[发明专利]一种基于网络流量的泛洪拒绝服务攻击防御方法

摘要

一种基于网络流量的泛洪拒绝服务攻击防御方法，是一种针对泛洪拒绝服务攻击能引起网络流量异常激增的特征采用的方法：通过对流量的监听和统计，检测出能引起网络流量异常变化的泛洪拒绝服务攻击；通过上游路由器节点的数据包抛弃算法，实现对攻击源的逐级定位，同时屏蔽攻击流量并最终在源头隔断攻击流量，实现对泛洪拒绝服务攻击的防御；尝试逐步解除隔离，并检测是否重新引起攻击，如正常则完全恢复路由器工作，否则重新攻击源屏蔽直至攻击结束。本发明综合了攻击检测、追踪与主动防御的泛洪拒绝服务攻击防御方法。另外，由于本发明所采用的检测和追踪算法都是基于网络流量的，因此实时性高，并且在追踪攻击源的过程中即可减弱攻击的影响。

主权项

1、一种基于网络流量的泛洪拒绝服务攻击防御方法，其特征在于：1)首先由攻击检测模块统计所采集的流量信息，并根据攻击检测算法判定该主机是否受到攻击，一旦受到攻击则向协同模块报警，并触发追踪模块定位攻击源；2)位于离受害主机最近路由器上的追踪模块，利用追踪算法确定出转发攻击流量的上游路由器，同时屏蔽来自该路由器的所有流量，并向协同模块报告该步追踪结果；3)协同模块指示上游转发攻击流量的路由器继续步骤2)，直至追踪到攻击源头路由器，协同模块将记录整个过程中追踪到的每个攻击路径上的路由器，并将其放入等待恢复队列，待追踪过程结束后，协同模块将重构出所有的攻击路径和攻击源；4)追踪过程结束后，协同模块启动流量恢复过程，即对等待恢复队列中的每个路由器逐个进行以下操作：a)指示追踪模块撤销该路由器上的屏蔽，恢复所有流量的转发；b)启动攻击检测模块重新工作，若检测到攻击说明该路由器仍在转发攻击流量，再次指示追踪模块屏蔽该路由器，并将其重入等待恢复队列；若没有检测到攻击则该路由器已无危害，对等待恢复队列的下一个路由器重复步骤a)直到队列为空。