[发明专利]一种基于Android系统的DDoS防御系统和方法

说明书

技术领域

本发明涉及移动平台安全技术领域，具体涉及一种基于Android系统的DDoS防御系统和方法。

背景技术

分布式拒绝服务攻击(distributed denial of service attack，DDoS)是通过控制互联网上多台机器同时向目标系统发送大量正常请求，使受害服务器遭受无法承受的海量请求，导致服务器无法处理真正的请求，从而达到拒绝服务攻击的目的。一直以来互联网的DDoS攻击事件层出不穷，困扰着网络服务商。随着移动平台如智能手机的迅猛发展，移动互联网和传统网络的不断融合，移动平台用户的不断增多，移动平台逐渐进入网络黑客的视野，成为网络攻击的受害者和被利用者，典型的DDoS攻击技术也开始进入移动平台领域。移动平台成为DDoS攻击的新目标，现有的攻击方式有控制移动平台，使其变成DDoS攻击发起的“肉机”，或者利用DDoS攻击的各种变种，例如反射式DDoS攻击，在不需直接控制主机的情况下达到攻击目的。这些攻击方式具有很强的隐蔽性，因此用户往往已经成为网络攻击的受害者而没有任何察觉。

目前利用移动平台进行DDoS攻击的案例远远不如利用PC机攻击的案例，但是随着移动平台软硬件水平和移动互联网技术的迅速发展以及移动用户数量的不断增加，利用移动平台进行DDoS攻击将成为一种常见的攻击手段。

现有典型的DDoS防御技术方案可以归纳为：入口防御类、回推追踪类和基于路由跳数类。

入口防御类，这类方法在网络边界的路由器和网关部署，对进出网络的数据包进行检查和过滤。由于移动平台和传统互联网的区别，普通用户不可能在网关处进行修改和部署，因此这类方法对移动平台用户并不适用。

回推追踪类，这类方法包括源回溯和路由回推。

源回溯方法是在数据包传输过程中，由路由器等网络节点记录其经过的全部或部分路由信息，根据记录的路由信息得到DDoS攻击的攻击路径，并进行处理。路由回推法是当某条链路达到该链路拥塞阈值时，路由器丢弃数据包，同时检查造成其拥塞的入口链路，并通知这些链路的上个节点路由器，要求其对网络流量进行相应的限制，而上个节点路由器也以同样的方式进行流量限制并回推给上个节点的上个节点的路由器，照理不断回推，以限制网络流量达到防御效果。

基于路由跳数类的方法是利用IP欺骗后到达被攻击目标的数据包经过的路由跳数和实际的源IP到目的IP经过的路由跳数不一致来判断数据包是否经过IP欺骗，进行防御。但是这类方法需要维护庞大的源IP和TTL值表，且攻击者完全可以将伪造IP的数据包的TTL值进行设置躲过该方法的检查。

移动平台的硬件性能远不如PC平台，回推追踪和基于路由跳数两类方法虽然很有效，但很难应用于移动平台。

由于移动平台的特殊性，移动平台的DDoS攻击防御方法需要低消耗，低网络流量消耗。而目前网络的DDoS防御方法部署实施复杂，资源开销大，不适用于移动平台的DDoS攻击防御，并且移动平台首先需要保证的是本机的安全，查找问题根源并不是其的主要责任。

虽然现有DDoS防御的技术方案很多，但是专门针对移动平台的防御方案还没有正式提出。

发明内容

本申请通过提供一种基于Android系统的DDoS防御系统和方法，以解决现有DDoS防御方法部署实施复杂，资源开销大，不适用于移动平台的技术问题。

为解决上述技术问题，本申请采用以下技术方案予以实现：

一种基于Android系统的DDoS防御系统，包括控制模块、系统监控模块、系统处理模块。其中，控制模块负责防御系统的启动、初始化设置、暂停和关闭，所述防御系统的初始化设置包括异常次数SYN包速率阈值、ACK_SYN包速率阈值、UDP包速率阈值、异常次数阈值。

进一步的，所述防御系统的初始化设置还包括监控间隔时间、监控时长。

系统监控模块用于监控系统网络端口，监听数据包的发送和接收，如果当前进程发向同一个IP地址同一端口的SYN包、ACK_SYN包或UDP包速率超过速率阈值，则启动系统处理模块，并将异常进程数据传递给系统处理模块。

系统处理模块包括异常数据库和异常处理单元，其中异常数据库接收并存储来自系统监控模块的异常进程数据，异常处理单元用于处理异常数据包的进程，根据系统设置的等级，直接终止或报告用户终止异常数据包进程。