一种识别虚假源攻击的方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种识别虚假源攻击的方法及装置。
【背景技术】
[0002]DDOS(Distributed Denial of Service,分布式拒绝服务攻击),是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力的攻击方式。该攻击方式可利用目标服务器的功能缺陷或者直接消耗目标服务器的系统资源,使得目标服务器无法为用户提供正常的业务服务。
[0003]目前,针对虚假源的DDOS攻击,一般采用协议桟(ProtocolStack)行为验证的手段,来辨别正常客户端和攻击端。例如,针对TCP(Transmiss1n Control Protocol,传输控制协议)的攻击,目标服务器通常采用首包丢弃的方式来识别虚假源,如果是正常源,按照协议栈的行为,客户端会对被丢弃的包进行重传,如果是虚假源,则无法进行重传,从而达到区分正常客户端和攻击端的目的。再例如,针对HTTP(Hyper Text Transfer Protocol,超文本传输协议)的攻击,目标服务器通常对HTTP GET报文回应302跳转(302redirect),按照协议栈行为,正常客户端会再次发起HTTP GET报文,而采用虚假源的攻击端则无法做到,同样达到了区分正常客户端和攻击端的目的。
[0004]也就是说,采用协议栈行为验证的方式可以在一定程度上有效识别出攻击端,但是,由于其可能需要将接收到的首包进行丢弃,因而,可能会导致正常的网络连接断开,致使正常业务中断;另外,由于其可能需要向客户端回应302跳转报文以由客户端再次发起HTTP GET报文,从而可能会额外增加流量,浪费网络资源,影响交互效率。
[0005]因此,亟需一种新的识别虚假源攻击的方法,来解决现有的识别虚假源攻击的方式所存在的影响正常业务的运行,或者使得网络资源占用大、交互效率低等问题。
【发明内容】
[0006]本发明实施例提供了一种识别虚假源攻击的方法及装置,用以解决现有的识别虚假源攻击的方式所存在的影响正常业务的运行,或者使得网络资源占用大、交互效率低等问题。
[0007]本发明实施例提供了一种识别虚假源攻击的方法,所述方法包括:
[0008]若确定被保护服务器有攻击触发,则针对每一到达所述被保护服务器的报文,提取所述报文的源IP(Internet Protocol,网络互连协议)地址以及当前TTL(Time To Live,生存时间);
[0009]根据所述报文的源IP地址以及设定的源IP地址与地理区域之间的对应关系,确定所述报文所属的地理区域;
[0010]根据确定的地理区域,以及设定的地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,确定所述确定的地理区域内的报文到达所述被保护服务器的TTL阈值范围;[0011 ]判断所述报文的当前TTL是否位于确定的所述TTL阈值范围内,若否,则确定所述报文对应的客户端为虚假源。
[0012]可选地,地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系是通过以下方式得到的:
[0013]针对任一地理区域,在所述被保护服务器无攻击触发的任一设定学习时间段内,获取源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,以及各报文样本的当前TTL;
[0014]根据获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本的当前TTL,确定所述任一地理区域内的报文到达所述被保护服务器的TTL最大值以及最小值,并根据确定的TTL最大值以及最小值,确定所述任一地理区域内的报文到达所述被保护服务器的TTL阈值范围;
[0015]根据确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围,建立地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系。
[0016]可选地,根据获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本的当前TTL,确定所述任一地理区域内的报文到达所述被保护服务器的TTL最大值以及最小值,包括:
[0017]将获取到的源IP地址归属于所述任一地理区域的各报文样本中的、第一个正常到达所述被保护服务器的报文样本的当前TTL,作为所述任一地理区域内的报文到达所述被保护服务器的TTL基准值;
[0018]根据获取到的源IP地址归属于所述任一地理区域的各报文样本的当前TTL,确定取值不大于所述TTL基准值的各TTL、以及取值不小于所述TTL基准值的各TTL,并将取值不大于所述TTL基准值的各TTL中的最小TTL作为所述任一地理区域内的报文到达所述被保护服务器的最小TTL,将取值不小于所述TTL基准值的各TTL中的最大TTL作为所述任一地理区域内的报文到达所述被保护服务器的最大TTL。
[0019]进一步可选地,源IP地址与地理区域之间的对应关系是通过以下方式得到的:
[0020]针对任一源IP地址,根据IP地址信息库提供的数据,确定所述任一源IP地址所归属的地理区域;
[0021]根据确定的各源IP地址所归属的地理区域,建立源IP地址与地理区域之间的对应关系。
[0022]可选地,获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,包括:
[0023]由所述任一地理区域内的各客户端,向所述被保护服务器上报的报文样本;和/或,
[0024]由设置在所述任一地理区域内的软件探测器,向所述被保护服务器上报的报文样本。
[0025]可选地,所述方法还包括:
[0026]将确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围共享给其它被保护服务器,以使得其它被保护服务器能够通过共享的方式获取各地理区域内的报文到达所述其它被保护服务器的TTL阈值数据。
[0027]进一步可选地,在确定所述报文对应的客户端为虚假源的同时或之后,所述方法还包括:对所述报文进行丢弃处理。
[0028]基于同样的发明构思,本发明实施例提供了一种识别虚假源攻击的装置,所述装置包括:
[0029]信息获取单元,用于若确定被保护服务器有攻击触发,则针对每一到达所述被保护服务器的报文,提取所述报文的源IP地址以及当前TTL;
[0030]地域定位单元,用于根据所述报文的源IP地址以及设定的源IP地址与地理区域之间的对应关系,确定所述报文所属的地理区域;
[0031]虚假源判断单元,用于根据确定的地理区域,以及设定的地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,确定所述确定的地理区域内的报文到达所述被保护服务器的TTL阈值范围;并判断所述报文的当前TTL是否位于确定的所述TTL阈值范围内,若否,则确定所述报文对应的客户端为虚假源。
[0032]可选地,所述装置还包括第一学习单元,用于建立地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,所述第一学习单元包括:
[0033]样本获取模块,用于针对任一地理区域,在所述被保护服务器无攻击触发的任一设定学习时间段内,获取源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,以及各报文样本的当前TTL;
[0034]阈值确定模块,用于根据获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本的当前TTL,确定所述任一地理区域内的报文到达所述被保护服务器的TTL最大值以及最小值,并根据确定的TTL最大值以及最小值,确定所述任一地理区域内的报文到达所述被保护服务器的TTL阈值范围;
[0035]关系建立模块,用于根据确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围,建立地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系O
[0036]可选地,所述阈值确定模块具体用于,将获取到的源IP地址归属于所述任一地理区域的各报文样本中的、第一个正常到达所述被保护服务器的报文样本的当前TTL,作为所述任一地理区域内的报文到达所述被保护服务器的TTL基准值;
[0037]根据获取到的源IP地址归属于所述任一地理区域的各报文样本的当前TTL,确定取值不大于所述TTL基准值的各TTL、以及取值不小于所述TTL基准值的各TTL,并将取值不大于所述TTL基准值的各TTL中的最小TTL作为所述任一地理区域内的报文到达所述被保护服务器的最小TTL,将取值不小于所述TTL基准值的各TTL中的最大TTL作为所述任一地理区域内的报文到达所述被保护服务器的最大TTL。
[0038]进一步可选地,所述装置还包括第二学习单元,用于针对任一源IP地址,根据IP地址信息库提供的数据,确定所述任一源IP地址所归属的地理区域;根据确定的各源IP地址所归属的地理区域,建立源IP地址与地理区域之间的对应关系。
[0039]可选地,获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,包括:
[0040]由所述任一地理区域内的各客户端,向所述被保护服务器上报的报文样本;和/或,
[0041]由设置在所述任一地理区域