【技术实现步骤摘要】
一种基于IP白名单的拒绝服务攻击过滤方法、装置及设备
本专利技术涉及网络安全领域,具体涉及一种针对拒绝服务攻击的过滤方法,特别涉及一种基于IP白名单的拒绝服务攻击过滤方法、装置及设备。
技术介绍
拒绝服务攻击(DoS)指的是使攻击目标无法提供服务的网络攻击方法,多采用洪泛攻击的手段。直至今天,拒绝服务攻击仍然是发动简单且危害巨大的常见网络攻击形式,针对攻击流量的识别过滤是网络安全领域重要课题之一。传统的三类白名单IP成员及其TTL值的学习获取方法有较大缺陷:第一种根据IP地址出现频次、天数的包计数法,该法原理过于简单,白名单易被渗透污染;第二种筛选成功建立连接IP的会话监控法,该法需监控每一路会话的交互状态,会话流表维护成本高,每秒连接数成为性能瓶颈;第三种基于流量特征的挖掘分类法,该法对流量特征规则的设计要求高,模型训练的时间空间成本高,且与网络流量的突发性、多变性相矛盾。此外,传统方法在白名单监控问题上,缺少对白名单成员自身流量的合法性监控,存在攻击流量泄露风险,抗渗透能力弱。申请号为2007100499...
【技术保护点】
1.一种基于IP白名单的拒绝服务攻击过滤方法,所述方法包括:/n判断当前受保护网络的状态;/n当状态为未遭到攻击时,监听网络流量,基于有效返回报文更新IP白名单;基于更新活跃位与更改稳定位更新IP白名单的TTL值;/n当状态为遭到攻击时,根据IP白名单过滤IP地址或TTL值不匹配的攻击流量,放行合法流量,同时,基于包个数平衡的对IP白名单成员的流量状态进行监控,将IP白名单内发动洪泛攻击的恶意成员删除。/n
【技术特征摘要】
1.一种基于IP白名单的拒绝服务攻击过滤方法,所述方法包括:
判断当前受保护网络的状态;
当状态为未遭到攻击时,监听网络流量,基于有效返回报文更新IP白名单;基于更新活跃位与更改稳定位更新IP白名单的TTL值;
当状态为遭到攻击时,根据IP白名单过滤IP地址或TTL值不匹配的攻击流量,放行合法流量,同时,基于包个数平衡的对IP白名单成员的流量状态进行监控,将IP白名单内发动洪泛攻击的恶意成员删除。
2.根据权利要求1所述的方法,其特征在于,所述IP白名单用于存储外部网络的可信IP地址及其对应的活跃度、TTL值、TTL更新活跃位和TTL更改稳定位。
3.根据权利要求2所述的方法,其特征在于,所述基于有效返回报文更新IP白名单;具体包括:
步骤S1)接收网络报文,如果是有效返回报文,则执行步骤S2),否则结束流程;其中,有效返回报文为由受保护网络发往外部网络的,能够表征受保护网络与外部网络存在有效信息交互的报文;
步骤S2)将有效返回报文的目的IP地址作为外部网络的可信IP地址,如果IP白名单中有该IP地址,在将其活跃度递增,否则,将该IP地址插入IP白名单。
4.根据权利要求3所述的方法,其特征在于,所述基于更新活跃位与更改稳定位更新IP白名单的TTL值;具体包括:
步骤T1)接收网络报文,如果该报文是有效返回报文,进入步骤T2),如果是外部网络发往受保护网络的报文,进入步骤T3);
步骤T2)将有效返回报文的目的IP地址在IP白名单中的TTL更新活跃位置为1,结束流程;
步骤T3)判断报文的源IP地址是否在IP白名单中,如果在,则执行步骤T4),否则,结束流程;
步骤T4)判断源IP地址在IP白名单中的TTL更新活跃位是否为1,如果是,将其TTL更新活跃位置为0,进入步骤T5),否则,结束流程;
步骤T5)判断IP白名单中该IP地址的TTL更改稳定位是否为0,如果是,则将IP白名单中该IP的TTL值修改为有效返回报文的TTL值,否则,执行步骤T6);
...
【专利技术属性】
技术研发人员:宋磊,马建东,
申请(专利权)人:中国科学院声学研究所,北京中科视云科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。