一種防護(hù)ddos攻擊的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種防護(hù)DDOS攻擊的方法及系統(tǒng),所述方法包括:定時(shí)統(tǒng)計(jì)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值;判斷所述平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值;進(jìn)一步判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值;進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值;啟動(dòng)防火墻的DDOS攻擊防護(hù)功能。本發(fā)明通過定時(shí)檢測(cè)Ping平均延時(shí)值的方法檢測(cè)系統(tǒng)是否受到DDOS攻擊,并及時(shí)開啟防火墻DDOS攻擊防護(hù)功能,有效地提高了系統(tǒng)的運(yùn)算速度和防火墻的防護(hù)性能。
【專利說明】一種防護(hù)DDOS攻擊的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)【技術(shù)領(lǐng)域】,具體涉及一種防護(hù)DDOS攻擊的方法及系統(tǒng)。
【背景技術(shù)】
[0002]當(dāng)前,網(wǎng)絡(luò)在人們的生活中占據(jù)著舉足輕重的地位,足不出戶就可通過網(wǎng)絡(luò)進(jìn)行購(gòu)物、聊天、理財(cái),還可預(yù)定飯店、車票、賓館等,甚至還可進(jìn)行家庭工作。在享受互聯(lián)網(wǎng)給我們?nèi)粘I顜淼谋憷耐瑫r(shí),也給網(wǎng)絡(luò)攻擊者更多的可乘之機(jī),給我們的財(cái)產(chǎn)安全造成損失。
[0003]DDOS (Distributed Denial of Service)分布式拒絕服務(wù)攻擊,亦稱作洪水攻擊。DDOS的攻擊方式簡(jiǎn)單易行,攻擊目標(biāo)主要是針對(duì)服務(wù)器或者大型網(wǎng)站。如圖1所示,DDOS通過向服務(wù)器提交大量請(qǐng)求使服務(wù)器超負(fù)荷,當(dāng)服務(wù)器CPU達(dá)到滿負(fù)荷,服務(wù)器耗盡資源導(dǎo)致失去響應(yīng)而死機(jī)。服務(wù)器一旦死機(jī),將嚴(yán)重影響用戶正常的訪問,對(duì)公司、企業(yè)甚至是國(guó)家造成巨大的經(jīng)濟(jì)損失。DDOS攻擊破壞性很強(qiáng),以及它種類復(fù)雜,難以定位的特點(diǎn)成為當(dāng)前網(wǎng)絡(luò)中威脅最大的攻擊之一。
[0004]為解決上述問題,當(dāng)前很多防火墻都具有防護(hù)DDOS攻擊的功能,如圖2所示,通過開啟防火墻的DDOS攻擊檢測(cè)功能來避免服務(wù)器受到DDOS攻擊,但是卻存在諸多缺陷。例如:(I)、如果平時(shí)防火墻一直開啟DDOS攻擊防護(hù)功能,則防火墻一直需要對(duì)進(jìn)來的數(shù)據(jù)包進(jìn)行檢查,這樣會(huì)導(dǎo)致防火墻轉(zhuǎn)發(fā)包的處理速度減慢,進(jìn)而降低了防火墻的性能;(2)、如果平時(shí)防火墻并不是一直開啟DDOS攻擊防護(hù)功能,則DDOS攻擊流量不僅會(huì)占用大量的服務(wù)器資源,也會(huì)浪費(fèi)防火墻轉(zhuǎn)發(fā)攻擊流量的資源。
[0005]因此,有必要提供一種防護(hù)DDOS攻擊的方法及系統(tǒng),能夠及時(shí)開啟防火墻的DDOS攻擊防護(hù)功能,避免了防火墻一直開啟DDOS攻擊防護(hù)功能而導(dǎo)致防火墻性能降低,以及防火墻一直不開啟DDOS攻擊防護(hù)功能而導(dǎo)致服務(wù)器受到DDOS攻擊的情況發(fā)生,大幅節(jié)約了防護(hù)DDOS攻擊所使用的數(shù)據(jù)流量,有效地提高了系統(tǒng)的運(yùn)算速度。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是提供一種防護(hù)DDOS攻擊的方法及系統(tǒng),通過定時(shí)檢測(cè)Ping平均延時(shí)值的方法檢測(cè)系統(tǒng)是否受到DDOS攻擊,使得檢測(cè)DDOS攻擊所使用的數(shù)據(jù)流量大幅降低,并在檢測(cè)出系統(tǒng)受到DDOS攻擊時(shí)及時(shí)開啟防火墻DDOS攻擊防護(hù)功能,有效地提高了系統(tǒng)的運(yùn)算速度和防火墻的防護(hù)性能。
[0007]根據(jù)本發(fā)明的一個(gè)方面,提供一種防護(hù)DDOS攻擊的方法,包括以下步驟:步驟SI,統(tǒng)計(jì)定時(shí)周期內(nèi)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值;步驟S2,判斷所述平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值;步驟S3,如果所述平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值,進(jìn)一步判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值;步驟S4,如果所述平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值,進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值;步驟S5,如果當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量大于IP數(shù)據(jù)包預(yù)設(shè)值,則啟動(dòng)防火墻的DDOS攻擊防護(hù)功能;其中,m為根據(jù)服務(wù)器性能而預(yù)先設(shè)定的參數(shù)。
[0008]其中,在上述發(fā)明中,所述步驟S2包括:將步驟SI中得到的平均延時(shí)值與預(yù)設(shè)值相比較,判斷該平均延時(shí)值是否超過預(yù)設(shè)值;在所述平均延時(shí)值超過預(yù)設(shè)值時(shí),判斷該平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值。
[0009]其中,在上述發(fā)明中,所述步驟S3包括:在所述平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值時(shí),超時(shí)計(jì)數(shù)器增加一次記錄值;將超時(shí)計(jì)數(shù)器的記錄值與預(yù)設(shè)閥值相比較,判斷平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值。
[0010]其中,在上述發(fā)明中,所述預(yù)設(shè)值表示為,其中正常情況下客戶端、Ping、服務(wù)器三者間的平均延時(shí)值,η為預(yù)設(shè)的系數(shù)。
[0011 ] 其中,在上述發(fā)明中,所述IP數(shù)據(jù)包預(yù)設(shè)值表示為ClPnum,其中IPnum為正常情況下單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量,C為預(yù)設(shè)的系數(shù)。
[0012]其中,在上述發(fā)明中,所述步驟S5中啟動(dòng)防火墻的DDOS攻擊防護(hù)功能,包括:啟動(dòng)防火墻的IP Spoof攻擊防護(hù)功能。
[0013]根據(jù)本發(fā)明的另一個(gè)方面,提供一種防護(hù)DDOS攻擊的系統(tǒng),包括:統(tǒng)計(jì)單元,用于在每隔一個(gè)定時(shí)周期,統(tǒng)計(jì)客戶端、Ping、服務(wù)器三者間的延時(shí)值,并計(jì)算出該定時(shí)周期內(nèi)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值;第一比較單元,用于將統(tǒng)計(jì)單元統(tǒng)計(jì)的平均延時(shí)值與預(yù)設(shè)值進(jìn)行比較,判斷該平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值;第二比較單元,用于在所述第一比較單元確定平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值時(shí),判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值;第三比較單元,用于在所述第二比較單元確定平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值時(shí),判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值;執(zhí)行單元,用于在所述第三比較單元確定出當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量大于IP數(shù)據(jù)包預(yù)設(shè)值時(shí),啟動(dòng)防火墻的DDOS攻擊防護(hù)功能;其中,m為根據(jù)服務(wù)器性能而預(yù)先設(shè)定的參數(shù)。
[0014]其中,在上述發(fā)明中,所述第二比較單元包括超時(shí)計(jì)數(shù)器和比較器;超時(shí)計(jì)數(shù)器,用于在平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值時(shí),增加一次記錄值;比較器,用于將所述超時(shí)計(jì)數(shù)器的記錄值與預(yù)設(shè)閥值進(jìn)行比較,判斷該記錄值是否超過預(yù)設(shè)閥值。
[0015]其中,在上述發(fā)明中,所述執(zhí)行單元啟動(dòng)的DDOS攻擊防護(hù)功能為IPSpoof攻擊防護(hù)功能。
[0016]其中,在上述發(fā)明中,所述預(yù)設(shè)值表示為,其中t平均為正常情況下客戶端、Ping、服務(wù)器三者間的平均延時(shí)值,η為預(yù)設(shè)的系數(shù);以及所述IP數(shù)據(jù)包預(yù)設(shè)值表示為cIPnum,其中IPnum為正常情況下單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量,c為預(yù)設(shè)的系數(shù)。
[0017]根據(jù)本發(fā)明的一種防護(hù)DDOS攻擊的方法及系統(tǒng),通過定時(shí)檢測(cè)Ping平均延時(shí)值的方法檢測(cè)系統(tǒng)是否受到DDOS攻擊,由于Ping包所占流量很小,使得DDOS攻擊的檢測(cè)簡(jiǎn)易且實(shí)時(shí)有效,并降低了檢測(cè)中所使用的數(shù)據(jù)流量,且在檢測(cè)出系統(tǒng)受到DDOS攻擊時(shí)及時(shí)開啟防火墻DDOS攻擊防護(hù)功能,有效地提高了系統(tǒng)的運(yùn)算速度和防火墻的防護(hù)性能。本發(fā)明的防護(hù)DDOS攻擊的方法及系統(tǒng)具有顯著的防護(hù)效果,對(duì)應(yīng)用層DDOS攻擊防護(hù)和網(wǎng)絡(luò)層DDOS攻擊防護(hù)均可適用。【專利附圖】
【附圖說明】
[0018]圖1顯示了 DDOS攻擊服務(wù)器的示意圖;
[0019]圖2顯示了現(xiàn)有技術(shù)的防護(hù)DDOS攻擊的原理圖;
[0020]圖3顯示了本發(fā)明的防護(hù)DDOS攻擊的原理圖;
[0021]圖4顯示了本發(fā)明的防護(hù)DDOS攻擊方法的流程圖;
[0022]圖5顯示了本發(fā)明優(yōu)選實(shí)施例的防護(hù)DDOS攻擊方法的流程圖;
[0023]圖6顯示了本發(fā)明具體實(shí)施例的防護(hù)DDOS攻擊方法的流程圖;
[0024]圖7顯示了本發(fā)明的防護(hù)DDOS攻擊系統(tǒng)的結(jié)構(gòu)示意圖;
[0025]圖8顯示了本發(fā)明的第二比較單元的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0026]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了,下面結(jié)合【具體實(shí)施方式】并參照附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。應(yīng)該理解,這些描述只是示例性的,而并非要限制本發(fā)明的范圍。此外,在以下說明中,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念。
[0027]圖3顯示了本發(fā)明的防護(hù)DDOS攻擊的原理圖。
[0028]如圖3所示,本發(fā)明通過定時(shí)檢測(cè)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值,來檢服務(wù)器是否受到DDOS攻擊,并在服務(wù)器受到DDOS攻擊時(shí),及時(shí)開啟防火墻的DDOS攻擊防護(hù)功能。這里,Ping是用于檢測(cè)網(wǎng)絡(luò)通或不通的命令,也叫時(shí)延,其值越大則速度越慢。
[0029]DDOS攻擊者的目的是耗費(fèi)盡服務(wù)器資源,讓用戶無法正常訪問,當(dāng)攻擊者發(fā)起大量的連續(xù)請(qǐng)求時(shí),大量的連續(xù)請(qǐng)求會(huì)占用大量資源而造成客戶端、Ping、服務(wù)器三者間的平均延時(shí)比平時(shí)高出很多,因此可以通過檢測(cè)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值,并將平均延時(shí)值與預(yù)設(shè)值相比較,即可檢測(cè)服務(wù)器是否受到DDOS攻擊。由于Ping包所占流量很小,通過檢測(cè)Ping平均延時(shí)值來檢測(cè)服務(wù)器是否受到DDOS攻擊的機(jī)制,在檢測(cè)出系統(tǒng)受到DDOS攻擊時(shí),及時(shí)開啟防火墻DDOS攻擊防護(hù)功能,有效地提高了系統(tǒng)的運(yùn)算速度和防火墻的防護(hù)性能。
[0030]圖4顯示了本發(fā)明的防護(hù)DDOS攻擊方法的流程圖。
[0031]如圖4所示,本發(fā)明的防護(hù)DDOS攻擊的方法,包括以下步驟:
[0032]步驟SI,統(tǒng)計(jì)定時(shí)周期內(nèi)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值。
[0033]一般地,DDOS攻擊服務(wù)器時(shí),攻擊者會(huì)向服務(wù)器發(fā)送大量的連續(xù)請(qǐng)求,通過大量的連續(xù)請(qǐng)求來來占用過多的服務(wù)資源,從而使服務(wù)器無法處理合法用戶的指令,此時(shí)客戶端、Ping、服務(wù)器三者間的平均延時(shí)會(huì)比平時(shí)高出很多。這種情況下,可以每隔一個(gè)定時(shí)周期,對(duì)客戶端、Ping、服務(wù)器三者間的延時(shí)值進(jìn)行統(tǒng)計(jì),并計(jì)算出該定時(shí)周期內(nèi)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值。
[0034]步驟S2,判斷所述平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值。
[0035]在本發(fā)明中,m為根據(jù)服務(wù)器性能而預(yù)先設(shè)定的參數(shù)。
[0036]在步驟SI中可以得出每隔一個(gè)定時(shí)周期的客戶端、Ping、服務(wù)器三者間的平均延時(shí)值。將該平均延時(shí)值與預(yù)設(shè)值進(jìn)行比較,判斷該平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值。[0037]步驟S3,如果所述平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值,進(jìn)一步判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值。
[0038]根據(jù)步驟S2的判斷結(jié)果,確定是否進(jìn)一步判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值。具體來說,如果步驟S2確定平均延時(shí)值沒有連續(xù)m次超過預(yù)設(shè)值,則說明客戶端、Ping、服務(wù)器三者間的平均延時(shí)值高出預(yù)設(shè)值的概率不高,通常意義下不符合DDOS攻擊的特征,因此將直接跳至結(jié)束命令;如果步驟S2確定平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值,則進(jìn)一步判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值。
[0039]步驟S4,如果所述平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值,進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值。
[0040]根據(jù)步驟S3的判斷結(jié)果,確定是否進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值。DDOS攻擊方通常會(huì)發(fā)送大量無實(shí)際意義的IP數(shù)據(jù)包對(duì)服務(wù)器進(jìn)行攻擊,在初步判斷服務(wù)器可能受到DDOS攻擊時(shí),可通過判斷新建連接數(shù)是否迅速增加來確定當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包是否明顯增加,從而進(jìn)一步確認(rèn)服務(wù)器受到DDOS攻擊的真實(shí)性。具體來說,如果步驟S3確定平均延時(shí)值連續(xù)m次未超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值,則直接跳至結(jié)束命令;如果步驟S3確定平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值,則說明服務(wù)器很有可能受到了 DDOS攻擊,需要進(jìn)行進(jìn)一步判斷,來確定服務(wù)器真的受到DDOS攻擊,即進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值。
[0041]步驟S5,如果當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量大于IP數(shù)據(jù)包預(yù)設(shè)值,則啟動(dòng)防火墻的DDOS攻擊防護(hù)功能。
[0042]根據(jù)步驟S4的判斷結(jié)果,確定服務(wù)器是否真的受到了 DDOS攻擊,即是否需要啟動(dòng)防火墻的DDOS攻擊防護(hù)功能。如果步驟S4確定當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量小于IP數(shù)據(jù)包預(yù)設(shè)值,則說明確定服務(wù)器沒有受到DDOS攻擊,直接跳至結(jié)束命令;如果步驟S4確定當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量大于IP數(shù)據(jù)包預(yù)設(shè)值,則說明確定服務(wù)器已經(jīng)受到DDOS攻擊,此時(shí)將啟動(dòng)防火墻的DDOS攻擊防護(hù)功能,以避免服務(wù)器再次受到DDOS攻擊。
[0043]通過采用上述流程,定時(shí)對(duì)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值進(jìn)行檢測(cè),并在該平均延時(shí)值連續(xù)一定次數(shù)大于預(yù)設(shè)值時(shí),進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值,如果大于則確定服務(wù)器受到了 DDOS攻擊,開始開啟防火墻的DDOS攻擊防護(hù)功能,避免了防火墻一直開啟DDOS攻擊防護(hù)功能而導(dǎo)致防火墻處理數(shù)據(jù)速度降低,進(jìn)而降低防火墻性能和系統(tǒng)的運(yùn)算速度的現(xiàn)象發(fā)生。
[0044]圖5顯示了本發(fā)明優(yōu)選實(shí)施例的防護(hù)DDOS攻擊方法的流程圖。
[0045]如圖5所示,本發(fā)明優(yōu)選實(shí)施例的防護(hù)DDOS攻擊的方法,包括下述步驟:
[0046]步驟SI,設(shè)定每a秒一個(gè)定時(shí)周期T,對(duì)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值t進(jìn)行統(tǒng)計(jì)。
[0047]步驟S21,判斷是否成立,即將平均延時(shí)值與預(yù)設(shè)值相比較,判斷該平均延時(shí)值t是否超過預(yù)設(shè)值其中,丨^^為正常情況下客戶端、Ping、服務(wù)器三者間的平均延時(shí)值,η為系數(shù),η的大小與服務(wù)器的安全性能要求有關(guān),一般地,服務(wù)器的安全性能要求越高,η的取值越小。[0048]步驟S22,如果t>nt¥tt成立,進(jìn)一步判斷連續(xù)有m次否成立,即在平均延時(shí)值超過預(yù)設(shè)值nt時(shí),判斷該平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值,否則執(zhí)行結(jié)束命令。
[0049] 步驟S3,如果連續(xù)m次t>nt〒tt成立,則判斷連續(xù)m次t>nt〒tt的次數(shù)是否超過預(yù)設(shè)閾值,即在平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值,進(jìn)一步判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值,否則執(zhí)行結(jié)束命令。
[0050]具體來說,在該平均延時(shí)值t連續(xù)m次超過預(yù)設(shè)值時(shí),超時(shí)計(jì)數(shù)器增加一次記錄值,即超時(shí)計(jì)數(shù)器在原來的計(jì)數(shù)值上+1 (例如由I變?yōu)?),然后通過將超時(shí)計(jì)數(shù)器的記錄值與預(yù)設(shè)閥值b (b的值由服務(wù)器性能決定)相比較,來判斷平均延時(shí)值t連續(xù)m次超過預(yù)設(shè)值nt的次數(shù)是否超過預(yù)設(shè)閥值b。
[0051 ] 步驟S4,如果連續(xù)m次t>nt 的次數(shù)超過預(yù)設(shè)閾值b成立,進(jìn)一步判斷IPNn?>cIPnim是否成立,即在該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值時(shí),進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量(表示為IPltaffl)是否大于IP數(shù)據(jù)包預(yù)設(shè)值cIPM,否則執(zhí)行結(jié)束命令。這里,IPnum為正常情況下單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量,C為預(yù)設(shè)的系數(shù),表示當(dāng)前的新IP地址發(fā)送的數(shù)據(jù)包的數(shù)量是平時(shí)的c倍,說明當(dāng)前的IP包數(shù)量明顯增多。
[0052]步驟S5,啟動(dòng)防火墻的IP Spoof攻擊防護(hù)功能。在IPNnum>cIPnum成立時(shí),即在當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量大于正常情況下新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量(作為預(yù)設(shè)值設(shè)置)時(shí),開啟防火墻的IP Spoof攻擊防護(hù)功能,以避免服務(wù)器再次受到DDOS攻擊。
[0053]需要說明的是,本發(fā)明中的參數(shù)(m、a、n、b、c)視用戶對(duì)服務(wù)器安全性能的要求程度而設(shè)定,網(wǎng)絡(luò)管理員也可以根據(jù)實(shí)際需求自行定義。
[0054]圖6顯示了本發(fā)明具體實(shí)施例的防護(hù)DDOS攻擊方法的流程圖。
[0055]如圖6所示,在本發(fā)明的具體實(shí)施例中,取m=2、a=5s、n=2、b=5, c=2。系統(tǒng)每隔5s對(duì)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值t進(jìn)行統(tǒng)計(jì),將統(tǒng)計(jì)到的平均延時(shí)值t與正常情況下客戶端、Ping、服務(wù)器三者間的平均延時(shí)值相比較,判斷02丨_是否成立;如果
成立,進(jìn)一步判斷是否連續(xù)有2次t>2tTtt ;如果連續(xù)有2次t>2tTtt,則超時(shí)計(jì)數(shù)器增加一次記錄值,并判斷超時(shí)計(jì)數(shù)器的記錄值是否超過5 ;如果超時(shí)計(jì)數(shù)器的記錄值超過5,進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量IPnim (數(shù)據(jù)包/秒),比如正常情況下單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量IPnum的值是200,如果IPltoumMOO,系統(tǒng)就會(huì)開啟防火墻的IP Spoof攻擊防護(hù)功能。
[0056]圖7顯示了本發(fā)明的防護(hù)DDOS攻擊系統(tǒng)的結(jié)構(gòu)示意圖;圖8顯示了本發(fā)明的第二比較單元的結(jié)構(gòu)示意圖。
[0057]如圖7所示,本發(fā)明的防護(hù)DDOS攻擊系統(tǒng)備,包括:統(tǒng)計(jì)單元1、第一比較單元2、第二比較單元3、第三比較單元4以及執(zhí)行單元5。
[0058]統(tǒng)計(jì)單元1,用于在每隔一個(gè)定時(shí)周期,統(tǒng)計(jì)客戶端、Ping、服務(wù)器三者間的延時(shí)值,并計(jì)算出該定時(shí)周期內(nèi)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值。統(tǒng)計(jì)單元I統(tǒng)計(jì)出客戶端、Ping、服務(wù)器三者間的平均延時(shí)值之后,將該平均延時(shí)值發(fā)送至第一比較單元2。
[0059]第一比較單元2,其與統(tǒng)計(jì)單元I相連,用于將統(tǒng)計(jì)單元I統(tǒng)計(jì)的平均延時(shí)值與預(yù)設(shè)值進(jìn)行比較,判斷該平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值。第一比較單元2接收到來自統(tǒng)計(jì)單元I發(fā)送的客戶端、Ping、服務(wù)器三者間的平均延時(shí)值后,將該平均延時(shí)值與系統(tǒng)的預(yù)設(shè)值進(jìn)行比較,并將比較結(jié)果發(fā)送至第二比較單元3。
[0060]第二比較單元3,其與第一比較單元2相連,用于在所述第一比較單元2確定平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值時(shí),判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值。如圖8所示,該第二比較單元3包括超時(shí)計(jì)數(shù)器31和比較器32,超時(shí)計(jì)數(shù)器31用于在平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值時(shí),增加一次記錄值,比較器32用于將所述超時(shí)計(jì)數(shù)器的記錄值與預(yù)設(shè)閥值進(jìn)行比較,判斷該記錄值是否超過預(yù)設(shè)閥值。
[0061]第三比較單元4,其與第二比較單元3相連,用于在所述第二比較單元3確定平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值時(shí),判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值。
[0062]執(zhí)行單元5,其與第三比較單元4相連,用于在所述第三比較單元4確定出當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量大于IP數(shù)據(jù)包預(yù)設(shè)值時(shí),啟動(dòng)防火墻的DDOS攻擊防護(hù)功能。在本發(fā)明中,根據(jù)網(wǎng)絡(luò)實(shí)際情況,啟動(dòng)相應(yīng)的攻擊防御機(jī)制,以避免服務(wù)器再次受到DDOS攻擊,優(yōu)先地,啟動(dòng)防護(hù)墻的IP Spoof攻擊防護(hù)功來防護(hù)DDOS攻擊。
[0063]在本發(fā)明中,預(yù)設(shè)值表示為,其中t平均為正常情況下客戶端、Ping、服務(wù)器三者間的平均延時(shí)值,η為預(yù)設(shè)的系數(shù);ΙΡ數(shù)據(jù)包預(yù)設(shè)值表示為cIPnum,其中IPnum為正常情況下單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量,c為預(yù)設(shè)的系數(shù)。只有在經(jīng)過第一比較單元2、第二比較單元3和第三比較單元4的層層比較判斷,并得出當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量大于IP數(shù)據(jù)包預(yù)設(shè)值時(shí),執(zhí)行單元5才會(huì)啟動(dòng)防火墻的DDOS攻擊防護(hù)功能。
[0064]本發(fā)明能夠及時(shí)開啟防火墻的DDOS攻擊防護(hù)功能,避免了防火墻一直開啟DDOS攻擊防護(hù)功能而導(dǎo)致防火墻性能降低和防火墻一直不開啟DDOS攻擊防護(hù)功能而導(dǎo)致服務(wù)器受到DDOS攻擊的情況發(fā)生。
[0065]如上所述,根據(jù)本發(fā)明的一種防護(hù)DDOS攻擊的方法及系統(tǒng),通過定時(shí)檢測(cè)Ping平均延時(shí)值的方法檢測(cè)系統(tǒng)是否受到DDOS攻擊,由于Ping包所占流量很小,使得DDOS攻擊的檢測(cè)簡(jiǎn)易且實(shí)時(shí)有效,并降低了檢測(cè)中所使用的數(shù)據(jù)流量,且在檢測(cè)出系統(tǒng)受到DDOS攻擊時(shí)及時(shí)開啟防火墻DDOS攻擊防護(hù)功能,有效地提高了系統(tǒng)的運(yùn)算速度和防火墻的防護(hù)性能。本發(fā)明的防護(hù)DDOS攻擊的方法及系統(tǒng)具有顯著的防護(hù)效果,對(duì)應(yīng)用層DDOS攻擊防護(hù)和網(wǎng)絡(luò)層DDOS攻擊防護(hù)均可適用。
[0066]應(yīng)當(dāng)理解的是,本發(fā)明的上述【具體實(shí)施方式】?jī)H僅用于示例性說明或解釋本發(fā)明的原理,而不構(gòu)成對(duì)本發(fā)明的限制。因此,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。此外,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例。
【權(quán)利要求】
1.一種防護(hù)DDOS攻擊的方法,其特征在于,包括以下步驟: 步驟SI,統(tǒng)計(jì)定時(shí)周期內(nèi)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值; 步驟S2,判斷所述平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值; 步驟S3,如果所述平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值,進(jìn)一步判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值; 步驟S4,如果所述平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值,進(jìn)一步判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值; 步驟S5,如果當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量大于IP數(shù)據(jù)包預(yù)設(shè)值,則啟動(dòng)防火墻的DDOS攻擊防護(hù)功能; 其中,m為根據(jù)服務(wù)器性能而預(yù)先設(shè)定的參數(shù)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟S2包括: 將步驟SI中得到的平均延時(shí)值與預(yù)設(shè)值相比較,判斷該平均延時(shí)值是否超過預(yù)設(shè)值; 在所述平均延時(shí)值超過預(yù)設(shè)值時(shí),判斷該平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟S3包括: 在所 述平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值時(shí),超時(shí)計(jì)數(shù)器增加一次記錄值; 將超時(shí)計(jì)數(shù)器的記錄值與預(yù)設(shè)閥值相比較,判斷平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值。
4.根據(jù)權(quán)利要求1所述的方法,所述預(yù)設(shè)值表示為,其中為正常情況下客戶端、Ping、服務(wù)器三者間的平均延時(shí)值,η為預(yù)設(shè)的系數(shù)。
5.根據(jù)權(quán)利要求1所述的方法,所述IP數(shù)據(jù)包預(yù)設(shè)值表示為ClPnum,其中IPm為正常情況下單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包的數(shù)量,c為預(yù)設(shè)的系數(shù)。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟S5中啟動(dòng)防火墻的DDOS攻擊防護(hù)功能包括:啟動(dòng)防火墻的IP Spoof攻擊防護(hù)功能。
7.一種防護(hù)DDOS攻擊的系統(tǒng),其特征在于,包括: 統(tǒng)計(jì)單元(1),用于在每隔一個(gè)定時(shí)周期,統(tǒng)計(jì)客戶端、Ping、服務(wù)器三者間的延時(shí)值,并計(jì)算出該定時(shí)周期內(nèi)客戶端、Ping、服務(wù)器三者間的平均延時(shí)值; 第一比較單元(2),用于將統(tǒng)計(jì)單元(I)統(tǒng)計(jì)的平均延時(shí)值與預(yù)設(shè)值進(jìn)行比較,判斷該平均延時(shí)值是否連續(xù)m次超過預(yù)設(shè)值; 第二比較單元(3),用于在所述第一比較單元(2)確定平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值時(shí),判斷該平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)是否超過預(yù)設(shè)閥值; 第三比較單元(4 ),用于在所述第二比較單元(3 )確定平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值的次數(shù)超過預(yù)設(shè)閥值時(shí),判斷當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量是否大于IP數(shù)據(jù)包預(yù)設(shè)值; 執(zhí)行單元(5),用于在所述第三比較單元(4)確定出當(dāng)前單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù)包數(shù)量大于IP數(shù)據(jù)包預(yù)設(shè)值時(shí),啟動(dòng)防火墻的DDOS攻擊防護(hù)功能; 其中,m為根據(jù)服務(wù)器性能而預(yù)先設(shè)定的參數(shù)。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述第二比較單元(3)包括超時(shí)計(jì)數(shù)器(31)和比較器(32); 超時(shí)計(jì)數(shù)器(31),用于在平均延時(shí)值連續(xù)m次超過預(yù)設(shè)值時(shí),增加一次記錄值;比較器(32),用于將所述超時(shí)計(jì)數(shù)器(31)的記錄值與預(yù)設(shè)閥值進(jìn)行比較,判斷該記錄值是否超過預(yù)設(shè)閥值。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述執(zhí)行單元(5)啟動(dòng)的DDOS攻擊防護(hù)功能為IP Spoof攻擊防護(hù)功能。
10.根據(jù)權(quán)利要求7所述的系統(tǒng),所述預(yù)設(shè)值表示為,其中t平均為正常情況下客戶端、Ping、服務(wù)器三者間的平均延時(shí)值,η為預(yù)設(shè)的系數(shù);以及 所述IP數(shù)據(jù)包預(yù)設(shè)值表示為cIPnum,其中IPnum為正常情況下單位時(shí)間內(nèi)收到的新的IP地址發(fā)送的數(shù)據(jù) 包的數(shù)量,c為預(yù)設(shè)的系數(shù)。
【文檔編號(hào)】H04L29/06GK103916387SQ201410098469
【公開日】2014年7月9日 申請(qǐng)日期:2014年3月18日 優(yōu)先權(quán)日:2014年3月18日
【發(fā)明者】王宇 申請(qǐng)人:漢柏科技有限公司