專利名稱:監(jiān)測(cè)小流量ddos攻擊的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于移動(dòng)互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域�,尤其涉及對(duì)小流量DDOS攻擊進(jìn)行監(jiān)測(cè)的方法和系統(tǒng)。
背景技術(shù):
分布式拒絕服務(wù)攻擊(distributeddenial of service attack,簡(jiǎn)稱DDOS)是通過(guò)控制互連網(wǎng)上多臺(tái)安全防御比較薄弱的機(jī)器同時(shí)攻擊目標(biāo)系統(tǒng),造成受害主機(jī)系統(tǒng)或網(wǎng)絡(luò)負(fù)荷過(guò)重���,無(wú)法及時(shí)接收或回應(yīng)外界請(qǐng)求����,從而達(dá)到拒絕服務(wù)攻擊的目的���。一般在寬帶網(wǎng)上�����,DDOS攻擊的具體表現(xiàn)形式是制造高流量無(wú)用數(shù)據(jù)���,造成網(wǎng)絡(luò)擁塞�����,使網(wǎng)絡(luò)服務(wù)中斷。目前互聯(lián)網(wǎng)上的網(wǎng)站大多是高帶寬的主機(jī)��,從原理上來(lái)講,單純的通過(guò)直接發(fā)包攻擊,幾乎不可能引起任何阻塞����。因?yàn)榘l(fā)起攻擊的機(jī)器帶寬可能遠(yuǎn)遠(yuǎn)低于這些主機(jī)�����,發(fā)出的攻擊包對(duì)于被攻擊主機(jī)而言并不構(gòu)成為攻擊���。但DDOS技術(shù)的出現(xiàn)使得從低帶 寬主機(jī)向高帶寬主機(jī)發(fā)起攻擊變得非常容易�����。但在移動(dòng)網(wǎng)絡(luò)中,受限于無(wú)線帶寬瓶頸,在核心網(wǎng)鏈路上顯示這些攻擊的流量不大�����,屬于正常的小流量���,但由于移動(dòng)用戶并發(fā)數(shù)量大�����,移動(dòng)性等特點(diǎn)��,通過(guò)大量并發(fā)可產(chǎn)生對(duì)目標(biāo)系統(tǒng)的資源消耗,產(chǎn)生拒絕服務(wù)攻擊。近年來(lái)����,攻擊者們又利用僵尸網(wǎng)絡(luò)(Botnet)作為攻擊平臺(tái)��,形成規(guī)模更龐大的DDoS攻擊,使得攻擊流的分布程度更廣、危害更大�,DDoS攻擊的檢測(cè)更難��,給當(dāng)前的網(wǎng)絡(luò)和網(wǎng)絡(luò)上的計(jì)算機(jī)帶來(lái)了不容忽視的威脅。網(wǎng)絡(luò)安全的社會(huì)化要求網(wǎng)絡(luò)上的每一個(gè)人都有義務(wù)保障互連網(wǎng)的安全����,這一點(diǎn)在防范DDOS攻擊上體現(xiàn)的尤為明顯����。電信運(yùn)營(yíng)商移動(dòng)互聯(lián)網(wǎng)用戶數(shù)量多����,隨著智能手機(jī)的普及����,手機(jī)終端上應(yīng)用日益豐富且有可能常在線,容易成為“肉機(jī)”��。DDoS攻擊導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題時(shí)有發(fā)生�,移動(dòng)互聯(lián)網(wǎng)與寬帶網(wǎng)絡(luò)共用IP核心網(wǎng)絡(luò)�����,導(dǎo)致IP網(wǎng)絡(luò)整體服務(wù)質(zhì)量下降���,電信運(yùn)營(yíng)商必須加強(qiáng)網(wǎng)絡(luò)的監(jiān)視和控制能力����,減輕拒絕服務(wù)攻擊對(duì)網(wǎng)絡(luò)造成的影響����,保障其用戶的權(quán)益?��,F(xiàn)有的DDOS攻擊監(jiān)測(cè)方法主要有以下兩種(一)在靠近用戶側(cè)部署IDS(InvasionDetect System,入侵檢測(cè)系統(tǒng))設(shè)備,它通過(guò)檢測(cè)網(wǎng)絡(luò)和系統(tǒng)內(nèi)部的數(shù)據(jù)和活動(dòng),發(fā)現(xiàn)可能的入侵活動(dòng)��,并進(jìn)行報(bào)警����。但在面臨DDoS攻擊時(shí)���,IDS系統(tǒng)往往不能滿足要求����,主要原因?yàn)榈谝?��,入侵檢測(cè)系統(tǒng)雖然能夠檢測(cè)應(yīng)用層的攻擊�����,但是基本機(jī)制都是基于規(guī)則����,需要對(duì)協(xié)議會(huì)話進(jìn)行還原,而目前DDoS攻擊大部分都是采用基于合法數(shù)據(jù)包的攻擊流量,所以IDS系統(tǒng)很難對(duì)這些攻擊有效檢測(cè)。雖然某些IDS系統(tǒng)本身也具備某些協(xié)議異常檢測(cè)的能力��,但這都需要安全專家手工配置才能真正生效,其實(shí)施成本高�����、易用性極低��;第二�,由于IDS高居不下的誤報(bào)率可能形成新的拒絕服務(wù),造成合法用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。(二)在城域網(wǎng)出口部署NetFlow設(shè)備進(jìn)行監(jiān)測(cè)��,其原理是利用NetFlow根據(jù)采樣比采集數(shù)據(jù)信息,對(duì)采集數(shù)據(jù)的種類�、流向�、產(chǎn)生后果�、數(shù)據(jù)包類型����、地址�����、端口等多個(gè)方面進(jìn)行分析����,監(jiān)測(cè)異常流量���。產(chǎn)生異常后可通過(guò)清洗設(shè)備自動(dòng)下發(fā)引流策略到核心路由設(shè)備,將異常流量引入清洗設(shè)備進(jìn)行清洗,通過(guò)報(bào)表系統(tǒng)上報(bào)攻擊事件和清洗情況��。目前大部分的DDOS監(jiān)測(cè)采用該種方式����,主要問(wèn)題在于第一,NetFlow數(shù)據(jù)格式不能提供精細(xì)的L4-L7層信息�����,無(wú)法針對(duì)那些瞄準(zhǔn)應(yīng)用層的DDoS作出響應(yīng)����;第二�,由于考慮到出口路由器的CPU和內(nèi)存負(fù)荷����,通常NetFlow的采樣率都會(huì)調(diào)得比較高,如3000 I或5000 1��,由于抽樣誤差�,只能針對(duì)是否存在超出預(yù)設(shè)閾值的大流量網(wǎng)絡(luò)層攻擊做出判斷���,因而無(wú)法檢測(cè)低速率的DDoS攻擊,無(wú)法實(shí)現(xiàn)精細(xì)顆粒的安全防護(hù)���。通過(guò)以上分析��,業(yè)界對(duì)小流量DDOS攻擊監(jiān)測(cè)還缺乏有效的方法����。
發(fā)明內(nèi)容
鑒于以上,本發(fā)明提出監(jiān)測(cè)小流量DDOS攻擊的方法和系統(tǒng)��。
監(jiān)測(cè)小流量DDOS攻擊的方法����,包括以下步驟在城域網(wǎng)的出口部署DDOS監(jiān)測(cè)系統(tǒng),對(duì)訪問(wèn)設(shè)定系統(tǒng)的流量進(jìn)行I : I的4-7層采樣,根據(jù)采樣數(shù)據(jù)計(jì)算流量閾值曲線��,判斷時(shí)間S內(nèi)流量是否持續(xù)超過(guò)流量閾值曲線;當(dāng)時(shí)間S內(nèi)流量是否持續(xù)超過(guò)流量閾值曲線時(shí)�,讀取IP包載荷的內(nèi)容,計(jì)算成分占比閾值曲線�,判斷在時(shí)間S內(nèi)當(dāng)前成分占比超過(guò)成分占比閾值曲線次數(shù)是否大于N次,N為大于等于I的整數(shù)�����;當(dāng)前成分占比超過(guò)成分占比閾值曲線次數(shù)大于N次����,提取訪問(wèn)設(shè)定系統(tǒng)的IP源地址,根據(jù)IP源地址從AAA獲取用戶所連接的基站信息�,計(jì)算基站之間距離總和閾值��,判斷當(dāng)前基站之間的距離總和是否小于基站之間距離總和閾值����,如果是�����,判定為發(fā)生DDOS攻擊�。監(jiān)測(cè)小流量DDOS攻擊的DDOS監(jiān)測(cè)系統(tǒng)��,包括基線分析過(guò)濾器,對(duì)訪問(wèn)設(shè)定系統(tǒng)的流量進(jìn)行I : I的4-7層采樣,根據(jù)采樣數(shù)據(jù)計(jì)算流量閾值曲線,判斷時(shí)間S內(nèi)流量是否持續(xù)超過(guò)流量閾值曲線�����,如果是���,通知成分分析過(guò)濾器;成分分析過(guò)濾器��,讀取IP包載荷的內(nèi)容��,計(jì)算成分占比閾值曲線��,判斷在時(shí)間S內(nèi)當(dāng)前成分占比超過(guò)成分占比閾值曲線次數(shù)是否大于N次�����,N為大于等于I的整數(shù),如果是��,通知相似度分析過(guò)濾器�����;相似度分析過(guò)濾器�,提取訪問(wèn)設(shè)定系統(tǒng)的IP源地址,根據(jù)IP源地址從AAA獲取用戶所連接的基站信息�,計(jì)算基站之間距離總和閾值����;判斷當(dāng)前基站之間的距離總和是否小于基站之間距離總和閾值,如果是���,認(rèn)為發(fā)生DDOS攻擊��。本發(fā)明利用DPI (Deep packet inspection,深度包檢測(cè))技術(shù)獲取4-7層數(shù)據(jù),彌補(bǔ)NetFlow技術(shù)無(wú)法檢測(cè)低速率DDoS攻擊的不足;采用基線分析+成分分析+相似度分析的啟發(fā)式檢測(cè)方法��,彌補(bǔ)IDS的高誤報(bào)率,實(shí)現(xiàn)精細(xì)顆粒的安全防護(hù),有效預(yù)防未知方法的拒絕服務(wù)攻擊�����,提高運(yùn)營(yíng)商網(wǎng)絡(luò)的安全級(jí)別��;可操作性強(qiáng)�����,與AAA進(jìn)行聯(lián)動(dòng)控制,及時(shí)發(fā)現(xiàn)異常流量并進(jìn)行清洗�,彌補(bǔ)了專用系統(tǒng)部署成本高�����、實(shí)施復(fù)雜的不足,可實(shí)現(xiàn)一點(diǎn)部署全網(wǎng)覆蓋��,具有大規(guī)模部署的潛力,提高防御效率����。
圖I為本發(fā)明在網(wǎng)絡(luò)中部署DDoS攻擊監(jiān)測(cè)系統(tǒng)的示意圖���,在運(yùn)營(yíng)商網(wǎng)絡(luò)中放置DPI系統(tǒng)���,對(duì)用戶訪問(wèn)互聯(lián)網(wǎng)的流量進(jìn)行分析檢測(cè)����。圖2為本發(fā)明監(jiān)測(cè)DDOS攻擊系統(tǒng)的結(jié)構(gòu)示意圖。圖3為本發(fā)明監(jiān)測(cè)DDOS攻擊的方法流程示意圖���。
具體實(shí)施例方式本發(fā)明進(jìn)行基線分析���、成分分析以及流量相似度分析,一旦匹配以上三個(gè)模型后發(fā)生閾值告警,判定為發(fā)生DDOS攻擊。在發(fā)生DDOS攻擊后�����,AAA還可以根據(jù)源地址對(duì)具有相應(yīng)IMSI號(hào)的手機(jī)終端進(jìn)行PPP拆線��,及時(shí)有效杜絕攻擊��,釋放無(wú)線側(cè)資源���。下面將結(jié)合附圖進(jìn)行具體說(shuō)明���。
圖I為本發(fā)明監(jiān)測(cè)小流量DDOS攻擊的系統(tǒng)結(jié)構(gòu)示意圖����,該DDOS監(jiān)測(cè)系統(tǒng)部署在城域網(wǎng)的出口�����。該系統(tǒng)具體結(jié)構(gòu)如圖2所示���,包括基線分析過(guò)濾器�、成分分析過(guò)濾器以及相似度分析過(guò)濾器。其中I��、基線分析過(guò)濾器對(duì)訪問(wèn)設(shè)定系統(tǒng)的流量進(jìn)行I : I的4-7層采樣���,根據(jù)采樣數(shù)據(jù)計(jì)算流量閾值曲線����。其中��,設(shè)定系統(tǒng)指需要保護(hù)或監(jiān)控的目標(biāo),如Sina服務(wù)器,I I的4_7層采樣就是利用DPI (Deep packet inspection,深度包檢測(cè))技術(shù)獲取4_7層數(shù)據(jù),把所有流量都抓下來(lái)����,對(duì)所有數(shù)據(jù)包作應(yīng)用層的分析���,彌補(bǔ)NetFlow技術(shù)無(wú)法檢測(cè)低速率DDoS攻擊的不足����。作為本發(fā)明的一個(gè)實(shí)施例���,根據(jù)采樣數(shù)據(jù)計(jì)算設(shè)定時(shí)間區(qū)域內(nèi)流量閾值曲線的方法可以如下����。本領(lǐng)域技術(shù)人員應(yīng)該可以理解,在此基礎(chǔ)上對(duì)計(jì)算方法進(jìn)行的相應(yīng)變形或者修改,都屬于本權(quán)利要求覆蓋的范圍。獲取在設(shè)定時(shí)間區(qū)域內(nèi)(如一個(gè)星期)每天的流量曲線�����,計(jì)算設(shè)定時(shí)間區(qū)域內(nèi)的流量平均值A(chǔ) (將該時(shí)間區(qū)域內(nèi)的每天同一時(shí)刻的實(shí)際流量進(jìn)行平均)和峰值流量值B (取該時(shí)間區(qū)域內(nèi)每天同一時(shí)刻的實(shí)際最大流量)��。F = B A < B < = ηΑ η > IF = uB B > ηΑ η > I, u < I根據(jù)流量平均值A(chǔ)和峰值流量值B訓(xùn)練出公式里的η和u值�,獲取流量閾值曲線F�。釆用的訓(xùn)練方法為現(xiàn)有技術(shù)�����,比如,通過(guò)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練、根據(jù)馬爾可夫模型進(jìn)行訓(xùn)練
坐寸O利用該模式對(duì)當(dāng)前的目標(biāo)行為進(jìn)行比較,判斷時(shí)間S內(nèi)流量是否超過(guò)流量閾值曲線。具體是判斷時(shí)間S內(nèi)每個(gè)時(shí)刻的當(dāng)前流量是否超過(guò)流量閾值曲線上相同時(shí)刻的流量��。比如,當(dāng)前時(shí)刻為下午I點(diǎn)�,那么,就與閾值曲線的下午I點(diǎn)的流量進(jìn)行比較�����。如果在時(shí)間S內(nèi)持續(xù)超過(guò)閾值曲線����,通知成分分析過(guò)濾器繼續(xù)進(jìn)行成分分析����。否則,認(rèn)為沒(méi)有受到攻擊��。時(shí)間S在設(shè)定時(shí)間區(qū)域內(nèi),可以是其中的一段或多段����,根據(jù)場(chǎng)景的不同�,可以設(shè)定為15分鐘-30分鐘。2���、成分分析過(guò)濾器
對(duì)上述采集的數(shù)據(jù)進(jìn)行應(yīng)用層分析�,主要用于用戶行為分析�。通過(guò)讀取IP包載荷的內(nèi)容,計(jì)算成分占比閾值曲線。作為本發(fā)明的一個(gè)實(shí)施例����,計(jì)算成分占比閾值曲線的方法可以如下。本領(lǐng)域技術(shù)人員應(yīng)該可以理解����,在此基礎(chǔ)上對(duì)計(jì)算方法進(jìn)行的相應(yīng)變形或者修改,都屬于本權(quán)利要求覆蓋的范圍。獲取設(shè)定時(shí)間區(qū)域內(nèi)(如一個(gè)星期)應(yīng)用成分(UDP,TCP, ICMP, HTTP, DNS等)的占比��,計(jì)算該時(shí)間區(qū)域內(nèi)的成分占比平均值I (將該時(shí)間區(qū)域內(nèi)的每天同一時(shí)刻的實(shí)際應(yīng)用成分占比進(jìn)行平均)和峰值成分占比值J(取該時(shí)間區(qū)域內(nèi)每天同一時(shí)刻的實(shí)際最大應(yīng)用成分占比)��。Z = J I < J < = ml m > IZ = pj J > mlm > I, p < I
根據(jù)成分占比平均值I和峰值成分占比值J訓(xùn)練出m和P值�,獲取成分占比閾值曲線Z����。采用的訓(xùn)練方法為現(xiàn)有技術(shù),比如�,通過(guò)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練��、根據(jù)馬爾可夫模型進(jìn)行
訓(xùn)練等����。利用該模式對(duì)當(dāng)前的目標(biāo)行為進(jìn)行比較,判斷在時(shí)間S內(nèi)當(dāng)前成分占比超過(guò)成分占比閾值曲線次數(shù)是否大于N次����,N為大于等于I的整數(shù)�����。如果是��,通知相似度分析過(guò)濾器進(jìn)行流量相似度分析,進(jìn)一步判斷是否發(fā)生了 DDOS攻擊���。這里所說(shuō)的N次是針對(duì)同一成分占比而言,比如����,計(jì)算HTTP的占比��,只有在HTTP的當(dāng)前占比超過(guò)HTTP占比閾值曲線N次時(shí)���,進(jìn)行相似度分析�����。這里所說(shuō)的N的取值可以根據(jù)具體業(yè)務(wù)或者其他因素設(shè)定����,比如對(duì)于視頻業(yè)務(wù)�����,N的取值可以為3或4或5。本領(lǐng)域技術(shù)人員應(yīng)該可以理解,對(duì)N的取值進(jìn)行舉例��,只是用于示例性說(shuō)明�,不應(yīng)理解為對(duì)本發(fā)明的限制����。移動(dòng)互聯(lián)網(wǎng)應(yīng)用中每個(gè)應(yīng)用所占用的帶寬可能僅為幾k或者是幾十k����,如果用戶某應(yīng)用流量突然增加了 20k����,則對(duì)于移動(dòng)互聯(lián)網(wǎng)應(yīng)用而言,很有可能發(fā)生了 DDOS攻擊。尤其是移動(dòng)互聯(lián)網(wǎng)應(yīng)用的用戶數(shù)量很大����,如果有很多用戶同時(shí)發(fā)起DDOS攻擊��,會(huì)導(dǎo)致移動(dòng)互聯(lián)網(wǎng)癱瘓���,其他用戶無(wú)法接入網(wǎng)絡(luò)。對(duì)于固定網(wǎng)絡(luò)�,其帶寬為2M、4M��、8M�����、甚至更高����,如果流量突然增加了 20k�,可能不會(huì)對(duì)帶寬產(chǎn)生太大影響�����。所以,鑒于移動(dòng)互聯(lián)網(wǎng)應(yīng)用的以上特點(diǎn),需要對(duì)其進(jìn)行流量監(jiān)測(cè),及時(shí)發(fā)現(xiàn)DDOS攻擊���,防止移動(dòng)互聯(lián)網(wǎng)癱瘓。小流量的成分分析還是會(huì)存在誤判的情況��,比如���,之前用戶通過(guò)HTTP瀏覽網(wǎng)頁(yè)����,后來(lái)對(duì)該網(wǎng)頁(yè)上的信息進(jìn)行下載�,那么�����,會(huì)導(dǎo)致HTTP的成分占比在一定時(shí)間內(nèi)增加����,并超過(guò)閾值的次數(shù)大于N次。因此��,在時(shí)間S內(nèi)發(fā)現(xiàn)成分占比超過(guò)閾值曲線次數(shù)大于N次的情況下,通知相似度分析過(guò)濾器進(jìn)行流量相似度分析�����,進(jìn)一步判斷是否發(fā)生了 DDOS攻擊���。3、相似度分析過(guò)濾器提取訪問(wèn)設(shè)定系統(tǒng)的IP源地址����,根據(jù)IP源地址從AAA獲取用戶所連接的基站信息,計(jì)算基站之間距離總和閾值�。在AAA中保存表格�����,記載了 IP源地址��、基站信息、終端等信息���,所以���,可以根據(jù)IP源地址獲取基站信息。作為本發(fā)明的一個(gè)實(shí)施例�,計(jì)算基站之間距離總和閾值的方法可以如下。本領(lǐng)域技術(shù)人員應(yīng)該可以理解�,在此基礎(chǔ)上對(duì)計(jì)算方法進(jìn)行的相應(yīng)變形或者修改,都屬于本權(quán)利要求覆蓋的范圍��。獲取設(shè)定時(shí)間區(qū)域內(nèi)(如一個(gè)星期)的平均基站距離總和D(將該時(shí)間區(qū)域內(nèi)每天同一時(shí)刻的基站距離總和進(jìn)行平均)和設(shè)定時(shí)間區(qū)域內(nèi)的實(shí)際最小距離總和T (取該時(shí)間區(qū)域內(nèi)每天同一時(shí)刻的實(shí)際最小基站距離總和)����。基站距離是指基站與基站之間的距離�����,比如�,用戶I找到對(duì)應(yīng)的基站Al,用戶2找到對(duì)應(yīng)的基站BI�,計(jì)算基站Al與基站BI之間的距離即為基站距離。再對(duì)所有用戶執(zhí)行上述操作,累加總和即為基站之間距離總和��。在基線分析過(guò)濾器���、成分分析過(guò)濾器以及相似度分析過(guò)濾器中提到的設(shè)定時(shí)間區(qū)域是一致的�,t匕如��,設(shè)定時(shí)間區(qū)域?yàn)镮個(gè)星期�,則上述三個(gè)模型在計(jì)算時(shí)都是以I個(gè)星期為準(zhǔn)。X = T D > T > = gD g < IX = yT T < gDg < I, y > I根據(jù)平均基站距離總和D與實(shí)際最小距離總和T訓(xùn)練出g和y值�,獲取基站之間距離總和閾值X。采用的訓(xùn)練方法為現(xiàn)有技術(shù)���,比如���,通過(guò)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練�����、根據(jù)馬爾可夫模型進(jìn)行訓(xùn)練等�。
利用該模式對(duì)當(dāng)前的用戶行為進(jìn)行比較,判斷當(dāng)前基站之間的距離總和是否小于基站之間距離總和閾值,如果是,認(rèn)為發(fā)生DDOS攻擊�����。移動(dòng)互聯(lián)網(wǎng)用戶小流量的攻擊流往往在一定范圍內(nèi)有相似性,可根據(jù)相似性�����,精準(zhǔn)判斷發(fā)生了 DDOS攻擊�。以訪問(wèn)Sina服務(wù)器為例,根據(jù)現(xiàn)有基站之間的距離總和���,確定了經(jīng)常訪問(wèn)Sina服務(wù)器的范圍��,如果出現(xiàn)訪問(wèn)服務(wù)器的基站之間距離總和明顯小于基站之間距離總和閾值���,即訪問(wèn)的范圍突然縮小,則發(fā)生了異常情況�,有來(lái)自某一區(qū)域肉機(jī)發(fā)起DDOS攻擊,從而可精準(zhǔn)判斷發(fā)生了 DDOS攻擊�。本發(fā)明集成DPI技術(shù),對(duì)網(wǎng)絡(luò)流量進(jìn)行I : I的檢測(cè)分析����,實(shí)現(xiàn)從四層到七層的深度識(shí)別,彌補(bǔ)IDS的高誤報(bào)率����,實(shí)現(xiàn)精細(xì)顆粒的安全防護(hù)��。本發(fā)明采用基線分析+成分分析+相似度分析的啟發(fā)式檢測(cè)方法�,三個(gè)模型的復(fù)雜度逐漸遞增����,精準(zhǔn)性提高。在運(yùn)營(yíng)商的大流量網(wǎng)絡(luò)中����,考慮實(shí)時(shí)性以及設(shè)備支持能力,盡量先識(shí)別出可疑的流量����,再做進(jìn)一步分析,這樣不會(huì)占用大量軟硬件資源和性能��。有效預(yù)防未知方法的拒絕服務(wù)攻擊����,提高運(yùn)營(yíng)商網(wǎng)絡(luò)的安全級(jí)別���,提高監(jiān)測(cè)的準(zhǔn)確性��。再如圖2所示的DDOS監(jiān)測(cè)系統(tǒng)�,還可以包括告警與清洗過(guò)慮器,用于與AAA聯(lián)動(dòng)�,對(duì)發(fā)生的DDOS攻擊進(jìn)行處理。4����、告警與清洗過(guò)濾器一旦匹配以上三個(gè)模型后發(fā)生閾值告警,DDOS監(jiān)測(cè)系統(tǒng)的告警與清洗過(guò)濾器對(duì)AAA下發(fā)策略�����,告知攻擊流的源地址�����,AAA可以根據(jù)這些源地址����,對(duì)具有相應(yīng)IMSI號(hào)的手機(jī)終端進(jìn)行PPP拆線,及時(shí)有效杜絕攻擊��,釋放無(wú)線側(cè)資源?,F(xiàn)有技術(shù)下發(fā)引流策略到核心路由設(shè)備,即使進(jìn)行清洗后���,拆除的僅為基站與服務(wù)器之間的連接��,而用戶與基站之間還保持著連接��,導(dǎo)致其他用戶無(wú)法接入����。而本發(fā)明中,由于直接對(duì)手機(jī)終端進(jìn)行PPP拆線����,所以釋放了無(wú)線資源,其他用戶還可以接入��。本發(fā)明可操作性強(qiáng)��,與AAA進(jìn)行聯(lián)動(dòng)控制���,及時(shí)發(fā)現(xiàn)異常流量并進(jìn)行清洗�����,彌補(bǔ)了專用系統(tǒng)部署成本高�、實(shí)施復(fù)雜的不足��,可實(shí)現(xiàn)一點(diǎn)部署全網(wǎng)覆蓋��,具有大規(guī)模部署的潛力�����,提高防御效率����。圖3為本發(fā)明監(jiān)測(cè)小流量DDOS攻擊的方法流程圖,包括以下步驟在步驟301����,在城域網(wǎng)的出口部署DDOS監(jiān)測(cè)系統(tǒng),對(duì)訪問(wèn)設(shè)定系統(tǒng)的流量進(jìn)行
I I的4-7層采樣�,根據(jù)采樣數(shù)據(jù)計(jì)算流量閾值曲線。
在步驟302���,判斷時(shí)間S內(nèi)流量是否持續(xù)超過(guò)流量閾值曲線����,如果是���,執(zhí)行步驟303�,否則,跳轉(zhuǎn)到步驟307���。在步驟303���,讀取IP包載荷的內(nèi)容,計(jì)算成分占比閾值曲線�。在步驟304,判斷在時(shí)間S內(nèi)當(dāng)前成分占比超過(guò)成分占比閾值曲線次數(shù)是否大于N次��,N為大于等于I的整數(shù)�����,如果是��,執(zhí)行步驟305���,否則�,跳轉(zhuǎn)到步驟307���。在步驟305����,提取訪問(wèn)設(shè)定系統(tǒng)的IP源地址,根據(jù)IP源地址從AAA獲取用戶所連接的基站信息��,計(jì)算基站之間距離總和閾值�。在步驟306����,判斷當(dāng)前基站之間的距離總和是否小于基站之間距離總和閾值,如果是�����,執(zhí)行步驟308�����,否則���,跳轉(zhuǎn)到步驟307�。在步驟307,認(rèn)為當(dāng)前流量為合法流量����,未發(fā)生DDOS攻擊����。
在步驟308��,判定為發(fā)生DDOS攻擊��。判定為發(fā)生DDOS攻擊之后�����,還可以繼續(xù)執(zhí)行步驟309���,DDOS監(jiān)測(cè)系統(tǒng)對(duì)AAA下發(fā)策略,告知攻擊流的源地址�����,AAA可以根據(jù)源地址���,對(duì)具有相應(yīng)IMSI號(hào)的手機(jī)終端進(jìn)行PPP拆線����,釋放無(wú)線側(cè)資源���。本發(fā)明的描述是為了示例和描述起見(jiàn)而給出的���,而并不是無(wú)遺漏的或者將本發(fā)明限于所公開(kāi)的形式��。很多修改和變化對(duì)于本領(lǐng)域的普通技術(shù)人員而言是顯然的�����。選擇和描述實(shí)施例是為了更好說(shuō)明本發(fā)明的原理和實(shí)際應(yīng)用,并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設(shè)計(jì)適于特定用途的帶有各種修改的各種實(shí)施例���。
權(quán)利要求
1.監(jiān)測(cè)小流量DDOS攻擊的方法�����,包括以下步驟 在城域網(wǎng)的出口部署DDOS監(jiān)測(cè)系統(tǒng)�,對(duì)訪問(wèn)設(shè)定系統(tǒng)的流量進(jìn)行I : I的4-7層采樣�,根據(jù)采樣數(shù)據(jù)計(jì)算流量閾值曲線,判斷時(shí)間S內(nèi)流量是否持續(xù)超過(guò)流量閾值曲線�����; 當(dāng)時(shí)間S內(nèi)流量是否持續(xù)超過(guò)流量閾值曲線時(shí)����,讀取IP包載荷的內(nèi)容���,計(jì)算成分占比閾值曲線,判斷在時(shí)間S內(nèi)當(dāng)前成分占比超過(guò)成分占比閾值曲線次數(shù)是否大于N次�,N為大于等于I的整數(shù); 當(dāng)前成分占比超過(guò)成分占比閾值曲線次數(shù)大于N次�,提取訪問(wèn)設(shè)定系統(tǒng)的IP源地址,根據(jù)IP源地址從AAA獲取用戶所連接的基站信息�,計(jì)算基站之間距離總和閾值,判斷當(dāng)前基站之間的距離總和是否小于基站之間距離總和閾值����,如果是,判定為發(fā)生DDOS攻擊�。
2.根據(jù)權(quán)利要求I所述監(jiān)測(cè)小流量DDOS攻擊的方法,判定為發(fā)生DDOS攻擊之后�����,還包括以下步驟 DDOS監(jiān)測(cè)系統(tǒng)對(duì)AAA下發(fā)策略����,告知攻擊流的源地址,AAA根據(jù)源地址��,對(duì)具有相應(yīng)IMSI號(hào)的手機(jī)終端進(jìn)行PPP拆線,釋放無(wú)線側(cè)資源����。
3.根據(jù)權(quán)利要求I或2所述監(jiān)測(cè)小流量DDOS攻擊的方法,根據(jù)采樣數(shù)據(jù)計(jì)算流量閾值曲線的操作����,包括以下步驟 獲取在設(shè)定時(shí)間區(qū)域內(nèi)每天的流量曲線,計(jì)算設(shè)定時(shí)間區(qū)域內(nèi)的流量平均值A(chǔ)和峰值流量值B ���; F = B A < B < = ηΑ η > I F = uB B > nA u < I 根據(jù)流量平均值和峰值流量值訓(xùn)練出η和u值���,獲取流量閾值曲線F�����。
4.根據(jù)權(quán)利要求I或2所述監(jiān)測(cè)小流量DDOS攻擊的方法����,計(jì)算成分占比閾值曲線的操作,包括以下步驟 獲取設(shè)定時(shí)間區(qū)域內(nèi)應(yīng)用成分的占比����,計(jì)算該時(shí)間區(qū)域內(nèi)的成分占比平均值I和峰值成分占比值J ; Z = J I < J < = ml m > I Z = pj J > ml p < I 根據(jù)成分占比平均值和峰值成分占比值訓(xùn)練出m和P值,獲取成分占比閾值曲線Z。
5.根據(jù)權(quán)利要求I或2所述監(jiān)測(cè)小流量DDOS攻擊的方法���,計(jì)算基站之間距離總和閾值的操作���,包括以下步驟 獲取設(shè)定時(shí)間區(qū)域內(nèi)的平均基站距離總和D和設(shè)定時(shí)間區(qū)域內(nèi)的實(shí)際最小距離總和T ; X = T D > T > = gD g < I X = yT T < gD y > I 根據(jù)平均基站距離總和值和實(shí)際最小距離總和值訓(xùn)練出g和y值�,獲取基站之間距離總和閾值X。
6.監(jiān)測(cè)小流量DDOS攻擊的DDOS監(jiān)測(cè)系統(tǒng)��,包括 基線分析過(guò)濾器���,對(duì)訪問(wèn)設(shè)定系統(tǒng)的流量進(jìn)行I : I的4-7層采樣����,根據(jù)采樣數(shù)據(jù)計(jì)算流量閾值曲線���,判斷時(shí)間S內(nèi)流量是否持續(xù)超過(guò)流量閾值曲線����,如果是��,通知成分分析過(guò)濾器����;成分分析過(guò)濾器���,讀取IP包載荷的內(nèi)容,計(jì)算成分占比閾值曲線��,判斷在時(shí)間S內(nèi)當(dāng)前成分占比超過(guò)成分占比閾值曲線次數(shù)是否大于N次�����,N為大于等于I的整數(shù)���,如果是�����,通知相似度分析過(guò)濾器; 相似度分析過(guò)濾器����,提取訪問(wèn)設(shè)定系統(tǒng)的IP源地址,根據(jù)IP源地址從AAA獲取用戶所連接的基站信息��,計(jì)算基站之間距離總和閾值����;判斷當(dāng)前基站之間的距離總和是否小于基站之間距離總和閾值,如果是,認(rèn)為發(fā)生DDOS攻擊�����。
7.根據(jù)權(quán)利要求6所述DDOS監(jiān)測(cè)系統(tǒng)�����,還包括 告警與清洗過(guò)濾器����,對(duì)AAA下發(fā)策略�,告知攻擊流的源地址,AAA根據(jù)源地址��,對(duì)具有相應(yīng)IMSI號(hào)的手機(jī)終端進(jìn)行PPP拆線��,釋放無(wú)線側(cè)資源�����。
8.根據(jù)權(quán)利要求6或7所述DDOS監(jiān)測(cè)系統(tǒng)����,其中 基線分析過(guò)濾器獲取在設(shè)定時(shí)間區(qū)域內(nèi)每天的流量曲線��,計(jì)算設(shè)定時(shí)間區(qū)域內(nèi)的流量平均值A(chǔ)和峰值流量值B���,根據(jù)流量平均值和峰值流量值訓(xùn)練出η和u值,獲取流量閾值曲線 F��,F(xiàn) = B���,A<B< = ηΑ, η > I ���;F = uB, B > nA, u < I。
9.根據(jù)權(quán)利要求6或7所述DDOS監(jiān)測(cè)系統(tǒng)���,其中 成分分析過(guò)濾器獲取設(shè)定時(shí)間區(qū)域內(nèi)應(yīng)用成分的占比���,計(jì)算該時(shí)間區(qū)域內(nèi)的成分占比平均值I和峰值成分占比值J ;根據(jù)成分占比平均值和峰值成分占比值訓(xùn)練出m和P值,獲取成分占比閾值曲線 Z,Z = J,I<J<=mI,m>l;Z = pJ,J>mI,p<l��。
10.根據(jù)權(quán)利要求6或7所述DDOS監(jiān)測(cè)系統(tǒng)���,其中 相似度分析過(guò)濾器獲取設(shè)定時(shí)間區(qū)域內(nèi)的平均基站距離總和D和設(shè)定時(shí)間區(qū)域內(nèi)的實(shí)際最小距離總和T ;根據(jù)平均基站距離總和值和實(shí)際最小距離總和值訓(xùn)練出g和y值,獲取基站之間距離總和閾值X���,X = T, D > T >= gD, g < I �����;X = yT, T < gD, y > I0
全文摘要
本發(fā)明公開(kāi)了監(jiān)測(cè)小流量DDOS攻擊的方法與系統(tǒng)�。針對(duì)現(xiàn)有的DDOS檢測(cè)技術(shù)成本高、實(shí)施復(fù)雜�����、誤判率高�,無(wú)法針對(duì)那些瞄準(zhǔn)應(yīng)用層的DDOS作出響應(yīng)等問(wèn)題,提出了集成DPI技術(shù)的監(jiān)測(cè)方案����,采用基線分析+成分分析+相似度分析方法建立正常使用模型,對(duì)特征進(jìn)行精確匹配以檢測(cè)小流量攻擊和應(yīng)用層攻擊��,在運(yùn)營(yíng)商網(wǎng)絡(luò)一點(diǎn)部署�、全面覆蓋,提高了檢測(cè)的精準(zhǔn)性�。
文檔編號(hào)H04L12/26GK102821081SQ201110155058
公開(kāi)日2012年12月12日 申請(qǐng)日期2011年6月10日 優(yōu)先權(quán)日2011年6月10日
發(fā)明者陸小銘, 曹維華, 余勇昌, 朱華虹 申請(qǐng)人:中國(guó)電信股份有限公司