WO2011000304A1

WO2011000304A1 - 一种异常连接的检测方法、装置及网关设备

Info

Publication number: WO2011000304A1
Application number: PCT/CN2010/074660
Authority: WO
Inventors: 蒋武; 杨莉
Original assignee: 成都市华为赛门铁克科技有限公司
Priority date: 2009-06-29
Filing date: 2010-06-29
Publication date: 2011-01-06
Also published as: CN101594269B; CN101594269A

Description

一种异常连接的检测方法、装置及网关设备本申请要求于 2009 年 6 月 29 曰提交中国专利局、申请号为 200910151032.0.发明名称为"一种异常连接的检测方法、装置及网关设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域本发明涉及信息安全领域，特別涉及一种异常连接的检测方法、装置及网关设备。

背景技术

分布式拒绝服务（Di s tr ibuted Denial of Serv ice, 简称： DDOS )攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。 DD0S攻击中的 TCP全连接攻击是通过许多僵尸主机不断地与服务器建立大量的 TCP连接，直到服务器的连接、内存等资源被耗尽，从而造成服务器拒绝服务，使服务器无法处理合法用户的指令。 TCP全连接攻击的特点是可以绕过一般防火墙的防护而达到攻击的目的。对于通常的网络服务***，能接受的 TCP连接数是有限的，当遭受 TCP全连接攻击时，会导致网站访问非常緩慢甚至无法访问。为实现对全连接攻击的检测，现有技术采用的是连接数阐值判断法。通常防火墙或 DD0S检测设备会检测被保护服务器的连接总数，如果检测出连接总数大于连接数阈值，则认为存在 TCP连接异常，即存在全连接攻击。具体做法是防火墙或 DD0S检测设备中的连接检查模块会对需要防范的流量中的 TCP连接进行检测，统计 TCP连接三次握手完成后的握手成功报文的数量，并在设定的时间段到达后得出统计值，当统计值大于连接数阈值时识别出 TCP连接为异常连接，即存在全连接攻击。

发明人在实现本发明的过程中，发现由于正常访问流量会随时间段的不同而发生变化，正常访问流量增大时，流量中的 TCP连接的数量也会随之增加 , 当一定时间段内流量中的 TCP连接的数量超过连接数阈值时，正常的 TCP连接会被识别为异常连接，即被判定为全连接攻击，从而产生对全连接攻击的误报。发明内容

本发明的目的是提供一种异常连接的检测方法、装置及网关设备，可以提高检测全连接攻击的准确率。

本发明实施例提供了一种异常连接的检测方法，包括：

接收客户端发送的连接请求消息；

与所述客户端建立 TCP连接；

当在设定时间内未接收到所^户端发送的数据包时，识别所述 TCP连接为异常连接；

当在设定时间内接收到所述客户端发送的数据包时，则根据协议报文对所述数据包进行验证，如果验证成功则识别所述 TCP连接为正常连接，如果验证失败则识别所述 TCP连接为异常连接。

本发明实施例还提供了一种异常连接的检测装置，包括：

收发模块，用于接收客户端发送的连接请求消息，并与所述客户端建立

TCP连接；

检测模块，用于检测在设定时间内是否接收到所述客户端发送的数据包；验证模块，用于当所述检测模块的检测结果为在设定时间内接收到所述客户端发送的数据包时，根据协议报文对所述数据包进行验证；识别模块，用于当所述检测模块的检测结果为在设定时间内未接收到所述客户端发送的数据包时，识别所述 TCP连接为异常连接，当所述验证模块对所述数据包验证成功时识别所述 TCP连接为正常连接、或者当所述验证模块对所述数据包验证失败时识別所述 TCP连接为异常连接。本发明实施例提供了一种网关设备，包括上述异常连接的检测装置。本发明实施例的技术方案中，在设定时间内检测是否接收到客户端发送的数据包，并根据协议报文对在设定时间内接收的数据包进行验证，当该客户端向服务器发起全连接攻击时，能够识别出与该客户端建立的 TCP连接为异常连接，从而提高了检测全连接攻击的准确率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图 1为本发明实施例一提供的异常连接的检测方法的流程图；

图 2为本发明实施例二提供的异常连接的检测方法的流程图；图 3为本发明实施例三提供的异常连接的检测方法的流程图；图 4为本发明实施例四提供的异常连接的检测方法的流程图；图 5为本发明实施例五提供的异常连接的检测方法的流程图；图 6为本发明实施例六提供的异常连接的检测方法的流程图；图 7为本发明实施例七提供的异常连接的检测装置的结构示意图；图 8为本发明实施例八提供的异常连接的检测装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图 1为本发明实施例一提供的异常连接的检测方法的流程图，如图 1所示，该方法包括：

