[发明专利]基于开源内核的无状态的泛洪请求攻击过滤方法

权利要求书

1.一种基于开源内核的无状态的泛洪请求攻击过滤方法，其特征在于该过滤方法分为以下步骤：

步骤1：初始化开源防火墙过滤的规则列表，生成白名单和黑名单，将所有请求报文和复位报文传入用户空间；

步骤2：主控模块将区别请求报文和复位报文分别处理；

步骤3：对请求报文计算出Cookie值，添加到文本文件库中，并向报文发送源回发一个确认报文，其中，将刚计算出的信息值作为确认报文的序号值；

步骤4：对复位报文，取出其确认号值，减一后到文本文件库中查找，如果查找成功，则通知防火墙操作模块将发送者地址添加到白名单中，否则，将添加到黑名单中，

步骤5：文本文件库维护模块每隔时间间隔t删除过期的信息记录，并通知防火墙操作模块将发送源的地址添加到黑名单中，

步骤5：防火墙操作模块在黑名单或者白名单中表项达到很大的时候，对表项进行聚集，对防火墙过滤表进行优化，以提高过滤的性能，

步骤6：在发出停止过滤命令后，防火墙模块需要对所有的列表进行清空，并停止内核过滤模块功能，过滤方法结束。

2.根据权利要求1所述的基于开源内核的无状态的泛洪请求攻击过滤方法，其特征在于对文本文件库维护和防火墙过滤表的优化的方法为：

文本文件库的维护：

1)初始化特征库，这是一个段间有序，段内无序的数据结构，通过取时间戳的八位以秒为单位，作为段序号，这样段与段之间讲是以秒为单位时间递增的顺序，

2)文本文件库的更新，设置刷新线程，刷新线程指向文本文件库段首，根据设定的生存值t秒，文本文件库开始工作开始，在t秒后从段首更新，将段内的文本文件库的地址和端口号向防火墙操作模块发送消息，将其设为不可通过地址，并清空表项，这样刷新线程在t秒后，将每隔一秒向指针移向下一段，实现更新；

对防火墙过滤表的优化：

通过对实际基于泛洪请求的攻击工具了解，发现大多数有效的攻击数据报文都是采用伪数据包地址，且都基于10至80之间的目的端口号。在防火墙操作模块对规则的生成上，将数据包地址和端口号结合，这样首先在过滤开始设置好规则链表项，将大大有利于规则过滤效率的提高，规则链中的一个规则包含协议类型、源端口号、目的端口号等域值，策略的思想就是基于协议类型和端口号来实现规则的快速搜索匹配，在增加规则预处理时间的条件下，达到防火墙工作效率的最优化。