[发明专利]一种防御拒绝服务攻击的方法及装置无效
申请号: | 200810116857.4 | 申请日: | 2008-07-18 |
公开(公告)号: | CN101631026A | 公开(公告)日: | 2010-01-20 |
发明(设计)人: | 华东明;叶润国;鲁文忠;邓炜 | 申请(专利权)人: | 北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司 |
主分类号: | H04L9/36 | 分类号: | H04L9/36;G06F21/00 |
代理公司: | 北京市商泰律师事务所 | 代理人: | 毛燕生 |
地址: | 100193北京市海淀区东北*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 防御 拒绝服务 攻击 方法 装置 | ||
1、一种防御拒绝服务攻击的方法,其特征在于包括以下步骤:
A、预处理包括捕获和解析网络数据包;
B、黑白名单和DoS攻击特征表过滤;
C、阈值和流量比例特征检测;
D、源主机认证;
E、流量分布特征检测。
2、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤A包括:
A1、捕获网络数据包;
A2、解析网络数据包;
所述通过解析所获得的信息包括:TCP包的SYN、ACK、FIN标志位、UDP数据包、ICMP包的类型和代码字段,其中包括Echo、Replay和Unreach,以及相应的源和目的IP地址、源和目的端口。
3、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤B包括:
根据黑白名单和DoS攻击特征表中的信息进行过滤,对白名单中的可信源主机进行放行,对黑名单和DoS攻击特征表中恶意源主机进行阻断;
所述黑白名单和DoS攻击特征表中信息包括:可信和恶意源主机的IP地址、DoS攻击特征。
4、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤C包括:
C1、计算流量速率;
C2、进行流量速率和速率阈值的比较;
C3、对流量比例特征进行计算;
C4、进行阈值检测和流量比例特征检测的综合判断;
所述阈值和流量比例特征检测信息包括:流量速率的阈值大小、TCP的SYN、SYN-ACK、ACK、FIN-ACK包的流量及其速率、UDP的流量及其速率、ICMP的Echo、Replay和Unreach包的流量及其速率。
5、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤D包括:
对流量的源主机的身份进行认证,根据源主机认证状态机进行身份验证,将可信源主机保存到白名单中,将恶意源主机保存到黑名单和DoS攻击特征表中;
所述网络流量控制信息包括:源主机的IP地址、DoS攻击特征。
6、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤E包括:
对攻击的分布特征进行检测,首先统计出源和目的IP地址以及目的端口的分布情况,并统计它们的流量数量,然后计算出分布数与流量数量的比例;
所述网络流量动态检测信息包括:源和目的IP地址以及目的端口的分布情况信息,各个流量数量信息。
7、一种防御拒绝服务攻击的装置,其特征在于包括:
初始化装置,包括初始化阈值和流量比例特征检测的缓冲区、初始化流量分布特征检测的缓冲区、初始化黑白名单的缓冲区、初始化DoS攻击特征表的缓冲区;
预处理装置,包括捕获网络数据包,并进行协议解析;
检测装置,包括对阈值和流量比例特征进行检测,对源主机的身份进行认证,对流量分布特征进行检测,以及提取DoS攻击特征并放入DoS攻击特征表中;
过滤装置,包括根据黑名单进行过滤,根据白名单进行过滤,根据DoS攻击特征表进行过滤;
告警装置,向控制端的显示模块发送拒绝服务攻击的信息;
初始化装置对本装置中存储流量信息的缓冲区进行初始化,然后由预处理装置捕获和解析网络数据包,并由检测装置分别进行阈值和流量比例特征检测、源主机认证、以及流量分布特征检测,最后,由过滤装置根据黑白名单和DoS攻击特征表进行过滤,并由告警装置将攻击信息通知给用户。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司,未经北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200810116857.4/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种改装圆柱状氢镍电池
- 下一篇:一种新型极片碾压机