一種異常流量攻擊檢測處置的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種網(wǎng)絡(luò)攻擊檢測和防護技術(shù)��,尤其涉及一種針對低流量的應(yīng)用型 DD0S的異常流量攻擊檢測處置的方法和裝置�����。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展���,利用互聯(lián)網(wǎng)進行攻擊的行為也越來越多�����,其中,分布 式拒絕服務(wù)(DD0S)攻擊就是一種常見的攻擊手段���,其共同的特征就是利用協(xié)議漏洞�,并通 過很多偽造的"僵尸主機"向受害目標(biāo)主機發(fā)送大量看似合法的網(wǎng)絡(luò)包�����,從而導(dǎo)致網(wǎng)絡(luò)阻塞 或目標(biāo)服務(wù)器資源耗盡而導(dǎo)致服務(wù)不可用��。DD0S攻擊的手段和表現(xiàn)形式很多��,主要分為流 量型和應(yīng)用型��,其中流量型DD0S攻擊(針對傳送控制協(xié)議的TCP Flood�、針對用戶數(shù)據(jù)報協(xié) 議的UDP Flood、針對控制報文協(xié)議的ICMP Flood等)主要是一些常見的UDP和TCP Flood 包���,協(xié)議特征明顯較容易檢測和過濾�。
[0003] 而應(yīng)用型DD0S攻擊(包括針對DNS服務(wù)器的DNS FLOOD�����、針對系統(tǒng)漏洞的CC攻擊、針 對WEB應(yīng)用的HTTP FLOOD等)由于具有流量小����、速度慢、很容易混雜在正常應(yīng)用訪問中難以 甄別和防護����,處理效率和檢測準(zhǔn)確率是衡量該項攻防技術(shù)的關(guān)鍵指標(biāo)。其流量特征如圖2所 示����,實線陰影部分表示一個具有周期統(tǒng)計特性的正常流量,統(tǒng)計周期為T�,虛線表示異常流 量,其中�����,(Mi����、M 2……Mk)為將周期T分為K份采樣量化得到的流量數(shù)值序列。
[0004] 目前����,針對應(yīng)用型DD0S攻擊的異常流量檢測技術(shù)較少而且實現(xiàn)復(fù)雜���,存在以下一 個或多個缺點:基于流量FLOW統(tǒng)計的的檢測和防御攻擊��,其精度性不高��,沒法深入到應(yīng)用協(xié) 議本身;僅針對單個IP攻擊檢測及過濾方法���,在大量新偽造來訪IP中將嚴重失效��;目前常用 的單純針對IP流量面積來判斷異常攻擊的檢測過濾方法����,在有大流量的正常應(yīng)用行為(如 DNS查詢�����、WEB訪問等)存在時�,誤判增多方法失效;而針對DNS服務(wù)器查詢?nèi)罩镜男袨樽R別方 法,需要額外的與DNS服務(wù)器交互信息���,實現(xiàn)和部署不便��,且不夠?qū)崟r���。
【發(fā)明內(nèi)容】
[0005] 鑒于上述不足�����,本發(fā)明提供一種異常流量攻擊檢測處置的方法和裝置��,提高異常 行為的處理效率和檢測準(zhǔn)確率�,快速檢測和處理異常攻擊流量而且不能影響正常的流量訪 問�����。
[0006] 為了解決上述技術(shù)問題����,本發(fā)明采用的技術(shù)方案如下:
[0007] -種異常流量攻擊檢測處置的方法,步驟包括:
[0008] 1)過濾來訪IP地址的已知的異常流量和正常流量�����;
[0009] 2)根據(jù)通過的來訪IP地址的當(dāng)前流量數(shù)值與流量TOP N動態(tài)過濾表中對應(yīng)的流量 模板數(shù)值區(qū)分出所述通過的來訪IP地址中的異常流量和正常流量���;
[0010] 3)丟棄異常流量��,轉(zhuǎn)發(fā)正常流量����。
[0011] 進一步地,步驟1)所述已知的異常流量為IP地址在黑名單中的流量���;已知的正常 流量為IP地址在白名單中的流量。
[0012] 進一步地�,所述流量TOP N動態(tài)過濾表為鏈表,其信息根據(jù)歷史訪問流量從大到小 依次排序建立���,包括:
[0013] 1……N+M行IP信息鏈表�,每行IP信息鏈表包括IP地址��、歷史訪問流量統(tǒng)計和流量 模板����,該流量模板包括全部時間節(jié)點的流量模板數(shù)值,這些數(shù)值是根據(jù)該IP地址的歷史訪 問流量通過自學(xué)習(xí)算法得到�����;
[0014] 鏈表E���,其IP地址和歷史訪問流量統(tǒng)計為空��,其流量平均模板EQ包括全部節(jié)點的流 量模板數(shù)值���,這些數(shù)值是對應(yīng)時間節(jié)點的所有非TOP N歷史訪問流量(即不在流量TOP N動 態(tài)過濾表的N+M行中的來訪IP地址的歷史訪問流量)統(tǒng)計平均值���。
[0015] 進一步地,所述流量TOP N動態(tài)過濾表通過自動排序更新���,或通過人工手動添加���、 刪除或調(diào)整數(shù)值進行更新。
[0016] 進一步地����,所述步驟2)為,根據(jù)預(yù)先設(shè)定的時間窗口周期及當(dāng)前流量所處的時間 節(jié)點���,判斷所述IP地址是否在流量TOP N動態(tài)過濾表的前N中���,如果在,將當(dāng)前流量數(shù)值與對 應(yīng)流量模板的該時間節(jié)點的流量模板數(shù)值作比較運算��;如果不在,將當(dāng)前流量數(shù)值與平均 流量模板EQ的該時間節(jié)點的流量模板數(shù)值作比較運算�,以區(qū)分異常流量和正常流量。
[0017] 進一步地�����,所述比較運算是指����,根據(jù)當(dāng)前流量的時間節(jié)點k�����,取當(dāng)前流量數(shù)值X(k)�, 并檢索到該時間節(jié)點的流量模板數(shù)值1(1〇,判斷X(k)/M n(k)與預(yù)設(shè)閾值0的大小,如果X (k)/Mn(k)>0�,則判定該流量為異常流量,如果1〇((1〇/^1(1〇〈0����,則判定為疑似流量;
[0018] 對于疑似流量�,根據(jù)當(dāng)前流量模板,往后取I個流量數(shù)值X(k+1)……X(k+I)����,并檢 索對應(yīng)的流量模板數(shù)值1仏+1)……M n(k+I)��,如果X(k)/Mn(k)+X(k+1)/Mn(k+1)+……+X(k+ I) /Mn(k+I) >0�,則判定為異常流量���,否則為正常流量��。
[0019] 進一步地��,所述預(yù)設(shè)閾值B = 3��,I = 5�����。
[0020] 進一步地���,將步驟2)區(qū)分出的正常流量通過自學(xué)習(xí)算法進行流量學(xué)習(xí),更新流量 TOP N動態(tài)過濾表中相應(yīng)的流量模板數(shù)值����。
[0021] 進一步地,所述自學(xué)習(xí)算法為: r n jK倉)』
[0022]
[0028] 一處理單元��,轉(zhuǎn)發(fā)正常流量和丟棄異常流量。
[0029] 本發(fā)明提供了一種異常流量攻擊檢測處置的方法和裝置���,與其它檢測方法相比�����, 本發(fā)明最大的特點是通過靜態(tài)與動態(tài)結(jié)合的方式���,采用一個動態(tài)更新的流量TOP N動態(tài)過 濾表來對異常流量進行動態(tài)過濾,通過查表的動態(tài)過濾方式能夠快速甄別出異常流量�,而 通過流量數(shù)值與流量TOP N動態(tài)過濾表中相應(yīng)的流量模板數(shù)值的比較運算判定異常的方法 提高了檢測異常流量的準(zhǔn)確率,確保將異常攻擊從正常訪問行為中甄別出來�����,相比其它基 于FLOW統(tǒng)計的DD0S攻擊檢測方法具有識別精度更高���、處理速度更快而且實現(xiàn)復(fù)雜度較低的 特點。
【附圖說明】
[0030] 圖1為實施例中一種異常流量攻擊檢測處置方法流程圖����。
[0031 ]圖2為異常流量和流量模板示意圖。
[0032]圖3為實施例中一種異常流量攻擊檢測處置的裝置結(jié)構(gòu)示意圖��。
[0033]圖4為流量自學(xué)習(xí)方法示意圖。
【具體實施方式】
[0034]為使本發(fā)明的上述特征和優(yōu)點能更明顯易懂�,下文特舉實施例,并配合所附圖作 詳細說明如下��。
[0035]本實施例提供一種異常流量攻擊檢測處置的方法���,如圖1所示���,詳細步驟如下: [0036] 步驟S101:監(jiān)視來訪IP的訪問請求。
[0037]步驟S102:判斷IP地址是否在系統(tǒng)白名單中�,如果是,則進入步驟S109直接轉(zhuǎn)發(fā)請 求;如果否���,則進入步驟S103�。
[0038] 步驟S103:判斷IP地址是否在系統(tǒng)黑名單中��,如果是���,則進入步驟S108直接丟棄該 流量;如果否����,則進入步驟S104�����。
[0039] 步驟S104:判斷源地址IP是否在流量TOP N動態(tài)過濾表的TOP N排序中。
[0040] 本步驟的細化如下:
[0041]第一步:根據(jù)預(yù)設(shè)的時間分段模式獲得當(dāng)前時間所屬時間節(jié)點���。由于應(yīng)用流量的 訪問行為通常具有很強的周期性(天/周)�,故采用24*m小時作為當(dāng)前的周期��,計算當(dāng)前時間 所屬時間段��,當(dāng)然可以根據(jù)實際應(yīng)用場景需要變換m的數(shù)值加大這個周期長度���,這里采用當(dāng) 前時間/24*m來獲得來訪IP所屬時間節(jié)點k�。
[0042] 第二步:自動加載當(dāng)前流量TOP N動態(tài)過濾表����,流量TOP N動態(tài)過濾表可以通過鏈 表來實現(xiàn),具體內(nèi)容如下表1所示:
[0044] 表 1
[0045] 該流量TOP N動態(tài)過濾表內(nèi)容包含了從1……N+M個有記錄的流量排序最靠前的IP 信息鏈表���,按照歷史流量從大到小依次排序,其中排序為n的一個鏈表的內(nèi)容包括:IP地址 XXX ? XXX ? XXX ? XXX���、歷史訪問流量統(tǒng)計XX����、流量模板Rn= (Mn( 1)、Mn(2)��、Mn(3)......Mn(k);流量 模板為該表項的主要內(nèi)容�����,如果將一個特定流量周期的時間分成K份���,則Mn(k)表示時間點k 上該IP地址在該時間段里歷史流量的特征值�����,稱作流量模板數(shù)值���,這個值是由周期統(tǒng)計特 性的歷史流量最大期望值,計算方法由自學(xué)習(xí)算法來不斷的動態(tài)更新�����。在實際應(yīng)用中����,應(yīng)用 流量的訪問行為通常具有很強的周期性(天/周)���,這是采用該算法的關(guān)鍵所在。
[0046]此外��,流量TOP N動態(tài)過濾表內(nèi)容還包含了鏈表E��,它的IP地址和歷史訪問累計數(shù) 為空�����,其流量平均模板EQ= (E( 1)���、E(2)�����、E(3)……E(k))中的每個節(jié)點的流量模板數(shù)值是所 有非TOP N歷史訪問流量在該時間點的統(tǒng)計平均值��,例如將一個特定流量周期的時間分成K 份��,則Ek表示時間點k內(nèi)所有正常流量在該時間段的特征值�,實際就是歷史流量的求和平均 值�,這也是很多其它流量檢測方法采用的最常見的方式���。
[0047] 流量TOP N動態(tài)過濾表由自學(xué)習(xí)得到�����,也允許人工調(diào)整和修正流量TOP N動態(tài)過濾 表�����,具備較大的人工操作空間����。
[0048]第三步:自動加載當(dāng)前流量TOP N動態(tài)過濾表,根據(jù)歷史流量統(tǒng)計實時更新排列順 序���,其中排列順序的更新依據(jù)是IP地址的歷史訪問流量統(tǒng)計����,前N個IP信息鏈表的具體排序 說明如下:參考所有的IP地址歷史訪問流量統(tǒng)計���,如果當(dāng)前IP地址的歷史訪問流量統(tǒng)計數(shù) 超過排序第N個的IP地址時�,則將該IP地址的相關(guān)信息替換第N個IP信息鏈表中�,對應(yīng)的第k 個流量模板數(shù)值直接取流量平均模板EQ中第k個值Mn(k) =E(k),此外將第N個排序的原IP 信息鏈表往下移一列�,進入到由M個緩沖記錄組成的潛在IP信息鏈表中���。
[0049]更新流量TOP N動態(tài)過濾表中鏈表對應(yīng)的流量模板數(shù)值,具體說明如下:對每個來 訪的IP地址�����,當(dāng)IP地址在流量排序前N+M個表中第n行�,而且已經(jīng)判定了該流量數(shù)值為正常 流量,則將該流量數(shù)值R作為一個輸入更新第n行對應(yīng)時間點k的流量模板數(shù)值M n(k)����,方法 由自學(xué)習(xí)算法來更新。當(dāng)?shù)刂凡辉诹髁颗判蚯癗+M個表中���,而且判定一條流量為普通正常流 量���,則將該流量作為一個輸入值X (k)與流量平均模板對應(yīng)時間點k的流量模板數(shù)值E (k)做 平均運算,得到新的流量模板數(shù)值Enew(k)并更新到信息鏈表中�����,方法同樣由自學(xué)習(xí)算法E new (k) = [E0id(k)+b(k)*X(k) ]/2〇
[0050]這里可以看到�,流量TOP N動態(tài)過濾表過濾的方法與攻擊檢測方法不同,本方法采 用快速查詢動態(tài)表的方式,并沒有復(fù)雜的邏輯處理和判斷�,實現(xiàn)了 IP訪問情況的快速處理 和轉(zhuǎn)發(fā),不會引起因應(yīng)用訪問的時延而影響訪問體驗���。方法處理的精度主要取決于參數(shù)N、M 和K的設(shè)