本申請(qǐng)涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,具體涉及一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方法,以及一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)裝置。
背景技術(shù):
Web應(yīng)用越來(lái)越豐富的同時(shí),web服務(wù)器也逐漸成為了主要的攻擊目標(biāo),SQL注入、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等安全事件也頻繁發(fā)生。
通常采用WAF(Web Application Firewall,web應(yīng)用防火墻)作為訪問(wèn)控制設(shè)備來(lái)加強(qiáng)web服務(wù)器的安全,通過(guò)解析web客戶端發(fā)起的請(qǐng)求,對(duì)其中的內(nèi)容進(jìn)行檢測(cè),確保請(qǐng)求的合法性,阻斷非法的請(qǐng)求,可以對(duì)web服務(wù)器進(jìn)行有效防護(hù)。
早期的WAF通常是一種硬件設(shè)備,通過(guò)串聯(lián)或者旁路方式接入到網(wǎng)絡(luò)中,一般適用于IDC(Internet Data Center,互聯(lián)網(wǎng)數(shù)據(jù)中心)機(jī)房或企業(yè)用戶。在當(dāng)前盛行的云計(jì)算網(wǎng)絡(luò)中,提供給用戶的WAF通常是云WAF,即所有的WAF功能都是通過(guò)云端提供,不需要在本地部署產(chǎn)品。其實(shí)現(xiàn)方式為通過(guò)修改用戶終端的NS(Name Serve,域名服務(wù)器)記錄或CNAME記錄(別名記錄)將網(wǎng)絡(luò)流量導(dǎo)入的WAF服務(wù)器。
現(xiàn)有的WAF存在如下弊端:
1、因?yàn)橛布问降腤AF的防護(hù)規(guī)則是預(yù)定義的,在新的漏洞出現(xiàn)后防護(hù)規(guī)則更新困難。并且其部署方式的復(fù)雜性和較高的維護(hù)成本決定了其并不適用于云計(jì)算網(wǎng)絡(luò)環(huán)境。
2、需要用戶自己更改NS記錄或CNAME記錄才能實(shí)現(xiàn)安全防護(hù),增加了用戶的學(xué)習(xí)成本;并且,針對(duì)未接入WAF服務(wù)器的用戶終端,無(wú)法對(duì)web服務(wù)器提供安全防護(hù),在云計(jì)算網(wǎng)絡(luò)中不能達(dá)到100%防護(hù),降低了云計(jì)算網(wǎng)絡(luò)整體的安全性。
3、現(xiàn)有的WAF的處理一般是先完成網(wǎng)絡(luò)請(qǐng)求與所有規(guī)則的匹配后再?zèng)Q定該請(qǐng)求是攔截還是放過(guò),增加了用戶訪問(wèn)Web服務(wù)器的延時(shí)。
4、現(xiàn)有的WAF針對(duì)的是單一網(wǎng)站或單一Web服務(wù)的防護(hù),對(duì)于針對(duì)整個(gè)網(wǎng)絡(luò)的大規(guī)模漏洞掃描感知較差,對(duì)于同一個(gè)攻擊者對(duì)云計(jì)算網(wǎng)絡(luò)的大規(guī)模掃描未作很好的聯(lián)動(dòng)防護(hù)。
技術(shù)實(shí)現(xiàn)要素:
本申請(qǐng)實(shí)施例所要解決的技術(shù)問(wèn)題是提供一種部分或全部解決上述問(wèn)題的基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方法。
相應(yīng)的,本申請(qǐng)實(shí)施例還提供了一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)裝置,用以保證上述方法的實(shí)現(xiàn)及應(yīng)用。
為了解決上述問(wèn)題,本申請(qǐng)公開(kāi)了一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方法,包括:
采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量;
解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù);
通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù);
根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
優(yōu)選地,所述采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量包括:
采用連接在所述網(wǎng)絡(luò)服務(wù)器與所述網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)分光器、網(wǎng)絡(luò)交換機(jī)或集線器,復(fù)制所述網(wǎng)絡(luò)供應(yīng)商服務(wù)器發(fā)送給所述網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量。
優(yōu)選地,所述采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量還包括:
通過(guò)網(wǎng)絡(luò)分流器對(duì)屬于同一次網(wǎng)絡(luò)訪問(wèn)的所述網(wǎng)絡(luò)流量進(jìn)行劃分。
優(yōu)選地,所述網(wǎng)絡(luò)流量為TCP報(bào)文,在所述解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù)之前,所述方法還包括:
確定所述TCP報(bào)文為記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù)。
優(yōu)選地,在所述解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù)之前,所述方法還 包括:
若所述TCP報(bào)文并非記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù),則根據(jù)所述TCP報(bào)文攜帶的編號(hào),將屬于同一次網(wǎng)絡(luò)訪問(wèn)的多個(gè)TCP報(bào)文重組為記錄經(jīng)過(guò)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的一次網(wǎng)絡(luò)訪問(wèn)的Http數(shù)據(jù)。
優(yōu)選地,所述網(wǎng)絡(luò)訪問(wèn)參數(shù)包括統(tǒng)一資源標(biāo)識(shí)符、訪問(wèn)源IP、訪問(wèn)目的IP、Host字段、訪問(wèn)鏈接來(lái)源、用戶代理、cookie和訪問(wèn)請(qǐng)求參數(shù)中至少一種。
優(yōu)選地,所述通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)包括:
針對(duì)對(duì)應(yīng)同一次網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量,將所述網(wǎng)絡(luò)訪問(wèn)參數(shù)與所述預(yù)置規(guī)則匹配,所述預(yù)置規(guī)則指示所述網(wǎng)絡(luò)攻擊源訪問(wèn)所述網(wǎng)絡(luò)服務(wù)器時(shí)攜帶的至少一個(gè)特征數(shù)據(jù),所述預(yù)置規(guī)則包括多條子規(guī)則;
若所述網(wǎng)絡(luò)訪問(wèn)參數(shù)與至少一條所述子規(guī)則匹配,則確定對(duì)應(yīng)的網(wǎng)絡(luò)流量為所述網(wǎng)絡(luò)攻擊源訪問(wèn)所述網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量,并將對(duì)應(yīng)的網(wǎng)絡(luò)訪問(wèn)參數(shù)作為目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。
優(yōu)選地,所述根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接為,根據(jù)與所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)屬于同一次網(wǎng)絡(luò)訪問(wèn)的其它至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
優(yōu)選地,所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)包括所述網(wǎng)絡(luò)攻擊源的統(tǒng)一資源標(biāo)識(shí)符;在所述根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接之前,所述方法還包括:
在與所述統(tǒng)一資源標(biāo)識(shí)符對(duì)應(yīng)同一次網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量中,提取所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP。
優(yōu)選地,所述根據(jù)與所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)屬于同一次網(wǎng)絡(luò)訪問(wèn)的其它至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接包括:
實(shí)時(shí)采集所述網(wǎng)絡(luò)服務(wù)器發(fā)送至所述網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量;
若所述網(wǎng)絡(luò)流量中記錄的訪問(wèn)源IP與所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP匹配,則通過(guò)向所述網(wǎng)絡(luò)攻擊源或所述網(wǎng)絡(luò)服務(wù)器發(fā)送連接復(fù)位報(bào)文來(lái)中斷所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器之間的連接。
優(yōu)選地,所述根據(jù)與所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)屬于同一次網(wǎng)絡(luò)訪問(wèn)的其它至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接包括:
將所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP通知到所述網(wǎng)絡(luò)服務(wù)器所處網(wǎng)絡(luò)集群中包括的多個(gè)網(wǎng)絡(luò)服務(wù)器,以由各個(gè)網(wǎng)絡(luò)服務(wù)器在接收到所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求時(shí),中斷與所述網(wǎng)絡(luò)攻擊源之間的連接。
本申請(qǐng)還提供了一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)裝置,包括:
流量采集模塊,用于采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量;
參數(shù)解析模塊,用于解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù);
