技術領域

本發明涉及網絡DOS/DDOS攻擊檢測技術，特別涉及一種IPv4和IPv6以太網絡中檢測針對服務器的拒絕服務攻擊的方法及系統。

背景技術

隨著互聯網的日趨發達，人們在日常生活中也日益依賴在互聯網上提供各種服務的服務器。拒絕服務攻擊DOS/DDOS（Denial?of?Service/Distributed?Denial?of?service）利用TCP/IP協議的缺陷，通過向目標主機發起大量的連接，耗盡目標主機的網絡資源，使之無法提供正常的服務，甚至導致系統崩潰。常見的幾種DOS/DDOS攻擊包括：泛洪攻擊、反射攻擊、CC（Challenge?Collapsar）攻擊、HTTP慢連接攻擊等。一次有效的DOS/DDOS導致公司無法向用戶的提供有效服務，給公司和用戶帶來商業利益的損失，危害極大。當前僵尸網絡十分泛濫，攻擊者利用控制的大量的肉雞（僵尸網絡被控制端）分布式攻擊對應的目標，成功率十分高。

目前對DOS/DDOS攻擊的檢測存在缺陷，檢測的方式更多地依賴全網數據包的特征統計；檢測并沒有考慮具體的業務特征，針對偽裝成合法請求的DOS/DDOS攻擊很難檢測。

發明內容

針對以上不足，本發明所以解決的技術問題是提供一種適用于IPv4和IPv6的拒絕服務攻擊檢測方法及系統，在監測時以很少的計算提取基本運營參數，基本運營參數的變化會觸發攻擊分析模塊進行分析，對比事先建立的流量模型，判斷攻擊類型。

為解決上述技術問題，本發明提供一種基于IPv4和IPv6的拒絕服務攻擊檢測方法，包括以下步驟：

步驟a、對需要保護的主機進行監測時，抓取運營流量進行分析統計，提取基本運營參數；

如果所述基本營運參數超出預設的閾值范圍，則根據所述基本營運參數的來源定位目標主機；

根據所述目標主機的基本營運參數，計算出新的簡單流量模型，與在正常狀態下已經事先建立的簡單流量模型進行對比，判斷所述目標主機是否可能存在異常；

其中，所述基本運營參數包括時間段、數據包平均包長、協議比例、每秒包數、TCP并發連接數、TCP連接成功率；

步驟b、如果判斷所述目標主機可能存在異常，則跟蹤分析所述目標主機的運營流量，提取流量參數，通過計算三維數據建立新的業務流量模型，與在正常狀態下已經事先建立的業務流量模型進行對比，如果所述三維數據中至少有一個維度的數據偏離正常范圍，則判斷所述目標主機存在異常情況；所述三維數據包括業務量數據、業務范圍數據、服務質量數據；

其中，所述業務量數據包括數據包平均包長、協議比例、每秒包數、TCP并發連接數、請求發送頻率；

所述業務范圍數據包括客戶端IP地址分布以及對應的地理分布；

所述服務質量數據包括服務響應時間、TCP連接成功率、TCP超時比例。

步驟c、如果所述目標主機存在異常，則使用所述目標主機的運營流量的流量特征與事先根據不同攻擊類型的流量特征所建立的攻擊流量模型的流量特征進行對比，判斷所述目標主機的攻擊類型。

所述方法在步驟a之前還包括：

設置需要保護的目標主機列表，分析列表中目標主機的正常網絡流量，事先建立簡單流量模型和業務流量模型，所述簡單流量模型用于判斷對應目標主機的運營流量中是否可能存在異常；所述業務流量模型用于判斷對應目標主機的運營流量中是否存在異常。

所述目標主機列表由用戶自行設定或者由系統自動挑選運營流量大于預設值的服務器作為受保護的目標主機；用戶自行設定時地址描述為IP地址或域名地址。

所述方法在步驟c之后還包括：

向用戶發出報警或者啟動流量清洗設備，清洗已經判斷出攻擊類型的目標主機的運營流量。

相應的，本發明還提供了一種基于IPv4和IPv6的拒絕服務攻擊檢測系統，包括：

運營監測模塊，用于對需要保護的主機進行監測時，抓取運營流量進行分析統計，提取基本運營參數；

如果所述基本營運參數超出預設的閾值范圍，則根據所述基本營運參數的來源定位目標主機；

根據所述目標主機的基本營運參數，計算出新的簡單流量模型，與在正常狀態下已經事先建立的簡單流量模型進行對比，判斷所述目標主機是否可能存在異常；

其中，所述基本運營參數包括時間段、數據包平均包長、協議比例、每秒包數、TCP并發連接數、TCP連接成功率；