專利名稱:基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)D0S/DD0S攻擊檢測(cè)技術(shù),特別涉及一種IPv4和IPv6以太網(wǎng)絡(luò)中檢測(cè)針對(duì)服務(wù)器的拒絕服務(wù)攻擊的方法及系統(tǒng)����。
背景技術(shù):
隨著互聯(lián)網(wǎng)的日趨發(fā)達(dá),人們?cè)谌粘I钪幸踩找嬉蕾囋诨ヂ?lián)網(wǎng)上提供各種服務(wù)的服務(wù)器����。拒絕服務(wù)攻擊D0S/DD0S(Denial of Service/Distributed Denial of service)利用TCP/IP協(xié)議的缺陷,通過(guò)向目標(biāo)主機(jī)發(fā)起大量的連接�����,耗盡目標(biāo)主機(jī)的網(wǎng)絡(luò)資源��,使之無(wú)法提供正常的服務(wù)�����,甚至導(dǎo)致系統(tǒng)崩潰。常見(jiàn)的幾種D0S/DD0S攻擊包括:泛洪攻擊���、反射攻擊��、CC (Challenge Collapsar)攻擊�、HTTP慢連接攻擊等���。一次有效的D0S/DD0S導(dǎo)致公司無(wú)法向用戶的提供有效服務(wù)�,給公司和用戶帶來(lái)商業(yè)利益的損失�����,危害極大����。當(dāng)前僵尸網(wǎng)絡(luò)十分泛濫,攻擊者利用控制的大量的肉雞(僵尸網(wǎng)絡(luò)被控制端)分布式攻擊對(duì)應(yīng)的目標(biāo)����,成功率十分高�。目前對(duì)D0S/DD0S攻擊的檢測(cè)存在缺陷����,檢測(cè)的方式更多地依賴全網(wǎng)數(shù)據(jù)包的特征統(tǒng)計(jì)���;檢測(cè)并沒(méi)有考慮具體的業(yè)務(wù)特征�,針對(duì)偽裝成合法請(qǐng)求的D0S/DD0S攻擊很難檢測(cè)
發(fā)明內(nèi)容
針對(duì)以上不足���,本發(fā)明所以解決的技術(shù)問(wèn)題是提供一種適用于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法及系統(tǒng)��,在監(jiān)測(cè)時(shí)以很少的計(jì)算提取基本運(yùn)營(yíng)參數(shù)���,基本運(yùn)營(yíng)參數(shù)的變化會(huì)觸發(fā)攻擊分析模塊進(jìn)行分析,對(duì)比事先建立的流量模型�����,判斷攻擊類型�����。為解決上述技術(shù)問(wèn)題��,本發(fā)明提供一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法�����,包括以下步驟:
步驟a、對(duì)需要保護(hù)的主機(jī)進(jìn)行監(jiān)測(cè)時(shí)��,抓取運(yùn)營(yíng)流量進(jìn)行分析統(tǒng)計(jì)���,提取基本運(yùn)營(yíng)參
數(shù)�;
如果所述基本營(yíng)運(yùn)參數(shù)超出預(yù)設(shè)的閾值范圍��,則根據(jù)所述基本營(yíng)運(yùn)參數(shù)的來(lái)源定位目標(biāo)主機(jī)�;
根據(jù)所述目標(biāo)主機(jī)的基本營(yíng)運(yùn)參數(shù),計(jì)算出新的簡(jiǎn)單流量模型����,與在正常狀態(tài)下已經(jīng)事先建立的簡(jiǎn)單流量模型進(jìn)行對(duì)比,判斷所述目標(biāo)主機(jī)是否可能存在異常�����;
其中���,所述基本運(yùn)營(yíng)參數(shù)包括時(shí)間段���、數(shù)據(jù)包平均包長(zhǎng)、協(xié)議比例����、每秒包數(shù)、TCP并發(fā)連接數(shù)����、TCP連接成功率;
步驟b���、如果判斷所述目標(biāo)主機(jī)可能存在異常�����,則跟蹤分析所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量��,提取流量參數(shù)�,通過(guò)計(jì)算三維數(shù)據(jù)建立新的業(yè)務(wù)流量模型���,與在正常狀態(tài)下已經(jīng)事先建立的業(yè)務(wù)流量模型進(jìn)行對(duì)比�����,如果所述三維數(shù)據(jù)中至少有一個(gè)維度的數(shù)據(jù)偏離正常范圍��,則判斷所述目標(biāo)主機(jī)存在異常情況�����;所述三維數(shù)據(jù)包括業(yè)務(wù)量數(shù)據(jù)�、業(yè)務(wù)范圍數(shù)據(jù)、服務(wù)質(zhì)量數(shù)據(jù)�;其中,所述業(yè)務(wù)量數(shù)據(jù)包括數(shù)據(jù)包平均包長(zhǎng)���、協(xié)議比例����、每秒包數(shù)��、TCP并發(fā)連接數(shù)���、請(qǐng)求發(fā)送頻率�;
所述業(yè)務(wù)范圍數(shù)據(jù)包括客戶端IP地址分布以及對(duì)應(yīng)的地理分布��;
所述服務(wù)質(zhì)量數(shù)據(jù)包括服務(wù)響應(yīng)時(shí)間�����、TCP連接成功率、TCP超時(shí)比例�����。步驟C�����、如果所述目標(biāo)主機(jī)存在異常�����,則使用所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量的流量特征與事先根據(jù)不同攻擊類型的流量特征所建立的攻擊流量模型的流量特征進(jìn)行對(duì)比���,判斷所述目標(biāo)主機(jī)的攻擊類型。所述方法在步驟a之前還包括:
設(shè)置需要保護(hù)的目標(biāo)主機(jī)列表�����,分析列表中目標(biāo)主機(jī)的正常網(wǎng)絡(luò)流量�����,事先建立簡(jiǎn)單流量模型和業(yè)務(wù)流量模型,所述簡(jiǎn)單流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否可能存在異常��;所述業(yè)務(wù)流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否存在異常�。所述目標(biāo)主機(jī)列表由用戶自行設(shè)定或者由系統(tǒng)自動(dòng)挑選運(yùn)營(yíng)流量大于預(yù)設(shè)值的服務(wù)器作為受保護(hù)的目標(biāo)主機(jī);用戶自行設(shè)定時(shí)地址描述為IP地址或域名地址�。所述方法在步驟c之后還包括:
向用戶發(fā)出報(bào)警或者啟動(dòng)流量清洗設(shè)備,清洗已經(jīng)判斷出攻擊類型的目標(biāo)主機(jī)的運(yùn)營(yíng)流量��。相應(yīng)的��,本發(fā)明還提供了一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)��,包括: 運(yùn)營(yíng)監(jiān)測(cè)模塊�,用于對(duì)需要保護(hù)的主機(jī)進(jìn)行監(jiān)測(cè)時(shí),抓取運(yùn)營(yíng)流量進(jìn)行分析統(tǒng)計(jì)�,提取
基本運(yùn)營(yíng)參數(shù);
如果所述基本營(yíng)運(yùn)參數(shù)超出預(yù)設(shè)的閾值范圍�,則根據(jù)所述基本營(yíng)運(yùn)參數(shù)的來(lái)源定位目標(biāo)主機(jī);
根據(jù)所述目標(biāo)主機(jī)的基本營(yíng)運(yùn)參數(shù)�,計(jì)算出新的簡(jiǎn)單流量模型,與在正常狀態(tài)下已經(jīng)事先建立的簡(jiǎn)單流量模型進(jìn)行對(duì)比�����,判斷所述目標(biāo)主機(jī)是否可能存在異常�����;
其中,所述基本運(yùn)營(yíng)參數(shù)包括時(shí)間段�、數(shù)據(jù)包平均包長(zhǎng)、協(xié)議比例���、每秒包數(shù)�����、TCP并發(fā)連接數(shù)、TCP連接成功率����;
異常確認(rèn)模塊,用于跟蹤分析所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量���,提取流量參數(shù)�����,通過(guò)計(jì)算三維數(shù)據(jù)建立新的業(yè)務(wù)流量模型��,與在正常狀態(tài)下已經(jīng)事先建立的業(yè)務(wù)流量模型進(jìn)行對(duì)比�,如果所述三維數(shù)據(jù)中至少有一個(gè)維度的數(shù)據(jù)偏離正常范圍,則判斷所述目標(biāo)主機(jī)存在異常情況�;所述三維數(shù)據(jù)包括業(yè)務(wù)量數(shù)據(jù)、業(yè)務(wù)范圍數(shù)據(jù)�����、服務(wù)質(zhì)量數(shù)據(jù)�;
其中,所述業(yè)務(wù)量數(shù)據(jù)包括數(shù)據(jù)包平均包長(zhǎng)����、協(xié)議比例、每秒包數(shù)���、TCP并發(fā)連接數(shù)�����、請(qǐng)求發(fā)送頻率�����;
