一种DDoS攻击检测系统技术方案
【技术实现步骤摘要】
一种DDoS攻击检测系统
本专利技术涉及网络安全技术,尤其涉及一种DDoS攻击检测系统。
技术介绍
分布式拒绝服务(DistributedDenialofService,DDoS)攻击是一种通过发送大量数据包使得计算机或网络无法提供正常服务的攻击形式。它可能在短时间内耗尽所有可用的网络资源或被攻击对象的系统资源,使得合法的用户请求无法通过或被处理,从而阻碍网络中的正常通信,给被攻击者乃至网络带来巨大的危害。在防御DDoS攻击时,通常由旁路网络监控设备根据当前的网络流量检测是否受到DDoS攻击。具体通过旁路网络监控设备对网络流量进行采样,将采样结果与当前阈值进行比较,若超出该对应当前时刻的预测流量则确定检测到DDoS攻击。分布式拒绝服务(DistributedDenialofService,DDoS)攻击是一种隐蔽的拒绝服务攻击,攻击中的数据包来自不同的攻击源。与DoS攻击相比,DDoS攻击在单条链路上的流量更小,难以被网络设备检测,因而更易于形成。另一放面,DDoS攻击汇聚后的异常流量总量很大,极具破坏力。目前,国内外已对网络中的DDoS攻击检测进行了大量研究,提...
【技术保护点】
一种DDoS攻击检测系统,其特征在于:包括TCP攻击检测、UDP攻击检测、HTTPS攻击检测和HTTP攻击检测;TCP攻击检测和UDP攻击检测都通过与基线数据对比,检测出异常服务器,然后特定的规则检测出具体的DDOS攻击,如果未识别出具体的DDOS攻击,获取出当前异常服务器TOPN的源地址信息;TCP攻击检测包括TCP异常检测和SYN Flood少量源攻击,TCP异常检测针对流量和连接;TCP异常检测包括SYN Flood巨量源攻击检测和Tsunami流量攻击检测;UDP攻击检测包括NTP反射放大型攻击检测和DNS反射放大型攻击检测;HTTPS攻击检测包括SSL Flood...
【技术特征摘要】
1.一种DDoS攻击检测系统,其特征在于:包括TCP攻击检测、UDP攻击检测、HTTPS攻击检测和HTTP攻击检测;TCP攻击检测和UDP攻击检测都通过与基线数据对比,检测出异常服务器,然后特定的规则检测出具体的DDOS攻击,如果未识别出具体的DDOS攻击,获取出当前异常服务器TOPN的源地址信息;TCP攻击检测包括TCP异常检测和SYNFlood少量源攻击,TCP异常检测针对流量和连接;TCP异常检测包括SYNFlood巨量源攻击检测和Tsunami流量攻击检测;UDP攻击检测包括NTP反射放大型攻击检测和DNS反射放大型攻击检测;HTTPS攻击检测包括SSLFlood检测、SSLAlert检测和SSL重协商检测;HTTP攻击检测包括Slowloris检测、GetFlood检测、Slowpost检测和HashDos检测。2.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述基线数据的设计步骤如下:(1)基线学习时间可配置;(2)基线指标包含流量和连接数;(3)异常数据不作为基线数据,此时会将基线数据的平均值作为本次数据节点,放入到基线库中;(4)实际的基线数据的颗粒量必须大于整个学习时间颗粒量的30%,否则不进行异常判断。3.根据权利要求1所述的DDoS攻击检测系统,其特征在于,TCP攻击检测的异常检测是阀值和基线组合判断的结果即:先通过当前数据与基线数据比较,然后再根据阀值进行定量的比较;在初步检测出服务器异常后,再判断当前超时连接数占当前总的连接数比例超过指定阀值,即认为服务器有异常。4.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述的Tsunami流量攻击检测为在检测出服务器异常后,查询TCP建连过程中超时中INPKT包长在[950,1050]范围的所有的连接,获取的TCP连接数占当前总TCP的连接超过30%,即为Tsunami流量攻击;所述的SYNFlood巨量源攻击检测在检测出服务器异常后,查询TCP建链过程中超时中源IP地址的个数占连接数预设百分比,并且当前超时的连接数超过预设阀值,满足所述条件即认为是SYNFlood巨量源攻击;所述的SYNFlood少量源攻击为按源IP统计服务器中半连接状态的连接数,超过预设阈值则认为该服务器受到DOS类型的SYNFlood攻击。5.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述UDP攻击检测的异常检测方法是阀值和基线组合判断的结果,即先通过当前数据与基线数据比较,然后再根据阀值进行定量的比较,如果满足上述条件,即认为服务器有异常。6.根据权利要求1所述的DD...
【专利技术属性】
技术研发人员:韩韶华,张磊,
申请(专利权)人:无锡聚云科技有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。