快速检测SYN Flood攻击的方法及装置制造方法及图纸

本发明专利技术提供了一种快速检测SYN Flood攻击的方法及装置，涉及网络信息安全的技术领域，该方法包括：获取TCP协议会话信息，其中，TCP协议会话信息为目标IP与监测主机之间的至少一个会话信息；对TCP协议会话信息进行分析，得到SYN请求数据包的数量；在判断出数量满足预设条件的情况下，对SYN请求中的源IP地址和物理地址进行分析，以确定源IP地址和物理地址是否符合平均分布；在确定出符合平均分布的情况下，基于目标会话数量确定当前时刻监测主机是否被SYN Flood攻击，其中，目标会话数量为当前时刻网络流量中的全部IP地址会话中应用层流量为零的会话数量，缓解现有技术中SYN Flood的检测方法成本较高的技术问题。

Method and device for fast detection of SYN Flood attack

The present invention provides a method and device for rapid detection of SYN Flood attacks, and relates to the technical field of network information security, the method includes: obtaining the TCP protocol session information, the TCP protocol session information for at least one session information between the target IP and monitoring host; the TCP protocol session information analysis, get SYN request the number of packets in the number; judgment meets the preset conditions, the SYN request to the source IP address and physical address are analyzed to determine the source IP address and physical address is in line with the average distribution; was determined with the average distribution, the target number of sessions to determine the current time monitoring whether the host is SYN Flood attacks, based on the target number of sessions for the current time in network traffic all the IP address in the application layer session flow session number zero Technical problems of high cost, ease the existing detection methods of the Flood technology in SYN.

【技术实现步骤摘要】
快速检测SYNFlood攻击的方法及装置
本专利技术涉及网络信息安全的
，尤其是涉及一种快速检测SYNFlood攻击的方法及装置。
技术介绍
SYNFlood是一种广为人知的DoS(拒绝服务攻击)，SYNFlood是DDoS(分布式拒绝服务攻击)的方式之一。这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。SYNFlood攻击原理如图1所示。一个正常的TCP连接需要进行三次握手操作。首先，客户端向服务器发送一个SYN数据包。而后，服务器分配一个控制块，并响应一个SYN+ACK数据包。服务器随后将等待客户端发送一个ACK数据包给它。如果服务器没有收到ACK数据包，TCP连接将处于半开状态，直到服务器从客户端收到ACK数据包，或者因为time-to-live(TTL)计时器超时为止，超时时间可以在系统参数中自行调节，通常为几分钟到半小时。在连接超时的情况下，事先分配的控制块将被释放。当一个攻击者有意地、重复地向服务器发送SYN数据包，但不对服务器发回的SYN+ACK数据包答复时，就会发生SYNFlood攻击。不同源地址的SYN包会被分配到不同的数据区。因此攻击者都会使用大量的伪造IP地址来保证SYNFlood攻击效果。SYNFlood攻击时服务器将会失去对资源的控制，无法建立任何新的合法TCP连接。目前已有SYNFlood的方法大多数是根据TCP协议包头中的SYN和ACK标志来精确判断半连接状态数量。这种方法对数据要求更多，需要数据采集设备能够详细解析TCP报头，而此类设备价格比较高。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种快速检测SYNFlood攻击的方法及装置，以缓解现有技术中SYNFlood的检测方法成本较高的技术问题。第一方面，本专利技术实施例提供了一种快速检测SYNFlood攻击的方法，包括：获取TCP协议会话信息，其中，所述TCP协议会话信息为目标IP与监测主机之间的至少一个会话信息；对所述TCP协议会话信息进行分析，得到SYN请求数据包的数量；在判断出所述数量满足预设条件的情况下，对SYN请求中的源IP地址和物理地址进行分析，以确定所述源IP地址和所述物理地址是否符合平均分布；在确定出符合所述平均分布的情况下，基于目标会话数量确定当前时刻所述监测主机是否被SYNFlood攻击，其中，所述目标会话数量为当前时刻网络流量中的全部IP地址会话中应用层流量为零的会话数量。进一步地，对所述TCP协议会话信息进行分析，得到SYN请求数据包的数量包括：按照预设单位时间段对所述TCP协议会话信息进行划分，得到至少一个所属于不同预设单位时间段的目标TCP协议会话信息；基于所述目标TCP协议会话信息统计每个所述预设单位时间段内所述SYN请求数据包的会话请求数量，得到多个会话请求数量；判断每个所述会话请求数量是否满足所述预设条件，其中，在判断出满足的情况下，对每个所述预设单位时间段内SYN请求中的源IP地址和物理地址进行分析。进一步地，判断每个所述会话请求数量是否满足所述预设条件包括：判断每个所述会话请求数量是否大于最大值基线；在判断出是的情况下，则判断每个所述会话请求数量是否大于N倍的最大值基线，其中，N大于1；在判断出是的情况下，判断每个所述会话请求数量是否大于M倍的平均值基线；在判断出是的情况下，确定所述会话请求数量满足所述预设条件，其中，M大于1。进一步地，在基于所述目标TCP协议会话信息统计每个所述预设单位时间段内SYN请求数据包的会话请求数量之后，所述方法还包括：将所述多个会话请求数量中最大会话请求数量作为所述最大值基线；将所述多个会话请求数量的平均值作为所述平均值基线。进一步地，所述方法还包括：当满足以下至少一种条件时，对所述最大值基线和所述平均值基线进行更新：在判断出所述会话请求数量不大于N倍的所述最大值基线的情况下；在判断出所述会话请求数量不大于M倍的所述平均值基线的情况下；在确定出不符合所述平均分布的情况下；以及，在确定出所述当前时刻所述监测主机未被所述SYNFlood攻击的情况下。进一步地，对SYN请求中的源IP地址和物理地址进行分析，以确定所述源IP地址和所述物理地址是否符合平均分布包括：计算第一比例和第二比例的差值，其中，所述第一比例为所述源IP地址产生的会话数量占比第K大的比例，所述第二比例为所述源IP地址产生的会话数量占比第K小的比例，K等于P与所述源IP地址数量的乘积，P为预设常数；在所述差值小于预设数值的情况下，确定所述源IP地址和所述物理地址是否符合平均分布。进一步地，在确定出符合所述平均分布的情况下，基于目标会话数量确定当前时刻所述监测主机是否被SYNFlood攻击包括：计算所述目标会话数量与所述全部IP地址会话之间的会话比例；判断所述会话比例是否大于或者等于预设比例；在判断出是的情况下，则确定所述监测主机是否被SYNFlood攻击。第二方面，本专利技术实施例还提供一种快速检测SYNFlood攻击的装置，包括：获取单元，用于获取TCP协议会话信息，其中，所述TCP协议会话信息为目标IP与监测主机之间的至少一个会话信息；第一分析单元，用于对所述TCP协议会话信息进行分析，得到SYN请求数据包的数量；第二分析单元，用于在判断出所述数量满足预设条件的情况下，对SYN请求中的源IP地址和物理地址进行分析，以确定所述源IP地址和所述物理地址是否符合平均分布；确定单元，用于在确定出符合所述平均分布的情况下，基于目标会话数量确定当前时刻所述监测主机是否被SYNFlood攻击，其中，所述目标会话数量为当前时刻网络流量中的全部IP地址会话中应用层流量为零的会话数量。进一步地，所述第一分析单元用于：按照预设单位时间段对所述TCP协议会话信息进行划分，得到至少一个所属于不同预设单位时间段的目标TCP协议会话信息；基于所述目标TCP协议会话信息统计每个所述预设单位时间段内所述SYN请求数据包的会话请求数量，得到多个会话请求数量；判断每个所述会话请求数量是否满足所述预设条件，其中，在判断出满足的情况下，对每个所述预设单位时间段内的SYN请求中的源IP地址和物理地址进行分析。第三方面，本专利技术实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行上述所述权利要求所述的方法。在本专利技术实施例中，首先，获取TCP协议会话信息；然后，对TCP协议会话信息进行分析，得到SYN请求数据包的数量；接下来，在判断出数量满足预设条件的情况下，对SYN请求中的源IP地址和物理地址进行分析，以确定源IP地址和物理地址是否符合平均分布；最后，在确定出符合平均分布的情况下，基于目标会话数量确定当前时刻监测主机是否被SYNFlood攻击，其中，目标会话数量为当前时刻网络流量中的全部IP地址会话中应用层流量为零的会话数量。在本专利技术实施例中，通过监测主机站点的实时会话信息，来判断监测主机站点是否正在遭受SYNFlood攻击，而无需对TCP协议包头中的标识信息进行校验，从而能够便于网站管理者更好做出应对而减少损失，进而缓解现有技术中SYNFlood的检测方法成本较高的技术问题。本专利技术的其他特征和优点将在随后的说明书本文档来自技高网...

【技术保护点】
一种快速检测SYN Flood攻击的方法，其特征在于，包括：获取TCP协议会话信息，其中，所述TCP协议会话信息为目标IP与监测主机之间的至少一个会话信息；对所述TCP协议会话信息进行分析，得到SYN请求数据包的数量；在判断出所述数量满足预设条件的情况下，对SYN请求中的源IP地址和物理地址进行分析，以确定所述源IP地址和所述物理地址是否符合平均分布；在确定出符合所述平均分布的情况下，基于目标会话数量确定当前时刻所述监测主机是否被SYN Flood攻击，其中，所述目标会话数量为当前时刻网络流量中的全部IP地址会话中应用层流量为零的会话数量。

【技术特征摘要】
1.一种快速检测SYNFlood攻击的方法，其特征在于，包括：获取TCP协议会话信息，其中，所述TCP协议会话信息为目标IP与监测主机之间的至少一个会话信息；对所述TCP协议会话信息进行分析，得到SYN请求数据包的数量；在判断出所述数量满足预设条件的情况下，对SYN请求中的源IP地址和物理地址进行分析，以确定所述源IP地址和所述物理地址是否符合平均分布；在确定出符合所述平均分布的情况下，基于目标会话数量确定当前时刻所述监测主机是否被SYNFlood攻击，其中，所述目标会话数量为当前时刻网络流量中的全部IP地址会话中应用层流量为零的会话数量。2.根据权利要求1所述的方法，其特征在于，对所述TCP协议会话信息进行分析，得到SYN请求数据包的数量包括：按照预设单位时间段对所述TCP协议会话信息进行划分，得到至少一个所属于不同预设单位时间段的目标TCP协议会话信息；基于所述目标TCP协议会话信息统计每个所述预设单位时间段内所述SYN请求数据包的会话请求数量，得到多个会话请求数量；判断每个所述会话请求数量是否满足所述预设条件，其中，在判断出满足的情况下，对每个所述预设单位时间段内SYN请求中的源IP地址和物理地址进行分析。3.根据权利要求2所述的方法，其特征在于，判断每个所述会话请求数量是否满足所述预设条件包括：判断每个所述会话请求数量是否大于最大值基线；在判断出是的情况下，则判断每个所述会话请求数量是否大于N倍的最大值基线，其中，N大于1；在判断出是的情况下，判断每个所述会话请求数量是否大于M倍的平均值基线；在判断出是的情况下，确定所述会话请求数量满足所述预设条件，其中，M大于1。4.根据权利要求3所述的方法，其特征在于，在基于所述目标TCP协议会话信息统计每个所述预设单位时间段内SYN请求数据包的会话请求数量之后，所述方法还包括：将所述多个会话请求数量中最大会话请求数量作为所述最大值基线；将所述多个会话请求数量的平均值作为所述平均值基线。5.根据权利要求3所述的方法，其特征在于，所述方法还包括：当满足以下至少一种条件时，对所述最大值基线和所述平均值基线进行更新：在判断出所述会话请求数量不大于N倍的所述最大值基线的情况下；在判断出所述会话请求数量不大于M倍的所述平均值基线的情况下；在确定出不符合所述平均分布的情况下；以及，在确定出所述当前时刻所述监测...

【专利技术属性】
技术研发人员：莫凡，范渊，刘博，龙文洁，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33