本申請涉及服務(wù)器安全領(lǐng)域，具體而言，涉及一種攻擊防護方法和裝置。

背景技術(shù)：

redis數(shù)據(jù)庫的使用場景絕大部分是在沙盒化的環(huán)境中，因此它的安全模型是只將redis數(shù)據(jù)庫部署在私有網(wǎng)絡(luò)中，并不允許不受信用的客戶接觸到。在缺省情況下(即默認設(shè)置的情況下)，redis數(shù)據(jù)庫會綁定6379端口偵聽任意ip的訪問，且沒有開啟認證，如果沒有采用防火墻規(guī)則等相關(guān)策略來避免非信任來源的ip訪問，會使redis服務(wù)器直接暴露在公網(wǎng)上，導(dǎo)致攻擊者可以直接訪問redis服務(wù)器并進行相關(guān)的操作。

由于redis服務(wù)器使用明文傳輸，攻擊者只需要連接上目標(biāo)redis服務(wù)器后，將自己的公鑰通過明文發(fā)送給redis服務(wù)器，再通過“configsetdir”命令切換redis服務(wù)器的持久化目錄到/root/.ssh，最后使用“configsetdbfilename”命令將公鑰存儲到目標(biāo)redis服務(wù)器的/root/.ssh/authorized_keys文件中，從而可以使用自己的私鑰登錄目標(biāo)redis服務(wù)器，以實現(xiàn)對目標(biāo)redis服務(wù)器的控制。

現(xiàn)有技術(shù)中采用的防護redis服務(wù)器被入侵攻擊的方案為：由用戶修改redis服務(wù)缺省配置，以及使用相關(guān)安全策略來禁止非信任ip的訪問。

而上述方案存在兩方面的缺點：一方面，云計算數(shù)據(jù)中心中用戶及服務(wù)器數(shù)量龐大，查找受影響的服務(wù)器并通知用戶修改缺省配置工作量繁重，且實施防護措施受限于用戶安全意識以及技術(shù)能力；另一方面，無法實時的檢測并阻斷攻擊者的入侵。

針對現(xiàn)有的攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊的方案處理效率低的問題，目前尚未提出有效的解決方案。

技術(shù)實現(xiàn)要素：

本申請實施例提供了一種攻擊防護方法和裝置，以至少解決攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊的方案處理效率低的技術(shù)問題。

根據(jù)本申請實施例的一個方面，提供了一種攻擊防護方法，該方法包括：獲取報 文鏡像；基于報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件；在檢測出發(fā)生預(yù)設(shè)事件的情況下，阻斷預(yù)設(shè)事件的目的端與源端的連接。

根據(jù)本申請實施例的另一方面，還提供了一種攻擊防護系統(tǒng)，該系統(tǒng)包括：鏡像裝置，用于采集報文鏡像；第一服務(wù)器，用于基于所述報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件，還用于在檢測出發(fā)生所述預(yù)設(shè)事件的情況下，阻斷所述報文的目的端和源端之間的連接。

根據(jù)本申請實施例的另一方面，還提供了一種攻擊防護裝置，該裝置包括：獲取單元，用于獲取報文鏡像；檢測單元，用于基于所述報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件；防護單元，用于在檢測出發(fā)生所述預(yù)設(shè)事件的情況下，阻斷所述報文的目的端和源端之間的連接。

在本申請實施例中，將數(shù)據(jù)中心的數(shù)據(jù)報文鏡像為報文鏡像，基于報文鏡像，可以檢測出數(shù)據(jù)中心是否發(fā)生源端對redis服務(wù)器的入侵攻擊事件(即預(yù)設(shè)事件)，若檢測出有入侵攻擊事件，則阻斷入侵預(yù)設(shè)事件的目的端與源端的連接。通過上述實施例，由于產(chǎn)生的報文鏡像是實時的，且基于報文鏡像確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件，從而可以實時確定數(shù)據(jù)中心發(fā)生的入侵攻擊事件，因此，基于對產(chǎn)生的報文鏡像進行分析的方式，可以實時檢測出攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊事件，并可以實時的進行阻斷攔截，從而可以提高處理效率，解決了現(xiàn)有技術(shù)中攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊的方案處理效率低的問題。

附圖說明

此處所說明的附圖用來提供對本申請的進一步理解，構(gòu)成本申請的一部分，本申請的示意性實施例及其說明用于解釋本申請，并不構(gòu)成對本申請的不當(dāng)限定。在附圖中：

圖1是根據(jù)本申請實施例的一種攻擊防護方法的計算機終端的硬件結(jié)構(gòu)框圖；

圖2是根據(jù)本申請實施例的一種攻擊防護方法的流程圖；

圖3是根據(jù)本申請實施例的一種可選的攻擊防護系統(tǒng)的示意圖；

圖4是根據(jù)本申請實施例的一種可選的攻擊防護方法的流程圖；

圖5是根據(jù)本申請實施例的一種可選的阻斷報文的格式的示意圖；

圖6是根據(jù)本申請實施例的另一種可選的阻斷報文的格式的示意圖；

圖7是根據(jù)本申請實施例的又一種可選的阻斷報文的格式的示意圖；

圖8是根據(jù)本申請實施例的一種攻擊防護系統(tǒng)的示意圖；

圖9是根據(jù)本申請實施例的一種攻擊防護裝置的示意圖；

圖10是根據(jù)本申請實施例的一種可選的攻擊防護裝置的示意圖；

圖11是根據(jù)本申請實施例的一種計算機終端的結(jié)構(gòu)框圖。

具體實施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本申請方案，下面將結(jié)合本申請實施例中的附圖，對本申請實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本申請一部分的實施例，而不是全部的實施例?；诒旧暾堉械膶嵤├?，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應(yīng)當(dāng)屬于本申請保護的范圍。

需要說明的是，本申請的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本申請的實施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤４送?，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

首先，對本申請涉及到的名詞解釋如下：

redis：是一個開源的使用ansic語言編寫的key-value數(shù)據(jù)庫，其具有支持網(wǎng)絡(luò)、可以支持內(nèi)存也可以持久化、以及高性能、豐富的數(shù)據(jù)類型、原子性等特點，在特定領(lǐng)域具有一定的不可替代性。

鏡像流量：通過交換機或路由器，將一個或多個端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個特定端口，可以在不影響原始業(yè)務(wù)的情況下實現(xiàn)對網(wǎng)絡(luò)行為的監(jiān)聽。

公鑰、私鑰：通過一種特定算法生成的一對秘鑰，其中公開的部分為公鑰，非公開的部分為私鑰。公鑰通常用于數(shù)據(jù)加密和驗證數(shù)據(jù)，私鑰通常用于數(shù)據(jù)解密。

云計算數(shù)據(jù)中心：一種基于互聯(lián)網(wǎng)的計算方式，通過這種方式，共享的軟硬件資源和信息可以按需提供給計算機和其他設(shè)備。

攻擊事件：是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或者使用暴力攻擊對信息系統(tǒng)事實攻擊，并造成信息系統(tǒng)異常或?qū)π畔⑾到y(tǒng) 當(dāng)前運行造成潛在危險的信息安全事件。

實施例1

根據(jù)本申請實施例，還提供了一種攻擊防護方法的實施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本申請實施例一所提供的方法實施例可以在移動終端、計算機終端或者類似的運算裝置中執(zhí)行。以運行在計算機終端上為例，圖1是根據(jù)本申請實施例的一種攻擊防護方法的計算機終端的硬件結(jié)構(gòu)框圖。如圖1所示，計算機終端10可以包括一個或多個(圖中僅示出一個)處理器102(處理器102可以包括但不限于微處理器mcu或可編程邏輯器件fpga等的處理裝置)、用于存儲數(shù)據(jù)的存儲器104、以及用于通信功能的傳輸模塊106。本領(lǐng)域普通技術(shù)人員可以理解，圖1所示的結(jié)構(gòu)僅為示意，其并不對上述電子裝置的結(jié)構(gòu)造成限定。例如，計算機終端10還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。

存儲器104可用于存儲應(yīng)用軟件的軟件程序以及模塊，如本申請實施例中的攻擊防護方法對應(yīng)的程序指令/模塊，處理器102通過運行存儲在存儲器104內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，即實現(xiàn)上述的攻擊防護方法。存儲器104可包括高速隨機存儲器，還可包括非易失性存儲器，如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實例中，存儲器104可進一步包括相對于處理器102遠程設(shè)置的存儲器，這些遠程存儲器可以通過網(wǎng)絡(luò)連接至計算機終端10。上述網(wǎng)絡(luò)的實例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。

傳輸裝置106用于經(jīng)由一個網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實例可包括計算機終端10的通信供應(yīng)商提供的無線網(wǎng)絡(luò)。在一個實例中，傳輸裝置106包括一個網(wǎng)絡(luò)適配器(networkinterfacecontroller，nic)，其可通過基站與其他網(wǎng)絡(luò)設(shè)備相連從而可與互聯(lián)網(wǎng)進行通訊。在一個實例中，傳輸裝置106可以為射頻(radiofrequency，rf)模塊，其用于通過無線方式與互聯(lián)網(wǎng)進行通訊。

上述網(wǎng)絡(luò)的實例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。

在上述運行環(huán)境下，本申請?zhí)峁┝艘环N攻擊防護方法。圖2是根據(jù)本申請實施例的一種攻擊防護方法的流程圖。如圖2所示,該方法可以包括如下步驟:

步驟s202:獲取報文鏡像。

步驟s204:基于報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件。

步驟s206:在檢測出發(fā)生預(yù)設(shè)事件的情況下，阻斷預(yù)設(shè)事件的目的端與源端的連接。

采用本申請實施例，將數(shù)據(jù)中心的數(shù)據(jù)報文鏡像為報文鏡像，基于報文鏡像，可以檢測出數(shù)據(jù)中心是否發(fā)生源端對redis服務(wù)器的入侵攻擊事件(即上述的預(yù)設(shè)事件)，若檢測出有入侵攻擊事件，則阻斷入侵預(yù)設(shè)事件的目的端與源端的連接。通過上述實施例，由于產(chǎn)生的報文鏡像是實時的，且基于報文鏡像確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件，從而可以實時確定數(shù)據(jù)中心發(fā)生的入侵攻擊事件，因此，基于對產(chǎn)生的報文鏡像進行分析的方式，可以實時檢測出攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵預(yù)設(shè)事件，并可以實時的進行阻斷攔截，從而可以提高處理效率，解決了現(xiàn)有技術(shù)中攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊的方案處理效率低的問題。

在上述實施例中，無需修改缺省配置即可實現(xiàn)實時地防護redis服務(wù)器，從而可以解決在規(guī)模龐大的云計算數(shù)據(jù)中心中實時的發(fā)現(xiàn)、阻隔基于redis的入侵攻擊，并能將結(jié)果實時同步給受影響的用戶，幫助用戶及時采取防護措施。

上述實施例中的預(yù)設(shè)事件為攻擊事件，目的端為攻擊事件的被攻擊方，源端為攻擊事件的攻擊方。

上述實施例中的步驟s202：獲取鏡像數(shù)據(jù)中心的數(shù)據(jù)報文而產(chǎn)生的報文鏡像，可以通過鏡像裝置，如交換機或者路由器，來實現(xiàn)。該報文鏡像中可以包括一份報文，也可以包括多份報文。

例如，將交換機或者路由器部署在數(shù)據(jù)中心的入口，將進入數(shù)據(jù)中心和從數(shù)據(jù)中心出去的報文流量全部鏡像一份，得到上述的報文鏡像。在該實施例中，報文鏡像為報文鏡像流量。

通過上述步驟可以實時獲取數(shù)據(jù)中心的報文數(shù)據(jù)。

在交換機或者路由器獲取報文鏡像之后，將報文鏡像發(fā)送至第一服務(wù)器，該第一服務(wù)器可以位于分析集群(即analyse集群，即analyse服務(wù)器群)，該analyse集群中可以包括多個第一服務(wù)器。

具體地，analyse集群上的第一服務(wù)器接收到報文鏡像，并逐一分析報文鏡像中的報文內(nèi)容，以確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件。由于非對稱路由導(dǎo)致同一條攻擊/應(yīng)答報文可能會被多臺analyse集群中的第一服務(wù)器檢測，所以每臺analyse服務(wù)器 檢測到預(yù)設(shè)事件，可以將涉及預(yù)設(shè)事件的報文轉(zhuǎn)發(fā)給第二服務(wù)器，第二服務(wù)器對其進行匯總分析，并確定阻斷的所述目的端和源端，以阻斷所述目的端和源端。

其中，第二服務(wù)器可以為匯總服務(wù)器(如summary服務(wù)器)，該服務(wù)器用于統(tǒng)一分析決策。源端可以為位于計算機網(wǎng)絡(luò)集群中的一個或多個計算機終端，目的端可以為位于數(shù)據(jù)中心的redis服務(wù)器。

第二服務(wù)器接收到analyse集群的所有涉及預(yù)設(shè)事件的報文數(shù)據(jù)之后，將數(shù)據(jù)進行組合匯總，分析入侵攻擊結(jié)果以及攻擊源后，通知analyse服務(wù)器使用向受攻擊的redis服務(wù)器以及攻擊者發(fā)送tcpreset報文的方式阻斷其連接，并且將受攻擊的服務(wù)器反饋給用戶。

通過上述實施例，可以通過鏡像數(shù)據(jù)中心的數(shù)據(jù)報文，以實時檢測攻擊者對云計算中心redis服務(wù)器的入侵攻擊事件，實時的進行阻斷攔截。

具體地，基于報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件包括：檢測報文鏡像中是否存在具有攻擊特征的攻擊報文；在檢測出報文鏡像中存在攻擊報文的情況下，確定檢測出數(shù)據(jù)中心發(fā)生預(yù)設(shè)事件。

終端通過訪問請求的方式訪問服務(wù)器，訪問請求攜帶在訪問報文中，對訪問報文進行封裝得到數(shù)據(jù)包，將數(shù)據(jù)包發(fā)送至數(shù)據(jù)中心的目標(biāo)訪問服務(wù)器，該數(shù)據(jù)包流經(jīng)數(shù)據(jù)中心的入口時就會被交換機/路由器鏡像下來，得到報文鏡像。也即，報文鏡像中攜帶有多個數(shù)據(jù)報文，通過檢測報文鏡像中是否存在具有攻擊特征的攻擊報文，可以檢測數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件。

進一步地，若在報文鏡像中檢測出具有攻擊特征的攻擊報文，則檢測出數(shù)據(jù)中心發(fā)生了預(yù)設(shè)事件；若在報文鏡像中未檢測出具有攻擊特征的攻擊報文，則檢測出數(shù)據(jù)中心未發(fā)生預(yù)設(shè)事件。

具體地，analyse集群上的第一服務(wù)器接收到報文鏡像，并逐一分析報文鏡像中的報文內(nèi)容，以確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件。由于非對稱路由導(dǎo)致同一條攻擊/應(yīng)答報文可能會被多臺analyse集群中的第一服務(wù)器檢測，所以每臺analyse服務(wù)器檢測到redis入侵攻擊的攻擊報文后，可以將攻擊報文轉(zhuǎn)發(fā)給第二服務(wù)器，第二服務(wù)器對其進行匯總分析。

其中，第二服務(wù)器可以為匯總服務(wù)器(如summary服務(wù)器)，該服務(wù)器用于統(tǒng)一分析決策。

第二服務(wù)器接收到analyse集群的攻擊報文之后，將攻擊報文進行組合匯總，分 析入侵攻擊結(jié)果以及攻擊源(即上述的源端)后，通知第一服務(wù)器(即analyse服務(wù)器)使用向受攻擊的redis服務(wù)器以及攻擊者發(fā)送tcpreset報文的方式阻斷其連接，并且將受攻擊的服務(wù)器反饋給用戶。

具體地，阻斷預(yù)設(shè)事件的目的端與源端的連接包括：利用攻擊報文中的源ip和目的ip，合并攻擊報文，得到請求應(yīng)答信息；確定請求應(yīng)答信息所指示的所述目的端和源端；發(fā)送阻斷報文，其中，阻斷報文用于阻斷目的端與源端的連接。

可選地，發(fā)送阻斷報文包括：分別向目的端和源端發(fā)送阻斷報文；或向目的端發(fā)送阻斷報文。

終端與redis服務(wù)器進行信息交互的數(shù)據(jù)包中，可以記錄有源ip地址、目的ip地址、源端口和目的端口，通過這些信息可以確定數(shù)據(jù)包中的報文為請求報文還是應(yīng)答報文。

終端與redis服務(wù)器進行信息交互時，終端生成請求報文，將請求報文通過數(shù)據(jù)中心的入口輸入對應(yīng)的redis服務(wù)器，redis服務(wù)器生成響應(yīng)的應(yīng)答報文，在交換機或路由器鏡像數(shù)據(jù)中心的數(shù)據(jù)報文得到報文鏡像之后，該報文鏡像中包含大量的請求報文和應(yīng)答報文，將對應(yīng)的請求報文和應(yīng)答報文組合起來得到的請求應(yīng)答信息，可以更加準確地判斷數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件。

下面結(jié)合圖3和圖4詳述本申請實施例，如圖3所示，該實施例由機房入口流量鏡像交換機/路由器31、數(shù)據(jù)的analyse采集分析集群33和summary匯總服務(wù)器35來實現(xiàn)。如圖4所示該實施例可以通過如下步驟實現(xiàn)：

步驟s402:獲取鏡像數(shù)據(jù)中心的數(shù)據(jù)報文而產(chǎn)生的報文鏡像。

具體地，交換機/路由器部署于數(shù)據(jù)中心入口，將進入數(shù)據(jù)中心和從數(shù)據(jù)中心出去的報文流量全部鏡像一份發(fā)送給analyse分析集群。

步驟s404:檢測報文鏡像中是否存在具有攻擊特征的攻擊報文。

在檢測出報文鏡像中存在攻擊報文的情況下，確定檢測出數(shù)據(jù)中心發(fā)生預(yù)設(shè)事件；在報文鏡像中不存在攻擊報文的情況下，確定數(shù)據(jù)中心為發(fā)生預(yù)設(shè)事件。

analyse集群中的第一服務(wù)器接收到鏡像流量之后，逐一分析流量中的報文內(nèi)容。由于非對稱路由導(dǎo)致同一條攻擊/應(yīng)答報文可能會被多臺analyse服務(wù)器檢測，所以每臺analyse服務(wù)器檢測到redis入侵攻擊相關(guān)報文后就將其轉(zhuǎn)發(fā)給summary服務(wù)器統(tǒng)一分析決策。

步驟s406:利用攻擊報文中的源ip和目的ip，合并攻擊報文，得到請求應(yīng)答信息。

步驟s408：確定請求應(yīng)答信息所指示的目的端和源端。

步驟s410：通過分析集群中的服務(wù)器分別向目的端與源端發(fā)送阻斷報文。

匯總服務(wù)器接收analyse集群的所有入侵攻擊報文數(shù)據(jù)，并將數(shù)據(jù)進行組合匯總，分析入侵攻擊結(jié)果以及攻擊源后，通知analyse服務(wù)器使用向受攻擊的redis服務(wù)器以及攻擊者發(fā)送tcpreset報文的方式阻斷其連接，并且將受攻擊的服務(wù)器反饋給用戶。

需要進一步說明的是，在確定請求應(yīng)答信息所指示的目的端和源端之后，方法還可以包括：根據(jù)請求應(yīng)答信息確定目的端是否設(shè)置有安全認證機制；在確定目的端未設(shè)置安全認證機制的情況下，生成反饋信息，其中，反饋信息用于提示設(shè)置目的端的安全認證機制。

具體地，根據(jù)請求應(yīng)答信息確定目的端是否設(shè)置有安全認證機制包括：

在請求應(yīng)答信息指示檢測到的請求報文為入侵報文、且應(yīng)答報文包含確認信息的情況下，確定目的端未設(shè)置安全認證機制；在請求應(yīng)答信息指示檢測到的請求報文為入侵報文、且應(yīng)答報文包含認證請求信息的情況下，確定目的端設(shè)置有安全認證機制，其中，請求應(yīng)答信息包括請求報文和應(yīng)答報文。

進一步地，在請求應(yīng)答信息指示在第一時長內(nèi)檢測到的請求報文為入侵報文、且應(yīng)答報文包含確認信息的情況下，確定目的端未設(shè)置安全認證機制；在請求應(yīng)答信息指示在第一時長內(nèi)檢測到的請求報文為入侵報文、且應(yīng)答報文包含認證請求信息的情況下，確定目的端設(shè)置有安全認證機制，其中，請求應(yīng)答信息包括請求報文和應(yīng)答報文。

其中，第一時長可以為5秒。

上述的包含確認信息的應(yīng)答報文可以為包含“ok”等信息的應(yīng)答報文；包含認證請求信息的應(yīng)答報文可以為包括“請?zhí)峁┱J證信息”的報文。

根據(jù)本申請的上述實施例，在確定請求應(yīng)答信息所指示的目的端和源端之后，方法還可以包括：若檢測到的多個請求應(yīng)答信息具有相同的源端，則確定源端為惡意源端；阻斷惡意源端與數(shù)據(jù)中心的任意一個服務(wù)器建立連接。

在上述實施例中，若在第二時長內(nèi)檢測到一個源端對多個目的端發(fā)起進攻，則可以確定該源端為惡意源端，則阻斷該惡意源端與數(shù)據(jù)中心中的所有服務(wù)器的連接，以 避免數(shù)據(jù)中心的服務(wù)器再次遭受該惡意源端的攻擊。

上述實施例中的所述目的端和源端通過ip地址標(biāo)識。

在上述實施例中，檢測報文鏡像中是否存在具有攻擊特征的攻擊報文可以包括：從報文鏡像中，獲取具有預(yù)置端口的數(shù)據(jù)包；檢測數(shù)據(jù)包是否包含預(yù)設(shè)字符串；若檢測出數(shù)據(jù)包包含預(yù)設(shè)字符串，則確定檢測到攻擊報文。

具有預(yù)置端口的數(shù)據(jù)包可以為源端口為預(yù)置端口或目的端口為預(yù)置端口的數(shù)據(jù)包。

該預(yù)置端口可以為redis服務(wù)器的6379端口。

進一步地，在確定檢測到攻擊報文之后，根據(jù)數(shù)據(jù)包的端口信息和預(yù)設(shè)字符串的類型確定攻擊報文的類型。

具體地，根據(jù)數(shù)據(jù)包的端口信息和預(yù)設(shè)字符串的類型確定攻擊報文的類型包括：

若數(shù)據(jù)包的目的端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第一字符串的情況下，確定攻擊報文為入侵報文，其中，第一字符串中包含配置集目錄命令，端口信息包括目的端口；

若數(shù)據(jù)包的源端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第二字符串的情況下，確定攻擊報文為包含確認信息的應(yīng)答報文，其中，第二字符串中包含確認信息，端口信息包括源端口；

若數(shù)據(jù)包的源端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第三字符串的情況下，確定攻擊報文為包含認證請求信息的應(yīng)答報文，其中，第三字符串中包含認證請求信息，端口信息為源端口。

下面結(jié)合圖3，以redis服務(wù)器為例，詳述本申請實施例。

analyse集群中的第一服務(wù)器對所有源端口或者目的端口為redis服務(wù)器缺省端口6379(即上述實施例中的預(yù)置端口)的tcp報文進行分析，判斷tcp報文是否為攻擊報文。

若檢測到目的端口為6379的tcp數(shù)據(jù)包中包含第一字符串(如“configsetdir/root/.ssh”)時，則確定該數(shù)據(jù)包中攜帶的請求報文具有攻擊特征，該攻擊報文為具有配置集目錄命令的報文，將報文的源ip地址、源端口、目的ip地址、目的端口以及tcp報文內(nèi)容上報到匯總服務(wù)器summary服務(wù)器。

若檢測到源端口為6379的tcp數(shù)據(jù)包中包含第二字符串(如“ok”字符串)時，則確定該數(shù)據(jù)包中攜帶的報文為具有攻擊特征，該攻擊報文為具有確認信息的應(yīng)答報 文，將報文源ip地址、源端口、目的ip地址、目的端口以及tcp報文內(nèi)容上報到summary服務(wù)器。

若檢測到源端口為6379的tcp數(shù)據(jù)包中包含第三字符串(如“-noauthauthenticationrequired”)字符串時，則確定該數(shù)據(jù)包中攜帶的報文為具有攻擊特征，該攻擊報文為具有認證請求息的應(yīng)答報文，將報文源ip地址、源端口、目的ip地址、目的端口以及tcp報文內(nèi)容上報到summary服務(wù)器。

通過上述分析集群中的第一服務(wù)器可以檢測出三類攻擊報文：第一類為具有配置集目錄命令的請求報文；第二類為包含確認信息的應(yīng)答報文，第三類為包含認證請求信息的應(yīng)答報文。summary服務(wù)器對所有analyse集群上報的報文實時的以源ip、目的ip進行合并，組合成一對ip地址之間的數(shù)據(jù)通信的請求應(yīng)答信息，并對請求應(yīng)答信息進行分析。

具體地，當(dāng)在檢測到上述的第一類報文時，則認定為對目的服務(wù)器的redis入侵攻擊，記錄此攻擊，并向analyse集群下發(fā)命令，由analyse服務(wù)器向攻擊源ip以及被攻擊服務(wù)器發(fā)送tcpreset報文，阻斷該攻擊源ip的tcp連接。

在該種場景下的阻斷報文的格式如圖5所示，該中場景下向攻擊者發(fā)送的阻斷報文中包括：源ip：被入侵的服務(wù)器ip；目的ip：攻擊者ip；報文長度：40字節(jié)(ip頭產(chǎn)度+tcp頭長度，無tcp載荷)；tcp源端口號：6379；tcp目的端口號：攻擊者發(fā)送tcp報文中攜帶的tcp源端口；tcp序列號：攻擊者發(fā)送的tcp報文中的確認序列號；以及tcp應(yīng)答序列號：攻擊者發(fā)送的tcp報文中的序列號+tcp負載長度。

當(dāng)在一段時間以內(nèi)(如5s)檢測到一對ip地址之間第一步中的第一類和第二類報文后，認定該目的服務(wù)器遭受攻擊，且沒有設(shè)置redis安全認證機制，向analyse集群下發(fā)命令，由analyse服務(wù)器向被攻擊服務(wù)器發(fā)送tcpreset報文，阻斷該攻擊的tcp連接，此外，記錄該入侵事件并報告用戶。

在該種場景下的阻斷報文的格式如圖6所示，該中場景下向攻擊者發(fā)送的阻斷報文中包括：源ip：攻擊者ip；目的ip：被入侵的服務(wù)器ip；報文長度：40字節(jié)(ip頭產(chǎn)度+tcp頭長度，無tcp載荷)；tcp源端口號：被攻擊者發(fā)送的tcp報文的目的tcp端口；tcp目的端口號：被攻擊者發(fā)送tcp報文中攜帶的tcp源端口；tcp序列號：被攻擊者發(fā)送的tcp報文中的確認序列號；tcp應(yīng)答序列號：被攻擊者發(fā)送的tcp報文中的序列號+tcp負載長度。

當(dāng)在一段時間以內(nèi)(如5s)檢測到一對ip地址之間第一步中的第一類和第三類報文后，認定該目的服務(wù)器遭受攻擊，但因為設(shè)置了認證機制并沒有被成功入侵，記 錄此次攻擊，并向analyse集群下發(fā)命令，由analyse服務(wù)器向被攻擊的服務(wù)器發(fā)送tcpreset報文，阻斷該攻擊源ip的tcp連接。

在該種場景下的阻斷報文的格式如圖7所示，該中場景下向攻擊者發(fā)送的阻斷報文中包括：源ip：攻擊者ip；目的ip：被入侵的服務(wù)器ip；報文長度：40字節(jié)(ip頭產(chǎn)度+tcp頭長度，無tcp載荷)；tcp源端口號：被訪問的服務(wù)器發(fā)送的tcpsyn-ack報文的目的tcp端口；tcp目的端口號：被訪問的服務(wù)器發(fā)送的tcpsyn-ack報文中攜帶的tcp源端口；tcp序列號：被訪問的服務(wù)器發(fā)送的tcpsyn-ack報文中的確認序列號；tcp應(yīng)答序列號：被訪問的服務(wù)器發(fā)送的tcpsyn-ack報文中的序列號+1。

需要說明的是，當(dāng)在一段時間以內(nèi)(3分鐘)檢測到一個源ip(即源端)向多個(如大于5個)目的服務(wù)器發(fā)送第一類的報文后，認定該源ip為惡意攻擊者，向analyse集群下發(fā)命令，一段時間內(nèi)(2小時)對于該攻擊源ip到數(shù)據(jù)中心的任何tcpsyn報文，在收到被訪問服務(wù)器的tcpsyn-ack報文后，向被訪問服務(wù)器發(fā)送tcpreset報文，阻止攻擊者其向數(shù)據(jù)中心建立任何連接。

summary服務(wù)器將所有攻擊事件(即上述的預(yù)設(shè)時間)記錄，對于沒有設(shè)置redis安全認證機制的服務(wù)器，反饋到用戶中心，提示用戶及時修復(fù)。

通過本申請上述實施例，可以實時檢測攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊事件，實時的進行阻斷攔截，并能將未設(shè)置安全認證的redis服務(wù)器識別出來，及時通知提醒用戶修復(fù)。

需要說明的是，對于前述的各方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本申請并不受所描述的動作順序的限制，因為依據(jù)本申請，某些步驟可以采用其他順序或者同時進行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作和模塊并不一定是本申請所必須的。

通過以上的實施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到根據(jù)上述實施例的方法可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實施方式。基于這樣的理解，本申請的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)(如rom/ram、磁碟、光盤)中，包括若干指令用以使得一臺終端設(shè)備(可以是手機，計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請各個實施例所述的方法。

實施例2

根據(jù)本申請實施例，還提供了一種用于實施上述攻擊防護方法的攻擊防護系統(tǒng)，如圖8所示，該系統(tǒng)包括：

鏡像裝置81，用于采集報文鏡像；

第一服務(wù)器83，用于基于報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件，并在檢測出發(fā)生預(yù)設(shè)事件的情況下，阻斷預(yù)設(shè)事件的目的端與源端的連接。

通過上述實施例，將數(shù)據(jù)中心的數(shù)據(jù)報文鏡像為報文鏡像，基于報文鏡像，可以檢測出數(shù)據(jù)中心是否發(fā)生源端對redis服務(wù)器的入侵攻擊事件，若檢測出有入侵攻擊事件，則阻斷入侵預(yù)設(shè)事件的目的端與源端的連接。通過上述實施例，由于產(chǎn)生的報文鏡像是實時的，且基于報文鏡像確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件，從而可以實時確定數(shù)據(jù)中心發(fā)生的入侵攻擊事件，因此，基于對產(chǎn)生的報文鏡像進行分析的方式，可以實時檢測出攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊事件，并可以實時的進行阻斷攔截，從而可以提高處理效率，解決了現(xiàn)有技術(shù)中攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊的方案處理效率低的問題。

在上述實施例中，無需修改缺省配置即可實現(xiàn)實時地防護redis服務(wù)器，從而可以解決在規(guī)模龐大的云計算數(shù)據(jù)中心中實時的發(fā)現(xiàn)、阻隔基于redis的入侵攻擊，并能將結(jié)果實時同步給受影響的用戶，幫助用戶及時采取防護措施。

上述實施例中的獲取鏡像數(shù)據(jù)中心的數(shù)據(jù)報文而產(chǎn)生的報文鏡像，可以通過鏡像裝置，如交換機或者路由器，來實現(xiàn)。

具體地，將交換機或者路由器部署在數(shù)據(jù)中心的入口，將進入數(shù)據(jù)中心和從數(shù)據(jù)中心出去的報文流量全部鏡像一份，得到上述的報文鏡像。

通過上述實施例可以實時獲取數(shù)據(jù)中心的報文數(shù)據(jù)。

在交換機或者路由器獲取報文鏡像之后，將報文鏡像發(fā)送至第一服務(wù)器，該第一服務(wù)器可以位于分析集群(即analyse集群)，該analyse集群中可以包括多個第一服務(wù)器。

具體地，analyse集群上的第一服務(wù)器接收到報文鏡像，并逐一分析報文鏡像中的報文內(nèi)容，以確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件。由于非對稱路由導(dǎo)致同一條攻擊/應(yīng)答報文可能會被多臺analyse集群中的第一服務(wù)器檢測，所以每臺analyse服務(wù)器檢測到預(yù)設(shè)事件，可以將涉及預(yù)設(shè)事件的報文轉(zhuǎn)發(fā)給第二服務(wù)器，第二服務(wù)器對其進行匯總分析，并確定阻斷的所述目的端和源端，以阻斷所述目的端和源端。

其中，第二服務(wù)器可以為匯總服務(wù)器(如summary服務(wù)器)，該服務(wù)器用于統(tǒng)一分 析決策。源端可以為位于計算機網(wǎng)絡(luò)集群中的一個或多個計算機終端，目的端可以為位于數(shù)據(jù)中心的redis服務(wù)器。

第二服務(wù)器接收到analyse集群的所有涉及預(yù)設(shè)事件的報文數(shù)據(jù)之后，將數(shù)據(jù)進行組合匯總，分析入侵攻擊結(jié)果以及攻擊源后，通知analyse服務(wù)器使用向受攻擊的redis服務(wù)器以及攻擊者發(fā)送tcpreset報文的方式阻斷其連接，并且將受攻擊的服務(wù)器反饋給用戶。

通過上述實施例，可以通過鏡像數(shù)據(jù)中心的數(shù)據(jù)報文，以實時檢測攻擊者對云計算中心redis服務(wù)器的入侵攻擊事件，實時的進行阻斷攔截。

上述實施例中的，第一服務(wù)器具體用于檢測報文鏡像中是否存在具有攻擊特征的攻擊報文，并在檢測出報文鏡像中存在攻擊報文的情況下，確定檢測出數(shù)據(jù)中心發(fā)生預(yù)設(shè)事件，并將攻擊報文轉(zhuǎn)發(fā)至第二服務(wù)器85。

可選地，第二服務(wù)器具體用于利用攻擊報文中的源ip和目的ip，合并攻擊報文，得到請求應(yīng)答信息；確定請求應(yīng)答信息所指示的目的端和源端。

在第二服務(wù)器確定目的端和源端之后，通知第一服務(wù)器分別向目的端與源端發(fā)送阻斷報文，其中，阻斷報文用于阻斷目的端與源端的連接。

可選地，第二服務(wù)器還用于：在確定請求應(yīng)答信息所指示的目的端和源端之后，根據(jù)請求應(yīng)答信息確定目的端是否設(shè)置有安全認證機制；在確定目的端未設(shè)置安全認證機制的情況下，生成反饋信息，其中，反饋信息用于提示設(shè)置目的端的安全認證機制。

本實施例中所提供的服務(wù)器、裝置與方法實施例對應(yīng)步驟所提供的使用方法相同、應(yīng)用場景也可以相同。當(dāng)然，需要注意的是，上述系統(tǒng)涉及的方案可以不限于上述實施例中的內(nèi)容和場景。

實施例3

根據(jù)本申請實施例，還提供了一種用于實施上述攻擊防護方法的攻擊防護裝置，如圖9所示，該裝置包括：

獲取單元91，用于獲取報文鏡像；

檢測單元93，用于基于報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件；

防護單元95，用于在檢測出發(fā)生預(yù)設(shè)事件的情況下，阻斷預(yù)設(shè)事件的目的端與源端的連接。

采用本申請實施例，將數(shù)據(jù)中心的數(shù)據(jù)報文鏡像為報文鏡像，基于報文鏡像，可以檢測出數(shù)據(jù)中心是否發(fā)生源端對redis服務(wù)器的入侵預(yù)設(shè)事件，若檢測出有入侵預(yù)設(shè)事件，則阻斷入侵預(yù)設(shè)事件的目的端與源端的連接。通過上述實施例，由于產(chǎn)生的報文鏡像是實時的，且基于報文鏡像確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件，從而可以實時確定數(shù)據(jù)中心發(fā)生的入侵預(yù)設(shè)事件，因此，基于對產(chǎn)生的報文鏡像進行分析的方式，可以實時檢測出攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵預(yù)設(shè)事件，并可以實時的進行阻斷攔截，從而可以提高處理效率，解決了現(xiàn)有技術(shù)中攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊的方案處理效率低的問題。

在上述實施例中，無需修改缺省配置即可實現(xiàn)實時地防護redis服務(wù)器，從而可以解決在規(guī)模龐大的云計算數(shù)據(jù)中心中實時的發(fā)現(xiàn)、阻隔基于redis的入侵攻擊，并能將結(jié)果實時同步給受影響的用戶，幫助用戶及時采取防護措施。

上述獲取鏡像數(shù)據(jù)中心的數(shù)據(jù)報文而產(chǎn)生的報文鏡像，可以通過鏡像裝置，如交換機或者路由器，來實現(xiàn)。

具體地，將交換機或者路由器部署在數(shù)據(jù)中心的入口，將進入數(shù)據(jù)中心和從數(shù)據(jù)中心出去的報文流量全部鏡像一份，得到上述的報文鏡像。

通過上述實施例可以實時獲取數(shù)據(jù)中心的報文數(shù)據(jù)。

在交換機或者路由器獲取報文鏡像之后，將報文鏡像發(fā)送至第一服務(wù)器，該第一服務(wù)器可以位于分析集群(即analyse集群)，該analyse集群中可以包括多個第一服務(wù)器。

具體地，analyse集群上的第一服務(wù)器接收到報文鏡像，并逐一分析報文鏡像中的報文內(nèi)容，以確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件。由于非對稱路由導(dǎo)致同一條攻擊/應(yīng)答報文可能會被多臺analyse集群中的第一服務(wù)器檢測，所以每臺analyse服務(wù)器檢測到預(yù)設(shè)事件，可以將涉及預(yù)設(shè)事件的報文轉(zhuǎn)發(fā)給第二服務(wù)器，第二服務(wù)器對其進行匯總分析，并確定阻斷的目的端和源端，以阻斷目的端和源端。

其中，第二服務(wù)器可以為匯總服務(wù)器(如summary服務(wù)器)，該服務(wù)器用于統(tǒng)一分析決策。源端可以為位于計算機網(wǎng)絡(luò)集群中的一個或多個計算機終端，目的端可以為位于數(shù)據(jù)中心的redis服務(wù)器。

第二服務(wù)器接收到analyse集群的所有涉及預(yù)設(shè)事件的報文數(shù)據(jù)之后，將數(shù)據(jù)進行組合匯總，分析入侵攻擊結(jié)果以及攻擊源后，通知analyse服務(wù)器使用向受攻擊的redis服務(wù)器以及攻擊者發(fā)送tcpreset報文的方式阻斷其連接，并且將受攻擊的服務(wù)器反饋給用戶。

通過上述實施例，可以通過鏡像數(shù)據(jù)中心的數(shù)據(jù)報文，以實時檢測攻擊者對云計算中心redis服務(wù)器的入侵預(yù)設(shè)事件，實時的進行阻斷攔截。

可選地，檢測單元可以包括：檢測模塊，用于檢測報文鏡像中是否存在具有攻擊特征的攻擊報文；第一確定模塊，用于在檢測出報文鏡像中存在攻擊報文的情況下，確定檢測出數(shù)據(jù)中心發(fā)生預(yù)設(shè)事件。

可選地，防護單元可以包括：合并模塊，用于利用攻擊報文中的源ip和目的ip，合并攻擊報文，得到請求應(yīng)答信息；第二確定模塊，用于確定請求應(yīng)答信息所指示的目的端和源端；發(fā)送模塊，用于分別向目的端與源端發(fā)送阻斷報文，其中，阻斷報文用于阻斷目的端與源端的連接。

進一步地，裝置還可以包括如圖10所示：判斷單元1001，用于在確定請求應(yīng)答信息所指示的目的端和源端之后，根據(jù)請求應(yīng)答信息確定目的端是否設(shè)置有安全認證機制；生成單元1003，用于在確定目的端未設(shè)置安全認證機制的情況下，生成反饋信息，其中，反饋信息用于提示設(shè)置目的端的安全認證機制。

根據(jù)本申請的上述實施例，判斷單元可以包括：第一判斷模塊，用于在請求應(yīng)答信息指示檢測到的請求報文為入侵報文、且應(yīng)答報文包含確認信息的情況下，確定目的端未設(shè)置安全認證機制；第二判斷模塊，用于在請求應(yīng)答信息指示檢測到的請求報文為入侵報文、且應(yīng)答報文包含認證請求信息的情況下，確定目的端設(shè)置有安全認證機制，其中，請求應(yīng)答信息包括請求報文和應(yīng)答報文。

進一步地，該裝置還可以包括：第一確定單元，用于在確定請求應(yīng)答信息所指示的目的端和源端之后，若檢測到的多個請求應(yīng)答信息具有相同的源端，則確定源端為惡意源端；阻斷單元，用于阻斷惡意源端與數(shù)據(jù)中心的任意一個服務(wù)器建立連接。

上述實施例中的檢測模塊可以包括：獲取子模塊，用于從報文鏡像中，獲取具有預(yù)置端口的數(shù)據(jù)包；檢測子模塊，用于檢測數(shù)據(jù)包是否包含預(yù)設(shè)字符串；確定子模塊，用于若檢測出數(shù)據(jù)包包含預(yù)設(shè)字符串，則確定檢測到攻擊報文。

需要進一步說明的是，方法還可以包括：第二確定單元，用于在確定檢測到攻擊報文之后，根據(jù)數(shù)據(jù)包的端口信息和預(yù)設(shè)字符串的類型確定攻擊報文的類型。

具體地，第二確定單元包括：第三確定模塊，用于若數(shù)據(jù)包的目的端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第一字符串的情況下，確定攻擊報文為入侵報文，其中，第一字符串中包含配置集目錄命令，端口信息包括目的端口；第四確定模塊，用于若數(shù)據(jù)包的源端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第二字符串的情況下，確定攻擊報文為包含確認信息的應(yīng)答報文，其中，第二字符串中包含確認信息，端口信息包括 源端口；第五確定模塊，用于若數(shù)據(jù)包的源端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第三字符串的情況下，確定攻擊報文為包含認證請求信息的應(yīng)答報文，其中，第三字符串中包含認證請求信息，端口信息為源端口。

本實施例中所提供的各個模塊與方法實施例對應(yīng)步驟所提供的使用方法相同、應(yīng)用場景也可以相同。當(dāng)然，需要注意的是，上述模塊涉及的方案可以不限于上述實施例中的內(nèi)容和場景，且上述模塊可以運行在計算機終端或移動終端，可以通過軟件或硬件實現(xiàn)。

實施例4

本申請的實施例可以提供一種計算機終端，該計算機終端可以是計算機終端群中的任意一個計算機終端設(shè)備。可選地，在本實施例中，上述計算機終端也可以替換為移動終端等終端設(shè)備。

可選地，在本實施例中，上述計算機終端可以位于計算機網(wǎng)絡(luò)的多個網(wǎng)絡(luò)設(shè)備中的至少一個網(wǎng)絡(luò)設(shè)備。

在本實施例中，上述計算機終端可以執(zhí)行攻擊防護方法中以下步驟的程序代碼：

步驟s2:獲取報文鏡像。

步驟s4:基于報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件。

步驟s6:在檢測出發(fā)生預(yù)設(shè)事件的情況下，阻斷預(yù)設(shè)事件的目的端與源端的連接。

可選地，圖11是根據(jù)本申請實施例的一種計算機終端的結(jié)構(gòu)框圖。如圖11所示，該計算機終端a可以包括：一個或多個(圖中僅示出一個)處理器、存儲器、以及傳輸裝置。

其中，存儲器可用于存儲軟件程序以及模塊，如本申請實施例中的攻擊防護方法和裝置對應(yīng)的程序指令/模塊，處理器通過運行存儲在存儲器內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，即實現(xiàn)上述的攻擊防護方法。存儲器可包括高速隨機存儲器，還可以包括非易失性存儲器，如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實例中，存儲器可進一步包括相對于處理器遠程設(shè)置的存儲器，這些遠程存儲器可以通過網(wǎng)絡(luò)連接至終端a。上述網(wǎng)絡(luò)的實例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：檢測報文鏡像中是否存在具有攻擊特征的攻擊報文；在檢測出報文鏡像中存在攻擊報文的情況下，確定檢測出 數(shù)據(jù)中心發(fā)生預(yù)設(shè)事件。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：利用攻擊報文中的源ip和目的ip，合并攻擊報文，得到請求應(yīng)答信息；確定請求應(yīng)答信息所指示的所述目的端和源端；分別向目的端與源端發(fā)送阻斷報文，其中，阻斷報文用于阻斷目的端與源端的連接。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：根據(jù)請求應(yīng)答信息確定目的端是否設(shè)置有安全認證機制；在確定目的端未設(shè)置安全認證機制的情況下，生成反饋信息，其中，反饋信息用于提示設(shè)置目的端的安全認證機制。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：在請求應(yīng)答信息指示檢測到的請求報文為入侵報文、且應(yīng)答報文包含確認信息的情況下，確定目的端未設(shè)置安全認證機制；在請求應(yīng)答信息指示檢測到的請求報文為入侵報文、且應(yīng)答報文包含認證請求信息的情況下，確定目的端設(shè)置有安全認證機制，其中，請求應(yīng)答報文對請求應(yīng)答信息包括請求報文和應(yīng)答報文。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：若檢測到的多個請求應(yīng)答信息具有相同的源端，則確定源端為惡意源端；阻斷惡意源端與數(shù)據(jù)中心的任意一個服務(wù)器建立連接。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：從報文鏡像中，獲取具有預(yù)置端口的數(shù)據(jù)包；檢測數(shù)據(jù)包是否包含預(yù)設(shè)字符串；若檢測出數(shù)據(jù)包包含預(yù)設(shè)字符串，則確定檢測到攻擊報文。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：根據(jù)數(shù)據(jù)包的端口信息和預(yù)設(shè)字符串的類型確定攻擊報文的類型。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：若數(shù)據(jù)包的目的端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第一字符串的情況下，確定攻擊報文為入侵報文，其中，第一字符串中包含配置集目錄命令，端口信息包括目的端口；若數(shù)據(jù)包的源端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第二字符串的情況下，確定攻擊報文為包含確認信息的應(yīng)答報文，其中，第二字符串中包含確認信息，端口信息包括源端口；若數(shù)據(jù)包的源端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第三字符串的情況下，確定攻擊報文為包含認證請求信息的應(yīng)答報文，其中，第三字符串中包含認證請求信息，端口信息為源端口。

通過上述實施例，由于產(chǎn)生的報文鏡像是實時的，且基于報文鏡像確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件，從而可以實時確定數(shù)據(jù)中心發(fā)生的入侵預(yù)設(shè)事件，因此，基于對 產(chǎn)生的報文鏡像進行分析的方式，可以實時檢測出攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵預(yù)設(shè)事件，并可以實時的進行阻斷攔截，從而可以提高處理效率，解決了現(xiàn)有技術(shù)中攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊的方案處理效率低的問題。

本領(lǐng)域普通技術(shù)人員可以理解，圖11所示的結(jié)構(gòu)僅為示意，計算機終端也可以是智能手機(如android手機、ios手機等)、平板電腦、掌聲電腦以及移動互聯(lián)網(wǎng)設(shè)備(mobileinternetdevices，mid)、pad等終端設(shè)備。圖11其并不對上述電子裝置的結(jié)構(gòu)造成限定。例如，計算機終端10還可包括比圖11中所示更多或者更少的組件(如網(wǎng)絡(luò)接口、顯示裝置等)，或者具有與圖11所示不同的配置。

本領(lǐng)域普通技術(shù)人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令終端設(shè)備相關(guān)的硬件來完成，該程序可以存儲于一計算機可讀存儲介質(zhì)中，存儲介質(zhì)可以包括：閃存盤、只讀存儲器(read-onlymemory，rom)、隨機存取器(randomaccessmemory，ram)、磁盤或光盤等。

實施例5

本申請的實施例還提供了一種存儲介質(zhì)?？蛇x地，在本實施例中，上述存儲介質(zhì)可以用于保存上述實施例一所提供的攻擊防護方法所執(zhí)行的程序代碼。

可選地，在本實施例中，上述存儲介質(zhì)可以位于計算機網(wǎng)絡(luò)中計算機終端群中的任意一個計算機終端中，或者位于移動終端群中的任意一個移動終端中。

可選地，在本實施例中，存儲介質(zhì)被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：

步驟s1:獲取報文鏡像。

步驟s3:基于報文鏡像，檢測是否發(fā)生預(yù)設(shè)事件。

步驟s5:在檢測出發(fā)生預(yù)設(shè)事件的情況下，阻斷預(yù)設(shè)事件的目的端與源端的連接。

可選地，存儲介質(zhì)還被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：檢測報文鏡像中是否存在具有攻擊特征的攻擊報文；在檢測出報文鏡像中存在攻擊報文的情況下，確定檢測出數(shù)據(jù)中心發(fā)生預(yù)設(shè)事件。

可選地，存儲介質(zhì)還被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：利用攻擊報文中的源ip和目的ip，合并攻擊報文，得到請求應(yīng)答信息；確定請求應(yīng)答信息所指示的所述目的端和源端；分別向目的端與源端發(fā)送阻斷報文，其中，阻斷報文用于阻斷目的端與源端的連接。

可選地，存儲介質(zhì)還被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：根據(jù)請求應(yīng)答信息確定目的端是否設(shè)置有安全認證機制；在確定目的端未設(shè)置安全認證機制的情況下，生成反饋信息，其中，反饋信息用于提示設(shè)置目的端的安全認證機制。

可選地，存儲介質(zhì)還被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：在請求應(yīng)答信息指示檢測到的請求報文為入侵報文、且應(yīng)答報文包含確認信息的情況下，確定目的端未設(shè)置安全認證機制；在請求應(yīng)答信息指示檢測到的請求報文為入侵報文、且應(yīng)答報文包含認證請求信息的情況下，確定目的端設(shè)置有安全認證機制，其中，請求應(yīng)答報文對請求應(yīng)答信息包括請求報文和應(yīng)答報文。

可選地，存儲介質(zhì)還被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：若檢測到的多個請求應(yīng)答信息具有相同的源端，則確定源端為惡意源端；阻斷惡意源端與數(shù)據(jù)中心的任意一個服務(wù)器建立連接。

可選地，存儲介質(zhì)還被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：從報文鏡像中，獲取具有預(yù)置端口的數(shù)據(jù)包；檢測數(shù)據(jù)包是否包含預(yù)設(shè)字符串；若檢測出數(shù)據(jù)包包含預(yù)設(shè)字符串，則確定檢測到攻擊報文。

可選地，存儲介質(zhì)還被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：根據(jù)數(shù)據(jù)包的端口信息和預(yù)設(shè)字符串的類型確定攻擊報文的類型。

可選地，存儲介質(zhì)還被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：若數(shù)據(jù)包的目的端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第一字符串的情況下，確定攻擊報文為入侵報文，其中，第一字符串中包含配置集目錄命令，端口信息包括目的端口；若數(shù)據(jù)包的源端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第二字符串的情況下，確定攻擊報文為包含確認信息的應(yīng)答報文，其中，第二字符串中包含確認信息，端口信息包括源端口；若數(shù)據(jù)包的源端口為預(yù)置端口，在檢測出數(shù)據(jù)包中包含第三字符串的情況下，確定攻擊報文為包含認證請求信息的應(yīng)答報文，其中，第三字符串中包含認證請求信息，端口信息為源端口。

通過上述實施例，由于產(chǎn)生的報文鏡像是實時的，且基于報文鏡像確定數(shù)據(jù)中心是否發(fā)生預(yù)設(shè)事件，從而可以實時確定數(shù)據(jù)中心發(fā)生的入侵攻擊事件，因此，基于對產(chǎn)生的報文鏡像進行分析的方式，可以實時檢測出攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊事件，并可以實時的進行阻斷攔截，從而可以提高處理效率，解決了現(xiàn)有技術(shù)中攻擊者對云計算數(shù)據(jù)中心中redis服務(wù)器的入侵攻擊的方案處理效率低的問題。

上述本申請實施例序號僅僅為了描述，不代表實施例的優(yōu)劣。

在本申請的上述實施例中，對各個實施例的描述都各有側(cè)重，某個實施例中沒有詳述的部分，可以參見其他實施例的相關(guān)描述。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的技術(shù)內(nèi)容，可通過其它的方式實現(xiàn)。其中，以上所描述的裝置實施例僅僅是示意性的，例如所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，單元或模塊的間接耦合或通信連接，可以是電性或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上。可以根據(jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本申請各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質(zhì)中。基于這樣的理解，本申請的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設(shè)備(可為個人計算機、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述僅是本申請的優(yōu)選實施方式，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本申請原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應(yīng)視為本申請的保護范圍。