一種子網(wǎng)欺騙DDoS攻擊監(jiān)測預(yù)警方法

基本信息

申請?zhí)?/td> CN202010456650.2 申請日 -
公開(公告)號 CN111641628A 公開(公告)日 2020-09-08
申請公布號 CN111641628A 申請公布日 2020-09-08
分類號 H04L29/06(2006.01)I;H04L12/24(2006.01)I 分類 電通信技術(shù);
發(fā)明人 馮釗;曹立;高才;郭曉冬;唐錫南 申請(專利權(quán))人 南京云利來軟件科技有限公司
代理機構(gòu) - 代理人 -
地址 210000江蘇省南京市秦淮區(qū)光華東街1號1-2-1室
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及一種子網(wǎng)欺騙DDoS攻擊監(jiān)測預(yù)警方法,包括通過交換機旁路鏡像接受用戶網(wǎng)絡(luò)流量,分離出TCP流量;按源地址,目的地址,目的端口,TCP結(jié)束狀態(tài)進行聚合;從告警信息中提取同一個子網(wǎng)的告警源地址個數(shù),若某一個子網(wǎng)的告警源地址個數(shù)超過閾值,則發(fā)出告警,反之,在TCP聚合數(shù)據(jù)中檢索該子網(wǎng)的TCP三次握手不成功的源地址個數(shù)和對應(yīng)的不成功連接的總數(shù),若源地址和連接總數(shù)都超過閾值,則發(fā)出告警。本發(fā)明使用多級規(guī)則進行管道式的組合,從低等級的告警信息中提取子網(wǎng)號,將提取到的子網(wǎng)號在TCP全流量數(shù)據(jù)中檢索DDoS攻擊流量,進而產(chǎn)生更高等級的子網(wǎng)欺騙DDoS告警,極大地降低了運算量和規(guī)則復(fù)雜度,提高了識別的準確率。??