技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)系統(tǒng)安全技術(shù)領(lǐng)域，尤其涉及一種檢測拒絕服務(wù)(DOS，Denial?of?Service/DDOS，Distributed?Denial?of?Service)攻擊的方法及其裝置。

背景技術(shù)

UDP(User?Datagram?Protocol，用戶數(shù)據(jù)報(bào)協(xié)議)是一種無連接的協(xié)議，它不需要用任何程序建立連接來傳輸數(shù)據(jù)。當(dāng)攻擊者隨機(jī)地向受害系統(tǒng)的端口發(fā)送UDP數(shù)據(jù)包的時(shí)候，就可能發(fā)生了隨機(jī)UDP的拒絕服務(wù)攻擊。當(dāng)受害系統(tǒng)接收到一個(gè)UDP數(shù)據(jù)包的時(shí)候，它會確定目的端口正在等待中的應(yīng)用程序。當(dāng)它發(fā)現(xiàn)該端口中并不存在正在等待的應(yīng)用程序，它就會產(chǎn)生一個(gè)目的端口無法連接的ICMP(Internet?Control?Message?Protocol，Internet控制消息協(xié)議)數(shù)據(jù)包發(fā)送給該偽造的源地址。如果向受害者計(jì)算機(jī)端口發(fā)送了足夠多的UDP數(shù)據(jù)包的時(shí)候，整個(gè)系統(tǒng)就會癱瘓。

現(xiàn)有檢測和抵御拒絕服務(wù)攻擊的方法通常采用UDP指紋識別、UDP流量統(tǒng)計(jì)檢測或頻率檢測三種技術(shù)。其中UDP指紋識別是通過記錄學(xué)習(xí)的UDP指紋，包括基于源IP和目的IP兩種類型，記錄到指紋表中，然后判斷后續(xù)報(bào)文是否具有相同的指紋，如果存在則命中丟棄該包并更新時(shí)間戳。如果沒命中則判斷是否需要學(xué)習(xí)，往復(fù)循環(huán)；UDP流量統(tǒng)計(jì)檢測是對UDP流量進(jìn)行實(shí)時(shí)統(tǒng)計(jì)，如果發(fā)現(xiàn)某個(gè)目的IP的UDP流量超過閾值，則判斷該目的IP發(fā)生UDP的洪水攻擊，相應(yīng)啟動協(xié)議限流；發(fā)包頻率檢測是對于DDOS攻擊，通常會有大流量特征，而流量通常和發(fā)包頻率密切相關(guān)，根據(jù)發(fā)包頻率進(jìn)行判斷。

在實(shí)現(xiàn)本發(fā)明的過程中，本發(fā)明人發(fā)現(xiàn)上述現(xiàn)有技術(shù)至少存在以下缺陷：

對于UDP指紋識別方法，由于數(shù)據(jù)包正文為隨機(jī)產(chǎn)生，不可能重復(fù)，指紋通常也不可能重復(fù)，因此指紋概念將失效，其次，由于源IP通常為偽造，建立指紋表無意義；再次，針對隨機(jī)包，指紋表容易打滿，一旦打滿通常對后續(xù)數(shù)據(jù)全部放行。存在安全隱患。

對于UDP流量統(tǒng)計(jì)檢測方法，由于有些應(yīng)用類似媒體流等，本身就是UDP協(xié)議的應(yīng)用，可能流量會很大，這種方法很難區(qū)分正常應(yīng)用和攻擊情況，容易造成虛警。

對于發(fā)包頻率檢測方法，由于源IP多為虛假IP，無法統(tǒng)計(jì)源IP發(fā)包頻率，其次，正常業(yè)務(wù)和攻擊都可能造成保護(hù)主機(jī)的UDP收包頻率過快，容易出現(xiàn)誤報(bào)。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種檢測拒絕服務(wù)攻擊的方法及其裝置，其檢測準(zhǔn)確，能有效判斷拒絕服務(wù)攻擊。

在本發(fā)明的一個(gè)實(shí)施例中，可以提供一種檢測拒絕服務(wù)攻擊的方法，其包括以下步驟：針對一數(shù)據(jù)來源地址做流量統(tǒng)計(jì)，檢測來訪數(shù)據(jù)的回應(yīng)特征，根據(jù)回應(yīng)特征檢測判斷拒絕服務(wù)攻擊。

在本發(fā)明的另一個(gè)實(shí)施例中，可以提供一種檢測拒絕服務(wù)攻擊的裝置，其特征在于包括：流量統(tǒng)計(jì)模塊，用于統(tǒng)計(jì)一數(shù)據(jù)來源地址來訪數(shù)據(jù)流量；回應(yīng)特征判斷模塊，用于檢測來訪數(shù)據(jù)中的回應(yīng)特征；檢測判斷模塊，用于根據(jù)回應(yīng)特征檢測判斷拒絕服務(wù)攻擊。

相較于現(xiàn)有技術(shù)而言，本發(fā)明實(shí)施例中的技術(shù)方案至少具有如下的優(yōu)點(diǎn)：本發(fā)明實(shí)施例檢測拒絕服務(wù)攻擊的方法及其裝置通過檢測來訪數(shù)據(jù)的回應(yīng)特征，并根據(jù)回應(yīng)特征檢測判斷拒絕服務(wù)攻擊，可繞過假源IP，實(shí)現(xiàn)準(zhǔn)確檢測拒絕服務(wù)攻擊。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明實(shí)施例檢測拒絕服務(wù)攻擊的方法的原理示意圖；

圖2是本發(fā)明實(shí)施例檢測拒絕服務(wù)攻擊的方法的后續(xù)抵御步驟示意圖；

圖3是本發(fā)明實(shí)施例檢測拒絕服務(wù)攻擊的裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。