申请/专利权人：北京金睛云华科技有限公司;金睛云华(沈阳)科技有限公司

申请日：2023-11-07

公开（公告）日：2024-01-02

公开（公告）号：CN117201201B

主分类号：H04L9/40

分类号：H04L9/40;H04L61/255

优先权：

专利状态码：有效-授权

法律状态：2024.01.02#授权;2023.12.26#实质审查的生效;2023.12.08#公开

摘要：本发明的实施例提供了基于全流量存储回溯系统的synflood攻击存储方法。所述方法包括获取报文，提取报文的目的ip地址；根据目的ip地址对映射关系表进行查询，若映射关系存在，则查询第一映射关系；否则建立映射关系组，将该映射关系组加入到映射关系表；第一映射关系若存在，则判断是否对应的第二映射关系；否则，在第一映射关系中添加源ip；第二映射关系若存在，则判断是否为模板关联模式；否则新建对应的第二映射关系，再进行判断；若是模板关联模式，则创建源ip地址对应的第二映射关系；否则将报文存储到第二映射关系中。以此方式，可以大幅节省存储空间，提升目的ip检索性能，提升攻击报文的分析回溯功能。

主权项：1.一种基于全流量存储回溯系统的synflood攻击存储方法，其特征在于，包括：S101、获取报文，提取所述报文的目的ip地址；S102、根据所述目的ip地址对映射关系表进行查询，若所述映射关系表中存在所述目的ip地址对应的映射关系组，则执行S103；否则建立所述目的ip地址的映射关系组，将所述目的ip地址的映射关系组加入到所述映射关系表；所述映射关系组包括第一映射关系和第二映射关系；所述第一映射关系为目的ip地址与攻击ip地址之间的1：N映射关系；所述第二映射关系为攻击ip地址与synflood攻击交互报文之间的1：M映射关系；S103、查询所述第一映射关系，若所述第一映射关系中存在所述报文的源ip地址，则执行S104；否则，在所述第一映射关系中添加所述源ip；S104、判断所述第一映射关系中是否存在所述源ip地址对应的第二映射关系，若存在，则执行S105；否则新建所述源ip对应的第二映射关系，执行S105；S105、判断所述报文的攻击模式是否为模板关联模式，若是，则使用所述模板关联模式关联的模板创建所述源ip地址对应的第二映射关系；否则根据所述报文的报文类型将所述报文存储到第二映射关系中；所述判断所述报文的攻击模式是否为模板关联模式，包括：S401、对于同一会话的报文，获取上一报文的类型和上一报文的序列号以及当前报文的类型和当前报文的序列号；S402、若上一报文的类型为序列号请求且当前报文的类型为序列号响应，则执行S403；S403、若所述当前报文的序列号是所述上一报文的序列号的下一序列，则syn响应报文序列号类型正确，执行S404；否则syn响应报文序列号类型错误，执行S405；S404、判断在第一时间内是否收到报文，若是，则所述报文的攻击模式为正常模式；否则所述报文的攻击模式关联第一模板；S405、判断在第二时间内是否收到reset报文，若是，则所述报文的攻击模式为正常模式；否则所述报文的攻击模式关联第二模板；所述第一模板包括源端口号、目的端口号、syn的序列号、syn的确认应答号及其各自对应的存储空间；所述第二模板为：源端口号、目的端口号、syn-seq信息、syn-ack-seq信息、syn-ack-error-seq信息及其各自对应的存储空间。

全文数据：

权利要求：

百度查询： 北京金睛云华科技有限公司;金睛云华(沈阳)科技有限公司 基于全流量存储回溯系统的syn flood攻击存储方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD