本发明涉及计算机,更具体地说是指ddos防御方法、装置、计算机设备及存储介质。
背景技术:
1、ddos(分布式拒绝服务攻击,distributed denial of service attack)是指依靠分布式的攻击源发起的庞大规模的拒绝服务攻击。这种攻击是通过操纵大量的“僵尸”计算机,创建一个攻击网络,同时以猛烈的频率和速度对一个或多个目标发起攻击,从而成倍地提高拒绝服务攻击的威力。由于ddos攻击会消耗网络带宽或系统资源,导致网络或系统过载,从而造成目标系统或网络几近瘫痪,甚至于出现宕机。
2、在网络安全领域,ddos以其隐蔽性和高效性成为最流行的攻击方法,攻击者不断提升攻击手段的复杂度和使用变幻多样的攻击手法,以高强度、新颖的手法持续获得显著的攻击效果。而现有的ddos防御技术对难以缓解日益严峻的ddos攻击形势。
3、因此,有必要设计一种新的方法,实现精准判别ddos攻击行为,从而精准防御ddos攻击行为。
技术实现思路
1、本发明的目的在于克服现有技术的缺陷,提供ddos防御方法、装置、计算机设备及存储介质。
2、为实现上述目的,本发明采用以下技术方案:ddos防御方法,包括:
3、获取可信终端发出的数据包信息;
4、解析所述数据包信息,以得到可信终端指纹信息,形成可信终端id集合;
5、根据可信终端id集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;
6、获取待测终端发出的待测数据包信息以及待测终端访问信息;
7、解析所述待测数据包信息,以得到待测终端指纹信息;
8、解析所述待测终端访问信息,以得到待测终端访问信息特征;
9、将所述待测终端指纹信息与所述可信终端id集合进行id匹配,以判断所述待测终端是否可信;
10、若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;
11、若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在ddos攻击行为,将所述待测终端的访问进行异常处理;
12、若所述待测终端可信,则判断所述待测终端指纹信息与所述可信终端访问信息特征库内的元素是否一一对应匹配;
13、若所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在ddos攻击行为,将所述待测终端的访问进行异常处理。
14、其进一步技术方案为:所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件之后,还包括:
15、若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在ddos攻击行为,放行所述待测终端的访问。
16、其进一步技术方案为:所述解析所述数据包信息,以得到可信终端指纹信息,形成可信终端id集合,包括:
17、对所述数据包信息根据ip地址、mac地址、业务数据包大小范围、序列号进行特征解析,以得到可信终端指纹;
18、对所述可信终端指纹进行计算,以生成可信终端id号;
19、统计所有的可信终端id号,以得到可信终端id号集合。
20、其进一步技术方案为:所述根据可信终端id集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库,包括:
21、通过agent软件采集可信终端id集合中对应的可信终端在学习时间内的访问信息特征;
22、统计可信终端id号集合所对应的可信终端上的每一条访问信息特征,以得到访问信息特征集合;
23、对所述访问信息特征集合内的访问信息特征进行去重,以得到可信终端访问信息特征库。
24、其进一步技术方案为:所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件,包括:
25、根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内;
26、若所述待测终端的通信时间不在固定通信时间段内,则确定待测终端的通信时间不符合设定条件;
27、若所述待测终端的通信时间在固定通信时间段内,则确定待测终端的通信时间符合设定条件;
28、放行所述待测终端的访问信息,并记录所述待测终端针对访问目标在单位时间内的访问次数,以得到访问频率;
29、判断所述访问频率是否在设定的单位时间的固定访问次数范围内;
30、若所述访问频率在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数符合设定要求;
31、若所述访问频率不在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数不符合设定要求。
32、其进一步技术方案为:所述判断所述待测终端指纹信息与所述可信终端访问信息特征库内的元素是否一一对应匹配,包括:
33、判断所述待测终端指纹信息中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致;
34、若所述待测终端指纹信息中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致,则确定所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配;
35、若所述待测终端指纹信息中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致,则判断所述待测终端指纹信息中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致;
36、若所述待测终端指纹信息中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致,则执行所述确定所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配;
37、若所述待测终端指纹信息中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致,则判断所述待测终端指纹信息中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致;
38、若所述待测终端指纹信息中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致,则执行所述确定所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配;
39、若所述待测终端指纹信息中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致,则确定所述待测终端指纹信息与所述可信终端访问信息特征库内的元素一一对应匹配。
40、本发明还提供了ddos防御装置,包括:
41、可信信息获取单元,用于获取可信终端发出的数据包信息;
42、第一解析单元,用于解析所述数据包信息,以得到可信终端指纹信息,形成可信终端id集合;
43、采集单元,用于根据可信终端id集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;
44、待测信息获取单元,用于获取待测终端发出的待测数据包信息以及待测终端访问信息;
45、第二解析单元,用于解析所述待测数据包信息,以得到待测终端指纹信息;
46、第三解析单元,用于解析所述待测终端访问信息,以得到待测终端访问信息特征;
47、id匹配单元,用于将所述待测终端指纹信息与所述可信终端id集合进行id匹配,以判断所述待测终端是否可信;
48、第一判断单元,用于若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;
49、第一确定单元,用于若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在ddos攻击行为,将所述待测终端的访问进行异常处理;
50、第二判断单元,用于若所述待测终端可信,则判断所述待测终端指纹信息与所述可信终端访问信息特征库内的元素是否一一对应匹配;若所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在ddos攻击行为,将所述待测终端的访问进行异常处理。
51、其进一步技术方案为:还包括:
52、第二确定单元,用于若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在ddos攻击行为,放行所述待测终端的访问。
53、本发明还提供了一种计算机设备,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
54、本发明还提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
55、本发明与现有技术相比的有益效果是:本发明通过构建可信终端id集合以及可信终端访问信息特征库,针对待测终端发出的待测数据包信息以及待测终端访问信息,进行解析,并将解析结果与可信终端id集合以及可信终端访问信息特征库进行匹配,以防御存在ddos攻击行为的终端的访问,实现利用可信终端指纹信息策略,以可信终端访问信息特征库为依托,自动化判别可信终端及终端访问信息,从而精准判别ddos攻击行为。
56、下面结合附图和具体实施例对本发明作进一步描述。