[发明专利]一种DDoS攻击检测系统

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种DDoS攻击检测系统。

背景技术

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是一种通过发送大量数据包使得计算机或网络无法提供正常服务的攻击形式。它可能在短时间内耗尽所有可用的网络资源或被攻击对象的系统资源，使得合法的用户请求无法通过或被处理，从而阻碍网络中的正常通信，给被攻击者乃至网络带来巨大的危害。

在防御DDoS攻击时，通常由旁路网络监控设备根据当前的网络流量检测是否受到DDoS攻击。具体通过旁路网络监控设备对网络流量进行采样，将采样结果与当前阈值进行比较，若超出该对应当前时刻的预测流量则确定检测到DDoS攻击。

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是一种隐蔽的拒绝服务攻击，攻击中的数据包来自不同的攻击源。与DoS攻击相比，DDoS攻击在单条链路上的流量更小，难以被网络设备检测，因而更易于形成。另一放面，DDoS攻击汇聚后的异常流量总量很大，极具破坏力。目前，国内外已对网络中的DDoS攻击检测进行了大量研究，提出了很多方法。然而，这些方法大部分是基于一般的用户网络的，适用于骨干网中DDoS攻击检测的方法很少。现有的DDoS攻击检测方法按照数据源的不同主要可以分为两类：基于包信息的检测方法和基于网络流量特征的检测方法。以下对这两种方法进行简要介绍：

基于包信息的检测方法通过分析数据包中的特定信息或是用户日志等，建立 判定规则，并根据实际的流量数据和这些规则的匹配关系来检测DoS/DDoS攻击。例如，在文献“S.E.Smaha，Haystack：An Intrusion Detection System.Proc，IEEE Fourth AerospaceComputer Security Applications Conference，Orlando，FL，Dec.1988”提出的基于主机日志分析的统计方法通过对主机日志数据的分析，利用统计理论提取用户或系统正常行为的活动数据，从而建立起系统主体(单个用户、一组用户、主机甚至系统中某个关键程序和文件等)的正常行为特征。之后，若检测到系统中的日志数据与已建立的系统主体正常行为特征有较大出入，则认为系统可能遭到了攻击。这一类的检测方法检测粒度很细，其检测准确度也很高，并且能够追溯攻击源，在一般用户网络中的效果很好。然而，由于骨干网中的流量巨大，使用这种方法将耗费大量的时间，无法保证检测的实时性。

基于网络流量特征的检测方法对网络中的流进行分析，提取出流数据中的一些特征，与攻击发生时的数据特征相对照，从而判断是否发生了攻击。例如，Cheng等人在文献“Chen-Mou Cheng，Kung，H.T.，Koan-Sin Tan，Use of spectral analysis in defenseagainst DoS attacks.Global Telecommunications Conference，2002”用一条流在定长的时隙内到达的数据包数作为信号，估算其功率谱密度，从中观察其周期性，基于正常的TCP流在其往返时间内在两个放向都会表现出较强的周期性这一性质来判断是否出现了攻击；P.Barford等人在文献“P.Barford，J.Lline，D.Plonka，A.Ron，A Signal Analysisof Network Traffic Anomalies.In Proceedings，ACM SIGCOMM Internet MeasurementWorkshop，2002”首先对网络流量进行小波分析，区分出背景流量和异常流量，而后根据异常持续时间和信号频率的不同采用不同的放式来检测攻击。这类方法的检测粒度相对较粗，效率较高，可以做到实时检测，但使用这类方法难以准确识别出攻击流，并 找出攻击者的确切IP地址，以便对攻击流进行过滤。其次，这类检测方法的准确度普遍不高，经常出现漏检。

发明内容

本发明的目的在于：针对现有技术中存在的上述技术问题，提供一种DDoS攻击检测系统。

本发明是通过以下技术放案实现的：一种DDoS攻击检测系统，包括TCP攻击检测、UDP攻击检测、HTTPS攻击检测和HTTP攻击检测；

TCP攻击检测和UDP攻击检测都通过与基线数据对比，检测出异常服务器，然后特定的规则检测出具体的DDOS攻击，如果未识别出具体的DDOS攻击，获取出当前异常服务器TOPN的源地址信息；