本发明专利技术公开了一种基于自适应阈值的DDos攻击防御方法,其包括:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。本发明专利技术所述基于自适应阈值的DDos攻击防御方法,其能够针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。
【技术实现步骤摘要】
基于自适应阈值的DDOS攻击防御方法
本专利技术涉及一种网络安全领域。更具体地说,本专利技术涉及一种基于自适应阈值的DDos攻击防御方法。
技术介绍
DOS(DenialofService),即拒绝服务。造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DOS攻击有计算机网络带宽攻击和连通性攻击。DDoS(DistributedDOS),即分布式拒绝服务。DDoS攻击与DOS攻击类似,只是发起攻击的源是处于不同位置的多个攻击者,同时向一个或多个目标发起攻击,由于攻击的发出点分布在不同的地方,这类攻击称为分布式拒绝服务攻击。目前网络安全产品的种类非常多,如传统的防火墙、入侵检测、路由器等,由于设计之初就没有考虑相应的DDoS防护,所以这些设备无法针对复杂的DDoS攻击进行有效的检测和防护。虽然目前有不少专业的DDOS防护设备,但通常会使用统计的方法来做防范,由于DDOS攻击的方法不断翻新、变化,单一的防护在DDoS攻击面前显得一筹莫展。
技术实现思路
本专利技术的一个目的是解决至少上述问题,并提供至少后面将说明的优点。本专利技术还有一个目的是提供一种基于自适应阈值的DDos攻击防御方法,其能够针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。为了实现根据本专利技术的这些目的和其它优点,提供了一种基于自适应阈值的DDos攻击防御方法,包括:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。优选的是,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。优选的是,所述源地址真实性验证采用SYNCookie、反向路径过滤以及IP/MAC绑定三种方法进行。优选的是,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。优选的是,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。优选的是,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;针对群组内单个IP地址或AAA认证用户级别的流量控制。本专利技术至少包括以下有益效果:本专利技术所述基于自适应阈值的DDOS攻击防御方法,使用了多达7层的分层防御体系,针对各种DoS/DDOS攻击可能利用的弱点和漏洞进行全面防护,通过在线方式部署在防护对象前面,从而真正有效地防御拒绝服务攻击。本专利技术的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本专利技术的研究和实践而为本领域的技术人员所理解。具体实施方式下面结合实施例对本专利技术做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。本专利技术提供一种基于自适应阈值的DDos攻击防御方法,包括:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。在其中一个实施例中,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。在其中一个实施例中,所述源地址真实性验证采用SYNCookie、反向路径过滤以及IP/MAC绑定三种方法进行。在其中一个实施例中,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于ADL规则的限制,可以让经过DDOS模块过滤后的流量,不会超过被防护设备的处理能力;设置并发连接数目、新建数目、每秒能转发流量的上限值;支持两套阈值,一套阈值和计划对象结合,另一套为默认阈值。在其中一个实施例中,所述访问控制包括设置状态检测防火墙,考查数据包的IP地址参数,并且要关心数据包的连接状态变化,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话的状态。在其中一个实施例中,所述流量管理包括:根据需要将特定的物理接口、子接口和网桥自定义为一个Zone,然后针对这些Zone分别进行流量管理;针对由多个IP地址组成的地址群组、子网或AAA认证群组,实现群组级的流量控制;针对群组内单个IP地址或AAA认证用户级别的流量控制。通过上述三个层次的流量控制,均可实现对不同流向、不同服务协议(支持智能协议识别,可识别出采用非标准端口进行网络通讯的网络应用)以及总流量的细致控制。因此,通过综合运用这三个层次的流量控制功能,可完全实现对网络流量的精确、透明控制。尽管本专利技术的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本专利技术的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本专利技术并不限于特定的细节和这里示出与描述的实施例。本文档来自技高网...
【技术保护点】
1.一种基于自适应阈值的DDos攻击防御方法,其特征在于,包括以下步骤:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。
【技术特征摘要】
1.一种基于自适应阈值的DDos攻击防御方法,其特征在于,包括以下步骤:通过在线方式,将防御分为7层部署在防护对象前面;所述防御分别是:协议异常检测,源地址真实性验证,黑白名单,统计异常检测和速率限制,访问控制,基于特征的异常检测以及流量管理。2.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述协议异常检测,包括检查IP包的格式是否正确,检查协议异常的IP包。3.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述源地址真实性验证采用SYNCookie、反向路径过滤以及IP/MAC绑定三种方法进行。4.如权利要求1所述的基于自适应阈值的DDos攻击防御方法,其特征在于,所述统计异常检测和速率限制具体包括:将DDOS模块放置在防火墙模块的前端,基于每源IP的限制,可以限制每个源IP能够占用的资源;基于ADL规则的限...
【专利技术属性】
技术研发人员:田新远,
申请(专利权)人:南京骏腾信息技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。