[发明专利]一种基于网络流量的泛洪拒绝服务攻击防御方法无效
申请号: | 200910020834.8 | 申请日: | 2009-01-08 |
公开(公告)号: | CN101459519A | 公开(公告)日: | 2009-06-17 |
发明(设计)人: | 史椸;齐勇 | 申请(专利权)人: | 西安交通大学 |
主分类号: | H04L9/36 | 分类号: | H04L9/36;H04L29/06 |
代理公司: | 西安通大专利代理有限责任公司 | 代理人: | 张震国 |
地址: | 710049*** | 国省代码: | 陕西;61 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 基于 网络流量 拒绝服务 攻击 防御 方法 | ||
1、一种基于网络流量的泛洪拒绝服务攻击防御方法,其特征在于:
1)首先由攻击检测模块统计所采集的流量信息,并根据攻击检测算法判定该主机是否受到攻击,一旦受到攻击则向协同模块报警,并触发追踪模块定位攻击源;
2)位于离受害主机最近路由器上的追踪模块,利用追踪算法确定出转发攻击流量的上游路由器,同时屏蔽来自该路由器的所有流量,并向协同模块报告该步追踪结果;
3)协同模块指示上游转发攻击流量的路由器继续步骤2),直至追踪到攻击源头路由器,协同模块将记录整个过程中追踪到的每个攻击路径上的路由器,并将其放入等待恢复队列,待追踪过程结束后,协同模块将重构出所有的攻击路径和攻击源;
4)追踪过程结束后,协同模块启动流量恢复过程,即对等待恢复队列中的每个路由器逐个进行以下操作:
a)指示追踪模块撤销该路由器上的屏蔽,恢复所有流量的转发;
b)启动攻击检测模块重新工作,若检测到攻击说明该路由器仍在转发攻击流量,再次指示追踪模块屏蔽该路由器,并将其重入等待恢复队列;若没有检测到攻击则该路由器已无危害,对等待恢复队列的下一个路由器重复步骤a)直到队列为空。
2、根据权利要求1所述的基于网络流量的泛洪拒绝服务攻击防御方法,其特征在于:所说的攻击检测算法采用短期流量预测检测算法,依据发生泛洪拒绝服务攻击后,受害主机收到的数据包会在原来的基础上发生一个跳变,叠加一个较高的平台,并波动很小的特点,结合短期流量预测对于平稳流量的预测误差较小的特点,根据预测误差来判断是否发生攻击,即流量正常时预测误差较大,而发生泛洪拒绝服务攻击时,预测误差则明显减小,对收到的数据包数构成的时间序列进行分析,如果预测误差发生明显减小的情况,即判定攻击的发生。
3、根据权利要求1所述的基于网络流量的泛洪拒绝服务攻击防御方法,其特征在于:所说的追踪算法采用的是基于流量抛弃的追踪算法,算法描述如下:
设路由器R的所有输入节点的流量为:T1......Tn;
累计P请求和P响应,定义△P=P请求—P响应;
求所有节点流量之和T0=∑Ti;
找出输入流量最大的节点T=MAX{T1......Tn};
将除流量最大的节点T之外的所有输入流量变为原来的α倍,累计P’请求和P’响应,计算△P’=P’请求—P’响应;
求A=△P’/△P
对A进行判断:
A=1:表明除了T之外没有其他攻击点;
A=α:表明T不是攻击点;
α<A<1:表明除了T之外还有其他攻击点,并继续运用以上算法判断其余攻击点,直到将T同层节点依次处理结束。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西安交通大学,未经西安交通大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200910020834.8/1.html,转载请声明来源钻瓜专利网。