CN102104611A - 一种基于混杂模式的DDoS攻击检测方法及装置 - Google Patents
一种基于混杂模式的DDoS攻击检测方法及装置 Download PDFInfo
- Publication number
- CN102104611A CN102104611A CN2011100810132A CN201110081013A CN102104611A CN 102104611 A CN102104611 A CN 102104611A CN 2011100810132 A CN2011100810132 A CN 2011100810132A CN 201110081013 A CN201110081013 A CN 201110081013A CN 102104611 A CN102104611 A CN 102104611A
- Authority
- CN
- China
- Prior art keywords
- ddos
- misuse
- ddos attack
- detection
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机网络安全技术领域,特别是涉及一种基于混杂模式的DDoS攻击检测方法和检测装置。基于混杂模式的DDoS攻击检测方法,对DDoS数据库中的流量采用基于报文和流双尺度统计的条件下,采用误用检测和异常检测相结合的混杂模式实现对流量进行检测,生成DDoS攻击告警消息;所述检测装置,包括流量监控模块、DDoS数据库、混杂检测模块、告警推送模块和Web模块,其中:1)流量监控模块的复制流量入口与外部分光设备相连,接收分光设备复制的链路流量;2)DDoS数据库通过数据库接口将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;3)混杂检测模块通过混杂检测模块接口连接告警推送模块。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别是涉及一种基于混杂模式的DDoS攻击检测方法和检测装置。
背景技术
Internet的攻击当中,DDoS攻击已经成为一种流行的破坏计算机或者网络资源可用性的攻击形式,它是Internet目前面临的最严峻的威胁之一。近年来,DDoS攻击的数量一直呈快速增长的趋势。
DDoS攻击发起容易导致了DDoS攻击的广泛发生,根据报道,全球每周有12000起的DDoS攻击。国外很多著名网站都遭受过DDoS攻击,2000年2月7日,美国的Yahoo、Buy.corn、eBay、Amazon、新闻网站CNN等众多网站相继受到身份不明的黑客发起的DDoS攻击,系统瘫痪达几十个小时之久,造成了高达12亿美元的经济损失。因此,如何有效地抵御DDoS攻击成为目前网络安全技术领域中一个重要的研究课题。
目前关于DDoS攻击的抵御机制可以分为四个方面:预防、检测、攻击源追踪、响应。其中DDoS攻击的检测是关键的一个环节。
关于DDoS攻击的抵御机制依据检测的方法可以分为三类。
第一类是误用检测。MULTOPS假定正常情况下两台主机之间的数据流比率是平衡的,通过不平衡的发现实现DDoS攻击的检测;Cheng等人使用在固定的间隔内到达的数据包作为攻击信号;SYN检测方法通过监测统计上的变化来检测攻击;Kolmogorov测试认为大多数的攻击利用相同的攻击工具,使得数据流之间有很强的相关性;为了提高检测精度,Feinstein等提出通过计算熵值和所选包的属性按频率排序的分布来识别攻击。
第二类是异常检测。这种机制先建立正常的数据流模型,一旦发现异常就报警。Manikopoulos等提出神经网络检测法;统计方法方面,x2和K.S检定方法被用来评估检测数据流与期望的正常数据流之间的差别;Forrest和Hofmeyr提出一个基于IDS的LISYS网络,利用了人体免疫系统的思想进行检测。
前述DDoS检测装置大多采用单一的检测方法。基于误用的DDoS检测是技术建立负面行为模型,误报率低,但存在检测率不高的问题。攻击者可以改变他们的攻击模式来逃避相应的检测机制。基于异常的DDoS检测是建立正面行为模型,检测率很高,但误报率也很高。而单一的基于报文统计或基于流统计基础上的检测,对隐蔽性较强的DDoS攻击则无能为力。目前关于DDoS攻击检测的专利大多采用异常检测方法,这些方法通常基于单一的报文或流实现,在DDoS攻击检测方面都存在一定的缺陷,而且这些检测方法的实现缺少集成功能,不利于报文和流相结合的流量统计,不利于检测结果的推送。
第三类就是有部分学者提出了两种模式结合的检测思路,但至今为止还没有成熟的方法提供使用。
发明内容
本发明针对现有技术不足,提出一种基于混杂模式的DDoS攻击检测方法及检测装置,主要通过流量检测DDoS攻击,集成了采集和推送功能。
本发明所采用的技术方案:一种基于混杂模式的DDoS攻击检测方法,对DDoS数据库中的流量采用基于报文和流双尺度统计的条件下,采用误用检测和异常检测相结合的混杂模式实现对流量进行检测,生成DDoS攻击告警消息,该混杂模式采用报文检测与流检测并行,异常检测与误用检测串行的方式进行检测。
所述的基于混杂模式的DDoS攻击检测方法,在开始时误用检测模式中的特征样本较少的情况下,采用异常检测的方法对DDoS攻击进行首次发现,随着特征样本的不断增多,对DDoS攻击的检测转换到采用误用检测的方法。
所述的基于混杂模式的DDoS攻击检测方法,基于报文的异常检测,以真实的非异常的历史报文统计值作为基准数据,计算出单位时间内各类型数据包占数据包总数的比例分布和统计个数,预测当前时刻各类数据包比例分布和统计个数的阈值,所述阈值根据“滑动加权平均”算法计算得到,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度,用预测得到的阈值与当前时刻的数据包比例分布和统计个数比对,对于某单位时间内异常的数据包进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息;基于流的异常检测,以真实的非异常的历史流统计值作为基准数据,计算出单位时间内各类型流占流总数的比例分布和统计个数,预测当前时刻各类流比例分布和统计个数的阈值,所述阈值根据“滑动加权平均”算法计算得到,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度;用预测得到的阈值与当前时刻的流比例分布和统计个数比对,对于某单位时间内异常的流进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息。
所述的基于混杂模式的DDoS攻击检测方法,基于报文的误用检测,摘录典型的基于报文的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当数据包比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击;基于流的误用检测,摘录典型的基于流的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当流比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击。
所述的基于混杂模式的DDoS攻击检测方法,告警信息推送采用无插件服务器推送技术,保持原有的HTTP协议,利用与用户Web浏览器已经打开的HTTP连接,根据自己的数据更新,随时地向客户端发送告警消息。
一种基于混杂模式的DDoS攻击检测装置,包括流量监控模块、DDoS数据库、混杂检测模块、告警推送模块和Web模块,其中:1)流量监控模块的复制流量入口与外部分光设备相连,接收分光设备复制的链路流量;2)DDoS数据库通过数据库接口将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;3)混杂检测模块通过混杂检测模块接口连接告警推送模块;4)告警推送模块通过告警内容推送模块接口外接网关设备;5)Web模块分别通过接口与DDoS数据库和混杂检测模块交互连接。
所述的基于混杂模式的DDoS攻击检测装置,流量监控模块通过配置指定的统计策略,对客户流量进行报文和流统计;并将流量统计结果上报给DDoS数据库,同时接收DDoS数据库对流量监控模块统计策略配置信息;DDoS数据库对流量监控模块进行策略配置,存储流量监控模块实时上报的统计值,将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;所述的混杂检测模块,对DDoS数据库中的流量进行基于报文和流的统计分析,结合DDoS攻击异常检测和误用检测算法对异常流量进行检测,生成DDoS攻击告警消息;所述的告警推送模块,将告警信息发送到外部网关,对用户进行DDoS告警消息的推送;根据自己的数据更新,利用已有的HTTP连接随时地向客户端发送最新的告警消息;Web模块从DDoS数据库获得基于报文的统计信息、统计策略信息,对统计策略、实时流量信息、预测流量信息和DDoS告警消息进行多维展示。
本发明的有益积极效果:1、本发明基于混杂模式的DDoS攻击检测方法及其实现装置,具有集成采集和推送功能。采用基于报文和流双尺度统计下误用检测和异常检测相结合的混杂模式实现对DDoS攻击的检测,该混杂模式采用报文检测与流检测并行,异常检测与误用检测串行的方式进行检测。在基于报文和流双尺度统计的条件下,对误用检测和异常检测的缺陷产生互补作用,达到高检测率的同时也能保持低误报率。
2、本发明基于混杂模式的DDoS攻击检测方法,开始时误用检测模式中的特征样本很少,该设备主要基于异常检测实现DDoS攻击的检测,误报率较高。随着特征样本的不断增多,对DDoS攻击的检测转换到采用误用检测,误报率大大降低。异常检测的方法对DDoS攻击进行首次发现,而后采用误用检测的方法检测DDoS攻击。异常检测作为误用检测模式中特征样本的学习过程,大大丰富了误用检测的特征样本库,提高了检出率。同时,采用报文和流两个方面的特征也增加了误用检测特征库的特征样本,提高了检出率。
附图说明
图1为本发明基于混杂模式的DDoS攻击检测方法构成模块示意图;图2为本发明基于混杂模式的DDoS攻击检测方法流程图;图3为本发明DDoS攻击检测方法中基于报文和流的异常检测示意图;图4为本发明DDoS攻击检测方法中基于报文和流的误用检测示意图;图5为本发明DDoS攻击检测方法混杂检测模式示意图。
具体实施方式
实施例一:参见图5,本发明基于混杂模式的DDoS攻击检测方法,其基本检测流程是:对DDoS数据库中的流量采用基于报文和流双尺度统计的条件下,采用误用检测和异常检测相结合的混杂模式实现对流量进行检测,生成DDoS攻击告警消息,该混杂模式采用报文检测与流检测并行,异常检测与误用检测串行的方式进行检测。
在开始时误用检测模式中的特征样本较少的情况下,采用异常检测的方法对DDoS攻击进行首次发现,随着特征样本的不断增多,对DDoS攻击的检测转换到采用误用检测的方法。
实施例二:参见图3,本实施例基于混杂模式的DDoS攻击检测方法,在实施例一的基础上,具体公开了基于报文的异常检测和基于流的异常检测流程:基于报文的异常检测,以真实的非异常的历史报文统计值作为基准数据,计算出单位时间内各类型数据包占数据包总数的比例分布和统计个数,预测当前时刻各类数据包比例分布和统计个数的阈值,所述阈值根据“滑动加权平均”算法计算得到,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度,用预测得到的阈值与当前时刻的数据包比例分布和统计个数比对,对于某单位时间内异常的数据包进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息;基于流的异常检测,以真实的非异常的历史流统计值作为基准数据,计算出单位时间内各类型流占流总数的比例分布和统计个数,预测当前时刻各类流比例分布和统计个数的阈值,所述阈值根据“滑动加权平均”算法计算得到,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度;用预测得到的阈值与当前时刻的流比例分布和统计个数比对,对于某单位时间内异常的流进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息。
实施例三:参见图4,本实施例基于混杂模式的DDoS攻击检测方法,在实施例二的基础上,具体公开了基于报文的误用检测和基于流的误用检测流程:基于报文的误用检测,摘录典型的基于报文的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当数据包比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击;基于流的误用检测,摘录典型的基于流的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当流比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击。
实施例四:参见图1、图2。本实施例公开了一种实现前述基于混杂模式的DDoS攻击检测方法的检测装置,所述检测装置包括流量监控模块、DDoS数据库、混杂检测模块、告警推送模块和Web模块,其中:1)流量监控模块的复制流量入口与外部分光设备相连,接收分光设备复制的链路流量;2)DDoS数据库通过数据库接口将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;3)混杂检测模块通过混杂检测模块接口连接告警推送模块;4)告警推送模块通过告警内容推送模块接口外接网关设备5)Web模块分别通过接口与DDoS数据库和混杂检测模块交互连接。
所述流量监控模块,通过配置指定的统计策略,对客户流量进行报文和流统计;并将流量统计结果上报给DDoS数据库,同时接收DDoS数据库对流量监控模块统计策略配置信息;DDoS数据库,对流量监控模块进行策略配置,存储流量监控模块实时上报的统计值,将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;混杂检测模块,对DDoS数据库中的流量进行基于报文和流的统计分析,结合DDoS攻击异常检测和误用检测算法对异常流量进行检测,生成DDoS攻击告警消息;告警推送模块,将告警信息发送到外部网关,对用户进行DDoS告警消息的推送;根据自己的数据更新,利用已有的HTTP连接随时地向客户端发送最新的告警消息,Web模块从DDoS数据库获得基于报文的统计信息、统计策略信息,对统计策略、实时流量信息、预测流量信息和DDoS告警消息进行多维展示。
该装置的DDoS检测流程:首先流量监控模块通过配置指定的统计策略,对客户流量进行报文和流统计;其次DDoS数据库存储流量监控模块实时上报的统计值;再次混杂流量统计分析模块对DDoS数据库中的流量进行基于报文和流的统计分析,通过DDoS攻击异常检测算法对异常流量进行检测,生成异常告警消息;而后告警推送模块对用户进行DDoS告警消息的推送;同时Web模块对日志流量,统计分析结果和告警消息等进行多维展示。
本发明基于混杂模式的DDoS攻击检测装置,其中流量监控模块、DDoS数据库是进行混杂检测的前提条件,告警推送模块和Web模块是检测结果处理方式,是混杂检测的必要条件,混杂检测模块采用的检测方法,为该装置的核心部分。
如图1所示:1)流量监控模块通过配置指定的统计策略,对客户流量进行报文和流统计。
流量监控模块接口I001接口是复制流量入口,该接口外部与分光设备相连,接收分光设备复制的链路流量。I002接口将流量统计结果上报给DDoS数据库,同时接收DDoS数据库对流量监控模块统计策略配置信息。
基于硬件的报文统计;由硬件进行基于报文的统计,报文的统计结果带有时间戳等标记,如表1所示。
表1硬件对报文统计信息表:
基于软件的流统计:由软件进行基于流的统计,流统计结果带有时间戳、链路信息等标记,如表2所示。
| 字段名 | 字段类型 | 说明 |
| id | integer,default 0,index | 标识 |
| policyid | integer,default 0,index | 策略号 |
| out_port | integer,default-1 | 输出板卡号 |
| framnum | integer,default-1 | 机架号 |
| in_interface | integer,default-1 | 入接口 |
| in_port | integer,default-1 | 入端口 |
| statistics | integer,default 0 | 统计值 |
| stattime | timestamp(4),default systimestamp,index | 统计时间戳 |
表2软件对流统计信息表:
DDoS数据库对流量监控模块进行策略配置;该策略包括基本策略和特种策略,基本策略是基本业务的统计策略,如TCP SYN型策略、ICMP FLOOD型策略等,特种策略根据特别业务的需求,定制统计策略。表3为基本策略的信息表。
| 字段名 | 字段类型 | 说明 |
| srcip | integer,default 0 | 源IP |
| dstip | integer,default 0 | 目的IP |
| srcport | integer,default 0 | 源端口 |
| dstport | integer,default 0 | 目的端口 |
| protocol | integer,default 0 | 协议字段 |
| icmptype | integer,default-1 | icmp类型字段 |
| icmpcode | integer,default-1 | icmp代码字段 |
| tcpack | integer,default 0,check(0,1) | tcp ack字段 |
| tcprst | integer,default 0,check(0,1) | tcp reset字段 |
| tcpfin | integer,default 0,check(0,1) | tcp fin字段 |
| tcpsyn | integer,default 0,check(0,1),index | tcp syn字段 |
| tcpurg | integer,default 0,check(0,1) | tcp urge字段 |
| tcppsh | integer,default 0,check(0,1) | tcp push字段 |
| length | integer,default 0 | 报文长度 |
| fragment | integer,default 0 | 分片标识 |
| http | integer,default 0 | http get标识 |
| in_interface | integer,default-1 | 入接口 |
| in_port | integer,default-1 | 入端口 |
| stattime | timestamp(4),default systimestamp | 时间戳 |
表3基本策略信息表:
2)DDoS数据库存储流量监控模块实时上报的统计值。
DDoS数据库接口I003将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果。
创建表格的存储过程:存储过程名称为create_table,功能为创建数据库的各种表格。
初始化表格的存储过程:存储过程名称为init_id_procedure,功能为初始化用户标识表userid,为用户分配ID。
删除表格的存储过程:存储过程名称为drop_table,功能为清除数据库环境,删除各种表格和数据类型等。
存储基于秒、分钟、小时、天的流量统计表;基于秒的流量统计表,以“20秒”为单位计算各种疑似流的总量,存入表4。流量阈值是根据“滑动加权平均”算法进行计算的,主要用于实时告警。基于分钟的流量统计表,以“分钟”为单位计算各种疑似流的总量,表中字段名和字段类型同表4。基于小时的流量统计表,以“小时”为单位计算各种疑似流的总量,表中字段名和字段类型同表4。基于天的流量统计表,以“天”为单位计算各种疑似流的总量,表中字段名和字段类型同表4。
表4基于“秒”的流量统计表:其它表项:实时告警表用来存储各种实时告警信息,如表5。
表5实时告警表:
策略生效表,此表用来标识策略下发到单板的时间,即策略的生效时间,如表6。
表6策略生效表:3)混杂检测模块对DDoS数据库中的流量进行基于报文和流的统计分析,结合DDoS攻击异常检测和误用检测算法对异常流量进行检测,生成DDoS攻击告警消息。
混杂检测模块接口I004将检测结果生成DDoS告警消息,传给告警推送模块。
基于报文的异常检测:如图3所示,以真实的非异常的历史报文统计值作为基准数据,计算出单位时间内各类型数据包占数据包总数的比例分布和统计个数,预测当前时刻各类数据包比例分布和统计个数的阈值,阈值是根据“滑动加权平均”算法进行计算的,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度。用预测得到的阈值与当前时刻的数据包比例分布和统计个数比对,对于某单位时间内异常的数据包进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息。
基于流的异常检测:如图3所示,以真实的非异常的历史流统计值作为基准数据,计算出单位时间内各类型流占流总数的比例分布和统计个数,预测当前时刻各类流比例分布和统计个数的阈值,阈值是根据“滑动加权平均”算法进行计算的,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度。用预测得到的阈值与当前时刻的流比例分布和统计个数比对,对于某单位时间内异常的流进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息。
基于报文误用检测:如图4所示,摘录典型的基于报文的异常检测得出的DDoS攻击异常特征值(如比例分布值、流量模型、滑动窗口、权值和阈值等)放入误用模式特征库,作为误用模式的检测特征,当数据包比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击。
基于流的误用检测:如图4所示,摘录典型的基于流的异常检测得出的DDoS攻击异常特征值(如比例分布值、流量模型、滑动窗口、权值和阈值等)放入误用模式特征库,作为误用模式的检测特征,当流比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击。
混杂模式:如图5所示,该混杂模式采用报文检测与流检测并行,异常检测与误用检测串行的方式进行检测。开始时误用检测模式中的特征样本很少,该设备主要基于异常检测实现DDoS攻击的检测,误报率较高。随着特征样本的不断增多,对DDoS攻击的检测转换到采用误用检测,误报率大大降低。异常检测的方法对DDoS攻击进行首次发现,而后采用误用检测的方法检测DDoS攻击。异常检测作为误用检测模式中特征样本的学习过程,大大丰富了误用检测的特征样本库,提高了检出率。同时,采用报文和流两个方面的特征也增加了误用检测特征库的特征样本,提高了检出率。
异常流量告警;对DDoS检测结果生成告警消息,把告警记录插入数据库进行实时保存,同时将该告警消息通过接口I004进入告警推送模块,其实时告警表如表5。
4)告警推送模块对用户进行DDoS告警消息的推送;告警内容推送模块接口I005外接网关设备,将告警信息发送到外部网关。
告警信息推送:这里采用无插件服务器推送技术,保持原有的HTTP协议不变,利用与用户Web浏览器已经打开的HTTP连接,主动向用户浏览器发送告警消息。告警推送模块根据自己的数据更新,利用已有的HTTP连接随时地向客户端发送最新的告警消息。
5)Web模块对日志流量,统计分析结果和告警消息等进行多维展示。
Web模块接口接口I006与DDoS数据库的接口获得基于报文的统计信息,基于流的统计信息、统计策略信息、基于“秒”、“分钟”、“小时”和“天”的流量统计结果、阈值信息等各类表格信息。接口I007与流量统计分析模块的接口获得各类实时告警信息。
统计策略配置视图:统计策略配置视图包括基本策略视图和特种策略视图,为了更好地检索信息,创建了基本策略视图。该视图的联接点是策略标识,即该视图把具有相同策略ID的表1和表3的表项综合在了一起显示。特种策略视图与基本策略视图相似,只是用来显示特种策略。
基于秒、分钟、小时和天的报文和流实时统计曲线图:如表4,将表4中的内容进行多维显示,将天、小时、分钟和秒的统计结果显示在一张层进式的图上,先是每天的统计曲线图,每天点击进入24小时统计曲线图,每小时点击进入60分钟统计曲线图,每分钟点击进入60秒统计曲线图。
流量预测曲线图:与基于秒、分钟、小时和天的报文和流实时统计曲线图相同,对预测流量设计统计曲线图。
DDoS攻击统计柱状图:对DDoS攻击的频率进行计算,采用柱状图方式表示,横轴为DDoS攻击发生的时间段,纵轴为DDoS攻击发生的次数。
Claims (8)
1.一种基于混杂模式的DDoS攻击检测方法,其特征是:对DDoS数据库中的流量采用基于报文和流双尺度统计的条件下,采用误用检测和异常检测相结合的混杂模式实现对流量进行检测,生成DDoS攻击告警消息,该混杂模式采用报文检测与流检测并行,异常检测与误用检测串行的方式进行检测。
2.根据权利要求1所述的基于混杂模式的DDoS攻击检测方法,其特征是:在开始时误用检测模式中的特征样本较少的情况下,采用异常检测的方法对DDoS攻击进行首次发现,随着特征样本的不断增多,对DDoS攻击的检测转换到采用误用检测的方法。
3.根据权利要求1或2所述的基于混杂模式的DDoS攻击检测方法,其特征是:基于报文的异常检测,以真实的非异常的历史报文统计值作为基准数据,计算出单位时间内各类型数据包占数据包总数的比例分布和统计个数,预测当前时刻各类数据包比例分布和统计个数的阈值,所述阈值根据“滑动加权平均”算法计算得到,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度,用预测得到的阈值与当前时刻的数据包比例分布和统计个数比对,对于某单位时间内异常的数据包进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息;
基于流的异常检测,以真实的非异常的历史流统计值作为基准数据,计算出单位时间内各类型流占流总数的比例分布和统计个数,预测当前时刻各类流比例分布和统计个数的阈值,所述阈值根据“滑动加权平均”算法计算得到,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度;用预测得到的阈值与当前时刻的流比例分布和统计个数比对,对于某单位时间内异常的流进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息。
4.根据权利要求3所述的基于混杂模式的DDoS攻击检测方法,其特征是:基于报文的误用检测,摘录典型的基于报文的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当数据包比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击;
基于流的误用检测,摘录典型的基于流的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当流比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击。
5.根据权利要求1或2所述的基于混杂模式的DDoS攻击检测方法,其特征是:基于报文误用检测,摘录典型的基于报文的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当数据包比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击;
基于流的误用检测,摘录典型的基于流的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当流比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击。
6.根据权利要求1、2或4所述的基于混杂模式的DDoS攻击检测方法,其特征是:告警信息的推送采用无插件服务器推送技术,保持原有的HTTP协议,利用与用户Web浏览器已经打开的HTTP连接,根据自己的数据更新,随时地向客户端发送告警消息。
7.一种基于混杂模式的DDoS攻击检测装置,其特征是:包括流量监控模块、DDoS数据库、混杂检测模块、告警推送模块和Web模块,其中:
1)流量监控模块的复制流量入口与外部分光设备相连,接收分光设备复制的链路流量;
2)DDoS数据库通过数据库接口将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;
3)混杂检测模块通过混杂检测模块接口连接告警推送模块;
4)告警推送模块通过告警内容推送模块接口外接网关设备
5)Web模块分别通过接口与DDoS数据库和混杂检测模块交互连接。
8.根据权利要求7所述的基于混杂模式的DDoS攻击检测装置,其特征是:
所述流量监控模块,通过配置指定的统计策略,对客户流量进行报文和流统计;并将流量统计结果上报给DDoS数据库,同时接收DDoS数据库对流量监控模块统计策略配置信息;
所述的DDoS数据库,对流量监控模块进行策略配置,存储流量监控模块实时上报的统计值,将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;
所述的混杂检测模块,对DDoS数据库中的流量进行基于报文和流的统计分析,结合DDoS攻击异常检测和误用检测算法对异常流量进行检测,生成DDoS攻击告警消息;
所述的告警推送模块,将告警信息发送到外部网关,对用户进行DDoS告警消息的推送;根据自己的数据更新,利用已有的HTTP连接随时地向客户端发送最新的告警消息;
所述的Web模块,从DDoS数据库获得基于报文的统计信息、统计策略信息,对统计策略、实时流量信息、预测流量信息和DDoS告警消息进行多维展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100810132A CN102104611A (zh) | 2011-03-31 | 2011-03-31 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100810132A CN102104611A (zh) | 2011-03-31 | 2011-03-31 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102104611A true CN102104611A (zh) | 2011-06-22 |
Family
ID=44157137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100810132A Pending CN102104611A (zh) | 2011-03-31 | 2011-03-31 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102104611A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255754A (zh) * | 2011-07-08 | 2011-11-23 | 中国人民解放军国防科学技术大学 | 串行接入的高速骨干网络流量采集与监控方法 |
| CN102882895A (zh) * | 2012-10-31 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别报文攻击的方法及装置 |
| CN102968592A (zh) * | 2012-11-22 | 2013-03-13 | 华为技术有限公司 | 计算机病毒检测方法及装置 |
| CN103248607A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 基于IPv4和IPv6的拒绝服务攻击检测方法及系统 |
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN103997439A (zh) * | 2014-06-04 | 2014-08-20 | 腾讯科技(深圳)有限公司 | 一种流量监测方法、装置和系统 |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN103078856B (zh) * | 2012-12-29 | 2015-04-22 | 大连环宇移动科技有限公司 | 一种基于访问标记的应用层DDoS攻击的检测过滤方法 |
| CN105049291A (zh) * | 2015-08-20 | 2015-11-11 | 广东睿江科技有限公司 | 一种检测网络流量异常的方法 |
| CN105516151A (zh) * | 2015-12-15 | 2016-04-20 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| CN105871634A (zh) * | 2016-06-01 | 2016-08-17 | 北京蓝海讯通科技股份有限公司 | 检测集群异常的方法及应用、管理集群的系统 |
| CN106302555A (zh) * | 2016-11-10 | 2017-01-04 | 北京启明星辰信息安全技术有限公司 | 一种网络入侵检测方法及装置 |
| CN107360127A (zh) * | 2017-03-29 | 2017-11-17 | 湖南大学 | 一种基于aewma算法的慢速拒绝服务攻击检测方法 |
| CN108768935A (zh) * | 2018-04-12 | 2018-11-06 | 国家计算机网络与信息安全管理中心 | 支持三层环路流量检测以及抗ddos攻击的分流系统及方法 |
| CN109067787A (zh) * | 2018-09-21 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务ddos攻击检测方法和装置 |
| CN109286526A (zh) * | 2018-10-08 | 2019-01-29 | 成都西加云杉科技有限公司 | 一种wifi系统运行策略动态调整方法及装置 |
| CN109450876A (zh) * | 2018-10-23 | 2019-03-08 | 中国科学院信息工程研究所 | 一种基于多维度状态转移矩阵特征的DDos识别方法和系统 |
| CN111371740A (zh) * | 2020-02-17 | 2020-07-03 | 华云数据有限公司 | 一种报文流量监控方法、系统及电子设备 |
| CN112242990A (zh) * | 2019-07-17 | 2021-01-19 | 卡巴斯基实验室股份制公司 | 检测技术系统中的异常的系统和方法 |
| CN112367311A (zh) * | 2020-10-30 | 2021-02-12 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、设备及存储介质 |
| CN114826718A (zh) * | 2022-04-19 | 2022-07-29 | 中国人民解放军战略支援部队航天工程大学 | 一种基于多维度信息的内部网络异常检测方法及系统 |
| CN115208798A (zh) * | 2022-09-16 | 2022-10-18 | 中国电子科技集团公司第三十研究所 | 一种以太网专线模式的自动探测方法、系统、设备及介质 |
-
2011
- 2011-03-31 CN CN2011100810132A patent/CN102104611A/zh active Pending
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255754B (zh) * | 2011-07-08 | 2013-07-10 | 中国人民解放军国防科学技术大学 | 串行接入的高速骨干网络流量采集与监控方法 |
| CN102255754A (zh) * | 2011-07-08 | 2011-11-23 | 中国人民解放军国防科学技术大学 | 串行接入的高速骨干网络流量采集与监控方法 |
| CN103248607A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 基于IPv4和IPv6的拒绝服务攻击检测方法及系统 |
| CN102882895A (zh) * | 2012-10-31 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别报文攻击的方法及装置 |
| CN102968592A (zh) * | 2012-11-22 | 2013-03-13 | 华为技术有限公司 | 计算机病毒检测方法及装置 |
| CN103078856B (zh) * | 2012-12-29 | 2015-04-22 | 大连环宇移动科技有限公司 | 一种基于访问标记的应用层DDoS攻击的检测过滤方法 |
| CN104348811B (zh) * | 2013-08-05 | 2018-01-26 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN103997439A (zh) * | 2014-06-04 | 2014-08-20 | 腾讯科技(深圳)有限公司 | 一种流量监测方法、装置和系统 |
| CN105049291B (zh) * | 2015-08-20 | 2019-01-04 | 广东睿江云计算股份有限公司 | 一种检测网络流量异常的方法 |
| CN105049291A (zh) * | 2015-08-20 | 2015-11-11 | 广东睿江科技有限公司 | 一种检测网络流量异常的方法 |
| CN105516151A (zh) * | 2015-12-15 | 2016-04-20 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| CN105516151B (zh) * | 2015-12-15 | 2019-02-12 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| CN105871634A (zh) * | 2016-06-01 | 2016-08-17 | 北京蓝海讯通科技股份有限公司 | 检测集群异常的方法及应用、管理集群的系统 |
| CN105871634B (zh) * | 2016-06-01 | 2019-02-15 | 北京蓝海讯通科技股份有限公司 | 检测集群异常的方法及应用、管理集群的系统 |
| CN106302555A (zh) * | 2016-11-10 | 2017-01-04 | 北京启明星辰信息安全技术有限公司 | 一种网络入侵检测方法及装置 |
| CN107360127A (zh) * | 2017-03-29 | 2017-11-17 | 湖南大学 | 一种基于aewma算法的慢速拒绝服务攻击检测方法 |
| CN108768935A (zh) * | 2018-04-12 | 2018-11-06 | 国家计算机网络与信息安全管理中心 | 支持三层环路流量检测以及抗ddos攻击的分流系统及方法 |
| CN109067787A (zh) * | 2018-09-21 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务ddos攻击检测方法和装置 |
| CN109286526A (zh) * | 2018-10-08 | 2019-01-29 | 成都西加云杉科技有限公司 | 一种wifi系统运行策略动态调整方法及装置 |
| CN109450876A (zh) * | 2018-10-23 | 2019-03-08 | 中国科学院信息工程研究所 | 一种基于多维度状态转移矩阵特征的DDos识别方法和系统 |
| CN109450876B (zh) * | 2018-10-23 | 2020-12-22 | 中国科学院信息工程研究所 | 一种基于多维度状态转移矩阵特征的DDos识别方法和系统 |
| CN112242990A (zh) * | 2019-07-17 | 2021-01-19 | 卡巴斯基实验室股份制公司 | 检测技术系统中的异常的系统和方法 |
| CN111371740A (zh) * | 2020-02-17 | 2020-07-03 | 华云数据有限公司 | 一种报文流量监控方法、系统及电子设备 |
| CN112367311A (zh) * | 2020-10-30 | 2021-02-12 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、设备及存储介质 |
| CN114826718A (zh) * | 2022-04-19 | 2022-07-29 | 中国人民解放军战略支援部队航天工程大学 | 一种基于多维度信息的内部网络异常检测方法及系统 |
| CN115208798A (zh) * | 2022-09-16 | 2022-10-18 | 中国电子科技集团公司第三十研究所 | 一种以太网专线模式的自动探测方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102104611A (zh) | 一种基于混杂模式的DDoS攻击检测方法及装置 | |
| CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
| CN103023725B (zh) | 一种基于网络流量分析的异常检测方法 | |
| CN101562534B (zh) | 一种网络行为分析系统 | |
| CN103532940B (zh) | 网络安全检测方法及装置 | |
| CN114257386B (zh) | 检测模型的训练方法、系统、设备及存储介质 | |
| CN1677940B (zh) | 高速业务量测量和分析方法 | |
| Zhao et al. | Detection of super sources and destinations in high-speed networks: Algorithms, analysis and evaluation | |
| Lee et al. | Not all microseconds are equal: Fine-grained per-flow measurements with reference latency interpolation | |
| CN108282497A (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
| CN105049276B (zh) | 对广域网流量行为进行监测管理的方法和装置 | |
| CN103714057A (zh) | 一种在线网页信息的实时监测方法和装置 | |
| KR101107739B1 (ko) | VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법 | |
| JP2012508476A (ja) | ネットワーク異常流量分析装置及び方法 | |
| CN106506242A (zh) | 一种网络异常行为和流量监测的精确定位方法与系统 | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| CN101980506A (zh) | 一种基于流量特征分析的分布式入侵检测方法 | |
| CN105187437B (zh) | 一种sdn网络拒绝服务攻击的集中式检测系统 | |
| CN106330611A (zh) | 一种基于统计特征分类的匿名协议分类方法 | |
| Fontugne et al. | An empirical mixture model for large-scale RTT measurements | |
| Nehinbe | Log Analyzer for Network Forensics and Incident Reporting | |
| Xu et al. | Detection on application layer DDoS using random walk model | |
| Song et al. | Real-time anomaly traffic monitoring based on dynamic k-NN cumulative-distance abnormal detection algorithm | |
| JP2008118242A (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
| US8867350B2 (en) | Method and apparatus for packet buffering measurement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110622 |