[发明专利]攻击报文的检测方法和装置

说明书

技术领域

本发明涉及通信网络领域中的攻击防范技术，具体涉及内容不变的攻击 报文的检测方法和装置。

背景技术

泛洪攻击，通过发送大量需要网络设备处理的报文，使网络设备的处理 单元处于超负荷工作状态，影响网络中正常报文的处理，甚至使重要的协议 报文因超时而被丢弃，造成网络的瘫痪。

对于一些常见的泛洪攻击类型，例如传输控制协议泛洪(TCP SYN Flood)攻击和用户数据报协议-域名服务器泛洪(UDP-DNS Flood)攻击， 根据这些报文协议特征，可以采用SYN Cookie或DNS TC Reply等比较成 熟的攻击报文识别和抵御方法加以防范。但对于以下这几种变源IP的攻击 和内容不变的不变源攻击，由于协议上没有报文交互特征或者攻击源IP可 能合法，以上这些成熟的方法都不能很好的进行识别和防范。

其中，变源IP攻击例如UDP泛洪(UDP Flood)攻击、TCP ACK泛洪 (TCP ACK Flood)攻击、因特网控制报文协议泛洪(ICMP Flood)攻击， 攻击者通过不断变换源IP地址或者控制大量傀儡主机向目标服务器发送报 文。不变源IP的攻击例如内容不变的HTTP Get请求泛洪(HTTP Get Flood) 攻击，攻击者在一个连接中携带多个Get请求，使得服务器忙于处理这些请 求而无法处理其它正常的应用请求。

针对上述几种变源IP攻击和内容不变的不变源攻击，目前只能采用限 流或限速的方式对可能是攻击报文的流量进行限制，从而保证被保护服务器 有足够的能力处理其它报文。但是限流和限速的方式对所有流量采用相同的 处理方式，为了能够限制可能是攻击报文的流量，其作法本质上是牺牲了部 分正常流量，其结果必然在一定程度上影响了正常应用，如果门限值设置的 不合理，则对正常应用的影响则会更大。

通过分析这两种攻击报文的特点可以得知，攻击者虽然可以通过变源IP 发出大量速率极高的报文，或者在同一连接上发送大量报文，但是这种攻击 报文的内容通常是不变的。倘若能够从到同一服务器上相同应用端口的报文 流中区分出攻击报文和正常报文，则可以有针对性的只对攻击报文进行相应 攻击抵御处理，从而降低对正常应用的影响。

发明内容

有鉴于此，本发明提供了一种攻击报文的检测方法，能够准确有效地识 别出内容不变的变源和不变源的攻击报文，为有针对性的进行攻击抵御处理 提供了基础。

该方法包括：将到被保护设备上符合相同分类条件的报文作为一类；所 述分类条件为：目的IP地址、目的端口号和协议号均相同的报文，或同一 连接中所传输的报文，或目的IP地址、类型字段和协议号均相同的报文；

针对每类报文，统计具有相同校验和且连续到来的报文数量，当统计值 在预设长度时间内达到设定门限值时，确定该类报文中具有所述相同校验和 的报文为攻击报文；

所述校验和为报文中包含数据内容部分的校验和。

其中，所述包含数据内容部分的校验和的获取方式为：

对于传输控制协议TCP报文，将报文携带的传输层校验和字段值作为 所述校验和，或对报文中除去全部头信息或部分头信息的部分进行校验和计 算，得到所述校验和，或对报文中除去序列号、确认序号、TCP标志位和窗 口大小的传输层数据进行校验和计算，得到所述校验和；

对于用户数据报协议UDP报文，将报文携带的传输层校验和字段值作 为所述校验和，或对报文中除去全部头信息或部分头信息的部分进行校验和 计算，得到所述校验和；

对于因特网控制报文协议ICMP报文，将报文携带的ICMP报文校验和 字段值作为所述校验和，或对报文中除去标识符和序列号的部分进行校验和 计算，得到所述校验和。

较佳地，所述统计操作和统计值在预设长度时间内达到设定门限值的确 定操作，采用针对每类报文设置的记录变量、计数器和计时器实现；

所述记录变量记录所属类别报文的校验和，当校验和变化时，采用变化 后的校验和更新该记录变量；

所述计数器统计所属类别报文中具有相同校验和且连续到来的报文数 量；当所属类别报文的校验和变化时，该计数器从初始值开始计数；