,其中,该动作属性规范用于规范检测规则和防御规则的动作属性,比如在生成某个检测规则时,可以根据动作属性规范来确定该检测规则中动作属性的属性值;其中,该动作属性的属性值反映依照该检测规则,能够对待检测数据包进行与该属性值对应的业务操作,比如,该检测规则的动作属性的属性值为“alert”,反映利用该检测规则,能够对该待检测数据包进行“alert”的业务操作。
相应的,通信协议属性规范用于规范检测规则和防御规则的通信协议属性,该通信协议属性的属性值,反映依照该检测规则能够针对该属性值所对应通信协议的待检测数据包进行检测,比如,某个检测规则的通信协议属性的属性值为HTTP,反映利用该检测规则,能够针对HTTP的待检测数据包进行检测;其中,该HTTP的待检测数据包指该待检测数据包基于HTTP通信协议所发送。
四元组属性规范用于规范检测规则和防御规则的四元组属性,该四元组属性具体指待检测数据包的发送端端口、发送端IP地址、目标端端口和目标端IP地址。特征选项属性规范用于规范检测规则和防御规则的特征选项属性。
因此,可以预先利用该规则模板,生成多个检测规则和防御规则,并将这些检测规则和防御规则存储至规则库中,用于后续DDOS的处理。
比如,可以根据规则模板中的动作属性规范,确定检测规则的动作属性的属性值,比如从动作属性规范所提供的候选值中选取该属性值,或设置新的值作为该属性值;根据规则模板中的通信协议属性规范,确定检测规则的通信协议属性的属性值,比如从通信协议属性规范所提供的候选值中选取该属性值,或设置新的值作为该属性值;根据规则模板中的四元组属性规范,确定检测规则的四元组属性的属性值,比如从四元组属性规范所提供的候选值中选取该属性值,或设置新的值作为该属性值;根据规则模板中的特征选项属性规范,确定检测规则的特征选项属性的属性值,比如从特征选项属性规范所提供的候选值中选取该属性值,或设置新的值作为该属性值;在确定出动作属性的属性值、通信协议属性的属性值、四元组属性的属性值和特征选项属性的属性值之后,可以生成该检测规则。
比如,如图1所示为根据该规则模板所生成的检测规则,该检测规则的动作属性的属性值包括alert、drop、skip_dfs、white、black、scr_limit、dst_limit等;该检测规则的通信协议属性的属性值包括IP、ICMP、TCP、UDP、DNS、HTTP、HTTPS等通信协议;该检测规则的四元组属性的属性值包括scr_ip:sport→dst_ip:dport;该检测规则的特征选项属性的属性值包括dsize、flags、tos、icode、content、itype、session等。
可以基于与上述生成检测规则相同的方式,在生成防御规则时,也可以根据规则模板中的动作属性规范,确定防御规则的动作属性的属性值;根据规则模板中的通信协议属性规范,确定防御规则的通信协议属性的属性值;根据规则模板中的四元组属性规范,确定防御规则的四元组属性的属性值;根据规则模板中的特征选项属性规范,确定防御规则的特征选项属性的属性值;进而生成该防御规则。
基于此,本申请实施例提供了一种DDOS处理方法,如图2所示为该方法的具体流程示意图。其中,该方法可以用于处理目标网络设备的DDOS,该目标网络设备可以为互联网中,能够与其他网络设备进行数据通信的设备,比如该目标网络设备可以为服务端的网络设备,也可以为客户端的网络设备。另外,该方法可以由硬件实现,比如可以由抗DDOS设备来执行该方法,该方法也可以由软件实现,比如可以构建用于DDOS处理的软件***(简称为DDOS处理***),来执行该方法,这里对于该方法的执行主体并不限定,当然为了便于说明,在该图2所示的方法中,仅以DDOS处理***执行该方法为示例,对该方法进行说明。该方法包括如下步骤:
步骤S11:获取待检测数据包。
在实际应用中,该待检测数据包可以为目标网络设备所直接接收到的数据包,比如该目标网络设备为服务端的某个服务器节点,该服务器节点能够接收到客户端所发送的数据包,此时可以将该服务器节点所接收到的数据包作为该待检测数据包。
另外,目标网络设备在接收到大量数据包的情况下,为了降低运算压力,通常可以预先构建数据包池,该数据包池中的数据包按照发送时刻或接收时刻的先后顺序进行排列,这样目标网络设备在接收到数据包时,可以将该数据包添加至该数据包池,从而能够从该数据包池中依次获取数据包,作为该待检测数据包。此时,该步骤S11获取待检测数据包的方式可以是,从数据包池中,按照该数据包池中各个数据包的排列顺序依次获取数据包,作为该待检测数据包。
需要说明的是,通常可以在目标网络设备设置DPDK(Data Plane DevelopmentKit)应用程序,该DPDK应用程序运行在操作***的用户层(User Space),从而能够利用该DPDK应用程序所提供的数据面库,进行数据包的收发,该方式在收发数据包时,能够绕过操作***的内核态协议栈,从而提升数据包收发的处理效率。因此,能够利用目标网络设备中的DPDK应用程序,接收数据包发送端(后续称之为发送端)所发送的数据包,然后将该数据包添加至数据包池,使得DDOS处理***能够按照该数据包池中各个数据包的排列顺序,依次获取数据包,作为该待检测数据包
