CN107770113A - 一种精确确定攻击特征的洪水攻击检测方法 - Google Patents
一种精确确定攻击特征的洪水攻击检测方法 Download PDFInfo
- Publication number
- CN107770113A CN107770113A CN201610668074.1A CN201610668074A CN107770113A CN 107770113 A CN107770113 A CN 107770113A CN 201610668074 A CN201610668074 A CN 201610668074A CN 107770113 A CN107770113 A CN 107770113A
- Authority
- CN
- China
- Prior art keywords
- monitoring device
- hash
- counter
- cryptographic hash
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种精确确定攻击特征的洪水攻击检测方法,包括,S1:在网络入口处设置一监测装置;S2:监测装置监测数据报文,并根据监测结果转发或阻断IP数据包。S2还包括了S21:监测装置创建第一哈希数组、第一计数器、第二哈希数组及第二计数器;S22:监测装置采集SYN数据包信息作为第一哈希值,并依次将第一哈希值、第一计数器的计数值、源地址分别储存到第一哈希数组中;S23:监测装置采集ACK数据包信息作为第二哈希值,并依次将第二哈希值、第二计数器的计数值、源地址分别储存到第二哈希数组中;S24:监测装置检索比较出攻击源。本发明通过比较第一哈希值、第二哈希值及计数器判断出攻击源地址,有效保障网络安全及服务器的稳定性。
Description
技术领域
本发明涉及洪水攻击检测领域,尤其涉及一种精确确定攻击特征的洪水攻击检测方法。
背景技术
SYN洪水攻击(SYN_FLOOD)是一种广为人知的拒绝服务攻击(DOS)与分布式拒绝服务攻击(DDos)的方式之一,其利用了TCP/IP v4协议的缺陷,发送大量伪造的TCP连接请求,迫使服务器端短时间内发出大量的SYN+ACK应答数据包,从而使服务器资源耗尽(CPU满负荷或内存不足)。TCP连接的建立都是从三次握手开始的,1)客户端会发送一个包含同步(Synchronize,SYN)标志的TCP报文,该同步报文会包含了源地址、源端口、目的地址、目的端口、初始系列号等信息;2)服务器在收到客户端的同步报文后,会返回给客户端一个同步+确认报文(Acknowledgment,ACK),该同步+确认报文也包含了源地址、源端口、目的地址、目的端口、初始系列号等信息;3)当客户端接收到同步+确认报文后,会再返回给服务器一个确认报文,此时一个TCP连接完成。如果服务器发出同步+确认报文后,没有收到相应的客户端的确认报文时,会在30s-2min内不断重试发送同步+确认报文,如果在这个期间一直没收到客户端的确认报文则丢弃这个未完成的连接并释放相应的系统资源。洪水攻击使服务器打开了大量的半开连接请求,使正常的客户请求无法请求。在互联网相当普及的今天,要让联网的服务器稳定地运行,及时做好应对洪水攻击的检测工作成为企业网络安全的基本诉求。目前,洪水攻击的检测方法一般为简单地统计报文中同步报文数量,当单位时间内同步报文数量大于预先设定的阈值时,就确定服务器遭受洪水攻击。这种仅仅是统计SYN数量的监测方式误判率很大,往往会统计到正常的业务数据包,给正常业务造成一定的影响。
发明内容
本发明的目的在于克服现有技术中的缺点与不足,提供一种精确确定攻击特征的洪水攻击检测方法。
本发明是通过以下技术方案实现的:一种精确确定攻击特征的洪水攻击检测方法,包括如下步骤:
S1:在网络入口处设置一监测装置,该监测装置包括IP数据包的转发模块、阻断模块及统计模块;
S2:监测装置监测单向流进监测装置的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:
S21:监测装置创建第一哈希数组、第一计数器、第二哈希数组及第二计数器;
S22:监测装置采集来自互联网的SYN数据包并提取SYN数据包信息,先对数据包信息中的IP五元组进行系列化及哈希加密转换得到第一哈希值,然后在第一计数器中累计第一哈希值相同的数据包数量,最后将第一哈希值、第一计数器中的计数值、第一哈希值相同的数据包源地址依次存储至第一哈希数组中;
S23:监测装置采集来自互联网的ACK数据包并提取ACK数据包信息,先对数据包信息中的IP五元组进行系列化及哈希加密转换得到第二哈希值,然后在第二计数器中累计第二哈希值相同的数据包数量,最后将第二哈希值、第二计数器中的计数值、第二哈希值相同的数据包源地址依次存储至第二哈希数组中;
S24:监测装置判断,如果单位时间内第一计数器中的计数值大于预设值,则对第二哈希数组做检索,如果存在第二哈希值与第一哈希值相同且第一计数器中的计数值与第二计数器中的计数值相等,则为正常数据包、否则为洪水攻击数据包,监测装置确定第一哈希数组中的源地址为洪水攻击源地址,并阻断该攻击源地址对服务器的访问。
进一步,所述步骤S22中的哈希加密转换采用MD5加密算法。
进一步,所述步骤S22中,所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识。
进一步,所述步骤S23中,所述IP五元组为ACK数据包的源地址、源端口、目的地址、目的端口、协议标识。
相比于现有技术,本发明的有益效果是:
本发明在互联网入口处集中部署监测装置,有利于数据的集中采集和计算;监测装置可判断如果在单位时间内第一计数器中的计数值大于预设值,则对第二哈希数组做检索,如果存在第二哈希值与第一哈希值相同且第一计数器中的计数值与第二计数器中的计数值相等,则精确判定出洪水攻击源地址,减少误判的情况发生,并可直接从第一哈希数组中提取出洪水攻击源地址,无需做逆向运算,提高监测装置性能,有效保障网络安全及服务器的稳定性。
为了能更清晰的理解本发明,以下将结合附图说明阐述本发明的较佳的实施方式。
附图说明
图1是本发明中的监测装置部署的网络拓扑示意图。
图2是本发明的流程图。
图3是图2中步骤S2的流程图。
具体实施方式
请同时参阅图1至图3,图1是本发明中的监测装置部署的网络拓扑示意图,图2是本发明的流程图,图3是图2中步骤S2的流程图。
见图1和图2,一种精确确定攻击特征的洪水攻击检测方法,包括如下步骤:
S1:在网络入口处设置一监测装置,该监测装置包括IP数据包的转发模块、阻断模块及统计模块,转发模块将进入监测装置的数据包转发到服务器、阻断模块将来自洪水攻击客户端的数据包阻断、统计模块监测并统计进入该监测装置的各种数据包;
S2:监测装置监测单向流进监测装置的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤(见图3):
S21:监测装置创建第一哈希数组、第一计数器、第二哈希数组及第二计数器;
S22:监测装置采集来自互联网的SYN数据包并提取SYN数据包信息,先对数据包信息中的IP五元组进行系列化及哈希加密转换得到第一哈希值,然后在第一计数器中累计第一哈希值相同的数据包数量,最后将第一哈希值、第一计数器中的计数值、第一哈希值相同的数据包源地址依次存储至第一哈希数组中;
S23:监测装置采集来自互联网的ACK数据包并提取ACK数据包信息,先对数据包信息中的IP五元组进行系列化及哈希加密转换得到第二哈希值,然后在第二计数器中累计第二哈希值相同的数据包数量,最后将第二哈希值、第二计数器中的计数值、第二哈希值相同的数据包源地址依次存储至第二哈希数组中;
S24:监测装置判断,如果单位时间内第一计数器中的计数值大于预设值,则对第二哈希数组做检索,如果存在第二哈希值与第一哈希值相同且第一计数器中的计数值与第二计数器中的计数值相等,则为正常数据包、否则为洪水攻击数据包,监测装置确定第一哈希数组中的源地址为洪水攻击源地址,并阻断该攻击源地址对服务器的访问。
本发明的精确确定攻击特征的洪水攻击检测方法根据洪水攻击的特征,即发起攻击的客户端不会发出ACK数据包来对服务器进行应答,从而判断出洪水攻击来源并阻断该来源的数据包,达到防护的目的。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变形不脱离本发明的精神和范围,倘若这些改动和变形属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变形。
Claims (4)
1.一种精确确定攻击特征的洪水攻击检测方法,其特征在于,包括如下步骤:
S1:在网络入口处设置一监测装置,该监测装置包括IP数据包的转发模块、阻断模块及统计模块;
S2:监测装置监测单向流进监测装置的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:
S21:监测装置创建第一哈希数组、第一计数器、第二哈希数组及第二计数器;
S22:监测装置采集来自互联网的SYN数据包并提取SYN数据包信息,先对数据包信息中的IP五元组进行系列化及哈希加密转换得到第一哈希值,然后在第一计数器中累计第一哈希值相同的数据包数量,最后将第一哈希值、第一计数器中的计数值、第一哈希值相同的数据包源地址依次存储至第一哈希数组中;
S23:监测装置采集来自互联网的ACK数据包并提取ACK数据包信息,先对数据包信息中的IP五元组进行系列化及哈希加密转换得到第二哈希值,然后在第二计数器中累计第二哈希值相同的数据包数量,最后将第二哈希值、第二计数器中的计数值、第二哈希值相同的数据包源地址依次存储至第二哈希数组中;
S24:监测装置判断,如果单位时间内第一计数器中的计数值大于预设值,则对第二哈希数组做检索,如果存在第二哈希值与第一哈希值相同且第一计数器中的计数值与第二计数器中的计数值相等,则为正常数据包、否则为洪水攻击数据包,监测装置确定第一哈希数组中的源地址为洪水攻击源地址,并阻断该攻击源地址对服务器的访问。
2.根据权利要求1所述的一种精确确定攻击特征的洪水攻击检测方法,其特征在于,所述步骤S22中的哈希加密转换采用MD5加密算法。
3.根据权利要求2所述的一种精确确定攻击特征的洪水攻击检测方法,其特征在于,所述步骤S22中,所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识。
4.根据权利要求3所述的一种精确确定攻击特征的洪水攻击检测方法,其特征在于,所述步骤S23中,所述IP五元组为ACK数据包的源地址、源端口、目的地址、目的端口、协议标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610668074.1A CN107770113A (zh) | 2016-08-15 | 2016-08-15 | 一种精确确定攻击特征的洪水攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610668074.1A CN107770113A (zh) | 2016-08-15 | 2016-08-15 | 一种精确确定攻击特征的洪水攻击检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107770113A true CN107770113A (zh) | 2018-03-06 |
Family
ID=61260805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610668074.1A Pending CN107770113A (zh) | 2016-08-15 | 2016-08-15 | 一种精确确定攻击特征的洪水攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107770113A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521413A (zh) * | 2018-04-02 | 2018-09-11 | 江苏中控安芯信息安全技术有限公司 | 一种未来信息战争的网络抵抗和防御方法及系统 |
| CN109561111A (zh) * | 2019-01-24 | 2019-04-02 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
| CN112839018A (zh) * | 2019-11-25 | 2021-05-25 | 华为技术有限公司 | 一种度数值生成方法以及相关设备 |
| CN113132339A (zh) * | 2020-01-15 | 2021-07-16 | 阿里巴巴集团控股有限公司 | 流量监控方法、装置及电子设备 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5537540A (en) * | 1994-09-30 | 1996-07-16 | Compaq Computer Corporation | Transparent, secure computer virus detection method and apparatus |
| CN102014109A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 一种泛洪攻击的防范方法及装置 |
| CN105119942A (zh) * | 2015-09-16 | 2015-12-02 | 广东睿江科技有限公司 | 一种洪水攻击检测方法 |
| CN105227348A (zh) * | 2015-08-25 | 2016-01-06 | 广东睿江科技有限公司 | 一种基于ip五元组的哈希存储方法 |
| CN105306436A (zh) * | 2015-09-16 | 2016-02-03 | 广东睿江科技有限公司 | 一种异常流量检测方法 |
-
2016
- 2016-08-15 CN CN201610668074.1A patent/CN107770113A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5537540A (en) * | 1994-09-30 | 1996-07-16 | Compaq Computer Corporation | Transparent, secure computer virus detection method and apparatus |
| CN102014109A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 一种泛洪攻击的防范方法及装置 |
| CN105227348A (zh) * | 2015-08-25 | 2016-01-06 | 广东睿江科技有限公司 | 一种基于ip五元组的哈希存储方法 |
| CN105119942A (zh) * | 2015-09-16 | 2015-12-02 | 广东睿江科技有限公司 | 一种洪水攻击检测方法 |
| CN105306436A (zh) * | 2015-09-16 | 2016-02-03 | 广东睿江科技有限公司 | 一种异常流量检测方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521413A (zh) * | 2018-04-02 | 2018-09-11 | 江苏中控安芯信息安全技术有限公司 | 一种未来信息战争的网络抵抗和防御方法及系统 |
| CN109561111A (zh) * | 2019-01-24 | 2019-04-02 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
| CN109561111B (zh) * | 2019-01-24 | 2021-07-23 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
| CN112839018A (zh) * | 2019-11-25 | 2021-05-25 | 华为技术有限公司 | 一种度数值生成方法以及相关设备 |
| CN113132339A (zh) * | 2020-01-15 | 2021-07-16 | 阿里巴巴集团控股有限公司 | 流量监控方法、装置及电子设备 |
| CN113132339B (zh) * | 2020-01-15 | 2023-04-25 | 阿里巴巴集团控股有限公司 | 流量监控方法、装置及电子设备 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| CN113709105B (zh) * | 2021-07-20 | 2023-08-29 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107770113A (zh) | 一种精确确定攻击特征的洪水攻击检测方法 | |
| Liu et al. | Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things | |
| CN1316369C (zh) | 检测异常不成功的连接尝试次数的方法 | |
| US7711790B1 (en) | Securing an accessible computer system | |
| RU2538292C1 (ru) | Способ обнаружения компьютерных атак на сетевую компьютерную систему | |
| US7373663B2 (en) | Secret hashing for TCP SYN/FIN correspondence | |
| WO2018113594A1 (zh) | 防御dns攻击的方法、装置及存储介质 | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| US8645537B2 (en) | Deep packet scan hacker identification | |
| JP2019532600A (ja) | 輻輳イベント中にメッセージを廃棄するための方法、システム、およびコンピュータ読取可能媒体 | |
| WO2014101758A1 (zh) | 一种检测邮件攻击的方法、装置及设备 | |
| Ohsita et al. | Detecting distributed Denial-of-Service attacks by analyzing TCP SYN packets statistically | |
| US20180278678A1 (en) | System and method for limiting access request | |
| CN101170402A (zh) | 一种采用网流技术防御tcp攻击的方法和系统 | |
| US7478168B2 (en) | Device, method and program for band control | |
| CN101150586A (zh) | Cc攻击防范方法及装置 | |
| KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
| US7552206B2 (en) | Throttling service connections based on network paths | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| CN105991632A (zh) | 网络安全防护方法及装置 | |
| CN114338120A (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
| CN110198290A (zh) | 一种信息处理方法、设备、装置及存储介质 | |
| Bala et al. | Quality based Bottom-up-Detection and Prevention Techniques for DDOS in MANET | |
| CN107770123A (zh) | 一种中央监测的洪水攻击检测方法 | |
| CN107770120A (zh) | 一种分布式监测的洪水攻击检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180306 |
|
| RJ01 | Rejection of invention patent application after publication |