CN117081863A - Ddos攻击检测防御方法、系统、计算机设备及存储介质 - Google Patents
Ddos攻击检测防御方法、系统、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN117081863A CN117081863A CN202311332254.9A CN202311332254A CN117081863A CN 117081863 A CN117081863 A CN 117081863A CN 202311332254 A CN202311332254 A CN 202311332254A CN 117081863 A CN117081863 A CN 117081863A
- Authority
- CN
- China
- Prior art keywords
- data packet
- exception
- abnormal
- camouflage
- buffer list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 49
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000007123 defense Effects 0.000 title claims abstract description 17
- 230000002159 abnormal effect Effects 0.000 claims abstract description 35
- 230000000903 blocking effect Effects 0.000 claims abstract description 11
- 230000015654 memory Effects 0.000 claims description 47
- 238000004590 computer program Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 11
- 238000002203 pretreatment Methods 0.000 claims description 3
- 230000000670 limiting effect Effects 0.000 abstract description 8
- 230000008859 change Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000007717 exclusion Effects 0.000 description 7
- 230000005291 magnetic effect Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 230000003247 decreasing effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000002829 reductive effect Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种DDOS攻击检测防御方法,包括:通过DPI设备接收数据包;使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测;其中,所述阶梯式多级缓冲列表包括:例外处置表、伪装异常表和预处置表;所述例外处置表中存储有被判断为异常的IP地址,所述伪装异常表中存储有TCP窗口抖动速率超过安全阈值的流信息,所述预处置表中存储有窗口大小为0的流信息;在检测结果为异常时,发送阻断消息阻断所述数据包。本申请采用阶梯式的多级缓冲列表进行检测判断,并采用窗口超时严格限制法,对超时窗口的流进行阻断处理,可有效减少服务器的Keep‑Alive以及会话时长,实现对异常流量控制和处理。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种DDOS攻击检测防御技术。
背景技术
DDOS攻击是指攻击者使用来自多个来源的流量淹没目标,以此来破坏网站或在线服务的正常运行。攻击者通常使用被感染的计算机网络(称为僵尸网络)来向目标发送大量流量,使合法用户难以或无法访问服务。DDoS攻击可以是难以防御的,因为它们通常涉及大量来源,使得难以区分合法流量和恶意流量。
TCP零窗口攻击是一种利用TCP协议的漏洞来进行的攻击。攻击者通过发送大量的TCP数据包,使得目标主机的TCP缓冲区被填满,从而导致目标主机无法接收新的数据。这种攻击可以导致目标主机的网络连接变得非常缓慢或完全中断。例如,攻击者利用网站上存在的大文件,向服务器发送下载请求,但在传输过程中利用TCP零窗口的特点,宣告自己的接收窗口为0,只接收少量文件后便不再继续接收文件,从而导致文件数据一直积压在服务器缓存中,造成性能消耗,导致网站无法访问。这种攻击只需极少量的IP以及极少量的流量便可在2-3分钟内发动DDOS攻击,现有的防火墙、入侵检测等设备未能检测到发出告警以及针对窗口大小只允许在某个范围容易对流量造成误伤,效果不好。
发明内容
为了解决上述技术问题,本申请旨在提供一种DDOS攻击检测防御方案,采用窗口超时严格限制法,对超时窗口的流进行阻断处理,减少服务器的Keep-Alive以及会话时长,实现对异常流量控制和处理。
为实现上述目的,本申请的一些实施例提供了一种DDOS攻击检测防御方法,包括:通过DPI设备接收数据包;使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测;其中,所述阶梯式多级缓冲列表包括:例外处置表、伪装异常表和预处置表;所述例外处置表中存储有被判断为异常的IP地址,所述伪装异常表中存储有TCP窗口抖动速率超过安全阈值的流信息,所述预处置表中存储有窗口大小为0的流信息;在检测结果为异常时,发送阻断消息阻断所述数据包。
可选地,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,包括:获取数据包的IP地址;根据所述IP地址确定所述数据包是否命中所述例外处置表;若命中所述例外处置表,则丢弃所述数据包。
进一步地,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,还包括:在所述数据包未命中所述例外处置表时,确定所述数据包是否命中所述伪装异常表;若命中所述伪装异常表,则将所述数据包的信息注册进所述伪装异常表。
进一步地,所述确定所述数据包是否命中所述伪装异常表,包括:计算TCP窗口抖动速率;判断所述TCP窗口抖动速率是否超过预设安全阈值;若超过,则确定所述数据包命中所述伪装异常表;否则,则确定未命中所述伪装异常表。
进一步地,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,还包括:在所述数据包未命中所述伪装异常表时,进一步确定所述TCP窗口抖动速率是否为0;若所述TCP窗口抖动速率是否为0,则将所述数据包的信息注册进所述预处置表;对所述预处置表中的数据包的信息进行Zero超时判断;若达到Zero超时时间仍未恢复TCP窗口抖动速率(即窗口大小仍为0),则确定所述数据包的检测结果为异常。
进一步地,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,还包括:将达到Zero超时时间仍未恢复TCP窗口抖动速率的数据包的信息注册进所述例外处置表。
进一步地,所述计算TCP窗口抖动速率,包括:使用高阶差分来计算所述TCP窗口抖动速率。
根据本申请的另一方面,本申请还提供了一种DDOS攻击检测防御系统,包括:
数据接收模块,用于通过DPI设备接收数据包;
检测判断模块,用于使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测;其中,所述阶梯式多级缓冲列表包括:例外处置表、伪装异常表和预处置表;所述例外处置表中存储有被判断为异常的IP地址,所述伪装异常表中存储有TCP窗口抖动速率超过安全阈值的流信息,所述预处置表中存储有窗口大小为0的流信息;
数据阻断模块,用于在检测结果为异常时,发送阻断消息阻断所述数据包。
根据本申请的又一方面,本申请还提供了一种计算机设备,所述计算机设备包括:通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器存储有计算机程序指令的存储器,所述计算机程序指令在被执行时使所述处理器执行DDOS攻击检测防御的方法。
根据本申请的再一方面,本申请还提供了一种计算机可读介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现DDOS攻击检测防御的方法。
本申请的上述技术方案主要是通过DPI设备对TCP零窗口攻击流量进行检测防御,根据TCP窗口抖动速率对输入DPI设备的数据包进行处理,采用阶梯式的多级缓冲列表进行检测判断。采用窗口超时严格限制法,对超时窗口的流进行阻断处理,可有效减少服务器的Keep-Alive以及会话时长,实现对异常流量控制和处理。
附图说明
图1为本申请实施例提供的DDOS攻击检测防御方法的流程图;
图2为本申请实施例提供的的DDOS攻击检测防御系统的示意图;
图3为本申请实施例提供的计算机设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了方便理解本申请实施例提供的技术方案,本申请先对部分技术术语进行如下说明:
DPI设备:DPI设备是具备业务数据流识别、业务数据流控制能力,工作在OSI模型传输层到应用层,具有高数据处理能力,能够对网络所承载的业务进行识别和流量管理,可部署在网络骨干层、城域网和企业内部的网络设备。在本申请中,通过DPI设备对接收到的数据包进行TCP零窗口攻击流量的检测和防御。
TCP:传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793 [1] 定义。在本申请中,通过TCP状态动态监测模块计算窗口的抖动速率是否超过安全阈值。
为了便于更好地理解本申请的技术方案,下面将结合具体实施例,对本申请的技术方案做进一步详细说明。
如图1所示,本申请的一实施例提供了一种DDOS攻击检测防御方法,包括:
步骤S101:通过DPI设备接收数据包;
步骤S102:使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测;其中,所述阶梯式多级缓冲列表包括:例外处置表、伪装异常表和预处置表;所述例外处置表中存储有被判断为异常的IP地址,所述伪装异常表中存储有窗口抖动速率超过安全阈值的流信息,所述预处置表中存储有窗口大小为0的流信息;
步骤S103:在检测结果为异常时,发送阻断消息阻断所述数据包。
具体地,上述方法还包括:
分别注册例外处置表Exclusion List、伪装异常表Disguised List、预处置表PreBlocking-Up List;同时,初始化TCP状态动态监测模块、Windows Scan模块以及Abnormal Detect模块
具体地,例外处置表Exclusion List用于存储被判断为异常的IP地址;命中例外处置表的IP将不会得到访问服务器的机会(有效期24小时);
伪装异常表Disguised List用于存储窗口抖动速率超过安全阈值的流信息,提供给Windows Scan模块,主要是为了防止误判,因为客户端的接收缓冲区大小不足,就会宣告自己的窗口大小为0,对缓冲区的数据进行处理再进行接收;预处置表PreBlocking-UpList用于存储窗口大小为0的流信息提供给异常检测模块Abnormal Detect。
具体地,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,包括:获取数据包的IP地址;根据所述IP地址确定所述数据包是否命中所述例外处置表;若命中所述例外处置表,则丢弃所述数据包。也即对命中Exclusion List的流进行丢弃,未命中则交由TCP状态动态监测模块处理。
具体地,在所述数据包未命中所述例外处置表时,确定所述数据包是否命中所述伪装异常表;若命中所述伪装异常表,则将所述数据包的信息注册进所述伪装异常表。所述确定所述数据包是否命中所述伪装异常表,包括:计算TCP窗口抖动速率,TCP状态动态监测模块通过记录firstWin以及PrefirstWin的值计算窗口的抖动速率;判断所述TCP窗口抖动速率是否超过预设安全阈值;若超过,则确定所述数据包命中所述伪装异常表;否则,则确定未命中所述伪装异常表。
具体地,在所述数据包未命中所述伪装异常表时,进一步确定所述TCP窗口抖动速率是否为0;若所述TCP窗口抖动速率是否为0,则将所述数据包的信息注册进所述预处置表;对所述预处置表中的数据包的信息进行Zero超时判断;若达到Zero超时时间仍未恢复TCP窗口抖动速率,则确定所述数据包的检测结果为异常。
具体地,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,还包括:将达到Zero超时时间仍未恢复TCP窗口抖动速率的数据包的信息注册进所述例外处置表。
具体地,所述计算TCP窗口抖动速率,包括:使用高阶差分来计算所述TCP窗口抖动速率(TCP窗口大小变化速率的变化)。
具体地,使用高阶差分来计算TCP窗口大小的变化速率:
1、一阶差分:
表示TCP窗口大小的即时变化速率。
对于时间序列中每两个连续的数据点,计算它们的差异。
公式:[ Delta y_t = y_t - y_{t-1} ]
其中,[ Delta y_t ] 是时间点t的一阶差分,[ y_t ] 是时间点t的TCP窗口大小,[ y_{t-1} ] 是时间点t-1的TCP窗口大小;
2、二阶差分:
表示TCP窗口大小变化速率的变化,也可以看作是加速度。
公式:[ Delta^2 y_t = Delta y_t - Delta y_{t-1} ]
其中,[ Delta^2 y_t ] 是时间点t的二阶差分;
3、二阶差分在TCP窗口大小的上下文中可以被用于描述窗口变化速率的变化。这有点像物理中的“加速度”,即它不仅告诉我们窗口大小在增加还是减小,还告诉我们这个增减的速度是在加快还是减慢;
正值:表示窗口大小的增加速度正在加快或减小速度正在减慢。
负值:表示窗口大小的增加速度正在减慢或减小速度正在加快。
接近零:表示窗口大小的变化速度相对稳定。
通过跟踪这些二阶差分值,可以更深入地了解网络拥塞控制的动态行为,从而在必要时调整监测策略。
作为一种具体的实施方式:本申请在DPI设备收到数据包后,提取数据包头中的搜索关键字,通过TCP状态动态监测模块计算窗口的抖动速率是否超过安全阈值,交由Windows Scan模块周期性监测,窗口降为0时,则通过Abnormal Detect(异常检测)模块进行Zero超时计算,对超时的数据包进行阻断处理,同时加入例外处置表Exclusion List,从而实现对TCP零窗口攻击事件进行处理。具体地,对命中例外处置表Exclusion List的流进行丢弃,未命中则交由TCP状态动态监测模块处理。TCP状态动态监测模块通过记录firstWin以及PrefirstWin的值计算窗口的抖动速率,当超过安全阈值,则交由WindowsScan模块注册进伪装异常表Disguised List;未超过安全阈值但窗口大小降为0则将数据包信息注册入预处置表PreBlocking-Up List。Windows Scan模块对Disguised List中窗口降为0的数据包信息注册入PreBlocking-Up List。Abnormal Detect模块对在PreBlocking-Up List的流进行Zero超时判断,超时仍未恢复窗口值发送阻断数据包进行阻断,同时加入例外处置表Exclusion List(经由Abnormal Detect模块检测窗口在Zero时间后仍然为0,将流信息中的IP加入,Exclusion List就是采用MurmurHash的HashMap)。加入Exclusion List前会针对双方进行RST报文发送,断开此次的连接,不再进行TCP传输;下一次此源IP再次进行连接时,会先在Exclusion List中进行查询,查询成功说明此前有异常行为,不会与服务器进行交互,进而对TCP零窗口DDOS攻击事件进行防御。
如图2所示,在一个实施例中,本申请提供了一种DDOS攻击检测防御系统,包括:
数据接收模块,用于通过DPI设备接收数据包;具体地,数据接收模块可以是DPI设备本身。
检测判断模块,用于使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测;其中,所述阶梯式多级缓冲列表包括:例外处置表、伪装异常表和预处置表;所述例外处置表中存储有被判断为异常的IP地址,所述伪装异常表中存储有TCP窗口抖动速率超过安全阈值的流信息,所述预处置表中存储有窗口大小为0的流信息;具体地,检测判断模块可以由多个小模块组成,如TCP状态动态监测模块、Windows Scan模块以及AbnormalDetect模块。
数据阻断模块,用于在检测结果为异常时,发送阻断消息阻断所述数据包。
关于系统的具体限定可参见上文中对于方法的限定,在此不再赘述。上述系统中的各个模块/单元可全部或部分通过软件、硬件及其组合来实现。上述各模块/单元可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,本申请提供了一种计算机设备,所述计算机设备应用于通信网络,所述计算机设备包括:通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器存储有计算机程序指令的存储器,所述计算机程序指令在被执行时使所述处理器执行DDOS攻击检测防御方法。
本申请实施例提供的计算机设备,可以是服务器,也可以是客户端或者其他计算机网络通信设备;如图3所示,为本申请实施例提供的计算机设备的结构示意图。
处理器301、存储器302、总线305、接口304,处理器301与存储器302、接口304相连,总线305分别连接处理器301、存储器302以及接口304,接口304用于接收或者发送数据,处理器301是单核或多核中央处理单元,或者为特定集成电路,或者为被配置成实施本发明实施例的一个或多个集成电路。存储器302可以为随机存取存储器(randomaccess memory,RAM) ,也可以为非易失性存储器(non-volatile memory) ,例如至少一个硬盘存储器。存储器302用于存储计算机执行指令。具体的,计算机执行指令中可以包括程序303。
本实施例中,该处理器301调用程序303时,可以使图3中的管理服务器执行DDOS攻击检测防御方法的操作,具体此处不再赘述。
应理解,本申请上述实施例提供的处理器,可以是中央处理单元(centralprocessing unit,CPU) ,还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor,DSP)、专用集成电路 (application-specific integrated circuit ,ASIC) 、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请中以上实施例中的计算机设备中的处理器的数量可以是一个,也可以是多个,可以根据实际应用场景调整,此处仅仅是示例性说明,并不作限定。本申请实施例中的存储器的数量可以是一个,也可以是多个,可以根据实际应用场景调整,此处仅仅是示例性说明,并不作限定。
还需要说明的是,当计算机设备包括处理器(或处理单元)与存储器时,本申请中的处理器可以是与存储器集成在一起的,也可以是处理器与存储器通过接口连接,可以根据实际应用场景调整,并不作限定。
本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持计算机设备(客户端或服务器)实现上述方法中所涉及的控制器的功能,例如处理上述方法中所涉及的数据和/或信息。在一种可能的设计中,芯片系统还包括存储器,存储器,用于保存必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
在另一种可能的设计中,当该芯片系统为用户设备或接入网等内的芯片时,芯片包括:处理单元和通信单元,处理单元例如可以是处理器,通信单元例如可以是输入/输出接口、管脚或电路等。该处理单元可执行存储单元存储的计算机执行指令,以使该客户端或管理服务器等内的芯片执行常识问答方法的步骤。可选地,存储单元为芯片内的存储单元,如寄存器、缓存等,存储单元还可以是客户端或管理服务器等内的位于芯片外部的存储单元,如只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)等。
应理解,本申请实施例中的方法和/或实施例可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在该计算机程序被处理单元执行时,执行本申请的方法中限定的上述功能。
应理解,本申请以上实施例中的提及的控制器或处理器,可以是中央处理单元(central processing unit,CPU) ,还可以是其他通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application specific integratedcircuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等中的一种或多种的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请中以上实施例中的计算机设备或芯片系统等中的处理器或控制器的数量可以是一个,也可以是多个,可以根据实际应用场景调整,此处仅仅是示例性说明,并不作限定。本申请实施例中的存储器的数量可以是一个,也可以是多个,可以根据实际应用场景调整,此处仅仅是示例性说明,并不作限定
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图或框图示出了按照本申请各种实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的针对硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为另一方面,本申请实施例还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个计算机可读指令,所述计算机可读指令可被处理器执行以实现前述本申请的多个实施例的方法和/或技术方案的步骤。该计算机可以为上述计算机设备(客户端或服务器或者其他计算机网络通信设备)。
在本申请一个典型的配置中,终端、服务网络的设备均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM) 和/或非易失性内存等形式,如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器(ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
此外,本申请实施例还提供了一种计算机程序,所述计算机程序存储于计算机设备,使得计算机设备执行所述控制代码执行的方法。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一些实施例中,本申请的软件程序可以通过处理器执行以实现上文步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本申请实施例中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。在本申请的描述中,除非另有说明,“/”表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。取决于语境,如在此所使用的词语“如果”或“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种DDOS攻击检测防御方法,其特征在于,包括:
通过DPI设备接收数据包;
使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测;其中,所述阶梯式多级缓冲列表包括:例外处置表、伪装异常表和预处置表;所述例外处置表中存储有被判断为异常的IP地址,所述伪装异常表中存储有TCP窗口抖动速率超过安全阈值的流信息,所述预处置表中存储有窗口大小为0的流信息;
在检测结果为异常时,发送阻断消息阻断所述数据包。
2.根据权利要求1所述的方法,其特征在于,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,包括:
获取数据包的IP地址;
根据所述IP地址确定所述数据包是否命中所述例外处置表;
若命中所述例外处置表,则丢弃所述数据包。
3.根据权利要求2所述的方法,求特征在于,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,还包括:
在所述数据包未命中所述例外处置表时,确定所述数据包是否命中所述伪装异常表;
若命中所述伪装异常表,则将所述数据包的信息注册进所述伪装异常表。
4.根据权利要求3所述的方法,求特征在于,所述确定所述数据包是否命中所述伪装异常表,包括:
计算TCP窗口抖动速率;
判断所述TCP窗口抖动速率是否超过预设安全阈值;
若超过,则确定所述数据包命中所述伪装异常表;
否则,则确定未命中所述伪装异常表。
5.根据权利要求4所述的方法,其特征在于,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,还包括:
在所述数据包未命中所述伪装异常表时,进一步确定所述TCP窗口抖动速率是否为0;
若所述TCP窗口抖动速率是否为0,则将所述数据包的信息注册进所述预处置表;
对所述预处置表中的数据包的信息进行Zero超时判断;
若达到Zero超时时间仍未恢复TCP窗口抖动速率,则确定所述数据包的检测结果为异常。
6.根据权利要求5所述的方法,其特征在于,所述使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测,还包括:
将达到Zero超时时间仍未恢复TCP窗口抖动速率的数据包的信息注册进所述例外处置表。
7.根据权利要求4所述的方法,其特征在于,所述计算TCP窗口抖动速率,包括:
使用高阶差分来计算所述TCP窗口抖动速率。
8.一种DDOS攻击检测防御系统,其特征在于,包括:
数据接收模块,用于通过DPI设备接收数据包;
检测判断模块,用于使用预设的阶梯式多级缓冲列表对接收到的所述数据包进行阶梯式检测;其中,所述阶梯式多级缓冲列表包括:例外处置表、伪装异常表和预处置表;所述例外处置表中存储有被判断为异常的IP地址,所述伪装异常表中存储有TCP窗口抖动速率超过安全阈值的流信息,所述预处置表中存储有窗口大小为0的流信息;
数据阻断模块,用于在检测结果为异常时,发送阻断消息阻断所述数据包。
9.一种计算机设备,其特征在于,所述计算机设备包括:通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器存储有计算机程序指令的存储器,所述计算机程序指令在被执行时使所述处理器执行如权利要求1-7任一项所述的方法。
10.一种计算机可读介质,其特征在于,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311332254.9A CN117081863B (zh) | 2023-10-16 | 2023-10-16 | Ddos攻击检测防御方法、系统、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311332254.9A CN117081863B (zh) | 2023-10-16 | 2023-10-16 | Ddos攻击检测防御方法、系统、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117081863A true CN117081863A (zh) | 2023-11-17 |
| CN117081863B CN117081863B (zh) | 2023-12-15 |
Family
ID=88710115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311332254.9A Active CN117081863B (zh) | 2023-10-16 | 2023-10-16 | Ddos攻击检测防御方法、系统、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117081863B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616129A (zh) * | 2008-06-27 | 2009-12-30 | 成都市华为赛门铁克科技有限公司 | 防网络攻击流量过载保护的方法、装置和系统 |
| US20140215611A1 (en) * | 2013-01-31 | 2014-07-31 | Samsung Electronics Co., Ltd. | Apparatus and method for detecting attack of network system |
| JP2015111770A (ja) * | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
| US20160323299A1 (en) * | 2015-04-28 | 2016-11-03 | Arbor Networks, Inc. | System and method to detect and mitigate tcp window attacks |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111953504A (zh) * | 2019-05-15 | 2020-11-17 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
| CN114760126A (zh) * | 2022-04-08 | 2022-07-15 | 沈阳化工大学 | 一种工控网络流量实时入侵检测方法 |
| US20230283631A1 (en) * | 2022-03-02 | 2023-09-07 | Arbor Networks, Inc. | Detecting patterns in network traffic responses for mitigating ddos attacks |
-
2023
- 2023-10-16 CN CN202311332254.9A patent/CN117081863B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616129A (zh) * | 2008-06-27 | 2009-12-30 | 成都市华为赛门铁克科技有限公司 | 防网络攻击流量过载保护的方法、装置和系统 |
| US20140215611A1 (en) * | 2013-01-31 | 2014-07-31 | Samsung Electronics Co., Ltd. | Apparatus and method for detecting attack of network system |
| JP2015111770A (ja) * | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
| US20160323299A1 (en) * | 2015-04-28 | 2016-11-03 | Arbor Networks, Inc. | System and method to detect and mitigate tcp window attacks |
| CN111953504A (zh) * | 2019-05-15 | 2020-11-17 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| US20230283631A1 (en) * | 2022-03-02 | 2023-09-07 | Arbor Networks, Inc. | Detecting patterns in network traffic responses for mitigating ddos attacks |
| CN114760126A (zh) * | 2022-04-08 | 2022-07-15 | 沈阳化工大学 | 一种工控网络流量实时入侵检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 杨志;韩俐;: "SDN环境下基于目的IP地址熵的DDoS攻击检测与易损机制研究", 天津理工大学学报, no. 04 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117081863B (zh) | 2023-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666680B2 (en) | Service overload attack protection based on selective packet transmission | |
| US10887341B2 (en) | Detection and mitigation of slow application layer DDoS attacks | |
| US20160182542A1 (en) | Denial of service and other resource exhaustion defense and mitigation using transition tracking | |
| US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
| US9749340B2 (en) | System and method to detect and mitigate TCP window attacks | |
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| EP2289221B1 (en) | Network intrusion protection | |
| US9282116B1 (en) | System and method for preventing DOS attacks utilizing invalid transaction statistics | |
| US9288227B2 (en) | Systems and methods for transparently monitoring network traffic for denial of service attacks | |
| Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
| US20070237080A1 (en) | Platform-based method and apparatus for containing worms using multi-timescale heuristics | |
| KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
| US20140181977A1 (en) | Handling potentially malicious communication activity | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| US11451582B2 (en) | Detecting malicious packets in edge network devices | |
| JP2005318578A (ja) | ネットワーク増幅攻撃の軽減 | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| KR20110037645A (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
| US10462166B2 (en) | System and method for managing tiered blacklists for mitigating network attacks | |
| US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
| CN102577240A (zh) | 用于采用速率限制进行病毒扼制的方法和装置 | |
| US20140075537A1 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| US11431750B2 (en) | Detecting and mitigating application layer DDoS attacks | |
| CN117081863B (zh) | Ddos攻击检测防御方法、系统、计算机设备及存储介质 | |
| KR101449627B1 (ko) | 비정상 세션 탐지 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |