一种基于攻击端的DDoS攻击防御方法,其包括如下步骤:1)统计攻击特征数目:对所有正地址的攻击特征数目进行监测,对于流经网络中所有的DDoS攻击进行检测和过滤,尤其是能实现在最接近攻击源端的地方实现攻击数据包的过滤,所过滤的数据包中不是用于攻击的数据包就会越少,这样就避免了现在很多DDoS防御设备在目标主机或者目标网络外直接进行过滤,造成会误过滤很多的情况,和现有的防御方案相比,本发明专利技术提出的方法有更高的检测准确率,更低的误报率以及更短的响应时间,而且能尽最大可能保留用户用于请求服务的正常数据包,可以在大范围的网络拓扑结构中保持性能良好,而且本发明专利技术可以检测出流经所覆盖网络的所有攻击。以检测出流经所覆盖网络的所有攻击。以检测出流经所覆盖网络的所有攻击。
【技术实现步骤摘要】
一种基于攻击端的DDoS攻击防御方法
[0001]本专利技术涉及防御方法,具体为一种基于攻击端的DDoS攻击防御方法。
技术介绍
[0002]随着互联网带宽的持续扩容、物联网快速发展及IOT(InternetofThings)设备的极速普及,万物互联时代的网络给大家带来便捷,也为DDoS攻击创造了极为有利的条件。近期利用Memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势,根据CNCERT最新发现显示,截止2018年Q1有记录在案的真实攻击流量已达1.98Tb,经常几G的DDoS攻击即可致大多数政企用户的网络带宽拥塞、业务瘫痪。同时,各类DDoS攻击工具在网络泛滥,发起DDoS攻击门槛和攻击成本都越来越低,骇客可轻易发动混合型DDoS攻击,利用DDoS攻击的恶意竞争、敲诈勒索已形成完备的地下产业链。
[0003]传统DDoS防护体系的不足:
[0004]1、单一本地防护:由于受用户接入带宽和防护成本的限制,当遭受几百兆的攻击时就可以让大多数用户的网络带宽无法承受,黑客可以轻易发动攻击短时间内打满客户出口带宽,导致网络出口或局部网络出现堵塞,线上业务无法开展正常服务;
[0005]2、单一云服务商防护:云清洗服务解决了大流量DDoS攻击的用户,但云清洗服务本质上都是由于提供清洗服务的服务商均采用一套防护设备为所有用户提供通用的DDoS防护服务,无法针对每个用户的业务类型、特点、攻击类型等进行策略和防护机制的量身定制,仍然会出现服务经常打不开或业务半瘫痪的状况,最终导致不是存在大量的误封就是根本无法防护的效果;3、单一IDC防护:IDC机房为用户提供基础设施,在出口边界解决部分大流量DDoS攻击的用户,但受IDC自身出口限制,以及IDC为了保证大网环境的稳定性,在用户的攻击达到一定量时通常采用与运营端联动封IP,同时IDC均采用一套防护设备为所有用户提供通用的DDoS防护服务,各用户之间策略连带影响可能导致大量封杀,不论封IP还是共享策略,最终将导致用户业务无法正常方问。
[0006]几乎所有的金融企业、网络游戏、互联网/互联网+、政府在线业务平台等,甚至连学校与公益组织的网站都无法幸免DDOS攻击带来的威胁,随之而来的是投诉、法律纠纷、商业损失等一系列问题,使得企业的正常经营活动收到巨大影响,业务无法开展给品牌带来巨大影响不说,甚至导致企业不得不关门歇业。传统方案存在明显的不足,检测准确率低下,误报率高以及响应时间较长,很难为用户提供完美的抗大规模DDoS攻击的解决方案,因此,解决DDoS攻击问题成为线上业务服务商必须考虑的头等大事。
技术实现思路
[0007]针对上述情况,为克服现有技术的缺陷,本专利技术提供一种基于攻击端的DDoS攻击防御方法,有效的解决了传统方案存在明显的不足,检测准确率低下,误报率高以及响应时间较长,很难为用户提供完美的抗大规模DDoS攻击的解决方案的问题。
[0008]为实现上述目的,本专利技术提供如下技术方案:本专利技术包括如下步骤:1)统计攻击特
征数目:对所有正地址的攻击特征数目进行监测,对于流经网络中所有的DDoS攻击进行检测和过滤,尤其是能实现在最接近攻击源端的地方实现攻击数据包的过滤,在越靠近攻击源端进行过滤,所过滤的数据包中不是用于攻击的数据包就会越少,这样就避免了现在很多DDoS防御设备在目标主机或者目标网络外直接进行过滤,造成会误过滤很多的情况;
[0009]2)动态的过滤非法数据包:路由器本身具备过滤数据包的功能,所以过滤数据包很容易实现,根据所监测的攻击特征数目判断目标IP地址,并通过目标地址来实现对发送到目标IP地址的数据包的过滤,也就是说在对于发送给目标IP地址的数据包将会完全被过滤掉,快速的判断出目标正地址是否受到了DDoS攻击,而且能迅速准确的开始过滤功能,可以动态的而且迅速的过滤掉攻击数据包;
[0010]3)异常检测:异常检测是入侵检测的一种,入侵检测是通过监控网络和系统的状态、行为以及使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图,与传统的预防性安全机制相比,入侵检测是一种事后处理方案,具有智能监控、实时探测、易于配置的特点,从技术上划分,认为入侵检测有两种模型异常入侵检测模型和误用入侵检测模型,异常检测首先总结正常操作具有的特征用户轮廓,当用户活动与正常行为有重大偏离时即被认为是入侵,也称基于行为的检测;
[0011]4)阑值计算:采用6
‑
sigma的方法来计算阂值。
[0012]根据上述技术方案:所述误用入侵检测模型:收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测也被称为基于知识的检测,误用检测的基本前提是,假定所有可能的入侵行为都能被识别和表示。
[0013]根据上述技术方案:所述误用入侵检测模型的原理是首先对已知的攻击方法进行攻击签名表示,攻击签名是指用一种特定的方式来表示己知的攻击模式然后根据己经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。
[0014]根据上述技术方案:所述6
‑
sigma在统计学上常用来表示标准偏差,即用“σ”度量质量特性总体上对目标值的偏离程度哪,依此原理,假设正态分布曲线涵盖的总面积为1,在正态分布无偏差的理想状态下,
±
3σ水平代表了正态分布曲线涵盖的面积为99.73%,而
±
6σ水平代表了正态分布曲线涵盖的面积为99.99966%。
[0015]有益效果:本专利技术使用时,和现有的防御方案相比,本专利技术提出的方法有更高的检测准确率,更低的误报率以及更短的响应时间,在接近于攻击源的地方进行过滤就可以更早的进行过滤,而且能尽最大可能保留用户用于请求服务的正常数据包,当然也能有更短的响应时间,本专利技术的快速防御方法在相同的网络拓扑环境下有更好的性能表现,可以在大范围的网络拓扑结构中保持性能良好,而且本专利技术可以检测出流经所覆盖网络的所有攻击。
附图说明
[0016]附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制。在附图中:
[0017]图1是本专利技术整体系统框图。
具体实施方式
[0018]下面结合附图1对本专利技术的具体实施方式做进一步详细说明。
[0019]实施例一,由图1给出,本专利技术提供一种基于攻击端的DDoS攻击防御方法,包括如下步骤:1)统计攻击特征数目:对所有正地址的攻击特征数目进行监测,对于流经网络中所有的DDoS攻击进行检测和过滤,尤其是能实现在最接近攻击源端的地方实现攻击数据包的过滤,在越靠近攻击源端进行过滤,所过滤的数据包中不是用于攻击的数据包就会越少,这样就避免了现在很多DDoS防御设备在目标主机或者目标网络外直接进行过滤,造成会误过滤很多的情况,采用FDFIX的方法通过参数设置来达到搜集,分类数据的功本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于攻击端的DDoS攻击防御方法,其特征在于,包括如下步骤:1)统计攻击特征数目:对所有正地址的攻击特征数目进行监测,对于流经网络中所有的DDoS攻击进行检测和过滤,尤其是能实现在最接近攻击源端的地方实现攻击数据包的过滤,在越靠近攻击源端进行过滤,所过滤的数据包中不是用于攻击的数据包就会越少,这样就避免了现在很多DDoS防御设备在目标主机或者目标网络外直接进行过滤,造成会误过滤很多的情况;2)动态的过滤非法数据包:路由器本身具备过滤数据包的功能,所以过滤数据包很容易实现,根据所监测的攻击特征数目判断目标IP地址,并通过目标地址来实现对发送到目标IP地址的数据包的过滤,也就是说在对于发送给目标IP地址的数据包将会完全被过滤掉,快速的判断出目标正地址是否受到了DDoS攻击,而且能迅速准确的开始过滤功能,可以动态的而且迅速的过滤掉攻击数据包;3)异常检测:异常检测是入侵检测的一种,入侵检测是通过监控网络和系统的状态、行为以及使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图,与传统的预防性安全机制相比,入侵检测是一种事后处理方案,具有智能监控、实时探测、易于配置的特点,从技术上划分,认为入侵检测有两种模型异常入侵检测模型和误用入侵检测模型,异常检测首先总结正常操作具有的特征用户轮廓,当用户活动与正常行为有重大偏离时即被认为是入侵,也称基于行为的检测;4)阑值计算:采用6
...
【专利技术属性】
技术研发人员:王杨,
申请(专利权)人:深圳市智安网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。