[发明专利]一种防御拒绝服务攻击的方法及装置

权利要求书

1、一种防御拒绝服务攻击的方法，其特征在于包括以下步骤：

A、预处理包括捕获和解析网络数据包；

B、黑白名单和DoS攻击特征表过滤；

C、阈值和流量比例特征检测；

D、源主机认证；

E、流量分布特征检测。

2、根据权利要求1所述的一种防御拒绝服务攻击的方法，其特征在于，所述步骤A包括：

A1、捕获网络数据包；

A2、解析网络数据包；

所述通过解析所获得的信息包括：TCP包的SYN、ACK、FIN标志位、UDP数据包、ICMP包的类型和代码字段，其中包括Echo、Replay和Unreach，以及相应的源和目的IP地址、源和目的端口。

3、根据权利要求1所述的一种防御拒绝服务攻击的方法，其特征在于，所述步骤B包括：

根据黑白名单和DoS攻击特征表中的信息进行过滤，对白名单中的可信源主机进行放行，对黑名单和DoS攻击特征表中恶意源主机进行阻断；

所述黑白名单和DoS攻击特征表中信息包括：可信和恶意源主机的IP地址、DoS攻击特征。

4、根据权利要求1所述的一种防御拒绝服务攻击的方法，其特征在于，所述步骤C包括：

C1、计算流量速率；

C2、进行流量速率和速率阈值的比较；

C3、对流量比例特征进行计算；

C4、进行阈值检测和流量比例特征检测的综合判断；

所述阈值和流量比例特征检测信息包括：流量速率的阈值大小、TCP的SYN、SYN-ACK、ACK、FIN-ACK包的流量及其速率、UDP的流量及其速率、ICMP的Echo、Replay和Unreach包的流量及其速率。

5、根据权利要求1所述的一种防御拒绝服务攻击的方法，其特征在于，所述步骤D包括：

对流量的源主机的身份进行认证，根据源主机认证状态机进行身份验证，将可信源主机保存到白名单中，将恶意源主机保存到黑名单和DoS攻击特征表中；

所述网络流量控制信息包括：源主机的IP地址、DoS攻击特征。

6、根据权利要求1所述的一种防御拒绝服务攻击的方法，其特征在于，所述步骤E包括：

对攻击的分布特征进行检测，首先统计出源和目的IP地址以及目的端口的分布情况，并统计它们的流量数量，然后计算出分布数与流量数量的比例；

所述网络流量动态检测信息包括：源和目的IP地址以及目的端口的分布情况信息，各个流量数量信息。

7、一种防御拒绝服务攻击的装置，其特征在于包括：

初始化装置，包括初始化阈值和流量比例特征检测的缓冲区、初始化流量分布特征检测的缓冲区、初始化黑白名单的缓冲区、初始化DoS攻击特征表的缓冲区；

预处理装置，包括捕获网络数据包，并进行协议解析；

检测装置，包括对阈值和流量比例特征进行检测，对源主机的身份进行认证，对流量分布特征进行检测，以及提取DoS攻击特征并放入DoS攻击特征表中；

过滤装置，包括根据黑名单进行过滤，根据白名单进行过滤，根据DoS攻击特征表进行过滤；

告警装置，向控制端的显示模块发送拒绝服务攻击的信息；

初始化装置对本装置中存储流量信息的缓冲区进行初始化，然后由预处理装置捕获和解析网络数据包，并由检测装置分别进行阈值和流量比例特征检测、源主机认证、以及流量分布特征检测，最后，由过滤装置根据黑白名单和DoS攻击特征表进行过滤，并由告警装置将攻击信息通知给用户。