CN115208622A

CN115208622A - 一种DDoS攻击的检测方法及装置

Info

Publication number: CN115208622A
Application number: CN202210606921.7A
Authority: CN
Inventors: 刘亚轩; 何建锋
Original assignee: Xi'an Jiaotong University Jump Network Technology Co ltd
Current assignee: Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date: 2022-05-31
Filing date: 2022-05-31
Publication date: 2022-10-18

Abstract

本发明公开一种DDoS攻击的检测方法及应用该方法的装置，通过配置防护策略进行检测，根据源和目的所属的网络区域和网络对象进行策略匹配，仅对匹配到防护策略的数据包进行DDoS攻击检测，而对没有匹配到策略的数据包直接放行；而且在检测中通过设置检测链表和任务队列，提高检测任务的调度效率，既减少对防护设备性能的影响又提高了检测结果的可靠性。本发明的实施例，在提升拦截DDoS攻击的有效性，同时保证网络正常访问流量畅通。

Description

一种DDoS攻击的检测方法及装置

技术领域

本发明属于网络安全技术领域，具体是一种检测和拦截DDoS攻击数据包的方法及装置。

背景技术

互联网的发展带来各行各业信息化进程的加速，也给人们的生活带来翻天覆地的变化，但是伴随而来的，是各类网络攻击导致的安全问题。分布式拒绝服务攻击（DDos：Distributed Deny of Service）就是一种常见的具有较强破坏性且难以防止和追查的攻击方式，简单来讲，攻击者在短时间内通过大量计算机产生大规模的非法请求或垃圾数据，意图淹没目标服务器或网络。

在实际环境中，安全设备通过对内外网相互访问的数据包进行检测，识别并拦截流经设备的DDoS攻击包，以达到对内网服务器和用户PC的保护作用。但是，现有的检测技术，对每一个捕获的数据包都依次进行检测，不仅效率较低影响设备对数据的处理性能影响正常访问流量，而且检测的可靠性有待提升。

发明内容

本发明旨在提供一种DDoS攻击的检测方法及应用该方法的装置，以提高对DDoS攻击的检测与防护效率。

首先，本发明的实施例提出一种DDoS攻击的检测方法，包括：将数据包与预设的DDoS防护策略进行匹配，对匹配成功的数据包进行检测，对匹配失败的数据包进行放行；

所述对匹配成功的数据包进行检测，具体包括：为每条防护策略构建一条检测链表，将与策略匹配成功的数据包、策略id与策略信息构建为一个任务节点，并将该任务节点存入任务队列中；从任务队列中取出任务节点，根据策略id查找对应的策略信息与检测链表，遍历检测链表对数据包进行检测，将触发告警的数据包添加阻断标记，以阻断连接的后续数据。

上述的对数据包进行检测，包括进行源IP洪水攻击检测、目的IP洪水攻击检测与单包攻击检测中的至少一项：

源IP洪水攻击检测：统计第一预设时长内同一个源IP发送的特征数据包个数，达到第一阈值后阻断该源IP的所有数据包；

目的IP洪水攻击检测：统计第二预设时长内同一个目的IP接收的特征数据包个数，达到第二阈值后丢弃继续访问该目的IP的所有特征数据包；

单包攻击检测：对单个数据包进行特征检测，发现攻击后丢弃数据包。

上述的源IP洪水攻击检测，包括：当数据包属于SYN包时，计算其源IP的哈希值，若该源IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于所述第一预设时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的第一阈值，当数据包的统计值超过所述第一阈值时将源IP加入封锁名单并发送告警日志。

上述的目的IP洪水攻击检测，包括：当数据包属于SYN包时，计算其目的IP的哈希值，若该目的IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于所述第一预设时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的第二阈值，当数据包的统计值超过所述第二阈值时丢弃后续发送到该目的IP的SYN数据包并发送告警日志。

进一步的，上述的洪水攻击检测，若数据包不属于SYN包时，则对数据包不作处理；

若源IP或目的IP未记录在哈希表中，或者，源IP或目的IP已记录在哈希表中但其记录的时长已超过哈希表的最大超时时长，则在哈希表中创建或更新该源IP或目的IP的信息；

以及，若当前数据包的时间戳超出所述第一预设时长，则将数据包的统计值清零并更新统计时间。

上述的单包攻击防护，包括：根据四层协议，提取数据包的内容依次与攻击特征库进行匹配，对符合特征的数据包进行丢弃处理并发送告警日志，否则对数据包不作处理。

作为较佳的，对数据包进行检测之前，进行配置初始化，包括判断是否为首次初始化：

若是，从数据库读取策略信息存入策略数组，为各个策略构建检测链表；

否则，从数据库重新读取策略信息存入策略数组，为各个策略构建检测链表；并且在任务队列中的所有任务执行完毕之前阻塞新任务的加入。

另一方面，本发明的实施例还提出一种DDoS攻击检测装置，执行上述的检测方法，具体包括：

初始化模块，在系统启动后读取用户配置，以及当用户配置发生改变时由前端发送信号，重新读取用户配置，为检测任务模块提供策略信息；

策略匹配模块，根据数据包五元组信息匹配防护策略，将不匹配策略的数据包直接放行；

预处理模块，将数据包、检测参数、检测任务链封装为一个任务节点，将任务节点插入到任务队列中，等待任务线程调度执行；

检测任务模块，从任务队列中取出任务节点，执行检测任务。

所述检测任务模块还包括：

洪水攻击防护子模块，分别针对源IP与目的IP进行基于数据包流量统计的DDoS检测；

单包攻击防护子模块，针对单个数据包的特征做DDoS检测。

采用上述技术方案的本发明实施例，通过配置防护策略进行检测，根据源和目的所属的网络区域和网络对象进行策略匹配，仅对匹配到防护策略的数据包进行DDoS攻击检测，而对没有匹配到策略的数据包直接放行；而且在检测中通过设置检测链表和任务队列，提高检测任务的调度效率，既减少对防护设备性能的影响又提高了检测结果的可靠性。本发明的实施例，在提升拦截DDoS攻击的有效性，同时保证网络正常访问流量畅通。

附图说明

图1为本发明的DDoS攻击检测方法实施例，总体流程示意图；

图2为图1中防护策略匹配与检测任务调度流程示意图；

图3为图1中对源IP、目的IP洪水攻击检测流程示意图；

图4是图1中单包攻击检测流程示意图；

图5为本发明的DDoS攻击检测装置实施例，组成模块示意图。

具体实施方式

为了更好的理解本发明的技术内容，以下结合附图对本发明各个实施例进行详细说明。

首先如图1所示，一种DDoS攻击的检测方法实施例，包括：将数据包与预设的DDoS防护策略进行匹配，对匹配成功的数据包进一步进行检测，对匹配失败的数据包进行放行。

所述的DDoS防护策略匹配，根据数据包的五元组与预设的策略信息进行匹配，例如防护策略规定了以下信息：ipv4/ipv6、源区域、目的区域、源对象、目的对象、策略id等，当数据包的五元组符合策略规定的前述信息则表示匹配成功，需要对该数据包进行进一步攻击检测，即将匹配到的策略id返回给DDoS攻击检测进程。

如图2所示，在上述的实施例基础上，对所述与防护策略匹配成功的数据包进行进一步检测，具体包括：

为每条防护策略构建一条检测链表，将与策略匹配成功的数据包、策略id与策略信息构建为一个任务节点，并将该任务节点存入任务队列中；从任务队列中取出任务节点，根据策略id查找对应的策略信息与检测链表，遍历检测链表对数据包进行检测，将触发告警的数据包添加阻断标记，以阻断连接的后续数据。

上述的对数据包进行洪水攻击检测，包括以下至少一项：

如图3所示，所述源IP或目的IP洪水攻击检测，包括：当数据包属于SYN包时，计算其IP的哈希值，若该IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于预设的1秒统计时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的用于确定洪水攻击的阈值，当数据包的统计值超过所述阈值时执行策略动作，对于源IP将其加入封锁名单并发送告警日志，对于目的IP则丢弃后续发送到该目的IP的SYN数据包并发送告警日志。洪水攻击的类型，如SYN洪水攻击、RST洪水攻击、ACK洪水攻击、HTTP洪水攻击、UDP洪水攻击、DNS Query洪水攻击、ICMP洪水攻击、ICMPv6洪水攻击等。

进一步的，若数据包不属于SYN包时，则对数据包不作处理；

而若源IP或目的IP未记录在哈希表中，或者，源IP或目的IP已记录在哈希表中但其记录的时长已超过哈希表的最大超时时长，则在哈希表中创建或更新该源IP或目的IP的信息；

以及，若当前数据包的时间戳超出预设的1秒统计时长，则将数据包的统计值清零并更新统计时间。

如图4所示，单包攻击检测，即针对单个数据包进行特征检测，对符合特征的数据包认为是攻击包，进行丢弃处理；主要包括：根据四层协议，提取数据包的内容依次与攻击特征库进行匹配，对符合特征的数据包进行丢弃处理并发送告警日志，否则对数据包不作处理。

攻击类型包含了Smurf攻击、IP分片报文攻击、TCP报文标志位攻击、ARP缓存攻击、Land攻击、IP欺骗攻击、Teardrop攻击、Fraggle攻击、Ping of Death攻击、Winnuck攻击、超大ICMP报文攻击、ICMP重定向报文攻击、带源路由选项的IP报文攻击、ICMP不可达报文、Tracert攻击、带路由记录项的IP报文攻击、带时间戳选项的IP报文攻击等。

作为一个较佳的实施方式，上述的对数据包进行检测之前，进行配置初始化，包括判断是否为首次初始化：

如图5所示，一种DDoS攻击检测装置实施例，包括：

所述检测任务模块还包括：

单包攻击防护子模块，针对单个数据包的特征做DDoS检测。

策略匹配模块将数据包与预设的DDoS防护策略进行匹配，对匹配成功的数据包发送至预处理模块，对匹配失败的数据包进行放行；

预处理模块为每条防护策略构建一条检测链表，将与策略匹配成功的数据包、策略id与策略信息构建为一个任务节点，并将该任务节点存入任务队列中；检测任务模块

从任务队列中取出任务节点，根据策略id查找对应的策略信息与检测链表，遍历检测链表对数据包进行DDoS攻击检测，将触发告警的数据包添加阻断标记，以阻断连接的后续数据。

如上所述的本发明的实施例，通过配置防护策略进行检测，根据源和目的所属的网络区域和网络对象进行策略匹配，仅对匹配到防护策略的数据包进行DDoS攻击检测，而对没有匹配到策略的数据包直接放行；而且在检测中通过设置检测链表和任务队列，提高检测任务的调度效率，既减少对防护设备性能的影响又提高了检测结果的可靠性。本发明的实施例，在提升拦截DDoS攻击的有效性，同时保证网络正常访问流量畅通。

Claims

1.一种DDoS攻击的检测方法，其特征在于，将数据包与预设的DDoS防护策略进行匹配，对匹配成功的数据包进行检测，对匹配失败的数据包进行放行；

2.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述对数据包进行检测，包括以下至少一项：

3.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述源IP洪水攻击检测，包括：当数据包属于SYN包时，计算其源IP的哈希值，若该源IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于所述第一预设时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的第一阈值，当数据包的统计值超过所述第一阈值时将源IP加入封锁名单并发送告警日志。

4.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述目的IP洪水攻击检测，包括：当数据包属于SYN包时，计算其目的IP的哈希值，若该目的IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于所述第一预设时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的第二阈值，当数据包的统计值超过所述第二阈值时丢弃后续发送到该目的IP的SYN数据包并发送告警日志。

5.根据权利要求3或4所述的DDoS攻击检测方法，其特征在于，

若数据包不属于SYN包时，则对数据包不作处理；

6.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述单包攻击防护，包括：根据四层协议，提取数据包的内容依次与攻击特征库进行匹配，对符合特征的数据包进行丢弃处理并发送告警日志，否则对数据包不作处理。

7.根据权利要求1所述的DDoS攻击检测方法，其特征在于，对数据包进行检测之前，进行配置初始化，包括判断是否为首次初始化：

若是，从数据库读取策略信息存入策略数组，，为各个策略构建检测链表；

8.一种DDoS攻击检测装置，其特征在于，所述装置包括：

9.根据权利要求8所述的DDoS攻击检测装置，其特征在于，所述检测任务模块还包括：

单包攻击防护子模块，针对单个数据包的特征做DDoS检测。

10.根据权利要求8所述的DDoS攻击检测装置，其特征在于，