本申请提供了一种DDOS攻击防御方法及设备,该方法获取若干监测周期内流向防御对象设备的数据流。在数据流的流量增长率大于第一预设阈值的情况下,确定数据分组优先排队LARS队列的若干待定攻击数据包及待定攻击数据包的队列占比。其中,待定攻击数据包的衰减值满足预设条件。预设条件用于筛选衰减值小于第二预设阈值的数据包。基于待定攻击数据包的队列占比与第三预设阈值的匹配结果,确定待定攻击数据包相应的异常数据包特征。异常数据包特征至少包括:数据包均值、数据包分布区间。根据异常数据包特征,对数据流中各数据包进行相应的数据包剔除。据包剔除。据包剔除。
【技术实现步骤摘要】
一种DDoS攻击防御方法及设备
[0001]本申请涉及互联网安全
,尤其涉及一种分布式拒绝服务(Distributed Denial of Service,DDoS)攻击防御方法及设备。
技术介绍
[0002]DDoS攻击是目前网络安全领域所面临的主要威胁之一。DDoS攻击者一般会利用攻陷或雇佣的傀儡主机会向攻击目标发送大量的非法数据,快速耗尽服务器资源或网络带宽,从而达到被攻击目标拒绝服务的目的。
[0003]在数据包被转发设备转发至防御对象设备过程中,现有的基于分类改进的Size
‑
based调度算法(classification based Size
‑
based scheduling,CBSBS)的转发设备将对数据包进行调度其转发优先级。在面临DDoS消耗型攻击时,攻击者能够使攻击数据包具有伪造源地址字段,从而DDoS攻击数据包将被认定为全新数据包,使得攻击数据包具有更高的转发优先级,导致转发设备放大了DDoS消耗型攻击的攻击效果。若转发设备更改转发调度算法,既无法及时解决DDoS攻击,同时将影响后续转发设备的正常使用,临时更换调度算法,也将使得转发设备的使用过于繁琐,不宜用工业推广使用。
[0004]基于此,亟需一种能够解决转发设备能够放大DDoS攻击效果,对DDoS攻击进行有效且便捷地解除处理的技术方案。
技术实现思路
[0005]本申请实施例提供了一种DDoS攻击防御方法及设备,用于避免DDoS攻击效果被放大,并有效、便捷地解除DDoS的消耗型攻击。
[0006]一方面,本申请实施例提供了一种DDoS攻击防御方法,该方法包括:
[0007]获取若干监测周期内流向防御对象设备的数据流。在数据流的流量增长率大于第一预设阈值的情况下,确定数据分组优先排队(Least Attained Recent Service,LARS)队列的若干待定攻击数据包及待定攻击数据包的队列占比。其中,待定攻击数据包的衰减值满足预设条件。预设条件用于筛选衰减值小于第二预设阈值的数据包。基于待定攻击数据包的队列占比与第三预设阈值的匹配结果,确定待定攻击数据包相应的异常数据包特征。异常数据包特征至少包括:数据包均值、数据包分布区间。根据异常数据包特征,对数据流中各数据包进行相应的数据包剔除。
[0008]在本申请的一种实现方式中,根据各监测周期的数据流,确定时间相邻的监测周期的流量增长率。将流量增长率与第一预设阈值比对,并在流量增长率大于第一预设阈值的情况下,确定LARS队列相应的各数据包的衰减值。其中,LARS队列按照衰减值大小依次排列。衰减值为通过预设衰减值计算公式计算得到。通过二分法,确定LARS队列中小于第二预设阈值的衰减值对应的各数据包,为待定攻击数据包。
[0009]在本申请的一种实现方式中,将LARS队列中的数据包数量,作为第一数量。将待定攻击数据包的数据包数量,作为第二数量。根据第二数量及第一数量的比值,确定待定攻击
数据包的队列占比。
[0010]在本申请的一种实现方式中,确定相应的监测周期内,LARS队列的流量增长率是否大于第四预设阈值。若是,确定待定攻击数据包的队列占比与第三预设阈值的匹配结果。否则,重新确定相应的流向防御对象设备的数据流的流量增长率是否大于第一预设阈值,以更新待定攻击数据包及队列占比。
[0011]在本申请的一种实现方式中,在匹配结果为队列占比大于第三预设阈值的情况下,根据各待定攻击数据包,生成相应的异常数据包特征。在匹配结果为队列占比小于或等于第三预设阈值的情况下,确定待定攻击数据包为非攻击数据包,并实时确定相应的监测周期内,LARS队列的流量增长率是否大于第四预设阈值。
[0012]在本申请的一种实现方式中,确定各待定攻击数据包的数据包大小。根据各待定攻击数据包的数据包大小,确定相应的数据包均值及数据包方差。根据数据包均值及数据包方差,确定异常数据包的数据包分布区间。将数据包均值及数据包分布区间,作为异常数据包特征。
[0013]在本申请的一种实现方式中,确定数据流中的各数据包的数据包大小,是否处于异常数据包特征对应的数据包分布区间。对数据流中数据包大小处于异常数据包特征对应的数据包分布区间的各数据包进行丢弃处理,以剔除异常数据包。
[0014]在本申请的一种实现方式中,确定预设连续监测周期内,数据流的流量增长率大于第一预设阈值的监测次数。在监测次数大于第一预设值的情况下,确定相应的待定攻击数据包及其队列占比。
[0015]在本申请的一种实现方式中,获取剔除异常数据包后的数据流,并确定数据流中异常数据包的数据流量统计值。在数据流量统计值小于第二预设值的情况下,生成防御更改指令,并发送防御更改指令至转发数据流的转发设备,以根据预设数据防护策略,对流向防御对象设备的数据流进行防护处理。
[0016]另一方面,本申请实施例还提供了一种分布式拒绝服务DDoS攻击防御设备,该设备包括:
[0017]至少一个处理器;以及,与至少一个处理器通信连接的存储器。其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够:
[0018]获取若干监测周期内流向防御对象设备的数据流。在数据流的流量增长率大于第一预设阈值的情况下,确定数据分组优先排队LARS队列的若干待定攻击数据包及待定攻击数据包的队列占比。其中,待定攻击数据包的衰减值满足预设条件。预设条件用于筛选衰减值小于第二预设阈值的数据包。基于待定攻击数据包的队列占比与第三预设阈值的匹配结果,确定待定攻击数据包相应的异常数据包特征。异常数据包特征至少包括:数据包均值、数据包分布区间。根据异常数据包特征,对数据流中各数据包进行相应的数据包剔除。
[0019]可以在流向防御对象设备的数据流大于第一预设阈值时,进行确定LARS队列中的待定攻击数据包,并进行待定攻击数据包的验证,如队列占比的匹配,得到异常数据包特征。进而根据异常数据包特征进行清洗数据流中的数据包,从而防御DDoS攻击,避免转发设备放大DDoS攻击效果的影响,有效解除DDoS的消耗型攻击,并无需更改转发设备调度算法,便捷地实现解除DDoS消耗型攻击。此外,本申请能够通过上述方案有效解决Size
‑
based调
度算法的传统安全缺陷。
附图说明
[0020]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0021]图1为本申请实施例中一种DDoS攻击防御方法的一种流程示意图;
[0022]图2为本申请实施例中一种DDoS攻击防御方法的另一种流程示意图;
[0023]图3为本申请实施例中一种DDoS攻击防御方法的再一种流程示意图;
[0024]图4为本申请实施例中一种DDoS攻击防御设备的结构示意图。
具体实施方式
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种分布式拒绝服务DDoS攻击防御方法,其特征在于,所述方法包括:获取若干监测周期内流向防御对象设备的数据流;在所述数据流的流量增长率大于第一预设阈值的情况下,确定数据分组优先排队LARS队列的若干待定攻击数据包及所述待定攻击数据包的队列占比;其中,所述待定攻击数据包的衰减值满足预设条件;所述预设条件用于筛选衰减值小于第二预设阈值的数据包;基于所述待定攻击数据包的队列占比与第三预设阈值的匹配结果,确定所述待定攻击数据包相应的异常数据包特征;所述异常数据包特征至少包括:数据包均值、数据包分布区间;根据所述异常数据包特征,对所述数据流中各数据包进行相应的数据包剔除。2.根据权利要求1所述方法,其特征在于,在所述数据流的流量增长率大于第一预设阈值的情况下,确定数据分组优先排队LARS队列的若干待定攻击数据包,具体包括:根据各所述监测周期的数据流,确定时间相邻的所述监测周期的所述流量增长率;将所述流量增长率与所述第一预设阈值比对,并在所述流量增长率大于第一预设阈值的情况下,确定所述LARS队列相应的各数据包的衰减值;其中,所述LARS队列按照衰减值大小依次排列;所述衰减值为通过预设衰减值计算公式计算得到;通过二分法,确定所述LARS队列中小于所述第二预设阈值的衰减值对应的各数据包,为所述待定攻击数据包。3.根据权利要求2所述方法,其特征在于,确定所述待定攻击数据包的队列占比,具体包括:将所述LARS队列中的数据包数量,作为第一数量;将所述待定攻击数据包的数据包数量,作为第二数量;根据所述第二数量及所述第一数量的比值,确定所述待定攻击数据包的队列占比。4.根据权利要求1所述方法,其特征在于,基于所述待定攻击数据包的队列占比与第三预设阈值的匹配结果,确定所述待定攻击数据包相应的异常数据包特征之前,所述方法还包括:确定相应的监测周期内,所述LARS队列的流量增长率是否大于第四预设阈值;若是,确定所述待定攻击数据包的队列占比与所述第三预设阈值的匹配结果;否则,重新确定相应的流向所述防御对象设备的数据流的流量增长率是否大于所述第一预设阈值,以更新所述待定攻击数据包及所述队列占比。5.根据权利要求4所述方法,其特征在于,基于所述待定攻击数据包的队列占比与第三预设阈值的匹配结果,确定所述待定攻击数据包相应的异常数据包特征,具体包括:在所述匹配结果为所述队列占比大于所述第三预设阈值的情况下,根据各所述待定攻击数据包,生成相应的异常数据包特征;在所述匹配结果为所述队列占比小于或等于所述第三预设阈值的情况下,确定所述待定攻击数据...
【专利技术属性】
技术研发人员:何志强,崔新会,裘天瑜,
申请(专利权)人:河北金融学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。