參數(shù)查找模塊,用于通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù);
連接禁止模塊,用于根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
優(yōu)選地,所述流量采集模塊包括:
流量復(fù)制子模塊,用于采用連接在所述網(wǎng)絡(luò)服務(wù)器與所述網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)分光器、網(wǎng)絡(luò)交換機(jī)或集線器,復(fù)制所述網(wǎng)絡(luò)供應(yīng)商服務(wù)器發(fā)送給所述網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量。
優(yōu)選地,所述流量采集模塊還包括:
流量劃分子模塊,用于通過(guò)網(wǎng)絡(luò)分流器對(duì)屬于同一次網(wǎng)絡(luò)訪問(wèn)的所述網(wǎng)絡(luò)流量進(jìn)行劃分。
優(yōu)選地,所述網(wǎng)絡(luò)流量為TCP報(bào)文,所述裝置還包括:
流量判斷模塊,用于在所述解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù)之前,確定所述TCP報(bào)文為記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù)。
優(yōu)選地,所述裝置還包括:
流量重組模塊,用于在所述解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù)之前,若所述TCP報(bào)文并非記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù),則根據(jù)所述TCP報(bào)文攜帶的編號(hào),將屬于同一次網(wǎng)絡(luò)訪問(wèn)的多個(gè)TCP報(bào)文重組為記錄經(jīng)過(guò)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的一次網(wǎng)絡(luò)訪問(wèn)的Http數(shù)據(jù)。
優(yōu)選地,所述網(wǎng)絡(luò)訪問(wèn)參數(shù)包括統(tǒng)一資源標(biāo)識(shí)符、訪問(wèn)源IP、訪問(wèn)目的IP、Host字段、訪問(wèn)鏈接來(lái)源、用戶代理、cookie和訪問(wèn)請(qǐng)求參數(shù)中至少一種。
優(yōu)選地,所述參數(shù)查找模塊包括:
規(guī)則匹配子模塊,用于針對(duì)對(duì)應(yīng)同一次網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量,將所述網(wǎng)絡(luò)訪問(wèn)參數(shù)與所述預(yù)置規(guī)則匹配,所述預(yù)置規(guī)則指示所述網(wǎng)絡(luò)攻擊源訪問(wèn)所述網(wǎng)絡(luò)服務(wù)器時(shí)攜帶的至少一個(gè)特征數(shù)據(jù),所述預(yù)置規(guī)則包括多條子規(guī)則;
攻擊流量確定子模塊,用于若所述網(wǎng)絡(luò)訪問(wèn)參數(shù)與至少一條所述子規(guī)則匹配,則確定對(duì)應(yīng)的網(wǎng)絡(luò)流量為所述網(wǎng)絡(luò)攻擊源訪問(wèn)所述網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量,并將對(duì)應(yīng)的網(wǎng)絡(luò)訪問(wèn)參數(shù)作為目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。
優(yōu)選地,所述連接禁止模塊,具體用于根據(jù)與所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)屬于同一次網(wǎng)絡(luò)訪問(wèn)的其它至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
優(yōu)選地,所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)包括所述網(wǎng)絡(luò)攻擊源的統(tǒng)一資源標(biāo)識(shí)符;所述裝置還包括:
IP提取模塊,用于在所述根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接之前,在與所述統(tǒng)一資源標(biāo)識(shí)符對(duì)應(yīng)同一次網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量中,提取所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP。
優(yōu)選地,所述連接禁止模塊包括:
實(shí)時(shí)流量獲取子模塊,用于實(shí)時(shí)采集所述網(wǎng)絡(luò)服務(wù)器發(fā)送至所述網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量;
第一連接中斷子模塊,用于若所述網(wǎng)絡(luò)流量中記錄的訪問(wèn)源IP與所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP匹配,則通過(guò)向所述網(wǎng)絡(luò)攻擊源或所述網(wǎng)絡(luò)服務(wù)器發(fā)送連接復(fù)位報(bào)文來(lái)中斷所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器之間的連接。
優(yōu)選地,所述連接禁止模塊包括:
第二連接中斷子模塊,用于將所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP通知到所述網(wǎng)絡(luò)服務(wù)器所處網(wǎng)絡(luò)集群中包括的多個(gè)網(wǎng)絡(luò)服務(wù)器,以由各個(gè)網(wǎng)絡(luò)服務(wù)器在接收到所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求時(shí),中斷與所述網(wǎng)絡(luò)攻擊源之間的連接。
與現(xiàn)有技術(shù)相比,本申請(qǐng)實(shí)施例包括以下優(yōu)點(diǎn):
依據(jù)本申請(qǐng)實(shí)施例,采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量,并從中解析出相關(guān)的網(wǎng)絡(luò)訪問(wèn)參數(shù),進(jìn)一步通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),并以此為依據(jù)監(jiān)控攻擊源的網(wǎng)絡(luò)攻擊,禁止網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。采用本申請(qǐng)實(shí)施例的方案,無(wú)需對(duì)客戶端或外部服務(wù)器進(jìn)行任何設(shè)置操作,降低了用戶的學(xué)習(xí)成本;相比于傳統(tǒng)需要接入WAF服務(wù)器的方式,本申請(qǐng)實(shí)施例針對(duì)所有訪問(wèn)網(wǎng)絡(luò)服務(wù)器的客戶端或外部服務(wù)器,無(wú)需接入WAF服務(wù)器,都可以進(jìn)行安全檢測(cè),為網(wǎng)絡(luò)服務(wù)器提供100%的安全防護(hù),提高了云計(jì)算網(wǎng)絡(luò)整體的安全性。
并且,本申請(qǐng)實(shí)施例通過(guò)規(guī)則匹配挖掘出網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),以此為依據(jù)對(duì)實(shí)時(shí)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,相比于傳統(tǒng)的臨時(shí)對(duì)網(wǎng)絡(luò)請(qǐng)求進(jìn)行規(guī)則匹配進(jìn)行檢測(cè)的方式,可以減少用戶訪問(wèn)Web服務(wù)器的延時(shí),縮短用戶獲取網(wǎng)絡(luò)服務(wù)的等待時(shí)間。
本申請(qǐng)實(shí)施例對(duì)應(yīng)的系統(tǒng)可以以軟件形式部署于任意適用的服務(wù)器或硬件裝置,相比于硬件形式的WAF采用預(yù)定義的防護(hù)規(guī)則的方式,新的漏洞出現(xiàn)后僅僅對(duì)防護(hù)規(guī)則進(jìn)行更新即可,部署方便簡(jiǎn)單,大大降低了維護(hù)成本,可以更好地應(yīng)用于云計(jì)算網(wǎng)絡(luò)環(huán)境。
依據(jù)本申請(qǐng)實(shí)施例,還可以將挖掘的網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)通知至網(wǎng)絡(luò)集群中所有網(wǎng)絡(luò)服務(wù)器,從而可以針對(duì)同一個(gè)網(wǎng)絡(luò)攻擊源對(duì)云計(jì)算網(wǎng)絡(luò)的大規(guī)模掃描進(jìn)行聯(lián)動(dòng)防護(hù)。
并且,本申請(qǐng)還可以通過(guò)識(shí)別目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),關(guān)聯(lián)同一次網(wǎng)絡(luò)訪問(wèn) 中的至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),以關(guān)聯(lián)的網(wǎng)絡(luò)訪問(wèn)參數(shù)為依據(jù)進(jìn)行攻擊防護(hù),從而可以對(duì)網(wǎng)絡(luò)攻擊源進(jìn)行更全面的防護(hù),避免規(guī)則匹配不完善導(dǎo)致防護(hù)不夠全面的問(wèn)題。
進(jìn)一步,傳統(tǒng)防火墻工作在OSI(Open System Interconnect,開(kāi)放式系統(tǒng)互聯(lián))七層模型的第三、四層,目前已無(wú)法滿足web應(yīng)用的七層防護(hù)需求。本申請(qǐng)實(shí)施例中可以重組記錄經(jīng)過(guò)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的一次網(wǎng)絡(luò)訪問(wèn)的Http數(shù)據(jù),依據(jù)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的Http數(shù)據(jù)的多種網(wǎng)絡(luò)訪問(wèn)參數(shù)識(shí)別網(wǎng)絡(luò)攻擊源,以禁止其訪問(wèn)網(wǎng)絡(luò)服務(wù)器,相比于僅僅工作在第三、四層的傳統(tǒng)防火墻,本申請(qǐng)實(shí)施例的網(wǎng)絡(luò)防護(hù)更為全面,更好地維護(hù)了網(wǎng)絡(luò)服務(wù)器的安全。
上述說(shuō)明僅是本申請(qǐng)技術(shù)方案的概述,為了能夠更清楚了解本申請(qǐng)的技術(shù)手段,而可依照說(shuō)明書的內(nèi)容予以實(shí)施,并且為了讓本申請(qǐng)的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本申請(qǐng)的具體實(shí)施方式。
附圖說(shuō)明
圖1示出了根據(jù)本申請(qǐng)一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方法實(shí)施例1的步驟流程圖;
圖2示出了根據(jù)本申請(qǐng)一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方法實(shí)施例2的步驟流程圖;
圖3示出了本申請(qǐng)實(shí)施例的一個(gè)示例中硬件設(shè)備連接示意圖;
圖4示出了本申請(qǐng)實(shí)施例的一個(gè)示例中TCP報(bào)文重組的示意圖;
圖5示出了本申請(qǐng)實(shí)施例的一個(gè)示例中阻斷攻擊的示意圖;
圖6示出了根據(jù)本申請(qǐng)一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)裝置實(shí)施例1的結(jié)構(gòu)框圖;
圖7示出了根據(jù)本申請(qǐng)一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)裝置實(shí)施例2的結(jié)構(gòu)框圖。
具體實(shí)施方式
為使本申請(qǐng)的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖和具體實(shí)施方式對(duì)本申請(qǐng)作進(jìn)一步詳細(xì)的說(shuō)明。
參照?qǐng)D1,示出了本申請(qǐng)的一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方法實(shí)施例1的步驟流程圖,具體可以包括如下步驟:
步驟101,采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量。
客戶端或外部服務(wù)器訪問(wèn)網(wǎng)絡(luò)供應(yīng)商提供的互聯(lián)網(wǎng)時(shí),網(wǎng)絡(luò)訪問(wèn)請(qǐng)求經(jīng)網(wǎng)絡(luò)路由設(shè)備傳送到網(wǎng)絡(luò)供應(yīng)商提供的網(wǎng)絡(luò)服務(wù)器,網(wǎng)絡(luò)服務(wù)器根據(jù)網(wǎng)絡(luò)訪問(wèn)請(qǐng)求反饋的信息進(jìn)一步從網(wǎng)絡(luò)服務(wù)器傳送到網(wǎng)絡(luò)路由設(shè)備,進(jìn)一步傳送到客戶端或外部服務(wù)器。
本申請(qǐng)實(shí)施例中,在網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間采集的網(wǎng)絡(luò)流量,既包括從網(wǎng)絡(luò)服務(wù)器發(fā)送至網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量,也包括從網(wǎng)絡(luò)路由設(shè)備發(fā)送至網(wǎng)絡(luò)服務(wù)器的網(wǎng)絡(luò)流量,采集的網(wǎng)絡(luò)流量中記錄了多個(gè)客戶端或外部服務(wù)器對(duì)網(wǎng)絡(luò)服務(wù)器的多次訪問(wèn)過(guò)程,以及訪問(wèn)過(guò)程中網(wǎng)絡(luò)服務(wù)器收到或發(fā)出的全部數(shù)據(jù)包。
步驟102,解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù)。
網(wǎng)絡(luò)流量中記錄了與本次訪問(wèn)互聯(lián)網(wǎng)相關(guān)的參數(shù),記為網(wǎng)絡(luò)訪問(wèn)參數(shù),解析出參數(shù)可以進(jìn)一步用于分析攻擊網(wǎng)絡(luò)服務(wù)器的網(wǎng)絡(luò)攻擊源,網(wǎng)絡(luò)攻擊源可以是任意訪問(wèn)網(wǎng)絡(luò)服務(wù)器的一端,例如客戶端或是其他外部服務(wù)器,網(wǎng)絡(luò)訪問(wèn)參數(shù)可以是網(wǎng)絡(luò)流量中包括的各種數(shù)據(jù),本申請(qǐng)對(duì)此并不作限制。
本申請(qǐng)的一種優(yōu)選實(shí)施例中,從網(wǎng)絡(luò)流量中解析得到的網(wǎng)絡(luò)訪問(wèn)參數(shù)可以包括統(tǒng)一資源標(biāo)識(shí)符URI、訪問(wèn)源IP、訪問(wèn)目的IP、Host字段、訪問(wèn)鏈接來(lái)源、用戶代理(User Agent)、cookie和訪問(wèn)請(qǐng)求參數(shù)中至少一種。
其中,URI為網(wǎng)絡(luò)訪問(wèn)請(qǐng)求對(duì)應(yīng)訪問(wèn)的網(wǎng)頁(yè)地址;訪問(wèn)源IP為發(fā)送網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的客戶端的IP地址;訪問(wèn)目的IP為保存該網(wǎng)頁(yè)的服務(wù)器的IP地址;Host字段標(biāo)識(shí)請(qǐng)求訪問(wèn)的網(wǎng)頁(yè)域名;訪問(wèn)鏈接來(lái)源(Refferer)表示鏈接到當(dāng)前網(wǎng)頁(yè)的來(lái)源,即當(dāng)前訪問(wèn)網(wǎng)頁(yè)的前一個(gè)網(wǎng)頁(yè),以圖片為例,Refferer是指該圖片所在的網(wǎng)頁(yè);用戶代理(User-Agent)是一種特殊字符串頭,使得服務(wù)器能夠識(shí)別客戶端使用的操作系統(tǒng)及版本、CPU類型、瀏覽 器及版本、瀏覽器渲染引擎、瀏覽器語(yǔ)言、瀏覽器插件等;訪問(wèn)請(qǐng)求參數(shù)包括例如GET、POST對(duì)應(yīng)的結(jié)構(gòu)體數(shù)據(jù)。
具體而言,客戶端訪問(wèn)網(wǎng)頁(yè)時(shí),向網(wǎng)絡(luò)服務(wù)器發(fā)送網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,以Http(Hyper Text Transfer Protocol,超文本傳輸協(xié)議)格式的訪問(wèn)請(qǐng)求為例,訪問(wèn)請(qǐng)求由一個(gè)起始行,一個(gè)或者多個(gè)頭域,一個(gè)只是頭域結(jié)束的空行和可選的消息體組成。頭域包括通用頭、請(qǐng)求頭、響應(yīng)頭和實(shí)體頭四個(gè)部分,其中,請(qǐng)求頭包含了客戶端或外部服務(wù)器向網(wǎng)絡(luò)服務(wù)器傳遞關(guān)于訪問(wèn)請(qǐng)求或者關(guān)于客戶端所在終端或外部服務(wù)器的附加信息。
如下例所示Http網(wǎng)絡(luò)訪問(wèn)請(qǐng)求:
GET http://download.microtool.de:80/somedata.exe
Host:download.microtool.de
Accept:*/*
Pragma:no-cache
Cache-Control:no-cache
Referer:http://download.microtool.de/
User-Agent:Mozilla/4.04[en](Win95;I;Nav)
Range:bytes=554554-
其中,URI為http://download.microtool.de:80/somedata.exe,Host為download.microtool.de,Referer為http://download.microtool.de/,User-Agent為Mozilla/4.04[en](Win95;I;Nav)。
步驟103,通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。
預(yù)先對(duì)網(wǎng)絡(luò)攻擊源進(jìn)行分析,統(tǒng)計(jì)網(wǎng)絡(luò)攻擊源訪問(wèn)互聯(lián)網(wǎng)時(shí)在網(wǎng)絡(luò)訪問(wèn)參數(shù)中攜帶的各種特征數(shù)據(jù),進(jìn)一步建立根據(jù)這些特征數(shù)據(jù)篩選網(wǎng)絡(luò)攻擊源對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)的規(guī)則。
例如,預(yù)置規(guī)則可以是,網(wǎng)絡(luò)訪問(wèn)參數(shù)中包含或是不包含某個(gè)預(yù)設(shè)的特征數(shù)據(jù)(例如and),或是某個(gè)特征數(shù)據(jù)出現(xiàn)的次數(shù)超過(guò)或是小于一定閾值等各種情況。預(yù)置規(guī)則可以是一條規(guī)則,也可以由多條規(guī)則組成,可以設(shè)定滿 足所有規(guī)則或是一定數(shù)量的規(guī)則,則該網(wǎng)絡(luò)訪問(wèn)參數(shù)確定為目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。在具體實(shí)現(xiàn)中,還可以采用任意適用的規(guī)則,本申請(qǐng)對(duì)此并不做限制。
步驟104,根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
從網(wǎng)絡(luò)流量中解析并分析出網(wǎng)絡(luò)攻擊源對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)后,在客戶端或外部服務(wù)器與網(wǎng)絡(luò)服務(wù)器之間的訪問(wèn)行為進(jìn)行監(jiān)控時(shí),可以根據(jù)目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)監(jiān)控網(wǎng)絡(luò)攻擊源的行為,進(jìn)而在發(fā)現(xiàn)網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器時(shí),禁止與網(wǎng)絡(luò)服務(wù)器建立連接。
具體可以通過(guò)監(jiān)控網(wǎng)絡(luò)流量,例如發(fā)現(xiàn)網(wǎng)絡(luò)流量中攜帶該目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)時(shí),來(lái)防止網(wǎng)絡(luò)攻擊;或是,具體監(jiān)控網(wǎng)絡(luò)流量中的三次握手或是四次揮手,通過(guò)監(jiān)控其中的特定網(wǎng)絡(luò)訪問(wèn)參數(shù),來(lái)防止網(wǎng)絡(luò)攻擊;還可以選用其他任意適用的方式,本申請(qǐng)對(duì)此并不做限制。
綜上,依據(jù)本申請(qǐng)實(shí)施例,采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量,并從中解析出相關(guān)的網(wǎng)絡(luò)訪問(wèn)參數(shù),進(jìn)一步通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),并以此為依據(jù)監(jiān)控攻擊源的網(wǎng)絡(luò)攻擊,禁止網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。采用本申請(qǐng)實(shí)施例的方案,無(wú)需對(duì)客戶端或外部服務(wù)器進(jìn)行任何設(shè)置操作,降低了用戶的學(xué)習(xí)成本;相比于傳統(tǒng)需要接入WAF服務(wù)器的方式,本申請(qǐng)實(shí)施例針對(duì)所有訪問(wèn)網(wǎng)絡(luò)服務(wù)器的客戶端或外部服務(wù)器,無(wú)需接入WAF服務(wù)器,都可以進(jìn)行安全檢測(cè),為網(wǎng)絡(luò)服務(wù)器提供100%的安全防護(hù),提高了云計(jì)算網(wǎng)絡(luò)整體的安全性。
并且,本申請(qǐng)實(shí)施例通過(guò)規(guī)則匹配挖掘出網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),以此為依據(jù)對(duì)實(shí)時(shí)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,相比于傳統(tǒng)的臨時(shí)對(duì)網(wǎng)絡(luò)請(qǐng)求進(jìn)行規(guī)則匹配進(jìn)行檢測(cè)的方式,可以減少用戶訪問(wèn)Web服務(wù)器的延時(shí),縮短用戶獲取網(wǎng)絡(luò)服務(wù)的等待時(shí)間。
本申請(qǐng)實(shí)施例對(duì)應(yīng)的系統(tǒng)可以以軟件形式部署于任意適用的服務(wù)器或硬件裝置,例如,可以部署在連接在網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間網(wǎng)絡(luò)流量的采集設(shè)備上,或是部署在網(wǎng)絡(luò)服務(wù)器上,或是將步驟101-103部署在采 集設(shè)備上,步驟104部署在網(wǎng)絡(luò)服務(wù)器的多個(gè)協(xié)議層中某一層,例如,針對(duì)采用OSI七層模型的網(wǎng)絡(luò)服務(wù)器,可以將步驟104對(duì)應(yīng)實(shí)施在IP層(三層網(wǎng)絡(luò)層),或是TCP/UDP層(四層傳輸層)等,用于該層的防護(hù)。相比于硬件形式的WAF采用預(yù)定義的防護(hù)規(guī)則的方式,新的漏洞出現(xiàn)對(duì)規(guī)則進(jìn)行更新即可,部署方便簡(jiǎn)單,大大降低了維護(hù)成本,可以更好地應(yīng)用于云計(jì)算網(wǎng)絡(luò)環(huán)境。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述步驟101可以包括:
子步驟S1、采用連接在所述網(wǎng)絡(luò)服務(wù)器與所述網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)分光器、網(wǎng)絡(luò)交換機(jī)或集線器,復(fù)制所述網(wǎng)絡(luò)供應(yīng)商服務(wù)器發(fā)送給所述網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量。
可以通過(guò)在網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間設(shè)置網(wǎng)絡(luò)分光器來(lái)采集網(wǎng)絡(luò)流量的鏡像文件,網(wǎng)絡(luò)分光器連接在光纖傳輸過(guò)程,用于對(duì)通過(guò)光纖傳輸?shù)臄?shù)據(jù)進(jìn)行復(fù)制,即原來(lái)的流量正常通行,同時(shí)將監(jiān)控的流量復(fù)制出來(lái)供分析使用。還可以在網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)路由設(shè)備之間設(shè)置網(wǎng)絡(luò)交換機(jī)、集線器或是其他任意適用的設(shè)備來(lái)采集網(wǎng)絡(luò)流量的鏡像文件,本申請(qǐng)對(duì)此并不做限制。其中,網(wǎng)絡(luò)分光器連接在光纖傳輸過(guò)程,用于對(duì)通過(guò)光纖傳輸?shù)臄?shù)據(jù)進(jìn)行復(fù)制,即原來(lái)的流量正常通行,同時(shí)將監(jiān)控的流量復(fù)制出來(lái)供分析使用;網(wǎng)絡(luò)交換機(jī)是擴(kuò)大網(wǎng)絡(luò)的硬件,可以為子網(wǎng)絡(luò)提供更多的連接端口,從而擴(kuò)展網(wǎng)絡(luò)中接入的終端設(shè)備;集線器在網(wǎng)絡(luò)傳輸中起到對(duì)接收到的信號(hào)進(jìn)行再生整形放大以擴(kuò)大網(wǎng)絡(luò)的傳輸距離的作用。相比于網(wǎng)絡(luò)交換機(jī)和集線器,通過(guò)分光器獲取鏡像流量可以避免對(duì)交換機(jī)或集線器CPU性能的影響。
本申請(qǐng)實(shí)施例中,優(yōu)選地,還可以將連接在所述網(wǎng)絡(luò)服務(wù)器與所述網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)分光器、網(wǎng)絡(luò)交換機(jī)或采集器等設(shè)備與網(wǎng)絡(luò)分流器連接,所述步驟101還可以包括:通過(guò)網(wǎng)絡(luò)分流器對(duì)屬于同一次網(wǎng)絡(luò)訪問(wèn)的所述網(wǎng)絡(luò)流量進(jìn)行劃分。
網(wǎng)絡(luò)分流器將采集的鏈路數(shù)據(jù)分流進(jìn)入采集接口,為互聯(lián)網(wǎng)信息安全監(jiān)控系統(tǒng)采集數(shù)據(jù)。通過(guò)對(duì)網(wǎng)絡(luò)分流器輸入數(shù)據(jù),進(jìn)行復(fù)制、匯聚、過(guò)濾、協(xié)議轉(zhuǎn)換等步驟,輸出時(shí)保證同一網(wǎng)絡(luò)訪問(wèn)的所有網(wǎng)絡(luò)流量從同一個(gè)接口輸 出。具體可以根據(jù)網(wǎng)絡(luò)流量中數(shù)據(jù)包攜帶的IP地址、訪問(wèn)時(shí)間、訪問(wèn)源IP、訪問(wèn)目的IP等)對(duì)不同次的網(wǎng)絡(luò)流量進(jìn)行劃分,也可以按照其他預(yù)設(shè)標(biāo)識(shí)進(jìn)行劃分。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述步驟103可以包括:
子步驟S2、針對(duì)對(duì)應(yīng)同一次網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量,將所述網(wǎng)絡(luò)訪問(wèn)參數(shù)與所述預(yù)置規(guī)則匹配,所述預(yù)置規(guī)則指示所述網(wǎng)絡(luò)攻擊源訪問(wèn)所述網(wǎng)絡(luò)服務(wù)器時(shí)攜帶的至少一個(gè)特征數(shù)據(jù),所述預(yù)置規(guī)則包括多條子規(guī)則;
子步驟S3、若所述網(wǎng)絡(luò)訪問(wèn)參數(shù)與至少一條所述子規(guī)則匹配,則確定對(duì)應(yīng)的網(wǎng)絡(luò)流量為所述網(wǎng)絡(luò)攻擊源訪問(wèn)所述網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量,并將對(duì)應(yīng)的網(wǎng)絡(luò)訪問(wèn)參數(shù)作為目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。
預(yù)先設(shè)置符合網(wǎng)絡(luò)攻擊源的預(yù)置規(guī)則,與該預(yù)置規(guī)則匹配的網(wǎng)絡(luò)流量則為網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器時(shí)產(chǎn)生的網(wǎng)絡(luò)流量。預(yù)置規(guī)則可以根據(jù)實(shí)際需求設(shè)置,例如,可以根據(jù)網(wǎng)絡(luò)攻擊源對(duì)應(yīng)網(wǎng)絡(luò)流量中的特征數(shù)據(jù)設(shè)置預(yù)置規(guī)則。具體的規(guī)則匹配可以采用不同的方式,例如,預(yù)置規(guī)則為網(wǎng)絡(luò)訪問(wèn)參數(shù)中包括具備某個(gè)特征數(shù)據(jù),或是網(wǎng)絡(luò)訪問(wèn)參數(shù)中該特征數(shù)據(jù)出現(xiàn)的次數(shù)超出了一定的閾值等,本申請(qǐng)對(duì)此并不做限制。
本申請(qǐng)實(shí)施例中,所述根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接為,根據(jù)與所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)屬于同一次網(wǎng)絡(luò)訪問(wèn)的其它至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
在具體實(shí)現(xiàn)中,可以將查找的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)添加到阻斷名單,以該目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)作為監(jiān)控網(wǎng)絡(luò)攻擊源的標(biāo)識(shí),例如,識(shí)別URI包括“and”后,確定該URI為攻擊源訪問(wèn)網(wǎng)絡(luò)產(chǎn)生,可以根據(jù)該URI監(jiān)控并禁止網(wǎng)絡(luò)攻擊源對(duì)網(wǎng)絡(luò)服務(wù)器的連接;還可以根據(jù)該目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),查找與之屬于同一次網(wǎng)絡(luò)訪問(wèn)的其它至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),將查找的網(wǎng)絡(luò)訪問(wèn)參數(shù)添加到阻斷名單,以該網(wǎng)絡(luò)訪問(wèn)參數(shù)作為監(jiān)控網(wǎng)絡(luò)攻擊源的標(biāo)識(shí)。例如,識(shí)別URI包括“and”后,確定該URI為攻擊源訪問(wèn)網(wǎng)絡(luò)產(chǎn)生,進(jìn)一步查找本次訪問(wèn)中網(wǎng)絡(luò)攻擊源的IP后,可以根據(jù)需求進(jìn)行設(shè)定,既可以采用URI,也 可以根據(jù)該IP監(jiān)控并禁止網(wǎng)絡(luò)攻擊源對(duì)網(wǎng)絡(luò)服務(wù)器的連接。
因此,通過(guò)識(shí)別目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),并關(guān)聯(lián)同一次網(wǎng)絡(luò)訪問(wèn)中的至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),以關(guān)聯(lián)的網(wǎng)絡(luò)訪問(wèn)參數(shù)為依據(jù)進(jìn)行攻擊防護(hù),從而可以對(duì)網(wǎng)絡(luò)攻擊源進(jìn)行更全面的防護(hù),避免規(guī)則匹配不完善導(dǎo)致防護(hù)不夠全面的問(wèn)題。
可以理解的,為了實(shí)現(xiàn)更全面的防護(hù),還可以對(duì)網(wǎng)絡(luò)流量中盡可能多的網(wǎng)絡(luò)訪問(wèn)參數(shù)進(jìn)行關(guān)聯(lián),可以在提取網(wǎng)絡(luò)訪問(wèn)參數(shù)之前,確定網(wǎng)絡(luò)流量是否為完整的Http數(shù)據(jù),若不是,則可以進(jìn)行數(shù)據(jù)重組以獲得完整的Http數(shù)據(jù)。
相應(yīng)優(yōu)選地,所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)可以包括所述網(wǎng)絡(luò)攻擊源的統(tǒng)一資源標(biāo)識(shí)符URI;在所述根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接之前,所述方法還可以包括:
在與所述統(tǒng)一資源標(biāo)識(shí)符對(duì)應(yīng)同一次網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量中,提取所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP。
進(jìn)一步,在本申請(qǐng)的一種優(yōu)選實(shí)施例中,可以通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)攻擊源產(chǎn)生的網(wǎng)絡(luò)流量來(lái)禁止網(wǎng)絡(luò)攻擊源與網(wǎng)絡(luò)服務(wù)器建立連接,所述步驟104可以包括:
子步驟S5、實(shí)時(shí)采集所述網(wǎng)絡(luò)服務(wù)器發(fā)送至所述網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量;
子步驟S6、若所述網(wǎng)絡(luò)流量中記錄的訪問(wèn)源IP與所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP匹配,則通過(guò)向所述網(wǎng)絡(luò)攻擊源或所述網(wǎng)絡(luò)服務(wù)器發(fā)送連接復(fù)位報(bào)文來(lái)中斷所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器之間的連接。
本申請(qǐng)通過(guò)實(shí)時(shí)采集網(wǎng)絡(luò)流量,識(shí)別網(wǎng)絡(luò)流量中是否包括網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP,若包括,則確定為網(wǎng)絡(luò)攻擊源產(chǎn)生的網(wǎng)絡(luò)流量。具體優(yōu)選地,可以通過(guò)解析網(wǎng)絡(luò)流量中三次握手信息來(lái)識(shí)別網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP,當(dāng)上述步驟104部署在采集設(shè)備時(shí),可以通過(guò)解析網(wǎng)絡(luò)流量中的三次握手信息進(jìn)行識(shí)別,當(dāng)上述步驟104部署在網(wǎng)絡(luò)服務(wù)器的某一層時(shí),可以在該層接收到三次握手信息時(shí),識(shí)別網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP。
三次握手協(xié)議是指在發(fā)送數(shù)據(jù)的準(zhǔn)備階段,提供服務(wù)器的目標(biāo)服務(wù)器和 客戶端或外部服務(wù)器之間需要進(jìn)行三次交互:
第一次握手:客戶端或外部服務(wù)器發(fā)送SYN包(SYN=j(luò))到目標(biāo)服務(wù)器,并進(jìn)入SYN_SEND狀態(tài),等待目標(biāo)務(wù)器確認(rèn)。
第二次握手:目標(biāo)服務(wù)器收到SYN包,必須確認(rèn)SYN(ACK=j(luò)+1),同時(shí)自己也發(fā)送一個(gè)SYN包(SYN=k),即SYN-ACK包,此時(shí)目標(biāo)服務(wù)器進(jìn)入SYN_RECV狀態(tài)。
第三次握手:客戶端或外部服務(wù)器收到目標(biāo)服務(wù)器的SYN-ACK包,向目標(biāo)服務(wù)器發(fā)送確認(rèn)包ACK(ACK=k+1),此包發(fā)送完畢,客戶端或外部服務(wù)器和目標(biāo)服務(wù)器進(jìn)入ESTABLISHED狀態(tài),完成三次握手。
連接建立后,客戶端或外部服務(wù)器和目標(biāo)服務(wù)器就可以開(kāi)始進(jìn)行數(shù)據(jù)傳輸了。
本申請(qǐng)實(shí)施例中,可以通過(guò)監(jiān)控客戶端或外部服務(wù)器發(fā)往目標(biāo)服務(wù)器的SYN報(bào)文或是目標(biāo)服務(wù)器發(fā)往客戶端或外部服務(wù)器的SYN-ACK報(bào)文,通過(guò)解析報(bào)文,識(shí)別網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP,進(jìn)一步可以通過(guò)向目標(biāo)服務(wù)器或客戶端/外部服務(wù)器發(fā)送連接復(fù)位報(bào)文(RST報(bào)文)來(lái)中斷網(wǎng)絡(luò)攻擊源與網(wǎng)絡(luò)服務(wù)器之間的連接。
進(jìn)一步,在本申請(qǐng)的另一種優(yōu)選實(shí)施例中,可以設(shè)置網(wǎng)絡(luò)服務(wù)器阻止網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器,所述步驟104可以包括:
子步驟S7、將所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP通知到所述網(wǎng)絡(luò)服務(wù)器所處網(wǎng)絡(luò)集群中包括的多個(gè)網(wǎng)絡(luò)服務(wù)器,以由各個(gè)網(wǎng)絡(luò)服務(wù)器在接收到所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求時(shí),中斷與所述網(wǎng)絡(luò)攻擊源之間的連接。
識(shí)別某個(gè)網(wǎng)絡(luò)攻擊源訪問(wèn)某個(gè)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量后,可以提取該網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP,進(jìn)一步通過(guò)識(shí)別該訪問(wèn)源IP達(dá)到阻止網(wǎng)絡(luò)訪問(wèn)源訪問(wèn)的目的,具體可以通知該訪問(wèn)源IP至其訪問(wèn)的網(wǎng)絡(luò)服務(wù)器,阻止該網(wǎng)絡(luò)攻擊源訪問(wèn)該網(wǎng)絡(luò)服務(wù)器,或是同時(shí)將訪問(wèn)源IP發(fā)送到其訪問(wèn)的網(wǎng)絡(luò)服務(wù)器所處網(wǎng)絡(luò)集群中的多個(gè)網(wǎng)絡(luò)服務(wù)器,阻止該網(wǎng)絡(luò)攻擊源訪問(wèn)該網(wǎng)絡(luò)集群中的所有網(wǎng)絡(luò)服務(wù)器,從而可以針對(duì)同一個(gè)網(wǎng)絡(luò)攻擊源對(duì)云計(jì)算網(wǎng)絡(luò)的大規(guī)模掃描進(jìn)行聯(lián)動(dòng)防護(hù)。
參照?qǐng)D2,示出了本申請(qǐng)的一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方法實(shí)施例2的步驟流程圖,具體可以包括如下步驟:
步驟201,采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量,所述網(wǎng)絡(luò)流量為TCP報(bào)文。
客戶端或外部服務(wù)器在網(wǎng)絡(luò)傳輸層與網(wǎng)絡(luò)服務(wù)器建立網(wǎng)絡(luò)連接,進(jìn)一步在應(yīng)用層進(jìn)行數(shù)據(jù)傳輸。根據(jù)網(wǎng)絡(luò)傳輸層采用的傳輸協(xié)議的不同,網(wǎng)絡(luò)流量可以是對(duì)應(yīng)傳輸協(xié)議下的不同格式的數(shù)據(jù)。以網(wǎng)絡(luò)傳輸層采用的傳輸協(xié)議為TCP協(xié)議(Transmission Control Protocol傳輸控制協(xié)議)為例,對(duì)應(yīng)在應(yīng)用層采用的傳輸協(xié)議為Http(HyperText Transfer Protocol,超文本傳輸協(xié)議),本申請(qǐng)對(duì)應(yīng)監(jiān)控的網(wǎng)絡(luò)流量為TCP報(bào)文。
步驟202,確定所述TCP報(bào)文為記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù)。
網(wǎng)絡(luò)訪問(wèn)過(guò)程中經(jīng)過(guò)OSI模型七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)進(jìn)行數(shù)據(jù)傳輸,從低到高依次為應(yīng)用層、表示層、會(huì)話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層和物理層,因此,一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程記錄了經(jīng)過(guò)這七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的Http數(shù)據(jù)。
可理解的是,記錄一次完整網(wǎng)絡(luò)訪問(wèn)過(guò)程的網(wǎng)絡(luò)流量,其中包括經(jīng)過(guò)多層網(wǎng)絡(luò)傳輸協(xié)議增加至網(wǎng)絡(luò)流量中的多種參數(shù),例如完整的http數(shù)據(jù),對(duì)種類齊全的多種網(wǎng)絡(luò)訪問(wèn)參數(shù)進(jìn)行規(guī)則匹配,可以實(shí)現(xiàn)更全面的防護(hù),若網(wǎng)絡(luò)流量并不完整,可以進(jìn)行重組,例如針對(duì)OSI模型傳輸?shù)木W(wǎng)絡(luò)流量可以進(jìn)行七層重組。
判斷TCP報(bào)文是否為Http數(shù)據(jù)并記錄了一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程時(shí),可以首先通過(guò)判斷TCP報(bào)文中是否包括HTTP、GET、PUT或POST字段可以確定TCP報(bào)文是否為Http請(qǐng)求,進(jìn)一步判斷該報(bào)文是否為完整的Http請(qǐng)求。優(yōu)選可以通過(guò)確定HTTP請(qǐng)求頭結(jié)束以確定為完整的Http請(qǐng)求,還可以通過(guò)關(guān)鍵詞判斷、報(bào)文長(zhǎng)度判斷等任意適用的判斷方法。以判斷請(qǐng)求頭結(jié)束為例,針對(duì)HTTP GET請(qǐng)求,若檢測(cè)到以\r\n\r\n結(jié)尾,則確定該請(qǐng)求頭結(jié)束; 針對(duì)HTTP POST請(qǐng)求頭,若檢測(cè)到以\r\n\r\n結(jié)尾,并且數(shù)據(jù)部分的長(zhǎng)度符合請(qǐng)求頭中Content-Length字段指定的長(zhǎng)度,則確定該請(qǐng)求頭結(jié)束。
步驟203,若所述TCP報(bào)文并非記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù),則根據(jù)所述TCP報(bào)文攜帶的編號(hào),將屬于同一次網(wǎng)絡(luò)訪問(wèn)的多個(gè)TCP報(bào)文重組為記錄經(jīng)過(guò)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的一次網(wǎng)絡(luò)訪問(wèn)的Http數(shù)據(jù)。
若所述TCP報(bào)文為Http數(shù)據(jù)且記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程,則可以直接提取其中的網(wǎng)絡(luò)訪問(wèn)參數(shù),若未記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程,則需要對(duì)不完整的TCP報(bào)文進(jìn)行重組。
