基于全流量存储回溯系统的synflood攻击存储方法与流程

 本发明一般涉及网络安全领域，并且更具体地，涉及基于全流量存储回溯系统的syn flood攻击存储方法。

背景技术：

1、对于安全厂商而言，全流量存储回溯系统通常具有数据包采集、协议解码与分析、流量统计、故障诊断与性能管理等多种功能为一体的网络分析产品，能够提供高精度网络诊断分析，多层次展现网络通讯全景，有效地帮助网络管理者梳理网络应用。syn flood泛洪攻击是当前最流行的dos(denial of service，拒绝服务攻击)与ddos(distributeddenial of service，分布式拒绝服务攻击)的方式之一，它是利用tcp协议缺陷，发送大量伪造的tcp syn连接请求，从而使得被攻击方资源耗尽(cpu满负荷或内存不足)的攻击方式，最终导致系统或服务器宕机。当遭遇syn泛洪攻击时，全流量存储回溯系统会因为海量的攻击而导致存储空间突然变大，其次因为syn flood攻击的ip地址大多为伪造，短时间内的海量攻击会由于攻击ip地址数量的骤增导致检索性能大幅下降。当前的厂商中，对synflood攻击的处理基本上都是完整存储报文与索引相关，甚至有的系统都没有分析流量是否为攻击流量，从而导致占用大量存储空间并且影响检索性能。

技术实现思路

1、根据本发明的实施例，提供了一种基于全流量存储回溯系统的syn flood攻击存储方案。本方案能够大幅节省存储空间，提升目的ip检索性能，提升攻击报文的分析回溯功能。

2、在本发明的第一方面，提供了一种基于全流量存储回溯系统的syn flood攻击存储方法。该方法包括：

3、s101、获取报文，提取所述报文的目的ip地址；

4、s102、根据所述目的ip地址对映射关系表进行查询，若所述映射关系表中存在所述目的ip地址对应的映射关系组，则执行s103；否则建立所述目的ip地址的映射关系组，将所述目的ip地址的映射关系组加入到所述映射关系表；所述映射关系组包括第一映射关系和第二映射关系；所述第一映射关系为目的ip地址与攻击ip地址之间的1：n映射关系；所述第二映射关系为攻击ip地址与syn flood攻击交互报文之间的1：m映射关系；

5、s103、查询所述第一映射关系，若所述第一映射关系中存在所述报文的源ip地址，则执行s104；否则，在所述第一映射关系中添加所述源ip；

6、s104、判断所述第一映射关系中是否存在所述源ip地址对应的第二映射关系，若存在，则执行s105；否则新建所述源ip对应的第二映射关系，执行s105；

7、s105、判断所述报文的攻击模式是否为模板关联模式，若是，则使用所述模板关联模式关联的模板创建所述源ip地址对应的第二映射关系；否则根据所述报文的报文类型将所述报文存储到第二映射关系中。

8、进一步地，所述将所述目的ip的映射关系组加入到所述映射关系表，包括：

9、在所述映射关系表中新建目的ip地址，并新建所述目的ip地址对应的第一映射关系，将所述目的ip地址对应的源ip地址加入到所述第一映射关系中。

10、进一步地，所述判断所述报文的攻击模式是否为模板关联模式，包括：

11、s401、对于同一会话的报文，获取上一报文的类型和上一报文的序列号以及当前报文的类型和当前报文的序列号；

12、s402、若上一报文的类型为序列号请求且当前报文的类型为序列号响应，则执行s403；

13、s403、若所述当前报文的序列号是所述上一报文的序列号的下一序列，则syn响应报文序列号类型正确，执行s404；否则syn响应报文序列号类型错误，执行s405；

14、s404、判断在第一时间内是否收到报文，若是，则所述报文的攻击模式为正常模式；否则所述报文的攻击模式关联第一模板；

15、s405、判断在第二时间内是否收到reset报文，若是，则所述报文的攻击模式为正常模式；否则所述报文的攻击模式关联第一模板。

16、进一步地，所述第一模板包括源端口号、目的端口号、syn的序列号、syn的确认应答号及其各自对应的存储空间；

17、所述第二模板为：源端口号、目的端口号、syn-seq信息、syn-ack-seq信息、syn-ack-error-seq信息及其各自对应的存储空间。

18、进一步地，当所述报文的攻击模式关联所述第一模板时，使用所述模板关联模式关联的模板创建所述源ip对应的第二映射关系，包括：

19、若所述报文为syn报文，则以所述第一模板新建一个空项目，提取syn报文的源端口号、目的端口号、syn-seq信息记录到所述第一模板对应的空项目；

20、若所述报文为syn-ack报文，则提取syn-ack报文的源端口号、目的端口号、syn-ack-seq信息；根据源端口号和目的端口号查找对应项目，若找到对应项目，则将syn-ack-seq信息记录到所述对应项目中；若未找到对应项目，则以所述第一模板新建一个空项目，将syn-ack报文的源端口号、目的端口号、syn-ack-seq信息记录到所述第一模板对应的空项目中。

21、进一步地，当所述报文的攻击模式关联所述第二模板时，使用所述模板关联模式关联的模板创建所述源ip对应的第二映射关系，包括：

22、若所述报文为syn报文，则提取syn报文的源端口号、目的端口号、syn-seq信息记录到所述第二模板对应的空项目；

23、若所述报文为syn-ack报文，则提取syn-ack报文的源端口号、目的端口号、syn-ack-seq信息、syn-ack-error-seq信息；根据源端口号和目的端口号查找对应项目，若找到对应项目，则将syn-ack-seq信息记录到所述对应项目中；若未找到对应项目，则以所述第二模板新建一个空项目，将syn-ack报文的源端口号、目的端口号、syn-ack-seq信息记录到所述第二模板对应的空项目中。

24、进一步地，所述在所述第一映射关系中添加所述源ip，包括：

25、根据所述报文的源ip更新所述第一映射关系中的源ip地址和fix_info字段。

26、进一步地，所述根据所述报文的报文类型将所述报文存储到第二映射关系中，包括：

27、提取所述报文的类型、序列号、源端口号和目的端口号；以及从第一映射关系中提取上一报文的类型、序列号、源端口号和目的端口号；

28、若所述报文的类型与上一报文的类型相同，则更新所述报文的第一映射关系中的序列号；否则，在第二映射关系中新增一项，类型为所述报文的类型且数量为1，并以该新增项更新第一映射关系。

29、在本发明的第二方面，提供了一种电子设备。该电子设备至少一个处理器；以及与所述至少一个处理器通信连接的存储器；所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明第一方面的方法。

30、在本发明的第三方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使所述计算机执行本发明第一方面的方法。

31、应当理解，
技术实现要素：
部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征，亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。