向该服务添加 IDeviceListener的监听接口即可。
[0039] 其中IDeviceListener提供的监听接口有:
表内的记录根据交换机的高低电平触发机制(网线拔出触发Port Down的低电平,网 线拔入触发Port Up的高电平)可以实时刷新绑定表中的记录。
[0040] 传统的DDoS攻击无法触及、修改Switch DPID和Switch Port的信息,利用此优 势,可以更加灵活的检测欺骗攻击。
[0041] 在所述IDS决策服务器中构建单位时间内的适于对报文的标志位设置异常行为 进行计数的第二哈希表,以及设定该第二哈希表中的第二阀值;所述破坏报文检测模块对 报文的各标志位进行检测,以判断各标志位是否符合TCP/IP协议规范;若报文的各标志位 符合,则将报文转入异常报文检测模块;若报文的各标志位不符合,则转入所述IDS决策服 务器,对报文进行丢弃,并同时对标志位设置异常行为进行计数,当该计数值超过第二阀值 时,屏蔽发送该报文的程序和/或主机。
[0042] 具体的,所述破坏报文检测模块,用于对报文进行第二次判断,即判断报文是否为 具有恶意标志位特征的攻击报文。其中,具有恶意标志位特征的攻击报文包括但不限于IP 攻击报文、TCP攻击报文。实施步骤包括:对IP攻击报文及其中的TCP/UDP攻击报文实现 各个报文的标志位的检测,即识别各标志位是否符合TCP/IP协议规范。如果符合的话,就 直接交由异常数报文检测模块处理。若不符合,则判断为攻击报文,转入IDS决策服务器处 理。
[0043] 以Tear Drop等典型攻击为列,在IP包头中有一个偏移字段和一个分片标志 (MF),若攻击者把偏移字段设置成不正确的值,IP分片报文就会出现重合或断开的情况,目 标机系统就会崩溃。
[0044] 在IP报文头中,有一协议字段,该字段指明了该IP报文承载了何种协议。该字段 的值是小于100的,如果攻击者向目标机发送大量的带大于100的协议字段的IP报文,目 标机系统中的协议栈就会受到破坏,形成攻击。
[0045] 故在破坏报文检测模块中,首先提取出报文的各标志位,然后检查是否正常。
[0046] 如果正常,则交给后续模块处理。
[0047] 如果不正常,则丢弃该数据包,并对相应哈希表计数器计数。如果单位时间内计数 器超过设定的所述第二阀值时,则调用IDS决策服务器对相应的程序进行屏蔽和/或直接 屏蔽相应的主机。
[0048] 通过欺骗报文检测模块的数据包滤除之后,后续的破坏报文检测模块所处理的数 据包中的地址都是真实的。这样,有效的避免了目标机收到了破坏报文,可能直接导致目标 机的协议栈崩溃,甚至目标机直接崩溃。
[0049] 破坏报文检测模块的处理功能与欺骗报文检测处理流程大致相似,区别在于破坏 报文检测模块解析出的是各个报文的标志位,然后检测各个标志位是否正常。
[0050] 如果正常的话,就直接给后续的异常报文检测模块处理。
[0051] 如果不正常,则丢弃该数据包,并且对主机应用征信机制相应的哈希表内计数器 计数。如果超过设定的阀值,则屏蔽相应的攻击程序或者直接屏蔽攻击主机。
[0052] 在所述异常报文检测模块构建用于识别泛洪式攻击报文的哈希表,在所述IDS决 策服务器中构建单位时间内的适于对泛洪式攻击行为进行计数的第三哈希表,以及设定该 第三哈希表中的第三阀值;所述异常报文检测模块,适于根据所述哈希表中设定的阀值判 断所述报文是否具有攻击行为;若无攻击行为,则将数据下发;若具有攻击行为,则转入所 述IDS决策服务器,对报文进行丢弃,并同时对攻击行为进行计数,当计数值超过第三阀值 时,屏蔽发送该报文的程序和/或主机。
[0053] 具体的,所述异常报文检测模块,用于对报文进行第三次判断,即判断报文是否是 泛洪式攻击报文。
[0054] 具体步骤包括:利用对构建的识别泛洪式攻击报文的对哈希表内的相应记录进行 累加,并检测是否超过阈值,以判断是否是泛洪式攻击报文。
[0055] 经过上述欺骗报文检测模块、破坏报文检测模块两个模块的滤除,后续模块处理 的数据包基本属于正常情况下的数据包。然而,正常情况下,也会有DDoS攻击产生,在现有 技术中,一般仅进行欺骗报文检测模块、破坏报文检测模块,而在本技术方案中,为了尽可 能的避免DDoS攻击。
[0056] 以下实施例对在进行欺骗报文检测模块、破坏报文检测模块过滤后,再通过异 常报文检测模块屏蔽DDoS攻击的【具体实施方式】。该实施方式以UDP Flooding和ICMP Flooding 为例。
[0057] 关于UDP Floodling,利用UDP协议无需建立连接的机制,向目标机发送大量UDP 报文。目标机会花费大量的时间处理UDP报文,这些UDP攻击报文不但会使存放UDP报文的 缓存溢出,而且也会占用大量的网络带宽,目标机无法(或很少)接收到合法的UDP报文。
[0058] 由于不同的主机向单一主机发送大量UDP数据包,所以肯定会有UDP端口占用的 情况,所以本技术方案可以接收到一个ICMP的端口不可达包。
[0059] 所以本技术方案可以对所有主机建立一个哈希表,专门用来存放单位时间内收到 ICMP端口不可达包的次数。如果超过设定的阀值,则直接屏蔽相应的攻击程序。
[0060] 关于ICMP Floodling,对于ICMP Flooding直接进行单位时间内计数。如果超过 相应的阀值,则直接对相应主机进行相应屏蔽,该方法虽然简单,但是直接有效。
[0061] 因此,异常报文检测模块,如果检测到的报文类型是异常报文检测类型,则进行相 应的计数器检测是否超过阈值,如果没有超过阈值,也可对该数据包通过最优的路由策略 下发。如果超过了阈值,则屏蔽相应的攻击程序,或直接对相应主机进行相应屏蔽。
[0062] 所述欺骗报文检测模块、破坏报文检测模块和异常报文检测模块中任一模块判断 所述报文为上述攻击报文时,则将该攻击报文转入IDS决策服务器,即,丢弃所述报文,并 屏蔽发送该报文的程序和/或主机。
[0063] 当"欺骗报文检测模块"、"破坏报文检测模块"和"异常报文检测模块"需要丢弃数 据包或者需要屏蔽威胁主机的时候。直接调用IDS决策服务器进行相应的威胁处理操作。
[0064] 所述IDS决策服务器的具体的实施步骤包括: 丢弃所述报文,即丢弃数据包的步骤包括如下: OpenFlow交换机在未匹配到相应的流表情况下,会将该数据包封装在Packet In消 息中,同时交换机会将此数据包存在本地的缓存中,数据包存放在缓存中,有一个缓存区ID 号,这个ID号也会封装在Packet In消息的buffer_id中,通过Packet out的形式,同时 Packet out消息内的buffer_id填写要丢弃的数据包的缓存区ID (对应的Packet In消息 中的 buffer_id)。
[0065] 屏蔽主机的步骤包括如下: OpenFlow协议流表结构如下:
IDS决策服务器中包括对应用程序进行屏蔽的步骤包括如下: 步骤1 :在流表的包头域中填写相应匹配字段,并且通过设置Wildcards屏蔽字段,来 获取屏蔽攻击程序或主机信息。其中,如需屏蔽攻击程序,则在流表包头域中填写下列匹配 字段:IP、MAC、VLAN、Swtich DPID、Swtich Port、协议类型及其端口号等。如需屏蔽主机, 则在流表包头域中填写:IP、MAC、VLAN、Swtich DPID、Swtich Port等匹配字段。
[0066] 步骤2 :将流表动作列表置空,实现攻击程序/主机的数据包丢弃。
[0067] 步骤3 :调用各哈希表中的记录值,计算出流表超时自动删除时间。 步骤4 :下发流表屏蔽程序或主机。
[0068] 因此,本技术方案的网络可有效识别并滤除攻击包,能够避免远程服务器受到恶 意攻击。
[0069] 实施例2 图3示出了本发明的监控系统的工作方法的流程图。
[0070] 如图3所示,本发明的监控系统的工作方法,包括如下步骤:步骤S000,获取患者 服药信息;步骤S100,通过远程监控患者是否服药;步骤S200,对患者服药的合理性进行判 断;步骤S300,并根据判断结果以提醒患者,和/或将判断结果发送至医生客户端。
[0071] 所述步骤SOOO中,获取患者服药信息可以通过实施例1中射频扫描电路获取。
[0072] 图4示出了步骤SlOO中通过远程监控患者是否服药的方法流程图。
[0073] 如图4所示,具体的,所述步骤SlOO中通过远程监控患者是