[发明专利]一种智能防御DDoS攻击的方法和装置

说明书

技术领域

本发明涉及计算机网络安全技术领域，具体地说，本发明涉及一种智能防御DDoS攻击的方法和装置。

背景技术

随着互联网技术的发展，各类网络应用深刻改变着人们的生活。与此同时，各类互联网商业模式逐渐成熟，大量资金投入到互联网领域，在全球范围掀起了互联网热潮。很多网站开始盈利，其中很多非法网站利润巨大，造成同行之间互相攻击，还有一部分人利用网络攻击来敲诈钱财。目前，如何保障网络的安全成为一个非常重要的研究领域。

分布式拒绝服务攻击（Distributed Denial of Service）简称DDoS，是指利用一批受控制的机器向某一服务器或服务器群发起攻击，这种来势凶猛的攻击令人难以防备，具有较大的破坏性。黑客利用网络上已被攻陷的电脑作为“僵尸”，向某一特定的目标电脑发动密集式的“拒绝服务”式攻击，用以把目标电脑的网络资源及系统资源耗尽，使之无法向真正正常请求的用户提供服务。黑客通过将一个个“肉鸡”组成僵尸网络，就可以发动大规模DDoS或SYN洪水网络攻击，或者将“肉鸡”们组到一起进行带有利益的刷网站流量、Email垃圾邮件群发、瘫痪预定目标以及受雇攻击竞争对手等商业活动。DDoS最早可追述到1996年，在中国2002年开始频繁出现，2003年已经初具规模。

DDoS攻击可以具体分成以下两种形式：带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求占用大量网络以及器材资源，以达到瘫痪网络以及系统的目的。

（1）带宽消耗型攻击。这种类型的攻击主要是指通过僵尸程序直接向受害者系统发送大量流量或者利用广播等放大攻击从而恶意占用受害者系统的带宽。这种类型的攻击主要包括UDP floods、ICMP floods、Ping炸弹、泪滴攻击等。

（2）资源消耗型攻击。这种类型的攻击主要是通过僵尸主机向目标服务器发送大量的看似合法的请求，导致服务器为每个请求分配相应的计算资源，但这些资源却得不到释放，从而耗尽服务器资源。这种攻击方式主要包括SYN flood、LAND attack、CC攻击、僵尸网络攻击以及应用级洪水攻击。

目前DDoS的防御方法主要有以下几种：

（1）手工防护。此方式主要包括系统优化和网络追查，从而提高系统本身对DDoS攻击的响应能力并且追溯攻击源头。

（2）退让策略。受害者通过购买硬件的方式来提高系统抗DDoS的能力，但这不能从根本上解决问题，攻击者可以通过提高攻击流量来使这种方法失效。

（3）路由器实行安全措施。通过路由器可以设置某些ACL及uRPF等方式过滤掉一些非法流量，但DDoS攻击可以通过采用地址欺骗技术来突破这些防护措施。

（4）防火墙。虽然防火墙是常用的安全产品，但防火墙缺乏检测DDoS攻击的能力，并且需要高强度的检查开销。在某些情况下，防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。

（5）入侵检测。传统的入侵检测系统是基于规则的，需要对协议会话进行还原，但大部分DDoS攻击采用基于合法数据包的攻击流量，IDS很难对这些攻击有效检测。同时IDS系统一般只对攻击进行检测，无法阻断DDoS攻击。

总之，当前存在的防御DDoS攻击方法都存在着一定的缺陷，难以应对当今不断出现且日益猖獗的DDoS攻击，迫切需要一种开销小且能够有效全面地防御各类DDoS攻击的解决方案。

发明内容

本发明的目的是提供一种开销小且能够有效全面地防御各类DDoS攻击的解决方案。

为实现上述发明目的，本发明提供了一种智能防御DDoS攻击的方法，包括下列步骤：

1）记录每个源IP所对应的数据流的数据流量特征或者每个源IP与目的IP的IP对所对应的数据流的数据流量特征；所述数据流量特征包括：数据流的日平均流量字节数，日流量标准差，数据包平均字节数；

2）对于每个数据流，根据数据流量特征，计算该数据流的可信度；

所述可信度S=ω₁θ₁+ω₂θ₂,ω₁+ω₂=1,ω_i≥0,(i=1,2)

其中，

ω₁,ω₂为加权系数，所述数据包字节数基线是所有正常数据流的所有数据包的平均字节数；

3）实时捕获数据包，提取其IP信息，并根据该IP信息所对应的数据流的可信度判断是否放行该数据包。