專(zhuān)利名稱(chēng):檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,具體而言,涉及一種檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法及系統(tǒng)。
背景技術(shù):
分布式拒絕服務(wù)攻擊(Distributed Denial of Service, DDoS)是網(wǎng)絡(luò)安全的重大威脅之一。這種攻擊曾經(jīng)使得世界上幾家著名電子商務(wù)提供商的站點(diǎn)(如雅虎、eBay、亞馬遜等)陷入癱瘓長(zhǎng)達(dá)數(shù)小時(shí)甚至數(shù)天,造成了巨大的經(jīng)濟(jì)損失。拒絕服務(wù)攻擊非常容易發(fā)起,并不像其它攻擊一樣需要有一定技術(shù)基礎(chǔ)。拒絕服務(wù)攻擊容易實(shí)施的根本原因是TCP/IP協(xié)議的脆弱性。TCP/IP協(xié)議是因特網(wǎng)的基石,它是按照在開(kāi)放和彼此信任的群體中使用來(lái)設(shè)計(jì)的,在實(shí)現(xiàn)上力求效率,而沒(méi)·有考慮安全因素(如數(shù)據(jù)認(rèn)證、完整性、保密性服務(wù)等)。例如,網(wǎng)絡(luò)擁塞控制在TCP層實(shí)現(xiàn),并且只能在終端結(jié)點(diǎn)實(shí)施控制,這就使得大量報(bào)文可以不受約束地到達(dá)終端結(jié)點(diǎn);路由器可以只根據(jù)目的地址決定路由,用戶(hù)可以任意改變?cè)碔P地址,造成地址欺騙攻擊(IPSpoofing)容易實(shí)施,拒絕服務(wù)攻擊正是利用這個(gè)弱點(diǎn),使得拒絕服務(wù)攻擊的真實(shí)源頭難以追蹤、拒絕服務(wù)攻擊報(bào)文的識(shí)別異常困難。傳統(tǒng)的拒絕服務(wù)攻擊從一個(gè)攻擊源攻擊一個(gè)目標(biāo),可以很容易地根據(jù)流量來(lái)識(shí)另IJ。但近年來(lái),拒絕服務(wù)攻擊已經(jīng)演變?yōu)橥瑫r(shí)從多個(gè)攻擊源攻擊一個(gè)目標(biāo)的形式,即分布式拒絕服務(wù)攻擊。DDoS呈現(xiàn)的特征與正常的網(wǎng)絡(luò)訪問(wèn)高峰非常相似,特別是攻擊者采用偽造、隨機(jī)變化報(bào)文源IP地址、隨機(jī)變化攻擊報(bào)文內(nèi)容等辦法,使得DDoS的攻擊特征難以提取,攻擊源的位置難以確定。同時(shí)高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)?lái)了方便,也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí),黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí),總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器,因?yàn)榻?jīng)過(guò)路由器的跳數(shù)少,效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的,大城市之間更可以達(dá)到2. 5G的連接,這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起,攻擊者的傀儡機(jī)位置可以在分布在更大的范圍,選擇起來(lái)更靈活了。
發(fā)明內(nèi)容
本發(fā)明提供一種檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法及系統(tǒng),用以識(shí)別出拒絕服務(wù)攻擊并進(jìn)行防御。為達(dá)到上述目的,本發(fā)明提供了一種檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法,其包括以下步驟檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的報(bào)文數(shù)量和IP地址,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率;判斷報(bào)文數(shù)量是否大于設(shè)定報(bào)文閾值并且新IP地址數(shù)量增加速率是否大于設(shè)定速率閾值,若是,則判定為是泛洪DDoS拒絕服務(wù)攻擊,并將探測(cè)到的新IP地址存放于數(shù)據(jù)庫(kù)的非法IP記錄集中;對(duì)非法IP記錄集中的非法IP地址進(jìn)行封堵。較佳的,上述方法還包括以下步驟將檢測(cè)到的網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊記錄在日志上。較佳的,上述方法在檢測(cè)初始化時(shí),對(duì)合法IP集中的合法準(zhǔn)許訪問(wèn)IP地址進(jìn)行重置,同時(shí)清空非法IP記錄集。為達(dá)到上述目的,本發(fā)明還提供了一種檢測(cè)與防御分布式拒絕服務(wù)攻擊的系統(tǒng),其包括 檢測(cè)模塊,用于檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的報(bào)文數(shù)量和IP地址,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率;判斷模塊,用于判斷報(bào)文數(shù)量是否大于設(shè)定報(bào)文閾值并且新IP地址數(shù)量增加速率是否大于設(shè)定速率閾值,若是,則判定為是泛洪DDoS拒絕服務(wù)攻擊,并將探測(cè)到的新IP地址存放于數(shù)據(jù)庫(kù)的非法IP記錄集中;處理模塊,用于對(duì)非法IP記錄集中的非法IP地址進(jìn)行封堵。較佳的,上述系統(tǒng)還包括記錄模塊,用于將檢測(cè)到的網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊記錄在日志上。較佳的,上述系統(tǒng)在檢測(cè)模塊初始化時(shí),對(duì)合法IP集中的合法準(zhǔn)許訪問(wèn)IP地址進(jìn)行重置,同時(shí)清空非法IP記錄集。在上述實(shí)施例中,對(duì)網(wǎng)絡(luò)中流經(jīng)的信息流量進(jìn)行抽樣采樣和分析,計(jì)算出信息流報(bào)文中新增IP的速率大小,同時(shí)判別報(bào)文數(shù)量和新IP地址數(shù)量增加速率是否超過(guò)了正常閾值,進(jìn)而判斷出是否是拒絕服務(wù)攻擊,同時(shí)根據(jù)辨別出的新IP地址將源地址是非法IP的報(bào)文加以屏蔽處理,進(jìn)行防御泛洪分布式拒絕服務(wù)攻擊,達(dá)到維護(hù)網(wǎng)絡(luò)安全的目的。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖I為本發(fā)明一實(shí)施例的檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法流程圖;圖2為本發(fā)明一實(shí)施例的檢測(cè)與防御分布式拒絕服務(wù)攻擊的系統(tǒng)框圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有付出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊的檢測(cè)關(guān)鍵在于特征的選擇。一般認(rèn)為,網(wǎng)絡(luò)中存在以下三種網(wǎng)絡(luò)流量情況正常流量、正常訪問(wèn)高峰和發(fā)生DDoS攻擊的流量情況。經(jīng)過(guò)研究,我們發(fā)現(xiàn)正常流量和正常訪問(wèn)高峰以及DDoS狀況時(shí)候的報(bào)文數(shù)量的關(guān)系是單位時(shí)間內(nèi)正常訪問(wèn)高峰和DDoS時(shí)候的報(bào)文顯著的多于正常流量時(shí)候的報(bào)文數(shù)量,由此可以將正常流量和其他兩種情況進(jìn)行區(qū)別,但是正常訪問(wèn)高峰和發(fā)生DDoS這兩種情況單單根據(jù)單位時(shí)間內(nèi)報(bào)文數(shù)量則無(wú)法進(jìn)行分辨。但是我們還研究發(fā)現(xiàn),在這三種情況中,單位時(shí)間之內(nèi)到達(dá)目標(biāo)系統(tǒng)的報(bào)文新IP地址的數(shù)量是不一樣的。新IP地址是指前一段時(shí)間內(nèi)沒(méi)有出現(xiàn)過(guò)的IP地址。進(jìn)一步的研究表明在DDoS攻擊的時(shí)候,單位時(shí)間之內(nèi)報(bào)文的新IP地址的數(shù)量是遠(yuǎn)大于其他兩種正常而沒(méi)有受到攻擊情況下的報(bào)文數(shù)量的。假定Λ Pl代表單位時(shí)間內(nèi)正常流量時(shí)候的新增報(bào)文IP數(shù)量,Δ Ρ2代表單位時(shí)間內(nèi)正常訪問(wèn)高峰時(shí)候的新增報(bào)文IP數(shù)量,ΔΡ3代表單位時(shí)間內(nèi)受到泛洪DDoS攻擊時(shí)候的 新增報(bào)文IP數(shù)量,那么我們有ΛΡ3>> ΔΡ2> ΛΡ1。本發(fā)明實(shí)施例的檢測(cè)方法主要是基于這個(gè)思路。在本發(fā)明的實(shí)施例中,在不同的時(shí)間片內(nèi),對(duì)于信息流進(jìn)行采樣和分析,協(xié)同數(shù)據(jù)庫(kù),如果檢測(cè)到單位時(shí)間之內(nèi)(一個(gè)時(shí)間片內(nèi))報(bào)文數(shù)量超過(guò)閾值并且報(bào)文的新IP地址遠(yuǎn)多于正常情況(閾值),就判定為是泛洪DDoS攻擊。然后進(jìn)行相應(yīng)的后續(xù)防御處理。圖I為本發(fā)明一實(shí)施例的檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法流程圖。如圖I所示,該方法包括以下步驟S102,檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的報(bào)文數(shù)量和IP地址,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率;S104,判斷報(bào)文數(shù)量是否大于設(shè)定報(bào)文閾值并且新IP地址數(shù)量增加速率是否大于設(shè)定速率閾值,若是,則判定為是泛洪DDoS拒絕服務(wù)攻擊,并將探測(cè)到的新IP地址存放于數(shù)據(jù)庫(kù)的非法IP記錄集中;S106,對(duì)非法IP記錄集中的非法IP地址進(jìn)行封堵。在本實(shí)施例中,對(duì)網(wǎng)絡(luò)中流經(jīng)的信息流量進(jìn)行抽樣采樣和分析,計(jì)算出信息流報(bào)文中新增IP的速率大小,同時(shí)判別報(bào)文數(shù)量和新IP地址數(shù)量增加速率是否超過(guò)了正常閾值,進(jìn)而判斷出是否是拒絕服務(wù)攻擊,同時(shí)根據(jù)辨別出的新IP地址將源地址是非法IP的報(bào)文加以屏蔽處理,進(jìn)行防御泛洪分布式拒絕服務(wù)攻擊,達(dá)到維護(hù)網(wǎng)絡(luò)安全的目的。在上述實(shí)施例中,具體應(yīng)用的數(shù)據(jù)庫(kù)可以是時(shí)下流行的數(shù)據(jù)庫(kù),并且為了適應(yīng)企業(yè)級(jí)的環(huán)境,可以架設(shè)不止一個(gè)數(shù)據(jù)庫(kù)服務(wù)器。在檢測(cè)工作的時(shí)間片內(nèi),會(huì)不斷訪問(wèn)數(shù)據(jù)庫(kù),來(lái)探明檢測(cè)到的IP地址是否為合法IP。當(dāng)檢測(cè)并判定是網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊的時(shí)候,將非法IP地址傳送插入到數(shù)據(jù)庫(kù)中,以增加數(shù)據(jù)庫(kù)中非法IP集的內(nèi)容。例如,上述方法還包括以下步驟將檢測(cè)到的網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊記錄在曰志上。例如,上述方法在檢測(cè)初始化時(shí),對(duì)合法IP集中的合法準(zhǔn)許訪問(wèn)IP地址進(jìn)行重置,同時(shí)清空非法IP記錄集。圖2為本發(fā)明一實(shí)施例的檢測(cè)與防御分布式拒絕服務(wù)攻擊的系統(tǒng)框圖。如圖2所示,其包括
檢測(cè)模塊10,用于檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的報(bào)文數(shù)量和IP地址,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率;判斷模塊20,用于判斷報(bào)文數(shù)量是否大于設(shè)定報(bào)文閾值并且新IP地址數(shù)量增加速率是否大于設(shè)定速率閾值,若是,則判定為是泛洪DDoS拒絕服務(wù)攻擊,并將探測(cè)到的新IP地址存放于數(shù)據(jù)庫(kù)的非法IP記錄集中;處理模塊30,用于對(duì)非法IP記錄集中的非法IP地址進(jìn)行封堵。在本實(shí)施例中,對(duì)網(wǎng)絡(luò)中流經(jīng)的信息流量進(jìn)行抽樣采樣和分析,計(jì)算出信息流報(bào)文中新增IP的速率大小,同時(shí)判別報(bào)文數(shù)量和新IP地址數(shù)量增加速率是否超過(guò)了正常閾值,進(jìn)而判斷出是否是拒絕服務(wù)攻擊,同時(shí)根據(jù)辨別出的新IP地址將源地址是非法IP的報(bào)文加以屏蔽處理,進(jìn)行防御泛洪分布式拒絕服務(wù)攻擊,達(dá)到維護(hù)網(wǎng)絡(luò)安全的目的。在上述實(shí)施例中,具體應(yīng)用的數(shù)據(jù)庫(kù)可以是時(shí)下流行的數(shù)據(jù)庫(kù),并且為了適應(yīng)企 業(yè)級(jí)的環(huán)境,可以架設(shè)不止一個(gè)數(shù)據(jù)庫(kù)服務(wù)器。在檢測(cè)工作的時(shí)間片內(nèi),會(huì)不斷訪問(wèn)數(shù)據(jù)庫(kù),來(lái)探明檢測(cè)到的IP地址是否為合法IP。當(dāng)檢測(cè)并判定是網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊的時(shí)候,將非法IP地址傳送插入到數(shù)據(jù)庫(kù)中,以增加數(shù)據(jù)庫(kù)中非法IP集的內(nèi)容。例如,上述系統(tǒng)還包括記錄模塊,用于將檢測(cè)到的網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊記錄在日志上。例如,上述系統(tǒng)在檢測(cè)模塊初始化時(shí),對(duì)合法IP集中的合法準(zhǔn)許訪問(wèn)IP地址進(jìn)行重置,同時(shí)清空非法IP記錄集。