步骤S12:对该待检测数据包进行解析,以确定待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议。
在获取到待检测数据包之后,可以对该待检测数据包进行解析,包括解析该待检测数据包的头部信息,从而根据该头部信息中的特征信息,来确定该待检测数据包的通信协议,当然也可以根据该头部信息来确定该待检测数据包的发送端端口、发送端IP地址、目标端端口和目标端IP地址等。
步骤S13:利用待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则。
比如,DDOS处理***可以预先加载该规则库,由于该规则库中包括多个检测规则和防御规则,因此在该步骤S13中,可以利用待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,从规则库中确定出该目标检测规则。
于一实施例中,可以将待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,分别与该规则库中多个检测规则中的四元组属性的属性值进行匹配(称之为第一批配),并且将待检测数据包的通信协议与该多个检测规则中通信协议属性的属性值进行匹配(称之为第二批配),从而根据匹配结果(指第一匹配和第二匹配的匹配结果),从该多个检测规则中确定出目标检测规则。
比如,通过第一匹配能够从该多个检测规则中筛选出,四元组属性的属性值与待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,能够相互匹配(该相互匹配可以是相同或相似)的检测规则,然后进一步通过第二匹配,从第一匹配所筛选出的检测规则中,筛选出通信协议能够相互匹配的检测规则,作为该目标检测规则。
上述提到,由于该规则库中检测规则可以是利用规则模板生成,具体来说,该规则库中检测规则的动作属性的属性值、通信协议属性的属性值、四元组属性的属性值和特征选项属性的属性值,分别根据规则模板中的动作属性规范、通信协议属性规范、四元组属性规范和特征选项属性规范来确定,因此供该规则库多个检测规则中所筛选出的目标检测规则,可以是利用该规则模板生成。
步骤S14:通过该目标检测规则所关联的检测函数,对待检测数据包进行DDOS检测。
在通过上述步骤S13确定出目标检测规则之后,可以进一步确定该目标检测规则所关联的检测函数,然后利用该检测函数对待检测数据包进行DDOS检测。
其中,确定该目标检测规则所关联的检测函数的具体方式可以是,先获取该目标检测规则的标识,该标识能够唯一表示该目标检测规则,比如该标识可以是该目标检测规则的名称、编号或其他能够唯一表示该目标检测规则的信息。
在获取目标检测规则的标识之后,确定该标识的哈希值,比如可以利用预设哈希算法计算该标识的哈希值,该预设哈希算法可以为MD5、SHA-512或其他的哈希算法。
在计算得到该标识的哈希值之后,可以利用该哈希值查询哈希表,从而确定该目标检测规则所关联的检测函数。其中,该哈希表可以包括key字段和检测函数字段,该key字段的字段值为各个检测规则的标识的哈希值,检测函数字段的字段值为各个检测规则分别所关联的检测函数。
比如,如表1所示为实际应用中的一种哈希表,该哈希表的key字段的字段值,为规则库中各个检测规则的标识的哈希值,该哈希表的检测函数字段的字段值,为各个检测规则分别所关联的检测函数。比如,对于标识的哈希值为xxx的检测规则,该检测规则所关联的检测函数为a;对于标识的哈希值为yyy的检测规则,该检测规则所关联的检测函数为b。
表1
编号 | key | 检测函数 |
1 | xxx | a |
2 | yyy | b |
… | … | … |
在实际应用中,可以预先生成该哈希表,比如分别针对规则库中各个检测规则,将该检测规则作为当前检测规则,可以利用预设哈希算法计算该当前检测规则的标识的哈希值,然后根据当前检测规则的特征选项属性的属性值,确定对应的检测函数,比如该特征选项属性的属性值为该检测函数的名称、编号等,然后将该当前检测规则的标识的哈希值作为哈希表key字段的字段值,并且将该检测函数作为哈希表检测函数字段的字段值进行对应存储。通过该方式生成哈希表之后,针对目标检测规则,可以通过查询该哈希表来确定该目标检测规则所关联的检测函数。
在确定出目标检测规则所关联的检测函数之后,在该步骤S14中,可以通过该检测函数对待检测数据包进行DDOS检测,比如利用该检测函数对该待检测数据包的发送端端口、发送端IP地址、目标端端口或目标端IP地址,是否记录于黑名单,若是,则说明该待检测数据包为DDOS的数据包;当然,也可以通过该检测函数对该待检测数据包的报文类型、特征字段是否被篡改、报文的标志位是否异常等进行检测,比如当该待检测数据包的报文类型为某些指定的报文类型,或该待检测数据包的特征字段被篡改,或该待检测数据包的报文的标志位异常等,说明该待检测数据包为DDOS的数据包。
采用本申请实施例所提供的DDOS处理方法,包括获取待检测数据包,然后对待检测数据包进行解析,以确定待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,然后利用待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,然后通过目标检测规则所关联的检测函数,对待检测数据包进行DDOS检测,其中,该目标检测规则利用规则模板生成。因此针对不同的DDOS,能够通过该规则模板生成相应的目标检测规则,进而对DDOS进行处理,相对于现有技术通过固定化的配置模式,本申请实施例这种根据规则模板生成目标检测规则对DDOS进行处理的方式,更加灵活。
比如,在面对新的通信协议的DDOS或其他需要灵活处理的情况时,可以利用规则模板生成相应的目标检测规则,进而利用该目标检测规则进行处理,克服了现有技术中固定化配置模式灵活性差的问题。
在上述的步骤S11~步骤S14中,能够通过目标检测规则所关联的检测函数,对待检测数据包进行DDOS检测,从而确定该待检测数据包是否为DDOS的数据包。在实际应用中,若检测出该待检测数据包不为DDOS的数据包,通常可以放行该待检测数据,比如将该待检测数据转发至目标端等;而在检测到所述待检测数据包为DDOS的数据包的情况下,通常还需要进行DDOS防御,此时该方法还可以包括:利用待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标防御规则,其中,该目标检测规则利用规则模板生成。
比如,可以将待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,分别与该规则库中多个防御规则中的四元组属性的属性值进行匹配(称之为第三批配),并且将待检测数据包的通信协议与该多个防御规则中通信协议属性的属性值进行匹配(称之为第四批配),从而根据匹配结果(指第三匹配和第四匹配的匹配结果),从该多个防御规则中确定出目标防御规则。
比如,通过第三匹配能够从该多个防御规则中筛选出,四元组属性的属性值与待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,能够相互匹配(该相互匹配可以是相同或相似)的防御规则,然后进一步通过第四匹配,从第三匹配所筛选出的防御规则中,筛选出通信协议能够相互匹配的防御规则,作为该目标防御规则。
在确定出该目标防御规则之后,可以进一步通过该目标防御规则所关联的防御函数进行DDOS防御。其中,第一种实现方式,可以先获取该目标防御规则的标识,比如该标识可以为该目标防御规则的名称、编号等,然后利用预设哈希算法计算该标识的哈希值,然后利用该哈希值查询第二哈希表,从而确定该目标防御规则所关联的防御函数。其中,该第二哈希表可以包括key字段和防御函数字段,该key字段的字段值为各个防御规则的标识的哈希值,防御函数字段的字段值为各个防御规则分别所关联的防御函数。
表2
编号 | key | 防御函数 |
1 | mmm | c |
2 | nnn | d |
… | … | … |
比如,如表2所示为实际应用中的一种第二哈希表,该第二哈希表的key字段的字段值,为规则库中各个防御规则的标识的哈希值,该第二哈希表的防御函数字段的字段值,为各个防御规则分别所关联的防御函数。比如,对于标识的哈希值为mmm的防御规则,该防御规则所关联的防御函数为c;对于标识的哈希值为nnn的防御规则,该防御规则所关联的防御函数为d。
第二种实现方式,可以先获取该目标防御规则中特征选项属性的属性值,然后确定该属性值的哈希值,然后利用该属性值的哈希值查询bitmap位图,以确定该目标防御规则所关联的防御函数。比如,在获取到该目标防御规则中特征选项属性的属性值之后,可以利用预设哈希算法计算该属性值的哈希值,然后利用该哈希值查询bitmap位图,根据查询结果在该bitmap位图中的位置信息,来确定相应的防御函数,作为该目标防御规则所关联的防御函数,然后利用该防御函数进行DDOS防御。其中,该bitmap位图中的位置信息与防御函数一一对应,即不同的位置信息对应不同的防御函数。
需要说明的是,通过可以将上述第一种实现方式和第二种实现方式进行结合,来确定目标防御规则所关联的防御函数,进而利用该防御函数进行DDOS防御。比如,考虑到上述第一种实现方式通常效率较高,因此在确定目标防御规则之后,先利用第一种实现方式,即通过该目标防御规则的标识的哈希值查询第二哈希表,若该第二哈希表中存在与相应的防御函数,则作为该目标防御规则所关联的防御函数,并利用该防御函数进行DDOS防御;而在该第二哈希表中不存在与相应的防御函数的情况下,可以通过上述的第二种实现方式,来确定该目标防御规则所关联的防御函数,并利用该防御函数进行DDOS防御。并且在利用该第二种实现方式,确定出该目标防御规则所关联的防御函数之后,可以将该目标防御规则的标识的哈希值以及该防御函数,对应存储于第二哈希表,以便于后续运用。
另外,在实际应用中该方法还可以进一步包括生成日志信息,以记录对该待检测数据包的DDOS检测以及DDOS防御,从而后续能够通过该日志信息的查阅,来确定DDOS处理***对DDOS的处理。
上述是对本申请实施例所提供的DDOS处理方法的说明,为了便于理解,这里可以结合具体的应用场景对该方法进行详细说明。
