[发明专利]DDOS攻击的识别方法和识别装置及防火墙

说明书

技术领域

本发明涉及网络安全领域，具体而言，涉及一种DDOS攻击的识别方法和识别装置及防火墙。

背景技术

分布式拒绝服务（DDOS，Distributed Denial of Service）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动拒绝服务攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDOS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet的许多计算机上，代理程序收到指令时发动攻击，利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

在网络设备中，现有DDOS攻击的检测一般采用以下两种方式收集数据进行分析：（1）详细记录流量信息；（2）对流量信息进行抽样，记录简单信息。

对于现有技术中采用全流量信息详细记录的方式，该方式的优点是可以采集足够的数据用于分析，缺点是资源占用量大。特别是在低速网络场合，这种DDOS攻击的防护技术将一定时间段M内所有连接信息，也即session（i），i∈[0,n]，均记录在内存中，当发现某一台服务器连接数超过阈值K时，判断为发生DDOS攻击，然后查看该时段内每个远端主机与该服务器产生连接的数量，如果数量超过一定阈值L，则将该远端主机识别为攻击发起方。因此，该技术虽然可以有效发现可能存在的攻击，但是由于需要记录每条连接的信息，对计算资源和存储资源的消耗较大，并不适合目前高速的网络环境。

对于现有技术中采用报文抽样或流抽样的方式，该方式的优点是资源占用小，其代价是会造成信息不完整，引入较大的误差。在高速网络场合，为处理流量和资源占用之间的矛盾，将一定时间段M内连接信息进行抽样，也即session（i），i∈[1,N]，其中N<n，均记录在内存中，当发现某一台服务器连接数超过阈值K（该阈值根据抽样的比率进行调整）时，判断为发生DDOS攻击，然后查看该时段内每个远端主机与该服务器产生连接的数量，如果数量超过一定阈值L（该阈值根据抽样的比率进行调整），则将该远端主机识别为攻击发起方。因此，该技术由于采用了抽样技术，虽然能够节约计算资源和存储资源，但是引入了抽样误差，出现了资源和抽样比率之间的矛盾，在目前一般网络设备的基本硬件配置条件下很难做到有效的平衡。

综上，前一种方式虽然信息收集详尽，但对计算资源和存储资源的消耗较大，只适合低速网络场合；后一种方式虽然适用于高速网络，但会由于信息丢失而导致检测误差大，不能有效识别DDOS的发起方。

因此有必要构建适用于高速网络，减小信息缺失并能有效识别攻击发起方的DDOS检测方法。

针对相关技术中在高速网络环境中识别DDOS攻击误差较大的问题，目前尚未提出有效的解决方案。

发明内容

本发明的主要目的在于提供一种DDOS攻击的识别方法和识别装置及防火墙，以解决高速网络环境中识别DDOS攻击误差较大问题。

为了实现上述目的，根据本发明的一个方面，提供了一种DDOS攻击的识别方法。

根据本发明的DDOS攻击的识别方法包括：计算第一时间窗口中网关内部的第j主机端口的会话次数，以得到第一会话次数，其中，第一时间窗口由第p子窗口至第p+s子窗口组成，第i+1子窗口的起始时间是第i子窗口的结束时间，第一会话次数为第一时间窗口中所有子窗口中的会话次数的和；在第一时间窗口结束后，计算第二时间窗口中第j主机端口的会话次数，以得到第二会话次数，其中，第二时间窗口由第p+x子窗口至第p+x+s子窗口组成，x<s，第二会话次数为第二时间窗口中所有子窗口中的会话次数的和；当第一会话次数大于K和/或第二会话次数大于K时，确定第j主机端口受到DDOS攻击，其中，i，j，p，s，x均为自然数，K为预设的第一攻击判定阈值。

进一步地，计算第一会话次数包括：步骤S11：网关接收会话的报文；步骤S12：判断接收到的报文是否属于网关已创建的会话；步骤S13：当接收到的报文不属于网关已创建的会话时，创建新会话，并确定接收到的报文所属的会话是网关内部哪个主机端口的会话；步骤S14：当确定的主机端口是第j主机端口时，将接收到的报文对应的子窗口的计数值加1，其中，当接收到的报文到达网关的时间在第i子窗口内时，计数值为在第i子窗口中第j主机端口当前的会话次数；步骤S15：判断第一时间窗口是否结束时，如果未结束返回步骤S11，如果结束执行步骤S16；步骤S16：获取第一时间窗口内各子窗口中第j主机端口的会话次数计算第一会话次数。