[发明专利]一种识别攻击的方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种识别攻击的方法及装置。

背景技术

随着网络通信技术的进步，各种网络攻击引发的网络安全问题日益受到人们的关注。其中，分布式拒绝服务攻击（Distributed Denial of Service，DDOS）是一种常见的网络攻击，DDOS攻击俗称泛洪攻击。拒绝服务攻击是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。所谓分布式就是处于不同位置的多个攻击者同时向一个或者数个目标发起攻击。

图1是现有技术中DDOS攻击的示意图。如图1所示，DDOS攻击就是一个或多个攻击者通过控制大量的计算机作为攻击源，同时向某个服务器发送大量数据，最终导致服务器瘫痪。DDOS攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。

由于网络层的拒绝服务攻击有的利用了网络协议的漏洞，有的则抢占网络或者设备有限的处理能力，使得对拒绝服务攻击的防治成为了一个令管理员非常头痛的问题。尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备，在发生DDOS攻击的时候往往成为整个网络的瓶颈，造成全网的瘫痪。

DDOS攻击分为如下两种类型：

固定源攻击，恶意攻击者构造一类报文向服务器大量发送以攻击服务器，此种攻击的数据包某些特征字段相同，即攻击服务器的攻击流的特征类似，具有很大的雷同度，例如攻击者利用某个固定源IP构造SYN请求报文向服务器大量发送攻击服务器。

离散源攻击，固定源攻击的报文雷同度高容易识别防范，目前充斥网络的恶意攻击主要以离散源攻击为主，离散源攻击流量的源IP是随机变化的假冒IP，由于攻击流离散程度高使用常规方法很难识别和防护。

现有的DDOS攻击识别的方案，主要是根据不同协议类型统计访问防护目标IP的报文流量，若报文流量超出正常值则认为攻击产生，类似的在较为特殊的DNS防护中，不是针对于具体的防护目标而是根据DNS请求包的源IP或者域名字段进行计数，超过正常值则认为攻击产生。

现有DDOS攻击识别方案，只是根据协议类型或者某类报文特征通过统计分析访问服务器的报文流量，当报文流量超出正常值认为攻击产生，对于固定源攻击使用此方案分析攻击流特征可以获得攻击源然后针对性的采取防护，由于固定攻击源的攻击流量很容易识别，当前充斥网络的恶意攻击主要以离散源攻击为主，即攻击流量的源IP是随机变化的假冒IP，对于离散源攻击现有攻击识别方案很难快速高效地识别攻击。

发明内容

有鉴于此，本发明的目的是提供一种识别攻击的方法及装置，以提高对报文攻击进行识别的效率。

为实现上述目的，本发明提供技术方案如下：

一种识别攻击的方法，应用于网络安全设备中，所述网络安全设备位于服务器之前，所述方法包括：

根据客户端与服务器之间的交互报文建立会话表；

获取会话表中处于单向会话的会话数量；

当所述处于单向会话的会话数量大于预设的攻击阈值时，确定所述服务器受到攻击。

一种识别攻击的装置，应用于网络安全设备中，所述网络安全设备位于服务器之前，所述装置包括：

会话表建立单元，用于根据客户端与服务器之间的交互报文建立会话表；

会话统计单元，用于获取会话表中处于单向会话的会话数量；

攻击识别单元，用于当所述处于单向会话的会话数量大于预设的攻击阈值时，确定所述服务器受到攻击。

与现有技术根据流量阈值来识别报文攻击相比，本发明利用会话状态来识别报文攻击，通过统计没有形成双向交互的单向会话数量，可以快速有效地识别报文攻击。

附图说明

图1是现有技术中DDOS攻击的示意图；

图2是本发明实施例的识别攻击的方法流程图；

图3是本发明实施例的识别攻击的装置结构图。

具体实施方式

针对现有技术根据流量阈值识别报文攻击的方法存在的，对离散源攻击不容易识别的问题，本发明实施例提供一种利用会话状态识别攻击的方案，是根据攻击者一般利用假冒IP或其他手段对目标服务器进行攻击，无法与目标服务器正常建立会话形成业务交互，通过统计没有形成双向交互的单向会话数量可以快速有效地识别攻击。

以下结合附图对本发明进行详细描述。