CN108965211A - 基于自适应阈值的ddos攻击防御方法 - Google Patents

基于自适应阈值的ddos攻击防御方法 Download PDF

Info

Publication number
CN108965211A
CN108965211A CN201710358433.8A CN201710358433A CN108965211A CN 108965211 A CN108965211 A CN 108965211A CN 201710358433 A CN201710358433 A CN 201710358433A CN 108965211 A CN108965211 A CN 108965211A
Authority
CN
China
Prior art keywords
ddos attack
adaptive threshold
method based
defense method
ddos
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710358433.8A
Other languages
English (en)
Inventor
田新远
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Teng Teng Teng Information Technology Co Ltd
Original Assignee
Nanjing Teng Teng Teng Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Teng Teng Teng Information Technology Co Ltd filed Critical Nanjing Teng Teng Teng Information Technology Co Ltd
Priority to CN201710358433.8A priority Critical patent/CN108965211A/zh
Publication of CN108965211A publication Critical patent/CN108965211A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于自适应阈值的DDos攻击防御方法,其包括:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。本发明所述基于自适应阈值的DDos攻击防御方法,其能够针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。

Description

基于自适应阈值的DDOS攻击防御方法
技术领域
本发明涉及一种网络安全领域。更具体地说,本发明涉及一种基于自适应阈值的DDos 攻击防御方法。
背景技术
DOS(Denial of Service),即拒绝服务。造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DOS攻击有计算机网络带宽攻击和连通性攻击。
DDoS(Distributed DOS),即分布式拒绝服务。DDoS攻击与DOS攻击类似,只是发起攻击的源是处于不同位置的多个攻击者,同时向一个或多个目标发起攻击,由于攻击的发出点分布在不同的地方,这类攻击称为分布式拒绝服务攻击。
目前网络安全产品的种类非常多,如传统的防火墙、入侵检测、路由器等,由于设计之初就没有考虑相应的DDoS防护,所以这些设备无法针对复杂的DDoS攻击进行有效的检测和防护。虽然目前有不少专业的DDOS防护设备,但通常会使用统计的方法来做防范,由于DDOS攻击的方法不断翻新、变化,单一的防护在DDoS攻击面前显得一筹莫展。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种基于自适应阈值的DDos攻击防御方法,其能够针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。
为了实现根据本发明的这些目的和其它优点,提供了一种基于自适应阈值的DDos攻击防御方法,包括:
通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。
优选的是,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。
优选的是,所述源地址真实性验证采用SYN Cookie、反向路径过滤以及IP/MAC 绑定三种方法进行。
优选的是,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。
优选的是,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。
优选的是,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;
针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;
针对群组内单个IP地址或AAA认证用户级别的流量控制。
本发明至少包括以下有益效果:本发明所述基于自适应阈值的DDOS攻击防御方法,使用了多达7层的分层防御体系,针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
具体实施方式
下面结合实施例对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。
本发明提供一种基于自适应阈值的DDos攻击防御方法,包括:
通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。
在其中一个实施例中,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。
在其中一个实施例中,所述源地址真实性验证采用SYN Cookie、反向路径过滤以及 IP/MAC绑定三种方法进行。
在其中一个实施例中,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于 ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。
在其中一个实施例中,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。
在其中一个实施例中,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;针对群组内单个IP地址或AAA认证用户级别的流量控制。通过上述三个层次的流量控制,均可实现对不同流向、不同服务协议(支持智能协议识别,可识别出采用非标准端口进行网络通讯的网络应用)以及总流量的细致控制。因此,通过综合运用这三个层次的流量控制功能,可完全实现对网络流量的精确、透明控制。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的实施例。

Claims (6)

1.一种基于自适应阈值的DDos攻击防御方法,其特征在于,包括以下步骤:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。
2.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。
3.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述源地址真实性验证采用SYN Cookie、反向路径过滤以及IP/MAC绑定三种方法进行。
4.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。
5.如权利要求4所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。
6.如权利要求5所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;
针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;
针对群组内单个IP地址或AAA认证用户级别的流量控制。
CN201710358433.8A 2017-05-19 2017-05-19 基于自适应阈值的ddos攻击防御方法 Pending CN108965211A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710358433.8A CN108965211A (zh) 2017-05-19 2017-05-19 基于自适应阈值的ddos攻击防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710358433.8A CN108965211A (zh) 2017-05-19 2017-05-19 基于自适应阈值的ddos攻击防御方法

Publications (1)

Publication Number Publication Date
CN108965211A true CN108965211A (zh) 2018-12-07

Family

ID=64462261

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710358433.8A Pending CN108965211A (zh) 2017-05-19 2017-05-19 基于自适应阈值的ddos攻击防御方法

Country Status (1)

Country Link
CN (1) CN108965211A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112491911A (zh) * 2020-12-01 2021-03-12 平安科技(深圳)有限公司 Dns分布式拒绝服务防御方法、装置、设备及存储介质
CN112929369A (zh) * 2021-02-07 2021-06-08 辽宁科技大学 一种分布式实时DDoS攻击检测方法
CN114257566A (zh) * 2020-09-11 2022-03-29 北京金山云网络技术有限公司 域名访问方法、装置和电子设备

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257566A (zh) * 2020-09-11 2022-03-29 北京金山云网络技术有限公司 域名访问方法、装置和电子设备
CN112491911A (zh) * 2020-12-01 2021-03-12 平安科技(深圳)有限公司 Dns分布式拒绝服务防御方法、装置、设备及存储介质
CN112491911B (zh) * 2020-12-01 2022-11-15 平安科技(深圳)有限公司 Dns分布式拒绝服务防御方法、装置、设备及存储介质
CN112929369A (zh) * 2021-02-07 2021-06-08 辽宁科技大学 一种分布式实时DDoS攻击检测方法
CN112929369B (zh) * 2021-02-07 2023-04-07 辽宁科技大学 一种分布式实时DDoS攻击检测方法

Similar Documents

Publication Publication Date Title
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
Mirkovic et al. A taxonomy of DDoS attack and DDoS defense mechanisms
Jakaria et al. Vfence: A defense against distributed denial of service attacks using network function virtualization
Loukas et al. Protection against denial of service attacks: A survey
CN104954367B (zh) 一种互联网全向跨域DDoS攻击防护方法
Zhang et al. Towards a SDN-based integrated architecture for mitigating IP spoofing attack
CN109327426A (zh) 一种防火墙攻击防御方法
Mahimkar et al. Game-based analysis of denial-of-service prevention protocols
CN108965211A (zh) 基于自适应阈值的ddos攻击防御方法
CN104468636A (zh) DDoS威胁过滤与链路重配的SDN架构及工作方法
CN102026199B (zh) 一种WiMAX系统及其防御DDoS攻击的装置和方法
CN106230785A (zh) 一种无私钥的https拒绝服务攻击的防御方法
US20060059558A1 (en) Proactive containment of network security attacks
CN108833430A (zh) 一种软件定义网络的拓扑保护方法
Singh et al. A MAC layer based defense architecture for reduction of quality (RoQ) attacks in wireless LAN
Amiri et al. Theoretical and experimental methods for defending against DDoS attacks
Keshariya et al. DDoS defense mechanisms: A new taxonomy
Chen et al. A novel DDoS attack defending framework with minimized bilateral damages
Farhat Protecting TCP services from denial of service attacks
CN109302427B (zh) 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
Acharya et al. DDoS simulation and hybrid ddos defense mechanism
CN105827630A (zh) 僵尸网络属性识别方法、防御方法及装置
Jeong et al. Hybrid system to minimize damage by zero-day attack based on NIDPS and HoneyPot
Kalangi et al. A hybrid IP trace back mechanism to pinpoint the attacker

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20181207

WD01 Invention patent application deemed withdrawn after publication