专利名称:一种单向流检测模式下的流量检测方法和设备的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种单向流检测模式下的流量检测方法和设备。
背景技术:
分布式拒绝服务攻击(Distribution Denial of Service,DDoS)—般具备攻击流量大、攻击源多、难以过滤、攻击源IP真假难辨、攻击者间接攻击身份隐蔽等特点。
目前常见的攻击检测模式有单向流检测和双向流检测两种。 单向流检测只对目的IP地址为被保护IP的流量进行检测,由被保护IP发出的流量不做检测。但由于该模式只能看到一个方向的流,因此有些情况比较难判断是否有攻击发生。 双向流检测对发往被保护IP的流量和被保护IP发出的流量同时做检测。由于该模式能看到两个方向的流,因此检测效果要好于单向流检测模式。 由于单向流环境下看不到双向流信息,所以通常只能采用单向流检测模式进行攻击检测。而如果在单向流环境下要看到另一方向的流信息,则需要改变网络拓扑,使得另一方向的流量也经过检测设备。 如图1所示的应用场景中,进入被保护服务器的流量经过检测设备,而保护服务器流出的流量走交换机2,不经过检测设备。 在此情况下,如果要实现双向流检测则需要改变网络拓扑,增加图中所示的交换机2和检测设备之间的链路。 由于单向流环境只能看到一个方向上的流信息,所以,目前通常采用以上单向流检测模式,只对目的IP地址为被保护IP的流量进行检测,而对由被保护IP发出的流量,则不做检测。 在实现本发明的过程中,发明人发现现有技术至少存在以下问题 单向流检测模式由于只能看到一个方向的流信息,因此,有些情况比较难判断是
否有攻击发生。 对于常见的传输控制协议同步洪泛(Transmission ControlProtocolsynchronize Flood, TCP SYN Flood)攻击,可以利用TCP协议交互特征采用SYNCookie等机制对虚假源IP进行有效识别。但在攻击源IP合法的情况下,这种检测机制则很难起效。 攻击者可以通过合法源IP向被保护的超文本传输协议(HyperText
TransferProtocol, HTTP)服务器发起连接请求,并以较低的速率以递归的方式获取HTTP
服务器上的所有图片或页面资源,具体的,可以通过编写页面脚本较容易实现,这样可能会
导致服务器处理性能下降,无法正常处理合法用户的连接请求,造成DDoS攻击。 以上这种攻击方式在单向流环境下很难进行有效识别,此时如果只是简单的通过
限流限速等方式进行门限丢包,则一方面很容易对正常应用造成影响,另一方面可能也达不到预期的防范效果。而如果能够同时对保护服务器流出的流量进行分析,则可以有效的识别出攻击是否发生。
发明内容
本发明提供一种单向流检测模式下的流量检测方法和设备,在单向流环境下实现对双向流进行检测,从而提高单向流环境防范DDoS攻击的效果。 为达到上述目的,本发明一方面提供了一种单向流检测模式下的流量检测方法,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,所述待检测设备与所述对端设备之间进行报文交互,所述检测设备检测所述对端设备向所述待检测设备发送的流量信息,所述方法具体包括以下步骤 所述检测设备获取所述待检测设备所接收到的各条报文的序列号信息和确认号信息; 所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息; 所述检测设备根据确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测。 优选的,所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息,具体为
所述检测设备根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系; 所述检测设备根据各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。 优选的,所述检测设备根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系,具体为 所述检测设备按照报文的接收顺序,计算连续接收的两条报文的序列号信息之差; 当所述检测设备判断两条报文的序列号之差等于所检测到的所述两条报文中先
被接收到的一条报文的大小时,所述检测设备确定所述两条报文为相邻报文。 优选的,所述检测设备根据各条相邻报文的确认号信息,确定所述待检测设备在
各条相邻报文之间向所述对端设备发送的流量信息,具体为 所述检测设备计算两条相邻报文的确认号之差; 所述检测设备确定所述确认号之差为所述待检测设备在所述两条相邻报文之间向所述对端设备发送的报文大小; 所述检测设备根据所述待检测设备向所述对端设备发送的各条报文的大小,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。 优选的,所述检测设备根据确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测,具体为 当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备确定所述待检测设备被所述至少一个对端设备
6攻击;或, 当所述检测设备检测到所述待检测设备和各所述对端设备之间的流量信息之和超过预设的流量阈值时,所述检测设备确定所述待检测设备与各所述对端设备之间存在攻击。 优选的,当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击,具体为 当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备判断预设的其他攻击判定元素是否达到预设的判定阈值; 如果所述检测设备判断达到预设的判定阈值的其他攻击判定元素的数量超过预
设的数量阈值,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击。 优选的,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击,或所
述检测设备确定所述待检测设备与各所述对端设备之间存在攻击之后,还包括 所述检测设备对所述待检测设备与发动攻击的所述至少一个对端设备之间的报
文进行拦截;和/或, 所述检测设备发出所述待检测设备被攻击的告警。 另一方面,本发明还提供了一种检测设备,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,所述待检测设备与所述对端设备之间进行报文交互,具体包括 检测模块,用于检测所述对端设备向所述待检测设备发送的流量信息; 获取模块,与所述检测模块相连接,用于根据所述检测模块所检测到的流量信息,
获取所述待检测设备所接收到的各条报文的序列号信息和确认号信息; 确定模块,与所述获取模块相连接,用于根据所述获取模块所获取到的所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息; 判断模块,与所述检测模块和所述确定模块相连接,用于根据所述确定模块所确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测。
优选的,所述确定模块,具体包括 相邻确定子模块,用于根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系; 流量确定子模块,用于根据所述相邻确定子模块所确定的各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
优选的,所述判断模块,具体用于 当所述判断模块检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,确定所述待检测设备被所述至少一个对端设备攻击;或,
当所述判断模块检测到所述待检测设备和各所述对端设备之间的流量信息之和超过预设的流量阈值时,确定所述待检测设备与各所述对端设备之间存在攻击;或,
当所述判断模块检测到所述待检测设备向至少一个所述对端设备所发送的流量
7信息超过预设的流量阈值时,进一步判断预设的其他攻击判定元素是否达到预设的判定阈 值,如果达到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,确定所述 待检测设备被所述至少一个对端设备攻击。 优选的,所述检测设备还包括处理模块,与所述判断模块相连接,用于在所述判断 模块确定所述待检测设备被所述至少一个对端设备攻击,或所述判断模块确定所述待检测 设备与各所述对端设备之间存在攻击之后,对所述待检测设备与发动攻击的所述至少一个 对端设备之间的报文进行拦截;和/或,发出所述待检测设备被攻击的告警。
与现有技术相比,本发明具有以下优点 通过应用本发明的技术方案,可以在单向流环境下能够对双向流进行检测,从而 为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低,不 用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。
图1为现有技术中一种单向流检测模式下的网络结构示意图;
图2为本发明所提出的一种单向流检测模式下的流量检测方法的流程示意图;
图3为本发明所提出的一种具体应用场景中的客户端与服务器端进行TCP报文交 互的示意图; 图4为本发明所提出的一种具体应用场景下单向流检测模式下的流量检测方法 的流程示意图; 图5为本发明所提出的一种检测设备的结构示意图。
具体实施例方式
在实际的应用场景中,TCP协议工作在OSI的传输层,是一种可靠的面向连接的数 据流协议,TCP之所以可靠,是因为其保证了传送数据包的顺序,而该顺序是用一个序列号 和确认号来保证的。 序列号和确认号都是32位的无符号整数,可以表示0-4G(232)字节的范围。其中, 序列号表示数据部分第一个字节的序列号,而确认号表示该数据报的接收者希望对方发送 的下一个字节的序号,在这样设定的基础上,可以确认序列号小于确认号的数据都已正确 地被接收。 本发明正是基于这样的序列号和确认号机制提出了一种单向流检测模式下的流 量检测方法,该方法应用于包括检测设备、待检测设备和至少一个对端设备的系统中,其 中,待检测设备与对端设备之间进行报文交互,检测设备检测对端设备向待检测设备发送 的流量信息。 如图2所示,为本发明所提出的一种单向流检测模式下的流量检测方法的流程示 意图,具体包括以下步骤 步骤S201、检测设备获取待检测设备所接收到的各条报文的序列号信息和确认号信息。 步骤S202、检测设备根据待检测设备所接收到的各条报文的序列号信息和确认号 信息,确定待检测设备向对端设备发送的流量信息。
相对于实际应用场景中的报文交互流程,本步骤的具体实现流程包括以下两个环 节 环节一、检测设备根据各条报文的序列号信息和所检测到的各条报文的大小,确
定各条报文的相邻关系。
此环节的具体实现流程如下 首先,检测设备按照报文的接收顺序,计算连续接收的两条报文的序列号信息之 差; 然后,当检测设备判断两条报文的序列号之差等于所检测到的两条报文中先被接 收到的一条报文的大小时,检测设备确定两条报文为相邻报文。 环节二、检测设备根据各条相邻报文的确认号信息,确定待检测设备在各条相邻
报文之间向对端设备发送的流量信息。
此环节的具体实现流程如下 检测设备计算两条相邻报文的确认号之差; 检测设备确定确认号之差为待检测设备在两条相邻报文之间向对端设备发送的 报文大小; 检测设备根据待检测设备向对端设备发送的各条报文的大小,确定待检测设备在 各条相邻报文之间向对端设备发送的流量信息。 步骤S203、检测设备根据确定的待检测设备向对端设备发送的流量信息,对待检 测设备进行流量检测。
在具体应用场景中,本步骤具体的实现方式如下 当检测设备检测到待检测设备向至少一个对端设备所发送的流量信息超过预设 的流量阈值时,检测设备确定待检测设备被至少一个对端设备攻击;或, 当检测设备检测到待检测设备和各对端设备之间的流量信息之和超过预设的流 量阈值时,检测设备确定待检测设备与各对端设备之间存在攻击。 需要指出的是,这种攻击不一定是直接的,可能是被控制的肉鸡,这样的变化并不 会影响本发明的保护范围。 在实际的应用场景中,还可以进一步引入多种攻击判定因素,在此情况下,当检测 设备检测到待检测设备向至少一个对端设备所发送的流量信息超过预设的流量阈值时,检 测设备判断预设的其他攻击判定元素是否达到预设的判定阈值; 如果检测设备判断达到预设的判定阈值的其他攻击判定元素的数量超过预设的 数量阈值,检测设备确定待检测设备被至少一个对端设备攻击。 其中,需要说明的是,上述的其他攻击判定元素如包转发速率、网络时延、丢包率、 保护服务器的CPU利用率变化等元素,根据具体的需要可以选择其中的一个或多个作为攻 击判定的依据,凡是能够实现攻击判定的元素均属于本发明的保护范围,所选择作为其他 攻击判定元素的元素种类和数量的变化并不会影响本发明的保护范围。 为了实现网络保护,本发明技术方案在完成上述的流量检测后,还可以进一步包 括保护处理流程,即在检测设备确定待检测设备被至少一个对端设备攻击,或检测设备确 定待检测设备与各对端设备之间存在攻击之后 检测设备对待检测设备与发动攻击的至少一个对端设备之间的报文进行拦截;和/或, 检测设备发出待检测设备被攻击的告警。
与现有技术相比,本发明具有以下优点 通过应用本发明的技术方案,可以在单向流环境下能够对双向流进行检测,从而 为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低。不 用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。 为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方 案进行说明。 对于仿冒源IP发起的攻击,TCP SYN Cookie机制可以很好的对此类TCP流量攻 击进行识别,所以本发明是在SYN Cookie机制防止源IP仿冒的前提下,对合法或通过SYN Cookie检查的源IP发起的TCP流量进行分析,实现单向流环境下的双向流检测。
TCP报文的交互特征可以参照图3所示,其中包括多条交互报文,作为服务器端, 接收的报文和发送的报文都会携带相应的报文序列号和确认号,对于TCP同一会话连接上 的数据报文,报文交互的序列号和确认号满足以下关系 同一个客户端向服务器端发送的前一个报文的序列号与其发送的相邻的下一个
报文的序列号之间的差值为该客户端向服务器端发送的前一个报文的长度; 服务器端从一个客户端接到的前一个报文的确认号与从该客户端接到的相邻的
下一个报文的确认号之间的差值,为服务器端在上述两条报文之间向该客户端发送的报文
的长度; 具体的公式表示如下 对于客户端,向服务器端发送的两条相邻的请求报文的序列号之差为客户端向服
务器端发送的前一个报文的长度C: SEQ. pre_C: SEQ. next = C: DATA. 1 en 对于服务器端,从同一个客户端接收到的两条相邻的响应报文的确认序列号之差 为服务器端向该客户端发送的数据报文的长度
C:ACK.證t-C:ACK. pre = S:DATA. len 由此公式可以看出,通过客户端TCP报文的ACK(确认)号可以计算出服务器端回 应的报文流量。 其中,由于本身存在单向流的检测,所以,序列号的差值所计算出的报文大小可以 与检测到的实际报文大小进行比较,如果两者的结果相一致,则确认此两条报文相邻,反 之,则此两条报文不相邻。 而且,序列号的存在还可以进一步保证两条报文属于同一个会话。 这样,在只能看到客户端报文流量的情况下也可以计算出服务器端流出的报文流
量,从而实现单向流环境下的双向流检测。 在攻击发生的情况下,一般来说服务器端流出的报文流量会比通常情况下大很 多,可以通过检测服务器端流出报文流量的变化来判断网络中是否有攻击发生,可以根据 通常情况下服务器端流量的大小生成告警门限,如果流量超过此门限则认为攻击发生,从 而启动相应的防范手段进行攻击拦截。 需要进一步说明的是,服务器端流出流量的数据模型可以通过分析服务器网卡流量信息或与服务器相连的交换机端口流量信息进行获取。 有些异常流量发生时并不体现为大流量的产生,这种情况下,也可以综合异常流 量发生时的其它现象判断是否有攻击发生,如包转发速率、网络时延、丢包率、保护服务器 的CPU利用率变化等因素。 基于上述的技术思路,对于如图3所示的应用场景,本发明所提出的技术方案如 图4所示,包括以下步骤 步骤S401、检测设备检测客户端向服务器端发送的TCP报文,获取各条报文的序 列号信息和确认号信息。 由于每个TCP报文中都会包含序列号和确认号信息,所以,检测设备可以在服务 器端所接收的各条报文的固定位置获取相应的序列号信息和确认号信息,按照现有的TCP 报文格式,序列号和确认号都是4个字节,检测设备可以通过预设的获取规则,在报文中相 应的字段位置进行获取。 在对应图3所示的应用场景中,客户端向服务器端发送的TCP报文具体为ACK1和 ACK2两条消息,从ACK1中获取的序列号信息为C:SEQ. pre,从ACKl中获取的确认号信息为 C: ACK. pre,而从ACK2中获取的序列号信息为C: SEQ. next,从ACK2中获取的确认好信息为 C:ACK.證t。 步骤S402、检测设备根据客户端向服务器端发送的各报文之间的序列号之差和报 文大小,确定报文的相邻关系。检测设备计算ACK1和ACK2之间的序列号之差,具体为
C:SEQ. pre-C:SEQ. next 。 检测设备确定ACK1报文的大小,这里的报文大小根据检测设备对客户端向服务 器端发送的各报文的检测结果得到。 进一步的,判断上述的序列号之差与ACK1的报文大小是否相同,如果相同,则确
认ACK1和ACK2相邻,并且属于同一会话,反之,则不能确认ACK1和ACK2相邻。 步骤S403、检测设备根据相邻报文的确认号信息,确定服务器端在这两条相邻报
文之间向客户端发送的报文大小。检测设备计算ACK1和ACK2之间的确认号之差,具体为;
C:ACK.證t-C:ACK. pre。 检测设备依次确定为服务器端在ACK1和ACK2之间向客户端发送的报文的大小, 即为S:DATA. len。 步骤S404、检测设备根据服务器端向客户端发送的报文大小,判断服务器端流量 是否正常。 如果不正常,执行步骤S405 ; 如果正常,返回执行步骤S401,继续进行检测。 步骤S405、检测设备确认服务器端受到攻击。 当检测设备检测到S:DATA. len超过预设的流量阈值时,检测设备确定服务器端 被该客户端攻击;或, 当检测设备检测到S:DATA. len和服务器端与其他客户端之间的流量信息之和超 过预设的流量阈值时,检测设备确定服务器端与各客户端之间存在攻击。
在实际的应用场景中,还可以进一步引入多种攻击判定因素,如包转发速率、网络 时延、丢包率、保护服务器的CPU利用率变化等,具体判定因素种类的变化并不影响本发明 的保护范围。 步骤S406、检测设备对服务器端进行保护处理。
具体的保护处理方式包括 检测设备对待检测设备与发动攻击的至少一个对端设备之间的报文进行拦截;和 /或, 检测设备发出待检测设备被攻击的告警。 在故障排除完毕后,重复执行步骤S401,进行新的检测。 与现有技术相比,本发明具有以下优点 通过应用本发明的技术方案,可以在单向流环境下能够对双向流进行检测,从而 为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低。不 用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。 为了实现本发明的技术方案,本发明还提出了一种检测设备,应用于包括检测设
备、待检测设备和至少一个对端设备的系统中,待检测设备与对端设备之间进行报文交互。 该检测设备的结构示意图如图5所示,具体包括 检测模块51,用于检测对端设备向待检测设备发送的流量信息; 获取模块52,与检测模块51相连接,用于根据检测模块51所检测到的流量信息,
获取待检测设备所接收到的各条报文的序列号信息和确认号信息; 确定模块53,与获取模块52相连接,用于根据获取模块52所获取到的待检测设备 所接收到的各条报文的序列号信息和确认号信息,确定待检测设备向对端设备发送的流量 信息,具体包括 相邻确定子模块531,用于根据各条报文的序列号信息和所检测到的各条报文的 大小,确定各条报文的相邻关系; 流量确定子模块532,用于根据相邻确定子模块531所确定的各条相邻报文的确
认号信息,确定待检测设备在各条相邻报文之间向对端设备发送的流量信息。 判断模块54,与确定模块53相连接,用于根据确定模块53所确定的待检测设备向
对端设备发送的流量信息,对待检测设备进行流量检测。 当判断模块54检测到待检测设备向至少一个对端设备所发送的流量信息超过预 设的流量阈值时,确定待检测设备被至少一个对端设备攻击;或, 当判断模块54检测到待检测设备和各对端设备之间的流量信息之和超过预设的 流量阈值时,确定待检测设备与各对端设备之间存在攻击;或, 当判断模块54检测到待检测设备向至少一个对端设备所发送的流量信息超过预 设的流量阈值时,进一步判断预设的其他攻击判定元素是否达到预设的判定阈值,如果达 到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,确定待检测设备被至 少一个对端设备攻击。 在具体的应用场景中,该检测设备还包括处理模块55,与判断模块54相连接,用 于在判断模块54确定待检测设备被至少一个对端设备攻击,或判断模块确定待检测设备 与各对端设备之间存在攻击之后,对待检测设备与发动攻击的至少一个对端设备之间的报文进行拦截;和/或,发出待检测设备被攻击的告警。
与现有技术相比,本发明具有以下优点 通过应用本发明的技术方案,可以在单向流环境下能够对双向流进行检测,从而 为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低。不 用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通
过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发
明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储
介质(可以是CD-R0M, U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可
以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。 本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或
流程并不一定是实施本发明所必须的。 本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进 行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装 置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。 以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本 领域的技术人员能使之的变化都应落入本发明的保护范围。
权利要求
一种单向流检测模式下的流量检测方法,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,所述待检测设备与所述对端设备之间进行报文交互,所述检测设备检测所述对端设备向所述待检测设备发送的流量信息,其特征在于,所述方法具体包括以下步骤所述检测设备获取所述待检测设备所接收到的各条报文的序列号信息和确认号信息;所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息;所述检测设备根据确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测。
2. 如权利要求1所述的方法,其特征在于,所述检测设备根据所述待检测设备所接收 到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流 量信息,具体为所述检测设备根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确 定所述各条报文的相邻关系;所述检测设备根据各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文 之间向所述对端设备发送的流量信息。
3. 如权利要求2所述的方法,其特征在于,所述检测设备根据所述各条报文的序列号 信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系,具体为所述检测设备按照报文的接收顺序,计算连续接收的两条报文的序列号信息之差; 当所述检测设备判断两条报文的序列号之差等于所检测到的所述两条报文中先被接 收到的一条报文的大小时,所述检测设备确定所述两条报文为相邻报文。
4. 如权利要求2所述的方法,其特征在于,所述检测设备根据各条相邻报文的确认 号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息,具体 为所述检测设备计算两条相邻报文的确认号之差;所述检测设备确定所述确认号之差为所述待检测设备在所述两条相邻报文之间向所 述对端设备发送的报文大小;所述检测设备根据所述待检测设备向所述对端设备发送的各条报文的大小,确定所述 待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
