(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210922135.8 (22)申请日 2022.08.02 (71)申请人 浙江工业大 学 地址 310014 浙江省杭州市拱 墅区潮王路 18号 (72)发明人 温震宇　洪榛　雷自辉　黄圣豪　 (74)专利代理 机构 杭州天正专利事务所有限公 司 33201 专利代理师 舒良 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于边缘防火墙的D DoS攻击检测方法 (57)摘要 一种基于阈值利用软路由的DDoS攻击检测 方法， 首先建立一般典型的DDoS攻击的模型， 其 中包括ICMP攻击、 TCP攻击、 UDP攻击、 HTTP攻击四 大类； 布置路由器、 主机、 服务环境； 使用多台攻 击主机对受害服务器进行攻击， 同时正常访问的 用户对服务器进行相应的多种访问； 在没有开启 算法时， 让正常主机访问服务器， 检查合法流量 的请求响应应率和访问成功率； 开启算法后， 根 据不同类型流量判别， 给出不同检测手段， 检测 出恶意流量随后进行屏蔽或者过滤， 再让正常主 机访问服务器， 检查合法流量的请求响应率和访 问成功率。 本发明是轻量化的边缘防火墙， 可 以 在防御效果与传统防御系统近似的情况下， 节约 成本更低， 并具 更高灵活性。 权利要求书3页 说明书6页 附图1页 CN 115412300 A 2022.11.29 CN 115412300 A 1.一种基于边 缘防火墙的D DoS攻击检测方法， 包括以下步骤： (1)建立一般典型的D DoS攻击的模型； (2)布置边缘防火墙系统环境， 连接多台攻击主机、 受害者服务器以及正常访问的用户 主机； (3)在边缘防火墙中布置相应攻击的检测及过滤算法， 并可以灵活设置开启和关闭算 法， 其中包括检测ICMP攻击、 TCP攻击、 UDP攻击、 HTTP攻击四大类， 以及四大类下的具体攻击 类型； (4)使用多台攻击主机对受害服务器进行攻击， 同时让正常访问的用户对服务器进行 相应的多种访问； (5)在没有开启算法时， 让正常主机访问服务器， 检查合法流量的请求响应率和访问成 功率； (6)开启算法后， 算法会检测出恶意流量随后进行屏蔽或者过滤， 再让正常主机访问服 务器， 检查 合法流量的请求响应率和访问成功率。 2.如权利要求1所述的一种基于边缘防火墙的DDoS攻击检测方法， 其特征在于： 步骤1 具体包括： 步骤11， 获取受害者服务器IP地址和TCP服务、 UDP服务及HTTP服务的端口； 由于受害服 务器需要提供服 务， 所以其 IP地址和相应端口号必然是公开的； 步骤12， 在多台攻击主机中布置ICMP类型攻击下的ICMP  Flood和Smurf  Attack的攻击 程序； Smurf  Attack攻击属于 反射型攻击， 需要伪造IP地址为受害者主机， 在同一局域网内 连接主机越多， 攻击效果越好； 最后， 在相应程序中设置IP地址， 准备ICMP  Flood或Smurf   Attack攻击； 步骤13， 在多台攻击主机中布置TCP类型攻击下的SYN  Flood、 ACK  Flood、 FIN/RST   Flood以及Elephant  Flow的攻击程序， 其中Elephant  Flood使用iperf进行模拟， 这需要在 服务器处开启iperf服务并设置端口； 在相应程序中设置IP地址和TCP服务的端口， 准备SYN   Flood、 ACK Flood、 FIN/RST Flood以及Elephant  Flow攻击； 步骤14， 在多台攻击主机中布置UDP类型攻击下的UDP  Flood、 DNS  Amplification   Attack、 SNMP  Amplification  Attack、 SSDP  DDoS Attack以及NTP  Amplification  Attack 的攻击程序， 除了UDP  Flood外， 其余攻击都是反射放大攻击， 需要伪造源IP为受害主机IP； 由于UDP Flood是不可靠传输， 不需要握手， 故能使用iperf程序模拟UDP攻击； 最后， 在相应 程序中设置IP地址和TCP服务 的端口， 准备UDP  Flood、 DNS  Amplification  Attack、 SNMP   Amplification Attack、 SSDP DDoS Attack以及NTP  Amplification Attack攻击； 步骤15， 在多台攻击主机中布置HTTP类型攻击下的HTTP  Flood的攻击程序； 在相应程 序中设置IP地址， 准备HT TP Flood攻击。 3.如权利要求1所述的一种基于边缘防火墙的DDoS攻击检测方法， 其特征在于： 步骤2 所述的边 缘防火墙系统布置的过程如下： 边缘防火墙使用OpenWrt系统； 在边缘 防火墙配置好OpenWrt系统后， 将所有需要连接 边缘设备 的其他路由器、 交换机等连接到边缘防火墙上； 让所有数据包通过防火墙的算法 检测再进入边 缘设备； 将受害主机设备 连接在万兆光口处， 其 余攻击主机连接在千兆网口。权　利　要　求　书 1/3 页 2 CN 115412300 A 24.如权利要求1所述的一种基于边缘防火墙的DDoS攻击检测方法， 其特征在于： 步骤3 具体包括： 步骤31， 在边 缘防火墙中部署TCP相关的检测算法； 步骤311， 对于SYN  Flood而言， 其攻击方式较为单一， 发送相同的SYN容易被边缘防火 墙低功耗地、 轻易地判定为异常； 按如下方法做， 首先每5秒跟踪每个源IP的开放TCP会话 数， 这是通过计算syn和ack来实现的； 根据上一时期的统计数据， 如果一个源IP的syn比ack 多得多， 将其未来的数据包标记 为攻击， 并可以丢弃这些数据包； 如果一个源IP在SYN和ACK 之间没有不对称性， 将其标记为良性的， 并让它的数据包通过； 否则， 将其标记 为出错情况， 这种情况将交给传统的SYN  cookie来处理； 步骤312， 对于ACK  Flood， 同上， 收到多个源IP的ACK而没有相应的SYN则判定为恶意流 量， 只受到ACK而没有SYN系统可以轻易判断出为恶意信息， 故也可以用低功耗边缘设备处 理， 此时功能单一的边 缘防火墙优势倍增； 步骤313， 对于FIN/RST  Flood， 收到多个源IP的FIN或RST的数据包却没有相应发出SYN 则判定为恶意流量， 同样单纯受到较多同源的FIN或RST数据包， 系统可以很轻易判定为恶 意流量， 对性能要求 不大； 步骤314， 对于Elephant  Flow攻击， 为了检测来自一些源IP地址的非常大的流， 对于这 种攻击， 由于小型企业和家庭边缘化设备不太可能受到巨额的流量， 故其检测性能也不用 太高， 边缘防火墙可以胜任； 首先计算每个流每5秒发送 一次的字节数； 在上一期期间， 如果 一个流的总字节数超过了一个阈值， 暂时判定为可疑流量， 若是下一个期期间还是超过阈 值， 则判定为恶意 流量； 步骤32， 在边 缘防火墙中部署UD P相关检测算法； 步骤321， 在边缘设备中， 主动查询DNS服务器的机会相对较小， 其设备本身性能就不会 太高， 故对路由器或是说边缘防火墙的性能要求也相 对较低， 在大量DNS服务器访问时， 系 统以高效、 便捷的如下的方式处理； 在DNS  Amplification  Attack中， 攻击主机使用大量欺 骗的受保护服务器的IP来请求许多DNS查询， 从而导致大量的响应流量， 从而压倒受害者服 务器的带宽； 为了抵御这种攻击， 首先跟踪所有受害者服务器的DNS查询， 只有受害服务器 在一小时内的DNS查询相应才判定为合法流量， 若是其他DNS查询进入网络则暂定为可疑流 量， 若是通DNS数秒内再次进入网络则判定为恶意 流量； 步骤322， 对于UDP  Flood， 边缘设备收到的UDP流量在正常情况下式非常小的， 所以只 需要边缘防火墙较低的消 耗就能检测出异常的访问流量； 按如下方法每5秒跟踪每个源IP 的UDP数据包的数量； 在上一期期间， 如果一个源IP发送异常多的UDP包， 将其标记 为可疑流 量， 若是下一期间还是发送异常多的UDP包， 则判定为恶意流量； UDP的流量攻击， 由于其不 需要提前连接的特性， 攻击看起来是可以发送巨额流量， 造成较大影响， 但对于小 型企业和 家庭的边缘设备来讲， 其本身性能就不足以处理大量流量， 故设备之 间不会大流量传输， 边 缘防火墙的阈值相应可以相对降低， 这样就可以做到低功耗实现防御； 步骤33， 在边缘防火墙中部署HTTP相关的检测算法； 在HTTP  Flood中， 每个攻击主机都 生成大量合法的HTTP请求并将它们发送到受害者服务器， 这很容易使受害者服务器超载， 使服务不可用； 为了减轻这种攻击， 一个简单的方法是跟踪每个源IP的HTTP请求的数量； 如 果之前的客户端会话数超过阈值， 就判定是恶意流量， 可让发送方输入验证码后再访问； 否权　利　要　求　书 2/3 页 3 CN 115412300 A 3