[发明专利]一种脉冲式攻击的防御方法、装置及设备

说明书

本申请公开一种脉冲式攻击的防御方法、装置及设备，所述方法包括：当检测到脉冲式攻击时，计算下一轮攻击的开启时间；在开启时间进入脉冲式攻击防御模式；在处于脉冲式攻击防御模式时，将接收到的报文与预先生成的黑名单进行匹配；黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址；如果报文与所述黑名单匹配成功，则将报文丢弃。本申请针对脉冲式攻击的特点，计算下一轮攻击的开启时间，并在计算出的开启时间及时进入脉冲式攻击防御模式，本申请能够及时且有效的对脉冲式攻击进行防御。进一步的，利用黑名单进行处理，提高防御效率以及准确性。

技术领域

本申请涉及网络安全领域，具体涉及一种脉冲式攻击的防御方法、装置及设备。

背景技术

防火墙转发系统的健壮性成为每个安全厂商在产品研发中的重中之重，因为防火墙一旦遭遇网络攻击，很大程度上会影响防火墙的转发功能，导致正常流量无法转发，因此，对于网络攻击的防御功能是防火墙的重要功能之一。

目前，网络攻击的类型主要是连续性攻击，以syn flood攻击为例，syn flood是一种广为人知的dos(拒绝服务攻击)，是ddos(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。针对这种连续性攻击，目前的防御方式是在接收到的报文的数量到达一定阈值或者syn状态超时的报文到达一定的数量时，开启攻击防御。

随着网络的不断发展，网络攻击的类型也在逐渐衍生，目前网络的攻击类型并非单纯的连续性攻击，而是使用短暂间隔的高峰攻击，这种攻击的特点是呈脉冲型，因此也叫脉冲式攻击。

很明显的，将原有的针对连续性攻击的防御方法直接应用于脉冲式攻击是不适用的，因为脉冲式攻击的特点是会频繁的结束上一轮的攻击以及发起新一轮的攻击，如果基于上述接收到的报文的数量到达一定阈值或者syn状态超时的报文到达一定的数量时开启攻击防御的设计，则很可能导致刚刚开启防御时本轮攻击就结束了，或者刚刚结束防御时新一轮攻击就开始了，显然不能做到对网络攻击的及时防御。

因此，目前亟需一种针对脉冲式攻击特点的攻击防御方法，能够及时且有效的实现攻击防御。

发明内容

有鉴于此，本申请提供了一种脉冲式攻击的防御方法、装置及设备，能够针对脉冲式攻击的特点，及时有效的对脉冲式攻击进行防御。

第一方面，为实现上述发明目的，本申请提供了一种脉冲式攻击的防御方法，所述方法包括：

当检测到脉冲式攻击时，计算下一轮攻击的开启时间；

在所述开启时间进入脉冲式攻击防御模式；

在处于所述脉冲式攻击防御模式时，将接收到的报文与预先生成的黑名单进行匹配；其中，所述黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址；

如果所述报文与所述黑名单匹配成功，则将所述报文丢弃。

一种可选的实施方式中，所述方法还包括：

在处于所述脉冲式攻击防御模式时，无锁读取预先生成的白名单，并将接收到的报文与所述白名单进行匹配；其中，所述白名单用于存储本次攻击中预先收集的成功完成三次握手报文的源IP地址；

如果所述报文与所述白名单匹配成功，则对所述报文进行转发处理。

一种可选的实施方式中，所述将接收到的报文与预先生成的白名单进行匹配之前，还包括：

在本次攻击的两轮攻击间隔，将本次攻击中成功完成三次握手报文的源IP地址添加到预设白名单中；其中，所述白名单为每核资源，且使用lru链表控制生存周期。

一种可选的实施方式中，所述计算下一轮攻击的开启时间，包括：