申请/专利权人：深圳市风云实业有限公司

申请日：2021-07-20

公开（公告）日：2023-08-29

公开（公告）号：CN113709105B

主分类号：H04L9/40

分类号：H04L9/40;G06F21/55

优先权：

专利状态码：有效-授权

法律状态：2023.08.29#授权;2021.12.14#实质审查的生效;2021.11.26#公开

摘要：本发明公开了基于计数型布隆过滤器的SYNFlood攻击检测方法，包括检测某段时间内单个源IP的TCP连接请求包个数，并取其最大值作为阈值，或者手动设置一个阈值；构建一个计数表、一个白名单和黑名单，并初始化；在当前时间周期内检测的TCP报文的接收；获取接收的TCP报文的源目IP，并用k个独立的哈希函数对源目IP进行运算，得到k个哈希值，并寻找k个哈希值在计数表中的对应位置；判断接收的TCP报文是否在黑名单或白名单或阈值范围内，并对相应判断结果做出TCP报文丢弃或通过的选择。本发明占用内存小且匹配速度快，能够实现对SYNFlood攻击的防御；通过选取合适的哈希函数个数和数组长度，以及定时重置数组中的数据，减少误报率。

主权项：1.一种基于计数型布隆过滤器的SYNFlood攻击检测方法，其特征在于，包括以下步骤：S1、检测某段时间内单个源IP的TCP连接请求包个数，并取其最大值作为阈值；S2、构建一个计数表、一个白名单和黑名单，并初始化；S3、判断是否完成当前时间周期的TCP报文的接收，若是则结束此次检测；否则进入步骤S4；S4、获取接收到的TCP报文的源目IP，并用k个独立的哈希函数对源目IP进行运算，得到k个哈希值，并寻找k个哈希值在计数表中的对应位置；S5、判断计数表中的对应位置对应的白名单中的值是否都非0，若是则通过接收到的TCP报文并回到步骤S3；否则进入步骤S6；S6、判断计数表中的对应位置对应的黑名单中的值是否都非0，若是则丢弃接收到的TCP报文并回到步骤S3；否则进入步骤S7；S7、判断接收到的TCP报文是否为TCP三次握手中的SYN报文，若是则将接收到的SYN报文在计数表中对应的k个位置的值+1，并进入步骤S8；否则进入步骤S9；S8、判断该SYN报文对应计数表的k个位置中是否出现某个值大于阈值，若是则将该值对应的计数表位置的值清0，同时将该值对应的黑名单位置的值置1，丢弃该报文并回到步骤S3；否则通过该报文并回到步骤S3；S9、判断接收到的TCP报文的是否为TCP三次握手中的ACK报文，若是则进入步骤S10；否则判定为正常通信报文，通过该报文并回到步骤S3；S10、判断该ACK报文对应计数表的k个位置中的值是否都非0；若是则将ACK报文对应计数表的k个位置中的值-1，同时将该值对应的白名单位置的值置1，通过该报文并回到步骤S3；否则丢弃该报文并回到步骤S3；步骤S2中计数表为一个长度为m的一维数组，且一维数组为short类型，白名单和黑名单储存在一个长度为m的二维数组中，二维数组为两列，第一列用于保存白名单第二列用于保存黑名单，且二维数组的两列均为bit类型；初始化即将计数表、白名单和黑名单中的值清0；且定期进行初始化。

全文数据：

权利要求：

百度查询： 深圳市风云实业有限公司 基于计数型布隆过滤器的SYN Flood攻击检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD