《检测与防御分布式拒绝服务攻击的方法及系统.pdf》由会员分享,可在线阅读,更多相关《检测与防御分布式拒绝服务攻击的方法及系统.pdf(7页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102891829 A (43)申请公布日 2013.01.23 C N 1 0 2 8 9 1 8 2 9 A *CN102891829A* (21)申请号 201110201195.2 (22)申请日 2011.07.18 H04L 29/06(2006.01) (71)申请人航天信息股份有限公司 地址 100195 北京市海淀区杏石口路甲18 号 (72)发明人梁剑 罗世新 尹刚 何丽 田心 (74)专利代理机构北京科龙寰宇知识产权代理 有限责任公司 11139 代理人孙皓晨 (54) 发明名称 检测与防御分布式拒绝服务攻击的方法及系 统 (57) 摘要 本发明。
2、公开了一种检测与防御分布式拒绝服 务攻击的方法及系统,该方法包括以下步骤:检 测设定时间片内访问网络的报文数量和IP地址, 并将检测到的IP地址与数据库的合法IP记录集 中保存的合法准许访问IP地址相比较,确定单位 时间内新IP地址数量增加速率;判断报文数量是 否大于设定报文阈值并且新IP地址数量增加速 率是否大于设定速率阈值,若是,则判定为是泛洪 DDoS拒绝服务攻击,并将探测到的新IP地址存放 于数据库的非法IP记录集中;对非法IP记录集 中的非法IP地址进行封堵。 (51)Int.Cl. 权利要求书1页 说明书4页 附图1页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权。
3、利要求书 1 页 说明书 4 页 附图 1 页 1/1页 2 1.一种检测与防御分布式拒绝服务攻击的方法,其特征在于,包括以下步骤: 检测设定时间片内访问网络的报文数量和IP地址,并将检测到的IP地址与数据库的 合法IP记录集中保存的合法准许访问IP地址相比较,确定单位时间内新IP地址数量增加 速率; 判断所述报文数量是否大于设定报文阈值并且所述新IP地址数量增加速率是否大于 设定速率阈值,若是,则判定为是泛洪DDoS拒绝服务攻击,并将探测到的新IP地址存放于 所述数据库的非法IP记录集中; 对所述非法IP记录集中的非法IP地址进行封堵。 2.根据权利要求1所述的方法,其特征在于,还包括以下步。
4、骤: 将检测到的网络泛洪DDoS拒绝服务攻击记录在日志上。 3.根据权利要求1或2所述的方法,其特征在于,在检测初始化时,对所述合法IP集中 的合法准许访问IP地址进行重置,同时清空所述非法IP记录集。 4.一种检测与防御分布式拒绝服务攻击的系统,其特征在于,包括: 检测模块,用于检测设定时间片内访问网络的报文数量和IP地址,并将检测到的IP地 址与数据库的合法IP记录集中保存的合法准许访问IP地址相比较,确定单位时间内新IP 地址数量增加速率; 判断模块,用于判断所述报文数量是否大于设定报文阈值并且所述新IP地址数量增 加速率是否大于设定速率阈值,若是,则判定为是泛洪DDoS拒绝服务攻击,并。
5、将探测到的 新IP地址存放于所述数据库的非法IP记录集中; 处理模块,用于对所述非法IP记录集中的非法IP地址进行封堵。 5.根据权利要求4所述的系统,其特征在于,还包括: 记录模块,用于将检测到的网络泛洪DDoS拒绝服务攻击记录在日志上。 6.根据权利要求4或5所述的系统,其特征在于,在所述检测模块初始化时,对所述合 法IP集中的合法准许访问IP地址进行重置,同时清空所述非法IP记录集。 权 利 要 求 书CN 102891829 A 1/4页 3 检测与防御分布式拒绝服务攻击的方法及系统 技术领域 0001 本发明涉及网络安全领域,具体而言,涉及一种检测与防御分布式拒绝服务攻击 的方法及系。
6、统。 背景技术 0002 分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是网络安全的重 大威胁之一。这种攻击曾经使得世界上几家著名电子商务提供商的站点(如雅虎、eBay、亚 马逊等)陷入瘫痪长达数小时甚至数天,造成了巨大的经济损失。拒绝服务攻击非常容易 发起,并不像其它攻击一样需要有一定技术基础。 0003 拒绝服务攻击容易实施的根本原因是TCP/IP协议的脆弱性。TCP/IP协议是因 特网的基石,它是按照在开放和彼此信任的群体中使用来设计的,在实现上力求效率,而没 有考虑安全因素(如数据认证、完整性、保密性服务等)。例如,网络拥塞控制在TCP层实 。
7、现,并且只能在终端结点实施控制,这就使得大量报文可以不受约束地到达终端结点;路 由器可以只根据目的地址决定路由,用户可以任意改变源IP地址,造成地址欺骗攻击(IP Spoofing)容易实施,拒绝服务攻击正是利用这个弱点,使得拒绝服务攻击的真实源头难以 追踪、拒绝服务攻击报文的识别异常困难。 0004 传统的拒绝服务攻击从一个攻击源攻击一个目标,可以很容易地根据流量来识 别。但近年来,拒绝服务攻击已经演变为同时从多个攻击源攻击一个目标的形式,即分布式 拒绝服务攻击。DDoS呈现的特征与正常的网络访问高峰非常相似,特别是攻击者采用伪造、 随机变化报文源IP地址、随机变化攻击报文内容等办法,使得D。
8、DoS的攻击特征难以提取, 攻击源的位置难以确定。 0005 同时高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的 条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近 的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级 别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发 起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。 发明内容 0006 本发明提供一种检测与防御分布式拒绝服务攻击的方法及系统,用以识别出拒绝 服务攻击并进行防御。 0007 为达到上述目的,本发明提供。
9、了一种检测与防御分布式拒绝服务攻击的方法,其 包括以下步骤: 0008 检测设定时间片内访问网络的报文数量和IP地址,并将检测到的IP地址与数据 库的合法IP记录集中保存的合法准许访问IP地址相比较,确定单位时间内新IP地址数量 增加速率; 0009 判断报文数量是否大于设定报文阈值并且新IP地址数量增加速率是否大于设定 说 明 书CN 102891829 A 2/4页 4 速率阈值,若是,则判定为是泛洪DDoS拒绝服务攻击,并将探测到的新IP地址存放于数据 库的非法IP记录集中; 0010 对非法IP记录集中的非法IP地址进行封堵。 0011 较佳的,上述方法还包括以下步骤:将检测到的网络泛。
10、洪DDoS拒绝服务攻击记录 在日志上。 0012 较佳的,上述方法在检测初始化时,对合法IP集中的合法准许访问IP地址进行重 置,同时清空非法IP记录集。 0013 为达到上述目的,本发明还提供了一种检测与防御分布式拒绝服务攻击的系统, 其包括: 0014 检测模块,用于检测设定时间片内访问网络的报文数量和IP地址,并将检测到的 IP地址与数据库的合法IP记录集中保存的合法准许访问IP地址相比较,确定单位时间内 新IP地址数量增加速率; 0015 判断模块,用于判断报文数量是否大于设定报文阈值并且新IP地址数量增加速 率是否大于设定速率阈值,若是,则判定为是泛洪DDoS拒绝服务攻击,并将探测到。
11、的新IP 地址存放于数据库的非法IP记录集中; 0016 处理模块,用于对非法IP记录集中的非法IP地址进行封堵。 0017 较佳的,上述系统还包括:记录模块,用于将检测到的网络泛洪DDoS拒绝服务攻 击记录在日志上。 0018 较佳的,上述系统在检测模块初始化时,对合法IP集中的合法准许访问IP地址进 行重置,同时清空非法IP记录集。 0019 在上述实施例中,对网络中流经的信息流量进行抽样采样和分析,计算出信息流 报文中新增IP的速率大小,同时判别报文数量和新IP地址数量增加速率是否超过了正常 阈值,进而判断出是否是拒绝服务攻击,同时根据辨别出的新IP地址将源地址是非法IP的 报文加以屏蔽。
12、处理,进行防御泛洪分布式拒绝服务攻击,达到维护网络安全的目的。 附图说明 0020 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。 0021 图1为本发明一实施例的检测与防御分布式拒绝服务攻击的方法流程图; 0022 图2为本发明一实施例的检测与防御分布式拒绝服务攻击的系统框图。 具体实施方式 0023 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描。
13、述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。 0024 网络泛洪DDoS拒绝服务攻击的检测关键在于特征的选择。一般认为,网络中存在 说 明 书CN 102891829 A 3/4页 5 以下三种网络流量情况:正常流量、正常访问高峰和发生DDoS攻击的流量情况。 0025 经过研究,我们发现正常流量和正常访问高峰以及DDoS状况时候的报文数量的 关系是:单位时间内正常访问高峰和DDoS时候的报文显著的多于正常流量时候的报文数 量,由此可以将正常流量和其他。
14、两种情况进行区别,但是正常访问高峰和发生DDoS这两种 情况单单根据单位时间内报文数量则无法进行分辨。 0026 但是我们还研究发现,在这三种情况中,单位时间之内到达目标系统的报文新IP 地址的数量是不一样的。新IP地址是指前一段时间内没有出现过的IP地址。进一步的研 究表明在DDoS攻击的时候,单位时间之内报文的新IP地址的数量是远大于其他两种正常 而没有受到攻击情况下的报文数量的。 0027 假定P1代表单位时间内正常流量时候的新增报文IP数量,P2代表单位时间 内正常访问高峰时候的新增报文IP数量,P3代表单位时间内受到泛洪DDoS攻击时候的 新增报文IP数量,那么我们有P3P2P1。本。
15、发明实施例的检测方法主要是基 于这个思路。 0028 在本发明的实施例中,在不同的时间片内,对于信息流进行采样和分析,协同数据 库,如果检测到单位时间之内(一个时间片内)报文数量超过阈值并且报文的新IP地址远 多于正常情况(阈值),就判定为是泛洪DDoS攻击。然后进行相应的后续防御处理。 0029 图1为本发明一实施例的检测与防御分布式拒绝服务攻击的方法流程图。如图1 所示,该方法包括以下步骤: 0030 S102,检测设定时间片内访问网络的报文数量和IP地址,并将检测到的IP地址与 数据库的合法IP记录集中保存的合法准许访问IP地址相比较,确定单位时间内新IP地址 数量增加速率; 0031 。
16、S104,判断报文数量是否大于设定报文阈值并且新IP地址数量增加速率是否大 于设定速率阈值,若是,则判定为是泛洪DDoS拒绝服务攻击,并将探测到的新IP地址存放 于数据库的非法IP记录集中; 0032 S106,对非法IP记录集中的非法IP地址进行封堵。 0033 在本实施例中,对网络中流经的信息流量进行抽样采样和分析,计算出信息流报 文中新增IP的速率大小,同时判别报文数量和新IP地址数量增加速率是否超过了正常阈 值,进而判断出是否是拒绝服务攻击,同时根据辨别出的新IP地址将源地址是非法IP的报 文加以屏蔽处理,进行防御泛洪分布式拒绝服务攻击,达到维护网络安全的目的。 0034 在上述实施例。
17、中,具体应用的数据库可以是时下流行的数据库,并且为了适应企 业级的环境,可以架设不止一个数据库服务器。在检测工作的时间片内,会不断访问数据 库,来探明检测到的IP地址是否为合法IP。当检测并判定是网络泛洪DDoS拒绝服务攻击 的时候,将非法IP地址传送插入到数据库中,以增加数据库中非法IP集的内容。 0035 例如,上述方法还包括以下步骤:将检测到的网络泛洪DDoS拒绝服务攻击记录在 日志上。 0036 例如,上述方法在检测初始化时,对合法IP集中的合法准许访问IP地址进行重 置,同时清空非法IP记录集。 0037 图2为本发明一实施例的检测与防御分布式拒绝服务攻击的系统框图。如图2所 示,其。
18、包括: 说 明 书CN 102891829 A 4/4页 6 0038 检测模块10,用于检测设定时间片内访问网络的报文数量和IP地址,并将检测到 的IP地址与数据库的合法IP记录集中保存的合法准许访问IP地址相比较,确定单位时间 内新IP地址数量增加速率; 0039 判断模块20,用于判断报文数量是否大于设定报文阈值并且新IP地址数量增加 速率是否大于设定速率阈值,若是,则判定为是泛洪DDoS拒绝服务攻击,并将探测到的新 IP地址存放于数据库的非法IP记录集中; 0040 处理模块30,用于对非法IP记录集中的非法IP地址进行封堵。 0041 在本实施例中,对网络中流经的信息流量进行抽样采样。
19、和分析,计算出信息流报 文中新增IP的速率大小,同时判别报文数量和新IP地址数量增加速率是否超过了正常阈 值,进而判断出是否是拒绝服务攻击,同时根据辨别出的新IP地址将源地址是非法IP的报 文加以屏蔽处理,进行防御泛洪分布式拒绝服务攻击,达到维护网络安全的目的。 0042 在上述实施例中,具体应用的数据库可以是时下流行的数据库,并且为了适应企 业级的环境,可以架设不止一个数据库服务器。在检测工作的时间片内,会不断访问数据 库,来探明检测到的IP地址是否为合法IP。当检测并判定是网络泛洪DDoS拒绝服务攻击 的时候,将非法IP地址传送插入到数据库中,以增加数据库中非法IP集的内容。 0043 例。
20、如,上述系统还包括:记录模块,用于将检测到的网络泛洪DDoS拒绝服务攻击 记录在日志上。 0044 例如,上述系统在检测模块初始化时,对合法IP集中的合法准许访问IP地址进行 重置,同时清空非法IP记录集。 0045 需要说明的是到目前为止,进行泛洪DDoS攻击的防御还是比较困难的。首先,这 种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住 DDoS攻击。但是本发明实施例所提出的解决方法,能达到比较简易的、实时的而且较为准确 的探测出系统是否受到泛洪DDoS攻击的目的。 0046 本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或 流。
21、程并不一定是实施本发明所必须的。 0047 本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。 0048 本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。 0049 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然 可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换; 而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范 围。 说 明 书CN 102891829 A 1/1页 7 图1 图2 说 明 书 附 图CN 102891829 A 。