[发明专利]降质攻击检测及防御方法、检测设备及接入设备

说明书

技术领域

本发明涉及网络上的降质攻击防御，特别涉及网络上的降质攻击检测及防御方法、检测设备及接入设备。

背景技术

关于RoQ(Reduce of Quality，降质)攻击，国际上最通用的说法就是Low-rateDoS(Denial of Service，拒绝服务)或者是Low-rate DDoS(Distributed Denialof Service，分布式拒绝服务)，指的是一种针对于自适应系统的攻击。

攻击最重要的是针对TCP(Transmission Control Protocol，传输控制协议)拥塞控制的攻击。TCP拥塞控制本来是一种有效的避免链路拥塞的方法，其最本质的原理是发送端根据链路拥塞情况动态地调整发送报文的速率。在链路畅通的时候，发送端增大发送报文的速率；反之，当链路拥塞的时候，发送端降低发送报文的速率，以此来避免和缓解链路的拥塞。拥塞控制是一种非常有效的提高系统性能的机制，但是却给攻击提供了一种可能。RoQ攻击就是利用了发送端在链路拥塞时降低发送报文速率的特点，周期性发送瞬时高速报文流，迫使系统反复处于不稳态到稳态的恢复过程中，从而造成系统性能的急剧下降。

这种攻击可以由一个攻击源发起，也可以由多个攻击源联合发起(称为DDoS)。

图1所示为RoQ攻击的方波模型。参看图1所示，RoQ攻击的参数主要有攻击周期T，攻击时长L，攻击幅值R。即每隔T时间，攻击者发送速率为R，时长为L的攻击报文流。

由此可见，RoQ攻击的主要特征是攻击报文流具有周期性、高速、短时的特性。瞬时高速的报文流造成链路拥塞，系统进入拥塞控制阶段，发送端自适应地降低发送报文速率。而周期性的攻击可以使系统恢复到稳态之前再次进入拥塞状态。RoQ攻击可以用很小的流量，甚至只是单一攻击源就可以达到和Flood(洪水)攻击一样或接近的效果。

现有的拒绝服务攻击的检测方法基本上都是通过检测平均速率来发现异常的。而RoQ攻击由于时间太短，平均速率过低，所以就成功地逃避了现有的拒绝服务攻击检测。

现有技术中提出了一种根据流的报文统计检测RoQ攻击的方法，将没有RoQ攻击的流保存在信任流表中。

发明人在实现本发明的过程中，发现RoQ检测没有降速后的验证措施，而仅仅依赖于报文统计，因此检测结果是不准确的，并且，由于检测结果不准确，则难以避免攻击报文进行骨干网，造成网络拥塞。

发明内容

本发明实施例提供一种降质攻击检测方法，能够提高RoQ检测的准确性降低网络拥塞。

为解决上述技术问题，本发明实施例一方面提供了一种降质攻击检测方法，包括：

在服务器端对报文流进行降质攻击流检测，当检测出可疑RoQ流时，将对该可疑RoQ流的后续报文进行报文信息统计的时间段向源端发送；

接收所述源端发送的在所述时间段内的该可疑RoQ流的后续报文统计信息，根据该统计信息对所述可疑RoQ流进行再次检测；

当经过再次检测确认所述可疑RoQ流为RoQ流时，通知所述源端对所述RoQ流进行丢弃处理。

本发明实施例另一方面还提供一种降质攻击防御方法，包括：

源端接收服务器端发送的对可疑RoQ流的后续报文进行报文信息统计的时间段；

源端在所述时间段内对所述可疑RoQ流的后续报文信息进行统计获得统计信息，并将该统计信息向服务器端发送以对所述可疑RoQ流进行确认；

接收服务器端发送的确认所述可疑RoQ流为RoQ流的信息，源端对所述RoQ流进行丢弃处理。

本发明实施例另一方面还提供一种降质攻击检测设备，包括：

接收单元，用于接收源端发送的报文流及报文统计信息；

检测单元，用于对所述接收单元接收到的报文流进行降质攻击流检测，当检测出可疑RoQ流后，根据所述报文统计信息对可疑RoQ流进行再次检测确认；

发送单元，用于根据所述检测单元的检测结果向所述源端发送处理消息。

本发明实施例另一方面还提供一种接入设备，包括：

发送单元，用于向服务器端发送报文流及预定时间段内的报文统计信息；

接收单元，用于接收服务器端发送的对可疑RoQ流的后续报文进行报文信息统计的时间段；

处理单元，用于在所述时间段内对可疑RoQ流的后续报文进行报文信息统计，获得所述时间段内的报文统计信息，以及在所述服务器端根据所述时间段内的报文统计信息对可疑RoQ流进行再次检测确定所述可疑RoQ流为RoQ流时，对所述RoQ流进行转发以用于丢弃处理。