网络攻击检测方法、装置、计算机设备及存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种网络攻击检测方法、装置、计算机设备及存储介质。


背景技术：

2.ddos(distributed denial of service，分布式拒绝服务)攻击有一种是耗费带宽的，有一种是通过耗费tcp(transmission control protocol，传输控制协议)连接数等资源的。当我们发现有ddos攻击的时候一般都采取的做法是阻断发起ddos攻击源ip(internet protocol，网际互连协议)。而黑客通过源ip伪造技术发起耗费tcp连接数的攻击，让很多用户无法及时阻断真正的ddos攻击源，导致业务瘫痪。
3.针对这一类问题，传统的ip包流量识别仅对ip包头的5元组进行分析，来确定当前流量的基本信息，仅仅分析数据包网络层和传输层的内容，对ip数据业务和内容不能进行深度分析。因此，现有网络攻击检测的效率和准确率较低。


技术实现要素：

4.本技术实施例提供一种网络攻击检测方法、装置、计算机设备及存储介质，用于提高网络攻击检测的效率和准确率。
5.本发明实施例提供一种网络攻击检测方法，所述方法包括：
6.确定所述待分析流量数据中具有相同五元组的数据包数量；
7.若所述具有相同五元组的数据包tcp三次握手成功，所述具有相同五元组的数据包数量大于第一数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第二数值，则确定所述目标服务器遭受到网络攻击；或；
8.若所述具有相同五元组的数据包tcp三次握手失败，所述具有相同五元组的数据包数量小于第三数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第四数值，则确定所述目标服务器遭受到网络攻击。
9.本发明实施例提供一种网络攻击检测装置，所述装置包括：
10.获取模块，用于获取目标服务器中的待分析流量数据，所述待分析流量数据中包括多个数据包；
11.确定模块，用于确定每个数据包分别对应的五元组；
12.所述确定模块，还用于确定所述待分析流量数据中具有相同五元组的数据包数量；
13.所述确定模块，还用于若所述具有相同五元组的数据包tcp三次握手成功，所述具有相同五元组的数据包数量大于第一数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第二数值，则确定所述目标服务器遭受到网络攻击；或；
14.所述确定模块，还用于若所述具有相同五元组的数据包tcp三次握手失败，所述具有相同五元组的数据包数量小于第三数值，且发送所述具有相同五元组的数据包的攻击源
ip地址个数大于第四数值，则确定所述目标服务器遭受到网络攻击。
15.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述网络攻击检测方法。
16.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述网络攻击检测方法。
17.本发明提供一种网络攻击检测方法、装置、计算机设备及存储介质，首先获取目标服务器中的待分析流量数据，该待分析流量数据中包括多个数据包；确定每个数据包分别对应的五元组；确定待分析流量数据中具有相同五元组的数据包数量；若具有相同五元组的数据包tcp三次握手成功，具有相同五元组的数据包数量大于第一数值，且发送具有相同五元组的数据包的攻击源ip地址个数大于第二数值，则确定目标服务器遭受到网络攻击；若具有相同五元组的数据包tcp三次握手失败，具有相同五元组的数据包数量小于第三数值，且发送具有相同五元组的数据包的攻击源ip地址个数大于第四数值，则确定所述目标服务器遭受到网络攻击。即本发明综合考量数据包是否tcp三次握手成功，以及相同五元组数据包的数量确定目标服务器是否遭受到网络攻击，从而通过本发明可以提高网络攻击检测的效率和准确率。
附图说明
18.图1为本技术提供的一种网络攻击检测方法流程图；
19.图2为本技术提供的另一种网络攻击检测方法流程图；
20.图3为本技术提供的又一种网络攻击检测方法流程图；
21.图4为本技术提供的网络攻击检测装置的结构示意图；
22.图5为本技术提供的计算机设备的一示意图。
具体实施方式
23.为了更好的理解上述技术方案，下面通过附图以及具体实施例对本技术实施例的技术方案做详细的说明，应当理解本技术实施例以及实施例中的具体特征是对本技术实施例技术方案的详细的说明，而不是对本技术技术方案的限定，在不冲突的情况下，本技术实施例以及实施例中的技术特征可以相互组合。
24.请参阅图1，本发明实施例提供的一种网络攻击检测方法，该方法具体包括步骤s101-步骤s105：
25.步骤s101，获取目标服务器中的待分析流量数据，待分析流量数据中包括多个数据包。
26.待分析流量数据中的数据包可以为客户端向服务器发送的数据包，也可以为服务器向客户端返回的数据包，本实施例不做具体限定。
27.步骤s102，确定每个数据包分别对应的五元组。
28.其中，五元组包括源ip(internet protocol address，网际协议地址)、源端口号、目的ip、目的端口号、协议号。例如：192.168.1.1 10000tcp 121.14.88.76 80就构成了一个五元组。其意义是，一个ip地址为“192.168.1.1”的终端通过端口号“10000”，利用“tcp”协议，和ip地址为“121.14.88.76”，端口号为“80”的终端进行连接。
29.具体的，所述确定每个数据包分别对应的五元组，包括：从所述数据包对应的网络层提取源ip、目的ip以及协议号，从所述数据包对应传输层提取源端口号和目的端口号；将提取的源ip、目的ip、源端口号、目的端口号以及协议号作为所述数据包的五元组。
30.在发明提供的一个实施例中，五元组中的各项数据获取的方式如下所示：
31.源ip：在一个数据包的网络层数据中，第13至16字节标识了源地址；
32.源端口号：在一个数据包的协议层数据中，第1、2字节的位置标识了源端口信息；
33.目的ip：在一个数据包网络层数据中，第17至20字节标识了目的ip地址；
34.目的端口号：在一个数据包协议层数据中，第3、4字节标识了目的端口信息；
35.协议号：在一个数据包的网络层数据中，第10字节标识了协议号。
36.步骤s103，确定待分析流量数据中具有相同五元组的数据包数量。
37.相同五元组代表一次会话，代表着零散信息的关联性；数据包数量的多少代表一次通信时间长短以及传输信息的大小。例如，存在10个数据包的五元组均为“192.168.1.1 10000tcp 121.14.88.76 80”，则可确定五元组“192.168.1.1 10000tcp 121.14.88.76 80”对应的数据包数量为10。
38.步骤s104，若具有相同五元组的数据包tcp三次握手成功，具有相同五元组的数据包数量大于第一数值，且发送具有相同五元组的数据包的攻击源ip地址个数大于第二数值，则确定目标服务器遭受到网络攻击；
39.需要说明的是，从使用伪造攻击源的ddos(distributed denial of service，分布式拒绝服务攻击)攻击流量行为上分析得知，被攻击的服务器会接受大量的tcp连接请求，只有少数tcp连接请求三次握手成功。该类攻击具有大量的伪造的ip会发起n次tcp请求，真正的攻击源ip会tcp三次握手成功，并发起针耗费带宽的攻击。所以，在以下两个维度上，可以使用步骤s104和步骤s105的方式确定目标服务器是否遭受到了网络攻击。
40.具体的，本实施例针对数据包是否tcp三次握手成功，执行步骤s104或步骤s105。即具有相同五元组的数据包tcp三次握手成功，则执行步骤s104；具有相同五元组的数据包tcp三次握手失败，则执行步骤s105。
41.其中，本实施例中的第一数值和第二数值可以根据实际需求或是业务量进行设置。例如第一数值为200，第二数值为300，则服务器在确定存在具有相同五元组的数据包数量大于200，且该具有相同五元组的数据包的攻击源ip地址个数大于300，则确定目标服务器遭受到网络攻击。也就是说，当目标服务器发现存在超过300个的源ip发送具有相同五元组的数据包的数量均超过200，便可以确定目标服务器遭受到了网络攻击。
42.步骤s105，若具有相同五元组的数据包tcp三次握手失败，具有相同五元组的数据包数量小于第三数值，且发送具有相同五元组的数据包的攻击源ip地址个数大于第四数值，则确定目标服务器遭受到网络攻击。
43.其中，本实施例中的第三数值和第四数值可以根据实际需求或是业务量进行设置。例如，第三数值为2，第四数值为500，则服务器在确定存在具有相同五元组的数据包数量小于2，且该具有相同五元组的数据包的攻击源ip地址个数大于500，则确定目前服务器遭受到了网络攻击。也就是说，当目标服务器确定存在超过500个的源ip发送的具有相同五元组数据包的数量少于2，便可以确定目标服务器遭受了网络攻击。
44.在本发明提供的一个可选实施例中，所述确定所述目标服务器遭受到网络攻击之
后，所述方法还包括：若具有相同五元组的数据包tcp三次握手成功，获取发送的数据包数量大于第一数值的五元组；根据获取的tcp三次握手成功的五元组确定发起攻击网络攻击的物理地址。即本实施例在确认检测到ddos真正攻击源后，可以通过五元组对应的空间维度信息来获取的真正攻击源主机物理地址信息，用以溯源追踪。
45.具体的，根据获取的五元组确定源ip经度、源ip纬度、源ip国家、源ip城市，然后查找源ip的相关信息，如在wireshark上查看，在一个数据包网络层数据中可以看到“[source geoip]”的标识，其后的内容分别为源ip的城市、纬度、经度标识。
[0046]
本发明提供一种网络攻击检测方法，首先获取目标服务器中的待分析流量数据，该待分析流量数据中包括多个数据包；确定每个数据包分别对应的五元组；确定待分析流量数据中具有相同五元组的数据包数量；若具有相同五元组的数据包tcp三次握手成功，该具有相同五元组的数据包数量大于第一数值，且发送具有相同五元组的数据包的攻击源ip地址个数大于第二数值，则确定目标服务器遭受到网络攻击；若具有相同五元组的数据包tcp三次握手失败，该具有相同五元组的数据包数量小于第三数值，且发送具有相同五元组的数据包的攻击源ip地址个数大于第四数值，则确定所述目标服务器遭受到网络攻击。即本发明综合考量数据包是否tcp三次握手成功，以及具有相同五元组数据包的数量确定目标服务器是否遭受到网络攻击，从而通过本发明可以提高网络攻击检测的效率和准确率。
[0047]
请参阅图2，本发明实施例提供的一种网络攻击检测方法，该方法具体包括步骤s201-步骤s207：
[0048]
步骤s201，获取目标服务器中的待分析流量数据，待分析流量数据中包括多个数据包。
[0049]
步骤s202，确定每个数据包分别对应的五元组。
[0050]
步骤s203，将所述待分析流量数据中与预置黑名单匹配成功的五元组，确定为网络攻击者的五元组。
[0051]
其中，所述预置黑名单包括属于网络攻击者的源ip，若某个五元组中的源ip用户与预置黑名单中的内容匹配成功，则可以确定该五元组中的源ip为发起网络攻击的ip。
[0052]
步骤s204，将待分析流量数据中不属于网络攻击者的源ip的五元组，确定为目标五元组；确定待分析流量数据中具有相同目标五元组的数据包数量。
[0053]
在本实施例中，若待分析流量数据中的某个五元组与预置黑名单匹配成功，则可直接将五元组对应的源ip确定为攻击ip；若待分析流量数据中还存在不与预置黑名单匹配的五元组，则将该不匹配的五元组确定为目标五元组，然后根据该目标五元组是否tcp三次握手成功，以及具有相同五元组数据包的数量，确定目标服务器是否遭受到了网络攻击。
[0054]
步骤s205，若具有相同目标五元组的数据包tcp三次握手成功，具有相同目标五元组的数据包数量大于第一数值，且发送具有相同目标五元组的数据包的攻击源ip地址个数大于第二数值，则确定目标服务器遭受到网络攻击；或；
[0055]
步骤s206，若具有相同目标五元组的数据包tcp三次握手失败，具有相同目标五元组的数据包数量小于第三数值，且具有相同目标五元组的数据包的攻击源ip地址个数大于第四数值，则确定目标服务器遭受到网络攻击。
[0056]
需要说明的是，本实施例中的步骤s205至步骤s207图1中对应步骤的描述内容相同，本实施例在此不再赘述。
[0057]
进一步的，本实施例在确定所述目标服务器遭受到网络攻击之后，所述方法还包括：若具有相同五元组的数据包tcp三次握手成功，并且具有相同五元组的数据包数量大于第一数值，获取该五元组；根据获取的tcp三次握手成功的五元组确定发起攻击网络攻击的物理地址。相应的，所述根据获取的五元组确定发起攻击网络攻击的物理地址之后，所述方法还包括：通过所述发起攻击网络攻击的物理地址，更新所述预置黑名单，所述物理地址包括源ip。
[0058]
本实施例提供的一种网络攻击检测方法，首先将待分析流量数据中各个五元组的源ip，与预置黑名单进行匹配，将待分析流量数据中与所述预置黑名单匹配成功的五元组，确定为网络攻击者的五元组；将待分析流量数据中与网络攻击者的源ip不匹配的五元组，确定为目标五元组，之后根据目标五元组对应的数据包是否tcp三次握手成功，以及相同目标五元组数据包的数量确定目标服务器是否遭受到网络攻击，从而通过本发明实施例可以进一步提高网络攻击的检测效率，并保证网络攻击检测的准确率。
[0059]
请参阅图3，本发明实施例提供的一种网络攻击检测方法，该方法具体包括步骤s301-步骤s307：
[0060]
步骤s301，获取目标服务器中的待分析流量数据，待分析流量数据中包括多个数据包。
[0061]
步骤s302，确定每个数据包分别对应的五元组。
[0062]
步骤s303，确定待分析流量数据中具有相同五元组的数据包数量。
[0063]
步骤s304，对具有相同五元组的数据包数量进行相加，得到相同五元组数量总和。
[0064]
例如，存在五元组1、五元组2、五元组3和五元组4，其中五元组1的数据包数量为1，五元组2的数据包数量为2，五元组3的数据包数量为30，五元组4的数据包数量为40，则得到相同五元组数量总和为73(1 2 30 40)。
[0065]
步骤s305，计算在具有相同五元组的数据包tcp三次握手成功时，所述具有相同五元组的数据包数量大于第一数值的第一相同五元组数量。
[0066]
接上例，五元组3和五元组4对应的数据包tcp三次握手成功，若第一数值为35，则可确定五元组4的数据包数量大于第一数值，此时第一相同五元组数量为40，即五元组4对应的数据包的数量。
[0067]
步骤s306，计算在具有相同五元组的数据包tcp三次握手失败时，所述具有相同五元组的数据包数量小于第三数值的第二相同五元组数量。
[0068]
接上例，五元组1和五元组2对应的数据包tcp三次握手失败，若第三数值为4，则可确定五元组1和五元组2的数据包数量小于第三数值，此时第二相同五元组数量为3，即五元组1和五元组对应数据包的数量总和。
[0069]
步骤s307，通过第一相同五元组数量和第二相同五元组数量的和值，与所述相同五元组数量总和的比值，确定所述目标服务器遭受到网络攻击。
[0070]
在本例中，第一相同五元组数量和第二相同五元组数量的和值为43，相同五元组数量总为73，通过43与73的比值，确定目标服务器是否遭受到网络攻击。具体的，本实施例可设置一个预置比值，如果通过步骤s307得到比值大于该预置比值，可以确定目标服务器遭受到网络攻击；相反如果通过步骤s307得到的比值小于或等于该预置比值，可以确定目标服务器未遭受到网络攻击。
[0071]
若在本例中预置比值为60％，则本例中的得到的比值小于该预置比值，可以确定目标服务器未遭受到网络攻击。
[0072]
应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
[0073]
在一实施例中，提供一种网络攻击检测装置，该网络攻击检测装置与上述实施例中网络攻击检测方法一一对应。如图4所示，所述网络攻击检测装置各功能模块详细说明如下：
[0074]
获取模块41，用于获取目标服务器中的待分析流量数据，所述待分析流量数据中包括多个数据包；
[0075]
确定模块42，用于确定每个数据包分别对应的五元组；
[0076]
所述确定模块42，还用于确定所述待分析流量数据中具有相同五元组的数据包数量；
[0077]
所述确定模块42，还用于若所述具有相同五元组的数据包tcp三次握手成功，所述具有相同五元组的数据包数量大于第一数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第二数值，则确定所述目标服务器遭受到网络攻击；或
[0078]
所述确定模块42，还用于若所述具有相同五元组的数据包tcp三次握手失败，所述具有相同五元组的数据包数量小于第三数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第四数值，则确定所述目标服务器遭受到网络攻击。
[0079]
在一个可选实施例中，所述确定模块42，具体用于：
[0080]
从所述数据包对应的网络层提取源ip、目的ip以及协议号，从所述数据包对应传输层提取源端口号和目的端口号；
[0081]
将提取的源ip、目的ip、源端口号、目的端口号以及协议号作为所述数据包的五元组。
[0082]
在一个可选实施例中，所述装置还包括：匹配模块43；
[0083]
匹配模块43，用于将所述待分析流量数据中各个五元组的源ip，与预置黑名单进行匹配；
[0084]
所述确定模块42，还用于将所述待分析流量数据中与所述预置黑名单匹配成功的五元组，确定为网络攻击者的五元组。
[0085]
在一个可选实施例中，所述确定模块42，具体用于：
[0086]
将所述待分析流量数据中不属于网络攻击者的源ip的五元组，确定为目标五元组；
[0087]
确定所述待分析流量数据中具有相同目标五元组的数据包数量。
[0088]
在一个可选实施例中，获取模块41，用于若所述相同五元组对应的数据包传输控制协议tcp三次握手成功，获取发送的数据包数量大于第一数值的五元组；或
[0089]
获取模块41，用于若所述具有相同五元组的数据包tcp三次握手成功，获取发送的数据包数量大于第一数值的五元组；
[0090]
确定模块42，用于根据获取的tcp三次握手成功的五元组确定发起网络攻击的物理地址。
[0091]
在一个可选实施例中，所述装置还包括：更新模块44；
[0092]
更新模块44，用于通过所述发起攻击网络攻击的物理地址，更新所述预置黑名单，所述物理地址包括源ip。
[0093]
在一个可选实施例中，所述装置还包括：计算模块45；
[0094]
计算模块45，用于对具有相同五元组的数据包数量进行相加，得到相同五元组数量总和；
[0095]
计算模块45，用于计算在所述具有相同五元组的数据包tcp三次握手成功时，所述具有相同五元组的数据包数量大于第一数值的第一相同五元组数量；
[0096]
计算模块45，用于计算在所述具有相同五元组的数据包tcp三次握手失败时，所述具有相同五元组的数据包数量小于第三数值的第二相同五元组数量；
[0097]
确定模块42，用于通过所述第一相同五元组数量和所述第二相同五元组数量的和值，与所述相同五元组数量总和的比值，确定所述目标服务器遭受到网络攻击。
[0098]
关于网络攻击检测装置的具体限定可以参见上文中对于网络攻击检测方法的限定，在此不再赘述。上述设备中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0099]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络攻击检测方法。
[0100]
在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：
[0101]
获取目标服务器中的待分析流量数据，所述待分析流量数据中包括多个数据包；
[0102]
确定每个数据包分别对应的五元组；
[0103]
确定所述待分析流量数据中具有相同五元组的数据包数量；
[0104]
若所述具有相同五元组的数据包tcp三次握手成功，所述具有相同五元组的数据包数量大于第一数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第二数值，则确定所述目标服务器遭受到网络攻击；或；
[0105]
若所述具有相同五元组的数据包tcp三次握手失败，所述具有相同五元组的数据包数量小于第三数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第四数值，则确定所述目标服务器遭受到网络攻击。
[0106]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0107]
获取目标服务器中的待分析流量数据，所述待分析流量数据中包括多个数据包；
[0108]
确定每个数据包分别对应的五元组；
[0109]
确定所述待分析流量数据中具有相同五元组的数据包数量；
[0110]
若所述具有相同五元组的数据包tcp三次握手成功，所述具有相同五元组的数据包数量大于第一数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第二数值，则确定所述目标服务器遭受到网络攻击；或；
[0111]
若所述具有相同五元组的数据包tcp三次握手失败，所述具有相同五元组的数据包数量小于第三数值，且发送所述具有相同五元组的数据包的攻击源ip地址个数大于第四数值，则确定所述目标服务器遭受到网络攻击。
[0112]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synch l ink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0113]
所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
[0114]
以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。