專利名稱:一種防御拒絕服務(wù)攻擊的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)與信息安全技術(shù)領(lǐng)域�,具體涉及在TCP/IP網(wǎng)絡(luò)中的一種防御拒絕服務(wù)攻擊的方法及裝置����。
背景技術(shù):
目前���,隨著Internet和網(wǎng)絡(luò)應(yīng)用的快速發(fā)展,人們可以通過網(wǎng)絡(luò)進行電子商務(wù)�、資源共享和娛樂活動,網(wǎng)絡(luò)逐漸成為人們在工作�、生活和學(xué)習(xí)中不可缺少的一部分,同時�,人們對網(wǎng)絡(luò)中信息的高安全性的需求越來越強烈。網(wǎng)絡(luò)安全產(chǎn)品的市場需求也越來越強烈�����。當(dāng)前��,在網(wǎng)絡(luò)與信息安全市場上����,防火墻產(chǎn)品、入侵檢測產(chǎn)品和防病毒產(chǎn)品仍是主流產(chǎn)品�����。
在本發(fā)明的防御拒絕服務(wù)攻擊的方法及裝置中主要涉及以下技術(shù)隨機抽樣技術(shù)、源主機可信性驗證技術(shù)�、自學(xué)習(xí)黑白名單技術(shù)、流量統(tǒng)計技術(shù)�、閾值檢測技術(shù)、流量比例特征檢測技術(shù)���、流量分布特征檢測技術(shù)和DoS攻擊特征檢測技術(shù)����。
防御拒絕服務(wù)攻擊技術(shù)的發(fā)展有三大方向����, 一是流量統(tǒng)計和閾值檢測技術(shù);二是源主機可信性驗證技術(shù)�;三是分布與特征檢測技術(shù)。對于這三大方向的技術(shù)���,它們的優(yōu)點是技術(shù)比較成熟����,實現(xiàn)簡單�����,能夠比較有效地檢測和阻斷拒絕服務(wù)攻擊;缺陷是對技術(shù)沒有進行有效地整合����,不能全面檢測并阻斷異常流量攻擊,包括分布式拒絕服務(wù)攻擊�。本發(fā)明對這三大方向的技術(shù)進行了有效地整合��,并采用自學(xué)習(xí)黑白名單和DoS攻擊特征表技術(shù)對網(wǎng)絡(luò)流量進行過濾�����,克服了以上三大方向的方法中存在的缺點����,能夠防御拒絕服務(wù)和分布式拒絕服務(wù)攻擊。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)的缺點�����,提供一種在TCP/IP網(wǎng)絡(luò)中防御拒絕服務(wù)攻擊的方法及裝置�����,使得能夠有效地檢測和阻斷拒絕服務(wù)攻擊,以保證網(wǎng)絡(luò)應(yīng)用的安全性��,給網(wǎng)絡(luò)用戶一個安全的網(wǎng)絡(luò)應(yīng)用環(huán)境�。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的一種防御拒絕服務(wù)攻擊的方法,包括以下步驟
A���、 預(yù)處理包括捕獲和解析網(wǎng)絡(luò)數(shù)據(jù)包��;
B���、 黑白名單和DoS攻擊特征表過濾;
C�、 閾值和流量比例特征檢測;
D����、 源主機認(rèn)證;
E��、 流量分布特征檢測���。所述步驟A包括
Al���、捕獲網(wǎng)絡(luò)數(shù)據(jù)包;A2、解析網(wǎng)絡(luò)數(shù)據(jù)包���;
所述通過解析所獲得的信息包括TCP包的SYN����、 ACK�����、 FIN標(biāo)志位����、UDP數(shù)據(jù)包�����、ICMP包的類型和代碼字段��,其中包括Echo��、 R印lay和Unreach�,以及相應(yīng)的源和目的IP地址、源和目的端口�。
優(yōu)選地,所述步驟B包括-
根據(jù)黑白名單和DoS攻擊特征表中的信息進行過濾,對白名單中的可信源主機進行放行�����,對黑名單和DoS攻擊特征表中惡意源主機進行阻斷����。
所述黑白名單中信息包括可信和惡意源主機的IP地址、DoS攻擊特征���。
優(yōu)選地��,所述步驟C包括C3��、對流量比例特征進行計算����;
C4�����、進行閾值檢測和流量比例特征檢測的綜合判斷�����。
所述閾值和流量比例特征檢測信息包括流量速率的閾值大小、TCP的
SYN�����、 SYN-ACK�����、 ACK��、 FIN-ACK包的流量及其速率�、UDP的流量及其速率、ICMP的Echo��、 R印lay禾口Unreach包的流量及其速率�。優(yōu)選地���,所述步驟D包括
對流量的源主機的身份進行認(rèn)證���,根據(jù)源主機認(rèn)證狀態(tài)機進行身份驗證,將可信源主機保存到白名單中���,將惡意源主機保存到黑名單和DoS攻擊特征表中����。
所述網(wǎng)絡(luò)流量控制信息包括源主機的IP地址、DoS攻擊特征���??蛇x地����,所述步驟E包括
對攻擊的分布特征進行檢測,首先統(tǒng)計出源和目的IP地址以及目的端口的分布情況��,并統(tǒng)計它們的流量數(shù)量��,然后計算出分布數(shù)與流量數(shù)量的比
所述網(wǎng)絡(luò)流量動態(tài)檢測信息包括源和目的IP地址以及目的端口的分布情況信息�����,各個流量數(shù)量信息���。
一種防御拒絕服務(wù)攻擊的裝置����,包括
初始化裝置�,包括初始化閾值和流量比例特征檢測的緩沖區(qū)�����、初始化流量分布特征檢測的緩沖區(qū)����、初始化黑白名單的緩沖區(qū)����、初始化DoS攻擊特征的緩沖區(qū);
預(yù)處理裝置���,包括捕獲網(wǎng)絡(luò)數(shù)據(jù)包�����,并進行協(xié)議解析�����;
檢測裝置,包括對閾值和流量比例特征進行檢測���,對源主機的身份進行
認(rèn)證���,對流量分布特征進行檢測���,以及提取DoS攻擊特征并放入DoS攻擊特征
表中;
7過濾裝置�,包括根據(jù)黑名單進行過濾,根據(jù)白名單進行過濾����,根據(jù)DoS攻 擊特征進行過濾。
告警裝置����,向控制端的顯示模塊發(fā)送拒絕服務(wù)攻擊的信息。 一種防御拒絕服務(wù)攻擊的裝置��,首先��,有初始化裝置對本裝置中存儲流 量信息的緩沖區(qū)進行初始化����,然后由預(yù)處理裝置捕獲和解析網(wǎng)絡(luò)數(shù)據(jù)包,并 由檢測裝置分別進行閾值和流量比例特征檢測��、源主機認(rèn)證��、流量分布特征
檢測、以及提取DoS攻擊特征��,最后�,由過濾裝置根據(jù)黑白名單和DoS攻擊特 征表進行過濾,并由告警裝置將攻擊信息通知給用戶���。
由以上本發(fā)明提供的技術(shù)方案可以看出�����,本發(fā)明克服了現(xiàn)有技術(shù)的缺 點�����,提供一種在TCP/IP網(wǎng)絡(luò)中防御拒絕服務(wù)攻擊的裝置���,使得能夠有效地檢 測和阻斷拒絕服務(wù)攻擊,以保證網(wǎng)絡(luò)應(yīng)用的安全性���,給網(wǎng)絡(luò)用戶一個安全的 網(wǎng)絡(luò)應(yīng)用環(huán)境�。
圖1是在TCP/IP網(wǎng)絡(luò)中防御拒絕服務(wù)攻擊裝置的組網(wǎng)示意圖2是本發(fā)明方法的裝置結(jié)構(gòu)示意圖3是本發(fā)明方法的主流程圖4是本發(fā)明中源主機狀態(tài)轉(zhuǎn)換示意圖5是本發(fā)明中黑白名單過濾流程示意圖6是本發(fā)明中閾值和流量比例特征檢測流程示意圖7是本發(fā)明中流量分布特征檢測流程示意圖8是本發(fā)明中源主機認(rèn)證流程示意圖����。
具體實施方式
本發(fā)明方法的核心在于克服現(xiàn)有技術(shù)的缺點,提供一種在TCP/IP網(wǎng)絡(luò)中 防御拒絕服務(wù)攻擊的裝置�����,使得能夠有效地檢測和阻斷拒絕服務(wù)攻擊�����,以保 證網(wǎng)絡(luò)應(yīng)用的安全性���,給網(wǎng)絡(luò)用戶一個安全的網(wǎng)絡(luò)應(yīng)用環(huán)境�。
防御拒絕服務(wù)攻擊的通用工作流程為
初始化階段����,包括初始化閾值和流量比例特征檢測的緩沖區(qū)、初始化流 量分布特征檢測的緩沖區(qū)���、初始化黑白名單的緩沖區(qū)����、初始化DoS攻擊特征表 的緩沖區(qū)�����;
預(yù)處理階段,包括捕獲網(wǎng)絡(luò)數(shù)據(jù)包�����,并進行協(xié)議解析�;
檢測階段,包括對對閾值和流量比例特征進行檢測����,對源主機的身份進
行認(rèn)證,對流量分布特征進行檢測����,以及提取DoS攻擊特征并放入DoS攻擊特
征表中;
過濾階段�,包括根據(jù)黑名單進行過濾,根據(jù)白名單和DoS攻擊特征表進行 過濾�。
告警階段,向控制端的顯示模塊發(fā)送拒絕服務(wù)攻擊的信息����。
在TCP/IP中防御拒絕服務(wù)攻擊的裝置組網(wǎng)結(jié)構(gòu)如圖1所示。其中���, 局域網(wǎng)�����,包括局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)服務(wù)�����;
防御拒絕服務(wù)攻擊裝置����,用于捕獲和解析網(wǎng)絡(luò)數(shù)據(jù)包�����,統(tǒng)計和檢測網(wǎng)絡(luò) 流量�����,阻斷拒絕服務(wù)攻擊���;
Internet,包括路由器�,可以傳送和路由網(wǎng)絡(luò)流量�。
下面參照圖2對本發(fā)明方法的裝置結(jié)構(gòu)作詳細說明
初始化裝置,包括初始化閾值和流量比例特征檢測的緩沖區(qū)、初始化流 量分布特征檢測的緩沖區(qū)���、初始化黑白名單的緩沖區(qū)���、初始化DoS攻擊特征表 的緩沖區(qū);預(yù)處理裝置����,包括捕獲網(wǎng)絡(luò)數(shù)據(jù)包,并進行協(xié)議解析����;
檢測裝置,包括對閾值和流量比例特征進行檢測�,對源主機的身份進行
認(rèn)證,對流量分布特征進行檢測�,以及提取DoS攻擊特征并放入DoS攻擊特征 表中;
過濾裝置����,包括根據(jù)黑名單進行過濾,根據(jù)白名單進行過濾��,根據(jù)DoS攻 擊特征表進行過濾�。
告警裝置���,向控制端的顯示模塊發(fā)送拒絕服務(wù)攻擊的信息。
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明���,下面結(jié)合圖3所示的流程圖 對本發(fā)明作進一步的詳細說明���。包括以下步驟
步驟301:對流量信息的緩沖區(qū)進行初始化�����,為拒絕服務(wù)攻擊的防御做準(zhǔn) 備工作�����;
步驟302:采用捕獲器捕獲網(wǎng)絡(luò)數(shù)據(jù)包���,并解析數(shù)據(jù)包頭信息���,包括源和 目的IP地址、源和目的端口����、 TCP包的ACK���、 SYN和F頂標(biāo)志位、UDP數(shù)據(jù) 包�����、ICMP包的類型和代碼字段���,其中包括Echo��、 R印lay和Unreach�����。
歩驟303:根據(jù)黑白名單和DoS攻擊特征表進行過濾�,若源主機的IP地 址在白名單中����,則確認(rèn)其為可信主機并放行,若源主機的IP地址在黑名單 中����,或網(wǎng)絡(luò)數(shù)據(jù)包的特征在DoS攻擊特征表中,則確認(rèn)其為惡意主機并阻斷 和告警���;
步驟304:計算出采集流量的時間點���,為對網(wǎng)絡(luò)流量進行隨機抽樣做準(zhǔn)備 工作�;
步驟305:若是采樣點�,則采樣并統(tǒng)計相應(yīng)流量的大小,否則��,放行���; 步驟306:檢査檢測時間�����,若到了檢測時間,則進行流量比例特征檢測�����, 否則��,放行���;
10步驟307:若閾值和流量比例出現(xiàn)異常���,則進行閾值和流量比例特征檢 步驟308:若是拒絕服務(wù)或掃描攻擊�,則進行源主機認(rèn)證�,若該源主機存
在,則認(rèn)為其是DDoS攻擊或掃描攻擊����,否則認(rèn)為其是DoS攻擊;
步驟309:對于DDoS攻擊或掃描攻擊����,進行流量分布特征檢測,若驗證 是DDoS攻擊或掃描攻擊�����,則將其放入黑名單�����,并阻斷和告警����,否則將其放入 白名單并放行;
步驟310:對與DoS攻擊�,獲取網(wǎng)絡(luò)數(shù)據(jù)包中攻擊的常量特征��,并將其放 入DoS攻擊特征表中���。
下面通過一個應(yīng)用實例對圖3的上述流程作進一步說明。
例如設(shè)定捕獲器捕獲到的一個新的數(shù)據(jù)包的有關(guān)信息為
源IP地址192.168.6.100 目的IP地址218.25.41.110
源端口 1691 目的端口 80
SYN標(biāo)志位1����,其余為0 設(shè)定白名單的源IP地址如下
192.168.6.10 192.168.6.20 192.168.6.30
設(shè)定黑名單的源IP地址如下
192.168.6.40 192.168.6.50 192.168.6.60
首先,解析出數(shù)據(jù)包的以上信息�;然后檢索源主機的黑白名單, 192. 168.6. IOO既不黑白名單中�,也不在DoS攻擊特征表中,則計算采樣點���, 判斷表明到了采樣時間�,取該流量為采樣數(shù)據(jù)�,將該數(shù)據(jù)包加到相應(yīng)流量包 個數(shù)統(tǒng)計變量中�����,并檢査發(fā)現(xiàn)到了檢測時間��,則進行流量比例特征檢測��,閾 值和比例異常,則進行閾值和流量比例特征檢測��,是拒絕服務(wù)或掃描攻擊�, 則進行流量分布特征檢測,并隨后進行源主機認(rèn)證���,該源主機是存在的���,但不是分布式拒絕服務(wù)攻擊,則判斷其是否是掃描攻擊���,結(jié)果是橫向掃描攻 擊�;最后將其放入黑名單并阻斷和告警����。
參照圖4對本發(fā)明中源主機的狀態(tài)機作詳細說明
一臺源主機可以處于可疑狀態(tài)、可信狀態(tài)或惡意狀態(tài)���。當(dāng)接收到一個網(wǎng)
絡(luò)流量時���,該流量的源主機處于可疑狀態(tài),若該源主機存在且非DDoS和掃
描,則進入可信狀態(tài)����,該源主機為可信主機,將該源主機的IP地址放入白名
單中��,當(dāng)超時時��,該源主機的狀態(tài)轉(zhuǎn)換為可疑狀態(tài)��;若該源主機不存在或源 主機存在且是DDoS和掃描��,則進入惡意狀態(tài)�����,該源主機為惡意主機����,將該源 主機的IP地址放入黑名單中,當(dāng)超時時����,該源主機的狀態(tài)轉(zhuǎn)換為可疑狀態(tài)����。
下面通過一個應(yīng)用實例對圖4的上述流程作進一步說明���。 接收到IP地址為192. 168. 6. 100的SYN包,則其源主機處于可疑狀態(tài)�, 經(jīng)過身份認(rèn)證表明,源主機存在且有橫向掃描攻擊行為�,則其進入惡意狀 態(tài),認(rèn)為該源主機為惡意主機���,將該源主機的IP地址放入黑名單中�����,并設(shè)置 其狀態(tài)超時的時間窗����。
參照圖5對本發(fā)明中流程作詳細說明
步驟501:計算源主機IP地址的散列值����;
步驟502:以該散列值為索引查找黑白名單,若該源主機在黑名單中�,并 且不超時,則標(biāo)記為惡意主機�����,若超時,則標(biāo)記為可疑主機�;若該源主機在 白名單中,并且不超時�����,則標(biāo)記為可信主機�,若超時,則標(biāo)記為可疑主機���; 若該源主機既不在黑名單中��,也不在白名單中��,則標(biāo)記為可疑主機��。
下面通過一個應(yīng)用實例對圖5的上述流程作進一步說明�。收到IP地址為192. 168. 6. 100的SYN包�����,則其源主機處于可疑狀態(tài)����,計 算的192. 168.6. 100散列值為41783,經(jīng)査找可知��,其在黑名單中���,并且不超 時����,則標(biāo)記為惡意主機��。
參照圖6對本發(fā)明中流程作詳細說明
當(dāng)?shù)竭_檢測時間時�,每次對緩沖區(qū)中1000個流量進行檢測,檢測步驟如
下
步驟601:計算SYN和SYN-ACK包的卯s����,并計算SYN-ACK與SYN包的比例,然后 判斷SYN包的pps是否大于閾值���,并且SYN-ACK與SYN包的比例是否遠小于1��,若 是�����,則標(biāo)記為SYN攻擊�;
步驟602:若否,則計算RST包的pps以及RST與SYN包的比例�,然后判斷RST包 的pps是否大于閾值,并且RST與SYN包的比例是否遠大于O���,若是��,則標(biāo)記為 垂直掃描�����;
步驟603:若否�����,則計算FIN包的卯s以及FIN與SYN-ACK包的比例����,然后判斷 FIN包的pps是否大于閾值���,并且F頂與SYN-ACK包的比例是否接近1�,若是�����, 則標(biāo)記為半連接或連接攻擊;
步驟604:若否�����,則計算ICMP-R印ly與ICMP-Echo包的pps以及ICMP-R印ly與 ICMP-Echo包的比例�����,然后判斷ICMP-Echo包的pps是否大于閾值�����,并且 ICMP—R印ly與ICMP-Echo包的比例是否遠小于l�,若是�����,則標(biāo)記為ICMP攻擊�;
步驟605:若否,則計算ICMP-Unreach與UDP包的卯s以及ICMP-Unreach與 UDP包的比例�����,然后判斷ICMP-Unreach包的pps是否大于閾值,并且ICMP-Unreach與UDP包的比例是否遠小于l���,若是�,則標(biāo)記為UDP攻擊�����,若否��,則標(biāo) 記為正常流量�。
參照圖7對本發(fā)明中流程作詳細說明步驟701:計算源IP地址的散列值,使得能夠在個數(shù)小于63356的緩沖區(qū)內(nèi)管 理源主機的信息��;
步驟702:以計算得到的散列值為索引���,賦源IP分布特征表中相應(yīng)位置為1; 步驟703:統(tǒng)計分布特征表中的值并統(tǒng)計源IP包的個數(shù)����;
步驟704:計算源IP分布特征個數(shù)與源IP包個數(shù)的比例���,判斷該比例是否接 近l��,若是��,標(biāo)記為發(fā)散�,若否,標(biāo)記為聚集�����; 步驟705:計算目的IP地址的散列值�����; 步驟706:賦目的IP分布特征表中相應(yīng)位置為1; 步驟707:統(tǒng)計分布特征表中的值并統(tǒng)計源IP包的個數(shù)�����;
步驟708:計算目的IP分布特征個數(shù)與目的IP包個數(shù)的比例����,若是���,標(biāo)記為 發(fā)散���,若否,標(biāo)記為聚集����;
步驟709:賦目的端口分布特征表中相應(yīng)位置為l;
步驟710:統(tǒng)計分布特征表中的值并統(tǒng)計目的端口包的個數(shù)����;
步驟711:計算目的端口分布特征個數(shù)與目的端口包個數(shù)的比例����,若是,標(biāo) 記為發(fā)散��,若否�����,標(biāo)記為聚集�����,判斷是否為DoS攻擊���,若是��,標(biāo)記為DoS攻 擊�,若否,判斷是否為橫向掃描��,若是標(biāo)記為橫向掃描�����,若否��,判斷是否為 縱向掃描��,若是標(biāo)記為縱向掃描���。
參照圖8對本發(fā)明中流程作詳細說明 步驟801:讀取計算cookie的秘密�; 步驟802:計算cookie的值�;
步驟803:將SYN-ACK包發(fā)送給SYN包的源主機�,判斷是否超時,若是�,則
標(biāo)記該主機不存在;
步驟804:接收相應(yīng)的ACK包�;步驟805:分析返回的cookie值,判斷該cookie值是否SYN-ACK包中包含 的cookie值����,若是,則標(biāo)記該主機存在,否則標(biāo)記該主機不存在���。
下面通過一個應(yīng)用實例對圖8的上述流程作進一步說明��。 設(shè)定cookie的秘密為542332�、 984332和135726��。 cookie的值為874351 ����, 在超過6秒超時時間時,因此得出該主機不存在����。
雖然通過實施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道�,本發(fā)明有許 多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和 變化而不脫離本發(fā)明的精神�。
權(quán)利要求
1、一種防御拒絕服務(wù)攻擊的方法�����,其特征在于包括以下步驟A����、預(yù)處理包括捕獲和解析網(wǎng)絡(luò)數(shù)據(jù)包���;B、黑白名單和DoS攻擊特征表過濾��;C��、閾值和流量比例特征檢測��;D�、源主機認(rèn)證;E�、流量分布特征檢測。
2����、 根據(jù)權(quán)利要求l所述的一種防御拒絕服務(wù)攻擊的方法,其特征在于��,所 述步驟A包括Al���、捕獲網(wǎng)絡(luò)數(shù)據(jù)包; A2��、解析網(wǎng)絡(luò)數(shù)據(jù)包;所述通過解析所獲得的信息包括TCP包的SYN�����、 ACK�、 FIN標(biāo)志位、UDP數(shù) 據(jù)包����、ICMP包的類型和代碼字段,其中包括Echo��、 R印lay和Unreach��,以及相 應(yīng)的源和目的IP地址����、源和目的端口。
3���、 根據(jù)權(quán)利要求l所述的一種防御拒絕服務(wù)攻擊的方法���,其特征在于,所 述步驟B包括-根據(jù)黑白名單和DoS攻擊特征表中的信息進行過濾����,對白名單中的可信源 主機進行放行����,對黑名單和DoS攻擊特征表中惡意源主機進行阻斷��;所述黑白名單和DoS攻擊特征表中信息包括可信和惡意源主機的IP地址���、DoS攻擊特征��。
4�����、 根據(jù)權(quán)利要求l所述的一種防御拒絕服務(wù)攻擊的方法�����,其特征在于�����,所述步驟C包括Cl、計算流量速率�����;C2、進行流量速率和速率閾值的比較���; C3����、對流量比例特征進行計算���;C4�、進行閾值檢測和流量比例特征檢測的綜合判斷�;所述閾值和流量比例特征檢測信息包括流量速率的閾值大小、TCP的SYN��、 SYN-ACK����、 ACK、 FIN-ACK包的流量及其速率�、UDP的流量及其速率、ICMP 的Echo�、 R印lay和Unreach包的流量及其速率。
5����、 根據(jù)權(quán)利要求l所述的一種防御拒絕服務(wù)攻擊的方法���,其特征在于,所 述步驟D包括對流量的源主機的身份進行認(rèn)證��,根據(jù)源主機認(rèn)證狀態(tài)機進行身份驗證��, 將可信源主機保存到白名單中���,將惡意源主機保存到黑名單和DoS攻擊特征表 中�;所述網(wǎng)絡(luò)流量控制信息包括源主機的IP地址���、DoS攻擊特征���。
6、 根據(jù)權(quán)利要求l所述的一種防御拒絕服務(wù)攻擊的方法�,其特征在于,所 述步驟E包括對攻擊的分布特征進行檢測��,首先統(tǒng)計出源和目的IP地址以及目的端口的 分布情況��,并統(tǒng)計它們的流量數(shù)量,然后計算出分布數(shù)與流量數(shù)量的比例�;所述網(wǎng)絡(luò)流量動態(tài)檢測信息包括源和目的IP地址以及目的端口的分布情 況信息,各個流量數(shù)量信息�。
7����、 一種防御拒絕服務(wù)攻擊的裝置,其特征在于包括-初始化裝置�,包括初始化閾值和流量比例特征檢測的緩沖區(qū)、初始化流量分布特征檢測的緩沖區(qū)����、初始化黑白名單的緩沖區(qū)、初始化DoS攻擊特征表的 緩沖區(qū)�;預(yù)處理裝置,包括捕獲網(wǎng)絡(luò)數(shù)據(jù)包��,并進行協(xié)議解析����;檢測裝置,包括對閾值和流量比例特征進行檢測�����,對源主機的身份進行認(rèn) 證,對流量分布特征進行檢測����,以及提取DoS攻擊特征并放入DoS攻擊特征表 中;過濾裝置�,包括根據(jù)黑名單進行過濾,根據(jù)白名單進行過濾��,根據(jù)DoS攻 擊特征表進行過濾��;告警裝置�����,向控制端的顯示模塊發(fā)送拒絕服務(wù)攻擊的信息�; 初始化裝置對本裝置中存儲流量信息的緩沖區(qū)進行初始化,然后由預(yù)處理 裝置捕獲和解析網(wǎng)絡(luò)數(shù)據(jù)包����,并由檢測裝置分別進行閾值和流量比例特征檢 測、源主機認(rèn)證���、以及流量分布特征檢測�����,最后�,由過濾裝置根據(jù)黑白名單和 DoS攻擊特征表進行過濾,并由告警裝置將攻擊信息通知給用戶��。
全文摘要
本發(fā)明公開了一種在TCP/IP網(wǎng)絡(luò)中防御拒絕服務(wù)攻擊的方法����,所述方法包括對TCP�����、UDP和ICMP流量進行隨機抽樣�����,統(tǒng)計并計算出每個流量的速率大小����,然后進行流量比例特征和流量分布特征檢測,并驗證相應(yīng)源主機身份的可信性�����,根據(jù)檢測結(jié)果和源主機身份認(rèn)證結(jié)果自學(xué)習(xí)黑白名單以及DoS攻擊特征表��,最后利用黑白名單和DoS攻擊特征表對流量進行過濾,對正常流量進行放行�,對拒絕服務(wù)攻擊進行阻斷。利用本發(fā)明��,可以檢測和阻斷拒絕服務(wù)攻擊��,這樣可以保證網(wǎng)絡(luò)的可用性�,并可以預(yù)防網(wǎng)絡(luò)拒絕服務(wù)攻擊的發(fā)生,為網(wǎng)絡(luò)用戶提供一個安全的網(wǎng)絡(luò)環(huán)境�����。
文檔編號H04L9/36GK101631026SQ20081011685
公開日2010年1月20日 申請日期2008年7月18日 優(yōu)先權(quán)日2008年7月18日
發(fā)明者華東明, 葉潤國, 煒 鄧, 魯文忠 申請人:北京啟明星辰信息技術(shù)股份有限公司;北京啟明星辰信息安全技術(shù)有限公司