一种缓解分布式拒绝服务攻击的方法技术

缓解分布式拒绝服务攻击的方法，已有检测或防御技术有不足。本发明专利技术方法：给定以IP地址块表示的一组区域范围和该区域范围每个子区域允许的协议类型或报文性质的报文个数的阈值；每收到一个相应协议类型或报文性质的报文，根据源IP地址查找其所属子区域；如果所属子区域的对应的协议类型或报文性质的报文个数当前值cv大于0，将cv减1后将收到的报文根据协议类型或报文性质进一步正常处理；如果cv等于0，则或者直接丢弃或者记录该报文有关信息后丢弃该报文；针对缓解不同类型的分布式拒绝服务攻击的要求，并发地对给定区域范围中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理。本发明专利技术用于IP网络中。

【技术实现步骤摘要】

本专利技术属于网络安全
，涉及一种IP网络中缓解分布式拒绝服务DDoS攻击的方法。
技术介绍
大规模、高并发的分布式拒绝服务DDoS攻击是一种在被攻击一方很难彻底防御的攻击方式，特别是僵尸网络的出现和扩张进一步加剧了 DDoS攻击的防御难度，如何有效缓解大规模、高并发的DDoS攻击的效果使被攻击方在遭受攻击期间仍然能够继续对一些正常用户提供一定程度上的服务具有重要意义和价值。大规模僵尸网络具有的特征之一是，从IP地址块分布来看，僵尸主机的分布具有一定程度的区域集中特性。已有的检测或防御DDoS攻击技术中，基于负载预测等流量检测这类方法一方面存在预测不准确的问题， 同时还无法有效地抵御低速拒绝服务LDoS (Low-rate Denial of Service)攻击，LDoS攻击能够躲避传统的检测方法；基于生成有关参数或签名信息反向验证数据源合法性这类方法则由于计算复杂而无法应对大流量、高并发的非法数据包的攻击问题，使服务器瘫痪产生拒绝服务效果；传输控制协议TCP同步SYN报文洪泛DDoS攻击是一种攻击TCP协议栈半连接表syn_ table的攻击，抵御这种洪泛攻击的一种方法是本文档来自技高网...

【技术保护点】
１．一种缓解分布式拒绝服务攻击的方法，其特征是：　所述方法包括以下步骤：步骤１，给定一个以网际协议ＩＰ地址块表示的一组区域范围ａｒｅａ＿ｂｌｏｃｋｓ，以及针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中，每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值；每个子区域允许的协议类型或报文性质的报文个数的当前值初值，设置为该子区域的对应的协议类型或报文性质的报文个数正整数阈值；步骤２，每接收到一个给定的协议类型或报文性质的报文，则根据其源ＩＰ地址在给定的区域范围ａｒｅａ＿ｂｌｏｃｋｓ中查找其所属的子区域ｓｕｂａｒｅａ；步骤３，如果该子区域ｓｕｂａｒｅａ的对应的...

【技术特征摘要】
1.一种缓解分布式拒绝服务攻击的方法，其特征是所述方法包括以下步骤步骤1，给定一个以网际协议IP地址块表示的一组区域范围area_bl0Cks，以及针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中，每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值；每个子区域允许的协议类型或报文性质的报文个数的当前值初值，设置为该子区域的对应的协议类型或报文性质的报文个数正整数阈值；步骤2，每接收到一个给定的协议类型或报文性质的报文，则根据其源IP地址在给定的区域范围area_blocks中查找其所属的子区域subarea ；步骤3，如果该子区域subarea的对应的协议类型或报文性质的报文个数当前值大于 0，则将该子区域的对应的协议类型或报文性质的报文个数当前值减1，然后将接收到的报文根据协议类型或报文性质进一步正常处理；如果该子区域subarea的对应的协议类型或报文性质的报文个数当前值等于0，则或者直接丢弃该报文、或者记录该报文的有关信息后丢弃该报文；记录该报文的有关信息时至少记录报文的源IP地址和协议类型信息；针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求，分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果； 步骤4，针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求，并发地对区域范围area_bl0Cks中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理。2.根据权利要求1所述的一种缓解分布式拒绝服务攻击的方法，其特征是所述的给定一个以网际协议IP地址块表示的一组区域范围area_bl0Cks，是指所给定的区域范围 area_blocks,或者依据于IP地址分配信息以及whois信息整理，或者依据于对实际的正常访问流量的分析结果整理；所述的区域范围area_bl0Cks中的每个子区域都是以一组网际协议IP地址块IP_blocks表示的物理网络区域或是逻辑网络区域；每个地址块以网络前缀或IP地址范围的形式表示。3.根据权利要求1或2所述的一种缓解分布式拒绝服务攻击的方法，其特征是所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值，是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的或者TCP结束FIN报文性质的或者TCP重置 RST报文性质的或者TCP的确认连接SYN和ACK比特同时置I报文性质的或者TCP的确认结束FIN和ACK比特同时置I报文性质的或者TCP的确认重置RST和ACK比特同时置I报文性质的洪泛flooding分布式拒绝服务攻击，则每个子区域允许的协议类型或报文性质的报文个数的正整数阈值或者根据TCP半连接表synjable的表元总数确定、或者根据实际的正常访问流量中该子区域的对应的协议类型或报文性质的报文个数的分析结果确定；如果针对的是缓解用户数据报协议UDP报文或者TCP确认ACK报文性质的洪泛分布式拒绝服务攻击，则每个子区域允许的协议类型或报文性质的报文个数的正整数阈值根据实际的正常访问流量中该子区域的对应的协议类型或报文性质的报文个数的分析结果确定。4.根据权利要求1或2所述的一种缓解分布式拒绝服务攻击的方法，其特征是所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求，可选的分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果，是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击，则分析模块是可选的；如果针对的是缓解TCP FIN报文性质的、或者TCP RST报文性质的、或者TCP ACK报文性质的、或者TCP的SYN和ACK比特同时置I报文性质的、或者TCP的FIN和ACK比特同时置I报文性质的、或者TCP的RST和ACK比特同时置I报文性质的、或者用户数据报协议UDP报文的洪泛分布式拒绝服务攻击，则设置分析模块；如果设置了分析模块，则如果接收到的相应区域的对应的协议类型或报文性质的报文的源IP地址均勻分布在相应区域的地址块中，则给出分布式拒绝服务攻击疑似度s为0的结果；如果接收到的相应区域的对应的协议类型或报文性质的报文的目的IP地址分布集中，且源IP地址集中分布在相应区域的一个或几个地址块中，则根据源IP地址集中分布情况给出分布式拒绝服务攻击疑似度s为大于0且小于等于1. 0之间的一个小数的结果，否则给出分布式拒绝服务攻击疑似度s为0的结果。5.根据权利要求3所述的一种缓解分布式拒绝服务攻击的方法，其特征是所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求，可选的分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果，是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击，则分析模块是可选的；如果针对的...

【专利技术属性】
技术研发人员：姜誉，任健，方滨兴，周黎明，
申请(专利权)人：黑龙江大学，
类型：发明
国别省市：93