屬于同一次網(wǎng)絡(luò)訪問(wèn)過(guò)程的TCP報(bào)文會(huì)攜帶關(guān)聯(lián)的報(bào)文編號(hào),因此,可以將具備相同報(bào)文編號(hào)的TCP報(bào)文組合,得到記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù)。優(yōu)選的,屬于同一次網(wǎng)絡(luò)訪問(wèn)過(guò)程的TCP報(bào)文的報(bào)文編號(hào)會(huì)以字節(jié)為單位遞增,后一個(gè)TCP報(bào)文的報(bào)文編號(hào)為前一個(gè)TCP報(bào)文的報(bào)文編號(hào)與該前一個(gè)TCP報(bào)文長(zhǎng)度之和,因此,若檢測(cè)到多個(gè)TCP報(bào)文符合該編號(hào)規(guī)則,則可以確定為屬于同一次網(wǎng)絡(luò)訪問(wèn)過(guò)程的多個(gè)TCP報(bào)文。
步驟204,解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù)。
步驟205,通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。
重組后得到的Http數(shù)據(jù)中記錄了多種網(wǎng)絡(luò)訪問(wèn)參數(shù),可以根據(jù)實(shí)際需求對(duì)應(yīng)設(shè)置一種或多種規(guī)則進(jìn)行匹配,從而可以根據(jù)多種網(wǎng)絡(luò)訪問(wèn)參數(shù)進(jìn)行識(shí)別,對(duì)監(jiān)控網(wǎng)絡(luò)攻擊源的更為全面。
步驟206,根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
具體可以根據(jù)查找到的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)為依據(jù)進(jìn)行網(wǎng)絡(luò)攻擊防護(hù),也可以提取七層重組后記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù)中記錄的多個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),將查找到的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)與Http數(shù)據(jù)中記錄的至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù)進(jìn)行關(guān)聯(lián),以所有關(guān)聯(lián)的網(wǎng)絡(luò)訪問(wèn)參數(shù)為依據(jù)進(jìn)行網(wǎng)絡(luò)攻擊防護(hù),具體采用何種網(wǎng)絡(luò)訪問(wèn)參數(shù)為依據(jù)可以根據(jù)實(shí)際需求設(shè)置,本申請(qǐng)對(duì)此并不做限制。
依據(jù)本申請(qǐng)實(shí)施例,采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量,并從中解析出相關(guān)的網(wǎng)絡(luò)訪問(wèn)參數(shù),進(jìn)一步通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),并以此為依據(jù)監(jiān)控攻擊源的網(wǎng)絡(luò)攻擊,禁止網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。采用本申請(qǐng)實(shí)施例的方案,無(wú)需對(duì)客戶端或外部服務(wù)器進(jìn)行任何設(shè)置操作,降低了用戶的學(xué)習(xí)成本;相比于傳統(tǒng)需要接入WAF服務(wù)器的方式,本申請(qǐng)實(shí)施例針對(duì)所有訪問(wèn)網(wǎng)絡(luò)服務(wù)器的客戶端或外部服務(wù)器,無(wú)需接入WAF服務(wù)器,都可以進(jìn)行安全檢測(cè),為網(wǎng)絡(luò)服務(wù)器提供100%的安全防護(hù),提高了云計(jì)算網(wǎng)絡(luò)整體的安全性。
并且,本申請(qǐng)實(shí)施例通過(guò)規(guī)則匹配挖掘出網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),以此為依據(jù)對(duì)實(shí)時(shí)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,相比于傳統(tǒng)的臨時(shí)對(duì)網(wǎng)絡(luò)請(qǐng)求進(jìn)行規(guī)則匹配進(jìn)行檢測(cè)的方式,可以減少用戶訪問(wèn)Web服務(wù)器的延時(shí),縮短用戶獲取網(wǎng)絡(luò)服務(wù)的等待時(shí)間。
本申請(qǐng)實(shí)施例對(duì)應(yīng)的系統(tǒng)可以以軟件形式部署于任意適用的服務(wù)器或硬件裝置,相比于硬件形式的WAF采用預(yù)定義的防護(hù)規(guī)則的方式,新的漏洞出現(xiàn)對(duì)規(guī)則進(jìn)行更新即可,部署方便簡(jiǎn)單,大大降低了維護(hù)成本,可以更好地應(yīng)用于云計(jì)算網(wǎng)絡(luò)環(huán)境。
依據(jù)本申請(qǐng)實(shí)施例,還可以將挖掘的網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)通知至網(wǎng)絡(luò)集群中所有網(wǎng)絡(luò)服務(wù)器,從而可以針對(duì)同一個(gè)網(wǎng)絡(luò)攻擊源對(duì)云計(jì)算網(wǎng)絡(luò)的大規(guī)模掃描進(jìn)行聯(lián)動(dòng)防護(hù)。
進(jìn)一步,傳統(tǒng)防火墻工作在OSI(Open System Interconnect,開(kāi)放式系統(tǒng)互聯(lián))七層模型的第三、四層,目前已無(wú)法滿足web應(yīng)用的七層防護(hù)需求。本申請(qǐng)實(shí)施例中可以重組記錄經(jīng)過(guò)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的一次網(wǎng)絡(luò)訪問(wèn)的Http數(shù)據(jù),依據(jù)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的Http數(shù)據(jù)的多種網(wǎng)絡(luò)訪問(wèn)參數(shù)識(shí)別網(wǎng)絡(luò)攻擊源,以禁止其訪問(wèn)網(wǎng)絡(luò)服務(wù)器,相比于僅僅工作在第三、四層的傳統(tǒng)傳統(tǒng)防火墻,本申請(qǐng)實(shí)施例的網(wǎng)絡(luò)防護(hù)更為全面,更好地維護(hù)了網(wǎng)絡(luò)服務(wù)器的安全。
需要說(shuō)明的是,對(duì)于方法實(shí)施例,為了簡(jiǎn)單描述,故將其都表述為一 系列的動(dòng)作組合,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉,本申請(qǐng)實(shí)施例并不受所描述的動(dòng)作順序的限制,因?yàn)橐罁?jù)本申請(qǐng)實(shí)施例,某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次,本領(lǐng)域技術(shù)人員也應(yīng)該知悉,說(shuō)明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例,所涉及的動(dòng)作并不一定是本申請(qǐng)實(shí)施例所必須的。
為使本領(lǐng)域技術(shù)人員更好的理解本申請(qǐng),以下通過(guò)具體示例對(duì)本申請(qǐng)實(shí)施例的基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方案進(jìn)行說(shuō)明。
參考圖3示出了本申請(qǐng)實(shí)施例的一個(gè)示例中硬件設(shè)備連接示意圖。
在ISP(Internet Service Provider,互聯(lián)網(wǎng)服務(wù)提供商)的服務(wù)器與核心路由器之間連接分光器和分流器,流量自運(yùn)營(yíng)商側(cè)進(jìn)行分光,然后通過(guò)分流器,到達(dá)采集器,分發(fā)至采集器1和采集器2。采集器是鏡像流量的接收服務(wù)器,一般安裝有適用于處理需求的網(wǎng)卡萬(wàn)兆網(wǎng)卡,運(yùn)行著實(shí)現(xiàn)本申請(qǐng)實(shí)施例的旁路WAF系統(tǒng),可以包括流量采集子系統(tǒng)、HTTP重組子系統(tǒng)、HTTP信息提取子系統(tǒng)、規(guī)則匹配子系統(tǒng)、旁路阻斷子系統(tǒng)和日志子系統(tǒng)六部分。
本申請(qǐng)方案的實(shí)施過(guò)程如下:
采集器驅(qū)動(dòng)收到數(shù)據(jù)流量后,選取發(fā)送至目的端口的數(shù)據(jù)流量并復(fù)制,進(jìn)一步由HTTP重組子系統(tǒng)進(jìn)行七層重組。
圖4示出了本申請(qǐng)實(shí)施例的一個(gè)示例中TCP報(bào)文重組的示意圖。
HTTP重組子系統(tǒng)將同一個(gè)流的TCP報(bào)文段進(jìn)行重組,得到完整的HTTP請(qǐng)求,重組的過(guò)程包括:
對(duì)于驅(qū)動(dòng)上傳的目的端口(此處為端口80)的每一個(gè)TCP報(bào)文,根據(jù)HTTP、GET、PUT或者POST等關(guān)鍵詞確定為HTTP請(qǐng)求,則進(jìn)一步檢查該報(bào)文是否是完整的HTTP請(qǐng)求,若是,則發(fā)送到HTTP信息提取子系統(tǒng),否則緩存該報(bào)文;針對(duì)緩存中的HTTP請(qǐng)求進(jìn)行重組時(shí),緩存重組的依據(jù)是TCP序號(hào),重組完成后,最終將所有完整的HTTP請(qǐng)求發(fā)送到HTTP信息提取子系統(tǒng)。
HTTP信息提取子系統(tǒng)將重組結(jié)束的HTTP信息進(jìn)行處理,提取其中的 URI、源IP、目的IP、Host、Refferer、user agent、cookie、請(qǐng)求參數(shù)等信息用于規(guī)則匹配。
規(guī)則匹配子系統(tǒng)根據(jù)HTTP信息提取子系統(tǒng)提取的相關(guān)信息進(jìn)行所有規(guī)則的匹配,只要其中一條規(guī)則匹配成功則認(rèn)為是攻擊事件,并將攻擊者的IP添加到阻隔名單中,禁止該IP訪問(wèn)所有云計(jì)算集群內(nèi)的Web服務(wù)器。WAF規(guī)則為多條子規(guī)則直接的與或關(guān)鍵的邏輯表達(dá)式。每條子規(guī)則為單一HTTP信息的特征說(shuō)明,如URI中包含“and”為一子規(guī)則,URI是HTTP信息提取子系統(tǒng)提取出的一種HTTP信息。
對(duì)攻擊者進(jìn)行阻隔是由旁路阻斷子系統(tǒng)實(shí)施的。旁路阻斷原理為通過(guò)鏡像流量實(shí)時(shí)監(jiān)聽(tīng)惡意IP的TCP三次握手信息,通過(guò)發(fā)送TCP RST報(bào)文,使惡意IP無(wú)法與VM建立TCP連接,從而達(dá)到保護(hù)云計(jì)算集群內(nèi)VM的目的。圖5示出了本申請(qǐng)實(shí)施例的一個(gè)示例中阻斷攻擊的示意圖,具體的流程包括:
1、規(guī)則匹配子系統(tǒng)將命中規(guī)則的攻擊者IP通過(guò)調(diào)用旁路阻隔子系統(tǒng)API添加到阻隔列表。
2、外部服務(wù)器向云計(jì)算VM發(fā)送SYN報(bào)文,采集器實(shí)時(shí)監(jiān)控由云計(jì)算集群內(nèi)機(jī)器發(fā)往外部服務(wù)器的SYN-ACK報(bào)文,將報(bào)文中包括的目的IP與阻隔列表進(jìn)行精確匹配。
3、如果目的IP在阻隔列表中,則其為攻擊者IP,根據(jù)SYN-ACK的TCP序號(hào),組織一個(gè)TCP RST報(bào)文發(fā)送給云計(jì)算VM內(nèi)的服務(wù)器,該報(bào)文中目的IP為云計(jì)算集群內(nèi)服務(wù)器IP,源IP為攻擊IP。
4、通過(guò)發(fā)送TCP RST報(bào)文可以中斷攻擊者IP與云計(jì)算VM之間的連接,使得阻隔列表中的攻擊者IP不能完成TCP三次握手,無(wú)法繼續(xù)攻擊云計(jì)算集群的服務(wù)器。
5、日志子系統(tǒng)記錄Web攻擊事件和阻斷攻擊的事件,記錄內(nèi)容有攻擊者源IP、被攻擊IP、攻擊請(qǐng)求、攻擊命中規(guī)則編號(hào)、阻隔事件源IP、源端口、目的IP、阻斷時(shí)間等。
其中,需要說(shuō)明的是,也可以在在SYN報(bào)文發(fā)出時(shí)進(jìn)行攔截和匹配IP的操作,旁路阻斷子系統(tǒng)也可以向通過(guò)攻擊者發(fā)送RST來(lái)達(dá)到阻斷三次握 手目的。
優(yōu)選地,流量采集子系統(tǒng)中的驅(qū)動(dòng)收包模塊可以有DPDK、pf_ring、libpcap、ixgbe驅(qū)動(dòng)修改等多種方法實(shí)現(xiàn);實(shí)現(xiàn)本申請(qǐng)實(shí)施例所述方法的代碼可以采用任意適用的語(yǔ)言編寫,例如C語(yǔ)言;在具體實(shí)現(xiàn)中可以采用任意適用的處理器架構(gòu),優(yōu)選可以采用X86(The X86architecture,微處理器執(zhí)行的計(jì)算機(jī)語(yǔ)言指令集)架構(gòu)。
參照?qǐng)D6,示出了本申請(qǐng)一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)裝置實(shí)施例1的結(jié)構(gòu)框圖,具體可以包括如下模塊:
流量采集模塊301,用于采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量。
參數(shù)解析模塊302,用于解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù)。
參數(shù)查找模塊303,用于通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。
連接禁止模塊304,用于根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述流量采集模塊可以包括:
流量復(fù)制子模塊,用于采用連接在所述網(wǎng)絡(luò)服務(wù)器與所述網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)分光器、網(wǎng)絡(luò)交換機(jī)或集線器,復(fù)制所述網(wǎng)絡(luò)供應(yīng)商服務(wù)器發(fā)送給所述網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量。
進(jìn)一步優(yōu)選地,所述流量采集模塊還可以包括:
流量劃分子模塊,用于通過(guò)網(wǎng)絡(luò)分流器對(duì)屬于同一次網(wǎng)絡(luò)訪問(wèn)的所述網(wǎng)絡(luò)流量進(jìn)行劃分。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述網(wǎng)絡(luò)訪問(wèn)參數(shù)包括統(tǒng)一資源標(biāo)識(shí)符、訪問(wèn)源IP、訪問(wèn)目的IP、Host字段、訪問(wèn)鏈接來(lái)源、用戶代理、cookie和訪問(wèn)請(qǐng)求參數(shù)中至少一種。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述參數(shù)查找模塊包括:
規(guī)則匹配子模塊,用于針對(duì)對(duì)應(yīng)同一次網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量,將所述網(wǎng) 絡(luò)訪問(wèn)參數(shù)與所述預(yù)置規(guī)則匹配,所述預(yù)置規(guī)則指示所述網(wǎng)絡(luò)攻擊源訪問(wèn)所述網(wǎng)絡(luò)服務(wù)器時(shí)攜帶的至少一個(gè)特征數(shù)據(jù),所述預(yù)置規(guī)則包括多條子規(guī)則;
攻擊流量確定子模塊,用于若所述網(wǎng)絡(luò)訪問(wèn)參數(shù)與至少一條所述子規(guī)則匹配,則確定對(duì)應(yīng)的網(wǎng)絡(luò)流量為所述網(wǎng)絡(luò)攻擊源訪問(wèn)所述網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量,并將對(duì)應(yīng)的網(wǎng)絡(luò)訪問(wèn)參數(shù)作為目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述連接禁止模塊,可以具體用于根據(jù)與所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)屬于同一次網(wǎng)絡(luò)訪問(wèn)的其它至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)可以包括所述網(wǎng)絡(luò)攻擊源的統(tǒng)一資源標(biāo)識(shí)符;所述裝置還可以包括:
IP提取模塊,用于在所述根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接之前,在與所述統(tǒng)一資源標(biāo)識(shí)符對(duì)應(yīng)同一次網(wǎng)絡(luò)訪問(wèn)的網(wǎng)絡(luò)流量中,提取所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述連接禁止模塊包括:
實(shí)時(shí)流量獲取子模塊,用于實(shí)時(shí)采集所述網(wǎng)絡(luò)服務(wù)器發(fā)送至所述網(wǎng)絡(luò)路由設(shè)備的網(wǎng)絡(luò)流量;
第一連接中斷子模塊,用于若所述網(wǎng)絡(luò)流量中記錄的訪問(wèn)源IP與所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP匹配,則通過(guò)向所述網(wǎng)絡(luò)攻擊源或所述網(wǎng)絡(luò)服務(wù)器發(fā)送連接復(fù)位報(bào)文來(lái)中斷所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器之間的連接。
本申請(qǐng)實(shí)施例中,優(yōu)選地,所述連接禁止模塊包括:
第二連接中斷子模塊,用于將所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP通知到所述網(wǎng)絡(luò)服務(wù)器所處網(wǎng)絡(luò)集群中包括的多個(gè)網(wǎng)絡(luò)服務(wù)器,以由各個(gè)網(wǎng)絡(luò)服務(wù)器在接收到所述網(wǎng)絡(luò)攻擊源的訪問(wèn)源IP的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求時(shí),中斷與所述網(wǎng)絡(luò)攻擊源之間的連接。
依據(jù)本申請(qǐng)實(shí)施例,采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量,并從中解析出相關(guān)的網(wǎng)絡(luò)訪問(wèn)參數(shù),進(jìn)一步通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),并以此為依據(jù)監(jiān)控攻擊源的網(wǎng)絡(luò)攻擊,禁止網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立 連接。采用本申請(qǐng)實(shí)施例的方案,無(wú)需對(duì)客戶端或外部服務(wù)器進(jìn)行任何設(shè)置操作,降低了用戶的學(xué)習(xí)成本;相比于傳統(tǒng)需要接入WAF服務(wù)器的方式,本申請(qǐng)實(shí)施例針對(duì)所有訪問(wèn)網(wǎng)絡(luò)服務(wù)器的客戶端或外部服務(wù)器,無(wú)需接入WAF服務(wù)器,都可以進(jìn)行安全檢測(cè),為網(wǎng)絡(luò)服務(wù)器提供100%的安全防護(hù),提高了云計(jì)算網(wǎng)絡(luò)整體的安全性。
并且,本申請(qǐng)實(shí)施例通過(guò)規(guī)則匹配挖掘出網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),以此為依據(jù)對(duì)實(shí)時(shí)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,相比于傳統(tǒng)的臨時(shí)對(duì)網(wǎng)絡(luò)請(qǐng)求進(jìn)行規(guī)則匹配進(jìn)行檢測(cè)的方式,可以減少用戶訪問(wèn)Web服務(wù)器的延時(shí),縮短用戶獲取網(wǎng)絡(luò)服務(wù)的等待時(shí)間。
本申請(qǐng)還可以通過(guò)識(shí)別目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),關(guān)聯(lián)同一次網(wǎng)絡(luò)訪問(wèn)中的至少一個(gè)網(wǎng)絡(luò)訪問(wèn)參數(shù),以關(guān)聯(lián)的網(wǎng)絡(luò)訪問(wèn)參數(shù)為依據(jù)進(jìn)行攻擊防護(hù),從而可以對(duì)網(wǎng)絡(luò)攻擊源進(jìn)行更全面的防護(hù),避免規(guī)則匹配不完善導(dǎo)致防護(hù)不夠全面的問(wèn)題。
本申請(qǐng)實(shí)施例對(duì)應(yīng)的系統(tǒng)可以以軟件形式部署于任意適用的服務(wù)器或硬件裝置,相比于硬件形式的WAF采用預(yù)定義的防護(hù)規(guī)則的方式,新的漏洞出現(xiàn)對(duì)規(guī)則進(jìn)行更新即可,部署方便簡(jiǎn)單,大大降低了維護(hù)成本,可以更好地應(yīng)用于云計(jì)算網(wǎng)絡(luò)環(huán)境。
此外,依據(jù)本申請(qǐng)實(shí)施例,還可以將挖掘的網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)通知至網(wǎng)絡(luò)集群中所有網(wǎng)絡(luò)服務(wù)器,從而可以針對(duì)同一個(gè)網(wǎng)絡(luò)攻擊源對(duì)云計(jì)算網(wǎng)絡(luò)的大規(guī)模掃描進(jìn)行聯(lián)動(dòng)防護(hù)。
參照?qǐng)D7,示出了本申請(qǐng)一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)裝置實(shí)施例2的結(jié)構(gòu)框圖,具體可以包括如下模塊:
流量采集模塊401,用于采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量,所述網(wǎng)絡(luò)流量為TCP報(bào)文。
流量判斷模塊402,用于確定所述TCP報(bào)文為記錄一次完整的網(wǎng)絡(luò)訪問(wèn)過(guò)程的Http數(shù)據(jù)。
流量重組模塊403,用于若所述TCP報(bào)文并非記錄一次完整的網(wǎng)絡(luò)訪問(wèn) 過(guò)程的Http數(shù)據(jù),則根據(jù)所述TCP報(bào)文攜帶的編號(hào),將屬于同一次網(wǎng)絡(luò)訪問(wèn)的多個(gè)TCP報(bào)文重組為記錄經(jīng)過(guò)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的一次網(wǎng)絡(luò)訪問(wèn)的Http數(shù)據(jù)。
參數(shù)解析模塊404,用于解析所述網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)訪問(wèn)參數(shù)。
參數(shù)查找模塊405,用于通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)。
連接禁止模塊406,用于根據(jù)所述目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)禁止所述網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。
依據(jù)本申請(qǐng)實(shí)施例,采集經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器與網(wǎng)絡(luò)路由設(shè)備之間的網(wǎng)絡(luò)流量,并從中解析出相關(guān)的網(wǎng)絡(luò)訪問(wèn)參數(shù),進(jìn)一步通過(guò)與預(yù)置規(guī)則匹配,查找由網(wǎng)絡(luò)攻擊源訪問(wèn)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的網(wǎng)絡(luò)流量對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),并以此為依據(jù)監(jiān)控攻擊源的網(wǎng)絡(luò)攻擊,禁止網(wǎng)絡(luò)攻擊源與所述網(wǎng)絡(luò)服務(wù)器建立連接。采用本申請(qǐng)實(shí)施例的方案,無(wú)需對(duì)客戶端或外部服務(wù)器進(jìn)行任何設(shè)置操作,降低了用戶的學(xué)習(xí)成本;相比于傳統(tǒng)需要接入WAF服務(wù)器的方式,本申請(qǐng)實(shí)施例針對(duì)所有訪問(wèn)網(wǎng)絡(luò)服務(wù)器的客戶端或外部服務(wù)器,無(wú)需接入WAF服務(wù)器,都可以進(jìn)行安全檢測(cè),為網(wǎng)絡(luò)服務(wù)器提供100%的安全防護(hù),提高了云計(jì)算網(wǎng)絡(luò)整體的安全性。
并且,本申請(qǐng)實(shí)施例通過(guò)規(guī)則匹配挖掘出網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù),以此為依據(jù)對(duì)實(shí)時(shí)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,相比于傳統(tǒng)的臨時(shí)對(duì)網(wǎng)絡(luò)請(qǐng)求進(jìn)行規(guī)則匹配進(jìn)行檢測(cè)的方式,可以減少用戶訪問(wèn)Web服務(wù)器的延時(shí),縮短用戶獲取網(wǎng)絡(luò)服務(wù)的等待時(shí)間。
本申請(qǐng)實(shí)施例對(duì)應(yīng)的系統(tǒng)可以以軟件形式部署于任意適用的服務(wù)器或硬件裝置,相比于硬件形式的WAF采用預(yù)定義的防護(hù)規(guī)則的方式,新的漏洞出現(xiàn)對(duì)規(guī)則進(jìn)行更新即可,部署方便簡(jiǎn)單,大大降低了維護(hù)成本,可以更好地應(yīng)用于云計(jì)算網(wǎng)絡(luò)環(huán)境。
依據(jù)本申請(qǐng)實(shí)施例,還可以將挖掘的網(wǎng)絡(luò)攻擊源的目標(biāo)網(wǎng)絡(luò)訪問(wèn)參數(shù)通知至網(wǎng)絡(luò)集群中所有網(wǎng)絡(luò)服務(wù)器,從而可以針對(duì)同一個(gè)網(wǎng)絡(luò)攻擊源對(duì)云計(jì)算網(wǎng)絡(luò)的大規(guī)模掃描進(jìn)行聯(lián)動(dòng)防護(hù)。
進(jìn)一步,傳統(tǒng)防火墻工作在OSI(Open System Interconnect,開(kāi)放式系統(tǒng)互聯(lián))七層模型的第三、四層,目前已無(wú)法滿足web應(yīng)用的七層防護(hù)需求。本申請(qǐng)實(shí)施例中可以重組記錄經(jīng)過(guò)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的一次網(wǎng)絡(luò)訪問(wèn)的Http數(shù)據(jù),依據(jù)七層網(wǎng)絡(luò)傳輸結(jié)構(gòu)的Http數(shù)據(jù)的多種網(wǎng)絡(luò)訪問(wèn)參數(shù)識(shí)別網(wǎng)絡(luò)攻擊源,以禁止其訪問(wèn)網(wǎng)絡(luò)服務(wù)器,相比于僅僅工作在第三、四層的傳統(tǒng)傳統(tǒng)防火墻,本申請(qǐng)實(shí)施例的網(wǎng)絡(luò)防護(hù)更為全面,更好地維護(hù)了網(wǎng)絡(luò)服務(wù)器的安全。
對(duì)于裝置實(shí)施例而言,由于其與方法實(shí)施例基本相似,所以描述的比較簡(jiǎn)單,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。
本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本申請(qǐng)實(shí)施例的實(shí)施例可提供為方法、裝置、或計(jì)算機(jī)程序產(chǎn)品。因此,本申請(qǐng)實(shí)施例可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本申請(qǐng)實(shí)施例可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
在一個(gè)典型的配置中,所述計(jì)算機(jī)設(shè)備包括一個(gè)或多個(gè)處理器(CPU)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。內(nèi)存可能包括計(jì)算機(jī)可讀介質(zhì)中的非永久性存儲(chǔ)器,隨機(jī)存取存儲(chǔ)器(RAM)和/或非易失性內(nèi)存等形式,如只讀存儲(chǔ)器(ROM)或閃存(flash RAM)。內(nèi)存是計(jì)算機(jī)可讀介質(zhì)的示例。計(jì)算機(jī)可讀介質(zhì)包括永久性和非永久性、可移動(dòng)和非可移動(dòng)媒體可以由任何方法或技術(shù)來(lái)實(shí)現(xiàn)信息存儲(chǔ)。信息可以是計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計(jì)算機(jī)的存儲(chǔ)介質(zhì)的例子包括,但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)、其他類型的隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器 (ROM)、電可擦除可編程只讀存儲(chǔ)器(EEPROM)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲(chǔ)器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲(chǔ)、磁盒式磁帶,磁帶磁磁盤存儲(chǔ)或其他磁性存儲(chǔ)設(shè)備或任何其他非傳輸介質(zhì),可用于存儲(chǔ)可以被計(jì)算設(shè)備訪問(wèn)的信息。按照本文中的界定,計(jì)算機(jī)可讀介質(zhì)不包括非持續(xù)性的電腦可讀媒體(transitory media),如調(diào)制的數(shù)據(jù)信號(hào)和載波。
本申請(qǐng)實(shí)施例是參照根據(jù)本申請(qǐng)實(shí)施例的方法、終端設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過(guò)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。
這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。
這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備上,使得在計(jì)算機(jī)或其他可編程終端設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其他可編程終端設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。
盡管已描述了本申請(qǐng)實(shí)施例的優(yōu)選實(shí)施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對(duì)這些實(shí)施例做出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本申請(qǐng)實(shí)施例范圍的所有變更和修改。
最后,還需要說(shuō)明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù) 語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái),而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過(guò)程、方法、物品或者終端設(shè)備不僅包括那些要素,而且還包括沒(méi)有明確列出的其他要素,或者是還包括為這種過(guò)程、方法、物品或者終端設(shè)備所固有的要素。在沒(méi)有更多限制的情況下,由語(yǔ)句“包括一個(gè)……”限定的要素,并不排除在包括所述要素的過(guò)程、方法、物品或者終端設(shè)備中還存在另外的相同要素。
以上對(duì)本申請(qǐng)所提供的一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)方法和一種基于流量分析的網(wǎng)絡(luò)攻擊防護(hù)裝置,進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本申請(qǐng)的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說(shuō)明只是用于幫助理解本申請(qǐng)的方法及其核心思想;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本申請(qǐng)的思想,在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,本說(shuō)明書內(nèi)容不應(yīng)理解為對(duì)本申請(qǐng)的限制。