CN104202329B - DDoS攻击检测方法和装置 - Google Patents

Abstract

本发明提供一种DDoS攻击检测方法和装置，通过采样获得在第一周期内的目标时刻的网络流量之后，查询预先获得的流量周期变化曲线，确定与目标时刻对应的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，由于流量周期变化曲线用于指示预测流量的周期性变化规律，因此，在每一个目标时刻进行DDoS攻击检测前，仅需要根据流量周期变化曲线，确定与该目标时刻对应的预测流量，而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量，减小了计算量。

Description

DDoS攻击检测方法和装置

技术领域

本发明涉及网络安全技术，尤其涉及一种DDoS攻击检测方法和装置。

背景技术

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是指将多个计算机联合起来作为攻击平台，采用合理的服务请求来占用一个或多个目标服务器的大量服务资源，从而使合法用户无法得到该服务器的服务响应。

在防御DDoS攻击时，通常由旁路网络监控设备根据当前的网络流量检测是否受到DDoS攻击。具体通过旁路网络监控设备对网络流量进行采样，将采样结果与当前阈值进行比较，若超出该对应当前时刻的预测流量则确定检测到DDoS攻击。

由于在现有技术中，对应当前时刻的预测流量是在每一次检测DDoS攻击之前，根据最近若干次所采样获得的历史网络流量，利用区间估计算法或者累积变量算法进行计算所获得的。因此，现有技术需要在每一次检测DDoS攻击之前利用所存储的大量历史流量数据计算当前时刻的预测流量，计算量较大。

发明内容

本发明提供一种DDoS攻击检测方法和装置，用于解决在每一次检测DDoS攻击之前计算当前时刻的预测流量所造成的计算量较大的技术问题。

本发明的第一个方面是提供一种DDoS攻击检测方法，包括：

采样获得在第一周期内的目标时刻的网络流量；

查询预先获得的流量周期变化曲线，确定所述目标时刻的预测流量；所述流量周期变化曲线用于指示预测流量的周期性变化规律；

若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击。

本发明的另一个方面是提供一种DDoS攻击检测装置，包括：

采样单元，用于采样获得在第一周期内的目标时刻的网络流量；

确定单元，用于查询预先获得的流量周期变化曲线，确定所述目标时刻的预测流量；所述流量周期变化曲线用于指示预测流量的周期性变化规律；

检测单元，用于若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击。

本发明提供的DDoS攻击检测方法和装置，通过采样获得在第一周期内的目标时刻的网络流量之后，查询预先获得的流量周期变化曲线，确定与目标时刻对应的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，由于流量周期变化曲线用于指示预测流量的周期性变化规律，因此，在每一个目标时刻进行DDoS攻击检测前，仅需要根据流量周期变化曲线，确定与该目标时刻对应的预测流量，而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量，减小了计算量。DDoS攻击检测依靠流量周期性变化规律，当流量发生突增的时候，可以根据流量周期性变化规律来判定，能够正确判定当前是否受到DDoS攻击，减少误报。

附图说明

图1为本发明一实施例提供的DDoS攻击检测方法的流程示意图；

图2为本发明另一实施例提供的DDoS攻击检测方法的流程示意图；

图3为本发明一实施例提供的DDoS攻击检测装置的结构示意图；

图4为本发明另一实施例提供的DDoS攻击检测装置的结构示意图。

具体实施方式

图1为本发明一实施例提供的DDoS攻击检测方法的流程示意图，本实施例所提供的方法可以由旁路网络监控设备执行，如图1所示，包括：

101、采样获得在第一周期内的目标时刻的网络流量。

102、查询预先获得的流量周期变化曲线，确定目标时刻的预测流量。

其中，流量周期变化曲线用于指示预测流量的周期性变化规律，具体的，流量周期变化曲线用于指示至少一个周期内的各时刻与预测流量之间的对应关系，即指示至少一个周期内的各时刻的预测流量。

