[发明专利]基于计数型布隆过滤器的SYN Flood攻击检测方法

权利要求书

1.一种基于计数型布隆过滤器的SYN Flood攻击检测方法，其特征在于，包括以下步骤：

S1、检测某段时间内单个源IP的TCP连接请求包个数，并取其最大值作为阈值；

S2、构建一个计数表、一个白名单和黑名单，并初始化；

S3、判断是否完成当前时间周期的TCP报文的接收，若是则结束此次检测；否则进入步骤S4；

S4、获取接收到的TCP报文的源目IP，并用k个独立的哈希函数对源目IP进行运算，得到k个哈希值，并寻找k个哈希值在计数表中的对应位置；

S5、判断计数表中的对应位置对应的白名单中的值是否都非0，若是则通过接收到的TCP报文并回到步骤S3；否则进入步骤S6；

S6、判断计数表中的对应位置对应的黑名单中的值是否都非0，若是则丢弃接收到的TCP报文并回到步骤S3；否则进入步骤S7；

S7、判断接收到的TCP报文是否为TCP三次握手中的SYN报文，若是则将接收到的SYN报文在计数表中对应的k个位置的值+1，并进入步骤S8；否则进入步骤S9；

S8、判断该SYN报文对应计数表的k个位置中是否出现某个值大于阈值，若是则将该值对应的计数表位置的值清0，同时将该值对应的黑名单位置的值置1，丢弃该报文并回到步骤S3；否则通过该报文并回到步骤S3；

S9、判断接收到的TCP报文的是否为TCP三次握手中的ACK报文，若是则进入步骤S10；否则判定为正常通信报文，通过该报文并回到步骤S3；

S10、判断该ACK报文对应计数表的k个位置中的值是否都非0；若是则将ACK报文对应计数表的k个位置中的值-1，同时将该值对应的白名单位置的值置1，通过该报文并回到步骤S3；否则丢弃该报文并回到步骤S3；

步骤S2中计数表为一个长度为m的一维数组，且一维数组为short类型，白名单和黑名单储存在一个长度为m的二维数组中，二维数组为两列，第一列用于保存白名单第二列用于保存黑名单，且二维数组的两列均为bit类型；初始化即将计数表、白名单和黑名单中的值清0；且定期进行初始化。

2.根据权利要求1所述的基于计数型布隆过滤器的SYN Flood攻击检测方法，其特征在于，步骤S4中寻找k个哈希值在计数表中的对应位置的具体方法为：将k个哈希值对m取模，即将k个哈希值映射到计数表的k个位置中。