[发明专利]一种采用网流技术防御TCP攻击的方法和系统

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种采用网流技术防御TCP(Transmission Control Protocol，传输控制协议)攻击的方法和系统。

背景技术

近年来随着互联网技术的飞速发展，网络业务日益丰富，网络流量增长迅速。传统的粗放式流量统计管理已经远远不能满足当前业务发展对网络流量监控、网络安全管理、以及网络监控和分析等方面的需求。网流(Netstream)技术的出现，为流量的精细化管理提供了重要的基础数据平台。

Netstream是一种采样、提取和分析网络设备上报文信息的技术，可以提供对网络流量进行统计、监控和分析的功能。Netstream技术基于“流”的概念，一个流即一组符合下列特征的报文：相同的源和目的IP地址、相同的源和目的协议端口号、有相同的入和出接口、相同的协议类型、以及相同的服务类型(ToS)。通过Netstream流可以记录下网络中Who、What、When、Where、How等信息。在网络安全越来越受到人们重视的今天，Netstream在检测和防御网络攻击方面的应用也越来越多。

TCP攻击是网络攻击的一种方式，技术含量相对较低却更难于防范，是网络攻击者较常采用的手段。TCP攻击的基本原理是：攻击者利用一些曾经被入侵过(包括临时实现入侵)的主机(傀儡机)，绕过防火墙的检查，向目的服务器提出大量的TCP连接请求，使得目的服务器忙于回应这些请求，消耗了大量存储资源甚至耗尽，导致目的服务器对于网络内部的正常服务请求拒绝执行，以达到攻击的目的。由于TCP攻击的这种特性，人们也常常把它称为TCP Flood(洪水式)攻击。

当网络受到TCP攻击、流量出现异常时，采用Netstream技术可以检测出TCP攻击流量来自何方、去向何处等关键信息，有效防御网络攻击者的攻击。

但是，在现有技术中，Netstream一条流的标志位是所有TCP报文头中标志位字段按位或(OR)的结果。如果接收到标志位是RST(连接复位)或者FIN(发送方字节流结束)的TCP报文，会立即老化这一条流。当网络攻击者发送大量的标志位是RST或者FIN的TCP报文时，会导致每个报文都要建一条流并立即老化，大量的流老化和重建将浪费转发引擎的资源。并且，由于Netstream将所有报文中的标志位字段进行了合并，将无法区分具体的TCP攻击类型，这难以满足网络精细化管理的要求。

发明内容

本发明提供一种采用网流技术防御TCP攻击的方法和系统。通过Netstream采集TCP报文的标志位信息，以解决现有技术中无法准确检测TCP攻击类型的问题。

一种采用网流技术防御TCP攻击的方法，包括以下步骤：将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流；通过所述流的标志位字段确定所述TCP攻击的类型；根据所述TCP攻击的类型，防御所述TCP攻击。

一种采用网流技术防御TCP攻击的系统，包括网流采样设备和网流分析处理设备：

网流采样设备：用于采集网络流量，将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流；

网流分析处理设备：用于处理所述网流采样设备采集的流信息，分析得到所述TCP攻击的类型，根据TCP攻击的类型防御所述TCP攻击。

采用本发明实施例的技术方案，可以准确定位网络中TCP攻击的位置和攻击类型，有针对性的防御TCP攻击，避免了此类攻击对网络设备性能的影响和资源的消耗。同时，通过与网流分析处理设备联动，实现了对攻击源的动态防御。

附图说明

图1为本发明方法较佳实施例流程图；

图2为本发明较佳实施例系统结构图；

具体实施方式

为使本发明的目的、技术方案以及优点更加清楚明白，以下参照附图并举实施例，对本发明做进一步的详细说明。

本发明的基本思想是将TCP报文的标志位字段作为Netstream一条流的KEY值，即将源IP地址、目的IP地址、源端口号、目的端口号、入/出接口、协议类型、服务类型、TCP报文的标志位字段都相同的报文作为一条流，可以准确地检测出TCP攻击类型，进行流量统计，从而有针对性地进行防御。

图1为本发明方法较佳实施例流程图。如图1所示，包括以下步骤：