DDOS处理***设置有检测模块、防御模块和规则引擎,在该DDOS处理***启动之后,规则引擎加载规则库,该规则库中包括多个检测规则和防御规则,这些检测规则和防御规则均利用规则模板生成。
目标网络设备设置有DPDK应用程序,该DPDK应用程序在接收到数据包之后,将该数据包添加至数据包池。这样DDOS处理***在进行DDOS处理时,可以从数据包池获取待检测数据包,并通过对该待检测数据包进行解析,来确定该待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,然后将待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,分别与该规则库中多个检测规则中的四元组属性的属性值进行第一批配,并且将待检测数据包的通信协议与该多个检测规则中通信协议属性的属性值进行第二批配,从而根据第一匹配和第二匹配的匹配结果,从该多个检测规则中确定出目标检测规则,然后获取该目标检测规则的标识,并通过预设哈希算法计算该标识的哈希值,然后利用该哈希值查询哈希表,从而确定该目标检测规则所关联的检测函数,并利用该检测函数对该待检测数据包进行DDOS检测。
在检测到该待检测数据包为DDOS的数据包的情况下,将待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,分别与该规则库中多个防御规则中的四元组属性的属性值进行第三批配,并且将待检测数据包的通信协议与该多个防御规则中通信协议属性的属性值进行第四批配,从而根据第三匹配和第四匹配的匹配结果,从该多个防御规则中确定出目标防御规则;在确定出该目标防御规则之后,可以先获取该目标防御规则中特征选项属性的属性值,然后确定该属性值的哈希值,然后利用该属性值的哈希值查询bitmap位图,以确定该目标防御规则所关联的防御函数,并利用该防御函数进行DDOS防御。
当然,还可以进一步生成日志信息,以记录对该待检测数据包的DDOS检测以及DDOS防御。
基于与本申请实施例所提供的DDOS处理方法相同的发明构思,本申请实施例还提供了一种DDOS处理装置,对于该装置实施例,如有不清楚之处,可以参考方法实施例的相应内容。如图3所示为该装置20的具体结构示意图,该装置20包括:获取单元201、确定单元202、检测规则确定单元203和检测单元204,其中:
获取单元201,用于获取待检测数据包;
确定单元202,用于对所述待检测数据包进行解析,以确定所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议;
检测规则确定单元203,用于利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,其中,所述目标检测规则利用规则模板生成;
检测单元204,用于通过所述目标检测规则所关联的检测函数,对所述待检测数据包进行DDOS检测。
采用本申请实施例所提供的装置20,由于该装置20采用与本申请实施例所提供的DDOS处理方法相同的发明构思,在该DDOS处理方法能够解决技术问题的前提下,该装置20也能够解决技术问题,这里对此不再赘述。
另外,在实际应用中,通过将该装置20与具体硬件设备、云技术等相结合所取得的技术效果,也在本申请的保护范围之内,比如采用分布式集群的方式将该装置20中的不同单元布设于分布式集群中的不同节点中,从而提高效率等;或,将该装置20中的部分单元布设于云端,从而降低成本等。
在实际应用中,规则模板包括动作属性规范、通信协议属性规范、四元组属性规范和特征选项属性规范;以及,所述装置20还可以包括:检测规则生成单元,用于根据所述动作属性规范、所述通信协议属性规范、所述四元组属性规范以及所述特征选项属性规范,分别对应确定所述目标检测规则中,动作属性的属性值、通信协议属性的属性值、四元组属性的属性值和特征选项属性的属性值,以生成所述目标检测规则。
规则库包括利用所述规则模板所生成的多个检测规则;以及,检测规则确定单元203可以具体包括检测规则确定子单元,用于将所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,与所述多个检测规则中四元组属性的属性值进行匹配,以及将所述待检测数据包的通信协议与所述多个检测规则中通信协议属性的属性值进行匹配,根据匹配结果确定,从所述多个检测规则中确定出所述目标检测规则。
该装置20还可以包括检测函数确定单元,用于获取所述目标检测规则的标识;确定所述标识的哈希值;利用所述哈希值查询哈希表,以确定所述目标检测规则所关联的检测函数;其中,所述哈希表包括key字段和检测函数字段,所述key字段的字段值为各个检测规则的标识的哈希值,所述检测函数字段的字段值为各个检测规则分别所关联的检测函数。
该装置20还可以包括防御规则确定单元和DDOS防御单元,其中:
防御规则确定单元,用于利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标防御规则,其中,所述目标检测规则利用规则模板生成;DDOS防御单元,用于通过所述目标防御规则所关联的防御函数进行DDOS防御。
该防御规则确定单元可以具体包括防御规则确定子单元,用于获取所述目标防御规则中特征选项属性的属性值;确定所述属性值的哈希值;利用所述属性值的哈希值查询bitmap位图,以确定所述目标防御规则所关联的防御函数。
该装置20还可以包括日志信息生成单元,用于生成日志信息,以记录对所述待检测数据包的DDOS检测以及DDOS防御。
如图4所示,本实施例还提供了一种电子设备3,包括:至少一个处理器31和存储器32,图4中以一个处理器为例。处理器31和存储器32可以通过总线30连接,存储器32存储有可被处理器31执行的指令,指令被处理器31执行,以使电子设备3能够实现实本申请实施例中方法的全部或部分流程。
在实际应用中,该电子设备3可以是手机、笔记本电脑、台式电脑或其组成的大型服务器或服务器集群等。
本发明实施例还提供了一种存储介质,该存储介质存储有计算机程序,计算机程序可由处理器执行以完成本申请实施例中方法的全部或部分流程。其中,存储介质可为磁盘、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等。存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种DDOS处理方法,其特征在于,所述方法包括:
获取待检测数据包;
对所述待检测数据包进行解析,以确定所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议;
利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,其中,所述目标检测规则利用规则模板生成;
通过所述目标检测规则所关联的检测函数,对所述待检测数据包进行DDOS检测。
2.根据权利要求1所述的方法,其特征在于,所述规则模板包括动作属性规范、通信协议属性规范、四元组属性规范和特征选项属性规范;以及,所述方法还包括:
根据所述动作属性规范、所述通信协议属性规范、所述四元组属性规范以及所述特征选项属性规范,分别对应确定所述目标检测规则中,动作属性的属性值、通信协议属性的属性值、四元组属性的属性值和特征选项属性的属性值,以生成所述目标检测规则。
3.根据权利要求2所述的方法,其特征在于,规则库包括利用所述规则模板所生成的多个检测规则;以及,
利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,具体包括:
将所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址,与所述多个检测规则中四元组属性的属性值进行匹配,以及将所述待检测数据包的通信协议与所述多个检测规则中通信协议属性的属性值进行匹配,根据匹配结果确定,从所述多个检测规则中确定出所述目标检测规则。
4.根据权利要求1至3任意一项权利要求所述的方法,其特征在于,所述方法还包括:
获取所述目标检测规则的标识;
确定所述标识的哈希值;
利用所述哈希值查询哈希表,以确定所述目标检测规则所关联的检测函数;其中,所述哈希表包括key字段和检测函数字段,所述key字段的字段值为各个检测规则的标识的哈希值,所述检测函数字段的字段值为各个检测规则分别所关联的检测函数。
5.根据权利要求1或2所述的方法,其特征在于,在检测到所述待检测数据包为DDOS的数据包的情况下,所述方法还包括:
利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标防御规则,其中,所述目标检测规则利用规则模板生成;
通过所述目标防御规则所关联的防御函数进行DDOS防御。
6.根据权利要求5所述的方法,其特征在于,通过所述目标防御规则所关联的防御函数进行DDOS防御,具体包括:
获取所述目标防御规则中特征选项属性的属性值;
确定所述属性值的哈希值;
利用所述属性值的哈希值查询bitmap位图,以确定所述目标防御规则所关联的防御函数。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:生成日志信息,以记录对所述待检测数据包的DDOS检测以及DDOS防御。
8.一种DDOS处理装置,其特征在于,包括:
获取单元,用于获取待检测数据包;
确定单元,用于对所述待检测数据包进行解析,以确定所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议;
检测规则确定单元,用于利用所述待检测数据包的发送端端口、发送端IP地址、目标端端口、目标端IP地址和通信协议,确定目标检测规则,其中,所述目标检测规则利用规则模板生成;
检测单元,用于通过所述目标检测规则所关联的检测函数,对所述待检测数据包进行DDOS检测。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行如权利要求1-7任意一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成权利要求1-7任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211164530.0A CN115484110A (zh) | 2022-09-23 | 2022-09-23 | Ddos处理方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211164530.0A CN115484110A (zh) | 2022-09-23 | 2022-09-23 | Ddos处理方法、装置、电子设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115484110A true CN115484110A (zh) | 2022-12-16 |
Family
ID=84394007
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211164530.0A Pending CN115484110A (zh) | 2022-09-23 | 2022-09-23 | Ddos处理方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115484110A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116055350A (zh) * | 2023-01-03 | 2023-05-02 | 重庆长安汽车股份有限公司 | 一种基于Json的数据通信质量检测方法 |
-
2022
- 2022-09-23 CN CN202211164530.0A patent/CN115484110A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116055350A (zh) * | 2023-01-03 | 2023-05-02 | 重庆长安汽车股份有限公司 | 一种基于Json的数据通信质量检测方法 |
CN116055350B (zh) * | 2023-01-03 | 2024-05-14 | 重庆长安汽车股份有限公司 | 一种基于Json的数据通信质量检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12019745B2 (en) | Cyberanalysis workflow acceleration | |
US10084713B2 (en) | Protocol type identification method and apparatus | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
CN108809890B (zh) | 漏洞检测方法、测试服务器及客户端 | |
CN110768999B (zh) | 一种设备非法外联的检测方法及装置 | |
CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
CN114244570B (zh) | 终端非法外联监测方法、装置、计算机设备和存储介质 | |
CN110380935B (zh) | 端口扫描方法与装置 | |
CN112600852A (zh) | 漏洞攻击处理方法、装置、设备及存储介质 | |
CN115484110A (zh) | Ddos处理方法、装置、电子设备和存储介质 | |
US20230115935A1 (en) | System and method to detect malicious activity through detecting anomalies in sinkholed traffic | |
WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
CN109413015B (zh) | 一种dns劫持的防御方法和装置 | |
CN112769635B (zh) | 多粒度特征解析的服务识别方法及装置 | |
CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
CN114050917B (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 | |
CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
CN113965392B (zh) | 恶意服务器检测方法、***、可读介质及电子设备 | |
CN115022034A (zh) | 攻击报文识别方法、装置、设备和介质 | |
US20160308893A1 (en) | Interrogating malware | |
CN113141376A (zh) | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 | |
CN114363058B (zh) | 一种设备探测方法、装置及相关设备 | |
CN111106982B (zh) | 一种信息过滤方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |