CN111200614B - 一种针对第三方匿名EDoS攻击的防御方法及系统 - Google Patents

一种针对第三方匿名EDoS攻击的防御方法及系统 Download PDF

Info

Publication number
CN111200614B
CN111200614B CN202010015585.XA CN202010015585A CN111200614B CN 111200614 B CN111200614 B CN 111200614B CN 202010015585 A CN202010015585 A CN 202010015585A CN 111200614 B CN111200614 B CN 111200614B
Authority
CN
China
Prior art keywords
flow
request
value
database
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010015585.XA
Other languages
English (en)
Other versions
CN111200614A (zh
Inventor
金舒原
肖睿智
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN202010015585.XA priority Critical patent/CN111200614B/zh
Publication of CN111200614A publication Critical patent/CN111200614A/zh
Application granted granted Critical
Publication of CN111200614B publication Critical patent/CN111200614B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出一种针对第三方匿名EDoS攻击的防御方法,包括以下步骤:流量监控器实时对云服务器流出流量进行监控;若流量监控器监控得到的当前流出流量大于或等于报警阈值时,响应器提取由第三方服务器发出的请求中的时间戳和IP信息,判断其是否为数据库中检测标志位为1的IP,若是,则将请求中的时间戳和IP信息发送到处理器中,处理器在数据库中查询该IP的历史访问信息,判断该IP是否为恶意用户,若是,则通过网关或防火墙动态调整请求IP的带宽,从而实现针对第三方匿名EDoS攻击的防御。本发明还提出了一种针对第三方匿名EDoS攻击的防御系统,应用上述的防御方法部署在需要防范EDoS攻击的云服务器上。

Description

一种针对第三方匿名EDoS攻击的防御方法及系统
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种针对第三方匿名EDoS攻击的防御方法及系统。
背景技术
对云造成经济损失的EDoS(Economic Denial of Sustainability)攻击方式,与传统的DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的目标不同,EDoS的攻击目标不在于破坏受害者服务的可用性,而在于使受害者付出高昂的经济代价,而又因EDoS攻击的利用手段多样,防范难度较大。随着云计算的发展,EDoS的攻击方式也越来越多样化,现有一种滥用互联网巨头提供的免费公共第三方服务,对云用户发起放大攻击,从而实现匿名EDoS攻击的方法,该方法可以用非常低的成本轻松进行EDoS攻击,使受害者遭受严重的经济损失。
目前的防御方法主要是通过设置黑白名单过滤、基于挑战、统计特征这三种方式实现,其中,采用设置黑白名单过滤的方法对于解决匿名EDoS攻击并不奏效,因为不能分辨请求是恶意的还是合法用户发起的;采用挑战的方法中,主要通过解决一个Challenge或Puzzle来分辨恶意用户和合法用户,该方法也不适用于利用第三方进行匿名EDoS攻击的场景,因为首先这种防御方法会严重干扰合法用户的使用降低其满意度,此外,该方法不允许通过第三方代理访问web资源。
发明内容
本发明为克服上述现有技术所述的采用黑白名单过滤、给予挑战的防御方法的局限性的缺陷,提供一种针对第三方匿名EDoS攻击的防御方法,以及一种针对第三方匿名EDoS攻击的防御系统。
为解决上述技术问题,本发明的技术方案如下:
一种针对第三方匿名EDoS攻击的防御方法,包括以下步骤:
S1:流量监控器实时对其所在的云服务器流出的流量大小进行监控;
S2:所述流量监控器根据其预设的报警阈值进行判断:若监控得到的当前流出流量大于或等于所述报警阈值时,则执行S3步骤;若监控得到的当前流出流量小于所述报警阈值时,则执行S1步骤;
S3:云服务器中的响应器提取由第三方服务器发出的请求中的时间戳和IP信息;
S4:所述响应器判断所述请求中的IP信息是否为数据库中检测标志位为1的IP:若是,则执行S5步骤;若否,则正常响应所述请求,并跳转执行S1步骤;
S5:所述响应器将所述请求中的时间戳和IP信息发送到同一云服务器中的处理器中,所述处理器在数据库中查询该IP的历史访问信息,判断该IP是否为恶意用户:若是,则通过网关或防火墙动态调整请求IP的带宽;若否,则正常响应所述请求,并跳转执行S1步骤。
本技术方案中,采用流量监控器实时监控云服务器流出流量的大小,当云服务器流出的流量值大于其预设的报警阈值时,通过响应器提取由第三方服务器发出的请求中的时间戳和IP信息,实现对通信流量大于报警阈值的IP进行检测,然后通过处理器根据该IP在数据库中的历史访问信息判断该IP是否可能为恶意用户,并根据判断结果通过网关或防火墙动态调整请求IP的带宽,从而实现对第三方匿名EDoS攻击的防御。
优选地,所述S1步骤中,所述流量监控器对其所在的云服务器流出的流量大小进行监控的步骤包括:获取所述流量监控器所在的云服务器流出的流量大小、峰值流量大小,以及当前各IP占用的流量大小、流量大小排名情况。
优选地,所述S2步骤中,所述流量监控器根据其预设的报警阈值进行判断的具体步骤:
S21:所述流量监控器对当前流出流量与历史平均流量值进行判断:若当前流出流量大于或等于历史平均流量值时,则在数据库中对t秒时间内当前占用流量大小排名为前rate0的IP的标志位设置为1,跳转执行S3步骤,并更新所述数据库中的历史平均流量值;若当前流出流量小于历史平均流量值时,则更新所述数据库中的历史平均流量值,并执行S22步骤;其中,t为正整数,表示预设的时间段;rate0为百分比值,表示所述流量监控器预设的第一排名阈值;
S22:所述流量监控器对当前流出流量峰值与历史平均峰值流量值进行判断:若监控得到的当前流出流量峰值大于或等于历史平均峰值流量值时,则在数据库中对t秒时间内当前占用流量大小排名为前rate1的IP的标志位设置为1,并更新所述数据库中的历史平均峰值流量值,跳转执行S3步骤;若当前流出流量峰值小于历史平均峰值流量值时,则更新所述数据库中的历史平均峰值流量值,跳转执行S1步骤;其中,rate1为百分比值,表示所述流量监控器预设的第二排名阈值。
优选地,所述S2步骤中,更新所述数据库中的历史平均流量值和历史平均峰值流量值的计算公式如下:
Figure GDA0003207769430000031
Figure GDA0003207769430000032
保存次数=保存次数+1;
其中,保存次数表示历史平均流量值中保存当前流出流量的次数,以及历史平均峰值流量值中保存当前流出流量峰值的次数。
优选地,所述rate0取值为20%,所述rate1取值为50%;所述流量监控器中预设的时间段t的取值范围为5~40秒。
优选地,所述S5步骤中,其具体步骤如下:
S51:所述响应器将所述请求中的时间戳和IP信息发送到处理器中,所述处理器判断当前检测计数值DC是否大于其预设的每轮检测上限DR:若是,则将检测计数值DC和检测时请求平均时间间隔值DATI清零,然后执行S52步骤;若否,则更新数据库中检测计数值DC和检测时请求平均时间间隔值DATI,然后正常响应请求,并跳转执行S1步骤;
S52:所述处理器将所述检测时请求平均时间间隔值DATI与历史请求平均时间间隔ATI进行比较并通过网关或防火墙动态调整请求IP的带宽。
优选地,所述S52步骤中,其通过网关或防火墙动态调整请求IP的带宽的具体步骤包括:
(1)当DATI≥L0*ATI时,则判定所述IP对应的请求为恶意请求,并在此后的100~200个t秒时间内拒绝所述IP的请求;其中,L0为百分比,表示判断比例,ATI表示历史请求的平均时间间隔;
(2)当L1*ATI≤DATI<L0*ATI时,则判定所述IP对应的请求中可能包含恶意请求,并缩小所述IP的带宽为原来的(L1-1)大小;其中,L1为1/2*L0
(3)当L2*ATI≤DATI<L1*ATI时,则对所述IP不作带宽调整处理;其中L2为1/2*L1
(4)当DATI<L2*ATI时,则扩增所述IP的带宽为原来的(1/L2)大小。
优选地,所述判断比例L0的取值范围为200%~400%,则判断比例L1的取值范围为100~200%,判断比例L2的取值范围为50~100%。
本发明还提出了一种针对第三方匿名EDoS攻击的防御系统,应用于上述一种针对第三方匿名EDoS攻击的防御方法,包括流量监控器、响应器、处理器、数据库、和网关/防火墙,流量监控器、响应器、处理器、数据库、和网关/防火墙部署在云服务器上,流量监控器的输出端与数据库的输入端连接,响应器与处理器数据交互,处理器与和网关/防火墙数据交互,数据库分别与响应器和处理器数据交互;其中:数据库中存储有每个请求的IP信息;流量监控器用于实时对云服务器流出流量大小进行监控,然后将云服务器的流出流量数据存储在数据库中;响应器用于接收第三方服务器发出的请求,以及向第三方服务器返回响应;处理器用于根据响应器发送的请求中的时间戳和IP信息以及数据库中存储的数据,判断该IP是否为恶意用户,然后通过网关或防火墙动态调整请求IP的带宽。
优选地,数据库中存储的每个请求的IP信息包括但不仅限于:IP、上次请求时间戳、历史请求的平均时间间隔ATI、历史请求次数、检测标志位、每轮检测上限DR、当前检测计数值DC、检测时请求平均时间间隔值DATI。
与现有技术相比,本发明技术方案的有益效果是:采用流量监控器对其所在的云服务器流出的流量数据进行监测,结合响应器、处理器和数据库对第三方服务器发出的请求的IP信息进行比对判断,再通过网关或防火墙动态调整分配给请求IP的带宽,实现对第三方匿名EDoS攻击的防御,能够有效降低EDoS攻击带来的流量损耗和经济损失。
附图说明
图1为实施例1的针对第三方匿名EDoS攻击的防御方法的流程图。
图2为实施例2的针对第三方匿名EDoS攻击的防御系统的结构示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
本实施例提出一种针对第三方匿名EDoS攻击的防御方法,如图1所示,为本实施例的针对第三方匿名EDoS攻击的防御方法的流程图。
本实施例提出的针对第三方匿名EDoS攻击的防御方法中,包括以下步骤:
S1:流量监控器实时对其所在的云服务器流出的流量大小进行监控,其中,流量监控器监控得到其所在的云服务器流出的量大小、峰值流量大小,以及当前各IP占用的流量大小、流量大小排名情况。
S2:流量监控器根据其预设的报警阈值进行判断:若监控得到的当前流出流量大于或等于报警阈值时,则执行S3步骤;若监控得到的当前流出流量小于报警阈值时,则执行S1步骤;其具体步骤如下:
S21:所述流量监控器对当前流出流量与历史平均流量值进行判断:若当前流出流量大于或等于历史平均流量值时,则在数据库中对t秒时间内当前占用流量大小排名为前rate0的IP的标志位设置为1,跳转执行S3步骤,并更新所述数据库中的历史平均流量值;若当前流出流量小于历史平均流量值时,则更新所述数据库中的历史平均流量值,并执行S22步骤;其中,t取值为10秒;rate0取值为20%;
S22:所述流量监控器对当前流出流量峰值与历史平均峰值流量值进行判断:若监控得到的当前流出流量峰值大于或等于历史平均峰值流量值时,则在数据库中对t秒时间内当前占用流量大小排名为前rate1的IP的标志位设置为1,并更新所述数据库中的历史平均峰值流量值,跳转执行S3步骤;若当前流出流量峰值小于历史平均峰值流量值时,则更新所述数据库中的历史平均峰值流量值,跳转执行S1步骤;其中,rate1取值为50%。
本实施例中,更新所述数据库中的历史平均流量值和历史平均峰值流量值的计算公式如下:
Figure GDA0003207769430000061
Figure GDA0003207769430000062
保存次数=保存次数+1;
其中,保存次数表示历史平均流量值中保存当前流出流量的次数,以及历史平均峰值流量值中保存当前流出流量峰值的次数。
S3:云服务器中的响应器提取由第三方服务器发出的请求中的时间戳和IP信息;
S4:响应器判断请求中的IP信息是否为数据库中检测标志位为1的IP:若是,则执行S5步骤;若否,则正常响应请求,并跳转执行S1步骤;
S5:响应器将请求中的时间戳和IP信息发送到同一云服务器中的处理器中,处理器在数据库中查询该IP的历史访问信息,判断该IP是否为恶意用户:若是,则通过网关或防火墙动态调整请求IP的带宽;若否,则正常响应请求,并跳转执行S1步骤;其具体步骤如下:
S51:响应器将请求中的时间戳和IP信息发送到处理器中,处理器判断当前检测计数值DC是否大于其预设的每轮检测上限DR:若是,则将检测计数值DC和检测时请求平均时间间隔值DATI(Detection Average Time Interval)清零,然后执行S52步骤;若否,则更新数据库中检测计数值DC和检测时请求平均时间间隔值DATI,然后正常响应请求,并跳转执行S1步骤;
S52:处理器将检测时请求平均时间间隔值DATI与历史请求平均时间间隔ATI进行比较并通过网关或防火墙动态调整请求IP的带宽。
在本实施例中,通过网关或防火墙动态调整请求IP的带宽的具体步骤包括:
(1)当DATI≥L0*ATI时,则判定所述IP对应的请求为恶意请求,并在此后的100~200个t秒时间内拒绝所述IP的请求;其中,L0取值为300%,ATI(Average Time Interval)表示历史请求的平均时间间隔;
(2)当L1*ATI≤DATI<L0*ATI时,则判定所述IP对应的请求中可能包含恶意请求,并缩小所述IP的带宽为原来的(L1-1)大小;其中,L1为1/2*L0,即L1取值为150%,带宽缩小为原来的50%;
(3)当L2*ATI≤DATI<L1*ATI时,则对所述IP不作带宽调整处理;其中L2为1/2*L1,即L2取值为75%;
(4)当DATI<L2*ATI时,则扩增所述IP的带宽为原来的(1/L2)大小。
本实施例中所采用的流量监控器为Linux下的iftop工具,实时监测其所在的云服务器流出的流量数据并记录在数据库中,当云服务器流出的流量值大于其预设的报警阈值时,通过响应器提取由第三方服务器发出的请求中的时间戳和IP信息,实现对通信流量大于报警阈值的IP进行检测,然后通过处理器根据该IP在数据库中的历史访问信息判断该IP是否可能为恶意用户,并根据判断结果通过网关或防火墙动态调整分配给请求IP的带宽,从而实现对第三方匿名EDoS攻击的防御。
实施例2
本实施例提出一种针对第三方匿名EDoS攻击的防御系统,如图2所示,为本实施例的针对第三方匿名EDoS攻击的防御系统的结构示意图。
本实施例提出的针对第三方匿名EDoS攻击的防御系统应用于实施例1提出的一种针对第三方匿名EDoS攻击的防御方法,包括流量监控器1、响应器2、处理器3、数据库4、和网关/防火墙5。其中,流量监控器1、响应器2、处理器3、数据库4、和网关/防火墙5部署在云服务器上,流量监控器1的输出端与数据库4的输入端连接,响应器2与处理器3数据交互,处理器3与和网关/防火墙5数据交互,数据库4分别与响应器2和处理器3数据交互。
本实施例中,流量监控器1用于实时对云服务器流出流量大小进行监控,然后将云服务器的流出流量数据存储在数据库4中;响应器2用于接收第三方服务器发出的请求,以及向第三方服务器返回请求的响应;处理器3用于根据响应器2发送的请求中的时间戳和IP信息以及数据库4中存储的数据,判断该IP是否为恶意用户,然后通过网关或防火墙5动态调整请求IP的带宽。
本实施例中,数据库中存储的每个请求的IP信息包括:IP、上次请求时间戳、历史请求的平均时间间隔ATI、历史请求次数、检测标志位、每轮检测上限(Detection Rate,DR)、当前检测计数值(Detection Counter,DC)、检测时请求平均时间间隔值DATI。
在具体实施过程中,本实施例的针对第三方匿名EDoS攻击的防御系统中的流量监控器1实时对其所在的云服务器流出的流量大小进行监控,具体的,流量监控器1对云服务器当前流出流量与历史平均流量值进行判断,以及对云服务器当前流出流量峰值与历史平均峰值流量值进行判断,当流量监控器1监控得到的当前流出流量大于或等于作为报警阈值的历史平均流量值和历史平均峰值流量值时,流量监控器1向响应器2发送报警信号,响应器2将该请求中的时间戳和IP信息进行提取,响应器2通过与数据库4的数据交互,判断当前请求中的IP信息在数据库中的检测标志位是否为1,若是,则响应器2将该请求中的时间戳和IP信息发送至处理器3中进一步检测。
处理器3根据该请求的IP信息在数据库中查询该IP的历史访问信息,判断该IP是否为恶意用户,具体的,处理器3通过与数据库4进行数据交互,获得该请求的IP信息对应的当前检测计数值DC和每轮检测上限DR,判断该请求的IP信息对应的当前检测计数值DC是否大于每轮检测上限DR,若是,则将检测计数值DC和检测时请求平均时间间隔值DATI清零,然后进一步将检测时请求平均时间间隔值DATI与历史请求平均时间间隔ATI进行比较,并通过网关或防火墙5动态调整请求IP的带宽;若否,则更新数据库4中检测计数值DC和检测时请求平均时间间隔值DATI,然后正常响应请求。
在通过网关或防火墙5动态调整请求IP的带宽的过程中,处理器3通过与数据库4进行数据交互,获得该请求的IP信息对应的历史请求的平均时间间隔ATI以及检测时请求平均时间间隔值DATI,然后处理器3将其进行比较,根据其数值大小比较选取不同的策略对请求IP的带宽进行调整,具体的:
(1)当DATI≥L0*ATI时,则判定所述IP对应的请求为恶意请求,并在此后的100~200个t秒时间内拒绝所述IP的请求;其中,L0取值为300%,ATI表示历史请求的平均时间间隔;
(2)当L1*ATI≤DATI<L0*ATI时,则判定所述IP对应的请求中可能包含恶意请求,并缩小所述IP的带宽为原来的(L1-1)大小;其中,L1为1/2*L0,即L1取值为150%,带宽缩小为原来的50%;
(3)当L2*ATI≤DATI<L1*ATI时,则对所述IP不作带宽调整处理;其中L2为1/2*L1,即L2取值为75%;
(4)当DATI<L2*ATI时,则扩增所述IP的带宽为原来的(1/L2)大小。
本实施例提出的针对第三方匿名EDoS攻击的防御系统为部署在需要防范EDoS攻击的云服务器上,能够有效降低EDoS攻击带来的流量损耗和经济损失。
相同或相似的标号对应相同或相似的部件;
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (9)

1.一种针对第三方匿名EDoS攻击的防御方法,其特征在于,包括以下步骤:
S1:流量监控器实时对其所在的云服务器流出的流量大小进行监控;
S2:所述流量监控器根据其预设的报警阈值进行判断:若监控得到的当前流出流量大于或等于所述报警阈值时,则执行S3步骤;若监控得到的当前流出流量小于所述报警阈值时,则执行S1步骤;
S3:云服务器中的响应器提取由第三方服务器发出的请求中的时间戳和IP信息;
S4:所述响应器判断所述请求中的IP信息是否为数据库中检测标志位为1的IP:若是,则执行S5步骤;若否,则正常响应所述请求,并跳转执行S1步骤;
S5:所述响应器将所述请求中的时间戳和IP信息发送到同一云服务器中的处理器中,所述处理器在数据库中查询该IP的历史访问信息,判断该IP是否为恶意用户:若是,则通过网关或防火墙动态调整请求IP的带宽;若否,则正常响应所述请求,并跳转执行S1步骤;其具体步骤如下:
S51:所述响应器将所述请求中的时间戳和IP信息发送到处理器中,所述处理器判断当前检测计数值DC是否大于其预设的每轮检测上限DR:若是,则将检测计数值DC和检测时请求平均时间间隔值DATI清零,然后执行S52步骤;若否,则更新数据库中检测计数值DC和检测时请求平均时间间隔值DATI,然后正常响应请求,并跳转执行S1步骤;
S52:所述处理器将所述检测时请求平均时间间隔值DATI与历史请求平均时间间隔ATI进行比较并通过网关或防火墙动态调整请求IP的带宽。
2.根据权利要求1所述的针对第三方匿名EDoS攻击的防御方法,其特征在于:所述S1步骤中,所述流量监控器对其所在的云服务器流出的流量大小进行监控的步骤包括:获取所述流量监控器所在的云服务器流出的流量大小、峰值流量大小,以及当前各IP占用的流量大小、流量大小排名情况。
3.根据权利要求2所述的针对第三方匿名EDoS攻击的防御方法,其特征在于:所述S2步骤中,所述流量监控器根据其预设的报警阈值进行判断的具体步骤:
S21:所述流量监控器对当前流出流量与历史平均流量值进行判断:若当前流出流量大于或等于历史平均流量值时,则在数据库中对t秒时间内当前占用流量大小排名为前rate0的IP的标志位设置为1,跳转执行S3步骤,并更新所述数据库中的历史平均流量值;若当前流出流量小于历史平均流量值时,则更新所述数据库中的历史平均流量值,并执行S22步骤;其中,t为正整数,表示预设的时间段;rate0为百分比值,表示所述流量监控器预设的第一排名阈值;
S22:所述流量监控器对当前流出流量峰值与历史平均峰值流量值进行判断:若监控得到的当前流出流量峰值大于或等于历史平均峰值流量值时,则在数据库中对t秒时间内当前占用流量大小排名为前rate1的IP的标志位设置为1,并更新所述数据库中的历史平均峰值流量值,跳转执行S3步骤;若当前流出流量峰值小于历史平均峰值流量值时,则更新所述数据库中的历史平均峰值流量值,跳转执行S1步骤;其中,rate1为百分比值,表示所述流量监控器预设的第二排名阈值。
4.根据权利要求3所述的针对第三方匿名EDoS攻击的防御方法,其特征在于:所述S2步骤中,更新所述数据库中的历史平均流量值和历史平均峰值流量值的计算公式如下:
Figure FDA0003222418980000021
Figure FDA0003222418980000022
保存次数=保存次数+1;
其中,保存次数表示历史平均流量值中保存当前流出流量的次数,以及历史平均峰值流量值中保存当前流出流量峰值的次数。
5.根据权利要求3所述的针对第三方匿名EDoS攻击的防御方法,其特征在于:所述rate0取值为20%,所述rate1取值为50%;所述流量监控器中预设的时间段t的取值范围为5~40秒。
6.根据权利要求5所述的针对第三方匿名EDoS攻击的防御方法,其特征在于:所述S52步骤中,其通过网关或防火墙动态调整请求IP的带宽的具体步骤包括:
(1)当DATI≥L0*ATI时,则判定所述IP对应的请求为恶意请求,并在此后的100~200个t秒时间内拒绝所述IP的请求;其中,L0为百分比,表示判断比例,ATI表示历史请求的平均时间间隔;
(2)当L1*ATI≤DATI<L0*ATI时,则判定所述IP对应的请求中可能包含恶意请求,并缩小所述IP的带宽为原来的(L1-1)大小;其中,L1为1/2*L0
(3)当L2*ATI≤DATI<L1*ATI时,则对所述IP不作带宽调整处理;其中L2为1/2*L1
(4)当DATI<L2*ATI时,则扩增所述IP的带宽为原来的(1/L2)大小。
7.根据权利要求6所述的针对第三方匿名EDoS攻击的防御方法,其特征在于:所述判断比例L0取值范围为200%~400%。
8.一种针对第三方匿名EDoS攻击的防御系统,其特征在于,包括流量监控器、响应器、处理器、数据库、和网关/防火墙,所述流量监控器、响应器、处理器、数据库、和网关/防火墙部署在云服务器上,所述流量监控器的输出端与所述数据库的输入端连接,所述响应器与所述处理器数据交互,所述处理器与所述和网关/防火墙数据交互,所述数据库分别与所述响应器和处理器数据交互;其中:
所述数据库中存储有每个请求的IP信息;
所述流量监控器用于实时对云服务器流出流量大小进行监控,然后将云服务器的流出流量数据存储在数据库中;
所述响应器用于接收第三方服务器发出的请求,以及向所述第三方服务器返回响应;
所述处理器用于根据所述响应器发送的请求中的时间戳和IP信息以及数据库中存储的数据,判断该IP是否为恶意用户,然后通过网关或防火墙动态调整请求IP的带宽;具体的,所述响应器将所述请求中的时间戳和IP信息发送到处理器中,所述处理器判断当前检测计数值DC是否大于其预设的每轮检测上限DR:若是,则将检测计数值DC和检测时请求平均时间间隔值DATI清零,然后处理器将所述检测时请求平均时间间隔值DATI与历史请求平均时间间隔ATI进行比较并通过网关或防火墙动态调整请求IP的带宽;若否,则更新数据库中检测计数值DC和检测时请求平均时间间隔值DATI,然后正常响应请求。
9.根据权利要求8所述的针对第三方匿名EDoS攻击的防御系统,其特征在于:所述数据库中存储的每个请求的IP信息包括但不仅限于:IP、上次请求时间戳、历史请求的平均时间间隔ATI、历史请求次数、检测标志位、每轮检测上限DR、当前检测计数值DC和检测时请求平均时间间隔值DATI。
CN202010015585.XA 2020-01-07 2020-01-07 一种针对第三方匿名EDoS攻击的防御方法及系统 Active CN111200614B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010015585.XA CN111200614B (zh) 2020-01-07 2020-01-07 一种针对第三方匿名EDoS攻击的防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010015585.XA CN111200614B (zh) 2020-01-07 2020-01-07 一种针对第三方匿名EDoS攻击的防御方法及系统

Publications (2)

Publication Number Publication Date
CN111200614A CN111200614A (zh) 2020-05-26
CN111200614B true CN111200614B (zh) 2021-10-22

Family

ID=70746964

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010015585.XA Active CN111200614B (zh) 2020-01-07 2020-01-07 一种针对第三方匿名EDoS攻击的防御方法及系统

Country Status (1)

Country Link
CN (1) CN111200614B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866285B (zh) * 2021-02-24 2022-11-15 深圳壹账通智能科技有限公司 网关拦截方法、装置、电子设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102271068B (zh) * 2011-09-06 2015-07-15 电子科技大学 一种dos/ddos攻击检测方法
US20160173529A1 (en) * 2014-12-15 2016-06-16 King Fahd University Of Petroleum And Minerals Controlled resource access to mitigate economic denial of sustainability attacks against cloud infrastructures
CN108712365B (zh) * 2017-08-29 2020-10-27 长安通信科技有限责任公司 一种基于流量日志的DDoS攻击事件检测方法及系统
CN109005157B (zh) * 2018-07-09 2020-07-10 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN110166418B (zh) * 2019-03-04 2020-11-13 腾讯科技(深圳)有限公司 攻击检测方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN111200614A (zh) 2020-05-26

Similar Documents

Publication Publication Date Title
Zhijun et al. Low-rate DoS attacks, detection, defense, and challenges: a survey
Zhong et al. DDoS detection system based on data mining
KR101747079B1 (ko) 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템
KR101077135B1 (ko) 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
EP3337123B1 (en) Network attack prevention method, apparatus and system
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
CN105681272B (zh) 一种移动终端钓鱼WiFi的检测与抵御方法
KR101219796B1 (ko) 분산 서비스 거부 방어 장치 및 그 방법
CN106357685A (zh) 一种防御分布式拒绝服务攻击的方法及装置
CN110620787A (zh) DDoS攻击的防护方法和系统
CN111200614B (zh) 一种针对第三方匿名EDoS攻击的防御方法及系统
Peng et al. Detecting distributed denial of service attacks by sharing distributed beliefs
Siregar et al. Intrusion prevention system against denial of service attacks using genetic algorithm
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
KR101061377B1 (ko) 분포 기반 디도스 공격 탐지 및 대응 장치
Huang et al. Detecting stepping-stone intruders by identifying crossover packets in SSH connections
Cheng et al. Detecting and mitigating a sophisticated interest flooding attack in NDN from the network-wide view
KR20030009887A (ko) 서비스거부 공격 차단시스템 및 방법
CN109889470B (zh) 一种基于路由器防御DDoS攻击的方法和系统
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치
Sardana et al. Detection and honeypot based redirection to counter DDoS attacks in ISP domain
KR100506889B1 (ko) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
JP4149366B2 (ja) ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム
Wei et al. An early stage detecting method against SYN flooding attack

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant