一種子網(wǎng)欺騙DDoS攻擊監(jiān)測(cè)預(yù)警方法

基本信息

申請(qǐng)?zhí)?/td> CN202010456650.2 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN111641628A 公開(kāi)(公告)日 2020-09-08
申請(qǐng)公布號(hào) CN111641628A 申請(qǐng)公布日 2020-09-08
分類(lèi)號(hào) H04L29/06(2006.01)I;H04L12/24(2006.01)I 分類(lèi) 電通信技術(shù);
發(fā)明人 馮釗;曹立;高才;郭曉冬;唐錫南 申請(qǐng)(專(zhuān)利權(quán))人 南京云利來(lái)軟件科技有限公司
代理機(jī)構(gòu) - 代理人 -
地址 210000江蘇省南京市秦淮區(qū)光華東街1號(hào)1-2-1室
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及一種子網(wǎng)欺騙DDoS攻擊監(jiān)測(cè)預(yù)警方法,包括通過(guò)交換機(jī)旁路鏡像接受用戶(hù)網(wǎng)絡(luò)流量,分離出TCP流量;按源地址,目的地址,目的端口,TCP結(jié)束狀態(tài)進(jìn)行聚合;從告警信息中提取同一個(gè)子網(wǎng)的告警源地址個(gè)數(shù),若某一個(gè)子網(wǎng)的告警源地址個(gè)數(shù)超過(guò)閾值,則發(fā)出告警,反之,在TCP聚合數(shù)據(jù)中檢索該子網(wǎng)的TCP三次握手不成功的源地址個(gè)數(shù)和對(duì)應(yīng)的不成功連接的總數(shù),若源地址和連接總數(shù)都超過(guò)閾值,則發(fā)出告警。本發(fā)明使用多級(jí)規(guī)則進(jìn)行管道式的組合,從低等級(jí)的告警信息中提取子網(wǎng)號(hào),將提取到的子網(wǎng)號(hào)在TCP全流量數(shù)據(jù)中檢索DDoS攻擊流量,進(jìn)而產(chǎn)生更高等級(jí)的子網(wǎng)欺騙DDoS告警,極大地降低了運(yùn)算量和規(guī)則復(fù)雜度,提高了識(shí)別的準(zhǔn)確率。??