專利名稱:針對DNS服務(wù)的DDoS攻擊的檢測方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種針對DNS服務(wù)的DDoS攻擊的檢測方法和系統(tǒng)�����。
背景技術(shù):
DNS (domain name system,域名系統(tǒng))是Internet上最為關(guān)鍵的基礎(chǔ)設(shè)施之一�����,其主要作用是提供主機名稱和IP地址之間的轉(zhuǎn)換�,從而保障其它網(wǎng)絡(luò)應(yīng)用(如網(wǎng)頁瀏覽、電子郵件)的順利執(zhí)行�����。由于DNS協(xié)議設(shè)計之初存在著缺陷以及DNS服務(wù)器自身存在查詢能力有限的缺點,近年來DNS頻頻成為黑客發(fā)動分布式拒絕攻擊的目標��,其中既包括互聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施�����,也包括各大網(wǎng)站���、公司的授權(quán)域名服務(wù)器��。根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的網(wǎng)絡(luò)安全年度報告��,DDoS (Distributed Denial of Service,分布式拒 絕服務(wù))攻擊已經(jīng)成為DNS所面臨的最大安全威脅之一���。基于DNS的DDoS攻擊有兩種方式���,一是查詢式攻擊(又稱欺騙式攻擊),另一種是反彈式攻擊���。基于DNS的查詢DDoS攻擊的原理和特征是首先攻擊者通過一個或者多個控制臺向網(wǎng)絡(luò)上眾多傀儡主機發(fā)出攻擊指令�����,眾多的傀儡主機在接收到控制臺攻擊指令以后按照攻擊的要求構(gòu)造大量的虛假源IP地址的DNS請求包并向目標DNS服務(wù)器發(fā)送,當(dāng)許多的域名都映射到目標DNS服務(wù)器時���,目標DNS服務(wù)器會收到大量的網(wǎng)頁連接報文���,導(dǎo)致其資源耗盡甚至系統(tǒng)崩潰而無法響應(yīng)正常的請求����。這些偽造源IP地址在目標DNS服務(wù)器前匯聚就形成DDoS攻擊流。當(dāng)服務(wù)器遭受到攻擊時����,這些隨機偽造的攻擊數(shù)據(jù)包經(jīng)過DNS服務(wù)器解析以后的結(jié)果絕大多數(shù)都為“解析失敗”。而在正常查詢情況下��,大多數(shù)查詢域名來自用戶在瀏覽器地址欄的輸入或者相應(yīng)網(wǎng)頁上的點擊訪問產(chǎn)生�����,其為錯誤域名的比例很小����。基于DNS的反彈DDoS攻擊的原理和特征是首先攻擊者通過一個或者多個控制臺向網(wǎng)絡(luò)上眾多傀儡主機發(fā)出攻擊指令����,傀儡主機在接收到命令后����,偽造受害DNS的IP地址向互聯(lián)網(wǎng)上大量開放遞歸DNS服務(wù)器(或者開放遞歸DNS解析器)發(fā)送DNS查詢請求包���。由于開放遞歸DNS服務(wù)器并不對請求包進行地址真實性驗證����,因此都會進行應(yīng)答�。這樣所有的應(yīng)答包會在受攻擊DNS服務(wù)器處形成匯聚,形成DNS反彈拒絕服務(wù)流���,堵塞受害DNS服務(wù)器的網(wǎng)絡(luò)���,最終形成DDoS攻擊。由于DNS協(xié)議請求包和應(yīng)答包有成對出現(xiàn)的規(guī)律��,因此當(dāng)DNS反彈DDoS攻擊發(fā)生時���,應(yīng)答包的數(shù)目會明顯多于請求包����。目前,針對DNS服務(wù)的DDoS攻擊還沒有有效的解決方法?,F(xiàn)有的DDoS攻擊檢測和防御不能滿足DNS服務(wù)保護的要求,例如�����,H. Tsunoda等人提出通過對向外網(wǎng)發(fā)送的數(shù)據(jù)包進行信息提取����,并根據(jù)該信息對返回包進行驗證的方法實現(xiàn)對一般反彈DDoS攻擊的檢測����。該方法簡單且有效,但具體應(yīng)用到防御DNS反彈DDoS攻擊時應(yīng)該選取什么特征作為信息�����,沒有進一步闡述���。Fanglu Guo等人提出了在DNS服務(wù)器前面布置一個DNS代理����,通過使用cookie技術(shù)和源端進行通信的方法來識別偽造地址攻擊包的方法���。該方法在檢驗偽造地址包上具有較高的正確率���,但缺點也很明顯�����,由于其對收到的每個包都要進行cookie計算����,容易遭受基于cookie驗證的DDoS攻擊�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種針對DNS服務(wù)的DDoS攻擊的檢測方法和系統(tǒng)���,其通過DNS服務(wù)端數(shù)據(jù)的采集和分析����,使用非參數(shù)自適應(yīng)CUSUM方法進行檢測�,能快速高效地檢測出當(dāng)前是否發(fā)生查詢DDoS攻擊或反彈DDoS攻擊,并及時發(fā)出警報��。本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的一種針對DNS服務(wù)的DDoS攻擊的檢測方法�,其特征在于�,其包括以下步 驟步驟一�,采集受保護DNS服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù);步驟二���,對采集的網(wǎng)絡(luò)數(shù)據(jù)���,計算從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包總數(shù),并轉(zhuǎn)向步驟三���;同時計算從DNS服務(wù)器流出的解析后的發(fā)往外網(wǎng)的應(yīng)答數(shù)據(jù)流中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù)�,并轉(zhuǎn)向步驟四��;步驟三��,使用非參數(shù)自適應(yīng)CUSUM方法對步驟二的計算結(jié)果進行反彈DDOS攻擊檢測���,若檢測到反彈DDOS攻擊,則轉(zhuǎn)向步驟五����;步驟四,使用非參數(shù)自適應(yīng)CUSUM方法對步驟二的計算結(jié)果進行查詢DDOS攻擊檢測��,若檢測到查詢DDOS攻擊,則轉(zhuǎn)向步驟五��;步驟五�����,若檢測到反彈DDOS攻擊或查詢DDoS攻擊��,則生成報警信息并發(fā)出警報�����,報警信息中包含DDoS攻擊的發(fā)生時間以及攻擊的類型信息����。優(yōu)選地,所述步驟三包括以下步驟步驟三i^一 反彈DDOS攻擊數(shù)據(jù)流特征的選取�����,即為步驟二中得到的從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包的總數(shù)��;步驟三十二 非參數(shù)自適應(yīng)⑶SUM方法序列模型的建立���;步驟三十三閾值的自適應(yīng)調(diào)整���;步驟三十四進行反彈DDOS攻擊的檢測���。優(yōu)選地,所述步驟四包括以下步驟步驟四i^一 查詢DDOS攻擊數(shù)據(jù)流特征的選取�����,即為步驟二中得到的應(yīng)答包中域名解析成功和失敗情況下數(shù)據(jù)包的總數(shù)����;步驟四十二 非參數(shù)自適應(yīng)⑶SUM方法序列模型的建立;步驟四十三閾值的自適應(yīng)調(diào)整�;步驟四十四進行查詢DDOS攻擊的檢測。優(yōu)選地��,所述步驟五中DDoS攻擊的發(fā)生時間通過設(shè)置時間間隔閾值的方法進行分析獲取�����。本發(fā)明還提供一種針對DNS服務(wù)的DDoS攻擊的檢測系統(tǒng)�����,其特征在于����,其包括數(shù)據(jù)處理模塊、攻擊檢測模塊和報警模塊���,其中所述數(shù)據(jù)處理模塊與一個交換機端口連接��,負責(zé)DNS服務(wù)器上數(shù)據(jù)的采集和處理���,統(tǒng)計出一個時間片內(nèi)的數(shù)據(jù)流量信息;所述攻擊檢測模塊連接所述數(shù)據(jù)處理模塊�����,檢測DNS服務(wù)器當(dāng)前是否受到反彈DDOS攻擊或查詢DDOS攻擊��;所述報警模塊連接所述攻擊檢測模塊�����,若檢測到反彈DDOS攻擊或查詢DDOS攻擊��,則發(fā)出報警�,并報告攻擊的發(fā)生時間以及攻擊的類型信息。優(yōu)選地,所述數(shù)據(jù)處理模塊包括數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊�����,數(shù)據(jù)采集模塊用于采集并獲取DNS服務(wù)器上的數(shù)據(jù)信息�����;數(shù)據(jù)分析模塊用于統(tǒng)計一個時間片內(nèi)DNS服務(wù)器上的總體訪問流量��,計算出從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包總數(shù)��,以及發(fā)往外網(wǎng)的應(yīng)答包的流量情況��,計算這部分應(yīng)答包中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù)����。優(yōu)選地,所述攻擊檢測模塊包括第一檢測模塊和第二檢測模塊��,第一檢測模塊測試DNS服務(wù)器當(dāng)前是否受到反彈DDOS攻擊����,第二檢測模塊測試DNS服務(wù)器當(dāng)前是否受到查詢DDOS攻擊����;第一檢測模塊和第二檢測模塊都使用非參數(shù)自適應(yīng)CUSUM方法進行檢測��。本發(fā)明的積極進步效果在于一��、本發(fā)明提取的網(wǎng)絡(luò)數(shù)據(jù)流特征信息簡單����,數(shù)據(jù)處理開銷小��。二�����、本發(fā)明采用非參數(shù)自適應(yīng)CUSUM方法進行攻擊的檢測取得較好的效果����,實現(xiàn)了較高的檢測準確率,可在DDOS攻擊時及時報警���,系統(tǒng)的誤報率和漏報率較低����;并可檢測出具體的DDOS攻擊的類型���,為采取有效防御措施提供技術(shù)支持�。三、本發(fā)明采用自適應(yīng)的 閾值調(diào)整措施���,本發(fā)明能夠適應(yīng)更復(fù)雜的網(wǎng)絡(luò)檢測環(huán)境��。
圖I為本發(fā)明針對DNS服務(wù)的DDoS攻擊的檢測方法的流程圖���。圖2為本發(fā)明針對DNS服務(wù)的DDoS攻擊的檢測系統(tǒng)的原理框圖。
具體實施例方式下面結(jié)合附圖給出本發(fā)明較佳實施例�,以詳細說明本發(fā)明的技術(shù)方案。非參數(shù)自適應(yīng)⑶SUM (Cumulative Sum,累積和)方法是一種序貫分析法�����,由劍橋大學(xué)的E. S. Page首先提出���,它可以檢測到一個統(tǒng)計過程均值的變化�����。非參數(shù)自適應(yīng)⑶SUM方法基于這一事實如果有變化發(fā)生���,參數(shù)隨機序列的概率分布將會發(fā)生變化�。通常CUSUM法需要一個隨機序列的參數(shù)模型��,以便可以用概率密度函數(shù)來監(jiān)測序列��。但網(wǎng)絡(luò)是一個動態(tài)而復(fù)雜的實體����,模擬隨機序列比較困難�����。而非參數(shù)自適應(yīng)CUSUM方法不是具體的模型��,它的主要思想是累積比正常運行情況下的平均水平高的值��。這一方法更加適合分析因特網(wǎng)的數(shù)據(jù)流量�����,它能以連續(xù)方式監(jiān)測隨機變量�����,從而達到實時檢測的目的��。如圖I所示,本發(fā)明針對DNS服務(wù)的DDoS攻擊的檢測方法包括以下步驟步驟一�,采集受保護DNS服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù)。從DNS服務(wù)器端交換機的鏡像端口采集服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)流�����,并存入到數(shù)據(jù)文件中��。步驟二�����,以時間片為單位來處理捕獲的數(shù)據(jù)包信息�����,分析每個時間片內(nèi)的數(shù)據(jù)包流量信息,這些流量信息包括查詢數(shù)據(jù)包的數(shù)量,源IP地址和目的IP地址的統(tǒng)計信息�,數(shù)據(jù)包類型(請求或應(yīng)答)統(tǒng)計信息等�。檢測一個時間片內(nèi)應(yīng)答響應(yīng)包和請求包的流量信息����;并檢測從DNS服務(wù)器流出的解析后的由內(nèi)部DNS服務(wù)器發(fā)往外網(wǎng)的應(yīng)答數(shù)據(jù)流信息,對于這部分向外應(yīng)答包���,檢查其DNS報頭的標志字段里的后四個bit (rcode)的值����,如果其值為0,說明域名解析失?��。蝗绻渲禐?�����,則說明域名解析成功����。根據(jù)檢測完成相關(guān)的計算對采集的網(wǎng)絡(luò)數(shù)據(jù),計算從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包總數(shù)����,并轉(zhuǎn)向步驟三;同時計算從DNS服務(wù)器流出的解析后的發(fā)往外網(wǎng)的應(yīng)答數(shù)據(jù)流中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù)�,并轉(zhuǎn)向步驟四。具體地�����,本實施例中預(yù)設(shè)一個時間片為20秒,以20秒為單位處理網(wǎng)絡(luò)數(shù)據(jù)��。步驟三��,使用非參數(shù)自適應(yīng)CUSUM方法對步驟二的計算結(jié)果進行反彈DDOS攻擊檢測�,若檢測到反彈DDOS攻擊,則轉(zhuǎn)向步驟五���。(I)反彈DDOS攻擊數(shù)據(jù)流特征的選取���,即為步驟二中得到的從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包的總數(shù)。設(shè)ans是DNS服務(wù)器上統(tǒng)計的從外網(wǎng)返回的應(yīng)答包總數(shù)���;ask是DNS服務(wù)器上統(tǒng)計的向外網(wǎng)發(fā)送的請求包總數(shù)����。序列{sk[n], η = 0���,1��,2���,···}是一個時間片內(nèi)ans與ask的比值���,則 sk [n] =ans [η] /ask [η], (η = O, I, 2,…)。(2)非參數(shù)自適應(yīng)⑶SUM方法序列模型的建立�。首先,建立基本的序列模型�。當(dāng)反彈DDOS攻擊發(fā)生時,除sk[n]值增大外�,進出DNS服務(wù)器的數(shù)據(jù)量也會激增,而非攻擊情況引起的sk[n]比例值增加并不會伴隨數(shù)據(jù)量的激增����。使用對sk[n]進行加權(quán)處理如下ws[n] = sk [η] * (ans [n] +ask [η]), ws [n]表示在一個時間片內(nèi)得到的響應(yīng)和請求數(shù)據(jù)包數(shù)加權(quán)比例���。加權(quán)計算���,放大了攻擊發(fā)生時sk[n]值得變化與正常情況下sk[n]變化的差異,可以盡量減少或避免誤報�����。其次�,消除網(wǎng)絡(luò)規(guī)模相關(guān)性。由于序列ws[n]與網(wǎng)絡(luò)的規(guī)模、主機數(shù)量以及取樣的時間區(qū)間有密切的關(guān)系�。為減少上述因素的影響,進行下面的變換如下式(I)
IF[n]= (I- ) * F[n-1] + o' * ws[n]- 」.................................式(I)
IE[n] = ws[n]/F[n]初始化F
= 0 ;其中參數(shù)α是(0���,I)區(qū)間的自定義變量,在應(yīng)用中����,參數(shù)α應(yīng)該根據(jù)實際網(wǎng)絡(luò)情況定義��,例如根據(jù)長期的網(wǎng)絡(luò)流量采集數(shù)據(jù)規(guī)定�����。這樣����,序列Ε[η]只與當(dāng)前的數(shù)據(jù)包的傳輸狀態(tài)有關(guān),是一組穩(wěn)定的獨立的隨機過程���。在正常情況下��,ws[n]與F[η]差值不會太大�,E[η]的期望值大于O且接近I ;當(dāng)發(fā)生攻擊時����,因為有大量攻擊包注入�,ws[n]會急劇增大��,會導(dǎo)致ws [η]與F[n]差值很大�,從而E[n]值將持續(xù)增加。然后�,變換模型,使之適用于非參數(shù)自適應(yīng)⑶SUM方法�。非參數(shù)自適應(yīng)⑶SUM方法的一個假設(shè)條件是正常情況下隨機序列期望值小于0,當(dāng)有異常發(fā)生時變成正數(shù)��。因此需要再次變換�,設(shè)MAX是正常情況下E [η]期望的最大值,變換后得到E2[n] =E[n]-MAX0這樣{E2[n],n = O, I, 2�,···}是一個平均值為負數(shù)的隨機序列{E2[n]}����,在發(fā)生攻擊的情況下,{E2[n]���,n = O, 1,2, ···}驟增并變?yōu)檎?��。最后,完成序列|旲型的建立。為判斷是否發(fā)生DNS反彈DDOS攻擊�,定義遞歸函數(shù)如下式(2)
i νΓη]= (y[n-11 + E2[n]),、r L」」 L」.....................................式(2)
[>'
= ο其中當(dāng)y>0時y+ = y,當(dāng)yi^O時取y+=0���。y[n]就是檢測反彈DDOS攻擊的檢測序列���。( 3 )閾值的自適應(yīng)取值。
設(shè)第η個檢測序列Y[n],對應(yīng)的判定閾值是Nn, Νη=( β+1) μ n_lt)其中β是自定義參數(shù)�����,在
之間�����。是前η-l個檢測序列y[i] (i = O, I,…�����,n_l)使用指數(shù)加權(quán)平均計算得到的均值�,μ , =(1-/) μ ,. ! +廣i["J,其中Y是自定義參數(shù),在[O, I]之間�。在應(yīng)用中,參數(shù)β和Y也應(yīng)該根據(jù)實際網(wǎng)絡(luò)情況定義��。(4)進行反彈DDOS攻擊的檢測。將{y[n]}與預(yù)先設(shè)定的閾值Nn比較�����,得到定義DNS服務(wù)器流量異常的判斷函數(shù)如下式(3)
權(quán)利要求
1.一種針對DNS服務(wù)的DDoS攻擊的檢測方法�,其特征在于,其包括以下步驟 步驟一���,采集受保護DNS服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù)�����; 步驟二��,對采集的網(wǎng)絡(luò)數(shù)據(jù)�����,計算從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包總數(shù),并轉(zhuǎn)向步驟三����;同時計算從DNS服務(wù)器流出的解析后的發(fā)往外網(wǎng)的應(yīng)答數(shù)據(jù)流中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù),并轉(zhuǎn)向步驟四����; 步驟三����,使用非參數(shù)自適應(yīng)CUSUM方法對步驟二的計算結(jié)果進行反彈DDOS攻擊檢測�,若檢測到反彈DDOS攻擊,則轉(zhuǎn)向步驟五����; 步驟四,使用非參數(shù)自適應(yīng)CUSUM方法對步驟二的計算結(jié)果進行查詢DDOS攻擊檢測�����,若檢測到查詢DDOS攻擊�,則轉(zhuǎn)向步驟五; 步驟五�����,若檢測到反彈DDOS攻擊或查詢DDoS攻擊�,則生成報警信息并發(fā)出警報,報警 信息中包含DDoS攻擊的發(fā)生時間以及攻擊的類型信息�。
2.如權(quán)利要求I所述的針對DNS服務(wù)的DDoS攻擊的檢測方法,其特征在于���,所述步驟三包括以下步驟 步驟三十一反彈DDOS攻擊數(shù)據(jù)流特征的選取���,即為步驟二中得到的從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包的總數(shù)��; 步驟三十二 非參數(shù)自適應(yīng)⑶SUM方法序列模型的建立�����; 步驟三十三閾值的自適應(yīng)調(diào)整�����; 步驟三十四進行反彈DDOS攻擊的檢測�����。
3.如權(quán)利要求I所述的針對DNS服務(wù)的DDoS攻擊的檢測方法���,其特征在于,所述步驟四包括以下步驟 步驟四十一查詢DDOS攻擊數(shù)據(jù)流特征的選取�,即為步驟二中得到的應(yīng)答包中域名解析成功和失敗情況下數(shù)據(jù)包的總數(shù); 步驟四十二 非參數(shù)自適應(yīng)CUSUM方法序列模型的建立��; 步驟四十三閾值的自適應(yīng)調(diào)整�; 步驟四十四進行查詢DDOS攻擊的檢測。
4.如權(quán)利要求I所述的針對DNS服務(wù)的DDoS攻擊的檢測方法��,其特征在于��,所述步驟五中DDoS攻擊的發(fā)生時間通過設(shè)置時間間隔閾值的方法進行分析獲取����。
5.—種針對DNS服務(wù)的DDoS攻擊的檢測系統(tǒng),其特征在于�,其包括數(shù)據(jù)處理模塊、攻擊檢測模塊和報警模塊����,其中 所述數(shù)據(jù)處理模塊與一個交換機端口連接,負責(zé)DNS服務(wù)器上數(shù)據(jù)的采集和處理�����,統(tǒng)計出一個時間片內(nèi)的數(shù)據(jù)流量信息��; 所述攻擊檢測模塊連接所述數(shù)據(jù)處理模塊�,檢測DNS服務(wù)器當(dāng)前是否受到反彈DDOS攻擊或查詢DDOS攻擊; 所述報警模塊連接所述攻擊檢測模塊���,若檢測到反彈DDOS攻擊或查詢DDOS攻擊�����,則發(fā)出報警��,并報告攻擊的發(fā)生時間以及攻擊的類型信息��。
6.如權(quán)利要求5所述的針對DNS服務(wù)的DDoS攻擊的檢測系統(tǒng)����,其特征在于,所述數(shù)據(jù)處理模塊包括數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊�����,數(shù)據(jù)采集模塊用于采集并獲取DNS服務(wù)器上的數(shù)據(jù)信息���;數(shù)據(jù)分析模塊用于統(tǒng)計一個時間片內(nèi)DNS服務(wù)器上的總體訪問流量�,計算出從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包總數(shù)����,以及發(fā)往外網(wǎng)的應(yīng)答包的流量情況,計算這部分應(yīng)答包中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù)���。
7.如權(quán)利要求5所述的針對DNS服務(wù)的DDoS攻擊的檢測系統(tǒng)�,其 特征在于,所述攻擊檢測模塊包括第一檢測模塊和第二檢測模塊����,第一檢測模塊測試DNS服務(wù)器當(dāng)前是否受到反彈DDOS攻擊��,第二檢測模塊測試DNS服務(wù)器當(dāng)前是否受到查詢DDOS攻擊���;第一檢測模塊和第二檢測模塊都使用非參數(shù)自適應(yīng)CUSUM方法進行檢測���。
全文摘要
本發(fā)明公開了一種針對DNS服務(wù)的DDoS攻擊的檢測方法和系統(tǒng),該檢測方法以下步驟步驟一���,采集受保護DNS服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù)��;步驟二����,計算從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請求包總數(shù)���,并轉(zhuǎn)向步驟三�����;步驟三���,使用非參數(shù)自適應(yīng)CUSUM方法檢測反彈DDOS攻擊��,若檢測到反彈DDOS攻擊���,則轉(zhuǎn)向步驟五;步驟四���,使用非參數(shù)自適應(yīng)CUSUM方法檢測查詢DDOS攻擊��,若檢測到查詢DDOS攻擊���,則轉(zhuǎn)向步驟五;步驟五��,若檢測到反彈DDOS攻擊或查詢DDoS攻擊��,則生成報警信息并發(fā)出警報�。本發(fā)明能快速高效地檢測出當(dāng)前是否發(fā)生查詢DDoS攻擊或反彈DDoS攻擊。
文檔編號H04L29/06GK102882880SQ201210381010
公開日2013年1月16日 申請日期2012年10月10日 優(yōu)先權(quán)日2012年10月10日
發(fā)明者顧曉清, 倪彤光, 李玉 申請人:常州大學(xué)