專利名稱:一種異常連接的檢測(cè)方法、裝置及網(wǎng)關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域��,特別涉及一種異常連接的檢測(cè)方法����、裝置及 網(wǎng)關(guān)設(shè)備���。
背景技術(shù):
分布式拒絕服務(wù)(Distributed Denial of Service,簡(jiǎn)稱DD0S )攻擊 就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使服務(wù)器無(wú)法處理合 法用戶的指令��。DDOS攻擊中的TCP全連接攻擊是通過(guò)許多僵尸主機(jī)不斷地與 服務(wù)器建立大量的TCP連接�,直到服務(wù)器的連接、內(nèi)存等資源被耗盡��,從而 造成服務(wù)器拒絕服務(wù)����,使服務(wù)器無(wú)法處理合法用戶的指令。TCP全連接攻擊 的特點(diǎn)是可以繞過(guò)一般防火墻的防護(hù)而達(dá)到攻擊的目的�����。對(duì)于通常的網(wǎng)絡(luò)服 務(wù)系統(tǒng)���,能接受的TCP連接數(shù)是有限的�,當(dāng)遭受TCP全連接攻擊時(shí)��,會(huì)導(dǎo)致 網(wǎng)站訪問(wèn)非常緩慢甚至無(wú)法訪問(wèn)����。
為實(shí)現(xiàn)對(duì)全連接攻擊的檢測(cè)�,現(xiàn)有技術(shù)采用的是連接數(shù)閾值判斷法�����。通 常防火墻或DDOS檢測(cè)設(shè)備會(huì)檢測(cè)被保護(hù)服務(wù)器的連接總數(shù)�,如果檢測(cè)出連接 總數(shù)大于連接數(shù)閾值���,則認(rèn)為存在TCP連接異常�,即存在全連接攻擊�。具體 做法是防火墻或DDOS檢測(cè)設(shè)備中的連接檢查模塊會(huì)對(duì)需要防范的流量中的 TCP連接進(jìn)行檢測(cè),統(tǒng)計(jì)TCP連接三次握手完成后的握手成功報(bào)文的數(shù)量���, 并在設(shè)定的時(shí)間段到達(dá)后得出統(tǒng)計(jì)值����,當(dāng)統(tǒng)計(jì)值大于連接數(shù)閾值時(shí)識(shí)別出TCP 連接為異常連接�,即存在全連接攻擊。
發(fā)明人在實(shí)現(xiàn)本發(fā)明的過(guò)程中���,發(fā)現(xiàn)由于正常訪問(wèn)流量會(huì)隨時(shí)間段的不 同而發(fā)生變化���,正常訪問(wèn)流量增大時(shí)�,流量中的TCP連接的數(shù)量也會(huì)隨之增 加�����,當(dāng)一定時(shí)間段內(nèi)流量中的TCP連接的數(shù)量超過(guò)連接數(shù)閾值時(shí)�,正常的TCP連接會(huì)被識(shí)別為異常連接,即被判定為全連接攻擊��,從而產(chǎn)生對(duì)全連接攻擊 的誤報(bào)��。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種異常連接的檢測(cè)方法��、裝置及網(wǎng)關(guān)設(shè)備�����,可以
提高^(guò)r測(cè)全連接攻擊的準(zhǔn)確率��。
本發(fā)明實(shí)施例提供了一種異常連接的檢測(cè)方法��,包括 接收客戶端發(fā)送的連接請(qǐng)求消息��; 與所述客戶端建立TCP連接�����;
當(dāng)在設(shè)定時(shí)間內(nèi)未接收到所述客戶端發(fā)送的數(shù)據(jù)包時(shí),識(shí)別所述TCP連 接為異常連接�����;
當(dāng)在設(shè)定時(shí)間內(nèi)接收到所述客戶端發(fā)送的數(shù)據(jù)包時(shí)�����,則根據(jù)協(xié)議報(bào)文對(duì) 所述數(shù)據(jù)包進(jìn)行驗(yàn)證���,如果驗(yàn)證成功則識(shí)別所述TCP連接為正常連接,如果 驗(yàn)證失敗則識(shí)別所述TCP連接為異常連接����。
本發(fā)明實(shí)施例還提供了一種異常連接的檢測(cè)裝置,包括 收發(fā)模塊��,用于接收客戶端發(fā)送的連接請(qǐng)求消息���,并與所述客戶端建立 TCP連接����;
檢測(cè)模塊,用于檢測(cè)在設(shè)定時(shí)間內(nèi)是否接收到所述客戶端發(fā)送的數(shù)據(jù)包�����; 驗(yàn)證模塊���,用于當(dāng)所述檢測(cè)模塊的檢測(cè)結(jié)果為在設(shè)定時(shí)間內(nèi)接收到所述 客戶端發(fā)送的數(shù)據(jù)包時(shí)�����,根據(jù)協(xié)議報(bào)文對(duì)所述數(shù)據(jù)包進(jìn)行驗(yàn)證���;
識(shí)別模塊,用于當(dāng)所述檢測(cè)模塊的檢測(cè)結(jié)果為在設(shè)定時(shí)間內(nèi)未接收到所 述客戶端發(fā)送的數(shù)據(jù)包時(shí)����,識(shí)別所述TCP連接為異常連接,當(dāng)所述驗(yàn)ii4莫塊 對(duì)所述數(shù)據(jù)包驗(yàn)證成功時(shí)識(shí)別所述TCP連接為正常連接�����、或者當(dāng)所述驗(yàn)證模 塊對(duì)所述數(shù)據(jù)包驗(yàn)證失敗時(shí)識(shí)別所述TCP連接為異常連接�����。
本發(fā)明實(shí)施例提供了 一種網(wǎng)關(guān)設(shè)備,包括上述異常連接的檢測(cè)裝置�����。 本發(fā)明實(shí)施例的技術(shù)方案中�,在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包,并根據(jù)協(xié)議報(bào)文對(duì)在設(shè)定時(shí)間內(nèi)接收的數(shù)據(jù)包進(jìn)行驗(yàn)證����,當(dāng)該客
戶端向服務(wù)器發(fā)起全連接攻擊時(shí),能夠識(shí)別出與該客戶端建立的TCP連接為 異常連接����,從而提高了檢測(cè)全連接攻擊的準(zhǔn)確率����。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì) 實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見地����, 下面描述中的附圖僅僅是本發(fā)明的 一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員 來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下���,還可以根據(jù)這些附圖獲得其他的 附圖����。
圖1為本發(fā)明實(shí)施例一提供的異常連接的檢測(cè)方法的流程圖�; 圖2為本發(fā)明實(shí)施例二提供的異常連接的檢測(cè)方法的流程圖; 圖3為本發(fā)明實(shí)施例三提供的異常連接的檢測(cè)方法的流程圖���; 圖4為本發(fā)明實(shí)施例四提供的異常連接的檢測(cè)方法的流程圖�; 圖5為本發(fā)明實(shí)施例五提供的異常連接的檢測(cè)方法的流程圖�����; 圖6為本發(fā)明實(shí)施例六提供的異常連接的檢測(cè)方法的流程圖�; 圖7為本發(fā)明實(shí)施例七提供的異常連接的檢測(cè)裝置的結(jié)構(gòu)示意圖; 圖8為本發(fā)明實(shí)施例八提供的異常連接的檢測(cè)裝置的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚��、完整地描述,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而 不是全部的實(shí)施例�����?��;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做 出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍��。
圖1為本發(fā)明實(shí)施例一提供的異常連接的檢測(cè)方法的流程圖���,如圖1所 示,該方法包^舌步驟IOI�、接收客戶端發(fā)送的連接請(qǐng)求消息���;
具體地,連接請(qǐng)求消息可以為SYN消息��,SYN (synchronize)消息是 TCP/IP建立連接時(shí)使用的握手信號(hào)�����。 步驟102�、與客戶端建立TCP連接;
具體地�����,在接收到客戶端發(fā)送的SYN消息后��,向客戶端返回SYN-ACK消 息��,客戶端再發(fā)送ACK消息作為應(yīng)答�,從而完成建立TCP連接的過(guò)程。其中�����, SYN-ACK消息是對(duì)SYN消息的應(yīng)答消息��,而ACK消息是對(duì)SYN-ACK消息的響 應(yīng)消息。
本步驟中在接收到SYN消息后并未將該SYN消息轉(zhuǎn)發(fā)給服務(wù)器�,而是與 客戶端建立TCP連接。
步驟103��、在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包����,如果是 則執(zhí)行步驟104,否則執(zhí)行步驟106;
其中設(shè)定時(shí)間可以為預(yù)先設(shè)定的任意時(shí)間段���。
步驟104����、根據(jù)協(xié)議報(bào)文對(duì)所述數(shù)據(jù)包進(jìn)行驗(yàn)證��,如果驗(yàn)證成功則執(zhí)行 步驟105����,如果驗(yàn)證失敗則執(zhí)行步驟106;
本實(shí)施例中協(xié)議才艮文根據(jù)實(shí)際應(yīng)用的不同可以為http協(xié)議報(bào)文�、ftp協(xié) 議報(bào)文、ssh協(xié)議報(bào)文等�����。
具體地,可以驗(yàn)證數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文類型是否一致����,如果數(shù)據(jù)包 的內(nèi)容與協(xié)議報(bào)文類型一致則驗(yàn)證成功,如果數(shù)據(jù)包的內(nèi)容與協(xié)議"J艮文類型 不一致則-驗(yàn)i正失敗�。
步驟105、識(shí)別TCP連接為正常連接�����;
如果驗(yàn)證成功則認(rèn)為接收的數(shù)據(jù)包是正常的數(shù)據(jù)包�����,該TCP連接為正常 連接�����,即該客戶端未對(duì)服務(wù)器進(jìn)行全連接攻擊��。 步驟106�����、識(shí)別TCP連接為異常連接����;
如果在設(shè)定時(shí)間內(nèi)沒有接收到任何數(shù)據(jù)包�,則識(shí)別該TCP連接為異常連 接���,即該客戶端對(duì)服務(wù)器進(jìn)行全連接攻擊�。本實(shí)施例的技術(shù)方案中�,在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù) 據(jù)包,并根據(jù)協(xié)議報(bào)文對(duì)在設(shè)定時(shí)間內(nèi)接收的數(shù)據(jù)包進(jìn)行驗(yàn)證�,當(dāng)該客戶端
向服務(wù)器發(fā)起全連接攻擊時(shí),能夠識(shí)別出與該客戶端建立的TCP連接為異常 連接��,從而提高了檢測(cè)全連接攻擊的準(zhǔn)確率�。
圖2為本發(fā)明實(shí)施例二提供的異常連接的檢測(cè)方法的流程圖,如圖2所 示���,該方法包括
步驟201�����、接收客戶端發(fā)送的連接請(qǐng)求消息����,該連接請(qǐng)求消息中攜帶有 客戶端地址信息�����;
本實(shí)施例中的各步驟可以由異常連接的檢測(cè)裝置執(zhí)行�,具體的,當(dāng)客戶 端向服務(wù)器發(fā)送連接請(qǐng)求消息時(shí)��,異常連接的檢測(cè)裝置接收該連接請(qǐng)求消息��。
步驟202���、判斷設(shè)置的記錄表中是否包括客戶端地址信息���,如果是則執(zhí) 行步驟208,否則執(zhí)行步驟203;
記錄表中存儲(chǔ)有可信的客戶端地址信息和不可信的(或惡意的)客戶端 地址信息����,可信的客戶端地址信息為通過(guò)驗(yàn)證的客戶端地址信息,不可信的 客戶端地址信息為未通過(guò)驗(yàn)證的客戶端地址信息�。在實(shí)際應(yīng)用中記錄表中可 以包括白名單和黑名單,白名單中存儲(chǔ)有可信的客戶端地址信息�,黑名單中 存儲(chǔ)有惡意的客戶端地址信息。
步驟203��、與客戶端建立TCP連接;
具體的���,即異常連接的檢測(cè)裝置接收到客戶端發(fā)送的連接請(qǐng)求消息后��, 如果根據(jù)設(shè)置的記錄表�����,判斷該連接請(qǐng)求消息中攜帶的客戶端地址信息為陌 生的地址信息���,則該檢測(cè)裝置代替服務(wù)器與客戶端建立TCP連接。
步驟204�、在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包,如果是 則執(zhí)行步驟205����,否則執(zhí)行步驟207;
具體的,在正常連接的情況下���,在異常連接的檢測(cè)裝置與客戶端建立TCP 連接后�,客戶端會(huì)向異常連接的檢測(cè)裝置發(fā)送數(shù)據(jù)包���,因此�,異常連接的檢 測(cè)裝置可以通過(guò)檢測(cè)是否在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包初步判斷該TCP連接是否為異常連接。
步驟205��、根據(jù)協(xié)議報(bào)文對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證�����,如果驗(yàn)證成功則執(zhí)行步驟 206�,如果驗(yàn)證失敗則執(zhí)行步驟207;
具體地���,根據(jù)協(xié)議報(bào)文對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證具體可以為驗(yàn)證數(shù)據(jù)包的內(nèi)容 與協(xié)議報(bào)文是否一致�����,如果數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文一致則驗(yàn)證成功���,如果 數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文不一致則^i正失敗。
步驟206��、識(shí)別TCP連接為正常連接����,將客戶端地址信息存儲(chǔ)于設(shè)置的 記錄表中,斷開與客戶端建立的TCP連接����,流程結(jié)束�。
具體地���,將客戶端地址信息存儲(chǔ)于記錄表中的可信的客戶端地址信息中���。
步驟207、識(shí)別TCP連接為異常連接����,將客戶端地址信息存儲(chǔ)于設(shè)置的 記錄表中,丟棄TCP連接�����,流程結(jié)束�。
具體地,將客戶端地址信息存儲(chǔ)于記錄表中的惡意的客戶端地址信息中����。
步驟208、允許或者拒絕客戶端與服務(wù)器建立TCP連接���,流程結(jié)束���。
具體地��,當(dāng)判斷出可信的客戶端地址信息中包括該客戶端地址信息即該 客戶端地址信息為可信的客戶端地址信息時(shí)����,允許客戶端與服務(wù)器建立TCP 連接��,此時(shí)異常連接的檢測(cè)裝置將客戶端發(fā)送的連接請(qǐng)求消息轉(zhuǎn)發(fā)給服務(wù)器�, 使客戶端與服務(wù)器建立TCP連接�;當(dāng)判斷出惡意的客戶端地址信息中包括該 客戶端地址信息即該客戶端地址信息為惡意的客戶端地址信息時(shí),拒絕客戶 端與服務(wù)器建立TCP連接���,此時(shí)異常連接的檢測(cè)裝置拒絕客戶端的連接請(qǐng)求�����, 從而保護(hù)服務(wù)器免受TCP全連接攻擊�。
本實(shí)施例的技術(shù)方案中�,在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù) 據(jù)包,并才艮據(jù)協(xié)議才艮文對(duì)在設(shè)定時(shí)間內(nèi)接收的數(shù)據(jù)包進(jìn)行驗(yàn)證�,當(dāng)該客戶端 向服務(wù)器發(fā)起全連接攻擊時(shí),能夠及時(shí)識(shí)別出與該客戶端建立的TCP連接為 異常連接�,從而提高了檢測(cè)全連接攻擊的準(zhǔn)確率和實(shí)時(shí)性���。
圖3為本發(fā)明實(shí)施例三提供的異常連接的檢測(cè)方法的流程圖,如圖3所 示���,該方法包4舌步驟301��、接收客戶端發(fā)送的連接請(qǐng)求消息��,該連接請(qǐng)求消息中攜帶端
口信息和客戶端地址信息����;
本實(shí)施例中各步驟可以由異常連接的檢測(cè)裝置來(lái)執(zhí)行��;
其中��,才艮據(jù)應(yīng)用協(xié)_漢的不同�,端口信息可以為HTTPS端口等,并且該端
口信息可以采用默認(rèn)端口信息�,也可以采用用戶自定義的端口信息;客戶端
地址信息可以為客戶端的IP地址信息�����。
步驟302�����、從連接請(qǐng)求消息攜帶的端口信息中解析出協(xié)議類型;
例如�,異常連接的檢測(cè)裝置根據(jù)端口信息檢測(cè)該端口為HTTPS端口,從
而可以解析出該數(shù)據(jù)包為HTTPS協(xié)議類型的數(shù)據(jù)包�,HTTPS協(xié)議是由SSL與
HTTP協(xié)議一起構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議����。SSL是一個(gè)在
客戶機(jī)和具有SSL功能的服務(wù)器之間的安全連接中對(duì)數(shù)據(jù)進(jìn)行加密和解密的協(xié)議。
步驟303��、查詢預(yù)先配置的待檢測(cè)的協(xié)議類型中是否包括識(shí)別出的協(xié)議 類型�,如果是則執(zhí)行步驟304��,否則執(zhí)行步驟313;
具體的�����,由于預(yù)先配置的待檢測(cè)的協(xié)議類型可以包括一種或者多種協(xié)議��, 因此�,可以查詢識(shí)別出的所述數(shù)據(jù)包的協(xié)議類型是否屬于待檢測(cè)的范圍。
步驟304��、判斷設(shè)置的白名單和黑名單中是否包括客戶端地址信息,如 果白名單和黑名單中不包括該客戶端地址信息�����,則執(zhí)行步驟305;如果白名
單中包括客戶端地址信息則執(zhí)行步驟313;如果黑名單中包括客戶端地址信 息則執(zhí)行步驟314;
具體的�,為提高檢測(cè)質(zhì)量,可以同時(shí)設(shè)置白名單和黑名單�����。白名單中設(shè) 置的客戶端地址信息為允許通過(guò)的客戶端地址信息�,黑名單中設(shè)置的客戶端 地址信息為拒絕通過(guò)的客戶端地址信息。當(dāng)然�����,本領(lǐng)域技術(shù)人員可以知道��, 同時(shí)設(shè)置白名單和黑名單只是一種較佳的實(shí)現(xiàn)方式�,也可以只設(shè)置白名單或 只設(shè)置黑名單。
步驟305�、與客戶端建立TCP連接,進(jìn)入步驟306;步驟306��、在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包,如果是 則執(zhí)行步驟307,否則執(zhí)行步驟310;
步驟307�����、根據(jù)協(xié)議報(bào)文對(duì)所述數(shù)據(jù)包進(jìn)行驗(yàn)證���,如果驗(yàn)證成功則執(zhí)行 步驟308;如果驗(yàn)證失敗則執(zhí)行步驟310;
具體的��,可以驗(yàn)證數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文是否一致�,如果數(shù)據(jù)包的內(nèi) 容與協(xié)議報(bào)文一致則驗(yàn)證成功�,如果數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文不一致則驗(yàn)證 失敗。
步驟308����、識(shí)別TCP連接為正常連接,進(jìn)入步驟309;
步驟309�����、將客戶端地址信息加入白名單��,并向客戶端發(fā)送斷開連接消 息�����,流程結(jié)束��。
其中��,斷開連接消息可以為RST消息��。
步驟310�、識(shí)別TCP連接為異常連接,進(jìn)入步驟311;
步驟311���、丟棄TCP連接��,釋放TCP連接占用的資源�,進(jìn)入步驟312;
步驟312�、將客戶端地址信息加入黑名單,流程結(jié)束����。
步驟313、允許客戶端與服務(wù)器建立TCP連接�,流程結(jié)束。
步驟314�、拒絕客戶端與服務(wù)器建立TCP連接,流程結(jié)束�����。
可以理解的是,本實(shí)施例中�,當(dāng)識(shí)別出TCP連接為異常連接后,可以先 執(zhí)行步驟312將客戶端地址信息加入黑名單���,再執(zhí)行步驟311丟棄TCP連接��, 并釋》文TCP連接占用的資源���。
本實(shí)施例中,當(dāng)識(shí)別出TCP連接為異常連接后�����,還可以僅執(zhí)行步驟311��、 丟棄TCP連接�,并釋放TCP連接占用的資源,而不執(zhí)行步驟312����,即不將客 戶端地址信息加入黑名單��;或者,本實(shí)施例中����,還可以僅設(shè)置白名單而不設(shè) 置黑名單,這樣當(dāng)執(zhí)行步驟311之后�,不用執(zhí)行步驟312中的將客戶端地址 信息加入黑名單的步驟。這樣��,當(dāng)該客戶端再次請(qǐng)求建立TCP連接時(shí)����,需要 執(zhí)行本實(shí)施例中的各步驟以識(shí)別出該客戶端的TCP連接為異常連接。此種情 況中�����,異常連接的檢測(cè)裝置需要不斷地與客戶端建立TCP連接��,并重復(fù)執(zhí)行檢測(cè)出該TCP連接為異常連接的過(guò)程���。實(shí)際上���,此種情況為異常連接的檢測(cè) 裝置代替服務(wù)器承受客戶端發(fā)起全連接攻擊的情況。
本實(shí)施例的技術(shù)方案中�����,在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù) 據(jù)包,并根據(jù)協(xié)議報(bào)文對(duì)在設(shè)定時(shí)間內(nèi)接收的數(shù)據(jù)包進(jìn)行驗(yàn)證�����,當(dāng)該客戶端 向服務(wù)器發(fā)起全連接攻擊時(shí)�,能夠及時(shí)識(shí)別出與該客戶端建立的TCP連接為 異常連接,從而提高了檢測(cè)全連接攻擊的準(zhǔn)確率和實(shí)時(shí)性��。
圖4為本發(fā)明實(shí)施例四提供的異常連接的檢測(cè)方法的流程圖��,本實(shí)施例 主要應(yīng)用于協(xié)議類型為FTPS協(xié)議的情況��,如圖4所示�,該方法包括
步驟401、接收客戶端發(fā)送的連接請(qǐng)求消息�����,該連接請(qǐng)求消息中攜帶端 口信息和客戶端地址信息�����;
本實(shí)施例中各步驟可以由異常連接的檢測(cè)裝置來(lái)執(zhí)行���。
步驟402�����、從連接請(qǐng)求消息攜帶的端口信息中解析出協(xié)議類型�����;
具體的���,在本實(shí)施例中,該協(xié)議類型為FTPS協(xié)議類型���。FTPS是在安全 套接層使用標(biāo)準(zhǔn)的FTP協(xié)議和指令的一種增強(qiáng)型TFP協(xié)議�,為FTP協(xié)議和數(shù) 據(jù)通道增加了 SSL安全功能����。FTPS也稱作"FTP-SSL"和"FTP-over-SSL"。
步驟403�、查詢預(yù)先配置的協(xié)議類型中是否包括識(shí)別出的協(xié)議類型,如 果是則執(zhí)行步驟404,否則執(zhí)行步驟415;
步驟404���、判斷設(shè)置的白名單和黑名單中是否包括客戶端地址信息�,如 果白名單和黑名單中都不包括該客戶端地址信息,則執(zhí)行步驟405;如果白
名單中包括客戶端地址信息則liM亍步驟415;如果黑名單中包括客戶端地址 信息則執(zhí)行步驟416;
步驟405���、與客戶端建立TCP連接����;
步驟406�����、在靜默時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包��,如果是 則執(zhí)行步驟412���,否則執(zhí)行步驟407;
靜默時(shí)間可以為任意設(shè)置的時(shí)間��。在FTPS協(xié)議類型下��,在與客戶端建立 TCP連接后�����,在設(shè)置的靜默時(shí)間內(nèi)�,正常情況下客戶端不會(huì)主動(dòng)向異常連接的檢測(cè)裝置發(fā)送任何數(shù)據(jù)包��,因此,本步驟中通過(guò)在靜默時(shí)間內(nèi)檢測(cè)是否接 收到客戶端發(fā)送的數(shù)據(jù)包也可以判斷發(fā)送該數(shù)據(jù)包的客戶端是否為可信的客 戶端��。
步驟407�����、向客戶端發(fā)送版本數(shù)據(jù)包�,進(jìn)入步驟408; 具體的����,在FTPS協(xié)議類型下,在設(shè)置的靜默時(shí)間內(nèi)�����,客戶端不會(huì)向?qū)?端設(shè)備(與客戶端建立TCP連接的對(duì)端設(shè)備)發(fā)送數(shù)據(jù)包�,只在收到對(duì)端設(shè)
施例中如果客戶端需要向異常連接的檢測(cè)裝置發(fā)送數(shù)據(jù)包,則需要先收到異 常連接的檢測(cè)裝置發(fā)送的FTPS版本數(shù)據(jù)包���。
步驟408����、在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包�����,如果是 則執(zhí)行步驟409;如果否則執(zhí)行步驟412;
具體的,當(dāng)異常連接的檢測(cè)裝置向客戶端發(fā)送版本數(shù)據(jù)包后����,在設(shè)定時(shí) 間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包,如果是則執(zhí)行步驟409;如果否 則執(zhí)行步驟412�����。
步驟409�����、根據(jù)協(xié)議報(bào)文對(duì)所述數(shù)據(jù)包進(jìn)行驗(yàn)證�,如果驗(yàn)證成功則執(zhí)行 步驟410;如果驗(yàn)證失敗則執(zhí)行步驟412;
具體的,可以驗(yàn)證數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文是否一致����,如果數(shù)據(jù)包的內(nèi) 容與協(xié)議報(bào)文一致則驗(yàn)證成功,如果數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文不一致則騶3正 失敗�����。
步驟410、識(shí)別TCP連接為正常連接���,進(jìn)入步驟411; 步驟411����、將客戶端地址信息加入白名單��,并向客戶端發(fā)送斷開連接消 息��,流程結(jié)束��。
其中���,斷開連接消息可以為RST消息。
步驟412���、識(shí)別TCP連接為異常連接�,進(jìn)入步驟413;
步驟413��、丟棄TCP連接����,并釋放TCP連接占用的資源,執(zhí)行步驟414;
步驟414、將客戶端地址信息加入黑名單���,流程結(jié)束�����。步驟415�����、允許客戶端與服務(wù)器建立TCP連接�,流程結(jié)束�����。 步驟416��、拒絕客戶端與服務(wù)器建立TCP連接�����,流程結(jié)束�。 本實(shí)施例的技術(shù)方案中,在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù) 據(jù)包����,并根據(jù)協(xié)議報(bào)文對(duì)在設(shè)定時(shí)間內(nèi)接收的數(shù)據(jù)包進(jìn)行驗(yàn)證�����,當(dāng)該客戶端 向服務(wù)器發(fā)起全連接攻擊時(shí)��,能夠及時(shí)識(shí)別出與該客戶端建立的TCP連接為 異常連接��,從而提高了檢測(cè)全連接攻擊的準(zhǔn)確率和實(shí)時(shí)性���。
下面通過(guò)一個(gè)具體的實(shí)施例對(duì)本發(fā)明異常連接的檢測(cè)方法應(yīng)用于HTTPS 協(xié)議進(jìn)行詳細(xì)說(shuō)明,HTTPS協(xié)議是由SSL與http協(xié)議一起構(gòu)建的可進(jìn)行加密 傳輸��、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議�。本實(shí)施例中客戶端為HTTPS客戶端����,服務(wù)器為 HTTPS服務(wù)器,本實(shí)施例中的流程描述的主要是對(duì)客戶端發(fā)送的連接請(qǐng)求進(jìn) 行全連接攻擊檢測(cè)并檢測(cè)出建立的TCP連接為正常連接的情況��。本實(shí)施例中 檢測(cè)全連接攻擊的過(guò)程可以由異常連接的檢測(cè)裝置來(lái)執(zhí)行����,該異常連接的檢 測(cè)裝置可以單獨(dú)部署,也可以設(shè)置于網(wǎng)關(guān)設(shè)備中,因此本實(shí)施例中以包括異 常連接的檢測(cè)裝置的網(wǎng)關(guān)設(shè)備為例描述異常連接的檢測(cè)方法��。圖5為本發(fā)明 實(shí)施例五提供的異常連接的檢測(cè)方法的流程圖����,如圖5所示,包括
步驟501�、客戶端向網(wǎng)關(guān)設(shè)備發(fā)送SYN消息,該SYN消息中攜帶HTTPS 端口信息和HTTPS客戶端的IP地址��;
步驟502���、網(wǎng)關(guān)設(shè)備從SYN消息攜帶的HTTPS端口信息解析出協(xié)議類型為 HTTPS協(xié)議����,并查詢出預(yù)先配置的協(xié)議類型中包括HTTPS協(xié)議�; 即識(shí)別出的HTTPS協(xié)議屬于需要進(jìn)行全連接攻擊檢測(cè)的范圍。 其中HTTPS端口信息可以為默認(rèn)的端口 443,也可以采用用戶自定義的端 口信息����。
步驟503、網(wǎng)關(guān)設(shè)備判斷出設(shè)置的白名單和黑名單中均不包括客戶端的 IP地址信息����;
步驟504�、網(wǎng)關(guān)設(shè)備向HTTPS客戶端發(fā)送SYN-ACK消息����; 步驟505、 HTTPS客戶端向網(wǎng)關(guān)設(shè)備返回ACK消息�����;從而HTTPS客戶端與網(wǎng)關(guān)設(shè)備建立TCP連接�。
步驟506、將HTTPS客戶端的IP地址添加到老化表中����,并設(shè)定老化時(shí)間,
該老化時(shí)間即為設(shè)定時(shí)間����;
步驟507、網(wǎng)關(guān)設(shè)備在老化時(shí)間內(nèi)接收到HTTPS客戶端發(fā)送的數(shù)據(jù)包�����; 步驟508 ���、網(wǎng)關(guān)設(shè)備根據(jù)HTTPS協(xié)議報(bào)文對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證并驗(yàn)證成功��; 該HTTPS協(xié)議報(bào)文可以為HTTPS協(xié)議中的Hello消息��。 網(wǎng)關(guān)設(shè)備可根據(jù)Hello消息對(duì)接收的數(shù)據(jù)包進(jìn)行驗(yàn)證�����,如果數(shù)據(jù)包與
Hello消息一致�,則驗(yàn)證成功;如果數(shù)據(jù)包與Hello消息不一致�,則^ii失
敗。換言之��,在驗(yàn)證成功的情況下����,HTTPS客戶端發(fā)送的數(shù)據(jù)包就是Hello
消息
步驟509、網(wǎng)關(guān)設(shè)備識(shí)別出TCP連接為正常連接�,將HTTPS客戶端的地 址信息加入白名單����;
步驟510�����、網(wǎng)關(guān)設(shè)備向HTTPS客戶端返回RST消息���,以斷開與HTTPS客 戶端的TCP連接�����;
步驟511����、 HTTPS客戶端通過(guò)網(wǎng)關(guān)設(shè)備向HTTPS服務(wù)器發(fā)送SYN消息; 網(wǎng)關(guān)設(shè)備查詢出白名單中包括SYN消息中攜帶的客戶端的IP地址�����,則將
SYN消息轉(zhuǎn)發(fā)給HTTPS服務(wù)器�。
步驟512、 HTTPS服務(wù)器通過(guò)網(wǎng)關(guān)設(shè)備向HTTPS客戶端發(fā)送SYN-ACK消息�; 步驟513、 HTTPS客戶端向通過(guò)網(wǎng)關(guān)設(shè)備向HTTPS服務(wù)器返回ACK消息�,
從而與HTTPS服務(wù)器建立TCP連接;
步驟514�����、 HTTPS客戶端通過(guò)網(wǎng)關(guān)設(shè)備與HTTPS服務(wù)器進(jìn)行HTTPS數(shù)據(jù)傳輸�。
在本實(shí)施例中���,如果網(wǎng)關(guān)設(shè)備根據(jù)HTTPS協(xié)議報(bào)文對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證并 驗(yàn)證失敗��,則識(shí)別出TCP連接為異常連接���,并將客戶端的IP地址加入黑名單�����, 當(dāng)該HTTPS客戶端重新向HTTPS服務(wù)器發(fā)送SYN消息時(shí)��,網(wǎng)關(guān)設(shè)備將拒絕 HTTPS客戶端與HTTPS服務(wù)器建立TCP連接����。下面通過(guò)一個(gè)具體的實(shí)施例對(duì)本發(fā)明異常連接的4企測(cè)方法應(yīng)用于FTPS 協(xié)議進(jìn)行詳細(xì)說(shuō)明�����,本實(shí)施例中客戶端為FTPS客戶端����,服務(wù)器為FTPS服務(wù) 器����,本實(shí)施例中的流程描述的主要是對(duì)客戶端發(fā)送的連接請(qǐng)求進(jìn)行全連接攻 擊檢測(cè)并檢測(cè)出建立的TCP連接為正常連接的情況。本實(shí)施例中檢測(cè)全連接 攻擊的過(guò)程可以由異常連接的檢測(cè)裝置來(lái)執(zhí)行��,該異常連接的檢測(cè)裝置可以 單獨(dú)部署�����,也可以設(shè)置于網(wǎng)關(guān)設(shè)備中���,因此本實(shí)施例中以包括異常連接的檢 測(cè)裝置的網(wǎng)關(guān)設(shè)備為例描述異常連接的檢測(cè)方法�����。圖6為本發(fā)明實(shí)施例六提 供的異常連接的檢測(cè)方法的流程圖���,如圖6所示,包括
步驟601����、 FTPS客戶端向網(wǎng)關(guān)設(shè)備發(fā)送SYN消息,該SYN消息中攜帶FTPS 端口信息和FTPS客戶端的IP地址�;
步驟602���、網(wǎng)關(guān)設(shè)備從SYN消息攜帶的FTPS端口信息解析出協(xié)議類型為 FTPS協(xié)議,并查詢出預(yù)先配置的協(xié)議類型中包括FTPS協(xié)議�;
即識(shí)別出的FTPS協(xié)議屬于需要進(jìn)行全連接攻擊檢測(cè)的范圍。
其中FTPS端口信息可以為默i^的端口 21�����,也可以采用用戶自定義的端 口信息����。
步驟603�����、網(wǎng)關(guān)設(shè)備判斷出設(shè)置的白名單和黑名單中均不包括客戶端的 IP地址信息���;
步驟604�����、網(wǎng)關(guān)設(shè)備向FTPS客戶端發(fā)送SYN-ACK消息�; 步驟605����、 FTPS客戶端向網(wǎng)關(guān)設(shè)備返回ACK消息�; 從而FTPS客戶端與網(wǎng)關(guān)設(shè)備建立TCP連接����。
步驟606、網(wǎng)關(guān)設(shè)備將FTPS客戶端的IP地址添加到老化表中�����,并設(shè)定 老化時(shí)間����,該老化時(shí)間即為靜默時(shí)間;
步驟607�、網(wǎng)關(guān)設(shè)備在老化時(shí)間內(nèi)檢測(cè)出未接收到FTPS客戶端發(fā)送的數(shù) 據(jù)包;
步驟608�����、網(wǎng)關(guān)設(shè)備向FTPS客戶端發(fā)送版本數(shù)據(jù)包ftp version; ftp version為FTPS協(xié)議中的數(shù)據(jù)包���;步驟609�����、網(wǎng)關(guān)設(shè)備預(yù)先設(shè)置設(shè)定時(shí)間�����;
步驟610���、網(wǎng)關(guān)設(shè)備在設(shè)定時(shí)間內(nèi)接收到FTPS客戶端發(fā)送的數(shù)據(jù)包��; 步驟611 ����、網(wǎng)關(guān)設(shè)備根據(jù)FTPS協(xié)議報(bào)文對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證并驗(yàn)證成功�����; 該FTPS協(xié)議報(bào)文為FTPS協(xié)議中的USER Command消息�; 網(wǎng)關(guān)設(shè)備可根據(jù)USER Co隨and消息對(duì)接收的數(shù)據(jù)包進(jìn)行驗(yàn)證�,如果數(shù)據(jù)
包與USER Command消息一致,則-驗(yàn)i正成功�;如果凝:據(jù)包與USER Command消
息不一致,則驗(yàn)證失敗�����。換言之,在驗(yàn)證成功的情況下����,F(xiàn)TPS客戶端發(fā)送的
數(shù)據(jù)包就是USER Command消息。
步驟612��、網(wǎng)關(guān)設(shè)備識(shí)別出TCP連接為正常連接���,將FTPS客戶端的地址
信息加入白名單�����;
步驟613�����、網(wǎng)關(guān)設(shè)備向FTPS客戶端返回RST消息�����,以斷開與HTTPS客戶 端的TCP連接�����;
步驟614���、 FTPS客戶端通過(guò)網(wǎng)關(guān)設(shè)備向FTPS服務(wù)器發(fā)送SYN消息��; 網(wǎng)關(guān)設(shè)備查詢出白名單中包括SYN消息中攜帶的客戶端的IP地址�,則將
SYN消息轉(zhuǎn)發(fā)給FTPS服務(wù)器����。
步驟615、 FTPS服務(wù)器通過(guò)網(wǎng)關(guān)設(shè)備向FTPS客戶端發(fā)送SYN-ACK消息��; 步驟616��、 FTPS客戶端向通過(guò)網(wǎng)關(guān)設(shè)備向FTPS服務(wù)器返回ACK消息�,從
而與FTPS服務(wù)器建立TCP連接;
步驟617�����、 FTPS客戶端通過(guò)網(wǎng)關(guān)設(shè)備與FTPS服務(wù)器進(jìn)行FTPS數(shù)據(jù)傳輸����。 在本實(shí)施例中����,如果網(wǎng)關(guān)設(shè)備根據(jù)FTPS協(xié)議報(bào)文對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證并驗(yàn)
證失敗����,則識(shí)別出TCP連接為異常連接�,并將客戶端的IP地址加入黑名單,
當(dāng)該FTPS客戶端重新向FTPS服務(wù)器發(fā)送SYN消息時(shí)�����,網(wǎng)關(guān)設(shè)備將拒絕FTPS
客戶端與FTPS服務(wù)器建立TCP連接��。
本實(shí)施例中�,如果網(wǎng)關(guān)設(shè)備在老化時(shí)間(也就是靜默時(shí)間)檢測(cè)出接收
到FTPS客戶端發(fā)送的數(shù)據(jù)包,則網(wǎng)關(guān)設(shè)備識(shí)別該TCP連接為異常連接����,并將
客戶端的IP地址加入黑名單,當(dāng)該FTPS客戶端重新向FTPS服務(wù)器發(fā)送SYN消息時(shí)�����,網(wǎng)關(guān)設(shè)備將拒絕FTPS客戶端與FTPS服務(wù)器建立TCP連接����。
圖7為本發(fā)明實(shí)施例七提供的異常連接的檢測(cè)裝置的結(jié)構(gòu)示意圖,如圖
7所示,異常連接的檢測(cè)裝置包括收發(fā)模塊111���、檢測(cè)模塊112���、驗(yàn)證模塊113
和識(shí)別模塊114,其中
收發(fā)模塊111�����,用于接收客戶端發(fā)送的連接請(qǐng)求消息����,并與該客戶端建
立TCP連接;
具體地����,收發(fā)模塊111接收客戶端發(fā)送的連接請(qǐng)求消息后向客戶端發(fā)送 連接應(yīng)答消息,并接收客戶端返回的應(yīng)答消息��,與客戶端建立TCP連接��。其 中連接請(qǐng)求消息可以為SYN消息��、連接應(yīng)答消息可以為SYN-ACK消息�,應(yīng)答 消息可以為ACK消息����。
檢測(cè)模塊112,用于在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包�; 具體地�,檢測(cè)模塊112會(huì)將檢測(cè)出接收到客戶端發(fā)送的數(shù)據(jù)包的檢測(cè)結(jié) 果發(fā)送給驗(yàn)證模塊113,或者將檢測(cè)出未接收到客戶端發(fā)送的數(shù)據(jù)包的檢測(cè) 結(jié)果發(fā)送給識(shí)別模塊114?��?梢岳斫獾氖?��,客戶端發(fā)送的數(shù)據(jù)包可以由收發(fā) 模塊lll接收。
驗(yàn)證模塊113��,用于在檢測(cè)模塊112檢測(cè)出接收到數(shù)據(jù)包時(shí)���,根據(jù)協(xié)議 報(bào)文對(duì)所接收的數(shù)據(jù)包進(jìn)行驗(yàn)證���;
具體地,驗(yàn)證模塊113可以驗(yàn)證該數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文類型是否一 致����,如果數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文類型一致,則驗(yàn)證成功���,如果數(shù)據(jù)包的內(nèi) 容與協(xié)議才艮文類型不一致�����,則驗(yàn)證失敗����。
識(shí)別模塊114,用于當(dāng)檢測(cè)模塊112檢測(cè)的結(jié)果為未接收到數(shù)據(jù)包時(shí)識(shí) 別TCP連接為異常連接���,當(dāng)在所述驗(yàn)證模塊113對(duì)所述數(shù)據(jù)包驗(yàn)證成功時(shí)識(shí) 別所述TCP連接為正常連接��、或者在所述驗(yàn)證模塊113對(duì)所述數(shù)據(jù)包驗(yàn)證失 敗時(shí)識(shí)別所述TCP連接為異常連接����。
具體地��,識(shí)別模塊114可以根據(jù)檢測(cè)模塊112的檢測(cè)結(jié)果識(shí)別TCP連接 為異常連接�。還可以根據(jù)驗(yàn)證才莫塊113的驗(yàn)證結(jié)果識(shí)別所述TCP連接是否為異常連接,具體的��,當(dāng)驗(yàn)iJMt塊113的驗(yàn)證結(jié)果為驗(yàn)證成功時(shí)識(shí)別TCP連接 為正常連接�,當(dāng)騶,證-漠塊113的驗(yàn)證結(jié)果為驗(yàn)證失敗時(shí)識(shí)別TCP連接為異常 連接�。
本實(shí)施例的技術(shù)方案中,異常連接的檢測(cè)裝置可以在設(shè)定時(shí)間內(nèi)檢測(cè)是 否接收到客戶端發(fā)送的數(shù)據(jù)包�,并根據(jù)協(xié)議報(bào)文對(duì)在設(shè)定時(shí)間內(nèi)接收的數(shù)據(jù) 包進(jìn)行驗(yàn)證,當(dāng)該客戶端向服務(wù)器發(fā)起全連接攻擊時(shí)���,異常連接的檢測(cè)裝置 能夠識(shí)別出與該客戶端建立的TCP連接為異常連接�����,從而提高了檢測(cè)全連接 攻擊的準(zhǔn)確率�����。
圖8為本發(fā)明實(shí)施例八提供的異常連接的檢測(cè)裝置的結(jié)構(gòu)示意圖���,如圖 8所示,本實(shí)施例中的異常連接的檢測(cè)裝置在圖7中實(shí)施例的基礎(chǔ)上增設(shè)了 判斷模塊115��、第一處理模塊116和第二處理模塊117�,具體的,在本發(fā)明實(shí) 施例中���,收發(fā)模塊111包括第一收發(fā)子模塊1111和第二收發(fā)子模塊1112�, 判斷模塊115包括第一判斷子模塊1151和第二判斷子模塊1152,其中
第一收發(fā)子模塊1111�,用于接收客戶端發(fā)送的連接請(qǐng)求消息��,該連接請(qǐng) 求消息攜帶有客戶端端口號(hào)信息和客戶端地址信息����;
第一判斷子模塊1151���,用于根據(jù)設(shè)置的記錄表判斷待檢測(cè)的協(xié)議類型中 是否包括所述連接請(qǐng)求消息的協(xié)議類型����,如果是�,則觸發(fā)第二判斷子模塊 1152,否則觸發(fā)第一處理才莫塊116;
具體的,所述連接請(qǐng)求消息的協(xié)議類型可以通過(guò)解析所述連接請(qǐng)求消息 中攜帶的客戶端端口號(hào)信息得到����。該設(shè)置的記錄表中包含有待檢測(cè)的協(xié)議類 型信息、可信的客戶端地址信息以及不可信的客戶端地址信息���。
第二判斷子模塊1152,用于根據(jù)設(shè)置的記錄表中的地址信息判斷是否包 括所述客戶端地址信息��,如果是則觸發(fā)第一處理模塊116��,否則觸發(fā)第二收 發(fā)模塊1112;
具體的���,記錄表中存儲(chǔ)有可信的客戶端地址信息和不可信的(或惡意的) 客戶端地址信息��,可信的客戶端地址信息為通過(guò)驗(yàn)i正的客戶端地址信息��,不可信的客戶端地址信息為未通過(guò)驗(yàn)證的客戶端地址信息。在實(shí)際應(yīng)用中記錄 表中可以包括白名單和/或黑名單����,白名單中存儲(chǔ)的是可信的客戶端地址信 息,黑名單中存儲(chǔ)的是惡意的客戶端地址信息�����。
第二收發(fā)模塊1112�����,用于與所述客戶端建立TCP連接����,并觸發(fā)檢測(cè)模塊
113;
也就是說(shuō),此時(shí)�,由該異常連接的檢測(cè)裝置代替服務(wù)器與所述客戶端建 立TCP連接,從而啟動(dòng)對(duì)該客戶端的驗(yàn)證過(guò)程�����。
檢測(cè)模塊112,用于檢測(cè)在設(shè)定時(shí)間內(nèi)是否接收到客戶端發(fā)送的數(shù)據(jù)包, 如果是���,則觸發(fā)驗(yàn)證模塊113,否則觸發(fā)識(shí)別模塊114;
具體的��,在正常連接的情況下�,在異常連接的檢測(cè)裝置與客戶端建立TCP 連接后�,客戶端會(huì)向異常連接的檢測(cè)裝置發(fā)送數(shù)據(jù)包,因此��,檢測(cè)模塊112 可以通過(guò)在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包初步判斷該TCP 連接是否為異常連接����。
驗(yàn)證模塊113,用于根據(jù)協(xié)議報(bào)文對(duì)客戶端在設(shè)定時(shí)間內(nèi)發(fā)送的數(shù)據(jù)包 進(jìn)行驗(yàn)證����;
具體的,根據(jù)協(xié)議報(bào)文對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證具體可以為驗(yàn)證數(shù)據(jù)包的內(nèi)容 與協(xié)議報(bào)文是否一致�,如果數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文一致則驗(yàn)證成功,如果 數(shù)據(jù)包的內(nèi)容與協(xié)議報(bào)文不一致則驗(yàn)證失敗����。
識(shí)別模塊114,用于驗(yàn)證模塊113的驗(yàn)證結(jié)果以及檢測(cè)模塊112的檢測(cè) 結(jié)果識(shí)別所述TCP連接是否為異常連接����,并觸發(fā)第二處理模塊117;
具體的���,當(dāng)檢測(cè)結(jié)果112結(jié)果為在設(shè)定時(shí)間內(nèi)未接收到客戶端發(fā)送的數(shù) 據(jù)包時(shí),識(shí)別該TCP連接為異常連接�����;當(dāng)驗(yàn)證模塊113的驗(yàn)證結(jié)果為驗(yàn)證失 敗時(shí)���,識(shí)別該TCP連接為異常連接;當(dāng)驗(yàn)證模塊113的驗(yàn)證結(jié)果為驗(yàn)證成功 時(shí)�����,識(shí)別該TCP連接為正常連接���。
第一處理模塊116���,用于根據(jù)第一判斷子模塊1151的判斷結(jié)果和第二判 斷子模塊1152的判斷結(jié)果對(duì)該連接請(qǐng)求消息進(jìn)行相應(yīng)處理;具體的����,當(dāng)?shù)谝慌袛嘧幽K1151根據(jù)設(shè)置的記錄表判斷該數(shù)據(jù)包的協(xié)議 類型不是待檢測(cè)的協(xié)議類型時(shí)����,將該連接請(qǐng)求消息發(fā)送給服務(wù)器���,使服務(wù)器 與客戶端建立TCP連接�����;當(dāng)?shù)诙袛嘧幽K1152根據(jù)設(shè)置的記錄表判斷出該 客戶端地址信息為可信的客戶端地址信息時(shí)��,將該連接請(qǐng)求消息發(fā)送給服務(wù) 器�,使服務(wù)器與客戶端建立TCP連接�;當(dāng)?shù)诙袛嘧幽K1152根據(jù)設(shè)置的記 錄表判斷出該客戶端地址信息為可信的客戶端地址信息時(shí),拒絕該客戶端的 連接請(qǐng)求消息���。
第二處理模塊117,用于當(dāng)識(shí)別模塊114識(shí)別出該TCP連接為正常連接 時(shí)�����,將該客戶端地址信息存儲(chǔ)于設(shè)置的記錄表中�����,并斷開該TCP連接��;當(dāng)識(shí) 別模塊114識(shí)別出該TCP連接為異常連接時(shí)��,將該客戶端地址信息存儲(chǔ)于設(shè) 置的記錄表中���,并丟棄該TCP連接�。
具體的�����,當(dāng)識(shí)別出該TCP連接為正常連接時(shí)�����,可以向客戶端返回RST消 息����,拒絕客戶端的TCP連接����;當(dāng)識(shí)別出該TCP連接為異常連接時(shí),丟棄該TCP 連接�,從而使服務(wù)器免受該客戶端的全連接攻擊。
可以理解的是,判斷模塊115中也可以只包括第二判斷子模塊1152����,第 一處理模塊116和第二處理模塊117可以是一個(gè)模塊。
可以理解的是�,對(duì)于ftp類型數(shù)據(jù)包,進(jìn)一步地���,檢測(cè)模塊112還可以 在靜默時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包�,并將在靜默時(shí)間內(nèi)接收 到數(shù)據(jù)包的檢測(cè)結(jié)果發(fā)送給識(shí)別模塊114���,由識(shí)別模塊114識(shí)別該TCP連接 為異常連接�����;或者檢測(cè)模塊112將在靜默時(shí)間內(nèi)未接收到數(shù)據(jù)包的檢測(cè)結(jié)果 發(fā)送給收發(fā)模塊111���,由收發(fā)模塊111向客戶端發(fā)送版本數(shù)據(jù)包,并由檢測(cè) 模塊112在設(shè)定時(shí)間內(nèi)檢測(cè)是否接收到客戶端發(fā)送的數(shù)據(jù)包�。
本實(shí)施例的技術(shù)方案中,異常連接的檢測(cè)裝置可以在設(shè)定時(shí)間內(nèi)檢測(cè)是 否接收到客戶端發(fā)送的數(shù)據(jù)包�����,并根據(jù)協(xié)議報(bào)文對(duì)在設(shè)定時(shí)間內(nèi)接收的數(shù)據(jù) 包進(jìn)行驗(yàn)證,當(dāng)該客戶端向服務(wù)器發(fā)起全連接攻擊時(shí)�,異常連接的檢測(cè)裝置 能夠識(shí)別出與該客戶端建立的TCP連接為異常連接,從而提高了檢測(cè)全連接攻擊的準(zhǔn)確率��。
本發(fā)明實(shí)施例的技術(shù)方案可應(yīng)用于對(duì)多種協(xié)議類型的全連接攻擊進(jìn)行檢
測(cè)���,包括HTTP��、 HTTPS�����、 FTP����、 FTPS或者SSH等協(xié)議類型����。
需要說(shuō)明的是�,本發(fā)明實(shí)施例中的異常連接的檢測(cè)裝置可單獨(dú)設(shè)置,也 可設(shè)置于各種網(wǎng)關(guān)設(shè)備中�����,例如防火墻、抗DD0S設(shè)備���、統(tǒng)一威脅管理(Unified Threat Management,筒稱UTM )設(shè)備或者入侵防御系統(tǒng)(Intrusion Prevention System,筒稱IPS)設(shè)備等�����,具體不再贅述����。
程�����,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成���,所述的程序可存儲(chǔ)于 計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中���,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例 的流程���。其中��,所述的存儲(chǔ)介質(zhì)可為磁碟���、光盤�、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或F逭才;^儲(chǔ)"i己小乙體(Random Access Memory, RAM)等����。
最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn) 行限制,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明��,本領(lǐng)域的普通技 術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換�, 而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的 精神和范圍。
權(quán)利要求
1�、一種異常連接的檢測(cè)方法,其特征在于����,包括接收客戶端發(fā)送的連接請(qǐng)求消息;與所述客戶端建立TCP連接��;當(dāng)在設(shè)定時(shí)間內(nèi)未接收到所述客戶端發(fā)送的數(shù)據(jù)包時(shí)�����,識(shí)別所述TCP連接為異常連接�;當(dāng)在設(shè)定時(shí)間內(nèi)接收到所述客戶端發(fā)送的數(shù)據(jù)包時(shí)�����,則根據(jù)協(xié)議報(bào)文對(duì)所述數(shù)據(jù)包進(jìn)行驗(yàn)證,如果驗(yàn)證成功則識(shí)別所述TCP連接為正常連接����,如果驗(yàn)證失敗則識(shí)別所述TCP連接為異常連接。
2����、 根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述根據(jù)協(xié)議報(bào)文對(duì)所述 數(shù)據(jù)包進(jìn)行驗(yàn)證包括驗(yàn)證所述數(shù)據(jù)包的內(nèi)容與所述協(xié)議報(bào)文是否一致�����,如果一致則驗(yàn)證成功�, 否則驗(yàn)證失敗。
3�、 根據(jù)權(quán)利要求l所述的方法,其特征在于�����,所述連接請(qǐng)求消息攜帶客 戶端地址信息����;則所述接收客戶端發(fā)送的連接請(qǐng)求消息之后還包括判斷設(shè)置的記錄表中是否包括所述客戶端地址信息����;當(dāng)所述記錄表中未包括所述客戶端地址信息時(shí)�,執(zhí)行所述與所述客戶端 建立TCP連接的步驟;或者���,當(dāng)所述記錄表中包括所述客戶端地址信息時(shí)�����,則�,如果根據(jù)所述記錄表 判斷所述客戶端地址信息為可信的客戶端地址信息�,則將所述客戶端的連接 請(qǐng)求消息發(fā)送給服務(wù)器,使所述客戶端與服務(wù)器建立TCP連接����;如果根據(jù)所 述記錄表判斷所述客戶端地址信息為不可信的客戶端地址信息,則拒絕所述 客戶端的連接請(qǐng)求�����。
4�、 根據(jù)權(quán)利要求3所述的方法�,其特征在于��,還包括當(dāng)識(shí)別所述TCP連接為異常連接時(shí)����,將所述客戶端地址信息存儲(chǔ)于所述記錄表中�,丟棄所述TCP連接;當(dāng)識(shí)別所述TCP連接為正常連接時(shí)�,將所述客戶端地址信息存儲(chǔ)于所述 記錄表中,斷開與所述客戶端建立的TCP連接���。
5�、 一種異常連接的檢測(cè)裝置��,其特征在于���,包括收發(fā)模塊����,用于接收客戶端發(fā)送的連接請(qǐng)求消息�����,并與所述客戶端建立 TCP連接;檢測(cè)模塊����,用于檢測(cè)在設(shè)定時(shí)間內(nèi)是否接收到所述客戶端發(fā)送的數(shù)據(jù)包; 驗(yàn)證模塊��,用于當(dāng)所述檢測(cè)模塊的檢測(cè)結(jié)果為在設(shè)定時(shí)間內(nèi)接收到所述 客戶端發(fā)送的數(shù)據(jù)包時(shí)�,根據(jù)協(xié)議報(bào)文對(duì)所述數(shù)據(jù)包進(jìn)行驗(yàn)證;識(shí)別模塊��,用于當(dāng)所述檢測(cè)模塊的檢測(cè)結(jié)果為在設(shè)定時(shí)間內(nèi)未接收到所 述客戶端發(fā)送的數(shù)據(jù)包時(shí)�,識(shí)別所述TCP連接為異常連接,當(dāng)所述驗(yàn)證模塊 對(duì)所述數(shù)據(jù)包驗(yàn)證成功時(shí)識(shí)別所述TCP連接為正常連接�����、或者當(dāng)所述驗(yàn)證模 塊對(duì)所述數(shù)據(jù)包-^i正失敗時(shí)識(shí)別所述TCP連接為異常連接���。
6����、 根據(jù)權(quán)利要求5所述的裝置���,其特征在于�����,還包括判斷模塊�;所述收 發(fā)模塊包括第 一收發(fā)子模塊和第二收發(fā)子模塊���;所述第一收發(fā)子模塊�����,用于接收所述連接請(qǐng)求消息����,所述連接請(qǐng)求消息 攜帶客戶端地址信息�;所述判斷模塊,用于判斷設(shè)置的記錄表中是否包括所述第 一收發(fā)子模塊 接收的連接請(qǐng)求消息攜帶的客戶端地址信息���,當(dāng)所述記錄表中未包括所述客 戶端地址信息時(shí)���,觸發(fā)所述第二收發(fā)子模塊;所述第二收發(fā)子模塊���,用于當(dāng)所述判斷模塊判斷所述記錄表中未包括客 戶端地址信息的判斷結(jié)果時(shí)�����,與所述客戶端建立TCP連接����。
7、 根據(jù)權(quán)利要求6所述的裝置�,其特征在于,還包括 第一處理模塊��,用于當(dāng)所述判斷模塊判斷所述記錄表中包含所述客戶端地址信息時(shí)��,如果根據(jù)所述記錄表判斷所述客戶端地址信息為可信的客戶端 地址信息��,則將所述客戶端的連接請(qǐng)求消息發(fā)送給服務(wù)器���,使所述客戶端與服務(wù)器建立TCP連接��;如果根據(jù)所述記錄表判斷所ii^戶端地址信息為不可 信的客戶端地址信息�,則拒絕所述客戶端的連接請(qǐng)求����。
8���、 根據(jù)權(quán)利要求6所述的裝置,其特征在于�����,還包括 第二處理模塊�����,用于當(dāng)識(shí)別模塊識(shí)別出所述TCP連接為正常連接時(shí)�,將該客戶端地址信息存儲(chǔ)于設(shè)置的記錄表中�����,并斷開該TCP連接��;當(dāng)識(shí)別模塊 識(shí)別出所述TCP連接為異常連接時(shí)�,將該客戶端地址信息存儲(chǔ)于設(shè)置的記錄 表中,并丟棄所述TCP連接�����。
9����、 一種網(wǎng)關(guān)設(shè)備��,其特征在于����,包括權(quán)利要求5至8任一所述的異常 連接的檢測(cè)裝置����。
全文摘要
本發(fā)明實(shí)施例公開了一種異常連接的檢測(cè)方法、裝置及網(wǎng)關(guān)設(shè)備�。方法包括接收客戶端發(fā)送的連接請(qǐng)求消息;與所述客戶端建立TCP連接�����;當(dāng)在設(shè)定時(shí)間內(nèi)未接收到所述客戶端發(fā)送的數(shù)據(jù)包時(shí)�,識(shí)別所述TCP連接為異常連接;當(dāng)在設(shè)定時(shí)間內(nèi)接收到所述客戶端發(fā)送的數(shù)據(jù)包時(shí)��,則根據(jù)協(xié)議報(bào)文對(duì)所述數(shù)據(jù)包進(jìn)行驗(yàn)證����,如果驗(yàn)證成功則識(shí)別所述TCP連接為正常連接,如果驗(yàn)證失敗則識(shí)別所述TCP連接為異常連接�����。本發(fā)明實(shí)施例的技術(shù)方案中當(dāng)客戶端向服務(wù)器發(fā)起全連接攻擊時(shí),能夠識(shí)別出與該客戶端建立的TCP連接為異常連接�����,從而提高了檢測(cè)全連接攻擊的準(zhǔn)確率����。
文檔編號(hào)H04L12/56GK101594269SQ20091015103
公開日2009年12月2日 申請(qǐng)日期2009年6月29日 優(yōu)先權(quán)日2009年6月29日
發(fā)明者莉 楊, 武 蔣 申請(qǐng)人:成都市華為賽門鐵克科技有限公司