的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0130]这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0131]这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0132]尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0133]显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
【主权项】
1.一种识别虚假源攻击的方法,其特征在于,所述方法包括: 若确定被保护服务器有攻击触发,则针对每一到达所述被保护服务器的报文,提取所述报文的源IP地址以及当前TTL; 根据所述报文的源IP地址以及设定的源IP地址与地理区域之间的对应关系,确定所述报文所属的地理区域; 根据确定的地理区域,以及设定的地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,确定所述确定的地理区域内的报文到达所述被保护服务器的TTL阈值范围; 判断所述报文的当前TTL是否位于确定的所述TTL阈值范围内,若否,则确定所述报文对应的客户端为虚假源。2.如权利要求1所述的方法,其特征在于,地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系是通过以下方式得到的: 针对任一地理区域,在所述被保护服务器无攻击触发的任一设定学习时间段内,获取源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,以及各报文样本的当前TTL; 根据获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本的当前TTL,确定所述任一地理区域内的报文到达所述被保护服务器的TTL最大值以及最小值,并根据确定的TTL最大值以及最小值,确定所述任一地理区域内的报文到达所述被保护服务器的TTL阈值范围; 根据确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围,建立地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系。3.如权利要求2所述的方法,其特征在于,根据获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本的当前TTL,确定所述任一地理区域内的报文到达所述被保护服务器的TTL最大值以及最小值,包括: 将获取到的源IP地址归属于所述任一地理区域的各报文样本中的、第一个正常到达所述被保护服务器的报文样本的当前TTL,作为所述任一地理区域内的报文到达所述被保护服务器的TTL基准值; 根据获取到的源IP地址归属于所述任一地理区域的各报文样本的当前TTL,确定取值不大于所述TTL基准值的各TTL、以及取值不小于所述TTL基准值的各TTL,并将取值不大于所述TTL基准值的各TTL中的最小TTL作为所述任一地理区域内的报文到达所述被保护服务器的最小TTL,将取值不小于所述TTL基准值的各TTL中的最大TTL作为所述任一地理区域内的报文到达所述被保护服务器的最大TTL。4.如权利要求1所述的方法,其特征在于,源IP地址与地理区域之间的对应关系是通过以下方式得到的: 针对任一源IP地址,根据IP地址信息库提供的数据,确定所述任一源IP地址所归属的地理区域; 根据确定的各源IP地址所归属的地理区域,建立源IP地址与地理区域之间的对应关系O5.如权利要求2所述的方法,其特征在于,获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,包括: 由所述任一地理区域内的各客户端,向所述被保护服务器上报的报文样本;和/或, 由设置在所述任一地理区域内的软件探测器,向所述被保护服务器上报的报文样本。6.如权利要求2所述的方法,其特征在于,所述方法还包括: 将确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围共享给其它被保护服务器,以使得其它被保护服务器能够通过共享的方式获取各地理区域内的报文到达所述其它被保护服务器的TTL阈值数据。7.如权利要求1所述的方法,其特征在于,在确定所述报文对应的客户端为虚假源的同时或之后,所述方法还包括: 对所述报文进行丢弃处理。8.一种识别虚假源攻击的装置,其特征在于,所述装置包括: 信息获取单元,用于若确定被保护服务器有攻击触发,则针对每一到达所述被保护服务器的报文,提取所述报文的源IP地址以及当前TTL; 地域定位单元,用于根据所述报文的源IP地址以及设定的源IP地址与地理区域之间的对应关系,确定所述报文所属的地理区域; 虚假源判断单元,用于根据确定的地理区域,以及设定的地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,确定所述确定的地理区域内的报文到达所述被保护服务器的TTL阈值范围;并判断所述报文的当前TTL是否位于确定的所述TTL阈值范围内,若否,则确定所述报文对应的客户端为虚假源。9.如权利要求8所述的装置,其特征在于,所述装置还包括第一学习单元,用于建立地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,所述第一学习单元包括: 样本获取模块,用于针对任一地理区域,在所述被保护服务器无攻击触发的任一设定学习时间段内,获取源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,以及各报文样本的当前TTL; 阈值确定模块,用于根据获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本的当前TTL,确定所述任一地理区域内的报文到达所述被保护服务器的TTL最大值以及最小值,并根据确定的TTL最大值以及最小值,确定所述任一地理区域内的报文到达所述被保护服务器的TTL阈值范围; 关系建立模块,用于根据确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围,建立地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系。10.如权利要求9所述的装置,其特征在于,所述阈值确定模块具体用于, 将获取到的源IP地址归属于所述任一地理区域的各报文样本中的、第一个正常到达所述被保护服务器的报文样本的当前TTL,作为所述任一地理区域内的报文到达所述被保护服务器的TTL基准值; 根据获取到的源IP地址归属于所述任一地理区域的各报文样本的当前TTL,确定取值不大于所述TTL基准值的各TTL、以及取值不小于所述TTL基准值的各TTL,并将取值不大于所述TTL基准值的各TTL中的最小TTL作为所述任一地理区域内的报文到达所述被保护服务器的最小TTL,将取值不小于所述TTL基准值的各TTL中的最大TTL作为所述任一地理区域内的报文到达所述被保护服务器的最大TTL。11.如权利要求8所述的装置,其特征在于,所述装置还包括第二学习单元; 所述第二学习单元,用于针对任一源IP地址,根据IP地址信息库提供的数据,确定所述任一源IP地址所归属的地理区域;根据确定的各源IP地址所归属的地理区域,建立源IP地址与地理区域之间的对应关系。12.如权利要求9所述的装置,其特征在于,获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,包括: 由所述任一地理区域内的各客户端,向所述被保护服务器上报的报文样本;和/或, 由设置在所述任一地理区域内的软件探测器,向所述被保护服务器上报的报文样本。13.如权利要求9所述的装置,其特征在于,所述装置还包括共享单元,用于, 将确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围共享给其它被保护服务器,以使得其它被保护服务器能够通过共享的方式获取各地理区域内的报文到达所述其它被保护服务器的TTL阈值数据。14.如权利要求8所述的装置,其特征在于,所述虚假源判断单元,还用于在确定所述报文对应的客户端为虚假源的同时或之后,对所述报文进行丢弃处理。
【专利摘要】本发明公开了一种识别虚假源攻击的方法及装置,可在服务器有攻击触发时,针对每一到达该服务器的报文,提取该报文的源IP地址以及当前TTL,并根据该源IP地址、源IP地址与地理区域之间的对应关系以及地理区域与到达该服务器的报文的TTL阈值范围之间的对应关系,确定该报文所属的地理区域内的报文到达该服务器的TTL阈值范围,以判断该报文的当前TTL是否位于确定的TTL阈值范围内,若否,则确定该报文对应的客户端为虚假源。无需对到达服务器的各报文进行首包丢弃或跳转处理,便可对所有报文进行识别,不仅避免了对服务器的正常业务运行所带来的影响,而且节省了网络资源,提高了虚假源识别的效率。
【IPC分类】H04L29/06
【公开号】CN105577669
【申请号】CN201510998006
【发明人】彭武杰, 魏勇
【申请人】北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司
【公开日】2016年5月11日
【申请日】2015年12月25日