會話處理方法及裝置的制造方法
【專利摘要】本申請?zhí)峁┮环N會話處理方法及裝置,應用于網(wǎng)絡安全設備上�����,該方法包括:計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率���;當所述數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時�����,斷開所述數(shù)據(jù)報文對應的會話連接�。本申請充分利用慢速攻擊報文的特點���,快速準確地識別出慢速攻擊報文�����,該識別方法更加靈活�,不受限于具體的報文特征���,便于維護,同時�,提高了對慢速攻擊報文的處理效率����。
【專利說明】
會話處理方法及裝置
技術領域
[0001]本申請涉及網(wǎng)絡通信技術領域���,尤其涉及會話處理方法及裝置。
【背景技術】
[0002]隨著網(wǎng)絡的高速發(fā)展�,網(wǎng)絡安全問題也日漸增多。DDoS(Distributed Denial ofService,分布式拒絕服務)攻擊是目前最強大����、最難防御的攻擊之一,其主要目的是讓指定目標無法提供正常服務����。以往的DDoS攻擊主要以單一報文的大流量攻擊為主,近幾年來已演變?yōu)槁俟?��,該慢速攻擊更具有隱蔽性����,是對正常網(wǎng)絡協(xié)議的變形��,完全符合協(xié)議要求��,因此,對慢速攻擊的防護更加困難�����。
[0003]現(xiàn)有技術方案利用慢速攻擊工具在報文的特定字節(jié)進行固定填充的特性�����,建立慢速攻擊特征庫���。將接收的報文與特征庫比對���,若匹配成功,說明該報文為慢速攻擊報文��,中斷連接��。但是該技術方案不夠靈活���,若慢速攻擊工具升級�,特定字節(jié)或固定填充內容發(fā)生變化�,則無法避免攻擊。
【發(fā)明內容】
[0004]有鑒于此���,本申請?zhí)峁┝艘环N會話處理方法���,應用于網(wǎng)絡安全設備上,該方法包括:
[0005]計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率�����;
[0006]當所述數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時����,斷開所述數(shù)據(jù)報文對應的會話連接。
[0007]本申請還提供了一種會話處理裝置�,應用于網(wǎng)絡安全設備上,該裝置包括:
[0008]計算單元����,用于計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率;
[0009]斷開單元���,用于當所述數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時���,斷開所述數(shù)據(jù)報文對應的會話連接。
[0010]本申請中網(wǎng)絡安全設備計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率��,當該數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時,斷開該數(shù)據(jù)報文對應的會話連接�����。本申請充分利用了慢速攻擊報文的特點��,即慢速攻擊報文的發(fā)送速率遠低于正常數(shù)據(jù)報文的發(fā)送速率���,且慢速攻擊報文中的數(shù)據(jù)長度較小��,從而更加快速準確地識別出慢速攻擊報文����,該識別方法更加靈活�,不受限于具體的報文特征,便于維護�����,同時���,提高了對慢速攻擊報文的處理效率����。
【附圖說明】
[0011]圖1是本申請一種實施例中會話處理方法的處理流程圖;
[0012]圖2是本申請一種實施例中會話處理裝置的基礎硬件示意圖�����;
[0013]圖3是本申請一種實施例中會話處理裝置的結構示意圖����。
【具體實施方式】
[0014]為使本申請的目的�、技術方案及優(yōu)點更加清楚明白,以下參照附圖對本申請所述方案作進一步地詳細說明���。下面的描述涉及附圖時�����,除非另有表示����,不同附圖中的相同數(shù)字表示相同或相似的要素���。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式���。相反��,它們僅是與如所附權利要求書中所詳述的��、本申請的一些方面相一致的裝置和方法的例子�����。
[0015]在本申請使用的術語是僅僅出于描述特定實施例的目的�,而非旨在限制本申請��。在本申請和所附權利要求書中所使用的單數(shù)形式的“一種”���、“所述”和“該”也旨在包括多數(shù)形式�,除非上下文清楚地表示其他含義�����。還應當理解�����,本文中使用的術語“和/或”是指并包含一個或多個相關聯(lián)的列出項目的任何或所有可能組合��。
[0016]應當理解,盡管在本申請可能采用術語第一�、第二、第三等來描述各種信息����,但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區(qū)分開���。例如,在不脫離本申請范圍的情況下���,第一信息也可以被稱為第二信息����,類似地�,第二信息也可以被稱為第一信息。取決于語境�����,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”����。
[0017]隨著網(wǎng)絡的高速發(fā)展,網(wǎng)絡安全問題也日漸增多。DDoS攻擊是目前最強大����、最難防御的攻擊之一,其主要目的是讓指定目標無法提供正常服務����。目前比較流行的DDoS慢速攻擊具有極強的隱蔽性,主要針對特定的應用或者服務讓服務器保持會話連接狀態(tài)��,當大量的惡意會話建立連接而不釋放時�����,將造成系統(tǒng)資源耗盡�,最終導致拒絕服務。該慢速攻擊不同于以往的單一報文的大流量攻擊����,而是采取對正常網(wǎng)絡協(xié)議變形的方式,從表面看完全符合協(xié)議要求�����,因此���,增加了慢速攻擊的防護難度��。
[0018]現(xiàn)有技術方案利用慢速攻擊工具在報文的特定字節(jié)進行固定填充的特性���,建立慢速攻擊特征庫�����。將接收的報文與特征庫比對�����,若匹配成功,說明該報文為慢速攻擊報文�����,中斷對應的會話連接�����。但是該技術方案不夠靈活��,若慢速攻擊工具升級��,特定字節(jié)或固定填充內容發(fā)生變化,則慢速攻擊無法避免����,大量惡意會話建立導致系統(tǒng)資源耗盡,服務器無法繼續(xù)提供服務����。
[0019]針對上述問題,本申請實施例提出一種會話處理的方法�,該方法中網(wǎng)絡安全設備計算接收到的屬于同一會話的數(shù)據(jù)報文的發(fā)送速率,當該數(shù)據(jù)報文的發(fā)送速率小于預設的報文速率閾值時�����,斷開該數(shù)據(jù)報文對應的會話連接�。
[0020]本申請實施例以常見的兩種慢速攻擊類型Slowloris攻擊和Slow HTTP Post攻擊為例介紹會話處理過程。首先�,簡單介紹一下兩種慢速攻擊原理:Slowloris攻擊表現(xiàn)為攻擊設備以極低的速度向服務器發(fā)送HTTP請求報文,該HTTP請求報文以一個\r\n結束(完整的HTTP請求報文以\r\n\r\n結束��,以表示客戶端設備數(shù)據(jù)發(fā)送完畢)����,且數(shù)據(jù)長度較短,通過周期發(fā)送以保持會話連接狀態(tài)���;Slow HTTP Post攻擊表現(xiàn)為在Post報文的數(shù)據(jù)總長度字節(jié)填充一個很大的值��,但在實際傳輸時Post報文攜帶的數(shù)據(jù)長度卻很短���,同樣通過周期發(fā)送����,保持會話連接�����。
[0021]參見圖1����,為本申請會話處理方法的一個實施例流程圖,具體處理過程如下:
[0022]步驟110��,計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率��。
[0023]在網(wǎng)絡安全設備中可以根據(jù)需要防護的慢速攻擊類型進行配置���,假設,網(wǎng)絡安全設備配置為只針對Slowloris攻擊和Slow HTTP Post攻擊進行檢查和防護�,則網(wǎng)絡安全設備在接收到數(shù)據(jù)報文時�,若該數(shù)據(jù)報文為HTTP請求報文����,且以一個\r\n結尾,可初步判斷該數(shù)據(jù)報文為疑似慢速攻擊報文����;或者該數(shù)據(jù)報文為Post報文,且該Post報文滿足下述條件:發(fā)送該Post報文的客戶端設備與服務器建立連接后��,客戶端設備發(fā)送的首個Post報文中的數(shù)據(jù)總長度(位于Post報文中的Content-Length字段中)大于預設的數(shù)據(jù)長度閾值����,則該首個Post報文及后續(xù)Post報文可初步判斷為疑似慢速攻擊報文,其中���,數(shù)據(jù)長度閾值可根據(jù)服務器的性能由用戶自行配置�。
[0024]通過上述處理可以排除大量正常的數(shù)據(jù)報文����,對于初步確定為疑似慢速攻擊報文的數(shù)據(jù)報文還需要進一步排查。首先���,從數(shù)據(jù)報文中獲取源IP地址��,判斷該源IP地址是否命中網(wǎng)絡安全設備中預存的黑名單表項�����,該黑名單表項中保存了當前已被確認為慢速攻擊設備的IP地址����,網(wǎng)絡安全設備根據(jù)判斷結果分為以下兩種情況處理。
[0025]當獲取的源IP地址命中黑名單表項時��,說明發(fā)送該數(shù)據(jù)報文的客戶端設備早已被作為慢速攻擊設備列入黑名單��,因此�,網(wǎng)絡安全設備向客戶端設備以及服務器發(fā)送復位報文,以斷開此次連接����。
[0026]當獲取的源IP地址未命中黑名單表項時,說明發(fā)送數(shù)據(jù)報文的客戶端設備還未確認為慢速攻擊設備��,則查詢是否存在該數(shù)據(jù)報文對應的會話表項����。根據(jù)查詢結果進行如下處理:
[0027]當不存在該數(shù)據(jù)報文對應的會話表項時����,創(chuàng)建該數(shù)據(jù)報文對應的會話表項��,并記錄該會話表項的創(chuàng)建時間��。
[0028]當存在該數(shù)據(jù)報文對應的會話表項時�����,累積該數(shù)據(jù)報文中的數(shù)據(jù)長度�����,判斷當前時間與會話表項的創(chuàng)建時間的時間差值是否達到預設的報文檢測時長�����,該報文檢測時長可根據(jù)服務器的性能由用戶自行配置��,報文檢測時長越長����,對慢速攻擊的判斷越準確��,但同時會造成對慢速攻擊的防御不及時,因此����,需要綜合考慮選擇一個合理的值。當時間差值達到報文檢測時長時�����,利用累積的數(shù)據(jù)長度除以時間差值得到數(shù)據(jù)的發(fā)送速率��。
[0029]步驟120����,當所述數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時,斷開所述數(shù)據(jù)報文對應的會話連接�。
[0030]當計算的數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時,可以判定屬于當前會話的數(shù)據(jù)報文為慢速攻擊報文�����,此處正是利用了慢速攻擊報文發(fā)送時間間隔較大且報文中的數(shù)據(jù)長度較小的特點�,因此,計算得到的慢速攻擊報文的數(shù)據(jù)發(fā)送速率一定小于正常報文的數(shù)據(jù)發(fā)送速率����。其中����,預設的數(shù)據(jù)速率閾值可以結合服務器性能以及正常報文的數(shù)據(jù)發(fā)送速率由用戶自行設置�����。網(wǎng)絡安全設備在確定當前數(shù)據(jù)報文為慢速攻擊報文后�����,向發(fā)送該數(shù)據(jù)報文的客戶端設備以及服務器發(fā)送復位報文����,以中斷會話連接�����,刪除對應的會話表項����。
[0031]此外,網(wǎng)絡安全設備在確定數(shù)據(jù)報文為慢速攻擊報文時���,可以從數(shù)據(jù)報文中獲取發(fā)送數(shù)據(jù)報文的客戶端設備的源IP地址���,將該源IP地址添加到黑名單中�����,以便網(wǎng)絡安全設備在接收到新的數(shù)據(jù)報文時��,首先通過黑名單匹配���,若相同,則可直接判定數(shù)據(jù)報文為慢速攻擊報文�����,直接中斷連接���,無需后續(xù)處理��,提高網(wǎng)絡設備對慢速攻擊的防御速度����。
[0032]同時�����,可預設黑名單老化時長,當黑名單表項的生存時長達到預設的黑名單老化時長����,則刪除對應的黑名單表項,避免無用表項長期占用內存��,也有利于根據(jù)網(wǎng)絡運行情況及時更新黑名單��。
[0033]與前述會話處理方法的實施例相對應�,本申請還提供會話處理裝置的實施例���。
[0034]本申請會話處理裝置的實施例可以應用在網(wǎng)絡安全設備上��。裝置實施例可以通過軟件實現(xiàn)�,也可以通過硬件或者軟硬件結合的方式實現(xiàn)�。以軟件實現(xiàn)為例,作為一個邏輯意義上的裝置�,是通過其所在設備的CPU將非易失性存儲器中對應的計算機程序指令讀取到內存中運行形成的。從硬件層面而言���,如圖2所示����,為本申請會話處理裝置所在設備的一種硬件結構圖,除了圖2所示的CPU���、內存以及非易失性存儲器之外����,實施例中裝置所在的設備通常還可以包括其他硬件�。
[0035]請參考圖3,為本申請一個實施例中的會話處理裝置的結構示意圖��。該會話處理裝置包括:計算單元301和斷開單元302���,其中:
[0036]計算單元301�,用于計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率;
[0037]斷開單元302�,用于當所述數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時,斷開所述數(shù)據(jù)報文對應的會話連接���。
[0038]進一步地����,所述會話處理裝置還包括:
[0039]獲取單元�,用于在所述計算單元301計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率之前,獲取所述數(shù)據(jù)報文的源IP地址��;
[0040]判斷單元,用于判斷所述源IP地址是否命中預存的黑名單表項�����;
[0041]處理單元�����,用于當所述源IP地址命中所述黑名單表項時����,斷開所述數(shù)據(jù)報文對應的連接�。
[0042]進一步地,所述會話處理裝置還包括:
[0043]所述處理單元�,還用于當所述源IP地址未命中所述黑名單表項時,查詢是否存在所述數(shù)據(jù)報文對應的會話表項�����;當不存在所述數(shù)據(jù)報文對應的會話表項時���,創(chuàng)建所述數(shù)據(jù)報文對應的會話表項�;記錄所述會話表項的創(chuàng)建時間����;當存在所述數(shù)據(jù)報文對應的會話表項時��,累積所述數(shù)據(jù)報文中的數(shù)據(jù)長度���;
[0044]所述計算單元301,具體用于判斷當前時間與所述會話表項的創(chuàng)建時間的時間差值是否達到預設的報文檢測時長��;當所述時間差值達到所述報文檢測時長時��,根據(jù)累積的數(shù)據(jù)長度以及所述時間差值計算所述數(shù)據(jù)的發(fā)送速率����。
[0045]進一步地,所述會話處理裝置還包括:
[0046]創(chuàng)建單元�,用于在所述斷開單元302斷開所述數(shù)據(jù)報文對應的會話連接之后,獲取所述數(shù)據(jù)報文中的源IP地址���;根據(jù)所述源IP地址創(chuàng)建黑名單表項���。
[0047]進一步地,所述會話處理裝置還包括:
[0048]刪除單元��,用于獲取預設的黑名單老化時長;當所述黑名單表項的生存時長達到預設的黑名單表項老化時長時��,刪除對應的黑名單表項����。
[0049]上述圖3示出的會話處理裝置的實施例,其具體實現(xiàn)過程可參見前述方法實施例的說明���,在此不再贅述����。
[0050]從以上方法和裝置的實施例中可以看出��,本申請中網(wǎng)絡安全設備計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率�����,當該數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時�,斷開該數(shù)據(jù)報文對應的會話連接����。本申請充分利用了慢速攻擊報文的特點,即慢速攻擊報文的發(fā)送速率遠低于正常數(shù)據(jù)報文的發(fā)送速率�����,且慢速攻擊報文中的數(shù)據(jù)長度較小,從而更加快速準確地識別出慢速攻擊報文��,該識別方法更加靈活�,不受限于具體的報文特征,便于維護�����,同時����,提高了對慢速攻擊報文的處理效率。
[0051]以上所述僅為本申請的較佳實施例而已�����,并不用以限制本申請�����,凡在本申請的精神和原則之內����,所做的任何修改、等同替換、改進等�,均應包含在本申請保護的范圍之內。
【主權項】
1.一種會話處理方法����,應用于網(wǎng)絡安全設備上,其特征在于�,該方法包括: 計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率; 當所述數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時�,斷開所述數(shù)據(jù)報文對應的會話連接。2.如權利要求1所述的方法���,其特征在于���,所述計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率之前,還包括: 獲取所述數(shù)據(jù)報文的源IP地址����; 判斷所述源IP地址是否命中預存的黑名單表項�����; 當所述源IP地址命中所述黑名單表項時��,斷開所述數(shù)據(jù)報文對應的連接。3.如權利要求2所述的方法��,其特征在于�,所述方法還包括: 當所述源IP地址未命中所述黑名單表項時,查詢是否存在所述數(shù)據(jù)報文對應的會話表項���; 當不存在所述數(shù)據(jù)報文對應的會話表項時�����,創(chuàng)建所述數(shù)據(jù)報文對應的會話表項�;記錄所述會話表項的創(chuàng)建時間��; 當存在所述數(shù)據(jù)報文對應的會話表項時�����,累積所述數(shù)據(jù)報文中的數(shù)據(jù)長度���; 所述計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率�,具體包括: 判斷當前時間與所述會話表項的創(chuàng)建時間的時間差值是否達到預設的報文檢測時長; 當所述時間差值達到所述報文檢測時長時���,根據(jù)累積的數(shù)據(jù)長度以及所述時間差值計算所述數(shù)據(jù)的發(fā)送速率��。4.如權利要求1所述的方法��,其特征在于���,所述斷開所述數(shù)據(jù)報文對應的會話連接之后�,還包括: 獲取所述數(shù)據(jù)報文中的源IP地址�����; 根據(jù)所述源IP地址創(chuàng)建黑名單表項����。5.如權利要求4所述的方法,其特征在于����,所述方法還包括: 獲取預設的黑名單老化時長; 當所述黑名單表項的生存時長達到預設的黑名單表項老化時長時���,刪除對應的黑名單表項����。6.一種會話處理裝置��,應用于網(wǎng)絡安全設備上�����,其特征在于��,該裝置包括: 計算單元���,用于計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率���; 斷開單元,用于當所述數(shù)據(jù)的發(fā)送速率小于預設的數(shù)據(jù)速率閾值時���,斷開所述數(shù)據(jù)報文對應的會話連接�����。7.如權利要求6所述的裝置�����,其特征在于���,所述裝置還包括: 獲取單元���,用于在所述計算單元計算接收到的屬于同一會話的數(shù)據(jù)報文中的數(shù)據(jù)的發(fā)送速率之前,獲取所述數(shù)據(jù)報文的源IP地址����; 判斷單元,用于判斷所述源IP地址是否命中預存的黑名單表項��; 處理單元���,用于當所述源IP地址命中所述黑名單表項時��,斷開所述數(shù)據(jù)報文對應的連接�����。8.如權利要求7所述的裝置����,其特征在于�,所述裝置還包括: 所述處理單元,還用于當所述源IP地址未命中所述黑名單表項時��,查詢是否存在所述數(shù)據(jù)報文對應的會話表項���;當不存在所述數(shù)據(jù)報文對應的會話表項時��,創(chuàng)建所述數(shù)據(jù)報文對應的會話表項����;記錄所述會話表項的創(chuàng)建時間�;當存在所述數(shù)據(jù)報文對應的會話表項時,累積所述數(shù)據(jù)報文中的數(shù)據(jù)長度����; 所述計算單元,具體用于判斷當前時間與所述會話表項的創(chuàng)建時間的時間差值是否達到預設的報文檢測時長��;當所述時間差值達到所述報文檢測時長時�����,根據(jù)累積的數(shù)據(jù)長度以及所述時間差值計算所述數(shù)據(jù)的發(fā)送速率�����。9.如權利要求6所述的裝置��,其特征在于�,所述裝置還包括: 創(chuàng)建單元���,用于在所述斷開單元斷開所述數(shù)據(jù)報文對應的會話連接之后,獲取所述數(shù)據(jù)報文中的源IP地址�;根據(jù)所述源IP地址創(chuàng)建黑名單表項。10.如權利要求9所述的裝置��,其特征在于���,所述裝置還包括: 刪除單元���,用于獲取預設的黑名單老化時長;當所述黑名單表項的生存時長達到預設的黑名單表項老化時長時�,刪除對應的黑名單表項。
【文檔編號】H04L29/06GK105991509SQ201510040601
【公開日】2016年10月5日
【申請日】2015年1月27日
【發(fā)明人】田佳星, 邢濤
【申請人】杭州迪普科技有限公司