CN103856470B - 分布式拒绝服务攻击检测方法及检测装置 - Google Patents
分布式拒绝服务攻击检测方法及检测装置 Download PDFInfo
- Publication number
- CN103856470B CN103856470B CN201210520092.7A CN201210520092A CN103856470B CN 103856470 B CN103856470 B CN 103856470B CN 201210520092 A CN201210520092 A CN 201210520092A CN 103856470 B CN103856470 B CN 103856470B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- message
- address
- threshold value
- masterplate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种分布式拒绝服务攻击的检测方法,其包括步骤:统计单位时间内接收到的源IP地址或者目的IP地址的报文个数,比较所述报文个数和预置的阀值;当所述报文个数大于所述预置的阀值时,提取其中一个报文的指纹作为模版指纹;判断后续单位时间内接收到匹配所述模版指纹的源IP地址或者目的IP地址的报文个数是否大于所述阈值,如果是,则判断受到攻击,否则判断没有受到攻击。应用本发明能够在保证检测准确性的同时提高响应速度和检测性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种分布式拒绝服务攻击的检测方法及检测装置。
背景技术
现有通过网络对服务器进行远程攻击的方式中有一种为拒绝服务攻击(Denialof Service,简称DoS),攻击者向服务器发送带有虚假地址的请求,服务器发送回复报文到虚假地址,然后服务器一直等待所需的回复报文。拒绝服务攻击会占据服务器过多的资源,从而使合法用户无法得到服务器的响应。由于服务器的处理能力通常较高,利用单个计算机进行DoS攻击往往无法达到预期的效果,因此出现了分布式拒绝服务攻击(DistributedDenial of Service,简称DDoS)。攻击者首先控制大量的傀儡计算机,并将其中一部分傀儡计算机设置为主控端,然后攻击者发送攻击指令给各个主控端,并由主控端将指令发送给所有的傀儡计算机,最后傀儡计算机对指定的服务器进行DoS攻击,从而造成服务器超载或者死机。
为了检测DDoS的攻击,现有检测DDoS攻击的方案主要有两种:
一种为:基于报文的源IP或者目的IP进行计数,如果计数超过了设定的阈值,那么就对后续的报文做丢弃处理;
另一种为:基于签名的检测,类似于对病毒和木马的检测,如果签名匹配的报文超过了设定的阈值,那么就对后续的报文做丢弃处理。
在上述两种检测DDoS攻击的方法中,至少存在如下问题:
第一种检测方法准确性较低,对正常报文的误伤概率很高;
第二种检测方法中,由于签名涉及到传输层以及之上的所有协议的重组,还有正则表达式的匹配,因此这种检测方法的响应速度较慢,检测性能较差。响应速度较慢意味着,攻击发生后,很长时间内业务都不能正常工作,损失非常大。而检测性能差的问题,导致必须增加投资成本,多购买防火墙设备,投资成本通常需要增加十倍以上。
发明内容
本发明要解决的技术问题是,针对上述缺陷,如何提供一种分布式拒绝服务攻击的检测方法及检测装置,其能够在保证检测准确性的同时提高响应速度和检测性能。
为解决上述技术问题,本发明提供了一种分布式拒绝服务攻击的检测方法,其包括步骤:
统计单位时间内接收到的源IP地址或者目的IP地址的报文个数,比较所述报文个数和预置的阈值;
当所述报文个数大于所述预置的阈值时,提取其中一个报文的指纹作为模版指纹;
判断后续单位时间内接收到匹配所述模版指纹的源IP地址或者目的IP地址的报文个数是否大于所述阈值,如果是,则判断受到攻击,否则判断没有受到攻击。
本发明还提供一种分布式拒绝服务攻击检测装置,其包括:
统计比较单元,用于统计单位时间内接收到的源IP地址或者目的IP地址的报文个数并比较所述报文个数和预置的阈值;
指纹提取单元,用于当所述报文个数大于所述预置的阈值时,提取其中一个报文的指纹作为模版指纹;
第一处理单元,用于判断后续单位时间内接收到匹配所述模版指纹的源IP地址或者目的IP地址的报文个数是否大于所述阈值,如果是,则判断受到攻击,否则判断没有受到攻击。
本发明通过提取报文指纹、匹配报文指纹保证了检测准确性,同时提高了响应速度和检测性能。
附图说明
图1是本发明实施例所述的分布式拒绝服务攻击的检测方法的流程图;
图2是本发明实施例所述的报文的指纹的结构示意图;
图3是本发明一个实施方式中分布式拒绝服务攻击检测装置的结构示意图;
图4是本发明另一个实施方式中分布式拒绝服务攻击检测装置的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细说明。以下实施例用于说明本发明,但不用来限制本发明的范围。
参见图1,本发明提供了一种分布式拒绝服务攻击的检测方法,包括步骤:
统计单位时间内接收到的源IP地址或者目的IP地址的报文个数,比较所述报文个数和预置的阈值(S1);优选地,所述单位时间为1秒。
当所述报文个数大于所述预置的阈值时,提取其中一个报文的指纹作为模版指纹(S2);
判断后续单位时间内接收到匹配所述模版指纹的源IP地址或者目的IP地址的报文个数是否大于所述阈值(S3),如果是,则判断受到攻击,否则判断没有受到攻击。
优选的,当判断受到攻击时,丢弃单位时间内超过所述阈值的后续报文。也可在当判断受到攻击时,丢弃单位时间内接收到的所有匹配所述模版指纹的源IP地址或者目的IP地址的报文。
优选的,当判断没有受到攻击时,判断连续数个单位时间内接收到匹配所述模版指纹的具有相同源IP地址或者目的IP地址的报文个数是否均未超过所述阈值,如果均未超过所述阈值,则删除所述模版指纹,并将下一个报文的指纹作为模版指纹。
其中,作为模版指纹的指纹个数是可配置的,一般不超过十个。
可选的,通过指纹学习的方式提取所述一个报文的指纹,当然报文的指纹也可以是通过手动下发,不一定必须通过学习(包括自动学习)的方式。
一般来说,报文的指纹由报文的特征数据组成,可选的,所述指纹由所述报文数据段中若干个特征数据段构成。通常是数据段开始偏移多少位的几个字节,数据段末尾偏移多少位几个字节。可以根据实际需要,设置偏移位和取多少个字节以及数据段的个数,如图2所示,报文的指纹由三个特征数据段组成。
本发明还提供一种分布式拒绝服务攻击检测装置,如图3所示,其包括:
统计比较单元(100),用于统计单位时间内接收到的源IP地址或者目的IP地址的报文个数并比较所述报文个数和预置的阈值;
指纹提取单元(200),用于当所述报文个数大于所述预置的阈值时,提取其中一个报文的指纹作为模版指纹;
第一处理单元(300),用于判断后续单位时间内接收到匹配所述模版指纹的源IP地址或者目的IP地址的报文个数是否大于所述阈值,如果是,则判断受到攻击,否则判断没有受到攻击。
可选的,所述第一处理单元还用于当判断受到攻击时丢弃该单位时间内接收到的所有匹配所述模版指纹的源IP地址或者目的IP地址的报文。
可选的,所述第一处理单元还用于当判断受到攻击时丢弃单位时间内超过所述阈值的后续报文。
可选的,如图4所示,所述装置还包括第二处理单元(400),用于:当判断没有受到攻击时判断连续数个单位时间内接收到匹配所述模版指纹的具有相同源IP地址或者目的IP地址的报文个数是否均未超过所述阈值,如果均未超过所述阈值,则删除所述模版指纹,并向所述指纹提取单元发出指令以提取下一个报文的指纹作为模版指纹。
综上所述,利用本发明所述的分布式拒绝服务攻击的检测方法及检测装置,通过提取报文指纹以及匹配报文指纹,能够在保证检测准确性的同时提高响应速度和检测性能。具体来说,相对于现有技术中的第一种方案,很大程度上提高了检测的准确性,相比于现有技术中的第二种方案,性能提高了一个等级,而且减少了设备采购数量、降低了投资成本,同时通过自动学习功能还能让响应用期加快,几秒中之内就能进行自动检测和防御,降低了受攻击时的业务损失。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (9)
1.一种分布式拒绝服务攻击的检测方法,其特征在于,包括步骤:
统计单位时间内接收到的源IP地址或者目的IP地址的报文个数,比较所述报文个数和预置的阈值;
当所述报文个数大于所述预置的阈值时,提取其中一个报文的指纹作为模版指纹,所述报文的指纹由报文的特征数据组成,其中所述指纹由所述报文数据段中若干个特征数据段构成;
判断后续单位时间内接收到匹配所述模版指纹的源IP地址或者目的IP地址的报文个数是否大于所述阈值,如果是,则判断受到攻击,否则判断没有受到攻击;
其中,当判断没有受到攻击时,判断连续数个单位时间内接收到匹配所述模版指纹的具有相同源IP地址或者目的IP地址的报文个数是否均未超过所述阈值,如果均未超过所述阈值,则删除所述模版指纹,并将下一个报文的指纹作为模版指纹。
2.如权利要求1所述的方法,其特征还在于:当判断受到攻击时,丢弃单位时间内接收到的所有匹配所述模版指纹的源IP地址或者目的IP地址的报文。
3.如权利要求1所述的方法,其特征还在于:当判断受到攻击时,丢弃单位时间内超过所述阈值的后续报文。
4.如权利要求1所述的方法,其特征还在于:
作为模版指纹的指纹个数是可配置的。
5.如权利要求1-4任一项所述的方法,其特征还在于:通过指纹学习的方式提取所述一个报文的指纹。
6.如权利要求1-4任一项所述的方法,其特征还在于:所述一个报文的指纹是通过手动下发。
7.一种分布式拒绝服务攻击检测装置,其特征在于,包括:
统计比较单元,用于统计单位时间内接收到的源IP地址或者目的IP地址的报文个数并比较所述报文个数和预置的阈值;
指纹提取单元,用于当所述报文个数大于所述预置的阈值时,提取其中一个报文的指纹作为模版指纹,所述报文的指纹由报文的特征数据组成,其中所述指纹由所述报文数据段中若干个特征数据段构成;
第一处理单元,用于判断后续单位时间内接收到匹配所述模版指纹的源IP地址或者目的IP地址的报文个数是否大于所述阈值,如果是,则判断受到攻击,否则判断没有受到攻击;
所述装置还包括第二处理单元,用于:当判断没有受到攻击时判断连续数个单位时间内接收到匹配所述模版指纹的具有相同源IP地址或者目的IP地址的报文个数是否均未超过所述阈值,如果均未超过所述阈值,则删除所述模版指纹,并向所述指纹提取单元发出指令以提取下一个报文的指纹作为模版指纹。
8.根据权利要求7所述的装置,其特征还在于:
所述第一处理单元还用于当判断受到攻击时丢弃该单位时间内接收到的所有匹配所述模版指纹的源IP地址或者目的IP地址的报文。
9.根据权利要求7所述的装置,其特征还在于:
所述第一处理单元还用于当判断受到攻击时丢弃单位时间内超过所述阈值的后续报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210520092.7A CN103856470B (zh) | 2012-12-06 | 2012-12-06 | 分布式拒绝服务攻击检测方法及检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210520092.7A CN103856470B (zh) | 2012-12-06 | 2012-12-06 | 分布式拒绝服务攻击检测方法及检测装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103856470A CN103856470A (zh) | 2014-06-11 |
| CN103856470B true CN103856470B (zh) | 2018-06-19 |
Family
ID=50863690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210520092.7A Active CN103856470B (zh) | 2012-12-06 | 2012-12-06 | 分布式拒绝服务攻击检测方法及检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103856470B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656848B (zh) * | 2014-11-13 | 2020-05-05 | 腾讯数码(深圳)有限公司 | 应用层快速攻击检测方法和相关装置 |
| CN105119912A (zh) * | 2015-08-06 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种端口防扫描方法、系统、及一种电子装置 |
| CN106559394B (zh) * | 2015-09-29 | 2020-08-11 | 腾讯科技(深圳)有限公司 | 网络操作控制方法及装置 |
| CN105592061A (zh) * | 2015-10-27 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种攻击规则的关闭方法和装置 |
| CN106357628B (zh) * | 2016-08-31 | 2019-09-06 | 东软集团股份有限公司 | 攻击的防御方法及装置 |
| CN106470214B (zh) * | 2016-10-21 | 2020-03-06 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
| CN108566384B (zh) * | 2018-03-23 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 一种流量攻击防护方法、装置、防护服务器及存储介质 |
| CN110875918B (zh) * | 2018-12-06 | 2022-02-11 | 北京安天网络安全技术有限公司 | 一种木马通信行为的检测方法、装置及电子设备 |
| CN112839018B (zh) * | 2019-11-25 | 2022-11-18 | 华为技术有限公司 | 一种度数值生成方法以及相关设备 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
| CN111669371B (zh) * | 2020-05-18 | 2022-09-30 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
| CN111786971A (zh) * | 2020-06-19 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 主机爆破攻击的防御方法、装置和计算机设备 |
| CN111917787B (zh) * | 2020-08-06 | 2023-07-21 | 北京奇艺世纪科技有限公司 | 请求检测方法、装置、电子设备和计算机可读存储介质 |
| CN112291263A (zh) * | 2020-11-17 | 2021-01-29 | 珠海大横琴科技发展有限公司 | 一种数据阻断的方法和装置 |
| CN113542012B (zh) * | 2021-06-23 | 2023-01-10 | 江苏云洲智能科技有限公司 | 一种故障检测方法、故障检测装置及电子设备 |
| CN113783857B (zh) * | 2021-08-31 | 2023-11-07 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN118041565A (zh) * | 2022-11-11 | 2024-05-14 | 华为技术有限公司 | 检测攻击流量的方法及相关设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100369416C (zh) * | 2005-05-09 | 2008-02-13 | 杭州华三通信技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| CN101505219A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 一种防御拒绝服务攻击的方法和防护装置 |
| CN101505218A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| CN101599976B (zh) * | 2009-07-10 | 2012-10-17 | 成都市华为赛门铁克科技有限公司 | 过滤用户数据报协议数据包的方法和装置 |
-
2012
- 2012-12-06 CN CN201210520092.7A patent/CN103856470B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| CN100369416C (zh) * | 2005-05-09 | 2008-02-13 | 杭州华三通信技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN101505219A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 一种防御拒绝服务攻击的方法和防护装置 |
| CN101505218A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| CN101599976B (zh) * | 2009-07-10 | 2012-10-17 | 成都市华为赛门铁克科技有限公司 | 过滤用户数据报协议数据包的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103856470A (zh) | 2014-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103856470B (zh) | 分布式拒绝服务攻击检测方法及检测装置 | |
| CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
| CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| CN107018084B (zh) | 基于sdn架构的ddos攻击防御网络安全方法 | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| CN102487339A (zh) | 一种网络设备攻击防范方法及装置 | |
| CN103916387B (zh) | 一种防护ddos攻击的方法及系统 | |
| CN103916379B (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
| US11190543B2 (en) | Method and system for detecting and mitigating a denial of service attack | |
| CN105577669B (zh) | 一种识别虚假源攻击的方法及装置 | |
| CN109818970A (zh) | 一种数据处理方法及装置 | |
| CN108429731A (zh) | 防攻击方法、装置及电子设备 | |
| CN113556343B (zh) | 基于浏览器指纹识别的DDoS攻击防御方法及设备 | |
| CN110166480A (zh) | 一种数据包的分析方法及装置 | |
| US20180020014A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
| CN103067384A (zh) | 威胁处理方法及系统、联动客户端、安全设备及主机 | |
| CN104378358A (zh) | 一种基于服务器日志的HTTP Get Flood攻击防护方法 | |
| CN107690004A (zh) | 地址解析协议报文的处理方法及装置 | |
| CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
| CN108667782B (zh) | 一种用于DNS服务的DDoS攻击防御方法及系统 | |
| CN110784487B (zh) | 一种基于数据包抽检模型的sdn节点防御方法 | |
| CN104660584A (zh) | 基于网络会话的木马病毒分析技术 | |
| CN109936557A (zh) | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 | |
| CN104378357A (zh) | 一种HTTP Get Flood攻击的防护方法 | |
| CN109347810A (zh) | 一种处理报文的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230712 Address after: 518057 Tencent Building, No. 1 High-tech Zone, Nanshan District, Shenzhen City, Guangdong Province, 35 floors Patentee after: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 2, 518057, East 403 room, SEG science and Technology Park, Zhenxing Road, Shenzhen, Guangdong, Futian District Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |
|
| TR01 | Transfer of patent right |