[发明专利]基于计数型布隆过滤器的SYN Flood攻击检测方法

说明书

本发明公开了基于计数型布隆过滤器的SYN Flood攻击检测方法，包括检测某段时间内单个源IP的TCP连接请求包个数，并取其最大值作为阈值，或者手动设置一个阈值；构建一个计数表、一个白名单和黑名单，并初始化；在当前时间周期内检测的TCP报文的接收；获取接收的TCP报文的源目IP，并用k个独立的哈希函数对源目IP进行运算，得到k个哈希值，并寻找k个哈希值在计数表中的对应位置；判断接收的TCP报文是否在黑名单或白名单或阈值范围内，并对相应判断结果做出TCP报文丢弃或通过的选择。本发明占用内存小且匹配速度快，能够实现对SYN Flood攻击的防御；通过选取合适的哈希函数个数和数组长度，以及定时重置数组中的数据，减少误报率。

技术领域

本发明涉及网络安全领域，具体涉及一种基于计数型布隆过滤器的SYN Flood攻击检测方法。

背景技术

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一，利用TCP协议漏洞，发送大量伪造的TCP连接请求，造成被攻击方资源耗尽。从而影响正常的服务请求。由于它利用了TCP/IP协议存在的固有的缺陷，所以现有的协议体系对SYN Flood攻击毫无免疫力。

TCP连接的建立在TCP协议中被称为三次握手(Three-way Handshake)，而SYNFlood攻击就是针对三次握手的漏洞实现的。

三次握手的步骤为：

(1)客户端向服务器发送一个包含SYN标志的TCP报文，报文会指明客户端使用的端口以及TCP连接的初始序号。这时同服务器建立了第一次握手。

(2)服务器在收到SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时，TCP序号被加一，这样就同服务器建立了第二次握手。

(3)客户端也返回一个确认报文ACK给服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

SYN flood攻击的原理是：

TCP连接的三次握手中，TCP连接建立时，服务器收到客户端发送的SYN数据包后，服务器返回SYN+ACK给客户端，并等待客户端回复ACK报文，因为伪造的源地址不会回复ACK报文(这个特性非常适合识别目前SYN Flood的攻击)，这种情况下由于TCP重传机制一般会再次发送SYN+ACK给客户端，并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级，当大量攻击发生，那么服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。从而使正常用户无法访问，或者服务器宕机。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于计数型布隆过滤器的SYNFlood攻击检测方法解决了收到攻击后正常用户无法访问和服务器宕机的问题。

为了达到上述发明目的，本发明采用的技术方案为：

提供一种基于计数型布隆过滤器的SYN Flood攻击检测方法，其包括以下步骤：

S1、检测某段时间内单个源IP的TCP连接请求包个数，并取其最大值作为阈值；

S2、构建一个计数表、一个白名单和黑名单，并初始化；

S3、判断是否完成当前时间周期的TCP报文的接收，若是则结束此次检测；否则进入步骤S4；

S4、获取接收到的TCP报文的源目IP，并用k个独立的哈希函数对源目IP进行运算，得到k个哈希值，并寻找k个哈希值在计数表中的对应位置；

S5、判断计数表中的对应位置对应的白名单中的值是否都非0，若是则通过接收到的TCP报文并回到步骤S3；否则进入步骤S6；