专利名称:一次性单向非法数据包识别方法
技术领域:
本发明涉及一种计算机非法数据包的识别方法,特别涉及一种一次性单向非法数据包识别方法。
背景技术:
IPV4在设计之初,互联网世界是非常友好而安全的。随着网络的飞速发展,这个″友好″原则遭到了破坏,由此引发的隐患也日益加重。其中尤为突出的就是DoS,DDoS攻击.由于其危害巨大,难以防御等特点,成为黑客经常采用的攻击手段。DoS的英文全称是Denial of Service,即″拒绝服务″的意思。DDoS的英文全称是Distributed Denial of Service,即分布式拒绝服务的意思。拒绝服务是一个统称,其攻击方式有很多种,但它们之间的共性是利用合理的服务请求来占用过多的服务资源,从而使得合法用户无法得到正常的服务。现有技术目前各大防火墙厂商使用最普遍的算法是syncookies,synproxy。syncookies的大致原理是防火墙收到SYN包的时候,算出一个cookie,当防火墙再次收到ACK包的时候,便可以根据这个cookie来验证是否为非法包。Synproxy的大致原理是防火墙代替被攻击机器来完成three-way handshakes(三次握手),从而达到验证源地址的可达性。在大流量高并发的情况下,这些算法显然是不能够满足要求的。
发明内容
本发明的目的完全摈弃传统算法的单一模式,提供一种单向一次性非法数据包识别方法。需要解决的技术问题是解决现有防火墙需要反向验证数据源的合法性而导致在非法数据包大流量高并发的情况下,现有防火墙无法应对的问题。
本发明的技术方案是一次性单向非法数据包识别方法,当数据包流入时,对数据包进行初始化处理,然后进入核心分析单元,经核心分析为异常的数据包将被丢弃。经核心分析为正常的数据包通过超级网桥入口进入桥过滤单元,异常的数据包将被丢弃。经桥过滤单元分析为正常的数据包通过下级超级网桥入口实现数据包流出。核心分析包括核心启动过程、核心退出过程和数据包过滤流程,核心启动过程内核启动的时候会进行一系列的完整性检查,如果发现有异常现象,系统会自行对其“智能修复”,并将修复的结果输出到日志系统中。核心正常启动后,然派生出一个“守护进程”,以提供各种过滤功能。核心退出过程内核退出的时候也会进行一系列的完整性检查,并保存一些简单的用户信息,同时输出到日志系统。但此时并不进行核心修复工作。因为内核退出的原因大多数的情况是人为的重新启动系统,关闭系统,或者突然掉电等情况,所以如果此时进行修复很可能就造成了更大的问题。数据包过滤流程数据包经过一系列的处理后到达核心入口。交付给核心派生出来的守护进程来进行处理。核心会根据已有的特征库对大流量的垃圾数据包合法性判断,此时在绝大多数的情况下非法数据包会被识别出来,并被直接丢弃掉,对于极少数情况下,如果这些垃圾数据包被伪装的很好,没有被系统合法性检查出来的话,在下一道“智能判断”中会根据一些“概率论”来进行识别。超过给定的阀值的数据包会立刻被丢弃。经过这一系列的识别过滤后,正常包会迅速的流出。
本发明的有益效果是极其高效的识别攻击包通过修改TCP/IP的内核,在系统核心实现了一整套拒绝服务攻击的防御体系,并且该算法工作于物理层。同时由于其单向性,即不需要反向验证,从而极大的节省了开销。本算法通过一些特定的技术处理,能够很准确的很高效的识别攻击包,并能够在第一时间内将数据包默默的drop掉。利用本算法可以防止各种拒绝服务攻击如Synflood,ackflood,icmpflood,udpflood,反射式拒绝服务攻击(drdos)等。在面对大流量数据包时具有无可比拟的优势。更快速,更准确,更安全,技术上全面领先国内外同类产品,填补了国内外抗拒绝服务设备的一块空白。得到权威安全机构的测试认可。为了更好的配合本算法,以实现更高的性能,我公司在研发出该算法的同时,也改进了现有网桥(bridge)的代码,大幅度的提高了吞吐量。改进后的网桥(bridge)命名为super bridge(超级网桥)。
图1为本发明算法结构示意框2为本发明核心分析程序控制框图
具体实施例方式参照图1,一次性单向非法数据包识别方法,当数据包流入时,对数据包进行初始化处理,然后进入核心分析单元,经核心分析为异常的数据包将被丢弃。经核心分析为正常的数据包通过超级网桥入口进入桥过滤单元,异常的数据包将被丢弃。经桥过滤单元分析为正常的数据包通过下级超级网桥入口实现数据包流出。参照图2,核心分析包括核心启动过程、核心退出过程和数据包过滤流程,内核启动的时候会进行一系列的完整性检查,如果发现有异常现象,系统会自行对其“智能修复”,并将修复的结果输出到日志系统中。经完整性检查正常则进入核心正常启动单元,核心正常启动后将派生出一个“守护进程”,以提供各种过滤功能。核心退出过程内核退出的时候也会进行一系列的完整性检查,并保存一些简单的用户信息,同时输出到日志系统,然后安全退出。数据包过滤流程数据包进入守护进程后,核心会根据已有的特征库对大流量的垃圾数据包合法性判断,异常的将被丢弃,对于极少数情况下,如果这些垃圾数据包被伪装的很好,没有被系统合法性检查出来的话,在下一道“智能判断”中会根据“概率论”来进行识别。超过给定的阀值的数据包会立刻被丢弃。经过这一系列的识别过滤后,正常包会迅速的流出。
本发明硬件规范网络接口三个10/100Base-TX自适应网卡接口外设接口一个标准串口(RS232,DTE,9600-8-N-1)本发明功能描述1.即插即用2.独家单向一次性包过滤技术3.防御种类SYNFLOOD及其变种ACKFLOOD及其变种ICMPFLOODUDPFLOODDRDOSLANDFLOODDNS QUERY FLOODStream FloodIP Fragment attack等及部分未知Dos/Ddos攻击4.防止连接耗尽,主动清除服务器上的残余连接。
5.网络隐身,无IP地址6.精简和优化的TCP协议7.主机识别8.入侵检测10.consloe和web双重管理模式
权利要求
1.一次性单向非法数据包识别方法,其特征是当数据包流入时,对数据包进行初始化处理,然后进入核心分析单元,经核心分析为异常的数据包将被丢弃,经核心分析为正常的数据包通过超级网桥入口进入桥过滤单元,异常的数据包将被丢弃,经桥过滤单元分析为正常的数据包通过下级超级网桥入口实现数据包流出。
2.根据权利要求1所述的一次性单向非法数据包识别方法,其特征是核心分析包括核心启动过程、核心退出过程和数据包过滤流程,核心启动过程内核启动的时候会进行一系列的完整性检查,如果发现有异常现象,系统会自行对其“智能修复”,并将修复的结果输出到日志系统中,核心正常启动后,然派生出一个“守护进程”,以提供各种过滤功能;核心退出过程内核退出的时候也会进行一系列的完整性检查,并保存一些简单的用户信息,同时输出到日志系统,但此时并不进行核心修复工作;数据包过滤流程数据包经过一系列的处理后到达核心入口,交付给核心派生出来的守护进程来进行处理,核心会根据已有的特征库对大流量的垃圾数据包合法性判断,此时在绝大多数的情况下非法数据包会被识别出来,并被直接丢弃掉,对于极少数情况下,如果这些垃圾数据包被伪装的很好,没有被系统合法性检查出来的话,在下一道“智能判断”中会根据一些“概率论”来进行识别,超过给定的阀值的数据包会立刻被丢弃,经过这一系列的识别过滤后,正常数据包会迅速地流出。
全文摘要
本发明涉及一种计算机数据包的识别方法,特别涉及一种一次性单向非法数据包识别方法。需要解决的技术问题是解决现有防火墙需要反向验证数据源的合法性而导致在大流量,高并发的非法数据包的冲击(非法数据包大流量高并发的情况)下,现有防火墙无法应对的问题。一次性单向非法数据包识别方法,其特征是当数据包流入时,对数据包进行初始化处理,然后进入核心分析单元,经核心分析为异常的数据包将被丢弃,经核心分析为正常的数据包通过超级网桥入口进入桥过滤单元,异常的数据包将被丢弃,经桥过滤单元分析为正常的数据包通过下级超级网桥入口实现数据包流出。本发明主要用于网络服务器抗拒绝服务设备。
文档编号H04L12/56GK1773953SQ200410067978
公开日2006年5月17日 申请日期2004年11月9日 优先权日2004年11月9日
发明者罗春 申请人:罗春