一种智能防御DDoS攻击的方法和装置制造方法
【专利摘要】本发明提供一种智能防御DDoS攻击的方法,包括下列步骤:1)基于IP信息记录各数据流的数据流量特征;所述数据流量特征包括:数据流的日平均流量字节数,日流量标准差,数据包平均字节数;2)对于每个数据流,根据数据流量特征,计算该数据流的可信度;3)实时捕获数据包,提取其IP信息,并根据该IP信息所对应的数据流的可信度判断是否放行该数据包。本发明开销小,效率高;能够有效全面地防御各类DDoS攻击,适用面广且准确性高;能够在攻击真正生效之前就能进行防御,可以有效保护真实用户的服务请求。
【专利说明】一种智能防御DDoS攻击的方法和装置
【技术领域】
[0001]本发明涉及计算机网络安全【技术领域】,具体地说,本发明涉及一种智能防御DDoS攻击的方法和装置。
【背景技术】
[0002]随着互联网技术的发展,各类网络应用深刻改变着人们的生活。与此同时,各类互联网商业模式逐渐成熟,大量资金投入到互联网领域,在全球范围掀起了互联网热潮。很多网站开始盈利,其中很多非法网站利润巨大,造成同行之间互相攻击,还有一部分人利用网络攻击来敲诈钱财。目前,如何保障网络的安全成为一个非常重要的研究领域。
[0003]分布式拒绝服务攻击(Distributed Denial of Service)简称DDoS,是指利用一批受控制的机器向某一服务器或服务器群发起攻击,这种来势凶猛的攻击令人难以防备,具有较大的破坏性。黑客利用网络上已被攻陷的电脑作为“僵尸”,向某一特定的目标电脑发动密集式的“拒绝服务”式攻击,用以把目标电脑的网络资源及系统资源耗尽,使之无法向真正正常请求的用户提供服务。黑客通过将一个个“肉鸡”组成僵尸网络,就可以发动大规模DDoS或SYN洪水网络攻击,或者将“肉鸡”们组到一起进行带有利益的刷网站流量、Email垃圾邮件群发、瘫痪预定目标以及受雇攻击竞争对手等商业活动。DDoS最早可追述到1996年,在中国2002年开始频繁出现,2003年已经初具规模。
[0004]DDoS攻击可以具体分成以下两种形式:带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的。
[0005](I)带宽消耗型攻击。这种类型的攻击主要是指通过僵尸程序直接向受害者系统发送大量流量或者利用广播等放大攻击从而恶意占用受害者系统的带宽。这种类型的攻击主要包括UDP floods、ICMP floods、Ping炸弹、泪滴攻击等。
[0006](2)资源消耗型攻击。这种类型的攻击主要是通过僵尸主机向目标服务器发送大量的看似合法的请求,导致服务器为每个请求分配相应的计算资源,但这些资源却得不到释放,从而耗尽服务器资源。这种攻击方式主要包括SYN flood、LAND attack、CC攻击、僵尸网络攻击以及应用级洪水攻击。
[0007]目前DDoS的防御方法主要有以下几种:
[0008](I)手工防护。此方式主要包括系统优化和网络追查,从而提高系统本身对DDoS攻击的响应能力并且追溯攻击源头。
[0009](2)退让策略。受害者通过购买硬件的方式来提高系统抗DDoS的能力,但这不能从根本上解决问题,攻击者可以通过提高攻击流量来使这种方法失效。
[0010](3 )路由器实行安全措施。通过路由器可以设置某些ACL及uRPF等方式过滤掉一些非法流量,但DDoS攻击可以通过采用地址欺骗技术来突破这些防护措施。
[0011](4)防火墙。虽然防火墙是常用的安全产品,但防火墙缺乏检测DDoS攻击的能力,并且需要高强度的检查开销。在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。[0012](5)入侵检测。传统的入侵检测系统是基于规则的,需要对协议会话进行还原,但大部分DDoS攻击采用基于合法数据包的攻击流量,IDS很难对这些攻击有效检测。同时IDS系统一般只对攻击进行检测,无法阻断DDoS攻击。
[0013]总之,当前存在的防御DDoS攻击方法都存在着一定的缺陷,难以应对当今不断出现且日益猖獗的DDoS攻击,迫切需要一种开销小且能够有效全面地防御各类DDoS攻击的解决方案。
【发明内容】
[0014]本发明的目的是提供一种开销小且能够有效全面地防御各类DDoS攻击的解决方案。
[0015]为实现上述发明目的,本发明提供了一种智能防御DDoS攻击的方法,包括下列步骤:
[0016]I)记录每个源IP所对应的数据流的数据流量特征或者每个源IP与目的IP的IP对所对应的数据流的数据流量特征;所述数据流量特征包括:数据流的日平均流量字节数,日流量标准差,数据包平均字节数;
[0017]2)对于每个数据流,根据数据流量特征,计算该数据流的可信度;
[0018]所述可
【权利要求】
1.一种智能防御DDoS攻击的方法,包括下列步骤: 1)记录每个源IP所对应的数据流的数据流量特征或者每个源IP与目的IP的IP对所对应的数据流的数据流量特征;所述数据流量特征包括:数据流的日平均流量字节数,日流量标准差,数据包平均字节数; 2)对于每个数据流,根据数据流量特征,计算该数据流的可信度;
2.根据权利要求1所述的智能防御DDoS攻击的方法,其特征在于,所述步骤I)中,同时记录每个源IP所对应的各数据流的数据流量特征和每个源IP与目的IP的IP对所对应的数据流的数据流量特征。
3.根据权利要求2所述的智能防御DDoS攻击的方法,其特征在于,所述步骤I)中,使用ip-pair结构来记录每个源IP访问服务器群中的某个特定服务器的交互信息的数据流特征,使用ip-record结构来记录每个源IP访问整个服务器群的交互信息的数据流特征;所述步骤2)还包括:分别计算各个源IP对应于整个机群的可信度和各个源IP对于目的IP的可信度,将各个源IP对应于整个机群的可信度存储到ip-record结构中,将各个源IP对于目的IP的可信度存储到ip-pair结构中。
4.根据权利要求3所述的智能防御DDoS攻击的方法,其特征在于,所述步骤I)中,所述ip-pair结构和所述ip-record结构组织成二级hash表形式,并维护在内存中。
5.根据权利要求4所述的智能防御DDoS攻击的方法,其特征在于,所述步骤I)包括下列子步骤: 步骤11)获取数据包; 步骤12)根据数据包的网络层的源IP查找与该源IP所对应的ip-record结构,更新对应的ip-record结构中的数据流量特征,同时进一步根据数据包的网络层目的IP查找相应的ip-pair结构,更新对应的ip-pair结构中的数据流量特征。
6.根据权利要求1所述的智能防御DDoS攻击的方法,其特征在于,所述步骤2)中,力口权系数W1, ?2采用真实网络环境中捕获样本数据后进行样本学习获得。
7.根据权利要求6所述的智能防御DDoS攻击的方法,其特征在于,所述步骤3)还包括:根据步骤2)所计算的可信度建立白名单,根据该白名单对数据包进行拦截或者放行。
8.根据权利要求6所述的智能防御DDoS攻击的方法,其特征在于,所述步骤3)还包括:根据服务器的资源占用情况,自动开启DDoS智能防御功能,在开启DDoS智能防御功能后,根据可信度对数据包进行过滤。
9.根据权利要求8所述的智能防御DDoS攻击的方法,其特征在于,所述步骤3)包括下列子步骤: 301)读取预先配置的资源利用阈值;.302)监测服务器的资源利用率; .303)判断当前服务器的资源利用率是否超出阈值,如果是,进入步骤304),否则,回到步骤302)继续监测服务器的资源利用情况; .304)捕获数据包,提取其中IP地址信息; .305 )判断白名单是否填满,如果否,执行步骤306 ),如果是,执行步骤307 ); .306)将当前数据包所对应的IP地址信息加入白名单,然后直接执行步骤312);所述IP地址信息包括源IP和目的IP ; .307)判断采用何种防御模式,如果是共同模式,执行步骤308),如果是每服务器模式,执行步骤309); .308)提取当前数据包所对应的源IP所对应的ip-record结构中的统计信息,然后执行步骤310); .309)提取当前源IP和目的IP地址对所对应的ip-pair结构中的统计信息,然后执行步骤310); .310)判断所提取的统计信息中的可信度是否大于白名单中的最小可信度,如果是,继续执行步骤311),如果否,执行步骤313 ; 步骤311)用当前的源IP或者源IP和目的IP地址对替换原白名单中的可信度最小的源IP或者源IP和目的IP地址对; 步骤312)允许当前数据包通过; 步骤313)暂时不允许当前数据包通过。
10.一种智能防御DDoS攻击的装置,其特征在于,包括: 数据包统计模块,用于记录每个源IP所对应的数据流的数据流量特征或者每个源IP与目的IP的IP对所对应的数据流的数据流量特征;所述数据流量特征包括:数据流的日平均流量字节数,日流量标准差,数据包平均字节数,以及计算数据流的可信度;所述可信度 S= W j 0 j to 2 0 2,to j+ Co 2=1, to j ^ 0, (i=l, 2) ^ 日平均流量字节数数据包平均字节数 OpO2为加权系数,所述数据包字节数基线是所有正常数据流的所有数据包的平均字节数; 以及防御模块,用于根据数据流的可信度判断是否放行相应的数据包。
【文档编号】H04L29/06GK103428224SQ201310384694
【公开日】2013年12月4日 申请日期:2013年8月29日 优先权日:2013年8月29日
【发明者】付乔宾, 张广兴, 谢高岗, 贺泰华, 董尚文 申请人:中国科学院计算技术研究所