本发明提供了一种网络攻击源定位及防护的方法、装置,所述的方法包括:采集网络加速环境的网络数据流;根据采集的网络数据流确定网络加速环境的各源IP地址;采集与网络加速环境相连接的网站的攻击报警日志数据;根据攻击报警日志数据确定网络加速环境中的攻击节点IP地址;根据攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出攻击节点IP地址对应的源IP地址;根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。以解决在网络加速环境下,传统的网络设备无法识别真实的攻击节点IP地址以及无法防范未知攻击行为的问题,同时节约了安全设备部署成本且设备维护成本低。
1.一种网络攻击源定位及防护的方法,其特征是,所述的方法包括:采集网络加速环境的网络数据流;
根据采集的网络数据流确定网络加速环境的各源IP地址;
采集与所述网络加速环境相连接的网站的攻击报警日志数据;
根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
2.根据权利要求1所述的方法,其特征是,所述的根据采集的网络数据流确定网络加速环境的各源IP地址包括:将所述采集的网络数据流进行数据包重组;
3.根据权利要求2所述的方法,其特征是,分析所述重组后的数据包以确定各源IP地址包括:判断所述的重组后的数据包是否为超文本传输协议HTTP数据包;
否则,识别所述的重组数据包的X-Forwarded-For字段;
从所述的X-Forwarded-For字段的字符串列表中提取第一个IP地址,所述的第一个IP地址即为源IP地址。
4.根据权利要求3所述的方法,其特征是,分析所述重组后的数据包以确定各源IP地址还包括:统计所述的各源IP地址的HTTP数据总量和攻击数据总量;
将攻击时间、源IP地址、网络加速根节点IP、源端口、目标IP地址、目标端口、重组后的数据包的存储路径保存在数据库中。
5.根据权利要求1或4所述的方法,其特征是,根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址包括:根据攻击时间、攻击节点IP地址、目标IP地址在网络加速环境的各源IP地址中进行搜索;
判断搜索结果是否为空,如果是,则将该攻击报警日志丢弃,否则,判断搜索结果是否为一条;
当搜索结果不是一条时,根据源端口、目标端口在搜索结果中进行二次搜索,并与攻击报警日志数据进行字段匹配以确定唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址;
当搜索结果是一条时,所述的搜索结果即为唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址。
6.根据权利要求1所述的方法,其特征是,根据定位出的源IP地址确定对应的防护策略包括:根据配置文件中预先设定的公式计算定位出的源IP地址的攻击强度值;
根据源IP地址的攻击强度值确定配置文件中对应的防护策略。
7.根据权利要求1所述的方法,其特征是,所述的方法还包括:将攻击时间、源IP地址、攻击节点IP地址、源端口、目标IP地址、目标端口、攻击报警日志数据、防护策略进行显示;
所述的显示方式包括:WEB页面、邮件、短信、日志。
8.根据权利要求1所述的方法,其特征是,所述的方法还包括:根据网络时间协议NTP与时间同步服务器周期性更新时间。
9.一种网络攻击源定位及防护装置,其特征是,所述的装置包括:数据流采集单元,用于采集网络加速环境的网络数据流;
源IP地址获取单元,用于根据采集的网络数据流确定网络加速环境的各源IP地址;
日志数据采集单元,用于采集与所述网络加速环境相连接的网站的攻击报警日志数据;
攻击节点IP地址确定单元,用于根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
攻击源定位单元,用于根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
防护策略配置单元,用于根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
10.根据权利要求9所述的装置,其特征是,所述的源IP地址获取单元包括:组包单元,用于将所述采集的网络数据流进行数据包重组;
分析单元,用于分析所述重组后的数据包以确定源IP地址。
11.根据权利要求10所述的装置,其特征是,所述的分析单元包括:第一判断单元,用于判断所述的重组数据包是否为HTTP数据包,当判断结果为是时,转入识别单元,否则,将所述的重组数据包丢弃;
所述的识别单元,用于识别所述的重组数据包的X-Forwarded-For字段;
提取单元,用于从所述的X-Forwarded-For字段的字符串列表中提取第一个IP地址,所述的第一个IP地址即为源IP地址。
12.根据权利要求11所述的装置,其特征是,所述的分析单元还包括:统计单元,用于统计所述的源IP地址的HTTP数据总量和攻击数据总量;
保存单元,用于将攻击时间、源IP地址、网络加速根节点IP、源端口、目标IP地址、目标端口、重组后的数据包的存储路径保存在数据库中。
13.根据权利要求9或12所述的装置,其特征是,所述的攻击源定位单元包括:第一搜索单元,用于根据攻击时间、攻击节点IP地址、目标IP地址在网络加速环境的各源IP地址中进行搜索;
第二判断单元,用于判断搜索结果是否为空,当判断为是时,将该攻击报警日志丢弃;
所述的第三判断单元,用于判断搜索结果是否为一条,当搜索结果不是一条时,转入第二搜索单元,当搜索结果是一条时,所述的搜索结果即为唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址;
所述的第二搜索单元,用于根据源端口、目标端口在搜索结果中二次搜索,与攻击报警日志数据进行字段匹配以确定唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址。
14.根据权利要求13所述的装置,其特征是,所述的防护策略配置单元包括:计算单元,用于根据所述的配置文件中预先设定的公式计算源IP地址的攻击强度值;
防护策略确定单元,用于根据源IP地址的攻击强度值选择配置文件中对应的防护策略。
15.根据权利要求9所述的装置,其特征是,所述的装置还包括:显示单元,用于将攻击时间、源IP地址、攻击节点IP地址、源端口、攻击目标IP地址、目标端口、攻击报警日志数据、防护策略以WEB页面、邮件、短信、日志中至少一个的方式进行显示。
16.根据权利要求9所述的装置,其特征是,所述的装置还包括:时间同步单元,用于根据网络时间协议NTP与时间同步服务器周期性更新时间。
一种网络攻击源定位及防护的方法、装置
技术领域
[0001] 本发明关于网络信息安全处理技术,特别是关于在网络加速环境下的网络信息安全处理技术,具体地讲是一种网络攻击源定位及防护的方法、装置。
背景技术
[0002] 随着互联网技术的飞速发展,越来越多的用户通过网站获取需要的相关信息。但随着网站访问量的激增,用户与网站之间的链路被大量的访问数据拥塞,因此用户的访问
质量受到严重影响。网络加速环境的出现降低了网站接入链路的访问量,有效提高了用户
的访问质量。但是,由于网络加速环境是在现有Internet中增加一层内容缓冲网络的新型
网络结构,因此随着网络加速环境的广泛应用,对网络的安全造成了新的困扰。现有技术中
的网络边界防护主要有以下两种方案:
[0003] (1)、网络入侵防护技术。在网络入侵防护技术中,主要设备均是基于攻击特征签名库而设置的。这种攻击特征签名库需要专业人员不断对已知的攻击行为进行分析,提取
出攻击行为的典型特征,然后不断形成更新的攻击特征签名库。因此,这种网络入侵防护设
备的不足在于仅能够检测已知发现的攻击行为,无法防范未知攻击行为。
[0004] (2)、IP地址封禁处理技术。在IP地址封禁处理技术中,对于传统的网络结构,一般根据网络入侵检测设备的攻击报警情况,在网络边界路由器或防火墙上对攻击节点IP
地址进行封禁处理,防止攻击源进行进一步的攻击行为或无法识别的未知攻击。但是对于
网络加速环境的新型网络结构,当用户通过网络加速根节点访问网站时,如果网络加速根
节点未缓存用户请求的数据,那么所述的数据会通过网络加速根节点发送给网站主站。此
时,网站主站侧的各类设备所能够识别的网络数据的源IP地址均为网络加速根节点IP地
址,无法有效识别真实的攻击节点IP地址。因此,传统的网络设备如路由器、防火墙的安全
策略无法防护这类攻击,将会严重影响网络的正常业务。
发明内容
[0005] 本发明实施例提供了一种网络攻击源定位及防护的方法、装置,用以解决在网络加速环境下,传统的网络设备无法识别真实的攻击节点IP地址以及无法防范未知攻击行
为的问题,同时节约了安全设备部署成本且设备维护成本低。
[0006] 本发明的目的之一是,提供一种网络攻击源定位及防护方法,所述的方法包括:采集网络加速环境的网络数据流;根据采集的网络数据流确定网络加速环境的各源IP地址;
采集与所述网络加速环境相连接的网站的攻击报警日志数据;根据所述的攻击报警日志数
据确定网络加速环境中的攻击节点IP地址;根据所述的攻击节点IP地址在网络加速环境
的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;根据定位出
的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应
的攻击节点。
[0007] 本发明的目的之一是,提供了一种网络攻击源定位及防护装置,所述的装置包括:数据流采集单元,用于采集网络加速环境的网络数据流;源IP地址获取单元,用于根据采
集的网络数据流确定网络加速环境的各源IP地址;日志数据采集单元,用于采集与所述网
络加速环境相连接的网站的攻击报警日志数据;攻击节点IP地址确定单元,用于根据所述
的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;攻击源定位单元,用于根据
所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节
点IP地址对应的源IP地址;防护策略配置单元,用于根据定位出的源IP地址确定对应的
防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
[0008] 本发明的有益效果在于:实现了将隐藏在网络加速根节点IP地址之后的真实攻击节点IP地址成功定位,实时根据防护策略对网络加速环境边缘进行安全防护,有效防范
了真实攻击节点IP地址的未知攻击行为,降低了网站应用系统的安全风险,同时节约了安
全设备部署成本且设备维护成本低。
附图说明
[0009] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可
以根据这些附图获得其他的附图。
[0010] 图1是本发明实施例网络攻击源定位及防护方法的实施方式一的流程图;
[0011] 图2是本发明实施例网络攻击源定位及防护方法的实施方式二的流程图;
[0012] 图3是图1中的步骤S20的具体流程图;
[0013] 图4是图1中的步骤S50的具体流程图;
[0014] 图5是本发明实施例的网络攻击源定位及防护装置的连接示意图;
[0015] 图6是本发明实施例的网络攻击源定位及防护装置的结构框图;
[0016] 图7是本发明实施例的网络攻击源定位及防护装置的另一种结构框图;
[0017] 图8是源IP地址获取单元中分析单元的结构框图;
[0018] 图9是图7中攻击源定位单元的结构框图。
具体实施方式
[0019] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本发明保护的范围。
[0020] 图1是本发明实施例的一种网络攻击源定位及防护方法的第一种实施方式的流程图,由图1可知,在实施方式一中,所述的方法包括以下步骤:
[0021] S10:采集网络加速环境的网络数据流,网络数据流可由网络中的接入装置实时镜像传送;
[0022] S20:根据采集的网络数据流确定网络加速环境的各源IP地址;
[0023] S30:采集与所述网络加速环境相连接的网站的攻击报警日志数据,攻击报警日志数据可由网络中的网络入侵检测装置根据网络中的攻击行为形成并且传送的;
[0024] S40:根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
[0025] S50:根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
[0026] S60:根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
[0027] 图2是本发明实施例的网络攻击源定位及防护方法的第二种实施方式的流程图,由图2可知,在实施方式二中,所述的方法包括以下步骤:
[0028] S11:采集与所述网络加速环境相连接的网站的攻击报警日志数据,攻击报警日志数据可由网络中的网络入侵检测装置根据网络中的攻击行为形成并且传送;
[0029] S21:根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
[0030] S31:采集网络加速环境的网络数据流,网络数据流可由网络中的接入装置实时镜像传送;
[0031] S41:根据采集的网络数据流确定网络加速环境的各源IP地址;
[0032] S51:根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
[0033] S61:根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
[0034] 在本发明提供的一种网络攻击源定位及防护方法中,实施方式一和实施方式二的区别在于对网络数据流和对攻击报警日志数据的处理顺序不同:在实施方式一中,先执行
步骤S10、步骤S20即对网络中接入装置发送的网络数据流的处理,然后执行与骤S30、步骤
S40中对攻击报警日志数据的处理;在实施方式二中,先执行步骤S11、步骤S21即对攻击报
警日志数据的处理,然后执行步骤S31、步骤S41即对网络中接入装置发送的网络数据流的
处理。在本发明的其他实施方式中,对网络中接入装置传送的网络数据流的处理也可以与
对攻击报警日志数据的处理同时进行,具体流程此处不再赘述。
[0035] 本发明中所提及的配置文件是保存在数据库中、预先设定的。网络加速环境一般会采用多层模式,本发明仅考虑根节点IP地址和最外层节点IP地址。
[0036] 图3是图1中的步骤S20的具体流程图,由图3可知,该步骤具体包括:
[0037] S201:将所述采集的网络数据流进行数据包重组;
[0038] S202:判断所述的重组数据包是否为超文本传输协议HTTP数据包,当判断为是时,执行步骤S203;当判断为否时,将所述的重组数据包丢弃;
[0039] S203:识别所述的重组数据包的X-Forwarded-For字段;
[0040] S204:从所述的X-Forwarded-For字段的字符串列表中提取第一个IP地址,所述的IP地址即为源IP地址;
[0041] 若从所述的字符串列表中提取的第一组字符串不是IP地址,则将其丢弃,并依次搜索下一组字符串,直至定位到第一个IP地址。对于网络加速根节点的HTTP数据
流,X-Forwarded-For字段能够显示其真实源IP地址,以及所经过的每一层的网络加速
节点IP地址。例如,假如攻击源123.124.177.6通过网络加速环境对某银行的网上银
行门户进行了攻击行为,其产生的网络数据包的源IP地址则是网络加速根节点IP地址
202.108.251.115。但是,如果对所述的数据包进行重组并判断所述的重组数据包是否为
HTTP数据包,那么在HTTP协议层将含有真实的源IP地址123.124.177.6。
[0042] S205:统计所述的源IP地址的HTTP数据总量和攻击数据总量;
[0043] S206:将攻击时间(是否为时间)、源IP地址、源IP地址对应的网络加速节点IP地址、源端口、目标IP地址、目标端口、重组后的数据包的存储路径保存在数据库中,如表1
所示。
[0044] 表1
[0045]
[0046] 图4是图1中的步骤S50的具体流程图,由图4可知,步骤S50具体包括:
[0047] S501:根据攻击时间、攻击节点IP地址、目标IP地址在数据库中进行搜索;
[0048] S502:判断搜索结果是否为空,当判断结果为否时,执行步骤S504,当判断结果为是时,执行步骤S503;
[0049] S503:将所述的攻击报警日志丢弃;
[0050] S504:判断搜索结果是否为一条,当判断为否时,执行步骤S506,当判断为是时,执行步骤S505;
[0051] S505:所述的搜索结果即为唯一的攻击数据包,所述的攻击数据包的IP地址即为源IP地址;
[0052] S506:根据源端口、目标端口在搜索结果中进行二次搜索,并与攻击报警日志进行字段匹配以确定唯一的攻击数据包;
[0053] S507:所述的攻击数据包的IP地址即为源IP地址。
[0054] 图1中的步骤S60具体包括:
[0055] 根据所述的配置文件中预先设定的公式计算源IP地址的攻击强度值;
[0056] 根据源IP地址的攻击强度值选择配置文件中对应的防护策略;
[0057] 将对应的防护策略配置到所述网络加速环境中对应的攻击节点IP地址。
[0058] 对于不同的网站,可以根据安全等级的高低,预先针对网络加速环境设置不同的攻击强度值计算公式,以及设定根据不同的攻击强度值确定防护策略的规则,而且可以预
先设定不同的防护策略,下面以某行网上银行的门户为例具体说明:
[0059] 在所述的实施例中,配置文件是预先设定的、记录有网络加速根节点IP地址、攻击频率阈值、攻击强度值中变量的权重值、封禁时间且保存在数据库中,配置文件中预先设
定的参数可扩展标记语言XML文件的示例如表2所示:
[0060] 表2
[0061]<?xml version=″1.0″encoding=″UTF-8″?>
202.1.5.8
202.1.6.9
123.1.5.8
123.1.6.9
500
0.1
0.4
0.2
0.3
10Min
[0062] 其中,AttackThreshold是网络入侵检测装置攻击报警的阈值,在所述的示例中,每10分钟500报警日志则达到阈值;
[0063] AttackLevel是攻击级别的权重值,为0.1,攻击级别是根据网络入侵检测装置的报警日志数据的级别而定,例如可将攻击分为低、中、高三级,对应的计算基值分别为1、
1.5、2;
[0064] AttackFrequency是攻击频率的权重值,为0.4,例如:当单个攻击源的攻击量超过攻击阈值AttackThreshold时,则其计算基值为1,否则为0;
[0065] ProportionOfAttack是攻击占比的权重值,为0.2,例如,计算基值为某个攻击源的攻击数据在所述的攻击源所有数据中的占比情况;
[0066] ProportionOfBanNode是封禁节点占比的权重值,为0.3,例如:计算基值为某网络加速最内层节点下已经对某个攻击源实施封禁的外层节点在所述的网络加速最内层节
点里所有最外层节点的的占比情况;
[0067] PeriodOfBan是攻击源IP被封禁的时间。
[0068] 在所述的行网上银行门户里,预先设定根据如下公式计算攻击强度值S:
[0069] S=V攻击级别W攻击级别+V攻击频率阈值W攻击频率+V攻击数据占比W攻击数据占比+V封禁节点占比W封禁节点占比;
[0070] 其中,从所述的配置文件获取W攻击级别、W攻击频率、W攻击数据占比、W封禁节点占比、V攻击频率阈值的值;
[0071] 根据所述的真实攻击节点IP地址对应的攻击报警日志数据中的攻击报警级别获取预先设定的V攻击级别;
[0072] 根据所述的源IP地址攻击HTTP数据包的数目与源IP地址所有HTTP数据包的总数的比值确定V攻击数据占比;
[0073] 根据所述的源IP地址在网络加速最内层节点里实施封禁的最外层节点与所述的源IP地址在网络加速最内层节点里所有最外层节点的比值确定V封禁节点占比。
[0074] 对于确定的攻击节点IP地址,计算出其攻击强度值后,在数据库中查询所述的攻击强度值对应的防护策略。所述的行网上银行门户的防护策略如下:
[0075] 当所述的攻击强度值S<0.5时,无需封禁真实攻击节点IP地址,更新数据库中攻击源对应的阈值纪录、攻击数据包统计值,计算V攻击数据占比;
[0076] 当所述的攻击强度值S≥0.5时,向网络加速根节点发送防护策略,根据所述的防护策略在网络加速环境边缘对真实攻击节点IP地址实施封禁处理,更新数据库中对应的
阈值记录、网络加速根节点封禁清单及最新的封禁时间,并计算V封禁节点占比,当封禁的是最内层节点时,则V封禁节点占比=1;更新数据库中攻击源的攻击数据包统计值,计算V攻击数据占比。
[0077] 本发明提供的一种攻击源定位及防护方法除上述步骤之外,还可包括:
[0078] 将攻击时间、源IP地址、攻击节点IP地址、源端口、目标IP地址、目标端口、攻击报警日志数据、防护策略进行显示以便后续查看,显示方式包括:WEB页面、邮件、短信、日
志;
[0079] 根据NTP与时间同步服务器周期性更新时间,也可在步骤S10之后,步骤S20之前,将采集的网络加速环境下的网络数据流根据NTP加入时间标签之后再进行组包。
[0080] 图5是本发明实施例的网络攻击源定位及防护装置的连接示意图,将本发明提供的一种网络攻击源定位及防护装置部署于网络接入区域,结合网络入侵检测装置,能够成
功检测真实攻击节点IP地址,并根据防护策略在网络加速环境的边缘进行分布式防护。
[0081] 其中,所述的接入装置20为接入路由器或者核心交换机。在本发明的其实施方式中,所述的网络攻击源定位及防护装置30设置在网络入侵检测装置10上或者设置在接入
装置20上,或者所述的攻击源定位及防护装置30、所述的接入装置20设置在网络入侵检测
装置10上。
[0082] 图6是本发明实施例的网络攻击源定位及防护装置的结构框图,由图6可知,所述的装置包括:
[0083] 数据流采集单元301,用于采集网络加速环境的网络数据流;
[0084] 源IP地址获取单元302,用于根据采集的网络数据流确定网络加速环境的各源IP地址;
[0085] 日志数据采集单元303,用于采集与所述网络加速环境相连接的网站的攻击报警日志数据;
[0086] 攻击节点IP地址确定单元304,用于根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
[0087] 攻击源定位单元305,用于根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
[0088] 防护策略配置单元306,用于根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
[0089] 图7是本发明实施例的网络攻击源定位及防护装置的另一种结构框图,由图7可知,所述的网络攻击源定位及防护装置除了所述的数据流采集单元301、源IP地址获取单
元302、日志数据采集单元303、攻击节点IP地址确定单元304、攻击源定位单元305、防护
策略配置单元306之外,还包括:
[0090] 显示单元307,用于将攻击时间、源IP地址、攻击节点IP地址、源端口、攻击目标IP地址、目标端口、攻击报警日志数据、防护策略以WEB页面、邮件、短信、日志中至少一个
的方式进行显示。
[0091] 时间同步单元308,用于根据网络时间协议NTP与时间同步服务器周期性更新时间,以确保攻击源定位及防护装置与网络入侵防护装置的时间保持同步。
[0092] 图8是源IP地址获取单元中分析单元的结构框图,由图8可知,分析单元302包括:
[0093] 第一判断单元3021,用于判断所述的重组数据包是否为HTTP数据包,当判断结果为是时,转入识别单元3022,当判断结果为否时,将所述的重组数据包丢弃;
[0094] 所述的识别单元3022,用于识别所述的重组数据包的X-Forwarded-For字段;
[0095] 提取单元3023,用于从所述的X-Forwarded-For字段的字符串列表中提取第一个IP地址,所述的IP地址即为源IP地址。
[0096] 若从所述的字符串列表中提取的第一组字符串不是IP地址,则将其丢弃,并依次搜索下一组字符串,直至定位到第一个IP地址。对于网络加速根节点的HTTP数据
流,X-Forwarded-For字段能够显示其真实源IP地址,以及所经过的每一层的网络加速
节点IP地址。例如,假如攻击源123.124.177.6通过网络加速环境对某银行的网上银
行门户进行了攻击行为,其产生的网络数据包的源IP地址则是网络加速根节点IP地址
202.108.251.115。但是,如果对所述的数据包进行重组并判断所述的重组数据包是否为
HTTP数据包,那么在HTTP协议层将含有真实的源IP地址123.124.177.6。
[0097] 统计单元3024,用于统计所述的源IP地址的HTTP数据总量和攻击数据总量;
[0098] 保存单元3025,用于将攻击时间、源IP地址、源IP地址对应的网络加速节点IP地址、源端口、目标IP地址、目标端口、重组后的数据包的存储路径保存在数据库中。
[0099] 图9是图7中攻击源定位单元的结构框图,由图9可知,所述的攻击源定位单元305包括:
[0100] 第一搜索单元3051,用于根据攻击时间、攻击节点IP地址、目标IP地址在数据库中进行搜索;
[0101] 第二判断单元3052,用于判断搜索结果是否为空,当判断为是时,将该攻击报警日志丢弃,否则,转入第三判断单元3053;
[0102] 所述的第三判断单元3053,用于判断搜索结果是否为一条,当搜索结果不是一条时,转入第二搜索单元3054,当搜索结果是一条时,所述的搜索结果即为唯一的攻击数据
包,所述的攻击数据包的IP地址即为源IP地址;
[0103] 所述的第二搜索单元3054,用于根据源端口、目标端口在搜索结果中二次搜索,与攻击报警日志数据进行字段匹配以确定唯一的攻击数据包,所述的攻击数据包的IP地址
即为所述的攻击节点IP地址对应的源IP地址。
[0104] 防护策略配置单元306具体包括:
[0105] 计算单元,用于根据所述的配置文件中预先设定的公式计算源IP地址的攻击强度值;
[0106] 防护策略确定单元,用于根据源IP地址的攻击强度值选择配置文件中对应的防护策略。
[0107] 对于不同的网站,可以根据安全等级的高低,预先针对网络加速环境设置不同的攻击强度值计算公式,以及设定根据不同的攻击强度值确定防护策略的规则,而且可以预
先设定不同的防护策略。
[0108] 综上所述的,本发明实施例提供了一种网络攻击源定位及防护方法、装置,通过解析网络数据流以及攻击报警日志数据,对网络加速环境下的数据流重组,实现了将隐藏在
网络加速根节点之后的真实攻击节点IP地址成功定位,实时根据防护策略对网络加速环
境边缘进行安全防护,有效防范了真实攻击节点IP地址的未知攻击行为,降低了网站应用
系统的安全风险,同时节约了安全设备部署成本且设备维护成本低。
[0109] 本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,
依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述的,本说明书
内容不应理解为对本发明的限制。