可选的，采样获得在第一周期内的目标时刻的网络流量之后，判断是否已获得流量周期变化曲线，若已获得流量周期变化曲线，则根据流量周期变化曲线，确定与所述目标时刻对应的预测流量。否则，获取所述第一周期之前的第二周期内的n个时刻的网络流量S_i；其中，i＝1，2，…n，n为自然数；然后，根据公式TE_i＝αS_i-1+(1-α)TE_i-1进行计算，获得流量周期变化曲线{TE_i|i＝1,2,…,n}；其中，α为预设的平滑阻尼系数，取值范围为0<α<1，典型取值为0.2至0.4；TE_i为所述第一周期内第i个时刻的预测流量。从而查询预先获得的流量周期变化曲线，确定目标时刻t_cur的预测流量为TE_cur，其中，第二周期是已经过确认的在第二周期内不存在DDoS攻击。

也就是说，本实施例所提供的方法，仅需要针对一个周期内所获取的网络流量进行计算，即可获得流量周期变化曲线，在此后的DDoS攻击检测时，则不需要再次计算流量周期变化曲线，可利用已获得的流量周期变化曲线即可完成DDoS攻击检测，从而减少了计算量，避免了系统消耗,利用已获得的流量周期变化曲线检测DDoS还可以确定流量突增是否属于正常流量，从而较少误报。

需要说明的是，获取第二周期内的n个时刻的网络流量S_i可以是以相同时间间隔采样获取n个时刻的网络流量S_i，还可以是以不同时间间隔采样获取n个时刻的网络流量S_i，本实施例中对此不作限定。

另外，需要说明的是，所获得流量周期变化曲线{TE_i|i＝1,2,…,n}在本实施例中为离散点的集合，还可进一步参考现有技术中的曲线拟合算法，获得连续的流量周期变化曲线。

103、若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击。

具体的，判断采样获得的网络流量是否大于所确定的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，否则，确定网络流量正常。

本实施例中，通过采样获得在第一周期内的目标时刻的网络流量之后，查询预先获得的流量周期变化曲线，确定与目标时刻对应的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，由于流量周期变化曲线用于指示预测流量的周期性变化规律，因此，在每一个目标时刻进行DDoS攻击检测前，仅需要根据流量周期变化曲线，确定与该目标时刻对应的预测流量，而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量，减小了计算量,利用已获得的流量周期变化曲线检测DDoS还可以确定流量突增是否属于正常流量，从而较少误报。

图2为本发明另一实施例提供的DDoS攻击检测方法的流程示意图，如图2所示，包括：

201、计算获得流量周期变化曲线。

可选的，接收数据包，分析包的内容，将数据包保存在数据库中。然后，从数据库中提取在第二周期内各时刻的网络流量，一个周期为一天或一周，其中，第二周期内各时刻之间的间隔时长为G。将提取的网络流量记为S_i，i＝1，2，…n，n为提取的网络流量的个数，n取值为自然数。根据公式TE_i＝αS_i-1+(1-α)TE_i-1进行计算，获得流量周期变化曲线{TE_i|i＝1,2,…,n}；其中，α为预设的平滑阻尼系数，取值范围为0<α<1；TE_i为第i个时刻的预测流量。

202、对流量周期变化曲线进行修正。

具体的，根据公式D_i＝|{S_i-TE_i}|进行计算，获得第i个时刻的残差D_i；根据公式TH_i＝TE_i+MAX(D_i)，对所述流量周期变化曲线进行修正，获得修正后的流量周期变化曲线{TH_i|i＝1,2,…,n}，其中，TH_i为修正后的第i个时刻的预测流量。

需要说明的是，在计算获得第i个时刻的残差D_i之后，发现第二周期内的n个时刻的网络流量S_i存在突增的误差，在执行根据公式D_i＝|{S_i-TE_i}|进行计算，获得第i个时刻的残差D_i之后，进一步进行剔除残差D_i中的坏点：

首先，取中位数D_med＝(D_max-D_min)/2；其中，D_max代表计算出的最大残差，D_min代表计算出的最小残差。

然后，依次取下四分位数D₁＝(D_med-D_min)/2；

取上四分位数D₂＝(D_max-D_med)/2；

取四分位间距ΔQ＝D₂-D₁。

最后，取区间[D₁-1.5ΔQ,D₂+1.5ΔQ]，若残差D_i在该区间内的是有效值，则保留，若在该区间外，为无效值，需要去掉。

203、查询流量周期变化曲线，确定目标时刻的预测流量。

具体的，确定目标时刻t_cur对应的预测流量为TH_cur，其中，

204、根据预设时间规则对目标时刻的预测流量进行调整。

具体的，为了解决在一个周期内，如一年里，也会区分出一些特殊的日子，这些特殊日子的特殊时刻，网络流量会出现突增的情况，即若出现这种情况，网络流量的周期性被打破。考虑不同的服务端提供服务不同，网络流量变化的幅度和时间段也不同。但这种网络流量的增长属于正常情况，而非受到DDoS攻击，为了配合这种情况，提供了动态调整机制。也就是说，若所述第一周期为预设时间规则所指示的流量抬升周期，和/或所述目标时刻为所述预设时间规则所指示的流量抬升时刻，则将所确定的预测流量进行增大；若所述第一周期为预设时间规则所指示的流量降低周期，和/或所述目标时刻为所述时间规则所指示的流量降低时刻，则将所确定的预测流量进行减小。由于基于特殊的时间规则对预测流量进行调整，可以进一步完善预测流量的周期性变化规律，提高准确性，而且减少了运维人员的工作量。

205、根据调整后的目标时刻的预测流量，检测DDoS攻击。

具体的，判断采样获得的网络流量是否大于所确定的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，否则，确定网络流量正常。

需要说明的是，可以预设时间间隔，如前述时间间隔G，重复执行步骤203至205。

本实施例中，通过采样获得在第一周期内的目标时刻的网络流量之后，查询预先获得的流量周期变化曲线，确定与目标时刻对应的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，由于流量周期变化曲线用于指示预测流量的周期性变化规律，因此，在每一个目标时刻进行DDoS攻击检测前，仅需要根据流量周期变化曲线，确定与该目标时刻对应的预测流量，而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量，减小了计算量，通过历史流量趋势来检测DDoS，可以有效判断在流量突增是正常流量还是DDoS攻击，减少误报。另外，由于基于特殊的时间规则对预测流量进行调整，可以进一步完善预测流量的周期性变化规律，提高准确性。

图3为本发明一实施例提供的DDoS攻击检测装置的结构示意图，本实施例所提供的装置可设置于旁路网络监控设备中，如图3所示，包括：采样单元31，确定单元32和检测单元33。

采样单元31，用于采样获得在第一周期内的目标时刻的网络流量。

确定单元32，与采样单元31连接，用于查询预先获得的流量周期变化曲线，确定目标时刻的预测流量。

其中，流量周期变化曲线用于指示预测流量的周期性变化规律，具体的，流量周期变化曲线用于指示至少一个周期内的各时刻与预测流量之间的对应关系，即指示至少一个周期内的各时刻的预测流量。

可选的，采样单元31采样获得在第一周期内的目标时刻的网络流量之后，确定单元32判断是否已获得流量周期变化曲线，若已获得流量周期变化曲线，则根据流量周期变化曲线，确定与所述目标时刻对应的预测流量。否则，触发DDoS攻击检测装置中的其他单元获取所述第一周期之前的第二周期内的n个时刻的网络流量S_i；其中，i＝1，2，…n，n为自然数；然后，根据公式TE_i＝αS_i-1+(1-α)TE_i-1进行计算，获得流量周期变化曲线{TE_i|i＝1,2,…,n}；其中，α为预设的平滑阻尼系数，取值范围为0<α<1；TE_i为所述第一周期内第i个时刻的预测流量。从而查询预先获得的流量周期变化曲线，确定目标时刻t_cur的预测流量为TE_cur，其中，第二周期是已经过确认的在第二周期内不存在DDoS攻击。

需要说明的是，获取第二周期内的n个时刻的网络流量S_i可以是以相同时间间隔采样获取n个时刻的网络流量S_i，还可以是以不同时间间隔采样获取n个时刻的网络流量S_i，本实施例中对此不作限定。

另外，需要说明的是，所获得流量周期变化曲线{TE_i|i＝1,2,…,n}在本实施例中为离散点的集合，还可进一步参考现有技术中的曲线拟合算法，获得连续的流量周期变化曲线。

检测单元33，与确定单元32连接，用于若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击。

具体的，检测单元33判断采样获得的网络流量是否大于所确定的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，否则，确定网络流量正常。

本实施例中，通过采样获得在第一周期内的目标时刻的网络流量之后，查询预先获得的流量周期变化曲线，确定与目标时刻对应的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，由于流量周期变化曲线用于指示预测流量的周期性变化规律，因此，在每一个目标时刻进行DDoS攻击检测前，仅需要根据流量周期变化曲线，确定与该目标时刻对应的预测流量，而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量，减小了计算量，通过历史流量趋势来检测DDoS，可以有效判断在流量突增是正常流量还是DDoS攻击，减少误报。

图4为本发明另一实施例提供的DDoS攻击检测装置的结构示意图，在上一实施例的基础上，本实施例中的装置进一步包括：获取单元41、计算单元42和修正单元43。

获取单元41，用于获取所述第一周期之前的第二周期内的n个时刻的网络流量S_i。

其中，i＝1，2，…n，n为自然数。

计算单元42，与获取单元41连接，用于根据公式TE_i＝αS_i-1+(1-α)TE_i-1进行计算，获得流量周期变化曲线{TE_i|i＝1,2,…,n}。

其中，α为预设的平滑阻尼系数，取值范围为0<α<1，TE_i为第i个时刻的预测流量。

修正单元43，与计算单元42和确定单元32连接，用于根据公式D_i＝|{S_i-TE_i}|进行计算，获得第i个时刻的残差D_i；根据公式TH_i＝TE_i+MAX(D_i)，对所述流量周期变化曲线进行修正，获得修正后的流量周期变化曲线{TH_i|i＝1,2,…,n}。

其中，TH_i为修正后的第i个时刻的预测流量。

需要说明的是，在计算获得第i个时刻的残差D_i之后，发现第二周期内的n个时刻的网络流量S_i存在突增的误差，在执行根据公式D_i＝|{S_i-TE_i}|进行计算，获得第i个时刻的残差D_i之后，修正单元43还可以进一步剔除残差D_i中的坏点：

首先，取中位数D_med＝(D_max-D_min)/2；其中，D_max代表计算出的最大残差，D_min代表计算出的最小残差。

然后，依次取下四分位数D₁＝(D_med-D_min)/2；

取上四分位数D₂＝(D_max-D_med)/2；

取四分位间距ΔQ＝D₂-D₁。

最后，取区间[D₁-1.5ΔQ,D₂+1.5ΔQ]，若残差D_i在该区间内的是有效值，则保留，若在该区间外，为无效值，需要去掉。

在计算获得第i个时刻的残差D_i之后，也可不经过前述剔除坏点的过程，直接执行根据公式TH_i＝TE_i+MAX(D_i)，对所述流量周期变化曲线进行修正。

基于此，确定单元32，具体用于确定目标时刻t_our的预测流量为TH_cur，其中，

进一步，DDoS攻击检测装置还包括：调整单元44。

调整单元44，与确定单元32连接，用于若所述第一周期为预设时间规则所指示的流量抬升周期，和/或所述目标时刻为所述时间规则所指示的流量抬升时刻，则将所确定的预测流量进行增大；若所述第一周期为预设时间规则所指示的流量降低周期，和/或所述目标时刻为所述时间规则所指示的流量降低时刻，则将所确定的预测流量进行减小。

本实施例中，通过采样获得在第一周期内的目标时刻的网络流量之后，查询预先获得的流量周期变化曲线，确定与目标时刻对应的预测流量，若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击，由于流量周期变化曲线用于指示预测流量的周期性变化规律，因此，在每一个目标时刻进行DDoS攻击检测前，仅需要根据流量周期变化曲线，确定与该目标时刻对应的预测流量，而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量，减小了计算量。另外，由于基于特殊的时间规则对预测流量进行调整，可以进一步完善预测流量的周期性变化规律，提高准确性；利用历史流量数据检测，可以有效区分流量突增情况下，流量是正常流量还是DDoS攻击，减少误报。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (6)

1.一种分布式拒绝服务DDoS攻击检测方法，其特征在于，包括：

采样获得在第一周期内的目标时刻的网络流量；

获取所述第一周期之前的第二周期内的n个时刻的网络流量S_i；其中，i＝1，2，…n，n为自然数；

根据公式TE_i＝αS_i-1+(1-α)TE_i-1进行计算，获得流量周期变化曲线{TE_i|i＝1,2,…,n}；其中，α为预设的平滑阻尼系数，取值范围为0<α<1，TE_i为第i个时刻的预测流量；

查询预先获得的流量周期变化曲线，确定所述目标时刻的预测流量；所述流量周期变化曲线用于指示预测流量的周期性变化规律；

若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击；

所述根据公式TE_i＝αS_i-1+(1-α)TE_i-1进行计算，获得流量周期变化曲线{TE_i|i＝1,2,…,n}之后，还包括：

根据公式D_i＝|S_i-TE_i|进行计算，获得第i个时刻的残差D_i；

根据公式TH_i＝TE_i+MAX(D_i)，对所述流量周期变化曲线进行修正，获得修正后的流量周期变化曲线{TH_i|i＝1,2,…,n}；其中，TH_i为修正后的第i个时刻的预测流量。

2.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述第二周期内的n个时刻相互间的间隔时长为G，所述确定所述目标时刻的预测流量，包括：

确定目标时刻t_cur的预测流量为TH_cur，其中，

3.根据权利要求1或2所述的DDoS攻击检测方法，其特征在于，所述查询预先获得的流量周期变化曲线，确定所述目标时刻的预测流量之后，还包括：

若所述第一周期为预设时间规则所指示的流量抬升周期，和/或所述目标时刻为所述时间规则所指示的流量抬升时刻，则将所确定的预测流量进行增大；

若所述第一周期为预设时间规则所指示的流量降低周期，和/或所述目标时刻为所述时间规则所指示的流量降低时刻，则将所确定的预测流量进行减小。

4.一种分布式拒绝服务DDoS攻击检测装置，其特征在于，包括：

采样单元，用于采样获得在第一周期内的目标时刻的网络流量；

获取单元，用于获取所述第一周期之前的第二周期内的n个时刻的网络流量S_i；其中，i＝1，2，…n，n为自然数；

计算单元，用于根据公式TE_i＝αS_i-1+(1-α)TE_i-1进行计算，获得流量周期变化曲线{TE_i|i＝1,2,…,n}；其中，α为预设的平滑阻尼系数，取值范围为0<α<1，TE_i为第i个时刻的预测流量；

确定单元，用于查询预先获得的流量周期变化曲线，确定所述目标时刻的预测流量；所述流量周期变化曲线用于指示预测流量的周期性变化规律；

检测单元，用于若采样获得的网络流量大于所确定的预测流量，则检测出DDoS攻击；

所述装置，还包括：

修正单元，用于根据公式D_i＝|S_i-TE_i|进行计算，获得第i个时刻的残差D_i；根据公式TH_i＝TE_i+MAX(D_i)，对所述流量周期变化曲线进行修正，获得修正后的流量周期变化曲线{TH_i|i＝1,2,…,n}；其中，TH_i为修正后的第i个时刻的预测流量。

5.根据权利要求4所述的DDoS攻击检测装置，其特征在于，所述第二周期内的n个时刻相互间的间隔时长为G，

所述确定单元，具体用于确定目标时刻t_cur的预测流量为TH_cur，其中，

6.根据权利要求4或5所述的DDoS攻击检测装置，其特征在于，所述装置，还包括：

调整单元，用于若所述第一周期为预设时间规则所指示的流量抬升周期，和/或所述目标时刻为所述时间规则所指示的流量抬升时刻，则将所确定的预测流量进行增大；若所述第一周期为预设时间规则所指示的流量降低周期，和/或所述目标时刻为所述时间规则所指示的流量降低时刻，则将所确定的预测流量进行减小。