所述業(yè)務(wù)范圍數(shù)據(jù)包括客戶端IP地址分布以及對(duì)應(yīng)的地理分布�;
所述服務(wù)質(zhì)量數(shù)據(jù)包括服務(wù)響應(yīng)時(shí)間����、TCP連接成功率�、TCP超時(shí)比例��。攻擊類型確認(rèn)模塊��,用于使用所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量的流量特征與事先根據(jù)不同攻擊類型的流量特征所建立的攻擊流量模型的流量特征進(jìn)行對(duì)比�����,判斷所述目標(biāo)主機(jī)的攻擊類型��。 所述系統(tǒng)還包括流量模型模塊�,用于設(shè)置需要保護(hù)的目標(biāo)主機(jī)列表����,分析列表中目標(biāo)主機(jī)的正常網(wǎng)絡(luò)流量,事先建立簡(jiǎn)單流量模型和業(yè)務(wù)流量模型���,所述簡(jiǎn)單流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否可能存在異常���;所述業(yè)務(wù)流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否存在異常。所述目標(biāo)主機(jī)列表由用戶自行設(shè)定或者由系統(tǒng)自動(dòng)挑選運(yùn)營(yíng)流量大于預(yù)設(shè)值的服務(wù)器作為受保護(hù)的目標(biāo)主機(jī)��;用戶自行設(shè)定時(shí)地址描述為IP地址或域名地址。所述系統(tǒng)還包括處置模塊��,用于向用戶發(fā)出報(bào)警或者啟動(dòng)流量清洗設(shè)備�����,清洗已經(jīng)判斷出攻擊類型的目標(biāo)主機(jī)的運(yùn)營(yíng)流量�。本發(fā)明的有益效果是:
本發(fā)明針對(duì)的是單個(gè)目標(biāo)主機(jī)地址,可以只處理針對(duì)當(dāng)前目標(biāo)主機(jī)的流量���,基本上屏蔽了整個(gè)網(wǎng)絡(luò)的大流量數(shù)據(jù)對(duì)分析的干擾��,因此對(duì)D0S/DD0S攻擊的檢出率準(zhǔn)確率更高��。同時(shí)�����,根據(jù)勢(shì)態(tài)的發(fā)展���,本發(fā)明能夠自動(dòng)轉(zhuǎn)換平時(shí)的輕載式廣泛檢測(cè)到攻擊時(shí)的集中深入檢測(cè),降低了對(duì)檢測(cè)硬件的要求��。
為了更清楚地說(shuō)明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見(jiàn)地���,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講��,在不付出創(chuàng)造性勞動(dòng)的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖���。圖1為本發(fā)明基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法流程 圖2為本發(fā)明流量模型建立示意圖; 圖3為本發(fā)明基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法實(shí)施例流程 圖4為本發(fā)明基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)示意圖���。
具體實(shí)施例方式為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案��,并使本發(fā)明的上述目的���、特征和優(yōu)點(diǎn)能夠更加明顯易懂����,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明���。本發(fā)明提供了一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法及系統(tǒng)�����,包括�,可以只處理針對(duì)當(dāng)前目標(biāo)主機(jī)的流量����,基本上屏蔽了整個(gè)網(wǎng)絡(luò)的大流量數(shù)據(jù)對(duì)分析的干擾,因此對(duì)D0S/DD0S攻擊的檢出率準(zhǔn)確率更高��。首先介紹本發(fā)明基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法���,包括����,如圖1所示�,包括:
