分布式拒絕服務(wù)攻擊檢測方法及檢測裝置制造方法
【專利摘要】本發(fā)明提供了一種分布式拒絕服務(wù)攻擊的檢測方法，其包括步驟：統(tǒng)計單位時間內(nèi)接收到的源IP地址或者目的IP地址的報文個數(shù)，比較所述報文個數(shù)和預(yù)置的閥值；當所述報文個數(shù)大于所述預(yù)置的閥值時，提取其中一個報文的指紋作為模版指紋；判斷后續(xù)單位時間內(nèi)接收到匹配所述模版指紋的源IP地址或者目的IP地址的報文個數(shù)是否大于所述閾值，如果是，則判斷受到攻擊，否則判斷沒有受到攻擊。應(yīng)用本發(fā)明能夠在保證檢測準確性的同時提高響應(yīng)速度和檢測性能。
【專利說明】分布式拒絕服務(wù)攻擊檢測方法及檢測裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】，尤其涉及一種分布式拒絕服務(wù)攻擊的檢測方法及檢測
>J-U ρ?α裝直。
【背景技術(shù)】
[0002]現(xiàn)有通過網(wǎng)絡(luò)對服務(wù)器進行遠程攻擊的方式中有一種為拒絕服務(wù)攻擊(Denialof Service，簡稱DoS)，攻擊者向服務(wù)器發(fā)送帶有虛假地址的請求，服務(wù)器發(fā)送回復報文到虛假地址，然后服務(wù)器一直等待所需的回復報文。拒絕服務(wù)攻擊會占據(jù)服務(wù)器過多的資源，從而使合法用戶無法得到服務(wù)器的響應(yīng)。由于服務(wù)器的處理能力通常較高，利用單個計算機進行DoS攻擊往往無法達到預(yù)期的效果，因此出現(xiàn)了分布式拒絕服務(wù)攻擊(DistributedDenial of Service，簡稱DDoS)。攻擊者首先控制大量的傀儡計算機，并將其中一部分傀儡計算機設(shè)置為主控端，然后攻擊者發(fā)送攻擊指令給各個主控端，并由主控端將指令發(fā)送給所有的傀儡計算機，最后傀儡計算機對指定的服務(wù)器進行DoS攻擊，從而造成服務(wù)器超載或者死機。
[0003]為了檢測DDoS的攻擊，現(xiàn)有檢測DDoS攻擊的方案主要有兩種:
[0004]一種為:基于報文的源IP或者目的IP進行計數(shù)，如果計數(shù)超過了設(shè)定的閾值，那么就對后續(xù)的報文做丟棄 處理；
[0005]另一種為:基于簽名的檢測，類似于對病毒和木馬的檢測，如果簽名匹配的報文超過了設(shè)定的閾值，那么就對后續(xù)的報文做丟棄處理。
[0006]在上述兩種檢測DDoS攻擊的方法中，至少存在如下問題:
[0007]第一種檢測方法準確性較低，對正常報文的誤傷概率很高；
[0008]第二種檢測方法中，由于簽名涉及到傳輸層以及之上的所有協(xié)議的重組，還有正則表達式的匹配，因此這種檢測方法的響應(yīng)速度較慢，檢測性能較差。響應(yīng)速度較慢意味著，攻擊發(fā)生后，很長時間內(nèi)業(yè)務(wù)都不能正常工作，損失非常大。而檢測性能差的問題，導致必須增加投資成本，多購買防火墻設(shè)備，投資成本通常需要增加十倍以上。

【發(fā)明內(nèi)容】

[0009]本發(fā)明要解決的技術(shù)問題是，針對上述缺陷，如何提供一種分布式拒絕服務(wù)攻擊的檢測方法及檢測裝置，其能夠在保證檢測準確性的同時提高響應(yīng)速度和檢測性能。
[0010]為解決上述技術(shù)問題，本發(fā)明提供了一種分布式拒絕服務(wù)攻擊的檢測方法，其包括步驟:
[0011]統(tǒng)計單位時間內(nèi)接收到的源IP地址或者目的IP地址的報文個數(shù)，比較所述報文個數(shù)和預(yù)置的閥值；
[0012]當所述報文個數(shù)大于所述預(yù)置的閥值時，提取其中一個報文的指紋作為模版指紋；
[0013]判斷后續(xù)單位時間內(nèi)接收到匹配所述模版指紋的源IP地址或者目的IP地址的報文個數(shù)是否大于所述閾值，如果是，則判斷受到攻擊，否則判斷沒有受到攻擊。
[0014]本發(fā)明還提供一種分布式拒絕服務(wù)攻擊檢測裝置，其包括:
[0015]統(tǒng)計比較單元，用于統(tǒng)計單位時間內(nèi)接收到的源IP地址或者目的IP地址的報文個數(shù)并比較所述報文個數(shù)和預(yù)置的閥值；
[0016]指紋提取單元，用于所述比較結(jié)果，提取其中一個報文的指紋作為模版指紋；
[0017]第一處理單元，用于判斷后續(xù)單位時間內(nèi)接收到匹配所述模版指紋的源IP地址或者目的IP地址的報文個數(shù)是否大于所述閾值，如果是，則判斷受到攻擊，否則判斷沒有受到攻擊。
