技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)上的降質(zhì)攻擊防御，特別涉及網(wǎng)絡(luò)上的降質(zhì)攻擊檢測及防御方法、檢測設(shè)備及接入設(shè)備。

背景技術(shù)

關(guān)于RoQ(Reduce?of?Quality，降質(zhì))攻擊，國際上最通用的說法就是Low-rateDoS(Denial?of?Service，拒絕服務(wù))或者是Low-rate?DDoS(Distributed?Denialof?Service，分布式拒絕服務(wù))，指的是一種針對于自適應(yīng)系統(tǒng)的攻擊。

攻擊最重要的是針對TCP(Transmission?Control?Protocol，傳輸控制協(xié)議)擁塞控制的攻擊。TCP擁塞控制本來是一種有效的避免鏈路擁塞的方法，其最本質(zhì)的原理是發(fā)送端根據(jù)鏈路擁塞情況動態(tài)地調(diào)整發(fā)送報文的速率。在鏈路暢通的時候，發(fā)送端增大發(fā)送報文的速率；反之，當(dāng)鏈路擁塞的時候，發(fā)送端降低發(fā)送報文的速率，以此來避免和緩解鏈路的擁塞。擁塞控制是一種非常有效的提高系統(tǒng)性能的機(jī)制，但是卻給攻擊提供了一種可能。RoQ攻擊就是利用了發(fā)送端在鏈路擁塞時降低發(fā)送報文速率的特點(diǎn)，周期性發(fā)送瞬時高速報文流，迫使系統(tǒng)反復(fù)處于不穩(wěn)態(tài)到穩(wěn)態(tài)的恢復(fù)過程中，從而造成系統(tǒng)性能的急劇下降。

這種攻擊可以由一個攻擊源發(fā)起，也可以由多個攻擊源聯(lián)合發(fā)起(稱為DDoS)。

圖1所示為RoQ攻擊的方波模型。參看圖1所示，RoQ攻擊的參數(shù)主要有攻擊周期T，攻擊時長L，攻擊幅值R。即每隔T時間，攻擊者發(fā)送速率為R，時長為L的攻擊報文流。

由此可見，RoQ攻擊的主要特征是攻擊報文流具有周期性、高速、短時的特性。瞬時高速的報文流造成鏈路擁塞，系統(tǒng)進(jìn)入擁塞控制階段，發(fā)送端自適應(yīng)地降低發(fā)送報文速率。而周期性的攻擊可以使系統(tǒng)恢復(fù)到穩(wěn)態(tài)之前再次進(jìn)入擁塞狀態(tài)。RoQ攻擊可以用很小的流量，甚至只是單一攻擊源就可以達(dá)到和Flood(洪水)攻擊一樣或接近的效果。

現(xiàn)有的拒絕服務(wù)攻擊的檢測方法基本上都是通過檢測平均速率來發(fā)現(xiàn)異常的。而RoQ攻擊由于時間太短，平均速率過低，所以就成功地逃避了現(xiàn)有的拒絕服務(wù)攻擊檢測。

現(xiàn)有技術(shù)中提出了一種根據(jù)流的報文統(tǒng)計檢測RoQ攻擊的方法，將沒有RoQ攻擊的流保存在信任流表中。

發(fā)明人在實現(xiàn)本發(fā)明的過程中，發(fā)現(xiàn)RoQ檢測沒有降速后的驗證措施，而僅僅依賴于報文統(tǒng)計，因此檢測結(jié)果是不準(zhǔn)確的，并且，由于檢測結(jié)果不準(zhǔn)確，則難以避免攻擊報文進(jìn)行骨干網(wǎng)，造成網(wǎng)絡(luò)擁塞。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種降質(zhì)攻擊檢測方法，能夠提高RoQ檢測的準(zhǔn)確性降低網(wǎng)絡(luò)擁塞。

為解決上述技術(shù)問題，本發(fā)明實施例一方面提供了一種降質(zhì)攻擊檢測方法，包括：

在服務(wù)器端對報文流進(jìn)行降質(zhì)攻擊流檢測，當(dāng)檢測出可疑RoQ流時，將對該可疑RoQ流的后續(xù)報文進(jìn)行報文信息統(tǒng)計的時間段向源端發(fā)送；

接收所述源端發(fā)送的在所述時間段內(nèi)的該可疑RoQ流的后續(xù)報文統(tǒng)計信息，根據(jù)該統(tǒng)計信息對所述可疑RoQ流進(jìn)行再次檢測；

當(dāng)經(jīng)過再次檢測確認(rèn)所述可疑RoQ流為RoQ流時，通知所述源端對所述RoQ流進(jìn)行丟棄處理。

本發(fā)明實施例另一方面還提供一種降質(zhì)攻擊防御方法，包括：

源端接收服務(wù)器端發(fā)送的對可疑RoQ流的后續(xù)報文進(jìn)行報文信息統(tǒng)計的時間段；

源端在所述時間段內(nèi)對所述可疑RoQ流的后續(xù)報文信息進(jìn)行統(tǒng)計獲得統(tǒng)計信息，并將該統(tǒng)計信息向服務(wù)器端發(fā)送以對所述可疑RoQ流進(jìn)行確認(rèn)；

接收服務(wù)器端發(fā)送的確認(rèn)所述可疑RoQ流為RoQ流的信息，源端對所述RoQ流進(jìn)行丟棄處理。

本發(fā)明實施例另一方面還提供一種降質(zhì)攻擊檢測設(shè)備，包括：

接收單元，用于接收源端發(fā)送的報文流及報文統(tǒng)計信息；

檢測單元，用于對所述接收單元接收到的報文流進(jìn)行降質(zhì)攻擊流檢測，當(dāng)檢測出可疑RoQ流后，根據(jù)所述報文統(tǒng)計信息對可疑RoQ流進(jìn)行再次檢測確認(rèn)；

發(fā)送單元，用于根據(jù)所述檢測單元的檢測結(jié)果向所述源端發(fā)送處理消息。

本發(fā)明實施例另一方面還提供一種接入設(shè)備，包括：

發(fā)送單元，用于向服務(wù)器端發(fā)送報文流及預(yù)定時間段內(nèi)的報文統(tǒng)計信息；

接收單元，用于接收服務(wù)器端發(fā)送的對可疑RoQ流的后續(xù)報文進(jìn)行報文信息統(tǒng)計的時間段；

處理單元，用于在所述時間段內(nèi)對可疑RoQ流的后續(xù)報文進(jìn)行報文信息統(tǒng)計，獲得所述時間段內(nèi)的報文統(tǒng)計信息，以及在所述服務(wù)器端根據(jù)所述時間段內(nèi)的報文統(tǒng)計信息對可疑RoQ流進(jìn)行再次檢測確定所述可疑RoQ流為RoQ流時，對所述RoQ流進(jìn)行轉(zhuǎn)發(fā)以用于丟棄處理。