[发明专利]降质攻击检测及防御方法、检测设备及接入设备

权利要求书

1.一种降质攻击检测方法，其特征在于，包括：

在服务器端对报文流进行降质攻击流检测，当检测出可疑RoQ流时，确定并向源端发送对该可疑降质攻击流的后续报文进行报文信息统计的时间段；

接收所述源端发送的在所述时间段内的该可疑降质攻击流的后续报文统计信息，根据该统计信息对所述可疑降质攻击流进行再次检测；

当经过再次检测确认所述可疑降质攻击流为降质攻击流时，通知所述源端对所述降质攻击流进行丢弃处理。

2.根据权利要求1所述的降质攻击检测方法，其特征在于，在将对该可疑降质攻击流的后续报文进行报文信息统计的时间段向源端发送的同时，还包括：

将对该可疑降质攻击流打上特殊标签的指令向源端发送。

3.根据权利要求2所述的降质攻击检测方法，其特征在于，所述当经过再次检测确认所述可疑降质攻击流为降质攻击流时，通知所述源端对所述降质攻击流进行丢弃处理包括：

当经过再次检测确认所述可疑降质攻击流为降质攻击流时，通知所述源端对在所述可疑降质攻击流打上的所述特殊标签进行确认并对所述降质攻击流进行丢弃处理。

4.根据权利要求2所述的降质攻击检测方法，其特征在于，所述方法还包括：

当确认所述可疑降质攻击流不是降质攻击流时，通知所述源端对在所述可疑降质攻击流打上的所述特殊标签进行撤销处理。

5.一种降质攻击防御方法，其特征在于，包括：

源端接收服务器端发送的对可疑降质攻击流的后续报文进行报文信息统计的时间段；

源端在所述时间段内对所述可疑降质攻击流的后续报文信息进行统计获得统计信息，并将该统计信息向服务器端发送以对所述可疑降质攻击流进行确认；

接收服务器端发送的确认所述可疑降质攻击流为降质攻击流的信息，源端对所述降质攻击流进行丢弃处理。

6.根据权利要求5所述的降质攻击防御方法，其特征在于，在接收服务器端发送的对可疑降质攻击流的后续报文进行报文信息统计的时间段的同时，还包括：

接收服务器端发送的对可疑降质攻击流打上特殊标签的指令；

对所述可疑降质攻击流打上特殊标签，并将具有该特殊标签的可疑降质攻击流进行平滑处理。

7.根据权利要求5所述的降质攻击防御方法，其特征在于，在所述时间段内对所述可疑降质攻击流的后续报文信息进行统计获得统计信息包括：

在所述时间段内对所述可疑降质攻击流的后续报文信息进行统计，获得在所述时间段内的报文数量。

8.根据权利要求6所述的降质攻击防御方法，其特征在于，所述接收服务器端发送的确认所述可疑降质攻击流为降质攻击流的信息，源端对所述降质攻击流进行丢弃处理包括：

接收服务器端发送的对所述可疑降质攻击流上所加的特殊标签进行确认的信息：

源端对所述可疑降质攻击流上所加的特殊标签进行确认，并将带有所述特殊标签的降质攻击流进行丢弃处理。

9.根据权利要求6所述的降质攻击防御方法，其特征在于，所述方法还包括：

源端接收服务器端发送的对所述可疑降质攻击流上所加的所述特殊标签进行撤销处理的信息；

源端对所述可疑降质攻击流上所加的所述特殊标签进行撤销，并对特殊标签撤销后的报文流打上普通标签并进行正常转发。

10.一种降质攻击检测设备，其特征在于，包括：

接收单元，用于接收源端发送的报文流及报文统计信息；

检测单元，用于对所述接收单元接收到的报文流进行降质攻击流检测，当检测出可疑降质攻击流后，根据所述报文统计信息对可疑降质攻击流进行再次检测确认；

发送单元，用于根据所述检测单元的检测结果向所述源端发送处理消息。

11.根据权利要求10所述的降质攻击检测设备，其特征在于，所述检测单元包括：

第一检测模块，用于对所述接收单元接收到的报文流进行降质攻击流检测，以确定所述报文流是否为可疑降质攻击流；

第二检测模块，用于根据所述报文统计信息对可疑降质攻击流进行再次检测，以确认所述可疑降质攻击流是否为降质攻击流。