[发明专利]一种防御拒绝服务攻击的方法及装置

说明书

技术领域

本发明涉及网络与信息安全技术领域，具体涉及在TCP/IP网络中的一种防御拒绝服务攻击的方法及装置。

背景技术

目前，随着Internet和网络应用的快速发展，人们可以通过网络进行电子商务、资源共享和娱乐活动，网络逐渐成为人们在工作、生活和学习中不可缺少的一部分，同时，人们对网络中信息的高安全性的需求越来越强烈。网络安全产品的市场需求也越来越强烈。当前，在网络与信息安全市场上，防火墙产品、入侵检测产品和防病毒产品仍是主流产品。

在本发明的防御拒绝服务攻击的方法及装置中主要涉及以下技术：随机抽样技术、源主机可信性验证技术、自学习黑白名单技术、流量统计技术、阈值检测技术、流量比例特征检测技术、流量分布特征检测技术和DoS攻击特征检测技术。

防御拒绝服务攻击技术的发展有三大方向，一是流量统计和阈值检测技术；二是源主机可信性验证技术；三是分布与特征检测技术。对于这三大方向的技术，它们的优点是技术比较成熟，实现简单，能够比较有效地检测和阻断拒绝服务攻击；缺陷是对技术没有进行有效地整合，不能全面检测并阻断异常流量攻击，包括分布式拒绝服务攻击。本发明对这三大方向的技术进行了有效地整合，并采用自学习黑白名单和DoS攻击特征表技术对网络流量进行过滤，克服了以上三大方向的方法中存在的缺点，能够防御拒绝服务和分布式拒绝服务攻击。

发明内容

本发明的目的是克服现有技术的缺点，提供一种在TCP/IP网络中防御拒绝服务攻击的方法及装置，使得能够有效地检测和阻断拒绝服务攻击，以保证网络应用的安全性，给网络用户一个安全的网络应用环境。

本发明的目的是通过以下技术方案实现的：

一种防御拒绝服务攻击的方法，包括以下步骤：

A、预处理包括捕获和解析网络数据包；

B、黑白名单和DoS攻击特征表过滤；

C、阈值和流量比例特征检测；

D、源主机认证；

E、流量分布特征检测。

所述步骤A包括：

A1、捕获网络数据包；

A2、解析网络数据包；

所述通过解析所获得的信息包括：TCP包的SYN、ACK、FIN标志位、UDP数据包、ICMP包的类型和代码字段，其中包括Echo、Replay和Unreach，以及相应的源和目的IP地址、源和目的端口。

优选地，所述步骤B包括：

根据黑白名单和DoS攻击特征表中的信息进行过滤，对白名单中的可信源主机进行放行，对黑名单和DoS攻击特征表中恶意源主机进行阻断。

所述黑白名单中信息包括：可信和恶意源主机的IP地址、DoS攻击特征。

优选地，所述步骤C包括：

C1、计算流量速率；

C2、进行流量速率和速率阈值的比较；

C3、对流量比例特征进行计算；

C4、进行阈值检测和流量比例特征检测的综合判断。

所述阈值和流量比例特征检测信息包括：流量速率的阈值大小、TCP的SYN、SYN-ACK、ACK、FIN-ACK包的流量及其速率、UDP的流量及其速率、ICMP的Echo、Replay和Unreach包的流量及其速率。

优选地，所述步骤D包括：

对流量的源主机的身份进行认证，根据源主机认证状态机进行身份验证，将可信源主机保存到白名单中，将恶意源主机保存到黑名单和DoS攻击特征表中。

所述网络流量控制信息包括：源主机的IP地址、DoS攻击特征。

可选地，所述步骤E包括：

对攻击的分布特征进行检测，首先统计出源和目的IP地址以及目的端口的分布情况，并统计它们的流量数量，然后计算出分布数与流量数量的比例；

所述网络流量动态检测信息包括：源和目的IP地址以及目的端口的分布情况信息，各个流量数量信息。

一种防御拒绝服务攻击的装置，包括：

初始化装置，包括初始化阈值和流量比例特征检测的缓冲区、初始化流量分布特征检测的缓冲区、初始化黑白名单的缓冲区、初始化DoS攻击特征的缓冲区；

预处理装置，包括捕获网络数据包，并进行协议解析；

检测装置，包括对阈值和流量比例特征进行检测，对源主机的身份进行认证，对流量分布特征进行检测，以及提取DoS攻击特征并放入DoS攻击特征表中；

过滤装置，包括根据黑名单进行过滤，根据白名单进行过滤，根据DoS攻击特征进行过滤。

告警装置，向控制端的显示模块发送拒绝服务攻击的信息。