[发明专利]DDOS攻击的识别方法和识别装置及防火墙

权利要求书

1.一种DDOS攻击的识别方法，其特征在于，包括：

计算第一时间窗口中网关内部的第j主机端口的会话次数，以得到第一会话次数，其中，所述第一时间窗口由第p子窗口至第p+s子窗口组成，第i+1子窗口的起始时间是所述第i子窗口的结束时间，所述第一会话次数为所述第一时间窗口中所有子窗口中的会话次数的和；

在所述第一时间窗口结束后，计算第二时间窗口中所述第j主机端口的会话次数，以得到第二会话次数，其中，所述第二时间窗口由第p+x子窗口至第p+x+s子窗口组成，x<s，所述第二会话次数为所述第二时间窗口中所有子窗口中的会话次数的和；

当所述第一会话次数大于K和/或所述第二会话次数大于K时，确定所述第j主机端口受到DDOS攻击，其中，i，j，p，s，x均为自然数，K为预设的第一攻击判定阈值。

2.根据权利要求1所述的DDOS攻击的识别方法，其特征在于，计算所述第一会话次数包括：

步骤S11：所述网关接收会话的报文；

步骤S12：判断所述接收到的报文是否属于所述网关已创建的会话；

步骤S13：当所述接收到的报文不属于所述网关已创建的会话时，创建新会话，并确定所述接收到的报文所属的会话是所述网关内部哪个主机端口的会话；

步骤S14：当确定的主机端口是所述第j主机端口时，将所述接收到的报文对应的子窗口的计数值加1，其中，当所述接收到的报文到达所述网关的时间在所述第i子窗口内时，所述计数值为在所述第i子窗口中所述第j主机端口当前的会话次数；

步骤S15：判断所述第一时间窗口是否结束时，如果未结束返回所述步骤S11，如果结束执行所述步骤S16；

步骤S16：获取所述第一时间窗口内各子窗口中所述第j主机端口的会话次数计算所述第一会话次数。

3.根据权利要求2所述的DDOS攻击的识别方法，其特征在于，在所述步骤S12中，通过Bloom Filter判断所述接收到的报文是否属于所述网关已创建的会话。

4.根据权利要求3所述的DDOS攻击的识别方法，其特征在于，所述步骤S12包括：

在Bloom Filter组中，获取与所述接收到的报文对应的Bloom Filter，得到判定Bloom Filter，其中，所述Bloom Filter组由s+1个Bloom Filter组成，所述Bloom Filter用于对报文的五元组计数，所述五元组包括报文的协议类型、源IP、源端口、目的IP、目的端口，所述Bloom Filter组中的各Bloom Filter与所述第一时间窗口中的各子窗口一一对应，当所述接收到的报文到达所述网关的时间在所述第i子窗口内时，与所述接收到的报文对应的Bloom Filter是与所述第i子窗口对应的Bloom Filter；

获取所述接收到的报文的五元组，得到判定五元组；

根据所述判定五元组查询所述判定Bloom Filter中是否存在所述接收到的报文所属的会话，其中，当所述判定Bloom Filte中存在所述接收到的报文所属的会话时，所述接收到的报文属于已接收到的会话；以及

当所述判定Bloom Filter中不存在所述接收到的报文所属的会话时，根据所述获取到的五元组更新所述判定Bloom Filter。

5.根据权利要求4所述的DDOS攻击的识别方法，其特征在于，当所述第一时间窗口结束时，所述方法还包括：

更新所述Bloom Filter组，其中，更新所述Bloom Filter组包括：丢弃所述第p至第p+x-1子窗口对应的Bloom Filter，增加与所述第p+s+1至第p+s+x子窗口对应的Bloom Filter，并对增加的Bloom Filter进行初始化。

6.根据权利要求2所述的DDOS攻击的识别方法，其特征在于，在所述步骤S12之前，计算所述第一时间窗口中所述第j主机端口的会话次数还包括：

步骤S17：判断所述接收到的报文是否为所述网关外到所述网关内的报文，其中，当所述报文为所述网关外到所述网关内的报文时，执行步骤所述S12，当所述报文为所述网关内到所述网关外的报文时，执行所述步骤S11。