5. 如权利要求1所述的方法,其特征在于,所述检测设备根据确定的所述待检测设备 向所述对端设备发送的流量信息,对所述待检测设备进行流量检测,具体为当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息 超过预设的流量阈值时,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击5或,当所述检测设备检测到所述待检测设备和各所述对端设备之间的流量信息之和超过 预设的流量阈值时,所述检测设备确定所述待检测设备与各所述对端设备之间存在攻击。
6. 如权利要求5所述的方法,其特征在于,当所述检测设备检测到所述待检测设备向 至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击,具体为当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息 超过预设的流量阈值时,所述检测设备判断预设的其他攻击判定元素是否达到预设的判定 阈值;如果所述检测设备判断达到预设的判定阈值的其他攻击判定元素的数量超过预设的 数量阈值,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击。
7. 如权利要求5或6所述的方法,其特征在于,所述检测设备确定所述待检测设备被所 述至少一个对端设备攻击,或所述检测设备确定所述待检测设备与各所述对端设备之间存 在攻击之后,还包括所述检测设备对所述待检测设备与发动攻击的所述至少一个对端设备之间的报文进 行拦截;和/或,所述检测设备发出所述待检测设备被攻击的告警。
8. —种检测设备,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,所述待检测设备与所述对端设备之间进行报文交互,其特征在于,具体包括检测模块,用于检测所述对端设备向所述待检测设备发送的流量信息; 获取模块,与所述检测模块相连接,用于根据所述检测模块所检测到的流量信息,获取所述待检测设备所接收到的各条报文的序列号信息和确认号信息;确定模块,与所述获取模块相连接,用于根据所述获取模块所获取到的所述待检测设 备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备 发送的流量信息;判断模块,与所述检测模块和所述确定模块相连接,用于根据所述确定模块所确定的 所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测。
9. 如权利要求8所述的检测设备,其特征在于,所述确定模块,具体包括 相邻确定子模块,用于根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系;流量确定子模块,用于根据所述相邻确定子模块所确定的各条相邻报文的确认号信 息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
10. 如权利要求8所述的检测设备,其特征在于,所述判断模块,具体用于 当所述判断模块检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,确定所述待检测设备被所述至少一个对端设备攻击;或,当所述判断模块检测到所述待检测设备和各所述对端设备之间的流量信息之和超过预设的流量阈值时,确定所述待检测设备与各所述对端设备之间存在攻击;或,当所述判断模块检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,进一步判断预设的其他攻击判定元素是否达到预设的判定阈值,如果达到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,确定所述待检测设备被所述至少一个对端设备攻击。
11. 如权利要求io所述的检测设备,其特征在于,还包括处理模块,与所述判断模块相连接,用于在所述判断模块确定所述待检测设备被所述至少一个对端设备攻击,或所述判 断模块确定所述待检测设备与各所述对端设备之间存在攻击之后,对所述待检测设备与发动攻击的所述至少一个对端设备之间的报文进行拦截;和/或,发出所述待检测设备被攻 击的告警。
全文摘要
本发明公开了一种单向流检测模式下的流量检测方法和设备,可以在单向流环境下能够根据单向流中的报文序列号和确认号对双向流进行检测,从而为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低,并且不用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。
文档编号H04L12/56GK101795277SQ20101010773
公开日2010年8月4日 申请日期2010年2月10日 优先权日2010年2月10日
发明者杨宏会, 陈光辉 申请人:杭州华三通信技术有限公司