[发明专利]基于自适应阈值的DDOS攻击防御方法在审
| 申请号: | 201710358433.8 | 申请日: | 2017-05-19 |
| 公开(公告)号: | CN108965211A | 公开(公告)日: | 2018-12-07 |
| 发明(设计)人: | 田新远 | 申请(专利权)人: | 南京骏腾信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京汇智胜知识产权代理事务所(普通合伙) 11346 | 代理人: | 石辉 |
| 地址: | 210012 江苏省南京市*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 异常检测 自适应 防护对象 在线方式 防御 拒绝服务攻击 源地址真实性 访问控制 流量管理 全面防护 速率限制 有效地 部署 验证 攻击 漏洞 统计 | ||
1.一种基于自适应阈值的DDos攻击防御方法,其特征在于,包括以下步骤:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。
2.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。
3.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述源地址真实性验证采用SYN Cookie、反向路径过滤以及IP/MAC绑定三种方法进行。
4.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。
5.如权利要求4所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。
6.如权利要求5所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;
针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;
针对群组内单个IP地址或AAA认证用户级别的流量控制。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京骏腾信息技术有限公司,未经南京骏腾信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710358433.8/1.html,转载请声明来源钻瓜专利网。
