[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN106254394A - 一种攻击流量的记录方法和装置 - Google Patents

一种攻击流量的记录方法和装置 Download PDF

Info

Publication number
CN106254394A
CN106254394A CN201610867805.5A CN201610867805A CN106254394A CN 106254394 A CN106254394 A CN 106254394A CN 201610867805 A CN201610867805 A CN 201610867805A CN 106254394 A CN106254394 A CN 106254394A
Authority
CN
China
Prior art keywords
flow
record
sequence
time
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610867805.5A
Other languages
English (en)
Other versions
CN106254394B (zh
Inventor
刘文辉
樊宇
张磊
何坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201610867805.5A priority Critical patent/CN106254394B/zh
Publication of CN106254394A publication Critical patent/CN106254394A/zh
Application granted granted Critical
Publication of CN106254394B publication Critical patent/CN106254394B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种攻击流量的记录方法和装置,用以解决现有技术中存在的DDoS攻击记录冗余,以及长时间开启手工抓包导致防护工具防护性能下降的问题,所述攻击流量的记录方法,包括:接收流量检测引擎发送的开始记录流量的第一请求,所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间;根据所述数据包序列每一数据包的大小,确定所述数据包序列对应的流量值;根据所述流量值及所述第一时间确定流量记录频率;按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。

Description

一种攻击流量的记录方法和装置
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种攻击流量的记录方法和装置。
背景技术
DDoS(Distributed Denial of service,分布式拒绝服务):很多DOS攻击源一起攻击某台服务器就组成了DDoS攻击,DDoS攻击借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发起DoS攻击,从而成倍地提高拒绝服务攻击的威力。DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,DDoS一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。对DDoS的攻击过程进行完整的记录,有助于研究人员在对DDoS流量攻击进行分析时能够迅速地制定出有效地防护策略。
现有的记录DDoS攻击流量的方法一般采用人工检测及记录的方法,当检测到DDoS攻击时,手动开启流量抓包,这种方法能够实现对DDoS攻击流量的记录,但是记录结果中存在大量冗余信息,同时占用防护工具一定的性能资源,这是因为DDoS攻击服务器会根据攻击效果,不断调整攻击方式,直至击瘫服务器,即在攻击期间某一种攻击方式由于攻击效果好的原因可能存在很长时间,而其他攻击方式由于攻击效果不太理想的原因可能存在的时间很短,如果在这种情况下,持续不断的手工抓包,会导致抓包中存在同一种攻击的大量冗余的记录,而其他攻击记录被湮没在这些冗余的记录中,同时由于攻击时间不确定(可能一直持续下去,也可能是间歇性攻击),如果一直开启手工抓包,将影响防护工具的防护性能。
由此可见,如何准确高效地记录DDoS攻击流量的同时,又不影响流量防护工具的防护性能成为现有技术中亟待解决的技术问题之一。
发明内容
本发明实施例提供一种攻击流量的记录方法和装置,用以解决现有技术中DDoS攻击记录中存在大量冗余流量信息以及由于长时间开启抓包影响防护工具防护性能的问题。
本发明实施例提供一种攻击流量的记录方法,包括:
接收流量检测引擎发送的开始记录流量的第一请求,所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间;
根据所述数据包序列中包含的每一数据包的大小,确定所述数据包序列对应的流量值;
根据所述流量值及所述第一时间确定流量记录频率;
按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。
本发明实施例提供一种攻击流量的记录装置,包括:
接收单元,用于接收流量检测引擎发送的开始记录流量的第一请求,所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间;
第一确定单元,用于根据所述数据包序列中包含的每一数据包的大小,确定所述数据包序列对应的流量值;
第二确定单元,用于根据所述流量值及所述第一时间确定流量记录频率;
记录单元,用于按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。
本发明的有益效果:
本发明实施例提供的攻击流量的记录方法和装置,只有在接收到流量检测引擎发送的开始记录流量的第一请求后才开始记录流量,而且在记录流量过程中,并非每一时刻都记录,而是根据该第一请求中携带的需记录的数据包序列每一数据包的大小,确定出每一数据包对应的流量值,然后根据确定出的所述流量值和该第一请求中携带的所述数据包序列的第一时间,确定流量记录频率,按照确定出的流量记录频率对服务器访问流量进行记录并存储,一方面能够灵活地根据当前流量的变化确定流量记录频率,以剔除流量记录中冗余的记录,提高流量记录质量,另一方面由于无需重复记录大量冗余的流量信息,从而减少了流量记录运行的时间,解决了长时间开启手工抓包导致防护工具防护性能下降的问题,同时,由于剔除了大量的冗余,节省了流量存储记录的空间。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的流量检测引擎进行流量检测的实施流程示意图;
图2a为本发明实施例提供的攻击流量的记录方法的实施流程示意图;
图2b为本发明实施例提供的攻击流量的记录方法中确定流量记录频率的实施流程示意图;
图3为本发明实施例提供的攻击流量的记录方法中删除流量记录引擎内存中流量记录的第一种方法;
图4为本发明实施例提供的攻击流量的记录方法中删除流量记录引擎内存中流量记录的第二种方法;
图5为本发明实施例提供的攻击流量的记录装置的结构示意图。
具体实施方式
本发明实施例提供了一种攻击流量的记录方法和装置,用以解决现有技术中存在的DDoS攻击记录冗余,以及长时间开启手工抓包导致防护工具防护性能下降的问题,节省了流量记录占用的存储空间。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
本发明实施例中,由流量检测引擎进行流量检测,在检测到单位时间内服务器访问流量超过预设阈值时通知流量记录引擎进行记录,需要说明的是,流量检测引擎采用的是定时连续的方式对服务器访问流量进行检测。即流量检测引擎按照预设的周期对服务器访问流量进行检测,在每一流量检测周期到达时,流量检测引擎统计当前时刻单位时间内服务器访问流量,具体的,流量检测引擎检测服务器在当前检测周期单位时间内接收到的数据包序列对应的流量值(即服务器接收到数据包序列中包含的所有数据包的大小之和与周期的比值)。流量检测引擎判断当前检测周期服务器单位时间内接收到的数据包序列对应的流量值是否超过预设阈值,若超过,则通知流量记录引擎对服务器访问流量进行记录。
由于流量检测引擎和流量记录引擎是并行独立运行的,流量检测引擎检测数据包流量的操作并不影响流量记录引擎记录服务器访问流量,如果流量检测引擎在当前检测周期判断出服务器单位时间内接收到的数据包序列对应的流量值不超过预设阈值时,说明服务器访问流量在预设阈值范围内,但是,流量检测引擎可能在上一检测周期判断出单位时间内服务器访问流量超过预设阈值并通知流量记录引擎启动记录,因此,具体实施时,流量检测引擎判断出单位时间内服务器接收到的数据包序列对应的流量值不超过预设阈值时,还需要进一步判断流量记录引擎是否启动,如果启动,则流量检测引擎通知流量记录引擎停止记录,如果没有启动,则流量检测引擎在下一检测周期到达时,再对服务器访问流量进行检测,如此循环,使得流量记录引擎根据流量检测引擎的通知启动或者停止记录服务器访问流量。而对于流量记录引擎来说,其在流量检测引擎的触发下开始记录服务器访问流量,直至接收到流量检测引擎停止记录服务器访问流量的信号。在再次接收到开始记录服务器访问流量的信号开始启动记录,直至再次接收到停止记录服务器访问流量的信号停止记录,如此循环。
实施例一、
如图1所示,为本发明实施例提供的流量检测引擎进行流量检测的实施流程示意图,可以包括以下步骤:
S11、在检测周期到达时,流量检测引擎根据服务器接收到的数据包序列中每一数据包的大小,确定数据包序列对应的流量值,然后计算出单位时间内访问服务器的流量值。
具体实施时,流量检测引擎在检测周期结束时刻统计服务器在检测周期开始时刻至检测周期结束时刻单位时间内接收到的全部数据包的大小,将其作为当前检测周期接收到的数据包序列对应的流量值。
S12、判断当前检测周期单位时间内服务器接收到的数据包序列对应的流量值是否超过预设阈值,如果是,则执行步骤S13,否则,执行步骤S14。
流量检测引擎根据步骤S11中确定出的服务器在当前检测周期单位时间内接收到的数据包序列对应的流量值fn,将其与预设阈值进行比较,若得出该流量值fn超过预设阈值时,执行步骤S13;否则,执行步骤S14。
S13、将在当前检测周期服务器接收到的数据包序列和接收到该数据包序列的第一时间发送给流量记录引擎。
在步骤S13中,流量检测引擎将当前检测周期接收到的数据包序列和接收到该数据包序列的第一时间tn发送给流量记录引擎,由流量记录引擎执行后续的流量记录过程。
需要说明的是,如果当前检测周期接收到的数据包序列为当前检测周期的开始时刻服务器接收到的数据包序列,则第一时间tn为当前检测周期的开始时刻;如果当前检测周期接收到的数据包序列为当前检测周期开始时刻至检测周期结束时刻接收到的全部数据包,则第一时间tn为当前检测周期的结束时刻。
较佳地,流量检测引擎还可以将当前检测周期接收到的数据包序列对应的流量值fn一并发送给流量记录引擎。
S14、流量检测引擎判断流量记录引擎是否启动,如果是,则执行步骤S15,如果否,则执行步骤S16。
S15、流量检测引擎向流量记录引擎发送停止记录流量的信号。
在步骤S14判断出流量记录引擎正在对服务器访问流量进行记录时,由于当前时刻流量检测引擎已经判断出单位时间内服务器访问流量在预设阈值范围内,流量记录引擎不需要再对此流量进行记录,因此需要向流量记录引擎发送停止记录流量的信号,使得流量记录引擎在接收到停止记录流量的信号后停止对服务器访问流量进行记录。
S16、检测是否到达下一检测周期,如果是,执行步骤S11,否则,继续执行步骤S16。