步骤 1 01、接收客户端发送的连接请求消息；具体地，连接请求消息可以为 SYN消息， SYN ( synchron i ze )消息是 TCP/ IP 建立连接时使用的握手信号。

步驟 1 02、与客户端建立 TCP连接；具体地，在接收到客户端发送的 SYN消息后，向客户端返回 SYN-ACK消息，客户端再发送 ACK消息作为应答，从而完成建立 TCP连接的过程。其中， SYN-ACK 消息是对 SYN消息的应答消息，而 ACK消息是对 SYN-ACK消息的响应消息。本步骤中在接收到 SYN消息后并未将该 SYN消息转发给服务器，而是与客户端建立 TCP连接。步骤 1 03、在设定时间内检测是否接收到客户端发送的数据包，如果是则执行步骤 1 04，否则执行步骤 1 06 ; 其中设定时间可以为预先设定的任意时间段。

步骤 1 04、根据协议报文对所述数据包进行验证，如果验证成功则执行步骤 105 , 如果验证失败则执行步驟 106;

本实施例中协议报文根据实际应用的不同可以为 h 1 p协议报文、 f t p协议报文、 s sh协议报文等。

具体地，可以验证数据包的内容与协议报文类型是否一致，如果数据包的内容与协议报文类型一致则验证成功，如果数据包的内容与协议报文类型不一致则验证失败。

步骤 105、识别 TCP连接为正常连接；

如果验证成功则认为接收的数据包是正常的数据包，该 TCP连接为正常连接，即该客户端未对服务器进行全连接攻击。

步骤 106、识别 TCP连接为异常连接；

如果在设定时间内没有接收到任何数据包，则识別该 TCP 连接为异常连接，即该客户端对服务器进行全连接攻击。

本实施例的技术方案中，在设定时间内检测是否接收到客户端发送的数据包，并根据协议报文对在设定时间内接收的数据包进行验证，当该客户端向服务器发起全连接攻击时，能够识别出与该客户端建立的 TCP连接为异常连接，从而提高了检测全连接攻击的准确率。

图 2为本发明实施例二提供的异常连接的检测方法的流程图，如图 2所示，该方法包括：

步骤 201、接收客户端发送的连接请求消息，该连接请求消息中携带有客户端地址信息；

本实施例中的各步骤可以由异常连接的检测装置执行，具体的，当客户端向服务器发送连接请求消息时，异常连接的检测装置接收该连接请求消息。步骤 202、判断设置的记录表中是否包括客户端地址信息，如果是则执行步驟 208，否则执行步骤 203;

记录表中存储有可信的客户端地址信息和不可信的（或恶意的）客户端地址信息，可信的客户端地址信息为通过验证的客户端地址信息，不可信的客户端地址信息为未通过验证的客户端地址信息。在实际应用中记录表中可以包括白名单和黑名单，白名单中存储有可信的客户端地址信息，黒名单中存储有恶意的客户端地址信息。

步骤 203、与客户端建立 TCP连接；

具体的，即异常连接的检测装置接收到客户端发送的连接请求消息后，如果根据设置的记录表，判断该连接请求消息中携带的客户端地址信息为陌生的地址信息，则该检测装置代替服务器与客户端建立 TCP连接。

步骤 204、在设定时间内检测是否接收到客户端发送的数据包，如果是则执行步骤 205 , 否则执行步骤 207 ;

具体的，在正常连接的情况下，在异常连接的检测装置与客户端建立 TCP 连接后，客户端会向异常连接的检测装置发送数据包，因此，异常连接的检测装置可以通过检测是否在设定时间内检测是否接收到客户端发送的数据包初步判断该 TCP连接是否为异常连接。

步骤 205、根据协议报文对数据包进行验证，如果验证成功则执行步骤 206 , 如果验证失败则执行步骤 207 ;

具体地，根据协议 4艮文对数据包进行验证具体可以为验证数据包的内容与协议报文是否一致，如果数据包的内容与协议报文一致则验证成功，如果数据包的内容与协议报文不一致则验证失败。步骤 206、识别 TCP连接为正常连接，将客户端地址信息存储于设置的记录表中，断开与客户端建立的 TCP连接，流程结束。

具体地，将客户端地址信息存储于记录表中的可信的客户端地址信息中。步骤 207、识别 TCP连接为异常连接，将客户端地址信息存储于设置的记录表中，丟弃 TCP连接，流程结束。

具体地，将客户端地址信息存储于记录表中的恶意的客户端地址信息中。步骤 208、允许或者拒绝客户端与服务器建立 TCP连接，流程结束。

具体地，当判断出可信的客户端地址信息中包括该客户端地址信息即该客户端地址信息为可信的客户端地址信息时，允许客户端与服务器建立 TCP 连接，此时异常连接的检测装置将客户端发送的连接请求消息转发给服务器，使客户端与服务器建立 TCP连接；当判断出恶意的客户端地址信息中包括该客户端地址信息即该客户端地址信息为恶意的客户端地址信息时，拒绝客户端与服务器建立 TCP连接，此时异常连接的检测装置拒绝客户端的连接请求，从而保护服务器免受 TCP全连接攻击。

本实施例的技术方案中，在设定时间内检测是否接收到客户端发送的数据包，并根据协议报文对在设定时间内接收的数据包进行验证，当该客户端向服务器发起全连接攻击时，能够及时识别出与该客户端建立的 TCP连接为异常连接，从而提高了检测全连接攻击的准确率和实时性。

图 3为本发明实施例三提供的异常连接的检测方法的流程图，如图 3所示，该方法包括：

步骤 301、接收客户端发送的连接请求消息，该连接请求消息中携带端口信息和客户端地址信息；本实施例中各步骤可以由异常连接的检测装置来执行；

其中，根据应用协议的不同，端口信息可以为 HTTPS 端口等，并且该端口信息可以釆用默认端口信息，也可以釆用用户自定义的端口信息；客户端地址信息可以为客户端的 I P地址信息。

步骤 302、从连接请求消息携带的端口信息中解析出协议类型；例如，异常连接的检测装置根据端口信息检测该端口为 HTTPS端口，从而可以解析出该数据包为 HTTPS协议类型的数据包， HTTPS协议是由 SSL与 HTTP 协议一起构建的可进行加密传输、身份认证的网絡协议。 SSL是一个在客户机和具有 SSL功能的服务器之间的安全连接中对数据进行加密和解密的协议。

步骤 303、查询预先配置的待检测的协议类型中是否包括识别出的协议类型，如果是则执行步骤 304 , 否则执行步骤 313;

具体的，由于预先配置的待检测的协议类型可以包括一种或者多种协议，因此，可以查询识别出的所述数据包的协议类型是否属于待检测的范围。

步骤 304、判断设置的白名单和黑名单中是否包括客户端地址信息，如果白名单和黑名单中不包括该客户端地址信息，则执行步骤 305; 如果白名单中包括客户端地址信息则执行步骤 313; 如果黑名单中包括客户端地址信息则执行步骤 314;

具体的，为提高检测质量，可以同时设置白名单和黑名单。白名单中设置的客户端地址信息为允许通过的客户端地址信息，黑名单中设置的客户端地址信息为拒绝通过的客户端地址信息。当然，本领域技术人员可以知道，同时设置白名单和黑名单只是一种较佳的实现方式，也可以只设置白名单或只设置黑名单。步骤 305、与客户端建立 TCP连接，进入步骤 306 ;

步骤 306、在设定时间内检测是否接收到客户端发送的数据包，如果是则执行步骤 307，否则执行步骤 310 ;

步骤 307、根据协议报文对所述数据包进行验证，如果验证成功则执行步骤 308 ; 如果验证失败则执行步骤 31 0;

具体的，可以验证数据包的内容与协议报文是否一致，如果数据包的内容与协议报文一致则验证成功，如果数据包的内容与协议报文不一致则验证失败。

步骤 308、识别 TCP连接为正常连接，进入步骤 309 ;

步骤 309、将客户端地址信息加入白名单，并向客户端发送断开连接消息，流程结束。

其中，断开连接消息可以为 RST消息。

步骤 310、识别 TCP连接为异常连接，进入步驟 31 1 ;

步骤 311、丢弃 TCP连接，幹放 TCP连接占用的资源，进入步骤 312 ; 步骤 312、将客户端地址信息加入黑名单，流程结束。

步骤 31 3、允许客户端与服务器建立 TCP连接，流程结束。

步骤 314、拒绝客户端与服务器建立 TCP连接，流程结束。

可以理解的是，本实施例中，当识别出 TCP连接为异常连接后，可以先执行步骤 312将客户端地址信息加入黑名单，再执行步骤 311丢弃 TCP连接，并释放 TCP连接占用的资源。

本实施例中，当识別出 TCP连接为异常连接后，还可以仅执行步驟 31 1、丢弃 TCP连接，并释放 TCP连接占用的资源，而不执行步骤 312 , 即不将客户端地址信息加入黑名单；或者，本实施例中，还可以仅设置白名单而不设置黑名单，这样当执行步骤 31 1之后，不用执行步驟 312中的将客户端地址信息加入黑名单的步骤。这样，当该客户端再次请求建立 TCP连接时，需要执行本实施例中的各步骤以识别出该客户端的 TCP连接为异常连接。此种情况中，异常连接的检测装置需要不断地与客户端建立 TCP连接，并重复执行检测出该 TCP 连接为异常连接的过程。实际上，此种情况为异常连接的检测装置代替服务器承受客户端发起全连接攻击的情况。

图 4为本发明实施例四提供的异常连接的检测方法的流程图，本实施例主要应用于协议类型为 FTPS协议的情况，如图 4所示，该方法包括：

步骤 401、接收客户端发送的连接请求消息，该连接请求消息中携带端口信息和客户端地址信息；

本实施例中各步驟可以由异常连接的检测装置来执行。

步骤 402、从连接请求消息携带的端口信息中解析出协议类型；具体的，在本实施例中，该协议类型为 FTPS协议类型。 FTPS是在安全套接层使用标准的 FTP协议和指令的一种增强型 TFP协议，为 FTP协议和数据通道增加了 SSL安全功能。 FTPS也称作 " FTP- SSL "和 " FTP- over-SSL " 。

步骤 403、查询预先配置的协议类型中是否包括识别出的协议类型，如果是则执行步驟 404 , 否则执行步驟 415 ; 步骤 404、判断设置的白名单和黑名单中是否包括客户端地址信息，如果白名单和黑名单中都不包括该客户端地址信息，则执行步骤 405 ; 如果白名单中包括客户端地址信息则执行步驟 41 5 ; 如果黑名单中包括客户端地址信息则执行步骤 416 ;

步骤 405、与客户端建立 TCP连接；

步骤 406、在静默时间内检测是否接收到客户端发送的数据包，如果是则执行步骤 412 , 否则执行步骤 407 ;

静默时间可以为任意设置的时间。在 FTPS协议类型下，在与客户端建立 TCP连接后，在设置的静默时间内，正常情况下客户端不会主动向异常连接的检测装置发送任何数据包，因此，本步骤中通过在静默时间内检测是否接收到客户端发送的数据包也可以判断发送该数据包的客户端是否为可信的客户端。

步骤 407、向客户端发送版本数据包，进入步骤 408 ;

具体的，在 FTPS 协议类型下，在设置的静默时间内，客户端不会向对端设备 (与客户端建立 TCP连接的对端设备 )发送数据包，只在收到对端设备发送的版本数据包后才会根据该版本数据包向对端设备发送数据包。本实施例中如果客户端需要向异常连接的检测装置发送数据包，则需要先收到异常连接的检测装置发送的 FTPS版本数据包。

步骤 408、在设定时间内检测是否接收到客户端发送的数据包，如果是则执行步骤 409 ; 如果否则执行步驟 412 ;

具体的，当异常连接的检测装置向客户端发送版本数据包后，在设定时间内检测是否接收到客户端发送的数据包，如果是则执行步骤 409 ; 如果否则执行步骤 412。步骤 409、根据协议报文对所述数据包进行验证，如果验证成功则执行步骤 41 0; 如果验证失败则执行步驟 412 ;

步骤 410、识別 TCP连接为正常连接，进入步骤 41 1 ;

步骤 411、将客户端地址信息加入白名单，并向客户端发送断开连接消息，流程结束。

其中，断开连接消息可以为 RST消息。

步骤 412、识别 TCP连接为异常连接，进入步骤 41 3 ;

步驟 41 3、丟弃 TCP连接，并释放 TCP连接占用的资源，执行步骤 414 ; 步骤 414、将客户端地址信息加入黑名单，流程结束。

步驟 415、允许客户端与服务器建立 TCP连接，流程结束。

步骤 416、拒绝客户端与服务器建立 TCP连接，流程结束。

下面通过一个具体的实施例对本发明异常连接的检测方法应用于 HTTPS 协议进行详细说明， HTTPS协议是由 SSL与 ht t p协议一起构建的可进行加密传输、身份认证的网络协议。本实施例中客户端为 HTTPS 客户端，服务器为 HTTPS服务器，本实施例中的流程描述的主要是对客户端发送的连接请求进行全连接攻击检测并检测出建立的 TCP连接为正常连接的情况。本实施例中检测全连接攻击的过程可以由异常连接的检测装置来执行，该异常连接的检测装置可以单独部署，也可以设置于网关设备中，因此本实施例中以包括异常连接的检测装置的网关设备为例描述异常连接的检测方法。图 5为本发明实施例五提供的异常连接的检测方法的流程图，如图 5所示，包括：

步驟 501、客户端向网关设备发送 SYN消息，该 SYN消息中携带 HTTPS端口信息和 HTTPS客户端的 IP地址；

步骤 502、网关设备从 SYN消息携带的 HTTPS端口信息解析出协议类型为 HTTPS协议，并查询出预先配置的协议类型中包括 HTTPS协议；

即识別出的 HTTPS协议属于需要进行全连接攻击检测的范围。

其中 HTTPS端口信息可以为默认的端口 443 , 也可以采用用户自定义的端口信息。

步骤 503、网关设备判断出设置的白名单和黑名单中均不包括客户端的 IP 地址信息；

步骤 504、网关设备向 HTTPS客户端发送 SYN- ACK消息；

步驟 505、 HTTPS客户端向网关设备返回 ACK消息；

从而 HTTPS客户端与网关设备建立 TCP连接。

步骤 506、将 HTTPS客户端的 IP地址添加到老化表中，并设定老化时间，该老化时间即为设定时间；

步骤 507、网关设备在老化时间内接收到 HTTPS客户端发送的数据包；步骤 508、网关设备根据 HTTPS协议报文对数据包进行验证并验证成功；该 HTTPS协议报文可以为 HTTPS协议中的 He l lo消息。网关设备可根据 He l l o 消息对接收的数据包进行验证，如果数据包与 He l lo消息一致，则验证成功；如果数据包与 He l lo消息不一致，则验证失败。换言之，在验证成功的情况下， HTTPS客户端发送的数据包就是 Hel l o消息步骤 509、网关设备识别出 TCP连接为正常连接，将 HTTPS客户端的地址信息加入白名单；

步骤 510、网关设备向 HTTPS客户端返回 RST消息，以断开与 HTTPS客户端的 TCP连接；

步骤 511、 HTTPS客户端通过网关设备向 HTTPS服务器发送 SYN消息；网关设备查询出白名单中包括 SYN消息中携带的客户端的 IP地址，则将 SYN消息转发给 HTTPS服务器。

步骤 512、 HTTPS服务器通过网关设备向 HTTPS客户端发送 SYN-ACK消息；步骤 51 3、 HTTPS客户端向通过网关设备向 HTTPS服务器返回 ACK消息，从而与 HTTPS服务器建立 TCP连接；

步骤 514、 HTTPS客户端通过网关设备与 HTTPS服务器进行 HTTPS数据传输。

在本实施例中，如果网关设备根据 HTTPS协议才艮文对数据包进行验证并验证失败，则识别出 TCP连接为异常连接，并将客户端的 IP地址加入黑名单，当该 HTTPS客户端重新向 HTTPS服务器发送 SYN消息时，网关设备将拒绝 HTTPS 客户端与 HTTPS服务器建立 TCP连接。

下面通过一个具体的实施例对本发明异常连接的检测方法应用于 FTPS协议进行详细说明，本实施例中客户端为 FTPS客户端，服务器为 FTPS服务器，本实施例中的流程描述的主要是对客户端发送的连接请求进行全连接攻击检测并检测出建立的 TCP连接为正常连接的情况。本实施例中检测全连接攻击的过程可以由异常连接的检测装置来执行，该异常连接的检测装置可以单独部署，也可以设置于网关设备中，因此本实施例中以包括异常连接的检测装置的网关设备为例描述异常连接的检测方法。图 6为本发明实施例六提供的异常连接的检测方法的流程图，如图 6所示，包括：

步骤 601、 FTPS客户端向网关设备发送 SYN消息，该 SYN消息中携带 FTPS 端口信息和 FTPS客户端的 IP地址；

步骤 602、网关设备从 SYN消息携带的 FTPS端口信息解析出协议类型为 FTPS协议，并查询出预先配置的协议类型中包括 FTPS协议；

即识別出的 FTPS协议属于需要进行全连接攻击检测的范围。

其中 FTPS端口信息可以为默认的端口 21 , 也可以采用用户自定义的端口信息。

步骤 603、网关设备判断出设置的白名单和黑名单中均不包括客户端的 IP 地址信息；

步骤 604、网关设备向 FTPS客户端发送 SYN-ACK消息；

步驟 605、 FTPS客户端向网关设备返回 ACK消息；

从而 FTPS客户端与网关设备建立 TCP连接。

步骤 606、网关设备将 FTPS客户端的 IP地址添加到老化表中，并设定老化时间，该老化时间即为静默时间；

步骤 607、网关设备在老化时间内检测出未接收到 FTPS客户端发送的数据包；

步骤 608、网关设备向 FTPS客户端发送版本数据包 f tp vers i on; f t p ve r s i on为 FTPS协议中的数据包；

步骤 609、网关设备预先设置设定时间；

步骤 610、网关设备在设定时间内接收到 FTPS客户端发送的数据包；步骤 611、网关设备根据 FTPS协议报文对数据包进行验证并验证成功；该 FTPS协议才艮文为 FTPS协议中的 USER Command消息；

网关设备可根据 USER Co and消息对接收的数据包进行验证，如果数据包与 USER Command消息一致，则 3 证成功；如果数据包与 USER Command消息不一致，则验证失败。换言之，在验证成功的情况下， FTPS 客户端发送的数据包就是 USER Command消息。

步骤 612、网关设备识别出 TCP连接为正常连接，将 FTPS客户端的地址信息加入白名单；

步骤 61 3、网关设备向 FTPS客户端返回 RST消息，以断开与 HTTPS客户端的 TCP连接；

步骤 614 FTPS客户端通过网关设备向 FTPS服务器发送 SYN消息；网关设备查询出白名单中包括 SYN消息中携带的客户端的 IP地址则将

SYN消息转发给 FTPS服务器。

步骤 615 FTPS服务器通过网关设备向 FTPS客户端发送 SYN-ACK消息；步骤 616 FTPS客户端向通过网关设备向 FTPS服务器返回 ACK消息，从而与 FTPS服务器建立 TCP连接；

步骤 617 FTPS客户端通过网关设备与 FTPS服务器进行 FTPS数据传输。在本实施例中如果网关设备根据 FTPS协议报文对数据包进行验证并验证失败，则识别出 TCP连接为异常连接，并将客户端的 IP地址加入黑名单，当该 FTPS客户端重新向 FTPS服务器发送 SYN消息时，网关设备将拒绝 FTPS 客户端与 FTPS服务器建立 TCP连接。

本实施例中，如果网关设备在老化时间 (也就是静默时间）检测出接收到 FTPS客户端发送的数据包，则网关设备识别该 TCP连接为异常连接，并将客户端的 IP地址加入黑名单，当该 FTPS客户端重新向 FTPS服务器发送 SYN消息时，网关设备将拒绝 FTPS客户端与 FTPS服务器建立 TCP连接。

图 7为本发明实施例七提供的异常连接的检测装置的结构示意图，如图 7 所示，异常连接的检测装置包括收发模块 111、检测模块 112、验证模块 11 3 和识別模块 114，其中：

收发模块 11 1 , 用于接收客户端发送的连接请求消息，并与该客户端建立

TCP连接；

具体地，收发模块 11 1接收客户端发送的连接请求消息后向客户端发送连接应答消息，并接收客户端返回的应答消息，与客户端建立 TCP连接。其中连接请求消息可以为 SYN消息、连接应答消息可以为 SYN-ACK消息，应答消息可以为 ACK消息。

检测模块 112 , 用于在设定时间内检测是否接收到客户端发送的数据包；具体地，检测模块 112会将检测出接收到客户端发送的数据包的检测结果发送给验证模块 113 , 或者将检测出未接收到客户端发送的数据包的检测结果发送给识别模块 114。可以理解的是，客户端发送的数据包可以由收发模块 111 接收。

验证模块 11 3 , 用于在检测模块 112检测出接收到数据包时，根据协议报文对所接收的数据包进行验证；具体地，验证模块 11 3 可以验证该数据包的内容与协议报文类型是否一致，如果数据包的内容与协议报文类型一致，则验证成功，如果数据包的内容与协议报文类型不一致，则验证失败。

识别模块 114，用于当检测模块 112检测的结果为未接收到数据包时识别 TCP连接为异常连接，当在所述验证模块 113对所述数据包验证成功时识别所述 TCP连接为正常连接、或者在所述验证模块 113对所述数据包验证失败时识别所述 TCP连接为异常连接。

具体地，识别模块 114可以根据检测模块 1 12的检测结果识别 TCP连接为异常连接。还可以根据验证模块 11 3的验证结果识别所述 TCP连接是否为异常连接，具体的，当验证模块 1 1 3的验证结果为验证成功时识别 TCP连接为正常连接，当验证模块 1 13的验证结果为验证失败时识別 TCP连接为异常连接。

本实施例的技术方案中，异常连接的检测装置可以在设定时间内检测是否接收到客戶端发送的数据包，并根据协议报文对在设定时间内接收的数据包进行验证，当该客户端向服务器发起全连接攻击时，异常连接的检测装置能够识别出与该客户端建立的 TCP连接为异常连接，从而提高了检测全连接攻击的准确率。

图 8为本发明实施例八提供的异常连接的检测装置的结构示意图，如图 8 所示，本实施例中的异常连接的检测装置在图 Ί中实施例的基础上增设了判断模块 115、第一处理模块 116和第二处理模块 117 , 具体的，在本发明实施例中，收发模块 1 11包括第一收发子模块 1 11 1和第二收发子模块 1112 , 判断模块 115包括第一判断子模块 1151和第二判断子模块 1152，其中：

第一收发子模块 1111 , 用于接收客户端发送的连接请求消息，该连接请求消息携带有客户端端口号信息和客户端地址信息；

第一判断子模块 1151 , 用于根据设置的记录表判断待检测的协议类型中是否包括所述连接请求消息的协议类型，如果是，则触发第二判断子模块 1152 , 否则触发第一处理模块 116 ;

具体的，所述连接请求消息的协议类型可以通过解析所述连接请求消息中携带的客户端端口号信息得到。该设置的记录表中包含有待检测的协议类型信息、可信的客户端地址信息以及不可信的客户端地址信息。

第二判断子模块 1152，用于根据设置的记录表中的地址信息判断是否包括所迷客户端地址信息，如果是则触发第一处理模块 116，否则触发第二收发模块 11 12 ;

具体的，记录表中存储有可信的客户端地址信息和不可信的（或恶意的）客户端地址信息，可信的客户端地址信息为通过验证的客户端地址信息，不可信的客户端地址信息为未通过验证的客户端地址信息。在实际应用中记录表中可以包括白名单和 /或黑名单，白名单中存储的是可信的客户端地址信息，黑名单中存储的是恶意的客户端地址信息。

第二收发模块 1112 , 用于与所述客户端建立 TCP连接，并触发检测模块

113 ;

也就是说，此时，由该异常连接的检测装置代替服务器与所述客户端建立 TCP连接，从而启动对该客户端的全证过程。

检测模块 112 , 用于检测在设定时间内是否接收到客户端发送的数据包，如果是，则触发验证模块 11 3，否则触发识别模块 114 ;

具体的，在正常连接的情况下，在异常连接的检测装置与客户端建立 TCP 连接后，客户端会向异常连接的检测装置发送数据包，因此，检测模块 112 可以通过在设定时间内检测是否接收到客户端发送的数据包初步判断该 TCP 连接是否为异常连接。

验证模块 11 3，用于根据协议报文对客户端在设定时间内发送的数据包进行验证

具体的，根据协议 4艮文对数据包进行验证具体可以为验证数据包的内容与协议报文是否一致，如果数据包的内容与协议报文一致则验证成功，如果数据包的内容与协议报文不一致则验证失败。

识别模块 114，用于验证模块 11 3的验证结果以及检测模块 112的检测结果识别所述 TCP连接是否为异常连接 , 并触发第二处理模块 117 ;

具体的，当检测结果 112结果为在设定时间内未接收到客户端发送的数据包时，识别该 TCP连接为异常连接；当验证模块 11 3的验证结果为验证失败时，识别该 TCP连接为异常连接；当验证模块 11 3的验证结果为验证成功时，识别该 TCP连接为正常连接。

第一处理模块 116 , 用于根据第一判断子模块 1 151 的判断结果和第二判断子模块 1152的判断结果对该连接请求消息进行相应处理；

具体的，当第一判断子模块 1151根据设置的记录表判断该数据包的协议类型不是待检测的协议类型时，将该连接请求消息发送给服务器，使服务器与客户端建立 TCP连接；当第二判断子模块 1152根据设置的记录表判断出该客户端地址信息为可信的客户端地址信息时，将该连接请求消息发送给服务器，使服务器与客户端建立 TCP连接；当第二判断子模块 1 152根据设置的记录表判断出该客户端地址信息为可信的客户端地址信息时，拒绝该客户端的连接请求消息。

第二处理模块 1 Π ,用于当识别模块 114识别出该 TCP连接为正常连接时，将该客户端地址信息存储于设置的记录表中，并断开该 TCP连接；当识别模块 11 识别出该 TCP连接为异常连接时，将该客户端地址信息存储于设置的记录表中，并丟弃该 TCP连接。

具体的，当识別出该 TCP连接为正常连接时，可以向客户端返回 RST消息，拒绝客户端的 TCP连接；当识别出该 TCP连接为异常连接时，丢弃该 TCP连接，从而使服务器免受该客户端的全连接攻击。

可以理解的是，判断模块 1 15 中也可以只包括第二判断子模块 1152，第一处理模块 116和第二处理模块 117可以是一个模块。

可以理解的是，对于 f tp类型数据包，进一步地，检测模块 112还可以在静默时间内检测是否接收到客户端发送的数据包，并将在静默时间内接收到数据包的检测结果发送给识别模块 114 , 由识别模块 114识别该 TCP连接为异常连接；或者检测模块 112将在静默时间内未接收到数据包的检测结果发送给收发模块 111 , 由收发模块 11 1向客户端发送版本数据包，并由检测模块 1 12在设定时间内检测是否接收到客户端发送的数据包。

本实施例的技术方案中，异常连接的检测装置可以在设定时间内检测是否接收到客户端发送的数据包，并根据协议报文对在设定时间内接收的数据包进行验证，当该客户端向服务器发起全连接攻击时，异常连接的检测装置能够识别出与该客户端建立的 TCP连接为异常连接，从而提高了检测全连接攻击的准确率。

本发明实施例的技术方案可应用于对多种协议类型的全连接攻击进行检测, 包括 HTTP、 HTTPS、 FTP、 FTPS或者 SSH等协议类型。

需要说明的是，本发明实施例中的异常连接的检测装置可单独设置，也可设置于各种网关设备中，例如防火墙、抗 DD0S设备、统一威胁管理（Unif ied Threa t Management ,简称： UTM )设备或者入侵防御***（ Intrus ion Prevent ion Sys tem, 简称： IPS )设备等，具体不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read- Only Memory, ROM )或随机存储记忆体 ( Random Access Memory, RAM )等。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。

Claims

权利要求

1、一种异常连接的检测方法，其特征在于，包括：

接收客户端发送的连接请求消息；

与所述客户端建立 TCP连接；

当在设定时间内未接收到所户端发送的数据包时，识别所述 TCP连接为异常连接；

2、根据权利要求 1所述的方法，其特征在于，所述根据协议报文对所述数据包进行验证包括：

验证所述数据包的内容与协议报文是否一致，如果一致则验证成功，否则险证失败。

3、根据权利要求 1所述的方法，其特征在于，所述连接请求消息携带客户端地址信息；

则所述接收客户端发送的连接请求消息之后还包括：

判断设置的记录表中是否包括所述客户端地址信息；

当所述记录表中未包括所述客户端地址信息时，执行所述与所述客户端建立 TCP连接的步驟；或者，

当所述记录表中包括所述客户端地址信息时，则，如果根据所述记录表判断所述客户端地址信息为可信的客户端地址信息，则将所述客户端的连接请求消息发送给服务器，使所述客户端与服务器建立 TCP连接；如果根据所述记录表判断所述客户端地址信息为不可信的客户端地址信息，则拒绝所述客户端的连接请求。

4、根据权利要求 3所述的方法，其特征在于，还包括：

当识别所述 TCP连接为异常连接时，将所述客户端地址信息存储于所述记录表中，丟弃所述 TCP连接；

当识别所述 TCP连接为正常连接时，将所述客户端地址信息存储于所述记录表中，断开与所述客户端建立的 TCP连接。

5、根据权利要求 1所述的方法，其特征在于，所述连接请求消息携带端口信息和客户端地址信息；所述接收客户端发送的连接请求消息之后还包括：从所述连接请求消息携带的端口信息中解析出协议类型；

查询预先配置的待检测的协议类型中是否包括解析出的协议类型，如果是，则继续判断设置的记录表中是否包含所述客户端地址信息，当所述记录表镇南关未包括所述客户端地址信息时，执行所述与所述客户端建立 TCP连接的步骤。

6、一种异常连接的检测装置，其特征在于，包括：

收发模块，用于接收客户端发送的连接请求消息，并与所述客户端建立 TCP连接；

检测模块，用于检测在设定时间内是否接收到所述客户端发送的数据包；验证模块，用于当所述检测模块的检测结果为在设定时间内接收到所述客户端发送的数据包时，根据协议报文对所述数据包进行验证；

识别模块，用于当所迷检测模块的检测结果为在设定时间内未接收到所述客户端发送的数据包时，识别所述 TCP连接为异常连接，当所述验证模块对所述数据包验证成功时识别所述 TCP连接为正常连接、或者当所述验证模块对所述数据包验证失败时识别所述 TCP连接为异常连接。

7、根据权利要求 6所述的装置，其特征在于，还包括判断模块；所述收发模块包括第一收发子模块和第二收发子模块；

所迷第一收发子模块，用于接收所述连接请求消息，所述连接请求消息携带客户端地址信息；

所述判断模块，用于判断设置的记录表中是否包括所述第一收发子模块接收的连接请求消息携带的客户端地址信息，当所述记录表中未包括所述客户端地址信息时，触发所述第二收发子模块；

所迷第二收发子模块，用于当所述判断模块判断所述记录表中未包括客户端地址信息的判断结果时，与所迷客户端建立 TCP连接。

8、根据权利要求 7所述的装置，其特征在于，还包括：

第一处理模块，用于当所述判断模块判断所述记录表中包含所述客户端地址信息时，如果根据所述记录表判断所述客户端地址信息为可信的客户端地址信息，则将所述客户端的连接请求消息发送给服务器，使所述客户端与服务器建立 TCP连接；如果根据所述记录表判断所述客户端地址信息为不可信的客户端地址信息，则拒绝所述客户端的连接请求。

9、根据权利要求 7所述的装置，其特征在于，还包括：

第二处理模块，用于当识别模块识别出所述 TCP连接为正常连接时，将该客户端地址信息存储于设置的记录表中，并断开该 TCP连接；当识别模块识别出所迷 TCP连接为异常连接时，将该客户端地址信息存储于设置的记录表中，并丢弃所述 TCP连接。

1 0、一种网关设备，其特征在于，包括：权利要求 6至 9任一所述的异常连接的检测装置。