(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115941318A(43)申请公布日2023.04.07(21)申请号202211554821.0(22)申请日2022.12.06(71)申请人深圳市智安网络有限公司地址518000广东省深圳市南山区南山街道南山社区南新路阳光科创中心一期A座2207C(72)发明人王杨(51)Int.Cl.H04L9/40(2022.01)H04L9/32(2006.01)权利要求书1页说明书4页附图1页(54)发明名称一种基于攻击端的DDoS攻击防御方法(57)摘要一种基于攻击端的DDoS攻击防御方法，其包括如下步骤：1)统计攻击特征数目：对所有正地址的攻击特征数目进行监测，对于流经网络中所有的DDoS攻击进行检测和过滤，尤其是能实现在最接近攻击源端的地方实现攻击数据包的过滤，所过滤的数据包中不是用于攻击的数据包就会越少，这样就避免了现在很多DDoS防御设备在目标主机或者目标网络外直接进行过滤，造成会误过滤很多的情况，和现有的防御方案相比，本发明提出的方法有更高的检测准确率，更低的误报率以及更短的响应时间，而且能尽最大可能保留用户用于请求服务的正常数据包，可以在大范围的网络拓扑结构中保持性能良好，而且本发明可以检测出流经所覆盖网络的所有攻击。CN115941318ACN115941318A权利要求书1/1页1.一种基于攻击端的DDoS攻击防御方法，其特征在于，包括如下步骤：1)统计攻击特征数目：对所有正地址的攻击特征数目进行监测，对于流经网络中所有的DDoS攻击进行检测和过滤，尤其是能实现在最接近攻击源端的地方实现攻击数据包的过滤，在越靠近攻击源端进行过滤，所过滤的数据包中不是用于攻击的数据包就会越少，这样就避免了现在很多DDoS防御设备在目标主机或者目标网络外直接进行过滤，造成会误过滤很多的情况；2)动态的过滤非法数据包：路由器本身具备过滤数据包的功能，所以过滤数据包很容易实现，根据所监测的攻击特征数目判断目标IP地址，并通过目标地址来实现对发送到目标IP地址的数据包的过滤，也就是说在对于发送给目标IP地址的数据包将会完全被过滤掉，快速的判断出目标正地址是否受到了DDoS攻击，而且能迅速准确的开始过滤功能，可以动态的而且迅速的过滤掉攻击数据包；3)异常检测：异常检测是入侵检测的一种，入侵检测是通过监控网络和系统的状态、行为以及使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图，与传统的预防性安全机制相比，入侵检测是一种事后处理方案，具有智能监控、实时探测、易于配置的特点，从技术上划分，认为入侵检测有两种模型异常入侵检测模型和误用入侵检测模型，异常检测首先总结正常操作具有的特征用户轮廓，当用户活动与正常行为有重大偏离时即被认为是入侵，也称基于行为的检测；4)阑值计算：采用6‑sigma的方法来计算阂值，以此来计算出不确定状态和危险状态的阂值，具有高检测准确率和低误报率，同时系统整个的处理时间和训练时间都大大缩短了，检测出攻击行为后，通过DDoS防御设备进行处理。2.根据权利要求1所述的一种基于攻击端的DDoS攻击防御方法，其特征在于，所述误用入侵检测模型：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测也被称为基于知识的检测，误用检测的基本前提是，假定所有可能的入侵行为都能被识别和表示。3.根据权利要求2所述的一种基于攻击端的DDoS攻击防御方法，其特征在于，所述误用入侵检测模型的原理是首先对已知的攻击方法进行攻击签名表示，攻击签名是指用一种特定的方式来表示己知的攻击模式然后根据己经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。4.根据权利要求1所述的一种基于攻击端的DDoS攻击防御方法，其特征在于，所述6‑sigma在统计学上常用来表示标准偏差，即用“σ”度量质量特性总体上对目标值的偏离程度哪,依此原理，假设正态分布曲线涵盖的总面积为1，在正态分布无偏差的理想状态下，±3σ水平代表了正态分布曲线涵盖的面积为99.73％,而±6σ水平代表了正态分布曲线涵盖的面积为99.99966％。2CN115941318A说明书1/4页一种基于攻击端的DDoS攻击防御方法技术领域[0001]本发明涉及防御方法，具体为一种基于攻击端的DDoS攻击防御方法。背景技术[0002]随着互联网带宽的持续扩容、物联网快速发展及IOT(InternetofThings)设备的极速普及，万物互联时代的网络给大家带来便捷，也为DDoS攻击创造了极为有利的条件。近期利用Memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势,根据CNCERT最新发现显示，截止