[发明专利]一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于Bloom Filter(即布隆过滤器)和开源内核防御SYN Flood攻击(DDoS攻击的一种，即TCP连接请求泛洪攻击)的方法。 

背景技术

拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)是目前常用的网络攻击方式，这种攻击通过发送大量伪造的服务请求，消耗被攻击网络的带宽和受攻击主机的服务资源，从而使得正常的服务请求得不到响应。特别是SYN Flood攻击，由于它利用了TCP/IP协议(Transmission ControlProtocol/Internet Protocol的简写，传输控制协议/因特网互联协议)存在的固有的漏洞，所以现有的协议体系对此攻击毫无免疫力。当前对这种攻击采取的防御手段主要有入侵检测、包过滤、限制半连接数量、缩短操作系统维护半连接的时间长度、利用防火墙作TCP连接的中间代理以及增加资源的方法，如增加网络带宽、增加服务器并同时应用负载均衡技术等，但是这些方法的数据包的存储结构有待改进，而且没有考虑操作系统内核层与用户层的交互，以致对大规模DDoS攻击，基本束手无策。 

Bloom Filter是一个广泛应用于网络环境下的高效存储匹配结构，具有占有内存小，匹配速度快等优点，其原理就是利用多次哈希运算在达到快速存储匹配的同时提高匹配的准确率。如附图1所示，初始状态时，Bloom Filter是一个包含m位的位数组，每一位都置为0。为了表达S＝{x1，x2，…，xn}这样一个n个元素的集合，如附图2所示，Bloom Filter使用k个相互独立的哈希函数(Hash Function)，它们分别将集合中的每个元素映射到{1，…，m}的范围中。对任意一个元素x，第i个哈希函数映射的位置hi(x)就会被置为1(1≤i≤k)。在判断y是否属于这个集合时，如附图3所示，我们对y应用k次哈希函数，如果所有hi(y)的位置都是1(1≤i≤k)，那么我们就认为y是集合中的元素， 否则就认为y不是集合中的元素。原始的Bloom Filter结构由于采用单一位数组，因此存在误报率大的问题，而且无法存储成对的元素，本发明改进了Bloom Filter结构，降低了误报率，使之适合存储成对的元素，达到了防御SYNFlood攻击的目的。 

发明内容

本发明的目的是提供一种防御SYN Flood攻击的方法。 

本发明是通过如下方式实现的： 

一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法，其特征在于：包括以下步骤： 

第一步，遭受SYN-Flood攻击判断； 

设置记录时间段，在设置记录时间段内在用户空间检测TCP连接请求包速率，取最小值作为阀值t的初始值； 

设置一个单位长度为10的循环数组，数组第n项记录前n秒内TCP连接请求包的个数，记录最近10秒内连接请求包的个数，对此数组求平均值得到最近10秒内SYN包的平均速率，当这个速率超过阀值t时判断系统当前遭受SYN-Flood攻击，再转第2步；否则转第5步； 

第二步，构建用户层Bloom Filter结构； 

对处于连接状态下的TCP数据包，取其I P地址字段和TTL字段作为可信IP和TTL记录，利用改进的Bloom Filter组织成高效匹配结构； 

对所有的TCP数据包，取数据包中的源IP地址字段和源端口字段，并使用查看当前网络联机状态的命令查看包含此源IP地址和源端口的TCP连接是否处于ESTABLISHED状态，对于处于ESTABLISHED状态的TCP数据包取其源IP地址字段和TTL字段，并使用下面的方法构建Bloom Filter结构；