CN108965211A - 基于自适应阈值的ddos攻击防御方法 - Google Patents
基于自适应阈值的ddos攻击防御方法 Download PDFInfo
- Publication number
- CN108965211A CN108965211A CN201710358433.8A CN201710358433A CN108965211A CN 108965211 A CN108965211 A CN 108965211A CN 201710358433 A CN201710358433 A CN 201710358433A CN 108965211 A CN108965211 A CN 108965211A
- Authority
- CN
- China
- Prior art keywords
- ddos attack
- adaptive threshold
- method based
- defense method
- ddos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于自适应阈值的DDos攻击防御方法,其包括:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。本发明所述基于自适应阈值的DDos攻击防御方法,其能够针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。
Description
技术领域
本发明涉及一种网络安全领域。更具体地说,本发明涉及一种基于自适应阈值的DDos 攻击防御方法。
背景技术
DOS(Denial of Service),即拒绝服务。造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DOS攻击有计算机网络带宽攻击和连通性攻击。
DDoS(Distributed DOS),即分布式拒绝服务。DDoS攻击与DOS攻击类似,只是发起攻击的源是处于不同位置的多个攻击者,同时向一个或多个目标发起攻击,由于攻击的发出点分布在不同的地方,这类攻击称为分布式拒绝服务攻击。
目前网络安全产品的种类非常多,如传统的防火墙、入侵检测、路由器等,由于设计之初就没有考虑相应的DDoS防护,所以这些设备无法针对复杂的DDoS攻击进行有效的检测和防护。虽然目前有不少专业的DDOS防护设备,但通常会使用统计的方法来做防范,由于DDOS攻击的方法不断翻新、变化,单一的防护在DDoS攻击面前显得一筹莫展。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种基于自适应阈值的DDos攻击防御方法,其能够针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。
为了实现根据本发明的这些目的和其它优点,提供了一种基于自适应阈值的DDos攻击防御方法,包括:
通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。
优选的是,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。
优选的是,所述源地址真实性验证采用SYN Cookie、反向路径过滤以及IP/MAC 绑定三种方法进行。
优选的是,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。
优选的是,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。
优选的是,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;
针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;
针对群组内单个IP地址或AAA认证用户级别的流量控制。
本发明至少包括以下有益效果:本发明所述基于自适应阈值的DDOS攻击防御方法,使用了多达7层的分层防御体系,针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
具体实施方式
下面结合实施例对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。
本发明提供一种基于自适应阈值的DDos攻击防御方法,包括:
通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。
在其中一个实施例中,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。
在其中一个实施例中,所述源地址真实性验证采用SYN Cookie、反向路径过滤以及 IP/MAC绑定三种方法进行。
在其中一个实施例中,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于 ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。
在其中一个实施例中,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。
在其中一个实施例中,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;针对群组内单个IP地址或AAA认证用户级别的流量控制。通过上述三个层次的流量控制,均可实现对不同流向、不同服务协议(支持智能协议识别,可识别出采用非标准端口进行网络通讯的网络应用)以及总流量的细致控制。因此,通过综合运用这三个层次的流量控制功能,可完全实现对网络流量的精确、透明控制。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的实施例。
Claims (6)
1.一种基于自适应阈值的DDos攻击防御方法,其特征在于,包括以下步骤:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。
2.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。
3.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述源地址真实性验证采用SYN Cookie、反向路径过滤以及IP/MAC绑定三种方法进行。
4.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。
5.如权利要求4所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。
6.如权利要求5所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;
针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;
针对群组内单个IP地址或AAA认证用户级别的流量控制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710358433.8A CN108965211A (zh) | 2017-05-19 | 2017-05-19 | 基于自适应阈值的ddos攻击防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710358433.8A CN108965211A (zh) | 2017-05-19 | 2017-05-19 | 基于自适应阈值的ddos攻击防御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108965211A true CN108965211A (zh) | 2018-12-07 |
Family
ID=64462261
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710358433.8A Pending CN108965211A (zh) | 2017-05-19 | 2017-05-19 | 基于自适应阈值的ddos攻击防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108965211A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112491911A (zh) * | 2020-12-01 | 2021-03-12 | 平安科技(深圳)有限公司 | Dns分布式拒绝服务防御方法、装置、设备及存储介质 |
CN112929369A (zh) * | 2021-02-07 | 2021-06-08 | 辽宁科技大学 | 一种分布式实时DDoS攻击检测方法 |
CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
-
2017
- 2017-05-19 CN CN201710358433.8A patent/CN108965211A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
CN112491911A (zh) * | 2020-12-01 | 2021-03-12 | 平安科技(深圳)有限公司 | Dns分布式拒绝服务防御方法、装置、设备及存储介质 |
CN112491911B (zh) * | 2020-12-01 | 2022-11-15 | 平安科技(深圳)有限公司 | Dns分布式拒绝服务防御方法、装置、设备及存储介质 |
CN112929369A (zh) * | 2021-02-07 | 2021-06-08 | 辽宁科技大学 | 一种分布式实时DDoS攻击检测方法 |
CN112929369B (zh) * | 2021-02-07 | 2023-04-07 | 辽宁科技大学 | 一种分布式实时DDoS攻击检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
Mirkovic et al. | A taxonomy of DDoS attack and DDoS defense mechanisms | |
Jakaria et al. | Vfence: A defense against distributed denial of service attacks using network function virtualization | |
Loukas et al. | Protection against denial of service attacks: A survey | |
CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
Zhang et al. | Towards a SDN-based integrated architecture for mitigating IP spoofing attack | |
CN109327426A (zh) | 一种防火墙攻击防御方法 | |
Mahimkar et al. | Game-based analysis of denial-of-service prevention protocols | |
CN108965211A (zh) | 基于自适应阈值的ddos攻击防御方法 | |
CN104468636A (zh) | DDoS威胁过滤与链路重配的SDN架构及工作方法 | |
CN102026199B (zh) | 一种WiMAX系统及其防御DDoS攻击的装置和方法 | |
CN106230785A (zh) | 一种无私钥的https拒绝服务攻击的防御方法 | |
US20060059558A1 (en) | Proactive containment of network security attacks | |
CN108833430A (zh) | 一种软件定义网络的拓扑保护方法 | |
Singh et al. | A MAC layer based defense architecture for reduction of quality (RoQ) attacks in wireless LAN | |
Amiri et al. | Theoretical and experimental methods for defending against DDoS attacks | |
Keshariya et al. | DDoS defense mechanisms: A new taxonomy | |
Chen et al. | A novel DDoS attack defending framework with minimized bilateral damages | |
Farhat | Protecting TCP services from denial of service attacks | |
CN109302427B (zh) | 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 | |
JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
Acharya et al. | DDoS simulation and hybrid ddos defense mechanism | |
CN105827630A (zh) | 僵尸网络属性识别方法、防御方法及装置 | |
Jeong et al. | Hybrid system to minimize damage by zero-day attack based on NIDPS and HoneyPot | |
Kalangi et al. | A hybrid IP trace back mechanism to pinpoint the attacker |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181207 |
|
WD01 | Invention patent application deemed withdrawn after publication |