該第二哈希表中的第二閥值�;所述破壞報(bào)文檢測(cè)模塊對(duì) 報(bào)文的各標(biāo)志位進(jìn)行檢測(cè)�����,W判斷各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范�;若報(bào)文的各標(biāo)志位 符合,則將報(bào)文轉(zhuǎn)入異常報(bào)文檢測(cè)模塊�����;若報(bào)文的各標(biāo)志位不符合����,則轉(zhuǎn)入所述IDS決策服 務(wù)器����,對(duì)報(bào)文進(jìn)行丟棄�����,并同時(shí)對(duì)標(biāo)志位設(shè)置異常行為進(jìn)行計(jì)數(shù)����,當(dāng)該計(jì)數(shù)值超過(guò)第二閥值 時(shí)����,屏蔽發(fā)送該報(bào)文的程序和/或主機(jī)。
[0065] 具體的��,所述破壞報(bào)文檢測(cè)模塊����,用于對(duì)報(bào)文進(jìn)行第二次判斷,即判斷報(bào)文是否為 具有惡意標(biāo)志位特征的攻擊報(bào)文�����。其中,具有惡意標(biāo)志位特征的攻擊報(bào)文包括但不限于IP 攻擊報(bào)文�����、TCP攻擊報(bào)文�����。實(shí)施步驟包括:對(duì)IP攻擊報(bào)文及其中的TCP/UDP攻擊報(bào)文實(shí)現(xiàn) 各個(gè)報(bào)文的標(biāo)志位的檢測(cè)�,即識(shí)別各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范。如果符合的話�,就 直接交由異常數(shù)報(bào)文檢測(cè)模塊處理。若不符合�����,則判斷為攻擊報(bào)文�����,轉(zhuǎn)入IDS決策服務(wù)器處 理��。
[0066] WTear化op等典型攻擊為列��,在IP包頭中有一個(gè)偏移字段和一個(gè)分片標(biāo)志 (MF)����,若攻擊者把偏移字段設(shè)置成不正確的值����,IP分片報(bào)文就會(huì)出現(xiàn)重合或斷開(kāi)的情況���,目 標(biāo)機(jī)系統(tǒng)就會(huì)崩潰����。
[0067] 在IP報(bào)文頭中��,有一協(xié)議字段����,該字段指明了該IP報(bào)文承載了何種協(xié)議�。該字段 的值是小于100的,如果攻擊者向目標(biāo)機(jī)發(fā)送大量的帶大于100的協(xié)議字段的IP報(bào)文����,目 標(biāo)機(jī)系統(tǒng)中的協(xié)議找就會(huì)受到破壞,形成攻擊��。
[0068] 故在破壞報(bào)文檢測(cè)模塊中���,首先提取出報(bào)文的各標(biāo)志位���,然后檢查是否正常����。
[0069] 如果正常�,則交給后續(xù)模塊處理。
[0070] 如果不正常�����,則丟棄該數(shù)據(jù)包����,并對(duì)相應(yīng)哈希表計(jì)數(shù)器計(jì)數(shù)。如果單位時(shí)間內(nèi)計(jì)數(shù) 器超過(guò)設(shè)定的所述第二閥值時(shí)����,則調(diào)用IDS決策服務(wù)器對(duì)相應(yīng)的程序進(jìn)行屏蔽和/或直接 屏蔽相應(yīng)的主機(jī)。
[0071] 通過(guò)欺騙報(bào)文檢測(cè)模塊的數(shù)據(jù)包濾除之后�,后續(xù)的破壞報(bào)文檢測(cè)模塊所處理的數(shù) 據(jù)包中的地址都是真實(shí)的。該樣�,有效的避免了目標(biāo)機(jī)收到了破壞報(bào)文,可能直接導(dǎo)致目標(biāo) 機(jī)的協(xié)議找崩潰�,甚至目標(biāo)機(jī)直接崩潰����。
[0072] 破壞報(bào)文檢測(cè)模塊的處理功能與欺騙報(bào)文檢測(cè)處理流程大致相似���,區(qū)別在于破壞 報(bào)文檢測(cè)模塊解析出的是各個(gè)報(bào)文的標(biāo)志位�,然后檢測(cè)各個(gè)標(biāo)志位是否正常�。
[0073] 如果正常的話,就直接給后續(xù)的異常報(bào)文檢測(cè)模塊處理��。
[0074] 如果不正常����,則丟棄該數(shù)據(jù)包,并且對(duì)主機(jī)應(yīng)用征信機(jī)制相應(yīng)的哈希表內(nèi)計(jì)數(shù)器 計(jì)數(shù)����。如果超過(guò)設(shè)定的閥值���,則屏蔽相應(yīng)的攻擊程序或者直接屏蔽攻擊主機(jī)���。
[0075] 在所述異常報(bào)文檢測(cè)模塊構(gòu)建用于識(shí)別泛洪式攻擊報(bào)文的哈希表,在所述IDS決 策服務(wù)器中構(gòu)建單位時(shí)間內(nèi)的適于對(duì)泛洪式攻擊行為進(jìn)行計(jì)數(shù)的第H哈希表�����,W及設(shè)定該 第H哈希表中的第H閥值;所述異常報(bào)文檢測(cè)模塊��,適于根據(jù)所述哈希表中設(shè)定的閥值判 斷所述報(bào)文是否具有攻擊行為�;若無(wú)攻擊行為,則將數(shù)據(jù)下發(fā)�����;若具有攻擊行為��,則轉(zhuǎn)入所 述IDS決策服務(wù)器����,對(duì)報(bào)文進(jìn)行丟棄,并同時(shí)對(duì)攻擊行為進(jìn)行計(jì)數(shù)�����,當(dāng)計(jì)數(shù)值超過(guò)第H閥值 時(shí)��,屏蔽發(fā)送該報(bào)文的程序和/或主機(jī)�。
[0076] 具體的,所述異常報(bào)文檢測(cè)模塊,用于對(duì)報(bào)文進(jìn)行第H次判斷��,即判斷報(bào)文是否是 泛洪式攻擊報(bào)文�。
[0077] 具體步驟包括:利用對(duì)構(gòu)建的識(shí)別泛洪式攻擊報(bào)文的對(duì)哈希表內(nèi)的相應(yīng)記錄進(jìn)行 累加,并檢測(cè)是否超過(guò)闊值�,W判斷是否是泛洪式攻擊報(bào)文。
[0078] 經(jīng)過(guò)上述欺騙報(bào)文檢測(cè)模塊���、破壞報(bào)文檢測(cè)模塊兩個(gè)模塊的濾除�,后續(xù)模塊處理 的數(shù)據(jù)包基本屬于正常情況下的數(shù)據(jù)包�����。然而���,正常情況下����,也會(huì)有DDoS攻擊產(chǎn)生���,在現(xiàn)有 技術(shù)中,一般僅進(jìn)行欺騙報(bào)文檢測(cè)模塊����、破壞報(bào)文檢測(cè)模塊���,而在本技術(shù)方案中,為了盡可 能的避免DDoS攻擊����。
[0079]W下實(shí)施例對(duì)在進(jìn)行欺騙報(bào)文檢測(cè)模塊、破壞報(bào)文檢測(cè)模塊過(guò)濾后�����,再通過(guò)異 常報(bào)文檢測(cè)模塊屏蔽DDoS攻擊的【具體實(shí)施方式】����。該實(shí)施方式WUDP Flooding和ICMP Flooding為例。
[0080] 關(guān)于UDP Floodling��,利用UDP協(xié)議無(wú)需建立連接的機(jī)制���,向目標(biāo)機(jī)發(fā)送大量UDP 報(bào)文���。目標(biāo)機(jī)會(huì)花費(fèi)大量的時(shí)間處理UDP報(bào)文,該些UDP攻擊報(bào)文不但會(huì)使存放UDP報(bào)文的 緩存溢出��,而且也會(huì)占用大量的網(wǎng)絡(luò)帶寬,目標(biāo)機(jī)無(wú)法(或很少)接收到合法的UDP報(bào)文��。
[0081] 由于不同的主機(jī)向單一主機(jī)發(fā)送大量UDP數(shù)據(jù)包���,所W肯定會(huì)有UDP端口占用的 情況�����,所W本技術(shù)方案可W接收到一個(gè)ICMP的端口不可達(dá)包�。
[0082] 所W本技術(shù)方案可W對(duì)所有主機(jī)建立一個(gè)哈希表��,?����?谟脕?lái)存放單位時(shí)間內(nèi)收到 ICMP端口不可達(dá)包的次數(shù)�。如果超過(guò)設(shè)定的閥值,則直接屏蔽相應(yīng)的攻擊程序����。
[0083] 關(guān)于ICMP Floodling,對(duì)于ICMP Flooding直接進(jìn)行單位時(shí)間內(nèi)計(jì)數(shù)��。如果超過(guò) 相應(yīng)的閥值��,則直接對(duì)相應(yīng)主機(jī)進(jìn)行相應(yīng)屏蔽,該方法雖然簡(jiǎn)單��,但是直接有效�。
[0084] 因此��,異常報(bào)文檢測(cè)模塊��,如果檢測(cè)到的報(bào)文類型是異常報(bào)文檢測(cè)類型�,則進(jìn)行相 應(yīng)的計(jì)數(shù)器檢測(cè)是否超過(guò)闊值,如果沒(méi)有超過(guò)闊值���,也可對(duì)該數(shù)據(jù)包通過(guò)最優(yōu)的路由策略 下發(fā)���。如果超過(guò)了闊值,則屏蔽相應(yīng)的攻擊程序���,或直接對(duì)相應(yīng)主機(jī)進(jìn)行相應(yīng)屏蔽�����。
[0085] 所述欺騙報(bào)文檢測(cè)模塊���、破壞報(bào)文檢測(cè)模塊和異常報(bào)文檢測(cè)模塊中任一模塊判斷 所述報(bào)文為上述攻擊報(bào)文時(shí)�,則將該攻擊報(bào)文轉(zhuǎn)入IDS決策服務(wù)器���,即���,丟棄所述報(bào)文,并 屏蔽發(fā)送該報(bào)文的程序和/或主機(jī)����。
[0086]當(dāng)"欺騙報(bào)文檢測(cè)模塊"、"破壞報(bào)文檢測(cè)模塊"和"異常報(bào)文檢測(cè)模塊"需要丟棄數(shù) 據(jù)包或者需要屏蔽威脅主機(jī)的時(shí)候���。直接調(diào)用IDS決策服務(wù)器進(jìn)行相應(yīng)的威脅處理操作�����。
[0087] 所述IDS決策服務(wù)器的具體的實(shí)施步驟包括:
[0088] 丟棄所述報(bào)文��,即丟棄數(shù)據(jù)包的步驟包括如下:
[0089] 化enFlow交換機(jī)在未匹配到相應(yīng)的流表情況下����,會(huì)將該數(shù)據(jù)包封裝在化cketIn 消息中��,同時(shí)交換機(jī)會(huì)將此數(shù)據(jù)包存在本地的緩存中�,數(shù)據(jù)包存放在緩存中���,有一個(gè)緩存區(qū) ID號(hào),該個(gè)ID號(hào)也會(huì)封裝在化cketIn消息的buffer_id中����,通過(guò)化cketout的形式�����,同 時(shí)化cketout消息內(nèi)的buffer_id填寫(xiě)要丟棄的數(shù)據(jù)包的緩存區(qū)ID(對(duì)應(yīng)的化cketIn 消息中的buffer_id)��。
[0090] 屏蔽主機(jī)的步驟包括如下:
[0091] 化enFlow協(xié)議流表結(jié)構(gòu)如下:
[0092]
[0093] 其中包頭域的結(jié)構(gòu)為:
[0094]
[0095] IDS決策服務(wù)器中包括對(duì)應(yīng)用程序進(jìn)行屏蔽的步驟包括如下:
[0096] 步驟1 ;在流表的包頭域中填寫(xiě)相應(yīng)匹配字段���,并且通過(guò)設(shè)置Wildcards屏蔽字 段���,來(lái)獲取屏蔽攻擊程序或主機(jī)信息。其中��,如需屏蔽攻擊程序�����,則在流表包頭域中填寫(xiě)下 列匹配字段�����;IP、MC���、VLAN��、SwtichDPID���、SwtichPort、協(xié)議類型及其端口號(hào)等��。如需屏蔽 主機(jī)�,則在流表包頭域中填寫(xiě);IP���、MAC�、VLAN���、SwtichDPID�、Swtich化lt等匹配字段�。
[0097] 步驟2 ;將流表動(dòng)作列表置空,實(shí)現(xiàn)攻擊程序/主機(jī)的數(shù)據(jù)包丟棄���。
[009引步驟3 ;調(diào)用各哈希表中的記錄值���,計(jì)算出流表超時(shí)自動(dòng)刪除時(shí)間�。
[0099] 步驟4 ;下發(fā)流表屏蔽程序或主機(jī)��。
[0100] 因此�����,本技術(shù)方案的網(wǎng)絡(luò)可有效識(shí)別并濾除攻擊包���,能夠避免遠(yuǎn)程服務(wù)器受到惡 意攻擊。
[0101] 實(shí)施例2
[0102] 圖3示出了本發(fā)明的慢病藥物服用監(jiān)控專家系統(tǒng)的工作方法的流程圖���。
[0103] 如圖3所示��,本發(fā)明的慢病藥物服用監(jiān)控專家系統(tǒng)的工作方法��,包括如下步驟:步 驟S000,獲取患者服藥信息�;步驟S100,通過(guò)遠(yuǎn)程監(jiān)控患者是否服藥�;步驟S200,對(duì)患者服 藥的合理性進(jìn)行判斷;步驟S300,并根據(jù)判斷結(jié)果W提醒患者����,和/或?qū)⑴袛嘟Y(jié)果發(fā)送至醫(yī) 生客戶端��。
[0104] 所述步驟S000中����,獲取患者服藥信息可W通過(guò)實(shí)施例1中射頻掃描電路獲取��。
[0105] 圖4示出了步驟S100中通過(guò)遠(yuǎn)程監(jiān)控患者是否服藥的方法流程圖�。
[0106] 如圖4所示,具體的��,所述步驟S100中通過(guò)遠(yuǎn)程監(jiān)控患者是否服藥的方法包括如 下步驟:
[0107]步驟SllO,建立疾病特征值集合�。
[010引步驟S120,計(jì)算斜率函數(shù)。獲得在采集周期內(nèi)的任一采集時(shí)間點(diǎn)的測(cè)量值�,再根據(jù) 該測(cè)量值與前一周期相同采集時(shí)間點(diǎn)的測(cè)量值的差值和兩次采集時(shí)間點(diǎn)的間隔時(shí)間計(jì)算 斜率函數(shù)化(t)。
[0109] 步驟S130,構(gòu)建服藥判斷公式�。根據(jù)所述斜率函數(shù)化(t)建立患者是否服藥判斷 公式,即
[0110]
若>訂時(shí)����,則判斷患者未服藥;
[0111] 式中�,0 1為預(yù)設(shè)的患者單次未服藥時(shí)的疾病特征值集合中一特征值所對(duì)應(yīng)的異 常闊值,所述訂為預(yù)設(shè)的患者多次未服藥時(shí)的特征值所對(duì)應(yīng)的異常累計(jì)闊值,nl為采集總 次數(shù)����。
[0112] 進(jìn)一步,所述步驟S100中通過(guò)遠(yuǎn)程監(jiān)控患者是否服藥的方法還包括:
[011