需要說(shuō)明的是到目前為止,進(jìn)行泛洪DDoS攻擊的防御還是比較困難的。首先,這種攻擊的特點(diǎn)是它利用了 TCP/IP協(xié)議的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻擊。但是本發(fā)明實(shí)施例所提出的解決方法,能達(dá)到比較簡(jiǎn)易的、實(shí)時(shí)的而且較為準(zhǔn)確的探測(cè)出系統(tǒng)是否受到泛洪DDoS攻擊的目的。本領(lǐng)域普通技術(shù)人員可以理解附圖只是一個(gè)實(shí)施例的示意圖,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的。本領(lǐng)域普通技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述分布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括R0M、RAM、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明實(shí)施例技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法,其特征在于,包括以下步驟 檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的報(bào)文數(shù)量和IP地址,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率; 判斷所述報(bào)文數(shù)量是否大于設(shè)定報(bào)文閾值并且所述新IP地址數(shù)量增加速率是否大于設(shè)定速率閾值,若是,則判定為是泛洪DDoS拒絕服務(wù)攻擊,并將探測(cè)到的新IP地址存放于所述數(shù)據(jù)庫(kù)的非法IP記錄集中; 對(duì)所述非法IP記錄集中的非法IP地址進(jìn)行封堵。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,還包括以下步驟 將檢測(cè)到的網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊記錄在日志上。
3.根據(jù)權(quán)利要求I或2所述的方法,其特征在于,在檢測(cè)初始化時(shí),對(duì)所述合法IP集中的合法準(zhǔn)許訪問(wèn)IP地址進(jìn)行重置,同時(shí)清空所述非法IP記錄集。
4.一種檢測(cè)與防御分布式拒絕服務(wù)攻擊的系統(tǒng),其特征在于,包括 檢測(cè)模塊,用于檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的報(bào)文數(shù)量和IP地址,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率; 判斷模塊,用于判斷所述報(bào)文數(shù)量是否大于設(shè)定報(bào)文閾值并且所述新IP地址數(shù)量增加速率是否大于設(shè)定速率閾值,若是,則判定為是泛洪DDoS拒絕服務(wù)攻擊,并將探測(cè)到的新IP地址存放于所述數(shù)據(jù)庫(kù)的非法IP記錄集中; 處理模塊,用于對(duì)所述非法IP記錄集中的非法IP地址進(jìn)行封堵。
5.根據(jù)權(quán)利要求4所述的系統(tǒng),其特征在于,還包括 記錄模塊,用于將檢測(cè)到的網(wǎng)絡(luò)泛洪DDoS拒絕服務(wù)攻擊記錄在日志上。
6.根據(jù)權(quán)利要求4或5所述的系統(tǒng),其特征在于,在所述檢測(cè)模塊初始化時(shí),對(duì)所述合法IP集中的合法準(zhǔn)許訪問(wèn)IP地址進(jìn)行重置,同時(shí)清空所述非法IP記錄集。
全文摘要
本發(fā)明公開(kāi)了一種檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法及系統(tǒng),該方法包括以下步驟檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的報(bào)文數(shù)量和IP地址,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率;判斷報(bào)文數(shù)量是否大于設(shè)定報(bào)文閾值并且新IP地址數(shù)量增加速率是否大于設(shè)定速率閾值,若是,則判定為是泛洪DDoS拒絕服務(wù)攻擊,并將探測(cè)到的新IP地址存放于數(shù)據(jù)庫(kù)的非法IP記錄集中;對(duì)非法IP記錄集中的非法IP地址進(jìn)行封堵。
文檔編號(hào)H04L29/06GK102891829SQ20111020119
公開(kāi)日2013年1月23日 申請(qǐng)日期2011年7月18日 優(yōu)先權(quán)日2011年7月18日
發(fā)明者梁劍, 羅世新, 尹剛, 何麗, 田心 申請(qǐng)人:航天信息股份有限公司