一种风暴检测及阻断的方法及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及一种风暴检测及阻断的方法及系统。


背景技术：

2.由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是网络风暴。网络风暴是网络中常见的一种攻击方式，风暴会严重影响网络的正常使用，特别是多个攻击源同时进行攻击的时候，风暴的检测和阻断就变的比较困难。基于此，本发明构建一种风暴检测及阻断的方法，可以有效阻断风暴攻击。


技术实现要素：

3.本发明提供了一种风暴检测及阻断的方法，包括：
4.步骤110、当攻击源的ip发送的报文符合攻击特征时，进行风暴判定，先提取报文的源ip记作a，计算对应的哈希值后进入哈希桶；
5.步骤120、对后续收到a发来的符合攻击特征的报文后，开始计算该特征报文的速率，当a发起的特征报文速率达到阈值的时候，判定为风暴，并进行阻断；
6.步骤130、当多个ip进行攻击的时候，获取哈希桶数量，比较攻击源数量与哈希桶数量，若攻击源数量小于哈希桶数量，则对每一个ip返回执行步骤110和步骤120的操作进行风暴锁定和阻断，若攻击源数量大于哈希桶数量，则执行步骤140；
7.步骤140、对网络中正常通信的业务的源ip构建一个白名单，并同样构建一个正常业务的源ip的哈希桶；
8.步骤150、当攻击被检测到的时候，使用白名单进行封样，当攻击源超过攻击源ip哈希桶的数量的时候，启用白名单机制，只有源ip命中正常业务的源ip的哈希桶才能够通过，否则就进行阻断。
9.如上所述的一种风暴检测及阻断的方法，其中，当某一攻击源的ip发送的报文符合攻击特征，并且报文速率低于预设值时，进行风暴检测及阻断。
10.如上所述的一种风暴检测及阻断的方法，其中，根据内存资源的情况来控制哈希桶的大小。
11.本发明还提供一种风暴检测及阻断的系统，包括：报文接收模块、风暴检测及阻断模块、哈希桶存储模块、白名单存储模块；
12.报文接收模块，用于接收一个或多个攻击源ip发送的报文；
13.哈希桶存储模块，用于存储根据攻击源报文中提取的报文源ip计算得到的哈希值；
14.白名单存储模块，用于存储网络中正常通信的业务的源ip；
15.风暴检测及阻断模块，用于当攻击源数量小于哈希桶存储模块中哈希桶数量，则对后续收到报文源ip发来的符合攻击特征的报文后，开始计算该特征报文的速率，当该攻
击源发起的特征报文速率达到阈值的时候，判定为风暴，并进行阻断；以及当攻击源数量小于哈希桶存储模块中哈希桶数量，则当攻击被检测到的时候，使用白名单进行封样，当攻击源超过攻击源ip哈希桶的数量的时候，启用白名单机制，只有源ip命中正常业务的源ip的哈希桶才能够通过，否则就进行阻断。
16.本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被处理器执行上述任一项所述的一种风暴检测及阻断的方法。
17.本发明实现的有益效果如下：本发明提出了一种基于攻击源锁定及基于白名单共同作用的方法，可以有效阻断风暴攻击。
附图说明
18.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
19.图1是本发明实施例一提供的一种风暴检测及阻断的方法流程图；
20.图2是一种风暴检测及阻断的系统示意图。
具体实施方式
21.下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.实施例一
23.参见图1，本发明实施例一提供一种风暴检测及阻断的方法，包括：
24.步骤110、当攻击源的ip发送的报文符合攻击特征时，进行风暴判定，先提取报文的源ip记作a，计算对应的哈希值后进入哈希桶；
25.在确定某一攻击源的ip发送的报文符合攻击特征，并且报文速率较低(低于预设值)还不能判定为风暴的时候(例如syn flood当收到syn包的时候)，提取报文的源ip记作a，计算a的报文哈希值后进入哈希桶。
26.步骤120、对后续收到a发来的符合攻击特征的报文后，开始计算该特征报文的速率，当a发起的特征报文速率达到阈值的时候，判定为风暴，并进行阻断。
27.步骤130、当多个ip进行攻击的时候，获取哈希桶数量，比较攻击源数量与哈希桶数量，若攻击源数量小于哈希桶数量，则对每一个ip返回执行步骤110的操作进行风暴锁定和阻断，若攻击源数量大于哈希桶数量，则执行步骤140；
28.具体地，由于哈希桶是有数量限制的，并且每个哈希桶都需要一定的内存，所以考虑到资源的限制，不可能对全部ip进行适配，所以当攻击源的数量未超过哈希桶的数量的时候，继续执行步骤110和步骤120，进行网络封包锁定和阻断，当攻击源的数量超过哈希桶的数量的时候，执行以下操作。
29.步骤140、对网络中正常通信的业务的源ip构建一个白名单，并同样构建一个正常业务的源ip的哈希桶；
30.步骤150、当攻击被检测到的时候，使用白名单进行封样(封样是指双方在签约时共同认可和接受的能够代表整体水平的依据)，当攻击源超过攻击源ip哈希桶的数量的时候，启用白名单机制，只有源ip命中正常业务的源ip的哈希桶才可以通过，否则就进行阻断。
31.由于白名单封样的时刻，并不能保证所有的合法ip都已经进入白名单，所以，白名单机制作为突然增加的攻击源的一种补充手段，当攻击源减少后，就放弃白名单机制，恢复通过特征判断 阈值的方式(即步骤110和120)进行风暴攻击的检测及阻断的手段。另外可以根据内存资源的情况来控制哈希桶的大小，如果哈希桶足够大，那么启用白名单的机制的方式的概率就会降低。本本发明通过基于攻击源锁定及基于白名单共同作用的方法，可以有效阻断风暴攻击。
32.如图2所示，本发明还提供一种风暴检测及阻断的系统，包括：报文接收模块210、哈希桶存储模块220、白名单存储模块230、风暴检测及阻断模块240；
33.报文接收模块210，用于接收一个或多个攻击源ip发送的报文；
34.哈希桶存储模块220，用于存储根据攻击源报文中提取的报文源ip计算得到的哈希值；
35.白名单存储模块230，用于存储网络中正常通信的业务的源ip；
36.风暴检测及阻断模块240，用于当攻击源数量小于哈希桶存储模块中哈希桶数量，则对后续收到报文源ip发来的符合攻击特征的报文后，开始计算该特征报文的速率，当该攻击源发起的特征报文速率达到阈值的时候，判定为风暴，并进行阻断；以及当攻击源数量小于哈希桶存储模块中哈希桶数量，则当攻击被检测到的时候，使用白名单进行封样，当攻击源超过攻击源ip哈希桶的数量的时候，启用白名单机制，只有源ip命中正常业务的源ip的哈希桶才能够通过，否则就进行阻断。
37.与上述实施例对应的，本发明实施例提供一种风暴检测及阻断的系统，该系统包括：至少一个存储器和至少一个处理器；
38.存储器用于存储一个或多个程序指令；
39.处理器，用于运行一个或多个程序指令，用以执行一种风暴检测及阻断的方法。
40.与上述实施例对应的，本发明实施例提供一种计算机可读存储介质，计算机存储介质中包含一个或多个程序指令，一个或多个程序指令用于被处理器执行一种风暴检测及阻断的方法。
41.本发明所公开的实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行上述的一种风暴检测及阻断的方法。
42.在本发明实施例中，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(digital signal processor，简称dsp)、专用集成电路(application specific工ntegrated circuit，简称asic)、现场可编程门阵列(fieldprogrammable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
43.可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。
44.存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。
45.其中，非易失性存储器可以是只读存储器(read-only memory，简称rom)、可编程只读存储器(programmable rom，简称prom)、可擦除可编程只读存储器(erasable prom，简称eprom)、电可擦除可编程只读存储器(electrically eprom，简称eeprom)或闪存。
46.易失性存储器可以是随机存取存储器(random access memory，简称ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(static ram，简称sram)、动态随机存取存储器(dynamic ram，简称dram)、同步动态随机存取存储器(synchronous dram，简称sdram)、双倍数据速率同步动态随机存取存储器(double data ratesdram，简称ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，简称esdram)、同步连接动态随机存取存储器(synchlink dram，简称sldram)和直接内存总线随机存取存储器(directrambus ram，简称drram)。
47.本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
48.本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
49.以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。