CN100484043C - 网络防syn洪流攻击检测方法 - Google Patents
网络防syn洪流攻击检测方法 Download PDFInfo
- Publication number
- CN100484043C CN100484043C CNB2004100355518A CN200410035551A CN100484043C CN 100484043 C CN100484043 C CN 100484043C CN B2004100355518 A CNB2004100355518 A CN B2004100355518A CN 200410035551 A CN200410035551 A CN 200410035551A CN 100484043 C CN100484043 C CN 100484043C
- Authority
- CN
- China
- Prior art keywords
- syn
- packet
- network
- nodes
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明所述的网络防SYN洪流攻击检测方法,是针对检测SYN洪流攻击而提供一种根据超时记录时间和数量自动确认报警的方法。通过该方法可以根据网络环境设定检测参数并可定制需要监控端口的范围,从而提高网络入侵检测系统的效率并有效降低syn扫锚的误报率。针对SYN洪流攻击的特点,本发明所述的网络防SYN洪流攻击检测方法,是在现有的网络入侵检测系统中加入SYN洪流攻击检测模块以确认是否受到攻击并转报警模块处理。
Description
技术领域
本发明涉及针对SYN洪流攻击的网络安全检测方法。
背景技术
随着互联网在社会经济和日常生活中的普及应用,人们越来越离不开网络所提供的信息和服务平台。对于网络的依赖性越大,网络自身的安全性能越显得重要。
针对恶意攻击技术的发展,目前各大网站均配备有网络入侵检测系统,可以检测、记录被监控网络的恶意黑客攻击,网络管理员通过专门监控网络运行动态也可以起到及时查漏补缺的作用。在目前的状况下,拒绝服务攻击技术被应用并做为网络黑客的主要攻击手段。在拒绝服务攻击技术的攻击下各大网站相继倒下,包括yahoo、新浪等采用较为严密安全措施的网站。
拒绝服务攻击所攻击的对象绝大多数是WWW服务器,这种服务是基于TCP协议的,而对于这种基于TCP协议的服务,采用SYN洪流(synflood)攻击技术是很难防范的,目前SYN洪流攻击已成为最为广泛采用的拒绝服务攻击方式。SYN洪流攻击主要通过向系统服务器发送多个SYN连接请求而恶意地拒绝向服务器回应三次握手的最后一个ack确认,从而使服务器一直等待这个ack确认直到超时,从而在服务器端产生大量这样的半打开连接,最终耗尽系统资源、导致系统拒绝服务。
目前的网络入侵检测系统都不能很好的检测SYN洪流攻击,不能区分SYN洪流攻击和syn扫描,常常出现误报。导致误报的主要原因是目前的网络入侵检测系统通常只是对syn连接请求做一个简单的计数,这种技术并不区分正常和异常的syn连接。这样当被监控的网络遭受syn扫描或是有较大的访问流量时,网络入侵检测系统常常就会出现误报。
发明内容
本发明所述的网络防SYN洪流攻击检测方法,其目的在于解决上述问题和不足,提供一种根据超时记录时间和数量自动确认报警的方法。通过该方法可以根据网络环境灵活设定检测参数并可定制需要监控端口的范围,从而提高网络入侵检测系统的效率并有效降低对syn扫描的误报率。
一次正常的TCP连接包含一个三次握手的过程,首先是客户端向服务器发送一个syn连接请求,服务器收到后向客户端回应一个syn+ack数据包,然后客户端再向服务器发送一个ack回应。至此一个TCP连接建立起来。
针对上述TCP连接特点,现有的SYN洪流攻击控制并不向服务器回应最后一个ack数据包。服务器则会一直等待这个ack确认直至超时,这样服务器就形成了一个半打开的连接。这既是SYN洪流攻击的关键所在,也是本发明所述网络防SYN洪流攻击检测方法的设计要点。
针对上述SYN洪流攻击的特点,本发明所述的网络防SYN洪流攻击检测方法,是在现有的网络入侵检测系统中加入SYN洪流攻击检测模块以确认是否受到攻击并转报警模块处理。
所述的SYN洪流攻击检测模块,对于向服务器递交的syn连接请求包建立是否有回应包的ID跟踪链表。所述该链表的数据组结构是:
| id | time_t | *next |
其中,
id(unsigned short id),是IP数据包的id值。所述的SYN洪流攻击检测模块可以检测此id号,以区分SYN连接包和SYN+ACK回应包。因为一次正常的TCP三次握手,其SYN+ACK回应包的id值是对应SYN连接包的id值+1。通过匹配记录的id号,检测模块可以区分出正常和异常的SYN连接;
time_t(time_t intime),是记录SYN连接请求包到达的时刻,检测模块以此来判断该连接请求是否已超时;
*next(struct_IN_TIME *next),是指向下一个SYN连接节点的指针。
针对上述ID跟踪链表的操作采用通用方式,即保留链表的头部和尾部指针,增加新的数据组时可以直接连接到尾部,删除时则由所述的检测模块根据ID值判断删除。
所述的SYN洪流攻击检测模块,对于syn连接请求包的目标端口实施动态监控并建立所述的异常端口跟踪链表,所述该链表的数据组结构是:
| Port | long count | *timeptr | *next |
其中,port(unsigned short port),是syn连接请求包所连接的端口值,检测模块根据此类目的端口值对SYN请求包进行分类;
long count(unsigned long count),表示到达上述端口的异常SYN连接数据包的值,检测模块根据此值来判断是否达到报警门限值并转报警模块进行后续处理;
*timeptr(IN_TIME *timeptr),是该端口下的SYN连接节点链的头指针;
*next(struct_SYNINFO *next),是指向下一个端口节点的指针。
针对上述异常端口跟踪链表的操作采用通用方式,即保留链表的头部和尾部指针,增加新的数据组时可以直接连接到尾部,删除时则由所述的检测模块全部清零删除。
应用上述SYN洪流攻击检测模块,所述的网络防SYN洪流攻击检测方法控制流程是:
第一步,分析过滤出目标网络中的SYN连接数据包和ACK回应包;
第二步,如果是SYN连接数据包,跳到第四步执行。如果是ACK回应包,跳到第三步执行;
第三步,遍历所有节点中的SYN连接数据包,匹配相关信息,判断该ACK确认包是否是对此SYN连接数据包的回应,如果是就将该SYN连接数据包从此节点中清除,返回第一步。如果没有匹配的SYN连接数据包,则直接返回第一步;
第四步,根据设定的端口范围过滤出需要监控的SYN连接数据包;
第五步,按照不同的目的端口将过滤所得的SYN连接数据包归入不同节点,同时记录该SYN连接数据包的到达时间;
第六步,遍历所有节点,根据设定的超时时间检查节点中存储的SYN连接数据包是否超时。
如果超时,就对该节点的计数器加1,并判断该节点的计数器是否达到所设定的门限值,如果达到门限值就向控制台告警,同时所有节点清空,计数器清零,返回第一步;否则往下执行;
第七步,根据设定的保护时间,判断保护时间是否超时,如果超时就将所有节点清空,计数器清零,然后返回第一步。否则直接返回第一步。
以上即是本发明所述网络防SYN洪流攻击检测方法的主要内容。
所述的网络防SYN洪流攻击检测方法,具有以下优点和有益效果:
1、由于将目标网络中的SYN连接数据包按目标端口进行了分类统计,这样就能严格区分出了synflood和syn扫描,大大地降低了入侵检测系统的误报。
2、由于可以让用户自定义所需监控的端口,明显减轻了入侵检测系统的负荷。
3、由于可以让用户自定义连接超时时间和告警门限,这样就可以灵活地适应被监控网络的环境。
由于提供了保护时间的设置,使得入侵检测系统在检测synflood攻
4、击时具有更强的抗击打能力,同时也消除了目标网络在正常情况下累积的异常SYN连接,进一步降低了入侵检测系统的误报率。
附图说明
图1是网络入侵检测系统的模块示意图;
图2是所述网络防SYN洪流攻击检测方法控制流程示意图。
具体实施方式
如图1所示,所述的网络防SYN洪流攻击检测方法,是在现有的网络入侵检测系统中加入SYN洪流攻击检测模块以确认是否受到攻击并转报警模块处理。
在网络接口获取SYN连接数据包后,由SYN洪流攻击检测模块建立动态SYN+ACK回应包和异常端口跟踪,并判断是否某一节点的超时SYN连接数据包是否达到门限值、以及超时时间是否达到设定的保护时间。
若是,则转报警模块并将所有节点清空,计数器清零。
如图2所示,所述的网络防SYN洪流攻击检测方法控制流程是:
第一步,分析过滤出目标网络中的SYN连接数据包和ACK回应包;
第二步,如果是SYN连接数据包,跳到第四步执行。如果是ACK回应包,跳到第三步执行;
第三步,遍历所有节点中的SYN连接数据包,匹配相关信息,判断该ACK确认包是否是对此SYN连接数据包的回应,如果是就将该SYN连接数据包从此节点中清除,返回第一步。
如果没有匹配的SYN连接数据包,则直接返回第一步;
第四步,根据设定的端口范围过滤出需要监控的SYN连接数据包;
第五步,按照不同的目的端口将过滤所得的SYN连接数据包归入不同节点,同时记录该SYN连接数据包的到达时间;
第六步,遍历所有节点,根据设定的超时时间检查节点中存储的SYN连接数据包是否超时。
如果超时,就对该节点的计数器加1,并判断该节点的计数器是否达到所设定的门限值,如果达到门限值就向控制台告警,同时所有节点清空,计数器清零,返回第一步;否则往下执行;
第七步,根据设定的保护时间,判断保护时间是否超时,如果超时就将所有节点清空,计数器清零,然后返回第一步。否则直接返回第一步。
Claims (1)
1、一种网络防SYN洪流攻击检测方法,其特征在于:包括如下步骤:
A、在网络入侵检测系统中加入SYN洪流攻击检测模块以确认是否受到攻击并转报警模块处理;
B、在网络接口获取SYN连接数据包后,由SYN洪流攻击检测模块建立动态SYN+ACK回应包和异常端口跟踪;
C、判断某一节点的超时SYN连接数据包是否达到门限值、以及超时时间是否达到设定的保护时间,若是,则转报警模块并将所有节点清空,计数器清零;
所述B步骤进一步地还包括如下步骤:
B1、分析过滤出目标网络中的SYN连接数据包和ACK回应包;
B2、如果是SYN连接数据包,跳到第B4执行;如果是ACK回应包,跳到B3执行;
B3、遍历所有节点中的SYN连接数据包,匹配相关信息,判断该ACK回应包是否是对此SYN连接数据包的回应,如果是就将该SYN连接数据包从此节点中清除,返回B1;如果没有匹配的SYN连接数据包,则直接返回B1;
B4、根据设定的端口范围过滤出需要监控的SYN连接数据包;
所述C步骤进一步地还包括如下步骤:
C1、按照不同的目的端口将过滤所得的SYN连接数据包归入不同节点,同时记录该SYN连接数据包的到达时间;
C2、遍历所有节点,根据设定的超时时间检查节点中存储的SYN连接数据包是否超时;如果超时,就对该节点的计数器加1,并判断该节点的计数器是否达到所设定的门限值,如果达到门限值就向控制台报警,同时所有节点清空,计数器清零,返回B1;否则根据设定的保护时间,判断保护时间是否超时,如果超时就将所有节点清空,计数器清零,然后返回B1;否则直接返回B1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100355518A CN100484043C (zh) | 2004-08-12 | 2004-08-12 | 网络防syn洪流攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100355518A CN100484043C (zh) | 2004-08-12 | 2004-08-12 | 网络防syn洪流攻击检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1735045A CN1735045A (zh) | 2006-02-15 |
| CN100484043C true CN100484043C (zh) | 2009-04-29 |
Family
ID=36077253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100355518A Active CN100484043C (zh) | 2004-08-12 | 2004-08-12 | 网络防syn洪流攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100484043C (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101018233B (zh) * | 2007-03-20 | 2011-08-24 | 杭州华三通信技术有限公司 | 会话的控制方法及控制装置 |
| CN101729513B (zh) * | 2008-10-27 | 2014-02-19 | 华为数字技术(成都)有限公司 | 网络认证方法和装置 |
| CN101478537B (zh) * | 2008-12-31 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 一种单向环境中的网络安全防护方法和装置 |
| CN101917309B (zh) * | 2010-08-27 | 2012-11-07 | 电子科技大学 | 软交换平台下公共服务号码的拒绝服务攻击检测方法 |
| CN112532961A (zh) * | 2020-12-04 | 2021-03-19 | 上海影创信息科技有限公司 | Vr眼镜的延时检测安全提示方法和系统及其vr眼镜 |
-
2004
- 2004-08-12 CN CNB2004100355518A patent/CN100484043C/zh active Active
Non-Patent Citations (4)
| Title |
|---|
| 一种基于Patricia树的检测Syn Flood攻击的方法. 陈杰等.计算机工程,第vol.30卷第no.13期. 2004 |
| 一种基于Patricia树的检测Syn Flood攻击的方法. 陈杰等.计算机工程,第vol.30卷第no.13期. 2004 * |
| 基于异常的Anti SYN Flood实现. 程劲等.电子科技大学学报,第vol.32卷第no.6期. 2003 |
| 基于异常的Anti SYN Flood实现. 程劲等.电子科技大学学报,第vol.32卷第no.6期. 2003 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1735045A (zh) | 2006-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102624706B (zh) | 一种dns隐蔽信道的检测方法 | |
| US10645110B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| CN100463409C (zh) | 网络安全系统和方法 | |
| US9148437B1 (en) | Detecting adverse network conditions for a third-party network site | |
| CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| KR101371902B1 (ko) | 차량 네트워크 공격 탐지 장치 및 그 방법 | |
| CN103179105B (zh) | 一种基于网络流量中行为特征的智能木马检测装置及其方法 | |
| KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
| CN109660539A (zh) | 失陷设备识别方法、装置、电子设备及存储介质 | |
| CN102882881B (zh) | 针对dns服务的拒绝服务攻击的数据过滤方法 | |
| CN107508831B (zh) | 一种基于总线的入侵检测方法 | |
| CN102447707B (zh) | 一种基于映射请求的DDoS检测与响应方法 | |
| CN105471835A (zh) | 提升防火墙处理性能的方法及系统 | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN101980506A (zh) | 一种基于流量特征分析的分布式入侵检测方法 | |
| CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN105376210A (zh) | 一种账户威胁识别和防御方法及系统 | |
| CN106803037A (zh) | 一种软件安全防护方法及装置 | |
| CN101969445A (zh) | 防御DDoS和CC攻击的方法和装置 | |
| CN107395461A (zh) | 一种基于访问关系的安全状态表示方法及系统 | |
| CN108390856A (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
| CN109587122A (zh) | 基于WAF系统功能实现自我保障Web子系统安全的系统及方法 | |
| CN100484043C (zh) | 网络防syn洪流攻击检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: HAIXIN GROUP CO., LTD. Free format text: FORMER OWNER: HAIXIN GROUP CO., LTD.; APPLICANT Effective date: 20071214 |
|
| C10 | Entry into substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20071214 Address after: 151, Zhuzhou Road, Laoshan District, Shandong City, Qingdao Province, China: 266100 Applicant after: Hisense Group Co., Ltd. Address before: Zip code 11, Jiangxi Road, Qingdao, Shandong, China: 266071 Applicant before: Hisense Group Co-applicant before: Beijing Hisense Digital Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |