CN107689967B

CN107689967B - 一种DDoS攻击检测方法和装置

Info

Publication number: CN107689967B
Application number: CN201710994860.5A
Authority: CN
Inventors: 刘子建; 彭锐; 周婧莹; 刘思勤; 陈孟尝; 叶新斌; 潘俊斌
Original assignee: China United Network Communications Group Co Ltd
Current assignee: China United Network Communications Group Co Ltd
Priority date: 2017-10-23
Filing date: 2017-10-23
Publication date: 2020-03-03
Anticipated expiration: 2037-10-23
Also published as: CN107689967A

Abstract

本发明的实施例提供一种DDoS攻击检测方法和装置，涉及通信技术领域，用于快速、准确的检测出DDoS攻击。该方法包括：统计各周期内接收到的目标报文的总数；计算当前报文总数变化量；当前报文总数变化量为当前周期与上一个周期内接收到的目标报文的总数的差值的绝对值；判断当前报文总数变化量是否符合第一预设条件；若是，则统计各周期接收的目标报文中各自治系统发送的目标报文的占比；计算当前报文分布变化量；当前报文分布变化量为各自治系统在当前周期与上一周期内发送的目标报文的占比的差值的绝对值之和；判断当前报文分布变化量是否符合第二预设条件；若是，则确定当前存在DDoS攻击。本发明的实施例用于DDoS攻击检测。

Description

一种DDoS攻击检测方法和装置

技术领域

本发明涉及通信技术领域，尤其涉及一种DDoS攻击检测方法和装置。

背景技术

目前，分布式拒绝服务(英文名称：Distributed Denial of Service，简称：DDoS)是自治系统AS(英文名称：Autonomous System，简称：AS)域网络中存在的最常见、危害性最大的攻击形式之一。DDoS攻击是一种隐蔽的拒绝服务攻击.一般DDoS攻击过程为：首先，攻击者将控制源AS域网络中大量的傀儡计算机，将多个傀儡计算机联合起来作为攻击平台，其中一部分傀儡计算机可以设置为主控端，然后，攻击者通过主控端将攻击指令发送至所有的傀儡计算机，最后，所有的傀儡计算机向目的AS域网络发送数据流，对目的AS域网络中的服务器进行DDoS攻击，从而造成目的AS域网络中服务器超载或者死机，甚至造成目的AS域网络瘫痪。与拒绝服务攻击(英文名称：Denial of Service，简称：DOS)相比，DDoS攻击在单条链路上的流量更小，难以被网络设备检测，因而更易于形成。另一方面，DDoS攻击汇聚后的异常流量总量很大，极具破坏力。

对DDoS攻击流量进行迅速的清洗，是保障网络传输和服务的关键，而快速有效的检测出DDoS攻击，是对DDoS攻击流量进行迅速清洗的关键。目前一般主流安全防护厂家的DDoS攻击检测设备，都基于对设备的NetFlow采样报文进行处理分析，通过对报文的协议类型进行统计，统计各类报文的变化情况，从而对DDoS攻击进行检测。虽然使用NetFlow的方案可以针对各类协议分别做较为精确的分析，但由于NetFlow采样、存储和计算均需要一定的时间，因此，往往DDoS攻击到来时，NetFlow分析设备无法迅速发现。即，NetFlow分析设备检测到DDoS攻击存在迟滞，并且有时这种延迟可达到数分钟，这对一些敏感性的业务来说难以接受。因此，如何快速、准确的检测出DDoS攻击是本领域技术人员亟待解决的一个技术问题。

发明内容

本发明的实施例提供一种DDoS攻击检测方法和装置，用于快速、准确的检测出DDoS攻击，从而保障网络传输和服务。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种DDoS攻击检测方法，包括：

统计各周期内接收到的目标报文的总数；各所述周期在时间上连续；所述目标报文为目的IP地址为防护目标IP地址的报文；

计算当前报文总数变化量；所述当前报文总数变化量为当前周期内接收到的目标报文的总数与上一个周期内接收到的目标报文的总数的差值的绝对值；

判断所述当前报文总数变化量是否符合第一预设条件；

若是，则统计各周期接收的目标报文中各自治系统发送的目标报文的占比；

计算当前报文分布变化量；所述当前报文分布变化量为各自治系统在当前周期内发送的目标报文的占比与上一周期内发送的目标报文的占比的差值的绝对值之和；

判断所述当前报文分布变化量是否符合第二预设条件；

若是，则确定当前存在DDoS攻击。

第二方面，提供一种DDoS攻击检测装置，包括：

统计模块，用于统计各周期内接收到的目标报文的总数；各所述周期在时间上连续；所述目标报文为目的IP地址为防护目标IP地址的报文；

计算模块，用于计算当前报文总数变化量；所述当前报文总数变化量为当前周期内接收到的目标报文的总数与上一个周期内接收到的目标报文的总数的差值的绝对值；

处理模块，用于判断所述当前报文总数变化量是否符合第一预设条件；

若所述当前报文总数变化量符合第一预设条件，所述统计模块还用于统计各周期接收的目标报文中各自治系统发送的目标报文的占比；

所述计算模块还用计算当前报文分布变化量；所述当前报文分布变化量为各自治系统在当前周期内发送的目标报文的占比与上一周期内发送的目标报文的占比的差值的绝对值之和；

所述处理模块还用于判断所述当前报文分布变化量是否符合第二预设条件，以及在当前报文分布变化量符合第二预设条件时确定当前存在DDoS攻击。

本发明实施例提供的DDoS攻击检测方法,首先统计各周期内接收到的目标报文的总数，然后计算当前报文总数变化量并判断当前报文总数变化量是否符合第一预设条件，若当前报文总数变化量符合第一预设，则统计各周期接收的目标报文中各自治系统发送的目标报文的占比，然后计算当前报文分布变化量并判断当前报文分布变化量是否符合第二预设条件，若当前报文分布变化量符合第二预设条件，则确定当前存在DDoS攻击，由于本发明实施例从报文总数变化量和报文分布变化量两个方面进行DDoS攻击的判断，所以本发明实施例提供的DDoS攻击检测方法判断DDoS攻击的准确性较高，又因为本发明实施例是基于当前接收到的报文的数量和分部情况来分析是否存在DDoS攻击的，相比于使用NetFlow的方案，本发明实施例的采样数据少且计算量小，所以还可以减小检测到DDoS攻击的延迟。即本发明实施例提供的攻击检测方法可以快速、准确的检测出DDoS攻击，从而保障网络传输和服务。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的DDoS攻击检测方法应用硬件架构图；

图2为本发明实施例提供的DDoS攻击检测方法的步骤流程图之一；

图3为本发明实施例提供的DDoS攻击检测方法的步骤流程图之二；

图4为本发明实施例提供的DDoS攻击检测方法的步骤流程图之三；

图5为本发明实施例提供的DDoS攻击检测装置的示意性结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例中的“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

以下首先对本发明实施例提供的DDoS攻击检测方法的应用硬件架构进行说明。具体的，参照图1所示，本发明实施例提供的DDoS攻击检测方法的应用的硬件架构，包括：至少一个互联网数据中心(英文名称：Internet Data Center,简称：IDC)路由器01、至少一个软件定义网络(英文名称：Software Defined Network,简称：SDN)路由器02、防护目标03、DDoS检测装置04以及DDoS清洗装置05。其中，IDC路由器01用于将互联网中目的IP地址为防护目标的IP地址的报文转发至SDN路由器02，SDN路由器02用于根据报文中的目的IP地址将报文转发至防护目标03中的各个终端设备或局域网，DDoS检测装置04用于执行本发明实施例提供的DDoS攻击检测方法，判断是否存在DDoS攻击，并在存在DDoS攻击时通知DDoS清洗装置05，在DDoS检测装置04判断存在DDoS攻击时，DDoS清洗设备进行DDoS清洗。

需要说明的是，上述DDoS攻击检测方法的应用的硬件架构中的DDoS检测设备04可以为一个独立的设备，也可以集成于SDN交换机02或者DDoS清洗设备上。

还需要说明的是，图1中以DDoS攻击检测方法的应用硬件架构中包括两个IDC路由器以及两个SDN路由器为例进行说明，但本发明实施例并不限定于此，本发明实施例提供的DDoS攻击检测方法的应用硬件架构还可以包括其他数量的IDC路由器和SDN路由器。

基于上述内容，本发明的实施例提供一种DDoS攻击检测方法,具体的，参照图2所示，本发明实施例提供的DDoS攻击检测方法包括：

S21、统计各周期内接收到的目标报文的总数。

其中，各周期在时间上连续；目标报文为目的互联网协议(英文名称：InternetProtocol，简称：IP)地址为防护目标IP地址的报文。

即，DDoS攻击检测装置每间隔一个周期的时间长度就统计一次本周期接收到的目标报文的总数。示例性的，一个周期的时间长度可以为1秒(s)、5秒(s)等，本领域技术人员可以根据实际需求对一个周期的时间长度进行设置，本发明实施例对此不作限定。

此外，需要说明的是，上述实施例中的防护目标IP地址可以是一个IP地址，也可以是多个不连续的IP地址、还可以是多个连续的IP地址形成的IP地址段、还可以是多个IP地址段。

S22、计算当前报文总数变化量。

当前报文总数变化量为当前周期内接收到的目标报文的总数与上一个周期内接收到的目标报文的总数的差值的绝对值。

需要说明的是，本发明实施例中的当前周期是指已经结束的周期中距离当前时刻最近的周期。例如：一个周期的时间长度为5秒，从0:0:0开始第一个周期，则在0:0:12时，当前周期为时间段(5,10]秒形成的周期，当前周期接收到的目标报文的总数为时间段(5,10]秒内接收到的报文总数；在0:0:23时，当前周期为时间段(16,20]秒形成的周期，当前周期接收到的目标报文的总数为时间段(16,20]秒内接收到的报文总数；在0:0:25时，当前周期为时间段(20,25]秒形成的周期，当前周期接收到的目标报文的总数为时间段(20,25]秒内接收到的报文总数。

进一步的，将当前周期n内接收到的目标报文的总数表示为s_n、将当前周期n的上一个周期内接收到的目标报文的总数表示为s_n-1，则当前周期n的报文总数变化量可以表示为：

N_n＝|s_n-s_n-1|

即，若按照时间顺序将各周期内接收到的目标报文的总数用平滑曲线表示，则当前周期的报文总数变化量为连接当前周期接收到的目标报文的总数和上一个周期内接收到的目标报文的总数的直线的斜率。

S23、判断当前报文总数变化量是否符合第一预设条件。

具体的，参照图3所示，上述步骤S23中判断当前报文总数变化量是否符合第一预设条件可以通过如下步骤来实现：

S231、计算当前报文总数变化量与上周期报文总数变化量的差值。

其中，上周期报文总数变化量为上一周期内接收到的报文总数与上上一周期内接收到的目标报文的总数的差值的绝对值。

具体的，将当前周期n内接收到的目标报文的总数表示为s_n、将当前周期n的上一个周期内接收到的目标报文的总数表示为s_n-1、将当前周期n的上上一个周期内接收到的目标报文的总数表示为s_n-2，则

当前报文总数变化量可以表示为：N_n＝|s_n-s_n-1|；

上周期报文总数变化量可以表示为：N_n-1＝|s_n-1-s_n-2|；

当前报文总数变化量与上周期报文总数变化量的差值可以表示为：X＝N_n-N_n-1＝|s_n-s_n-1|-|s_n-1-s_n-2|。

S232、判断当前报文总数变化量与上周期报文总数变化量的差值是否大于或等于第一阈值。

可选的，本发明实施例中的第一阈值可以由本领域技术人员根据经验设置为固定值。

可选的，第一阈值为预设时间长度内各周期的报文总数变化量的最大值与最小值之差；

其中，任一周期的报文总数变化量为该周期内接收到的目标报文的总数与该周期的上一个周期内接收到的目标报文的总数的差值的绝对值。

同上，将一个周期i内接收到的目标报文的总数表示为s_i、将该周期的上一个内接收到的目标报文的总数表示为s_i-1，则周期i的报文总数变化量可以表示为：

N_i＝|s_i-s_i-1|

可选的，预设时间长度可以为24小时。即，第一阈值为24小时内各周期的报文总数变化量的最大值与最小值之差。

在上述步骤S232中，若当前报文总数变化量与上周期报文总数变化量的差值大于或等于第一阈值；则执行步骤S233；若当前报文总数变化量与上周期报文总数变化量的差值小于第一阈值；则执行步骤S234。

具体的，当第一阈值为预设时间长度内各周期的报文总数变化量的最大值与最小值之差时，将预设时间长度内各周期的报文总数变化量的最大值表示为：N_max、将预设时间长度内各周期的报文总数变化量的最小值表示为：N_mix。

则当前报文总数变化量与上周期报文总数变化量的差值大于或等于第一阈值可以表示为：

X＝|s_n-s_n-1|-|s_n-1-s_n-2|≥N_max-N_min；

则当前报文总数变化量与上周期报文总数变化量的差值小于第一阈值可以表示为：

X＝|s_n-s_n-1|-|s_n-1-s_n-2|<N_max-N_min。

S233、确定当前报文总数变化量符合第一预设条件。

S234、确定当前报文总数变化量不符合第一预设条件。

在上述步骤S23、判断所述当前报文总数变化量是否符合第一预设条件中，若当前报文总数变化量符合第一预设条件则执行下述步骤S24至S26，若当前报文总数变化量不符合第一预设条件，则直接确定当前不存在DDoS攻击，判断流程结束，且统计到下一个周期内接收到的目标报文的总数时重新执行上述步骤S22和S23。

S24、统计各周期接收的目标报文中各AS发送的目标报文的占比。

即，计算各AS发送的目标报文的数量与个周期内接收到的目标报文总数的比值。例如：在周期i中，AS1发送的目标报文的数量为3，AS1发送的目标报文的数量为5，周期i内接收到的目标报文的总数为20，则AS1发送的目标报文的占比为15％，AS1发送的目标报文的占比为25％。

示例性的，各AS发送的目标报文的占比可以采用下表1所示的格式记录对应的数据。

表1

S25、计算当前报文分布变化量。

其中，当前报文分布变化量为各自治系统在当前周期内发送的目标报文的占比与上一周期内发送的目标报文的占比的差值的绝对值之和。

具体的，当前周期n中各AS发送的目标报文占比分别用p_n,1、p_n,2……p_n,x表示，当前周期的上一周期n-1中各AS发送的目标报文占比分别用p_n-1,1、p_n-1,2……p_n-1,x表示，则当前报文分布变化量可以用公式表示为：

S26、判断当前报文分布变化量是否符合第二预设条件。

具体的，参照图4所示，上述步骤S26中判断当前报文分布变化量是否符合第二预设条件可以通过如下步骤来实现：

S261、计算当前报文分布变化量与上周期报文分布变化量的差值。

其中，上周期报文分布变化量为各自治系统在上周期内发送的目标报文的占比与上上一周期内发送的目标报文的占比的差值的绝对值之和。

具体的，当前周期n中各AS发送的目标报文占比分别用p_n,1、p_n,2……p_n,x表示，当前周期的上一周期n-1中各AS发送的目标报文占比分别用p_n-1,1、p_n-1,2……p_n-1,x表示，当前周期的上上一周期n-2中各AS发送的目标报文占比分别用p_n-2,1、p_n-2,2……p_n-2,x表示，则

当前报文分布变化量可以表示为：

上周期报文总数变化量可以表示为：

当前报文总数变化量与上周期报文总数变化量的差值可以表示为：

S262、判断当前报文分布变化量与上周期报文分布变化量的差值是否大于或等于第二阈值。

可选的，本发明实施例中的第二阈值可以由本领域技术人员根据经验设置为固定值。

第二阈值为预设时间长度内各周期的报文分布变化量的最大值与最小值之差；

其中，任一周期的报文分布变化量为各自治系统在该周期内发送的目标报文的占比与该周期的上一周期内发送的目标报文的占比的差值的绝对值之和。

同上，一个周期j中各AS发送的目标报文占比分别用p_j,1、p_j,2……p_j,x表示，周期j的上一周期j-1中各AS发送的目标报文占比分别用p_j-1,1、p_j-1,2……p_j-1,x表示，则周期j报文分布变化量可以用公式表示为：

可选的，预设时间长度可以为24小时。即，第二阈值为24小时内各周期的报文分布变化量的最大值与最小值之差。

还需要说明的是，一个周期接收到的目标报文的可能是由非常多的AS发送的，当发送目标报文的AS数量过多时，若对每一个AS均作上述计算会导致计算量很大，进而影响DDoS攻击的确定速度。因此在上述实施例中计算当前报文分布变化量之前，还可以根据各AS发送的目标报文的数量对各AS进行降序排列，然后发送目标报文数大的AS至发送报文小的AS取一定数量的AS进行上述计算。例如：取包含90％目标报文的AS。由于发送目标报文数量很少的AS几乎不会时用来进行DDoS攻击的AS，所以只对一定数量的AS进行上述计算几乎不会影响判断DDoS攻击的准确性，但可以很大程度上减小上述实施例的计算量。

在上述步骤S262中，若当前报文分布变化量与上周期报文分布变化量的差值大于或等于第一阈值；则执行步骤S263；若当前报文总数变化量与上周期报文总数变化量的差值小于第一阈值；则执行步骤S264。

具体的，当第二阈值为第二阈值为预设时间长度内各周期的报文分布变化量的最大值与最小值之差时，将预设时间长度内各周期的报文分布变化量的最大值表示为：M_max、将预设时间长度内各周期的报文分布变化量的最小值表示为：M_mix。

则当前报文分布变化量与上周期报文分布变化量的差值大于或等于第二阈值可以表示为：

则当前报文总数变化量与上周期报文总数变化量的差值小于第二阈值可以表示为：

S263、则确定当前报文分布变化量符合第二预设条件。

S264、则确定当前报文分布变化量不符合第二预设条件。

在上述步骤S26、判断当前报文分布变化量是否符合第二预设条件中，若当前报文分布变化量符合第二预设条件，则执行步骤S27；若当前报文分布变化量符合不第二预设条件，则直接确定当前不存在DOOS攻击，判断流程结束，且当统计到下一个周期内接收到的目标报文的总数时重新执行上述方法提供的DDoS攻击检测方法，判断是否有DDoS攻击到来。

S27、确定当前存在DDoS攻击。

具体的，DDoS攻击发起者通常会隐藏自身的身份，采用大量虚假源IP地址进行攻击；为确保攻击效果，一般都会短时间内发送大量的攻击报文。这类攻击行为，肯定会导致短时间内目标报文数量大量增加；同时，由于正常业务的访问者一般分布较为稳定，不会出现剧烈变化，当有攻击报文来临时，必然会导致源IP的分布出现较大变化，因此若当前报文总数变化量和前报文分布变化量均超出一定的范围时，则可以直接确认当前存在DDoS攻击。

进一步的，在一些特殊周期存在因实际业务导致的报文总数突增的情况，此时将若仍将第一阈值设置为预设时间长度内各周期的报文总数变化量的最大值与最小值之差，将第二阈值设置为预设时间长度内各周期的报文分布变化量的最大值与最小值之差，则可能会在不存在DDoS攻击时，确定出的结果为存在DDoS攻击，进而导致误动作的产生。因此可选的，上述实施例还可以根据实际情况对第一阈值和第二阈值进行修正。

具体的，可以将第一阈值修正为k(N_max-N_min)，将第一阈值修正为k(M_max-M_min)。

其中，k为常数，具体的值可以根据对第一阈值和第二阈值进行修正的周期内的业务流量的大小与正常流量大小的比值。

进一步的，当某周期存在DDoS攻击时，相比于不存在DDoS攻击时该周期内的报文总数变化量以及报文分布变化量都会存在较大的变化，预设时间长度内包含该周期，且将第一阈值设置为预设时间长度内各周期的报文总数变化量的最大值与最小值之差，将第二阈值设置为预设时间长度内各周期的报文分布变化量的最大值与最小值之差，则可能会导致误判断DDoS攻击的到来，因此，上述预设时间长度内的周期不应包含存在DDoS攻击时的数据。即，可选的，当确定某周期存在DDoS攻击后，将该周期以后的数据删除，该周期的报文总数变化量不再作为预设时间长度内各周期的报文总数变化量的最大值与最小值，该周期的报文分布变化量不再作为预设时间长度内各周期的报文分布变化量的最大值与最小值。

可选的上述方法还包括：在确定当前存在DDoS攻击时，向DDoS清洗设备发送DDoS清洗指令，以便DDoS清洗设备进行DDoS清洗。

具体的，DDoS清洗设备进行DDoS清洗的方法可以与现有技术相同，本发明实施例DDoS清洗设备进行DDoS清洗的过程不做限定。

下面说明本发明实施例提供的与上文所提供的方法实施例相对应的装置实施例。需要说明的是，下述装置实施例中相关内容的解释，均可以参考上述方法实施例。

在采用对应各功能划分各功能模块的情况下，图5示出了上述实施例中所涉及DDoS攻击检测装置，该DDoS攻击检测装置500包括：

统计模块51，用于统计各周期内接收到的目标报文的总数。

各周期在时间上连续；目标报文为目的IP地址为防护目标IP地址的报文。

计算模块52，用于计算当前报文总数变化量；当前报文总数变化量为当前周期内接收到的目标报文的总数与上一个周期内接收到的目标报文的总数的差值的绝对值。

处理模块53，用于判断当前报文总数变化量是否符合第一预设条件。

若当前报文总数变化量符合第一预设条件，统计模块51还用于统计各周期接收的目标报文中各自治系统发送的目标报文的占比。

计算模块52还用计算当前报文分布变化量。

当前报文分布变化量为各自治系统在当前周期内发送的目标报文的占比与上一周期内发送的目标报文的占比的差值的绝对值之和；

处理模块53还用于判断当前报文分布变化量是否符合第二预设条件，以及在当前报文分布变化量符合第二预设条件时确定当前存在DDoS攻击。

本发明实施例提供的DDoS攻击检测装置,首先通过统计模块统计各周期内接收到的目标报文的总数，然后通过计算模块计算当前报文总数变化量并通过处理模块判断当前报文总数变化量是否符合第一预设条件，若当前报文总数变化量符合第一预设，则通过统计模块统计各周期接收的目标报文中各自治系统发送的目标报文的占比，然后通过计算模块计算当前报文分布变化量并通过处理模块判断当前报文分布变化量是否符合第二预设条件，若当前报文分布变化量符合第二预设条件，则确定当前存在DDoS攻击，由于本发明实施例从报文总数变化量和报文分布变化量两个方面进行DDoS攻击的判断，所以本发明实施例提供的DDoS攻击检测方法判断DDoS攻击的准确性较高，又因为本发明实施例是基于当前接收到的报文的数量和分部情况来分析是否存在DDoS攻击的，相比于使用NetFlow的方案，本发明实施例的采样数据少且计算量小，所以还可以减小检测到DDoS攻击的延迟。即本发明实施例提供的攻击检测方法可以快速、准确的检测出DDoS攻击，从而保障网络传输和服务。

可选的，处理模块53判断当前报文总数变化量是否符合第一预设条件，包括：

计算当前报文总数变化量与上周期报文总数变化量的差值；上周期报文总数变化量为上一周期内接收到的报文总数与上上一周期内接收到的目标报文的总数的差值的绝对值；

判断当前报文总数变化量与上周期报文总数变化量的差值是否大于或等于第一阈值；

若是，则确定当前报文总数变化量符合第一预设条件；

若否，则确定当前报文总数变化量不符合第一预设条件。

可选的，处理模块53判断当前报文分布变化量是否符合第二预设条件，包括：

计算当前报文分布变化量与上周期报文分布变化量的差值；上周期报文分布变化量为各自治系统在上周期内发送的目标报文的占比与上上一周期内发送的目标报文的占比的差值的绝对值之和；

判断当前报文分布变化量与上周期报文分布变化量的差值是否大于或等于第二阈值；

若是，则确定当前报文分布变化量符合第二预设条件；

若否，则确定当前报文分布变化量不符合第二预设条件。

可选的，第二阈值为预设时间长度内各周期的报文分布变化量的最大值与最小值之差；

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种DDoS攻击检测方法，其特征在于，包括：

判断所述当前报文总数变化量是否符合第一预设条件，包括：计算所述当前报文总数变化量与上周期报文总数变化量的差值；所述上周期报文总数变化量为上一周期内接收到的报文总数与上上一周期内接收到的目标报文的总数的差值的绝对值；判断所述当前报文总数变化量与上周期报文总数变化量的差值是否大于或等于第一阈值；若是，则确定所述当前报文总数变化量符合所述第一预设条件；若否，则确定所述当前报文总数变化量不符合所述第一预设条件；

判断所述当前报文分布变化量是否符合第二预设条件，包括：计算所述当前报文分布变化量与上周期报文分布变化量的差值；所述上周期报文分布变化量为各自治系统在上周期内发送的目标报文的占比与上上一周期内发送的目标报文的占比的差值的绝对值之和；判断所述当前报文分布变化量与上周期报文分布变化量的差值是否大于或等于第二阈值；若是，则确定所述当前报文分布变化量符合所述第二预设条件；若否，则确定所述当前报文分布变化量不符合所述第二预设条件；

若是，则确定当前存在DDoS攻击。

2.根据权利要求1所述的方法，其特征在于，所述第一阈值为预设时间长度内各周期的报文总数变化量的最大值与最小值的差值；

3.根据权利要求1所述的方法，其特征在于，所述第二阈值为预设时间长度内各周期的报文分布变化量的最大值与最小值之差；

4.一种DDoS攻击检测装置，其特征在于，包括：

处理模块，用于判断所述当前报文总数变化量是否符合第一预设条件，包括：计算所述当前报文总数变化量与上周期报文总数变化量的差值；所述上周期报文总数变化量为上一周期内接收到的报文总数与上上一周期内接收到的目标报文的总数的差值的绝对值；判断所述当前报文总数变化量与上周期报文总数变化量的差值是否大于或等于第一阈值；若是，则确定所述当前报文总数变化量符合所述第一预设条件；若否，则确定所述当前报文总数变化量不符合所述第一预设条；

所述处理模块还用于判断所述当前报文分布变化量是否符合第二预设条件，以及在当前报文分布变化量符合第二预设条件时确定当前存在DDoS攻击；

所述处理模块判断所述当前报文分布变化量是否符合第二预设条件，包括：计算所述当前报文分布变化量与上周期报文分布变化量的差值；所述上周期报文分布变化量为各自治系统在上周期内发送的目标报文的占比与上上一周期内发送的目标报文的占比的差值的绝对值之和；判断所述当前报文分布变化量与上周期报文分布变化量的差值是否大于或等于第二阈值；若是，则确定所述当前报文分布变化量符合所述第二预设条件；若否，则确定所述当前报文分布变化量不符合所述第二预设条件。

5.根据权利要求4所述的装置，其特征在于，所述第一阈值为预设时间长度内各周期的报文总数变化量的最大值与最小值的差值；

6.根据权利要求4所述的装置，其特征在于，所述第二阈值为预设时间长度内各周期的报文分布变化量的最大值与最小值之差；