技术特征:
1.一种网络攻击的检测方法,其特征在于,所述方法包括:接收传输控制协议tcp报文;对所述tcp报文的头部进行特征提取,得到第一头部特征;对所述第一头部特征与第二头部特征进行匹配,所述第二头部特征为样本tcp报文的头部的特征,所述样本tcp报文来自于僵尸网络;若所述第一头部特征与所述第二头部特征满足匹配条件,确定所述tcp报文来自于所述僵尸网络。2.根据权利要求1所述的方法,其特征在于,所述tcp报文的头部包括tcp头和互联网协议ip头,所述对所述tcp报文的头部进行特征提取,得到第一头部特征,包括:分别对所述tcp头和所述ip头进行特征提取,得到所述第一头部特征。3.根据权利要求1或2所述的方法,其特征在于,所述第一头部特征用于指示以下至少一项:ip协议的版本;生成所述tcp报文的操作系统使用的初始生存时间ttl;互联网协议第4版ipv4选项的长度或互联网协议第6版ipv6拓展头的长度;最大段长度mss字段的取值;窗口大小;窗口缩放因子;tcp选项的布局和tcp选项的排序;额外特征序列;载荷长度。4.根据权利要求3所述的方法,其特征在于,所述tcp选项的布局和tcp选项的排序用于指示以下至少一项:选项结束后填充字节的数量;无操作nop选项;mss字段的位置;窗口缩放;选择性确认sack;时间戳。5.根据权利要求3所述的方法,其特征在于,所述额外特征序列用于指示以下至少一项:不分片df位设置;df位设置且互联网协议身份标识ipid非零;df位未设置且互联网协议身份标识ipid是零;支持显式拥塞通知;必须为零字段非零;流标识;序列号为零;确认号非零且未设置确认标志;
确认号为零且设置了确认标志;紧急指针非零且未设置紧急标志;使用推送标志;发送方将时间戳指定为零;接收方的第一个同步序列编号syn报文的时间戳非零;选项字段具有非零数据;串口缩放系数大于阈值;畸形的tcp选项。6.根据权利要求1所述的方法,其特征在于,所述确定所述tcp报文来自于所述僵尸网络之后,所述方法还包括:丢弃所述tcp报文;或者,记录所述tcp报文的五元组,向网络安全设备发送所述tcp报文。7.根据权利要求1所述的方法,其特征在于,所述若所述第一头部特征与所述第二头部特征满足匹配条件,确定所述tcp报文来自于所述僵尸网络,包括:若所述第一头部特征与所述第二头部特征相同,确定所述tcp报文来自于所述僵尸网络。8.一种网络攻击的检测装置,其特征在于,所述装置包括:接收模块,用于接收传输控制协议tcp报文;提取模块,用于对所述tcp报文的头部进行特征提取,得到第一头部特征;匹配模块,用于对所述第一头部特征与第二头部特征进行匹配,所述第二头部特征为样本tcp报文的头部的特征,所述样本tcp报文来自于僵尸网络;确定模块,用于若所述第一头部特征与所述第二头部特征满足匹配条件,确定所述tcp报文来自于所述僵尸网络。9.根据权利要求8所述的装置,其特征在于,所述tcp报文的头部包括tcp头和互联网协议ip头,所述匹配模块,用于分别对所述tcp头和所述ip头进行特征提取,得到所述第一头部特征。10.根据权利要求8所述的装置,其特征在于,所述装置还包括:丢弃模块,用于丢弃所述tcp报文;记录模块,用于记录所述tcp报文的五元组;发送模块,用于向网络安全设备发送所述tcp报文。11.一种检测设备,其特征在于,所述检测设备包括处理器和通信接口,所述处理器用于执行指令,使得所述检测设备执行如权利要求1至权利要求7中任一项所述的方法,所述通信接口用于接收传输控制协议tcp报文。12.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述指令由处理器读取以使检测设备执行如权利要求1至权利要求7中任一项所述的方法。
技术总结
本申请提供了一种网络攻击的检测方法、装置、设备及存储介质,属于网络技术领域。本申请提供了一种基于TCP报文的头部特征识别僵尸网络的方法,通过TCP报文的头部特征与僵尸网络的样本TCP报文的头部特征进行匹配,从而识别TCP报文是否是来自僵尸网络的报文。由于不考虑报文的载荷方面的内容,减少了设备所需解析和识别的内容,降低了设备所需处理的数据量,实现了轻量化的识别,减少了识别的开销。减少了识别的开销。减少了识别的开销。
技术研发人员:李强 杨莉 蒋武 刘吉鹏
受保护的技术使用者:华为技术有限公司
技术研发日:2020.05.29
技术公布日:2021/12/2