一种DDoS攻击的检测方法及装置制造方法及图纸

本发明专利技术公开一种DDoS攻击的检测方法及应用该方法的装置，通过配置防护策略进行检测，根据源和目的所属的网络区域和网络对象进行策略匹配，仅对匹配到防护策略的数据包进行DDoS攻击检测，而对没有匹配到策略的数据包直接放行；而且在检测中通过设置检测链表和任务队列，提高检测任务的调度效率，既减少对防护设备性能的影响又提高了检测结果的可靠性。本发明专利技术的实施例，在提升拦截DDoS攻击的有效性，同时保证网络正常访问流量畅通。同时保证网络正常访问流量畅通。

【技术实现步骤摘要】
一种DDoS攻击的检测方法及装置


[0001]本专利技术属于网络安全
， 具体是一种检测和拦截DDoS攻击数据包的方法及装置。

技术介绍

[0002]互联网的发展带来各行各业信息化进程的加速，也给人们的生活带来翻天覆地的变化，但是伴随而来的，是各类网络攻击导致的安全问题。分布式拒绝服务攻击（DDos：Distributed Deny of Service）就是一种常见的具有较强破坏性且难以防止和追查的攻击方式，简单来讲，攻击者在短时间内通过大量计算机产生大规模的非法请求或垃圾数据，意图淹没目标服务器或网络。
[0003]在实际环境中，安全设备通过对内外网相互访问的数据包进行检测，识别并拦截流经设备的DDoS攻击包，以达到对内网服务器和用户PC的保护作用。但是，现有的检测技术，对每一个捕获的数据包都依次进行检测，不仅效率较低影响设备对数据的处理性能影响正常访问流量，而且检测的可靠性有待提升。

技术实现思路

[0004]本专利技术旨在提供一种DDoS攻击的检测方法及应用该方法的装置，以提高对DDoS攻击的检测与防护效率。
[0005]首先，本专利技术的实施例提出一种DDoS攻击的检测方法，包括：将数据包与预设的DDoS防护策略进行匹配，对匹配成功的数据包进行检测，对匹配失败的数据包进行放行；所述对匹配成功的数据包进行检测，具体包括：为每条防护策略构建一条检测链表，将与策略匹配成功的数据包、策略id与策略信息构建为一个任务节点，并将该任务节点存入任务队列中；从任务队列中取出任务节点，根据策略id查找对应的策略信息与检测链表，遍历检测链表对数据包进行检测，将触发告警的数据包添加阻断标记，以阻断连接的后续数据。
[0006]上述的对数据包进行检测，包括进行源IP洪水攻击检测、目的IP洪水攻击检测与单包攻击检测中的至少一项：源IP洪水攻击检测：统计第一预设时长内同一个源IP发送的特征数据包个数，达到第一阈值后阻断该源IP的所有数据包；目的IP洪水攻击检测：统计第二预设时长内同一个目的IP接收的特征数据包个数，达到第二阈值后丢弃继续访问该目的IP的所有特征数据包；单包攻击检测：对单个数据包进行特征检测，发现攻击后丢弃数据包。
[0007]上述的源IP洪水攻击检测，包括：当数据包属于SYN包时，计算其源IP的哈希值，若该源IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于所述第一预设时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的第一阈值，当数据包的统计值超过所述第一阈值时将源IP加入封锁名单并发送
告警日志。
[0008]上述的目的IP洪水攻击检测，包括：当数据包属于SYN包时，计算其目的IP的哈希值，若该目的IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于所述第一预设时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的第二阈值，当数据包的统计值超过所述第二阈值时丢弃后续发送到该目的IP的SYN数据包并发送告警日志。
[0009]进一步的，上述的洪水攻击检测，若数据包不属于SYN包时，则对数据包不作处理；若源IP或目的IP未记录在哈希表中，或者，源IP或目的IP已记录在哈希表中但其记录的时长已超过哈希表的最大超时时长，则在哈希表中创建或更新该源IP或目的IP的信息；以及，若当前数据包的时间戳超出所述第一预设时长，则将数据包的统计值清零并更新统计时间。
[0010]上述的单包攻击防护，包括：根据四层协议，提取数据包的内容依次与攻击特征库进行匹配，对符合特征的数据包进行丢弃处理并发送告警日志，否则对数据包不作处理。
[0011]作为较佳的，对数据包进行检测之前，进行配置初始化，包括判断是否为首次初始化：若是，从数据库读取策略信息存入策略数组，为各个策略构建检测链表；否则，从数据库重新读取策略信息存入策略数组，为各个策略构建检测链表；并且在任务队列中的所有任务执行完毕之前阻塞新任务的加入。
[0012]另一方面，本专利技术的实施例还提出一种DDoS攻击检测装置，执行上述的检测方法，具体包括：初始化模块，在系统启动后读取用户配置，以及当用户配置发生改变时由前端发送信号，重新读取用户配置，为检测任务模块提供策略信息；策略匹配模块，根据数据包五元组信息匹配防护策略，将不匹配策略的数据包直接放行；预处理模块，将数据包、检测参数、检测任务链封装为一个任务节点，将任务节点插入到任务队列中，等待任务线程调度执行；检测任务模块，从任务队列中取出任务节点，执行检测任务。
[0013]所述检测任务模块还包括：洪水攻击防护子模块，分别针对源IP与目的IP进行基于数据包流量统计的DDoS检测；单包攻击防护子模块，针对单个数据包的特征做DDoS检测。
[0014]采用上述技术方案的本专利技术实施例，通过配置防护策略进行检测，根据源和目的所属的网络区域和网络对象进行策略匹配，仅对匹配到防护策略的数据包进行DDoS攻击检测，而对没有匹配到策略的数据包直接放行；而且在检测中通过设置检测链表和任务队列，提高检测任务的调度效率，既减少对防护设备性能的影响又提高了检测结果的可靠性。本专利技术的实施例，在提升拦截DDoS攻击的有效性，同时保证网络正常访问流量畅通。
附图说明
[0015]图1为本专利技术的DDoS攻击检测方法实施例，总体流程示意图；图2为图1中防护策略匹配与检测任务调度流程示意图；图3为图1中对源IP、目的IP洪水攻击检测流程示意图；图4是图1中单包攻击检测流程示意图；图5为本专利技术的DDoS攻击检测装置实施例，组成模块示意图。
具体实施方式
[0016]为了更好的理解本专利技术的
技术实现思路
，以下结合附图对本专利技术各个实施例进行详细说明。
[0017]首先如图1所示，一种DDoS攻击的检测方法实施例，包括：将数据包与预设的DDoS防护策略进行匹配，对匹配成功的数据包进一步进行检测，对匹配失败的数据包进行放行。
[0018]所述的DDoS防护策略匹配，根据数据包的五元组与预设的策略信息进行匹配，例如防护策略规定了以下信息：ipv4/ipv6、源区域、目的区域、源对象、目的对象、策略id等，当数据包的五元组符合策略规定的前述信息则表示匹配成功，需要对该数据包进行进一步攻击检测，即将匹配到的策略id返回给DDoS攻击检测进程。
[0019]如图2所示，在上述的实施例基础上，对所述与防护策略匹配成功的数据包进行进一步检测，具体包括：为每条防护策略构建一条检测链表，将与策略匹配成功的数据包、策略id与策略信息构建为一个任务节点，并将该任务节点存入任务队列中；从任务队列中取出任务节点，根据策略id查找对应的策略信息与检测链表，遍历检测链表对数据包进行检测，将触发告警的数据包添加阻断标记，以阻断连接的后续数据。
[0020]上述的对数据包进行洪水攻击检测，包括以下至少一项：源IP洪水攻击检测：统计第一预设时长内同一个源IP发送的特征数据包个数，达到第一阈值后阻本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种DDoS攻击的检测方法，其特征在于，将数据包与预设的DDoS防护策略进行匹配，对匹配成功的数据包进行检测，对匹配失败的数据包进行放行；所述对匹配成功的数据包进行检测，具体包括：为每条防护策略构建一条检测链表，将与策略匹配成功的数据包、策略id与策略信息构建为一个任务节点，并将该任务节点存入任务队列中；从任务队列中取出任务节点，根据策略id查找对应的策略信息与检测链表，遍历检测链表对数据包进行检测，将触发告警的数据包添加阻断标记，以阻断连接的后续数据。2.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述对数据包进行检测，包括以下至少一项：源IP洪水攻击检测：统计第一预设时长内同一个源IP发送的特征数据包个数，达到第一阈值后阻断该源IP的所有数据包；目的IP洪水攻击检测：统计第二预设时长内同一个目的IP接收的特征数据包个数，达到第二阈值后丢弃继续访问该目的IP的所有特征数据包；单包攻击检测：对单个数据包进行特征检测，发现攻击后丢弃数据包。3.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述源IP洪水攻击检测，包括：当数据包属于SYN包时，计算其源IP的哈希值，若该源IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于所述第一预设时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的第一阈值，当数据包的统计值超过所述第一阈值时将源IP加入封锁名单并发送告警日志。4.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述目的IP洪水攻击检测，包括：当数据包属于SYN包时，计算其目的IP的哈希值，若该目的IP已记录在哈希表中并且其记录的时长未超过最大超时时长同时当前数据包的时间戳处于所述第一预设时长内，累加数据包的统计值；根据数据包匹配到的策略id查找防护策略对应的第二阈值，当数据包的统计值超过所述第二阈值时丢弃后续发送到该目的IP的SYN数据包并发送告警日志。5.根据权利要求3或4所述的DDoS攻击检测方法，其特征在于，若数据包不属于SYN包时，则对数据包不作处理；若源IP或目的IP未记录在哈希表中，或者，源IP或目的IP已记录在哈希表中但其记录...

【专利技术属性】
技术研发人员：刘亚轩，何建锋，
申请(专利权)人：西安交大捷普网络科技有限公司，
类型：发明
国别省市：