具体实施时,由于DDoS攻击具有间歇性,如果流量检测引擎一直连续不断地对服务器访问流量进行检测,并发送给流量记录引擎进行记录,导致一些正常的服务器访问流量有可能会存储在内存中,一方面会造成流量记录引擎的内存浪费,另一方面,也会影响防护工具的防护性能,因此,本发明实施例中的流量检测引擎按照一定周期对服务器接收到的数据包序列进行检测,如每隔10秒检测单位时间内服务器接收到的数据包序列对应的流量值是否超过预设阈值,这样一来可以缓解存储压力,同时又不影响防护工具的防护性能。
实施例二、
如图2a所示,为本发明实施例提供的攻击流量的记录方法的实施流程示意图,可以包括以下步骤:
S21、接收流量检测引擎发送的开始记录流量的第一请求。
需要说明的是,该第一请求为流量检测引擎检测到服务器访问流量超过预设阈值时发送的。
其中,第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间。
S22、根据数据包序列每一数据包的大小,确定数据包序列对应的流量值。
具体实施时,在接收到需要记录的数据包序列后,流量记录引擎可以根据该数据包序列包含的每一数据包的大小,确定出该数据包序列的总大小,由此得到接收到的数据包序列对应的流量值。
较佳地,如果第一请求中携带有该数据包序列对应的流量值,则具体实施时,也可以不执行步骤S22,直接从第一请求中获取接收到的数据包序列对应的流量值即可。
S23、根据数据包序列对应的流量值及获取该数据包序列的第一时间确定流量记录频率。
S24、按照确定出的流量记录频率对服务器访问流量进行记录并存储。
具体实施时,步骤S24中,流量检测引擎可以按照表1所述的格式记录服务器访问流量,其中,表1中可以包含以下字段:接收到数据包序列的时间(对应于本发明实施例中的第一时间)、数据包序列和数据包序列对应的流量值。
表1
接收到数据包序列的时间 数据包序列 对应的流量值
T1 B1、B2、B3…… 2M
…… …… ……
具体实施时,步骤S23中可以按照图2b所示的方法确定流量记录频率,可以包括以下步骤:
S231、分别确定记录服务器访问流量的速率和单位时间内的服务器访问流量。
其中,流量记录引擎记录服务器访问流量的速率可以用vc表示,其可以根据在预设时长内流量记录引擎记录的总字节数确定。
具体实施时,可以按照以下公式确定单位时间内的服务器访问流量:其中:
ΔB为预设的最大流量阈值与确定出的流量值之间的差值;
Δt为根据达到所述最大流量阈值的第二时间与所述第一时间之间的差值,其中所述第二时间为根据确定出的流量值和接收到所述数据包序列的第一时间预测得的。
其中,预设的最大流量阈值可以为服务器所能承受的最大流量或最大带宽,记为Bmax,本发明实施例以当前检测周期接收到的数据包序列对应的流量值为fc和接收到该数据包序列的第一时间tc为例进行说明,则ΔB=Bmax-fc
在确定Δt时,需要首先确定出达到所述最大流量阈值的第二时间tmax,较佳地,本发明实施例中,可以按照以下公式确定所述第二时间:其中:
tmax为所述第二时间;
Bmax为预设的最大流量阈值;
σc为根据当前检测周期接收到的数据包序列对应的流量值和接收到该数据包序列的第一时间确定出的纠正因子。
具体实施时,确定第二时间的公式中,由于DDoS攻击的趋势是不稳定的,一般在开始时呈现正态分布,随着时间的推移趋于平稳,直至占用整个网络的带宽,导致正常访问无法得到响应,因此建立了如下公式所示的DDoS攻击流量的模型:
f ( t ) = 1 2 &pi; &sigma; e - t 2 2 , 0 < t < | 2 l n 2 &pi; &sigma; B m a x | B m a x , t > | 2 l n 2 &pi; &sigma; B m a x |
流量记录引擎根据当前检测周期接收到的数据包序列对应的流量值fc和接收到该数据包序列的第一时间值为tc,利用DDoS攻击流量的模型,可以推导出纠正因子的计算公式为:
根据确定出的纠正因子σc和最大流量阈值Bmax就可以利用tmax的计算公式确定出达到最大流量阈值Bmax的第二时间tmax,然后就可以得到Δt的值:Δt=tmax-tc
至此,根据确定出的ΔB和确定出的Δt,就可以确定出单位时间内的服务器访问流量:
S232、确定记录服务器访问流量的速率与服务器访问流量的比值为所述流量记录频率。
根据步骤S231,就可以确定出流量记录引擎的流量记录频率:需要说明的是,如果确定出单位时间内的服务器访问流量和/或服务器访问流量变化值为零,则确定所述流量记录频率为预设的固定频率,记为fconst,服务器访问流量值变化为零可以理解为:当流量记录引擎按照步骤S231确定出的流量记录频率进行记录时,在当前检测周期内发现当前记录时刻接收到的数据包序列对应的流量值与前一时刻记录的接收到的数据包序列对应的流量值相同时,流量记录引擎确定服务器访问流量值变化为零,则流量记录引擎按照预设的固定频率对服务器访问流量进行记录,其中该预设的固定频率可以根据当前防护工具的性能、网络环境等自行设置。
具体实施时,根据步骤S232确定出的流量记录频率,流量记录引擎就可以按照该流量记录频率对服务器访问流量进行记录并存储,由此实现了可以根据当前服务器访问流量的变化趋势,动态的改变流量记录频率。
较佳地,具体实施时,为了缓解流量记录引擎的内存压力,本发明实施例提供的攻击流量的记录方法中,还包括以下步骤:在接收到流量检测引擎发送的停止记录流量的第二请求时,停止记录服务器访问流量,其中,第二请求为流量检测引擎检测到单位时间内服务器访问流量不超过预设阈值时发送的。基于此,流量记录引擎无需一直对服务器访问流量进行记录,节省了流量记录引擎的内存,从而提高了防护工具的防护性能。
具体实施时,由于流量记录引擎的内存是有限的,随着流量记录引擎对服务器访问流量的记录,导致流量记录引擎的内存达到其存储上限,为了避免流量检测引擎内存溢出,本发明实施例中,还可以对流量记录引擎的内存进行优化,本发明实施例提供了两种方法来删除流量记录引擎内存中流量记录,以下分别介绍之。
方法一、
图3为本发明实施例提供的删除流量记录引擎内存中流量记录的第一种方法,可以包括以下步骤:
S31、统计记录的数据包序列数量。
具体实施时,根据表1中记录的数据,每一行对应一个数据包序列,因此,可以统计表1包含的数据记录数量得到记录的数据包序列数量。
S32、如果超过预设数量值,则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。
具体实施时,在步骤S31统计过记录的数据包序列的数量后,将其与预设数量值进行比较,如果超过预设数量值,说明当前的内存空间剩余较小或已满,由于DDoS攻击分攻击开始、攻击中间和攻击结束三个时期,在攻击开始和接束两时期,攻击流量分别比较少,在攻击中间时间,攻击比较频繁,而且DDoS攻击在攻击中间时期流量变化不是特别大,如果将此次DDoS攻击的流量都存储到内存中,会占用较大的内存空间,因此,可以将接收到的数据包序列按照时间顺序进行排序,删除预设时间范围内的流量记录,此预设时间范围可以是此次DDoS攻击的中间时间范围,本发明对此不进行限定。例如,内存中记录的流量记录时间分为为t0、t1、t2、t3、t4和t5,对应的流量值为L0、L1、L2、L3、L4和L5,且满足t0<t1<t2<t3<t4<t5和L0<L1<L2<L3<L4<L5,流量管理模块在判断出数据包数量超过预设数量值时,找到处于中间时间范围的t2、t3时刻接收到的数据包序列,并删除该时刻对应的数据包序列,或者当内存中记录的流量记录对应的流量值相同时,则流量管理引擎删除流量记录中对应流量值相同的数据包序列,当然,也可以采用其他的方法来删除流量记录引擎内存中的流量记录,本发明对此不进行限定。
方法二、
图4为本发明实施例提供的删除流量记录引擎内存中流量记录的第二种方法,可以包括以下步骤:
S41、统计记录的数据包序列占用的存储空间。
具体实施时,可以根据每一数据包序列对应的流量值得到记录数据包序列占用的存储空间。
S42、如果记录的数据包序列所占用的存储空间超过预设内存阈值,则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。
具体实施时,步骤S42的实施可以按照步骤S32类似的方法删除流量记录引擎内存中的流量记录,在此不再赘述。
本发明实施例提供的攻击流量的记录方法,只有在接收到流量检测引擎发送的开始记录流量的第一请求后才开始记录流量,而且在记录流量过程中,并非每一时刻都记录,而在接收到流量检测引擎发送的开始记录流量的第一请求后,根据该第一请求中携带的需记录的数据包序列每一数据包的大小,确定出每一数据包对应的流量值,然后根据确定出的所述流量值和该第一请求中携带的所述数据包序列的第一时间,确定流量记录频率,按照确定出的流量记录频率对服务器访问流量进行记录并存储,一方面,能够灵活地根据当前流量的变化改变流量记录频率,用于减少重复流量的记录,另一方面,根据流量记录频率,控制流量记录的启停,从而减少流量记录引擎对防护性能的影响,同时也减少了冗余流量信息对内存的占用,提高了DDos攻击流量记录的质量。
实施例三、
基于同一发明构思,本发明实施例中还提供了一种攻击流量的记录装置,由于上述装置解决问题的原理与攻击流量的记录方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图5所示,为本发明实施例提供的攻击流量的记录装置的结构示意图,包括:接收单元50、第一确定单元51、第二确定单元52和记录单元53,其中:
接收单元50,用于接收流量检测引擎发送的开始记录流量的第一请求,所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间;
具体实施时,所述第一请求为所述流量检测引擎检测到单位时间内服务器访问流量超过预设阈值时发送的。
第一确定单元51,用于根据所述数据包序列中包含的每一数据包的大小,确定所述数据包序列对应的流量值;
第二确定单元52,用于根据所述流量值及所述第一时间确定流量记录频率;
记录单元53,用于按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。
具体实施时,所述第二确定单元52,具体包括第一确定模块和第二确定模块,其中:
第一确定模块,用于分别确定记录服务器访问流量的速率和单位时间内的服务器访问流量;
第二确定模块,用于确定记录服务器访问流量的速率与服务器访问流量的比值为所述流量记录频率。
具体实施时,所述第一确定模块,具体用于按照以下公式确定单位时间内的服务器访问流量:其中:
ΔB为预设的最大流量阈值与所述流量值之间的差值;
Δt为根据达到所述最大流量阈值的第二时间与所述第一时间之间的差值,其中所述第二时间为根据所述流量值和所述第一时间预测得到的。
所述第一确定模块,具体用于按照以下公式确定所述第二时间:其中:
tmax为所述第二时间;
Bmax为预设的最大流量阈值;
σc为根据所述流量值和第一时间确定出的纠正因子。
所述第一确定模块,具体用于根据所述所述流量值和所述第一时间按照以下公式确定σc其中:
具体的,所述第二确定模块,具体用于如果第一确定模块确定出单位时间内的服务器访问流量和/或服务器访问流量变化值为零,则确定所述流量记录频率为预设的固定频率。
具体实施时,所述装置,还包括控制单元54,其中:
控制单元54,用于在接收到所述流量检测引擎发送的停止记录流量的第二请求时,停止记录服务器访问流量,其中,所述第二请求为所述流量检测引擎检测到单位时间内服务器访问流量不超过预设阈值时发送的。
具体实施时,所述装置,还包括:第一统计单元55和第一删除单元56,其中:
第一统计单元55,用于统计记录的数据包序列数量;
第一删除单元56,用于如果第一统计单元55统计记录的数据包序列数量超过预设数量值,则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。
具体实施时,所述装置,还包括:第二统计单元57和第二删除单元58,其中:
第二统计单元57,用于统计记录的数据包序列所占用的存储空间;
第二删除单元58,用于如果第二统计单元57记录的数据包序列所占用的存储空间超过预设内存阈值,则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。例如,本发明实施例三提供的攻击流量的记录装置可以设置于流量记录引擎中,由流量记录引擎完成对服务器访问流量的记录。
本发明实施例提供的攻击流量的记录方法、装置和流量记录引擎,流量记录引擎在接收到流量检测引擎发送的开始记录流量的第一请求后,根据该第一请求中携带的需记录的数据包序列每一数据包的大小,确定出每一数据包对应的流量值,然后根据确定出的所述流量值和该第一请求中携带的所述数据包序列的第一时间,确定流量记录频率,按照确定出的流量记录频率对服务器访问流量进行记录并存储,一方面,能够灵活地根据当前流量的变化改变流量记录频率,用于减少重复流量的记录,另一方面,根据流量记录频率,控制流量记录的启停,从而减少流量记录引擎对防护性能的影响,同时也减少了冗余流量信息对内存的占用,提高了DDos攻击流量记录的质量。
本申请的实施例所提供的攻击流量的记录装置可通过计算机程序实现。本领域技术人员应该能够理解,上述的模块划分方式仅是众多模块划分方式中的一种,如果划分为其他模块或不划分模块,只要攻击流量的记录具有上述功能,都应该在本申请的保护范围之内。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (20)

1.一种攻击流量的记录方法,其特征在于,包括:
接收流量检测引擎发送的开始记录流量的第一请求,所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间;
根据所述数据包序列中包含的每一数据包的大小,确定所述数据包序列对应的流量值;
根据所述流量值及所述第一时间确定流量记录频率;
按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。
2.如权利要求1所述的方法,其特征在于,所述第一请求为所述流量检测引擎检测到单位时间内服务器访问流量超过预设阈值时发送的。
3.如权利要求1所述的方法,其特征在于,还包括:
在接收到所述流量检测引擎发送的停止记录流量的第二请求时,停止记录服务器访问流量,其中,所述第二请求为所述流量检测引擎检测到单位时间内服务器访问流量不超过预设阈值时发送的。
4.如权利要求1所述的方法,其特征在于,根据所述流量值及所述第一时间确定流量记录频率,具体包括:
分别确定记录服务器访问流量的速率和单位时间内的服务器访问流量;
确定记录服务器访问流量的速率与服务器访问流量的比值为所述流量记录频率。
5.如权利要求4所述的方法,其特征在于,还包括:
如果单位时间内服务器访问流量和/或服务器访问流量变化值为零,则确定所述流量记录频率为预设的固定频率。
6.如权利要求4所述的方法,其特征在于,按照以下公式确定单位时间内的服务器访问流量:其中:
ΔB为预设的最大流量阈值与所述流量值之间的差值;
Δt为达到所述最大流量阈值的第二时间与所述第一时间之间的差值,其中所述第二时间为根据所述流量值和所述第一时间预测得到的。
7.如权利要求6所述的方法,其特征在于,按照以下公式确定所述第二时间:其中:
tmax为所述第二时间;
Bmax为预设的最大流量阈值;
σc为根据所述流量值和第一时间确定出的纠正因子。
8.如权利要求7所述的方法,其特征在于,根据所述流量值和第一时间按照以下公式确定σc其中:
tc为所述第一时间;
fc为所述流量值。
9.如权利要求1所述的方法,其特征在于,还包括:
统计记录的数据包序列数量;
如果超过预设数量值,则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。
10.如权利要求1所述的方法,其特征在于,还包括:
统计记录的数据包序列所占用的存储空间;
如果记录的数据包序列所占用的存储空间超过预设内存阈值,则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。
11.一种攻击流量的记录装置,其特征在于,包括:
接收单元,用于接收流量检测引擎发送的开始记录流量的第一请求,所述第一请求中携带有需记录的数据包序列及获取所述数据包序列的第一时间;
第一确定单元,用于根据所述数据包序列中包含的每一数据包的大小,确定所述数据包序列对应的流量值;
第二确定单元,用于根据所述流量值及所述第一时间确定流量记录频率;
记录单元,用于按照确定出的所述流量记录频率对服务器访问流量进行记录并存储。
12.如权利要求11所述的装置,其特征在于,所述第一请求为所述流量检测引擎检测到单位时间内服务器访问流量超过预设阈值时发送的。
13.如权利要求11所述的装置,其特征在于,还包括:
控制单元,用于在接收到所述流量检测引擎发送的停止记录流量的第二请求时,停止记录服务器访问流量,其中,所述第二请求为所述流量检测引擎检测到单位时间内服务器访问流量不超过预设阈值时发送的。
14.如权利要求11所述的装置,其特征在于,所述第二确定单元,具体包括:
第一确定模块,用于分别确定记录服务器访问流量的速率和单位时间内的服务器访问流量;
第二确定模块,用于确定记录服务器访问流量的速率与服务器访问流量的比值为所述流量记录频率。
15.如权利要求14所述的装置,其特征在于,
所述第二确定模块,具体用于如果第一确定模块确定出单位时间内的服务器访问流量和/或服务器访问流量变化值为零,则确定所述流量记录频率为预设的固定频率。
16.如权利要求14所述的装置,其特征在于,所述第一确定模块,具体用于按照以下公式确定单位时间内的服务器访问流量:其中:
ΔB为预设的最大流量阈值与所述流量值之间的差值;
Δt为根据达到所述最大流量阈值的第二时间与所述第一时间之间的差值,其中所述第二时间为根据所述流量值和所述第一时间预测得到的。
17.如权利要求16所述的装置,其特征在于,所述第一确定模块,具体用于按照以下公式确定所述第二时间:其中:
tmax为所述第二时间;
Bmax为预设的最大流量阈值;
σc为根据所述流量值和第一时间确定出的纠正因子。
18.如权利要求17所述的装置,其特征在于,所述第一确定模块,具体用于根据所述所述流量值和所述第一时间按照以下公式确定σc其中:
tc为所述第一时间;
fc为所述流量值。
19.如权利要求11所述的装置,其特征在于,还包括:
第一统计单元,用于统计记录的数据包序列数量;
第一删除单元,用于如果第一统计单元统计记录的数据包序列数量超过预设数量值,则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。
20.如权利要求11所述的装置,其特征在于,还包括:
第二统计单元,用于统计记录的数据包序列所占用的存储空间;
第二删除单元,用于如果第二统计单元记录的数据包序列所占用的存储空间超过预设内存阈值,则按照获取数据包序列的时间顺序删除预设时间范围内的数据包序列。
CN201610867805.5A 2016-09-29 2016-09-29 一种攻击流量的记录方法和装置 Active CN106254394B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610867805.5A CN106254394B (zh) 2016-09-29 2016-09-29 一种攻击流量的记录方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610867805.5A CN106254394B (zh) 2016-09-29 2016-09-29 一种攻击流量的记录方法和装置

Publications (2)

Publication Number Publication Date
CN106254394A true CN106254394A (zh) 2016-12-21
CN106254394B CN106254394B (zh) 2019-07-02

Family

ID=57611203

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610867805.5A Active CN106254394B (zh) 2016-09-29 2016-09-29 一种攻击流量的记录方法和装置

Country Status (1)

Country Link
CN (1) CN106254394B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234516A (zh) * 2018-01-26 2018-06-29 北京安博通科技股份有限公司 一种网络泛洪攻击的检测方法及装置
CN110213118A (zh) * 2018-02-28 2019-09-06 中航光电科技股份有限公司 一种fc网络系统及其流量控制方法
CN111510418A (zh) * 2019-01-31 2020-08-07 上海旺链信息科技有限公司 一种区块链节点结构安全保障方法,保障系统及存储介质
CN113364752A (zh) * 2021-05-27 2021-09-07 鹏城实验室 一种流量异常检测方法、检测设备及计算机可读存储介质
CN115118529A (zh) * 2022-08-29 2022-09-27 广州弘日恒天光电技术有限公司 基于区块链的数据传输方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050278779A1 (en) * 2004-05-25 2005-12-15 Lucent Technologies Inc. System and method for identifying the source of a denial-of-service attack
CN105681211A (zh) * 2015-12-31 2016-06-15 北京安天电子设备有限公司 基于信息萃取的流量记录方法和系统
CN105763561A (zh) * 2016-04-15 2016-07-13 杭州华三通信技术有限公司 一种攻击防御方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050278779A1 (en) * 2004-05-25 2005-12-15 Lucent Technologies Inc. System and method for identifying the source of a denial-of-service attack
CN105681211A (zh) * 2015-12-31 2016-06-15 北京安天电子设备有限公司 基于信息萃取的流量记录方法和系统
CN105763561A (zh) * 2016-04-15 2016-07-13 杭州华三通信技术有限公司 一种攻击防御方法和装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234516A (zh) * 2018-01-26 2018-06-29 北京安博通科技股份有限公司 一种网络泛洪攻击的检测方法及装置
CN108234516B (zh) * 2018-01-26 2021-01-26 北京安博通科技股份有限公司 一种网络泛洪攻击的检测方法及装置
CN110213118A (zh) * 2018-02-28 2019-09-06 中航光电科技股份有限公司 一种fc网络系统及其流量控制方法
CN111510418A (zh) * 2019-01-31 2020-08-07 上海旺链信息科技有限公司 一种区块链节点结构安全保障方法,保障系统及存储介质
CN113364752A (zh) * 2021-05-27 2021-09-07 鹏城实验室 一种流量异常检测方法、检测设备及计算机可读存储介质
CN115118529A (zh) * 2022-08-29 2022-09-27 广州弘日恒天光电技术有限公司 基于区块链的数据传输方法

Also Published As

Publication number Publication date
CN106254394B (zh) 2019-07-02

Similar Documents

Publication Publication Date Title
US11122067B2 (en) Methods for detecting and mitigating malicious network behavior and devices thereof
JP7157222B2 (ja) セッションセキュリティ分割およびアプリケーションプロファイラ
CN106254394A (zh) 一种攻击流量的记录方法和装置
US8117655B2 (en) Detecting anomalous web proxy activity
CN104067569B (zh) 组合无状态和有状态服务器负载平衡的方法
CN103179132B (zh) 一种检测和防御cc攻击的方法及装置
CN103428224B (zh) 一种智能防御DDoS攻击的方法和装置
EP3488559B1 (en) Network attack defense system and method
Mirkovic et al. Towards user-centric metrics for denial-of-service measurement
US20060075489A1 (en) Streaming algorithms for robust, real-time detection of DDoS attacks
US11876808B2 (en) Detecting phishing attacks on a network
US10560364B1 (en) Detecting network anomalies using node scoring
EP3334117A1 (en) Method, apparatus and system for quantizing defence result
US11108813B2 (en) Dynamic rate limiting for mitigating distributed denial-of-service attacks
CN110875907A (zh) 一种访问请求控制方法及装置
CN111641585A (zh) 一种DDoS攻击检测方法及设备
WO2019052469A1 (zh) 一种网络请求处理方法、装置、电子设备及存储介质
US11700233B2 (en) Network monitoring with differentiated treatment of authenticated network traffic
US20200412760A1 (en) Region-based prioritization for mitigating distributed denial-of-service attacks
CN102075535B (zh) 一种应用层分布式拒绝服务攻击过滤方法及系统
CN105592070B (zh) 应用层DDoS防御方法及系统
CN109246157A (zh) 一种http慢速请求dos攻击的关联检测方法
CN107888388A (zh) 一种网络加速服务的计费方法和系统
TW201828084A (zh) 用戶日誌儲存方法及設備
Flach et al. Diagnosing slow web page access at the client side

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee before: NSFOCUS TECHNOLOGIES Inc.

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder