階段抓包次數(shù)閾值(第一閾值)"�����,若等于����,則 需要將表2中對應(yīng)表項的"第一階段是否需要抓包標(biāo)志"更改為"否",以表示第一階段抓包 過程已經(jīng)完成��。
[0068] 步驟209 :設(shè)備發(fā)現(xiàn)該抓包策略中的第二階段抓包策略開啟�����,則根據(jù)該第二階段 抓包策略中的抓包算法對該數(shù)據(jù)流進(jìn)行間斷性抓包��,并在該數(shù)據(jù)流每次命中該攻擊規(guī)則時 以及每次抓包時更新表1���、表2中的對應(yīng)表項���,當(dāng)滿足抓包結(jié)束條件時,停止抓包�。
[0069] 若設(shè)備發(fā)現(xiàn)該抓包策略中的第二階段抓包策略關(guān)閉,則直接結(jié)束本流程���。
[0070] 具體地��,若采用抓包算法一��,則抓包具體過程如下:
[0071] 步驟01 :先讀取表2中對應(yīng)表項的"累計命中次數(shù)"�����,判斷該"累計命中次數(shù)"值是 否不小于抓包算法一中的第二閾值a����,若是,執(zhí)行步驟02;否則�,結(jié)束本流程。
[0072] 步驟02 :讀取表2中對應(yīng)表項的"第二階段抓包計數(shù)"�����,判斷"第二階段抓包計數(shù)" 值是否小于抓包算法一中的預(yù)設(shè)的第一抓包總數(shù)d����,若是,執(zhí)行步驟03 ;否則���,結(jié)束本流程���。
[0073] 步驟03 :根據(jù)抓包算法一中的a、b、c��,判斷表2中對應(yīng)表項的"累計命中次數(shù)"是 否滿足:a+nb〈"累計命中次數(shù)" < a+nb+c�,若是���,抓取當(dāng)前包并保存��,然后更新表2中對應(yīng) 表項中的"第二階段抓包計數(shù)"和"最后一次抓包時間"��,更新表1中對應(yīng)表項中的"累計抓 包數(shù)量"�����,其中�����,η為大于0的正整數(shù)�。
[0074] 若采用抓包算法二�,則抓包具體過程如下:
[0075] 步驟01 :判斷當(dāng)前時間是否處于抓包算法二中的tl、t2之間�����,若是,執(zhí)行步驟02 ; 否則�����,結(jié)束本流程�。
[0076] 步驟02 :讀取表2中對應(yīng)表項的"第二階段抓包計數(shù)",判斷"第二階段抓包計數(shù)" 值是否小于抓包算法二中的h�,若是,執(zhí)行步驟03 ;否則���,結(jié)束本流程�����。
[0077] 步驟03 :根據(jù)抓包算法二中的e�����、f��、g�,判斷表2中對應(yīng)表項的"累計命中次數(shù)"是 否滿足:e+mf〈"累計命中次數(shù)"彡e+mf+g�����,若是,抓取當(dāng)前包并保存�����,然后更新表2中對應(yīng) 表項中的"第二階段抓包計數(shù)"和"最后一次抓包時間"�����,更新表1中對應(yīng)表項中的"累計抓 包數(shù)量"�����,其中�����,m為大于0的正整數(shù)�。
[0078] 需要說明的是���,抓包算法一����、二中的各參數(shù)需要合理設(shè)置�����,若抓包頻率b、f設(shè)置太 高則會對抓包效果有較大影響���,同時會增加系統(tǒng)開銷��。本申請實施例中���,當(dāng)采用抓包算法一 時,通常:a多50,50彡b彡100,5彡c彡20次�����;當(dāng)采用抓包算法二時����,如果tl和t2之間 的時間段是在網(wǎng)絡(luò)流量較大的時間段,則通常:40彡f彡60,如果tl和t2之間的時間段是 在網(wǎng)絡(luò)流量比較小的時間段(如在中國使用的設(shè)備�,晚上12點到早上7點時),f可以設(shè)置 得小一些�,如10彡f彡30。
[0079] 需要說明的是����,本申請實施例中���,管理員可以根據(jù)需要隨時更改抓包策略,例如: 配置新的抓包策略�����,或者更改已有抓包策略的部分參數(shù)��,或者��,更改抓包策略的開啟��、關(guān)閉 狀態(tài)等����。
[0080] 另外���,也可為抓包明細(xì)表(表2)中的表項設(shè)置老化時長T��,以在長時間未對一表項 對應(yīng)的包未進(jìn)行抓包操作時�,刪除該表項����,具體地��,當(dāng)設(shè)備發(fā)現(xiàn)表2中任一表項中的"最后 一次抓包時間" +老化時長T <當(dāng)前系統(tǒng)時間時���,自動刪除該表項。
[0081] 本申請實施例的有益技術(shù)效果如下:
[0082] 本申請實施例中��,當(dāng)設(shè)備確定數(shù)據(jù)流命中攻擊規(guī)則時�����,若該攻擊規(guī)則配置了抓包 策略且該抓包策略開啟���,則根據(jù)該抓包策略判斷第一階段是否需要抓包�,若需要����,則對該數(shù) 據(jù)流進(jìn)行連續(xù)抓包,當(dāng)連續(xù)抓包次數(shù)達(dá)到預(yù)設(shè)第一閾值時���,根據(jù)該抓包策略����,判斷是否需要 進(jìn)行第二階段抓包��,若需要進(jìn)行,則繼續(xù)對該數(shù)據(jù)流進(jìn)行間斷性抓包�����,從而既實現(xiàn)了有選擇 性地抓包���,減少了對設(shè)備資源的消耗����,且控制了抓包數(shù)量���,提高了抓取到的包的可讀性����。
[0083] 圖3為本申請實施例提供的網(wǎng)絡(luò)攻擊抓包裝置的組成示意圖��,該裝置主要包括:
[0084] 命中檢測模塊:當(dāng)接收到數(shù)據(jù)流時�����,檢測數(shù)據(jù)流是否命中攻擊規(guī)則����;
[0085] 抓包模塊:當(dāng)命中檢測模塊檢測到數(shù)據(jù)流命中攻擊規(guī)則時,判斷該攻擊規(guī)則是否 配置了抓包策略且該抓包策略開啟�����,若是��,則根據(jù)該抓包策略判斷第一階段是否需要抓包�����, 若需要����,則對該數(shù)據(jù)流進(jìn)行連續(xù)抓包,當(dāng)連續(xù)抓包次數(shù)達(dá)到預(yù)設(shè)第一閾值時��,根據(jù)該抓包策 略����,判斷是否需要進(jìn)行第二階段抓包,若需要進(jìn)行���,則繼續(xù)對該數(shù)據(jù)流進(jìn)行間斷性抓包����。
[0086] -種實施例中,抓包模塊對該數(shù)據(jù)流進(jìn)行間斷性抓包包括:
[0087] 當(dāng)數(shù)據(jù)流命中攻擊規(guī)則次數(shù)達(dá)到預(yù)設(shè)第二閾值a后���,抓取命中的第X個包�,其中X 滿足以下條件:
[0088] a+nb<X a+nb+c
[0089] 其中�����,b為預(yù)設(shè)的第一命中次數(shù)閾值��,c為預(yù)設(shè)的第一抓包數(shù)量�,η為大于0的正整 數(shù),且nc < d���,d為預(yù)設(shè)的第一抓包總數(shù)����;
[0090] 或者�,在第一預(yù)設(shè)時間與第二預(yù)設(shè)時間之間�,抓取命中的第Y個包,其中Y滿足以 下條件:
[0091] e+mf<Y e+mf+g
[0092] 其中����,e為到達(dá)所述第一預(yù)設(shè)時間時所述數(shù)據(jù)流已命中攻擊規(guī)則的次數(shù)�,f為預(yù)設(shè) 的第二命中次數(shù)閾值���,g為預(yù)設(shè)的第二抓包數(shù)量��,m為大于0的正整數(shù)���,且mg < h,h為預(yù)設(shè) 的第二抓包總數(shù)�。
[0093] -種實施例中,抓包模塊判斷該攻擊規(guī)則是否配置了抓包策略且該抓包策略開啟 之后�、根據(jù)該抓包策略判斷第一階段是否需要抓包之前進(jìn)一步包括:
[0094] 獲取該數(shù)據(jù)流的源IP地址,并根據(jù)已記錄的命中該攻擊規(guī)則的數(shù)據(jù)流的源IP地 址�,判斷命中該攻擊規(guī)則的數(shù)據(jù)流的數(shù)目是否大于預(yù)設(shè)第三閾值,若是�,停止抓包;否則����,執(zhí) 行所述根據(jù)該抓包策略判斷第一階段是否需要抓包的動作。
[0095] -種實施例中����,抓包模塊繼續(xù)對該數(shù)據(jù)流進(jìn)行間斷性抓包進(jìn)一步包括:
[0096] 記錄每次抓包的時間,且,當(dāng)前時間與最后一次抓包的時間的差值大于預(yù)設(shè)值時��, 刪除針對該數(shù)據(jù)流的抓包記錄�。
[0097] 以上所述僅為本申請的較佳實施例而已,并不用以限制本申請�����,凡在本申請的精 神和原則之內(nèi)�,所做的任何修改、等同替換����、改進(jìn)等,均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)��。
【主權(quán)項】
1. 一種網(wǎng)絡(luò)攻擊抓包方法��,其特征在于���,該方法包括: 當(dāng)設(shè)備確定數(shù)據(jù)流命中攻擊規(guī)則時����,判斷該攻擊規(guī)則是否配置了抓包策略且該抓包策 略開啟���,若是���,則根據(jù)該抓包策略判斷第一階段是否需要抓包,若需要����,則對該數(shù)據(jù)流進(jìn)行 連續(xù)抓包,當(dāng)連續(xù)抓包次數(shù)達(dá)到預(yù)設(shè)第一閾值時��,根據(jù)該抓包策略��,判斷是否需要進(jìn)行第二 階段抓包�,若需要進(jìn)行,則繼續(xù)對該數(shù)據(jù)流進(jìn)行間斷性抓包���。2. 根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述對該數(shù)據(jù)流進(jìn)行間斷性抓包包括: 當(dāng)數(shù)據(jù)流命中攻擊規(guī)則次數(shù)達(dá)到預(yù)設(shè)第二閾值a后���,抓取命中的第X個包�����,其中X滿足 以下條件: a+nb<X a+nb+c 其中����,b為預(yù)設(shè)的第一命中次數(shù)閾值,c為預(yù)設(shè)的第一抓包數(shù)量�,η為大于0的正整數(shù), 且nc < d����,d為預(yù)設(shè)的第一抓包總數(shù); 或者�,在第一預(yù)設(shè)時間與第二預(yù)設(shè)時間之間,抓取命中的第Y個包�����,其中Y滿足以下條 件: e+mf<Y e+mf+g 其中��,e為到達(dá)所述第一預(yù)設(shè)時間時所述數(shù)據(jù)流已命中攻擊規(guī)則的次數(shù)�����,f為預(yù)設(shè)的第 二命中次數(shù)閾值�,g為預(yù)設(shè)的第二抓包數(shù)量,m為大于0的正整數(shù)�,且mg < h���,h為預(yù)設(shè)的第 二抓包總數(shù)。3. 根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述判斷該攻擊規(guī)則是否配置了抓包策 略且該抓包策略開啟之后�、根據(jù)該抓包策略判斷第一階段是否需要抓包之前進(jìn)一步包括: 獲取該數(shù)據(jù)流的源IP地址,并根據(jù)已記錄的命中該攻擊規(guī)則的數(shù)據(jù)流的源IP地址�����,判 斷命中該攻擊規(guī)則的數(shù)據(jù)流的數(shù)目是否大于預(yù)設(shè)第三閾值���,若是�,停止抓包�;否則,執(zhí)行所 述根據(jù)該抓包策略判斷第一階段是否需要抓包的動作����。4. 根據(jù)權(quán)利要求1所述的方法,其特征在于���,設(shè)備上任意兩條攻擊規(guī)則配置的抓包策 略不同����,或者相同。5. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述繼續(xù)對該數(shù)據(jù)流進(jìn)行間斷性抓包進(jìn) 一步包括: 記錄每次抓包的時間�, 當(dāng)當(dāng)前時間與最后一次抓包的時間的差值大于預(yù)設(shè)值時,刪除針對該數(shù)據(jù)流的抓包記 錄����。6. -種網(wǎng)絡(luò)攻擊抓包裝置,其特征在于���,該裝置包括: 命中檢測模塊:當(dāng)接收到數(shù)據(jù)流時�����,檢測數(shù)據(jù)流是否命中攻擊規(guī)則��; 抓包模塊:當(dāng)命中檢測模塊檢測到數(shù)據(jù)流命中攻擊規(guī)則時��,判斷該攻擊規(guī)則是否配置 了抓包策略且該抓包策略開啟�����,若是�,則根據(jù)該抓包策略判斷第一階段是否需要抓包,若需 要�,則對該數(shù)據(jù)流進(jìn)行連續(xù)抓包,當(dāng)連續(xù)抓包次數(shù)達(dá)到預(yù)設(shè)第一閾值時�����,根據(jù)該抓包策略����, 判斷是否需要進(jìn)行第二階段抓包���,若需要進(jìn)行�����,則繼續(xù)對該數(shù)據(jù)流進(jìn)行間斷性抓包�����。7. 根據(jù)權(quán)利要求6所述的裝置�����,其特征在于�,所述抓包模塊對該數(shù)據(jù)流進(jìn)行間斷性抓 包包括: 當(dāng)數(shù)據(jù)流命中攻擊規(guī)則次數(shù)達(dá)到預(yù)設(shè)第二閾值a后,抓取命中的第X個包�,其中X滿足 以下條件: a+nb<X a+nb+c 其中,b為預(yù)設(shè)的第一命中次數(shù)閾值��,c為預(yù)設(shè)的第一抓包數(shù)量���,n為大于0的正整數(shù)�����, 且nc < d��,d為預(yù)設(shè)的第一抓包總數(shù)����; 或者��,在第一預(yù)設(shè)時間與第二預(yù)設(shè)時間之間�����,抓取命中的第Y個包,其中Y滿足以下條 件: e+mf<Y e+mf+g 其中����,e為到達(dá)所述第一預(yù)設(shè)時間時所述數(shù)據(jù)流已命中攻擊規(guī)則的次數(shù),f為預(yù)設(shè)的第 二命中次數(shù)閾值�,g為預(yù)設(shè)的第二抓包數(shù)量,m為大于0的正整數(shù)����,且mg < h,h為預(yù)設(shè)的第 二抓包總數(shù)��。8. 根據(jù)權(quán)利要求6所述的裝置��,其特征在于����,所述抓包模塊判斷該攻擊規(guī)則是否配置 了抓包策略且該抓包策略開啟之后�、根據(jù)該抓包策略判斷第一階段是否需要抓包之前進(jìn)一 步包括: 獲取該數(shù)據(jù)流的源IP地址,并根據(jù)已記錄的命中該攻擊規(guī)則的數(shù)據(jù)流的源IP地址�,判 斷命中該攻擊規(guī)則的數(shù)據(jù)流的數(shù)目是否大于預(yù)設(shè)第三閾值,若是���,停止抓包���;否則��,執(zhí)行所 述根據(jù)該抓包策略判斷第一階段是否需要抓包的動作����。9. 根據(jù)權(quán)利要求6所述的裝置���,其特征在于����,所述抓包模塊繼續(xù)對該數(shù)據(jù)流進(jìn)行間斷 性抓包進(jìn)一步包括: 記錄每次抓包的時間�����,且��,當(dāng)前時間與最后一次抓包的時間的差值大于預(yù)設(shè)值時�,刪除 針對該數(shù)據(jù)流的抓包記錄。
【專利摘要】本申請?zhí)岢鼍W(wǎng)絡(luò)攻擊抓包方法及裝置��。方法包括:當(dāng)設(shè)備確定數(shù)據(jù)流命中攻擊規(guī)則時����,判斷該攻擊規(guī)則是否配置了抓包策略且該抓包策略開啟���,若是,則根據(jù)該抓包策略判斷第一階段是否需要抓包����,若需要,則對該數(shù)據(jù)流進(jìn)行連續(xù)抓包���,當(dāng)連續(xù)抓包次數(shù)達(dá)到預(yù)設(shè)第一閾值時���,根據(jù)該抓包策略,判斷是否需要進(jìn)行第二階段抓包����,若需要進(jìn)行,則繼續(xù)對該數(shù)據(jù)流進(jìn)行間斷性抓包���。本申請實現(xiàn)了有選擇性地抓包,減少了對設(shè)備資源的消耗����。
【IPC分類】H04L29/06
【公開號】CN105592041
【申請?zhí)枴緾N201510469336
【發(fā)明人】張驚申
【申請人】杭州華三通信技術(shù)有限公司
【公開日】2016年5月18日
【申請日】2015年8月4日