[0018]本發(fā)明通過提取報文指紋、匹配報文指紋保證了檢測準確性，同時提高了響應(yīng)速度和檢測性能。
【專利附圖】

【附圖說明】
[0019]圖1是本發(fā)明實施例所述的分布式拒絕服務(wù)攻擊的檢測方法的流程圖；
[0020]圖2是本發(fā)明實施例所述的報文的指紋的結(jié)構(gòu)示意圖；
[0021]圖3是本發(fā)明一個實施方式中分布式拒絕服務(wù)攻擊檢測裝置的結(jié)構(gòu)示意圖；
[0022]圖4是本發(fā)明另一個實施方式中分布式拒絕服務(wù)攻擊檢測裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0023]下面結(jié)合附圖和實施例，對本發(fā)明的【具體實施方式】作進一步詳細說明。以下實施例用于說明本發(fā)明，但不用來限制本發(fā)明的范圍。
[0024]參見圖1，本發(fā)明提供了一種分布式拒絕服務(wù)攻擊的檢測方法，包括步驟:
[0025]統(tǒng)計單位時間內(nèi)接收到的源IP地址或者目的IP地址的報文個數(shù)，比較所述報文個數(shù)和預(yù)置的閥值(Si);優(yōu)選地，所述單位時間為I秒。
[0026]當所述報文個數(shù)大于所述預(yù)置的閥值時，提取其中一個報文的指紋作為模版指紋
(S2)；
[0027]判斷后續(xù)單位時間內(nèi)接收到匹配所述模版指紋的源IP地址或者目的IP地址的報文個數(shù)是否大于所述閾值(S3)，如果是，則判斷受到攻擊，否則判斷沒有受到攻擊。
[0028]優(yōu)選的，當判斷受到攻擊時，丟棄單位時間內(nèi)超過所述閾值的后續(xù)報文。也可在當判斷受到攻擊時，丟棄單位時間內(nèi)接收到的所有匹配所述模版指紋的源IP地址或者目的IP地址的報文。
[0029]優(yōu)選的，當判斷沒有受到攻擊時，判斷連續(xù)數(shù)個單位時間內(nèi)接收到匹配所述模版指紋的具有相同源IP地址或者目的IP地址的報文個數(shù)是否均未超過所述閾值，如果均未超過所述閾值，則刪除所述模版指紋，并將下一個報文的指紋作為模板指紋。
[0030]其中，作為模板指紋的指紋個數(shù)是可配置的，一般不超過十個。
[0031]可選的，通過指紋學習的方式提取所述一個報文的指紋，當然報文的指紋也可以是通過手動下發(fā)，不一定必須通過學習(包括自動學習)的方式。
[0032]一般來說，報文的指紋由報文的特征數(shù)據(jù)組成，可選的，所述指紋由所述報文數(shù)據(jù)段中若干個特征數(shù)據(jù)段構(gòu)成。通常是數(shù)據(jù)段開始偏移多少位的幾個字節(jié)，數(shù)據(jù)段末尾偏移多少位幾個字節(jié)。可以根據(jù)實際需要，設(shè)置偏移位和取多少個字節(jié)以及數(shù)據(jù)段的個數(shù)，如圖2所示，報文的指紋由三個特征數(shù)據(jù)段組成。
[0033]本發(fā)明還提供一種分布式拒絕服務(wù)攻擊檢測裝置，如圖3所示，其包括:
[0034]統(tǒng)計比較單元(100)，用于統(tǒng)計單位時間內(nèi)接收到的源IP地址或者目的IP地址的報文個數(shù)并比較所述報文個數(shù)和預(yù)置的閥值；
[0035]指紋提取單元(200)，用于所述比較結(jié)果，提取其中一個報文的指紋作為模版指紋；
[0036]第一處理單元(300)，用于判斷后續(xù)單位時間內(nèi)接收到匹配所述模版指紋的源IP地址或者目的IP地址的報文個數(shù)是否大于所述閾值，如果是，則判斷受到攻擊，否則判斷沒有受到攻擊。
[0037]可選的，所述第一處理單元還用于當判斷受到攻擊時丟棄該單位時間內(nèi)接收到的所有匹配所述模版指紋的源IP地址或者目的IP地址的報文。
[0038]可選的，所述第一處理單元還用于當判斷受到攻擊時丟棄單位時間內(nèi)超過所述閾值的后續(xù)報文。
[0039]可選的，如圖4所示，所述裝置還包括第二處理單元(400)，用于:當判斷沒有受到攻擊時判斷連續(xù)數(shù)個單位時間內(nèi)接收到匹配所述模版指紋的具有相同源IP地址或者目的IP地址的報文個數(shù)是否均未超過所述閾值，如果均未超過所述閾值，則刪除所述模版指紋，并向所述指紋提取單元發(fā)出指令以提取下一個報文的指紋作為模板指紋。
[0040]綜上所述，利用本發(fā)明所述的分布式拒絕服務(wù)攻擊的檢測方法及檢測裝置，通過提取報文指紋以及匹配報文指紋，能夠在保證檢測準確性的同時提高響應(yīng)速度和檢測性能。具體來說，相對于現(xiàn)有技術(shù)中的第一種方案，很大程度上提高了檢測的準確性，相比于現(xiàn)有技術(shù)中的第二種方案，性能提高了一個等級，而且減少了設(shè)備采購數(shù)量、降低了投資成本，同時通過自動學習功能還能讓響應(yīng)周期加快，幾秒中之內(nèi)就能進行自動檢測和防御，降低了受攻擊時的業(yè)務(wù)損失。
[0041]以上實施方式僅用于說明本發(fā)明，而并非對本發(fā)明的限制，有關(guān)【技術(shù)領(lǐng)域】的普通技術(shù)人員，在不脫離本發(fā)明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇，本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定。
【權(quán)利要求】
1.一種分布式拒絕服務(wù)攻擊的檢測方法，其特征在于，包括步驟: 統(tǒng)計單位時間內(nèi)接收到的源IP地址或者目的IP地址的報文個數(shù)，比較所述報文個數(shù)和預(yù)置的閥值； 當所述報文個數(shù)大于所述預(yù)置的閥值時，提取其中一個報文的指紋作為模版指紋； 判斷后續(xù)單位時間內(nèi)接收到匹配所述模版指紋的源IP地址或者目的IP地址的報文個數(shù)是否大于所述閾值，如果是，則判斷受到攻擊，否則判斷沒有受到攻擊。
2.如權(quán)利要求1所述的方法，其特征還在于:當判斷受到攻擊時，丟棄單位時間內(nèi)接收到的所有匹配所述模版指紋的源IP地址或者目的IP地址的報文。
3.如權(quán)利要求1所述的方法，其特征還在于:當判斷受到攻擊時，丟棄單位時間內(nèi)超過所述閾值的后續(xù)報文。
4.如權(quán)利要求1所述的方法，其特征還在于: 當判斷沒有受到攻擊時，判斷連續(xù)數(shù)個單位時間內(nèi)接收到匹配所述模版指紋的具有相同源IP地址或者目的IP地址的報文個數(shù)是否均未超過所述閾值，如果均未超過所述閾值，則刪除所述模版指紋，并將下一個報文的指紋作為模板指紋。
5.如權(quán)利要求4所述的方法，其特征還在于: 作為模板指紋的指紋個數(shù)是可配置的。
6.如權(quán)利要求1-5任一項所述的方法，其特征還在于:通過指紋學習的方式提取所述一個報文的指紋?！?br> 7.如權(quán)利要求6所述的方法，其特征還在于:所述指紋由所述報文數(shù)據(jù)段中若干個特征數(shù)據(jù)段構(gòu)成。
8.如權(quán)利要求1-5任一項所述的方法，其特征還在于:所述一個報文的指紋是通過手動下發(fā)。
9.如權(quán)利要求8所述的方法，其特征還在于:所述指紋由所述報文數(shù)據(jù)段中若干個特征數(shù)據(jù)段構(gòu)成。
10.一種分布式拒絕服務(wù)攻擊檢測裝置，其特征在于，包括: 統(tǒng)計比較單元，用于統(tǒng)計單位時間內(nèi)接收到的源IP地址或者目的IP地址的報文個數(shù)并比較所述報文個數(shù)和預(yù)置的閥值； 指紋提取單元，用于所述比較結(jié)果，提取其中一個報文的指紋作為模版指紋； 第一處理單元，用于判斷后續(xù)單位時間內(nèi)接收到匹配所述模版指紋的源IP地址或者目的IP地址的報文個數(shù)是否大于所述閾值，如果是，則判斷受到攻擊，否則判斷沒有受到攻擊。
11.根據(jù)權(quán)利要求10所述的裝置，其特征還在于: 所述第一處理單元還用于當判斷受到攻擊時丟棄該單位時間內(nèi)接收到的所有匹配所述模版指紋的源IP地址或者目的IP地址的報文。
12.根據(jù)權(quán)利要求10所述的裝置，其特征還在于: 所述第一處理單元還用于當判斷受到攻擊時丟棄單位時間內(nèi)超過所述閾值的后續(xù)報文。
13.根據(jù)權(quán)利要求10-12任一項所述的裝置，其特征還在于，所述裝置還包括第二處理單元，用于:當判斷沒有受到攻擊時判斷連續(xù)數(shù)個單位時間內(nèi)接收到匹配所述模版指紋的具有相同源IP地址或者目的IP地址的報文個數(shù)是否均未超過所述閾值，如果均未超過所述閾值，則刪除所述模版指紋，并向所述指紋提取單元發(fā)出指令以提取下一個報文的指紋作為模板指紋?！?br> 【文檔編號】H04L29/06GK103856470SQ201210520092
【公開日】2014年6月11日 申請日期:2012年12月6日 優(yōu)先權(quán)日:2012年12月6日
【發(fā)明者】付山陽 申請人:騰訊科技（深圳）有限公司