亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種ddos攻擊檢測方法

文檔序號:7721169閱讀:249來源:國知局
專利名稱:一種ddos攻擊檢測方法
技術(shù)領(lǐng)域
本發(fā)明屬于計(jì)算機(jī)網(wǎng)路安全領(lǐng)域,具體涉及一種DDOS攻擊檢測方法。
背景技術(shù)
拒絕服務(wù)攻擊,英文Denial of Service (DOS),作為互聯(lián)網(wǎng)上的一種攻擊手段,已 經(jīng)有很長的歷史了,主要是利用TCP/IP協(xié)議的缺陷,將提供服務(wù)的網(wǎng)絡(luò)的資源耗盡,導(dǎo)致 不能提供正常服務(wù),是一種對網(wǎng)絡(luò)危害巨大的惡意攻擊,有些拒絕服務(wù)攻擊是消耗帶寬,有 些是消耗網(wǎng)絡(luò)設(shè)備的cpu和內(nèi)存,也有一些是導(dǎo)致系統(tǒng)崩潰,其中具有代表性的攻擊手段 包括SYN flood, ICMP flood、UDP flood等。 最初,攻擊一般以單臺電腦向目標(biāo)發(fā)起攻擊為主,即我們常說的DOS攻擊,隨著技 術(shù)的發(fā)展,現(xiàn)在的攻擊技術(shù)已經(jīng)由DOS模式發(fā)展到了 DDOS模式,即由統(tǒng)一控制的多臺電腦,
使用分布式技術(shù),同時向攻擊目標(biāo)發(fā)起拒絕服務(wù)攻擊,稱為分布式拒絕服務(wù)攻擊。
到目前為止,還沒有一種很好的技術(shù)能徹底檢測并防御拒絕服務(wù)攻擊。

發(fā)明內(nèi)容
針對目前分布式拒絕服務(wù)攻擊對互聯(lián)網(wǎng)的威脅,本發(fā)明的目的在于提出一種DDOS
攻擊檢測方法,其可以實(shí)時的對DDOS攻擊進(jìn)行檢測。本發(fā)明綜合DDOS攻擊的多個網(wǎng)絡(luò)特
征,綜合分析完成對DDOS攻擊的檢測。 本發(fā)明的技術(shù)方案為 —種DDOS攻擊檢測方法,其步驟為 1)數(shù)據(jù)包截取模塊對接入的網(wǎng)絡(luò)數(shù)據(jù)包信息進(jìn)行解析;所述網(wǎng)絡(luò)數(shù)據(jù)包信息包 括數(shù)據(jù)包類型、IP地址、端口 ; 2)數(shù)據(jù)包特征統(tǒng)計(jì)模塊對解析出的網(wǎng)絡(luò)數(shù)據(jù)包信息進(jìn)行統(tǒng)計(jì),得到單位時間內(nèi)截 獲到的數(shù)據(jù)包總數(shù)、網(wǎng)絡(luò)層不同類型的數(shù)據(jù)包數(shù)量、傳輸層不同類型的數(shù)據(jù)包數(shù)量、應(yīng)用層 不同類型的數(shù)據(jù)包數(shù)量、數(shù)據(jù)包的IP地址總數(shù)和端口總數(shù); 3)統(tǒng)計(jì)數(shù)據(jù)處理模塊計(jì)算出單位時間內(nèi)各類型數(shù)據(jù)包占數(shù)據(jù)包總數(shù)的比例分 布; 4)數(shù)據(jù)分析模塊根據(jù)存儲的步驟2)和步驟3)所計(jì)算出的歷史數(shù)據(jù),計(jì)算網(wǎng)絡(luò)數(shù) 據(jù)的報警閾值; 5)數(shù)據(jù)分析模塊判斷當(dāng)前單位時間內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)值是否超過對應(yīng)網(wǎng)絡(luò)數(shù)據(jù)的報
警閾值,如果超過則將該網(wǎng)絡(luò)數(shù)據(jù)值提交到攻擊分析模塊; 6)攻擊分析模塊根據(jù)接收到的網(wǎng)絡(luò)數(shù)據(jù)值生成檢測報告。 進(jìn)一步的,所述網(wǎng)絡(luò)數(shù)據(jù)包信息還包括各種類型數(shù)據(jù)包的數(shù)據(jù)包長度;同時所述
數(shù)據(jù)包特征統(tǒng)計(jì)模塊對解析出的各類型數(shù)據(jù)包的數(shù)據(jù)包長度進(jìn)行統(tǒng)計(jì)。 進(jìn)一步的,所述統(tǒng)計(jì)數(shù)據(jù)處理模塊計(jì)算出單位時間內(nèi)各類型數(shù)據(jù)包的平均長度。 進(jìn)一步的,所述數(shù)據(jù)分析模塊實(shí)時更新各類型數(shù)據(jù)包的報警閾值;所述報警閾值
4的計(jì)算方法為首先計(jì)算某類型數(shù)據(jù)包某一時刻前后一時間段內(nèi)該類型數(shù)據(jù)包占總數(shù)據(jù)包 比例的平均值F1 ;然后計(jì)算在該時刻前幾天、前幾周和前幾月的同一時刻中,該類型數(shù)據(jù)
包占總數(shù)據(jù)包的比例的平均值Fn;最后根據(jù)公式尸- 1122-^x2計(jì)算該類型
數(shù)據(jù)包的報警閾值F ;其中n時間段數(shù),kn為Fn對應(yīng)的權(quán)重,Q為一倍數(shù)因子,且Q > 1。
進(jìn)一步的,所述網(wǎng)絡(luò)層的數(shù)據(jù)包類型包括IP數(shù)據(jù)包、ICMP數(shù)據(jù)包、ARP數(shù)據(jù)包;所 述傳輸層的數(shù)據(jù)包類型包括TCP數(shù)據(jù)包、TCPsyn數(shù)據(jù)包、TCPsyn-ack數(shù)據(jù)包、UDP數(shù)據(jù)包; 所述應(yīng)用層的數(shù)據(jù)包類型包括DNS數(shù)據(jù)包、RTP數(shù)據(jù)包、QQ數(shù)據(jù)包、HTTP數(shù)據(jù)包。
進(jìn)一步的,所述檢測報告為網(wǎng)絡(luò)攻擊報告,其包括攻擊類型、攻擊目標(biāo)、攻擊源 頭、攻擊規(guī)模。 進(jìn)一步的,所述攻擊類型包括 l)UDPfloor攻擊類型,其識別方法為總的網(wǎng)絡(luò)流量超過總流量報警閾值,且UDP 數(shù)據(jù)包的流量超過UDP包流量報警閾值,且UDP數(shù)據(jù)包占網(wǎng)絡(luò)數(shù)據(jù)包總數(shù)的比例達(dá)到UDP 包占比報警閾值,且UDP數(shù)據(jù)包的包平均長度減小到設(shè)定UDP包長報警閾值,且UDP數(shù)據(jù)包 的包平均長度減小到設(shè)定UDP包長報警閾值; 2)TCPsynfloor攻擊類型,其識別方法為總的網(wǎng)絡(luò)流量超過總流量報警閾值,且 TCPsyn數(shù)據(jù)包流量超過TCPsyn包流量報警閾值,且TCPsyn數(shù)據(jù)包和TCPsynack數(shù)據(jù)包 的比例超過TCPsyn-ACK包占比報警閾值,且TCPsyn數(shù)據(jù)包與TCP數(shù)據(jù)包總量的比例超過 TCPsyn包占比報警閾值,且TCP數(shù)據(jù)包的平均長度超過TCP包長度報警閾值;
3)TCPfloor攻擊類型,其識別方法為總的網(wǎng)絡(luò)流量超過總流量報警閾值,且TCP 網(wǎng)絡(luò)流量超過TCP包流量報警閾值,且TCP數(shù)據(jù)包占網(wǎng)絡(luò)數(shù)據(jù)包總數(shù)的比例超過TCP包占 比報警閾值; 4) DNS攻擊類型,其實(shí)別方法為DNS數(shù)據(jù)包流量超過DNS包流量報警閾值,且DNS 數(shù)據(jù)包流量占總流量的比例超過DNS流量占比報警閾值。 進(jìn)一步的,所述攻擊規(guī)模的確定方法為首先根據(jù)確定的攻擊類型,獲得對應(yīng)類型 目前的攻擊流量;然后綜合對比該類型數(shù)據(jù)包的流量報警閾值和歷史正常流量,來評估出 當(dāng)前該攻擊類型的攻擊規(guī)模。 進(jìn)一步的,所述攻擊目標(biāo)的確定方法為首先對發(fā)往同一目的IP地址的數(shù)據(jù)包個 數(shù)進(jìn)行統(tǒng)計(jì);然后對比較集中的目的IP進(jìn)行排名,將排名靠前的IP確定為被攻擊的目標(biāo); 所述攻擊源IP的確定方法為對數(shù)據(jù)包的源IP地址進(jìn)行統(tǒng)計(jì),并根據(jù)發(fā)送數(shù)據(jù)包個數(shù)進(jìn)行 從高到低的排列,將排名靠前的IP確定為攻擊源IP。 進(jìn)一步的,所述檢測報告為網(wǎng)絡(luò)監(jiān)測日報,其包括當(dāng)天不同時間點(diǎn)網(wǎng)絡(luò)流量的折 線圖;當(dāng)天各種類型數(shù)據(jù)包所占比例的折線圖;當(dāng)天各類型數(shù)據(jù)包所占比例平均值的餅狀 圖;當(dāng)天不同時間點(diǎn)網(wǎng)絡(luò)中各類型數(shù)據(jù)包平均長度的折線圖。 本發(fā)明的系統(tǒng)分為三個子系統(tǒng),網(wǎng)絡(luò)數(shù)據(jù)檢測子系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)顯示子系統(tǒng)、攻擊 報警子系統(tǒng)。 1、網(wǎng)絡(luò)數(shù)據(jù)檢測子系統(tǒng) 主要功能是負(fù)責(zé)對網(wǎng)路數(shù)據(jù)的檢測的功能,分為以下模塊
(1)數(shù)據(jù)包截取模塊。
將設(shè)備接到被檢測網(wǎng)絡(luò)上,將網(wǎng)絡(luò)數(shù)據(jù)接入檢測設(shè)備,該模塊負(fù)責(zé)對接入的數(shù)據(jù)包進(jìn)行解析,解析深度可以根據(jù)網(wǎng)絡(luò)流量、當(dāng)前設(shè)備的性能、以及檢測安全等級來決定,解析的深度越深要求設(shè)備性能越高,安全等級越高需要檢測的深度越深。根據(jù)以上因素可以
將步
數(shù)據(jù)包信息解析到網(wǎng)絡(luò)層、也可以傳輸層、甚至可以解析到應(yīng)用層' (2)數(shù)據(jù)包特征統(tǒng)計(jì)模塊。 對解析出的數(shù)據(jù)包信息進(jìn)行統(tǒng)計(jì),具體工作包括
A、對單位時間內(nèi)截獲到的數(shù)據(jù)包的總數(shù)進(jìn)行統(tǒng)計(jì)。 B、對單位時間內(nèi)截獲到的網(wǎng)絡(luò)層不同類型的數(shù)據(jù)包的數(shù)量進(jìn)行統(tǒng)計(jì),包括IP數(shù)據(jù)包的數(shù)量、ICMP數(shù)據(jù)包的數(shù)量、ARP等數(shù)據(jù)包的數(shù)量。 C、對單位時間內(nèi)截獲到的傳輸層不同類型的數(shù)據(jù)包的數(shù)量進(jìn)行統(tǒng)計(jì),包括TCP數(shù)據(jù)包的數(shù)量、TCPsyn數(shù)據(jù)包的數(shù)量,TCPsyn-ack數(shù)據(jù)包的數(shù)量,UDP數(shù)據(jù)包的數(shù)量。
D、對單位時間內(nèi)截獲到的應(yīng)用層的不同類型的數(shù)據(jù)包的數(shù)量進(jìn)行統(tǒng)計(jì),包括DNS數(shù)據(jù)包、RTP數(shù)據(jù)包、QQ數(shù)據(jù)包、HTTP數(shù)據(jù)包等。 E、對單位時間內(nèi)截獲到的數(shù)據(jù)包的IP地址和端口進(jìn)行計(jì)數(shù)。
F、對各種類型數(shù)據(jù)包的數(shù)據(jù)包長度進(jìn)行記錄。
(3)統(tǒng)計(jì)數(shù)據(jù)處理模塊。 1)計(jì)算出單位時間內(nèi),各類型數(shù)據(jù)包占數(shù)據(jù)包總數(shù)的比例分布。
2)計(jì)算單位時間內(nèi),各類型數(shù)據(jù)包的平均長度。
(4)數(shù)據(jù)存儲模塊 對(2)、 (3)步驟中,獲得的數(shù)據(jù)進(jìn)行存儲。存儲時以時間為關(guān)鍵字來保存。
(5)數(shù)據(jù)分析模塊。 根據(jù)(4)中保存下來的歷史(是指上一年、前幾個月、前幾周、前幾天)上的各種數(shù)據(jù),計(jì)算出各時間段的報警閾值。 比如計(jì)算數(shù)據(jù)包中UDP數(shù)據(jù)包占總數(shù)據(jù)包比例在某一時刻t時的閾值 首先,可以去數(shù)據(jù)庫中查找該時刻前后一段時間,(t-a, t+a)這個時間段中,UDP
數(shù)據(jù)包占總數(shù)據(jù)包比例的平均值Fl 。 再計(jì)算在該(t-a, t+a)時段前幾天的同一時時間段中,UDP數(shù)據(jù)包占總數(shù)據(jù)包的比例的平均值F2。 用類似的方法計(jì)算前幾周、前幾個月該時刻比例的平均值Fn。
然后,為各平均值賦一系列的權(quán)值kl、 k2……kn。
閾值Fudp的計(jì)算公式是
<formula>formula see original document page 6</formula> 這里的Q是一個大于1的值,是將閾值F設(shè)為之前計(jì)算出來的平均值的一個倍數(shù)。
使用類似的方法計(jì)算出其他數(shù)據(jù)包的報警閾值。這些閾值數(shù)據(jù)是實(shí)時更新。 一旦某個監(jiān)控值超過了設(shè)定的閾值,就會將該信息提交"攻擊分析模塊"。
(6)攻擊分析模塊 主要是對從"數(shù)據(jù)分析模塊"獲得的各種類型的報警信息進(jìn)行綜合的分析,對攻擊的類型、攻擊目標(biāo)、攻擊源頭、攻擊的規(guī)模做出判斷。
a、判斷攻擊的類型。 (a)UDPfloor類型攻擊識別 總的網(wǎng)絡(luò)流量,超過總流量閾值。 UDP數(shù)據(jù)包的流量超過UDP包流量閾值, UDP數(shù)據(jù)包占整個網(wǎng)絡(luò)數(shù)據(jù)包的比例提高到UDP包占比閾值。 UDP數(shù)據(jù)包的包平均長度減小到設(shè)定UDP包長閾值,可判斷是UDP小包攻擊。 (b) TCPsynf loor類型攻擊識別 總的網(wǎng)絡(luò)流量超過總流量閾值。 TCPsyn數(shù)據(jù)包流量超過TCPsyn包流量閾值。 TCPsyn數(shù)據(jù)包和TCPsynack數(shù)據(jù)包的比例超過TCPsyn-ACK包占比閾值。
TCPsyn數(shù)據(jù)包與TCP數(shù)據(jù)包總量的比例超過TCPsyn包占比閾值。
TCP數(shù)據(jù)包的平均長度超過TCP包長度閾值。
(c) TCPf loor類型攻擊識別
總的網(wǎng)絡(luò)流量超過總流量閾值。
TCP網(wǎng)絡(luò)流量超過TCP包流量閾值。 TCP數(shù)據(jù)包占整個網(wǎng)絡(luò)數(shù)據(jù)包的比例超過TCP包占比閾值。 使用TCP協(xié)議的很多可識別的應(yīng)用協(xié)議的數(shù)據(jù)包流量未超過閥值。
(d) DNS攻擊 DNS數(shù)據(jù)包流量超過DNS包流量閾值。 DNS數(shù)據(jù)包流量,占總流量的比例超過DNS流量占比閾值。 網(wǎng)絡(luò)總流量超過總流量閾值(攻擊嚴(yán)重時會出現(xiàn))。
(e)根據(jù)獲取的網(wǎng)絡(luò)通訊的統(tǒng)計(jì)數(shù)據(jù),也可以適當(dāng)組合分析其他新出現(xiàn)的攻擊類 型。另外在實(shí)際環(huán)境中,一次攻擊很多時候是由幾種類型的攻擊組合而成的,這是就要根據(jù) 上面的特征來分別判斷。
b、攻擊規(guī)模的確定 根據(jù)a中確定的攻擊類型,獲得對應(yīng)類型目前的攻擊流量,綜合對比該類型數(shù)據(jù) 包的閾值流量,和歷史正常流量,來評估出當(dāng)前該攻擊類型的攻擊規(guī)模。
c、攻擊目標(biāo)分析 對這些異常數(shù)據(jù)包的目的IP進(jìn)行統(tǒng)計(jì),對發(fā)往同一 目的IP地址的數(shù)據(jù)包個數(shù)進(jìn) 行統(tǒng)計(jì),對比較集中的目的IP進(jìn)行排名,將排名靠前的IP確定為被攻擊的目標(biāo)。
d、攻擊源IP分析 對異常數(shù)據(jù)包的源IP地址進(jìn)行統(tǒng)計(jì)分析,并根據(jù)發(fā)送數(shù)據(jù)包個數(shù)的多少進(jìn)行從 高到低的排列,將排名靠前的IP確定為攻擊源IP。
(7)檢測報告生成模塊 主要功能是根據(jù)上面模塊中獲得的數(shù)據(jù),自動生成分析報告。
具體的可以生成兩種報告 第一種,網(wǎng)絡(luò)監(jiān)測日報,主要包括當(dāng)天不同時間點(diǎn)網(wǎng)絡(luò)流量的折線圖;各種類型的 數(shù)據(jù)包所占比例的折線圖;當(dāng)天各類型數(shù)據(jù)包所占比例平均值的餅狀圖;當(dāng)天不同時間點(diǎn) 網(wǎng)絡(luò)中各類型數(shù)據(jù)包平均個數(shù)的折線圖。這些圖表的主要數(shù)據(jù)來源是"網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控模塊",在當(dāng)天實(shí)時顯示的數(shù)據(jù)。該檢測報告屬于日常性的檢測報告。 第二種,網(wǎng)絡(luò)攻擊分析報告。 一旦系統(tǒng)檢測到網(wǎng)絡(luò)遭到攻擊時,系統(tǒng)通過分析當(dāng)時
的攻擊數(shù)據(jù),生成該報告。 主要內(nèi)容有攻擊的規(guī)模 攻擊的變化情況(攻擊流量的增加速度、持續(xù)時間等) 攻擊類型可能是單一的攻擊類型,也可能是多種綜合的攻擊類型 攻擊目標(biāo)信息包括IP地址、物理位置信息等 攻擊源的信息包括IP地址、物理位置信息等,在一次分布式攻擊中的源IP可能 會有很多,這里會按照不同IP地址的攻擊規(guī)模的大小,對IP地址進(jìn)行排序。
2、網(wǎng)路數(shù)據(jù)顯示子系統(tǒng) 對網(wǎng)絡(luò)數(shù)據(jù)檢測子系統(tǒng)中統(tǒng)計(jì)分析并保存起來的數(shù)據(jù)進(jìn)行實(shí)時顯示。
顯示的形式主要是線性圖、餅圖形式。 顯示時間的粒度可以根據(jù)具體情況調(diào)整,可以以分鐘粒度,也可以以天、周為顯示 粒度。顯示范圍也可以根據(jù)實(shí)際情況調(diào)整,可以顯示當(dāng)前一個小時內(nèi)的數(shù)據(jù),也可以顯示最 近一周或一個月的數(shù)據(jù)。
主要顯示的內(nèi)容有 (1)網(wǎng)絡(luò)數(shù)據(jù)總流量的實(shí)時顯示,以線性表形式。
(2)網(wǎng)絡(luò)數(shù)據(jù)中TCP數(shù)據(jù)流量的實(shí)時顯示,以線性表形式。 (3)網(wǎng)絡(luò)數(shù)據(jù)中TCP-syn數(shù)據(jù)流量的實(shí)時顯示,以線性表的形式。 (4)網(wǎng)路數(shù)據(jù)中TCP-syn-ack數(shù)據(jù)流量的實(shí)時顯示,以線性表的形式。 (5)網(wǎng)絡(luò)數(shù)據(jù)中UDP數(shù)據(jù)流量的實(shí)時顯示,以線性表的形式。 (6)網(wǎng)絡(luò)數(shù)據(jù)中DNS數(shù)據(jù)流量的實(shí)時顯示,以線性表的形式。 (7)網(wǎng)絡(luò)數(shù)據(jù)中HTTP數(shù)據(jù)流量的實(shí)時顯示,以線性表的形式。 (8)網(wǎng)絡(luò)數(shù)據(jù)中,其他應(yīng)用層數(shù)據(jù)流量的實(shí)時顯示,以線性表的形式。本系統(tǒng)可以
根據(jù)用戶的具體關(guān)注的需要來由選擇的選擇需要重點(diǎn)監(jiān)控的網(wǎng)絡(luò)應(yīng)用層中的各種協(xié)議的流量。 (9)UDP數(shù)據(jù)包平均長度的線性表實(shí)時顯示。 (IO)TCP數(shù)據(jù)包平均長度的線性表實(shí)時顯示。 (11)UDP、TCP分別占整個網(wǎng)絡(luò)流量多少的餅狀圖 (12) TCP-syn、 TCP-syn-ack數(shù)據(jù)包占TCP數(shù)據(jù)總流量的餅形圖。 (13)各種關(guān)注的應(yīng)用層協(xié)議所占比例的餅形圖。 3、攻擊報警子系統(tǒng) 當(dāng)網(wǎng)絡(luò)數(shù)據(jù)檢測子系統(tǒng)檢測到,網(wǎng)絡(luò)的各個數(shù)據(jù)指標(biāo)中有某個或某幾個超過閥值
時,啟動報警子系統(tǒng),通過顯示器圖像、聲音等方式報告相關(guān)人員,此刻所監(jiān)控網(wǎng)絡(luò)收到攻
擊。與此同時網(wǎng)絡(luò)數(shù)據(jù)檢測子系統(tǒng)的檢測報告生成模塊生成攻擊報告提交給用戶。 本發(fā)明的優(yōu)點(diǎn)與積極效果 本發(fā)明的分布式攻擊檢測方法的特點(diǎn)在于 1 、綜合考慮各種網(wǎng)絡(luò)數(shù)據(jù)的特征,對ddos攻擊予以識別。 2、綜合網(wǎng)絡(luò)傳輸?shù)臍v史數(shù)據(jù),對當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深入分析,最終對網(wǎng)絡(luò)是否
8受到攻擊做出判斷。


圖1、檢測系統(tǒng)部署位置圖; 圖2、設(shè)備結(jié)構(gòu)體; 圖3、本發(fā)明的檢測方法流程圖。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施方式
對本發(fā)明作進(jìn)一步詳細(xì)描述 1、以旁路方式將網(wǎng)絡(luò)流量接入監(jiān)控設(shè)備。 根據(jù)保護(hù)的目標(biāo)的不同,接入的位置可以有以下兩種選擇。
(1)在被保護(hù)局域網(wǎng)與外部互聯(lián)網(wǎng)連接處,對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行旁路。
(2)在省際網(wǎng)絡(luò)出口處,旁路檢測設(shè)備對網(wǎng)絡(luò)流量進(jìn)行檢測,這時由于網(wǎng)絡(luò)數(shù)據(jù)量
非常大,可以使用多臺檢測設(shè)備進(jìn)行分布式檢測。 2、首先網(wǎng)絡(luò)數(shù)據(jù)流流入"網(wǎng)絡(luò)數(shù)據(jù)檢測子系統(tǒng)",對網(wǎng)絡(luò)數(shù)據(jù)流的處理方法如圖3 所示 (1)由"網(wǎng)絡(luò)數(shù)據(jù)檢測子系統(tǒng)"的"數(shù)據(jù)包截取模塊"子系統(tǒng)對旁路接入的數(shù)據(jù)包 進(jìn)行解析。
(2)由"數(shù)據(jù)包特征統(tǒng)計(jì)模塊"對解析出的各協(xié)議數(shù)據(jù)指標(biāo)進(jìn)行統(tǒng)計(jì)。
(3)對統(tǒng)計(jì)數(shù)據(jù)進(jìn)行進(jìn)一步的處理。
(4)將獲得的數(shù)據(jù)進(jìn)行存儲,作為該網(wǎng)絡(luò)的歷史數(shù)據(jù)。 (5)在積累歷史數(shù)據(jù)的基礎(chǔ)上對網(wǎng)路數(shù)據(jù)進(jìn)一步分析,計(jì)算出各種網(wǎng)絡(luò)數(shù)據(jù)的閾 值。
(6)以各網(wǎng)絡(luò)數(shù)據(jù)閾值為坐標(biāo),對各類網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)進(jìn)行監(jiān)控。
(7)根據(jù)監(jiān)控到的網(wǎng)絡(luò)數(shù)據(jù)生成網(wǎng)絡(luò)檢測分析報告。 3、"網(wǎng)路數(shù)據(jù)顯示子系統(tǒng)"會對從"網(wǎng)絡(luò)數(shù)據(jù)檢測子系統(tǒng)"獲得的各種數(shù)據(jù)進(jìn)行實(shí) 時的屏幕顯示,以便監(jiān)控人員了解最新的網(wǎng)絡(luò)情況。 4、一旦發(fā)現(xiàn)出現(xiàn)某些網(wǎng)絡(luò)數(shù)據(jù)超出之前計(jì)算的對應(yīng)網(wǎng)絡(luò)數(shù)據(jù)閾值,這一消息就會 傳遞到"攻擊報警子系統(tǒng)" 由該子系統(tǒng)發(fā)出發(fā)出報警信息,與此同時,"檢測報告生成模塊"模塊生成一份網(wǎng) 絡(luò)攻擊分析報告。
權(quán)利要求
一種DDOS攻擊檢測方法,其步驟為1)數(shù)據(jù)包截取模塊對接入的網(wǎng)絡(luò)數(shù)據(jù)包信息進(jìn)行解析;所述網(wǎng)絡(luò)數(shù)據(jù)包信息包括數(shù)據(jù)包類型、IP地址、端口;2)數(shù)據(jù)包特征統(tǒng)計(jì)模塊對解析出的網(wǎng)絡(luò)數(shù)據(jù)包信息進(jìn)行統(tǒng)計(jì),得到單位時間內(nèi)截獲到的數(shù)據(jù)包總數(shù)、網(wǎng)絡(luò)層不同類型的數(shù)據(jù)包數(shù)量、傳輸層不同類型的數(shù)據(jù)包數(shù)量、應(yīng)用層不同類型的數(shù)據(jù)包數(shù)量、數(shù)據(jù)包的IP地址總數(shù)和端口總數(shù);3)統(tǒng)計(jì)數(shù)據(jù)處理模塊計(jì)算出單位時間內(nèi)各類型數(shù)據(jù)包占數(shù)據(jù)包總數(shù)的比例分布;4)數(shù)據(jù)分析模塊根據(jù)存儲的步驟2)和步驟3)所計(jì)算出的歷史數(shù)據(jù),計(jì)算網(wǎng)絡(luò)數(shù)據(jù)的報警閾值;5)數(shù)據(jù)分析模塊判斷當(dāng)前單位時間內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)值是否超過對應(yīng)網(wǎng)絡(luò)數(shù)據(jù)的報警閾值,如果超過則將該網(wǎng)絡(luò)數(shù)據(jù)值提交到攻擊分析模塊;6)攻擊分析模塊根據(jù)接收到的網(wǎng)絡(luò)數(shù)據(jù)值生成檢測報告。
2. 如權(quán)利要求1所述的方法,其特征在于所述網(wǎng)絡(luò)數(shù)據(jù)包信息還包括各種類型數(shù)據(jù)包 的數(shù)據(jù)包長度;同時所述數(shù)據(jù)包特征統(tǒng)計(jì)模塊對解析出的各類型數(shù)據(jù)包的數(shù)據(jù)包長度進(jìn)行 統(tǒng)計(jì)。
3. 如權(quán)利要求2所述的方法,其特征在于所述統(tǒng)計(jì)數(shù)據(jù)處理模塊計(jì)算出單位時間內(nèi)各 類型數(shù)據(jù)包的平均長度。
4. 如權(quán)利要求1或3所述的方法,其特征在于所述數(shù)據(jù)分析模塊實(shí)時更新各類型 數(shù)據(jù)包的報警閾值;所述報警閾值的計(jì)算方法為首先計(jì)算某類型數(shù)據(jù)包某一時刻前后 一時間段內(nèi)該類型數(shù)據(jù)包占總數(shù)據(jù)包比例的平均值F1 ;然后計(jì)算在該時刻前幾天、前幾 周和前幾月的同一時刻中,該類型數(shù)據(jù)包占總數(shù)據(jù)包的比例的平均值Fn;最后根據(jù)公式尸=1 12 2——i^x^計(jì)算該類型數(shù)據(jù)包的報警閾值F ;其中n時間段數(shù),kn為Fn對應(yīng)的權(quán)重,Q為一倍數(shù)因子,且Q〉 1。
5. 如權(quán)利要求4所述的方法,其特征在于所述網(wǎng)絡(luò)層的數(shù)據(jù)包類型包括IP數(shù)據(jù)包、 ICMP數(shù)據(jù)包、ARP數(shù)據(jù)包;所述傳輸層的數(shù)據(jù)包類型包括TCP數(shù)據(jù)包、TCPsyn數(shù)據(jù)包、 TCPsyn-ack數(shù)據(jù)包、UDP數(shù)據(jù)包;所述應(yīng)用層的數(shù)據(jù)包類型包括DNS數(shù)據(jù)包、RTP數(shù)據(jù)包、 QQ數(shù)據(jù)包、HTTP數(shù)據(jù)包。
6. 如權(quán)利要求1或5所述的方法,其特征在于所述檢測報告為網(wǎng)絡(luò)攻擊報告,其包括 攻擊類型、攻擊目標(biāo)、攻擊源頭、攻擊規(guī)模。
7. 如權(quán)利要求6所述的方法,其特征在于所述攻擊類型包括1) UDPfloor攻擊類型,其識別方法為總的網(wǎng)絡(luò)流量超過總流量報警閾值,且UDP數(shù)據(jù) 包的流量超過UDP包流量報警閾值,且UDP數(shù)據(jù)包占網(wǎng)絡(luò)數(shù)據(jù)包總數(shù)的比例達(dá)到UDP包占 比報警閾值,且UDP數(shù)據(jù)包的包平均長度減小到設(shè)定UDP包長報警閾值,且UDP數(shù)據(jù)包的包 平均長度減小到設(shè)定UDP包長報警閾值;2) TCPsynfloor攻擊類型,其識別方法為總的網(wǎng)絡(luò)流量超過總流量報警閾值,且 TCPsyn數(shù)據(jù)包流量超過TCPsyn包流量報警閾值,且TCPsyn數(shù)據(jù)包和TCPsynack數(shù)據(jù)包 的比例超過TCPsyn-ACK包占比報警閾值,且TCPsyn數(shù)據(jù)包與TCP數(shù)據(jù)包總量的比例超過 TCPsyn包占比報警閾值,且TCP數(shù)據(jù)包的平均長度超過TCP包長度報警閾值;3) TCPfloor攻擊類型,其識別方法為總的網(wǎng)絡(luò)流量超過總流量報警閾值,且TCP網(wǎng)絡(luò) 流量超過TCP包流量報警閾值,且TCP數(shù)據(jù)包占網(wǎng)絡(luò)數(shù)據(jù)包總數(shù)的比例超過TCP包占比報 警閾值;4) DNS攻擊類型,其實(shí)別方法為DNS數(shù)據(jù)包流量超過DNS包流量報警閾值,且DNS數(shù)據(jù) 包流量占總流量的比例超過DNS流量占比報警閾值。
8. 如權(quán)利要求6所述的方法,其特征在于所述攻擊規(guī)模的確定方法為首先根據(jù)確定 的攻擊類型,獲得對應(yīng)類型目前的攻擊流量;然后綜合對比該類型數(shù)據(jù)包的流量報警閾值 和歷史正常流量,來評估出當(dāng)前該攻擊類型的攻擊規(guī)模。
9. 如權(quán)利要求6所述的方法,其特征在于所述攻擊目標(biāo)的確定方法為首先對發(fā)往同 一目的IP地址的數(shù)據(jù)包個數(shù)進(jìn)行統(tǒng)計(jì);然后對比較集中的目的IP進(jìn)行排名,將排名靠前的 IP確定為被攻擊的目標(biāo);所述攻擊源IP的確定方法為對數(shù)據(jù)包的源IP地址進(jìn)行統(tǒng)計(jì),并 根據(jù)發(fā)送數(shù)據(jù)包個數(shù)進(jìn)行從高到低的排列,將排名靠前的IP確定為攻擊源IP。
10. 如權(quán)利要求1或5所述的方法,其特征在于所述檢測報告為網(wǎng)絡(luò)監(jiān)測日報,其包括 當(dāng)天不同時間點(diǎn)網(wǎng)絡(luò)流量的折線圖;當(dāng)天各種類型數(shù)據(jù)包所占比例的折線圖;當(dāng)天各類型 數(shù)據(jù)包所占比例平均值的餅狀圖;當(dāng)天不同時間點(diǎn)網(wǎng)絡(luò)中各類型數(shù)據(jù)包平均長度的折線 圖。
全文摘要
本發(fā)明公開了一種DDOS攻擊檢測方法,屬于計(jì)算機(jī)網(wǎng)路安全領(lǐng)域。本方法為1)數(shù)據(jù)包截取模塊對接入的網(wǎng)絡(luò)數(shù)據(jù)包信息進(jìn)行解析;2)數(shù)據(jù)包特征統(tǒng)計(jì)模塊對解析出的網(wǎng)絡(luò)數(shù)據(jù)包信息進(jìn)行統(tǒng)計(jì);3)統(tǒng)計(jì)數(shù)據(jù)處理模塊計(jì)算出單位時間內(nèi)各類型數(shù)據(jù)包占數(shù)據(jù)包總數(shù)的比例分布;4)數(shù)據(jù)分析模塊根據(jù)存儲的步驟2和步驟3)所計(jì)算出的歷史數(shù)據(jù),計(jì)算網(wǎng)絡(luò)數(shù)據(jù)的報警閾值;5)數(shù)據(jù)分析模塊判斷當(dāng)前單位時間內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)值是否超過對應(yīng)網(wǎng)絡(luò)數(shù)據(jù)的報警閾值,如果超過則將其提交到攻擊分析模塊;6)攻擊分析模塊根據(jù)接收到的網(wǎng)絡(luò)數(shù)據(jù)值生成檢測報告。與現(xiàn)有技術(shù)相比,本發(fā)明綜合網(wǎng)絡(luò)傳輸?shù)臍v史數(shù)據(jù),對當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深入分析,可識別各種ddos攻擊。
文檔編號H04L12/26GK101741847SQ20091024344
公開日2010年6月16日 申請日期2009年12月22日 優(yōu)先權(quán)日2009年12月22日
發(fā)明者安丙春 申請人:北京銳安科技有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1