5101、運(yùn)營(yíng)監(jiān)測(cè):在平時(shí)運(yùn)營(yíng)檢測(cè)中����,系統(tǒng)只提取流量中的基本運(yùn)營(yíng)參數(shù)��,通過(guò)簡(jiǎn)單流量模型判斷是否可能存在異常����;
5102���、異常確認(rèn):在可能存在異常的情況下�����,使用業(yè)務(wù)流量模型判斷是否存在異常���;
5103、異常類型確認(rèn):在確認(rèn)異常的情況下�,使用攻擊流量模型,判斷攻擊類型�。圖2為本發(fā)明中簡(jiǎn)單流量模型和業(yè)務(wù)流量模型的建立示意圖,下面給出本發(fā)明方法的具體實(shí)施例��,如圖3所示,包括:
S301�、設(shè)置需要保護(hù)的目標(biāo)主機(jī)列表:
受保護(hù)的目標(biāo)主機(jī)地址建議是由用戶自行設(shè)定��,地址描述可以是IP地址,也可以是域名地址�,如果用戶沒(méi)有設(shè)定,則由系統(tǒng)自動(dòng)挑選流量相對(duì)較大的服務(wù)器作為受保護(hù)的目標(biāo)主機(jī)�。S302、分析列表中目標(biāo)主機(jī)的正常網(wǎng)絡(luò)流量���,建立起適應(yīng)其業(yè)務(wù)特點(diǎn)的簡(jiǎn)單流量模型和業(yè)務(wù)流量模型:
簡(jiǎn)單流量模型是用于判斷流量中是否可能存在異常的模型��,模型與目標(biāo)主機(jī)相對(duì)應(yīng)�����;業(yè)務(wù)流量模型是用于判斷流量中是否存在異常的模型���,模型與目標(biāo)主機(jī)相對(duì)應(yīng);模型的建立���,需要選取不同的流量��,包括是一天中不同時(shí)間段��、一周內(nèi)不同時(shí)間段�、平時(shí)與節(jié)假日(如果目標(biāo)主機(jī)的服務(wù)與節(jié)日相關(guān)),選取的時(shí)段越多���,其精確性越好���。模型建立之后,需要定期進(jìn)行修正��,確保模型能夠與實(shí)際流量一致����;
提取目標(biāo)主機(jī)的正常運(yùn)營(yíng)網(wǎng)絡(luò)流量的運(yùn)營(yíng)參數(shù)(包括:時(shí)間段、數(shù)據(jù)包平均包長(zhǎng)����、協(xié)議比例、每秒包數(shù)�����、TCP并發(fā)連接數(shù)�、TCP連接成功率),通過(guò)分析計(jì)算�,建立的簡(jiǎn)單流量模型。提取目標(biāo)主機(jī)的正常運(yùn)營(yíng)網(wǎng)絡(luò)流量的流量參數(shù)����,建立三個(gè)維度的數(shù)據(jù):
業(yè)務(wù)量——綜合考量:數(shù)據(jù)包平均包長(zhǎng)、協(xié)議比例�����、每秒包數(shù)�、TCP并發(fā)連接數(shù)、請(qǐng)求發(fā)送頻率等����;
業(yè)務(wù)范圍一綜合考量:客戶端IP地址分布和對(duì)應(yīng)的地理分布等;
服務(wù)質(zhì)量——綜合考量:服務(wù)響應(yīng)時(shí)間��、TCP連接成功率�、TCP超時(shí)比例等。通過(guò)分析計(jì)算三維的數(shù)據(jù)��,建立業(yè)務(wù)流量模型���。S301和S302所完成的工作屬于事先的預(yù)備工作����。S303����、日常監(jiān)測(cè)���,抓取運(yùn)營(yíng)流量進(jìn)行簡(jiǎn)單分析統(tǒng)計(jì),提取基本運(yùn)營(yíng)參數(shù):
日常的監(jiān)測(cè)工作只對(duì)運(yùn)·營(yíng)的流量做簡(jiǎn)單的分析統(tǒng)計(jì)�����,提取整體和各個(gè)目標(biāo)主機(jī)的運(yùn)營(yíng)參數(shù)���,這些運(yùn)營(yíng)參數(shù)包括:數(shù)據(jù)包平均包長(zhǎng)�����、協(xié)議比例����、每秒包數(shù)���、TCP并發(fā)連接數(shù)�����、TCP連接成功率��。S304�、當(dāng)基本營(yíng)運(yùn)參數(shù)出現(xiàn)較明顯的變化時(shí),定位可能存在異常的目標(biāo)主機(jī):
設(shè)立基本運(yùn)營(yíng)參數(shù)波動(dòng)的范圍����,超過(guò)閥值時(shí)���,則找出數(shù)據(jù)波動(dòng)的來(lái)源����,找出這些目標(biāo)主機(jī)的地址�。S305、提取可能被攻擊的目標(biāo)主機(jī)的基本營(yíng)運(yùn)參數(shù)���,計(jì)算出新的流量模型����,對(duì)比簡(jiǎn)單流量模型�,確認(rèn)可能存在異常:
跟蹤基本運(yùn)營(yíng)數(shù)據(jù)出現(xiàn)波動(dòng)的目標(biāo)主機(jī)的網(wǎng)絡(luò)流量,提取基本運(yùn)營(yíng)參數(shù)��,計(jì)算出對(duì)應(yīng)的簡(jiǎn)單流量模型���,對(duì)比之前建立的正常流量的簡(jiǎn)單流量模型�,判斷是否可能存在異常情況。由于不同的時(shí)間段可能出現(xiàn)差異性比較大的情況�����,在模型比較時(shí)要求考慮時(shí)間段�����。S306����、如果S305確認(rèn)可能存在異常,則啟動(dòng)異常確認(rèn)分析流程���,首先定位可能為異常的目標(biāo)主機(jī)地址���;
5307、提取目標(biāo)主機(jī)的流量參數(shù)�,對(duì)比業(yè)務(wù)流量模型,確認(rèn)存在異常:
在確認(rèn)可能存在異常的情況下�����,接下來(lái)需要確認(rèn)這個(gè)異常的確定性。進(jìn)一步跟蹤分析目標(biāo)主機(jī)的流量�,提取更多的網(wǎng)絡(luò)流量參數(shù),計(jì)算三維數(shù)據(jù)����,建立起業(yè)務(wù)流量模型,對(duì)比事先建立的業(yè)務(wù)流量模型�����,如果各個(gè)維度數(shù)據(jù)中有一個(gè)或者一個(gè)以上維度(尤其是服務(wù)質(zhì)量維度)的數(shù)據(jù)偏離正常范圍�����,則判斷為存在異常情況��;
5308���、如果S307確認(rèn)存在異常,則對(duì)比不同攻擊類型的流量模型����,分析出具體屬于哪一類的攻擊;如果發(fā)現(xiàn)對(duì)應(yīng)的目標(biāo)主機(jī)存在異常���,我們使用不同攻擊類型的流量模型對(duì)比��,判斷攻擊的具體類型�����。不同類型的攻擊�,其流量特征不一,攻擊流量模型是根據(jù)攻擊的流量特征建立的���。比如flood攻擊,表現(xiàn)為大量的無(wú)效連接����;CC (Challenge Collapsar)攻擊表現(xiàn)為同一連接的請(qǐng)求頻率高�����;HTTP慢連接攻擊體的流量特征則現(xiàn)在數(shù)據(jù)格式上�。S309、向用戶發(fā)出報(bào)警���,觸發(fā)響應(yīng)���;
確認(rèn)具體的攻擊類型后�����,系統(tǒng)向用戶發(fā)出報(bào)警����,具體的報(bào)警方式有:聲光報(bào)警���,WEB報(bào)警�,即時(shí)消息報(bào)警�,郵件報(bào)警等。也可以啟動(dòng)流量清洗設(shè)備���,清洗D0S/DD0S攻擊流量。圖4為本發(fā)明基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)示意圖����,包括:
運(yùn)營(yíng)監(jiān)測(cè)模塊402,用于對(duì)需要保護(hù)的主機(jī)進(jìn)行監(jiān)測(cè)時(shí)��,抓取運(yùn)營(yíng)流量進(jìn)行分析統(tǒng)計(jì)����,
提取基本運(yùn)營(yíng)參數(shù)��;
如果所述基本營(yíng)運(yùn)參數(shù)超出預(yù)設(shè)的閾值范圍�����,則根據(jù)所述基本營(yíng)運(yùn)參數(shù)的來(lái)源定位目標(biāo)主機(jī)�;
根據(jù)所述目標(biāo)主機(jī)的 基本營(yíng)運(yùn)參數(shù)�����,計(jì)算出新的簡(jiǎn)單流量模型�,與在正常狀態(tài)下已經(jīng)事先建立的簡(jiǎn)單流量模型進(jìn)行對(duì)比,判斷所述目標(biāo)主機(jī)是否可能存在異常���;
異常確認(rèn)模塊403����,用于跟蹤分析所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量�,提取流量參數(shù),通過(guò)計(jì)算三維數(shù)據(jù)建立新的業(yè)務(wù)流量模型��,與在正常狀態(tài)下已經(jīng)事先建立的業(yè)務(wù)流量模型進(jìn)行對(duì)t匕�����,如果所述三維數(shù)據(jù)中至少有一個(gè)維度的數(shù)據(jù)偏離正常范圍,則判斷所述目標(biāo)主機(jī)存在異常情況����;所述三維數(shù)據(jù)包括業(yè)務(wù)量數(shù)據(jù)、業(yè)務(wù)范圍數(shù)據(jù)�����、服務(wù)質(zhì)量數(shù)據(jù)���;
攻擊類型確認(rèn)模塊404��,用于使用所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量的流量特征與事先根據(jù)不同攻擊類型的流量特征所建立的攻擊流量模型的流量特征進(jìn)行對(duì)比�,判斷所述目標(biāo)主機(jī)的攻擊類型�����。所述系統(tǒng)還包括流量模型模塊401���,用于設(shè)置需要保護(hù)的目標(biāo)主機(jī)列表,分析列表中目標(biāo)主機(jī)的正常網(wǎng)絡(luò)流量��,事先建立簡(jiǎn)單流量模型和業(yè)務(wù)流量模型,所述簡(jiǎn)單流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否可能存在異常�;所述業(yè)務(wù)流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否存在異常。所述系統(tǒng)還包括處置模塊405��,用于向用戶發(fā)出報(bào)警或者啟動(dòng)流量清洗設(shè)備��,清洗已經(jīng)判斷出攻擊類型的目標(biāo)主機(jī)的運(yùn)營(yíng)流量�����。本說(shuō)明書(shū)中方法的實(shí)施例描述詳盡����,對(duì)于系統(tǒng)的實(shí)施例而言,由于其基本相似于方法實(shí)施例����,所以描述的比較簡(jiǎn)單,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可�����。雖然通過(guò)實(shí)施例描繪了本發(fā)明�,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神��,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。
權(quán)利要求
1.一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法���,其特征在于����,包括: 步驟a��、對(duì)需要保護(hù)的主機(jī)進(jìn)行監(jiān)測(cè)時(shí)����,抓取運(yùn)營(yíng)流量進(jìn)行分析統(tǒng)計(jì),提取基本運(yùn)營(yíng)參數(shù)���; 如果所述基本營(yíng)運(yùn)參數(shù)超出預(yù)設(shè)的閾值范圍�,則根據(jù)所述基本營(yíng)運(yùn)參數(shù)的來(lái)源定位目標(biāo)主機(jī)��; 根據(jù)所述目標(biāo)主機(jī)的基本營(yíng)運(yùn)參數(shù)����,計(jì)算出新的簡(jiǎn)單流量模型,與在正常狀態(tài)下已經(jīng)事先建立的簡(jiǎn)單流量模型進(jìn)行對(duì)比�����,判斷所述目標(biāo)主機(jī)是否可能存在異常��; 步驟b�、如果判斷所述目標(biāo)主機(jī)可能存在異常,則跟蹤分析所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量��,提取流量參數(shù)��,通過(guò)計(jì)算三維數(shù)據(jù)建立新的業(yè)務(wù)流量模型���,與在正常狀態(tài)下已經(jīng)事先建立的業(yè)務(wù)流量模型進(jìn)行對(duì)比��,如果所述三維數(shù)據(jù)中至少有一個(gè)維度的數(shù)據(jù)偏離正常范圍��,則判斷所述目標(biāo)主機(jī)存在異常情況���;所述三維數(shù)據(jù)包括業(yè)務(wù)量數(shù)據(jù)、業(yè)務(wù)范圍數(shù)據(jù)���、服務(wù)質(zhì)量數(shù)據(jù)��; 步驟C�、如果所述目標(biāo)主機(jī)存在異常���,則使用所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量的流量特征與事先根據(jù)不同攻擊類型的流量特征所建立的攻擊流量模型的流量特征進(jìn)行對(duì)比���,判斷所述目標(biāo)主機(jī)的攻擊類型����。
2.如權(quán)利要求1所述的基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法���,其特征在于�����,步驟a之前還包括: 設(shè)置需要保護(hù)的目標(biāo)主機(jī)列表�����,分析列表中目標(biāo)主機(jī)的正常網(wǎng)絡(luò)流量�,事先建立簡(jiǎn)單流量模型和業(yè)務(wù)流量模型����,所述簡(jiǎn)單流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否可能存在異常;所述業(yè)務(wù)流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否存在異常���。
3.如權(quán)利要求2所述的基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法�����,其特征在于�,所述目標(biāo)主機(jī)列表由用戶自行設(shè)定或者由系統(tǒng)自動(dòng)挑選運(yùn)營(yíng)流量大于預(yù)設(shè)值的服務(wù)器作為受保護(hù)的目標(biāo)主機(jī)�;用戶自行設(shè)定時(shí)地址描述為IP地址或域名地址。
4.如權(quán)利要求1所述的基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法�����,其特征在于�����,步驟c之后還包括: 向用戶發(fā)出報(bào)警或者啟動(dòng)流量清洗設(shè)備���,清洗已經(jīng)判斷出攻擊類型的目標(biāo)主機(jī)的運(yùn)營(yíng)流量����。
5.如權(quán)利要求1至4中所述的任一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法��,其特征在于��,所述基本運(yùn)營(yíng)參數(shù)包括時(shí)間段���、數(shù)據(jù)包平均包長(zhǎng)���、協(xié)議比例�����、每秒包數(shù)�、TCP并發(fā)連接數(shù)���、TCP連接成功率���; 所述業(yè)務(wù)量數(shù)據(jù)包括數(shù)據(jù)包平均包長(zhǎng)、協(xié)議比例�、每秒包數(shù)、TCP并發(fā)連接數(shù)�����、請(qǐng)求發(fā)送頻率�; 所述業(yè)務(wù)范圍數(shù)據(jù)包括客戶端IP地址分布以及對(duì)應(yīng)的地理分布; 所述服務(wù)質(zhì)量數(shù)據(jù)包括服務(wù)響應(yīng)時(shí)間�、TCP連接成功率、TCP超時(shí)比例。
6.一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)����,其特征在于,包括: 運(yùn)營(yíng)監(jiān)測(cè)模塊�,用于對(duì)需要保護(hù)的主機(jī)進(jìn)行監(jiān)測(cè)時(shí),抓取運(yùn)營(yíng)流量進(jìn)行分析統(tǒng)計(jì)�,提取基本運(yùn)營(yíng)參數(shù)��; 如果所述 基本營(yíng)運(yùn)參數(shù)超出預(yù)設(shè)的閾值范圍�,則根據(jù)所述基本營(yíng)運(yùn)參數(shù)的來(lái)源定位目標(biāo)主機(jī);根據(jù)所述目標(biāo)主機(jī)的基本營(yíng)運(yùn)參數(shù)����,計(jì)算出新的簡(jiǎn)單流量模型,與在正常狀態(tài)下已經(jīng)事先建立的簡(jiǎn)單流量模型進(jìn)行對(duì)比����,判斷所述目標(biāo)主機(jī)是否可能存在異常; 異常確認(rèn)模塊�,用于跟蹤分析所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量,提取流量參數(shù)�,通過(guò)計(jì)算三維數(shù)據(jù)建立新的業(yè)務(wù)流量模型,與在正常狀態(tài)下已經(jīng)事先建立的業(yè)務(wù)流量模型進(jìn)行對(duì)比����,如果所述三維數(shù)據(jù)中至少有一個(gè)維度的數(shù)據(jù)偏離正常范圍�����,則判斷所述目標(biāo)主機(jī)存在異常情況�����;所述三維數(shù)據(jù)包括業(yè)務(wù)量數(shù)據(jù)����、業(yè)務(wù)范圍數(shù)據(jù)���、服務(wù)質(zhì)量數(shù)據(jù)����; 攻擊類型確認(rèn)模塊����,用于使用所述目標(biāo)主機(jī)的運(yùn)營(yíng)流量的流量特征與事先根據(jù)不同攻擊類型的流量特征所建立的攻擊流量模型的流量特征進(jìn)行對(duì)比,判斷所述目標(biāo)主機(jī)的攻擊類型���。
7.如權(quán)利要求6所述的基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)��,其特征在于�����,還包括流量模型模塊�����,用于設(shè)置需要保護(hù)的目標(biāo)主機(jī)列表�,分析列表中目標(biāo)主機(jī)的正常網(wǎng)絡(luò)流量,事先建立簡(jiǎn)單流量模型和業(yè)務(wù)流量模型���,所述簡(jiǎn)單流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否可能存在異常;所述業(yè)務(wù)流量模型用于判斷對(duì)應(yīng)目標(biāo)主機(jī)的運(yùn)營(yíng)流量中是否存在異常���。
8.如權(quán)利要求7所述的基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)���,其特征在于,所述目標(biāo)主機(jī)列表由用戶自行設(shè)定或者由系統(tǒng)自動(dòng)挑選運(yùn)營(yíng)流量大于預(yù)設(shè)值的服務(wù)器作為受保護(hù)的目標(biāo)主機(jī)��;用戶自行設(shè)定時(shí)地址描述為IP地址或域名地址�����。
9.如權(quán)利要求6所述的基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng),其特征在于�,還包括處置模塊,用于向用戶發(fā)出報(bào)警或者啟動(dòng)流量清洗設(shè)備�����,清洗已經(jīng)判斷出攻擊類型的目標(biāo)主機(jī)的運(yùn)營(yíng)流量�。
10.如權(quán)利要求6至9所述的任一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng),其特征在于�����,所述基本運(yùn)營(yíng)參數(shù)包括時(shí)間段��、數(shù)據(jù)包平均包長(zhǎng)��、協(xié)議比例��、每秒包數(shù)�、TCP并發(fā)連接數(shù)、TCP連接成功率���; 所述業(yè)務(wù)量數(shù)據(jù)包括數(shù)據(jù)包平均包長(zhǎng)�、協(xié)議比例���、每秒包數(shù)���、TCP并發(fā)連接數(shù)�����、請(qǐng)求發(fā)送頻率�����; 所述業(yè)務(wù)范圍數(shù)據(jù)包括客戶端IP地址分布以及對(duì)應(yīng)的地理分布��; 所述服務(wù)質(zhì)量數(shù)據(jù)包括服務(wù)響應(yīng)時(shí)間����、TCP連接成功率�����、TCP超時(shí)比例��。
全文摘要
本發(fā)明公開(kāi)了一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)方法���,包括在平時(shí)運(yùn)營(yíng)檢測(cè)中�����,系統(tǒng)只提取流量中的基本運(yùn)營(yíng)參數(shù)�,通過(guò)簡(jiǎn)單流量模型判斷是否可能存在異常�;在可能存在異常的情況下,使用業(yè)務(wù)流量模型判斷是否存在異常����;在確認(rèn)異常的情況下,使用攻擊流量模型����,判斷攻擊類型。本發(fā)明還公開(kāi)了一種基于IPv4和IPv6的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)��,包括流量模型模塊�����、運(yùn)營(yíng)監(jiān)測(cè)模塊��、異常確認(rèn)模塊���、攻擊類型確認(rèn)模塊以及處置模塊����。本發(fā)明可以只處理針對(duì)當(dāng)前目標(biāo)主機(jī)的流量,基本上屏蔽了整個(gè)網(wǎng)絡(luò)的大流量數(shù)據(jù)對(duì)分析的干擾��,對(duì)DOS/DDOS攻擊的檢出率準(zhǔn)確率更高����。
文檔編號(hào)H04L29/06GK103248607SQ201210022670
公開(kāi)日2013年8月14日 申請(qǐng)日期2012年2月2日 優(yōu)先權(quán)日2012年2月2日
發(fā)明者邱勇良 申請(qǐng)人:哈爾濱安天科技股份有限公司