CN107800674A - 一种用于检测分布式拒绝服务的攻击流量的方法和装置 - Google Patents
一种用于检测分布式拒绝服务的攻击流量的方法和装置 Download PDFInfo
- Publication number
- CN107800674A CN107800674A CN201610809065.XA CN201610809065A CN107800674A CN 107800674 A CN107800674 A CN 107800674A CN 201610809065 A CN201610809065 A CN 201610809065A CN 107800674 A CN107800674 A CN 107800674A
- Authority
- CN
- China
- Prior art keywords
- flow proportional
- packet
- bag
- flow
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种用于检测分布式拒绝服务的攻击流量的方法和装置。所述方法的一具体实施方式包括:获取目标系统收发的数据包的摘要信息;根据摘要信息的特征将数据包分类至预设的特征类型;计算各类特征类型的数据包的数量;间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例;将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。该实施方式可以快速准确的告警流量攻击,对于较少的流量攻击仍然有效。
Description
技术领域
本申请涉及计算机技术领域,具体涉及互联网技术领域,尤其涉及一种用于检测分布式拒绝服务的攻击流量的方法和装置。
背景技术
分布式拒绝服务(Distributed Denial of Service,缩写为DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标系统发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。频繁发生的DDoS对目标系统的危害较大,为了快速切换防御手段,实施有效防御,需要对DDoS进行检测。
目前常见的一些检测DDoS的方案,主要有以下两种,一种为通过镜像流量提取数据包进行分析,并在分析时设置流量阈值、数据包数量阈值;另一种为统计数据包中TTL之类的特征来判定DDoS流量是否异常。
然而,上述采用镜像流量的方法需要引入新的设备,部署成本较高,并且攻击的检出率较依赖于阈值的设定是否准确;采用统计TTL之类的特征的方法,由于强大的攻击程序能够较好的伪装相应的数据包,因此检出DDoS的比例不高。
发明内容
本申请的目的在于提出一种改进的用于检测分布式拒绝服务的攻击流量的方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请提供了一种用于检测分布式拒绝服务的攻击流量的方法,所述方法包括:获取目标系统收发的数据包的摘要信息;根据所述摘要信息的特征将所述数据包分类至预设的特征类型;计算各类特征类型的数据包的数量;
间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例;将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。
在一些实施例中,所述方法还包括:基于所述计算得到的流量比例确定攻击类型。
在一些实施例中,所述获取目标系统收发的数据包的摘要信息包括:获取当前目标系统收发的各目标IP地址的数据包的摘要信息;所述根据所述摘要信息的特征将所述数据包分类至预设的特征类型包括:根据所述各目标IP地址的数据包的摘要信息的特征将所述各目标IP地址的数据包分别分类至预设的特征类型;所述计算各类特征类型的数据包的数量包括:计算各目标IP地址对应各类特征类型的数据包数量;所述间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例包括:对于各目标IP地址,间隔预定时长计算各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例;以及所述将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量包括:将计算得到的各目标IP地址的流量比例中超出预定模型的流量比例所对应的流量作为各目标IP地址的攻击流量。
在一些实施例中,所述基于所述计算得到的流量比例确定攻击类型包括:基于所述计算得到的各目标IP地址的流量比例确定各目标IP地址的攻击类型。
在一些实施例中,所述预设的特征类型包括以下一项或多项:收到的用户数据报协议包、收到的传输控制协议握手信号包、收到的传输控制协议响应信号包、收到的传输控制协议其他包、收到的因特网控制报文协议包、收到的其他网络互连协议包、发送的因特网控制协议包以及发送的传输控制协议复位信号包。
在一些实施例中,所述基于所述计算得到的流量比例确定攻击类型包括以下一项或多项:若所述计算得到的流量比例中收到的用户数据报协议包的流量比例高于预定模型中用户数据报协议包的流量比例且当前目标系统仅提供传输控制协议服务,则确定发生用户数据报协议包攻击;若所述计算得到的流量比例中收到的传输控制协议握手信号包的流量比例相对收到的传输控制协议响应信号包的流量比例超过2倍,则确定发生传输控制协议握手信号包攻击;若所述计算得到的流量比例中收到的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则确定发生因特网控制报文协议包攻击;若所述计算得到的流量比例中发送的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则当发送的因特网控制报文协议包的流量小于20Mbps时,确定发生大量的扫描,当发送的因特网控制报文协议包的流量大于等于20Mbps时,确定发生随机端口攻击;若所述计算得到的流量比例中发送的传输控制协议复位信号包的流量比例高于预定模型中传输控制协议复位信号包的流量比例,则确定发生传输控制协议响应信号包攻击。
在一些实施例中,所述预定模型的流量比例由历史周期内各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例的均值得到。
第二方面,本申请提供了一种用于检测分布式拒绝服务的攻击流量的装置,所述装置包括:摘要获取单元,用于获取目标系统收发的数据包的摘要信息;特征分类单元,用于根据所述摘要信息的特征将所述数据包分类至预设的特征类型;数量计算单元,用于计算各类特征类型的数据包的数量;比例计算单元,用于间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例;流量确定单元,用于将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。
在一些实施例中,所述装置还包括:类型确定单元,用于基于所述计算得到的流量比例确定攻击类型。
在一些实施例中,所述摘要获取单元包括:IP摘要获取子单元,用于获取当前目标系统收发的各目标IP地址的数据包的摘要信息;所述特征分类单元包括:IP特征分类子单元,用于根据所述各目标IP地址的数据包的摘要信息的特征将所述各目标IP地址的数据包分别分类至预设的特征类型;所述数量计算单元包括:IP数量计算子单元,用于计算各目标IP地址对应各类特征类型的数据包数量;所述比例计算单元包括:IP比例计算子单元,用于对于各目标IP地址,间隔预定时长计算各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例;以及所述流量确定单元包括:IP流量确定子单元,用于将计算得到的各目标IP地址的流量比例中超出预定模型的流量比例所对应的流量作为各目标IP地址的攻击流量。
在一些实施例中,所述类型确定单元包括:IP类型确定子单元,用于基于所述计算得到的各目标IP地址的流量比例确定各目标IP地址的攻击类型。
在一些实施例中,所述特征分类单元中预设的特征类型包括以下一项或多项:收到的用户数据报协议包、收到的传输控制协议握手信号包、收到的传输控制协议响应信号包、收到的传输控制协议其他包、收到的因特网控制报文协议包、收到的其他网络互连协议包、发送的因特网控制协议包以及发送的传输控制协议复位信号包。
在一些实施例中,所述类型确定单元包括以下一项或多项:第一类型确定子单元,用于若所述计算得到的流量比例中收到的用户数据报协议包的流量比例高于预定模型中用户数据报协议包的流量比例且当前目标系统仅提供传输控制协议服务,则确定发生用户数据报协议包攻击;第二类型确定子单元,用于若所述计算得到的流量比例中收到的传输控制协议握手信号包的流量比例相对收到的传输控制协议响应信号包的流量比例超过2倍,则确定发生传输控制协议握手信号包攻击;第三类型确定子单元,用于若所述计算得到的流量比例中收到的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则确定发生因特网控制报文协议包攻击;第四类型确定子单元,用于若所述计算得到的流量比例中发送的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则当发送的因特网控制报文协议包的流量小于20Mbps时,确定发生大量的扫描,当发送的因特网控制报文协议包的流量大于等于20Mbps时,确定发生随机端口攻击;第五类型确定子单元,用于若所述计算得到的流量比例中发送的传输控制协议复位信号包的流量比例高于预定模型中传输控制协议复位信号包的流量比例,则确定发生传输控制协议响应信号包攻击。
在一些实施例中,所述流量确定单元中所述预定模型的流量比例由历史周期内各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例的均值得到。
本申请提供的一种用于检测分布式拒绝服务的攻击流量的方法和装置,通过获取目标系统收发的数据包的摘要信息,接着提取数据包摘要信息的特征,然后将数据包摘要信息的特征分类至预设的特征类型,之后计算各类特征类型的数据包的数量,之后计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例,最后将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量,从而可以快速准确的告警流量攻击,对于较少的流量攻击仍然有效。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是根据本申请的一种用于检测分布式拒绝服务的攻击流量的方法的一个实施例的示意性流程图;
图3是根据本申请的一种用于检测分布式拒绝服务的攻击流量的方法的一个应用场景的示意图;
图4是根据本申请的用于检测分布式拒绝服务的攻击流量的装置的一个实施例的结构示意图;
图5是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的一种用于检测分布式拒绝服务的攻击流量的方法或用于检测分布式拒绝服务的攻击流量的装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。其中,无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultrawideband)连接、以及其他现在已知或将来开发的无线连接方式。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是具有显示屏并且支持网络交互的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture ExpertsGroup Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving PictureExperts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的检测分布式拒绝服务的攻击流量的结果提供支持的后台服务器。后台服务器可以对获取的目标系统收发的数据包摘要信息进行分析等处理,并将处理结果(例如攻击流量或攻击类型)反馈给终端设备。
需要说明的是,本申请实施例所提供的一种用于检测分布式拒绝服务的攻击流量的方法一般由服务器105执行,相应地,用于检测分布式拒绝服务的攻击流量的装置一般设置于服务器105中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本申请的一种用于检测分布式拒绝服务的攻击流量的方法的一个实施例的流程200。所述的一种用于检测分布式拒绝服务的攻击流量的方法,包括以下步骤:
步骤201,获取目标系统收发的数据包的摘要信息。
在本实施例中,用于检测分布式拒绝服务的攻击流量的方法运行于其上的电子设备(例如图1中所示的服务器),可以收集目标系统收发的数据包的摘要信息。
这里的数据包是TCP/IP协议通信传输中的数据单位,在包交换网络里,单个消息被划分为多个数据块,这些数据块称为包,它包含发送者和接收者的地址信息。这些包然后沿着不同的路径在一个或多个网络中传输,并且在目的地重新组合。
在本实施例的一些可选实现方式中,为了进一步检测目标系统中各目标IP地址的分布式拒绝服务的攻击流量,上述获取目标系统收发的数据包的摘要信息可以包括:按照各目标IP地址进行统计,也即获取当前目标系统收发的各目标IP地址的数据包的摘要信息。
步骤202,根据摘要信息的特征将数据包分类至预设的特征类型。
在本实施例中,在步骤201中获取目标系统收发的数据包的摘要信息之后,可以提取摘要信息的特征,查询提取的特征与预设的特征类型中的哪一类相匹配,并根据查询结果将数据包分类至预设的特征类型。
这里的预设的特征类型,可以基于用户接收或发送的数据包的类型以及用户关注的数据包的类型来设定,例如,预设的特征类型可以包括以下一项或多项:收到的用户数据报协议包(recv_udp)、收到的传输控制协议握手信号包(recv_syn)、收到的传输控制协议响应信号包(recv_ack)、收到的传输控制协议其他包(recv_other_tcp)、收到的因特网控制报文协议包(recv_icmp)、收到的其他网络互连协议包(recv_other_ip)、发送的因特网控制协议包(send_icmp)、以及发送的传输控制协议复位信号包(send_reset)。
在本实施例的一些可选实现方式中,为了进一步检测目标系统中各目标IP地址的分布式拒绝服务的攻击流量,可以在根据摘要信息的特征将数据包分类至预设的特征类型可以包括:根据上述各目标IP地址的数据包的摘要信息的特征将上述各目标IP地址的数据包分别分类至预设的特征类型。
步骤203,计算各类特征类型的数据包的数量。
在本实施例中,基于步骤202中将数据包分类至预设的特征类型,可以计算预设的特征类型中的数据包的数量。
在本实施例的一些可选实现方式中,为了进一步检测目标系统中各目标IP地址的分布式拒绝服务的攻击流量,可以在计算各类特征类型的数据包的数量可以包括:计算上述各目标IP地址对应各类特征类型的数据包数量。
步骤204,间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例。
在本实施例中,预定时长为技术人员设定的获取检测分布式拒绝服务的攻击流量的结果的间隔时长,也即运行用于检测分布式拒绝服务的攻击流量的电子设备可以定期计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例。这里计算的流量比例,是预定时长内获取的各类特征类型的数据包的数量相对该预定时长内目标系统收发的数据包的数量的流量比例,当周期变更时需要重新获取目标系统收发的数据包的摘要信息,从而待周期结束时可以得到新的预定时长内的流量比例。
在本实施例的一些可选实现方式中,为了进一步检测目标系统中各目标IP地址的分布式拒绝服务的攻击流量,在间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例时,可以进一步对于上述各目标IP地址,间隔预定时长计算各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例。
步骤205,将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。
在本实施例中,可以比较步骤204中得到的流量比例与预定模型的流量比例,将得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。
这里的预定模型的流量比例,可以为基于历史目标系统收发的数据包数量设定的常规流量的数据包比例。例如,预定模型的流量比例可以由历史周期内各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例的均值得到,这里的均值可以为算术平均数、几何平均数、调和平均数、加权平均数、指数平均数和中位数之一。
在本实施例的一些可选实现方式中,为了进一步检测目标系统中各目标IP地址的分布式拒绝服务的攻击流量,在将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量时,可以进一步将计算得到的上述各目标IP地址的流量比例中超出预定模型的流量比例所对应的流量作为上述各目标IP地址的攻击流量。
可选地,上述的用于检测分布式拒绝服务的攻击流量的方法中还可以包括:步骤206,基于计算得到的流量比例确定攻击类型。
备选地,为了进一步检测目标系统中各目标IP地址的分布式拒绝服务的攻击类型,上述的基于计算得到的流量比例确定攻击类型可以包括:基于计算得到的上述各目标IP地址的流量比例确定各目标IP地址的攻击类型。
在上述实施例的一些可选实现方式中,基于计算得到的流量比例确定攻击类型,可以包括以下一项或多项:若计算得到的流量比例中收到的用户数据报协议包的流量比例高于预定模型中用户数据报协议包的流量比例且当前目标系统仅提供传输控制协议服务,则确定发生用户数据报协议包攻击;若计算得到的流量比例中收到的传输控制协议握手信号包的流量比例相对收到的传输控制协议响应信号包的流量比例超过2倍,则确定发生传输控制协议握手信号包攻击;若计算得到的流量比例中收到的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则确定发生因特网控制报文协议包攻击;若计算得到的流量比例中发送的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则当发送的因特网控制报文协议包的流量小于20Mbps时,确定发生大量的扫描,当发送的因特网控制报文协议包的流量大于等于20Mbps时,确定发生随机端口攻击;若计算得到的流量比例中发送的传输控制协议复位信号包的流量比例高于预定模型中传输控制协议复位信号包的流量比例,则确定发生传输控制协议响应信号包攻击。
继续参见图3,图3是根据本实施例的一种用于检测分布式拒绝服务的攻击流量的方法的应用场景的一个示意图。
在图3的应用场景中,用于检测分布式拒绝服务的攻击流量的方法包括以下步骤:
在步骤301中,运行用于检测分布式拒绝服务的攻击流量的方法的电子设备(例如图1中的服务器)通过内核模块加载到目标主机系统上收集到当前目标系统的收发数据包摘要信息,同时对获取的数据包提取特征,之后执行步骤302;
在步骤302中,判断上述的数据包摘要信息是否跨周期,若是,则执行步骤303,若否,则执行步骤304;
在步骤303中,响应于上述的数据包摘要信息跨周期,根据上一周期的各类特征类型的计数,分析各类特征类型的流量比例,之后执行步骤305;
在步骤304中,响应于上述的数据包摘要信息不是跨周期,则根据获取的数据包摘要信息的特征,将数据包分类至预设的特征类型,并进行各类特征类型的计数,之后跳转至步骤301;
在步骤305中,根据各类特征类型的流量比例是否超出预定模型的流量比例,判断是否发生攻击,若是,则执行步骤306,若否,则跳转至步骤301;
在步骤306中,将超出模型比例的流量定义为攻击流量,告警提示发生分布式拒绝服务,并可以呈现攻击流量或进一步呈现攻击类型,之后跳转至步骤301。
应当理解,上述的应用场景仅为本实施例的示例性场景,并不代表对本申请的限定,例如,可以在执行上述步骤301中获取当前目标系统的收发数据包摘要信息时,直接获取上一周期内的数据包摘要信息,之后直接执行步骤303即可,而无需执行步骤302的判断步骤。
本申请上述实施例提供的用于检测分布式拒绝服务的攻击流量的方法,可以快速准确的告警流量攻击,对于较少的流量攻击仍然有效,因此检测分布式拒绝服务的攻击流量的精准度较高。
进一步参考图4,作为对上述各图所示方法的实现,本申请提供了一种用于检测分布式拒绝服务的攻击流量的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例所述的用于检测分布式拒绝服务的攻击流量的装置400包括但不限于:摘要获取单元410、特征分类单元420、数量计算单元430、比例计算单元440和流量确定单元450。
其中,摘要获取单元410,配置用于获取目标系统收发的数据包的摘要信息;特征分类单元420,配置用于根据摘要信息的特征将数据包分类至预设的特征类型;数量计算单元430,配置用于计算各类特征类型的数据包的数量;比例计算单元440,配置用于间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例;流量确定单元450,配置用于将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。
在本实施例的一些可选实现方式中,装置还可以包括:类型确定单元460,配置用于基于计算得到的流量比例确定攻击类型。
在本实施例的一些可选实现方式中,摘要获取单元410可以包括:IP摘要获取子单元(图4中未示出),配置用于获取当前目标系统收发的各目标IP地址的数据包的摘要信息;特征分类单元420可以包括:IP特征分类子单元(图4中未示出),配置用于根据各目标IP地址的数据包的摘要信息的特征将各目标IP地址的数据包分别分类至预设的特征类型;数量计算单元430可以包括:IP数量计算子单元(图4中未示出),配置用于计算各目标IP地址对应各类特征类型的数据包数量;比例计算单元440可以包括:IP比例计算子单元(图4中未示出),配置用于对于各目标IP地址,间隔预定时长计算各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例;以及流量确定单元450可以包括:IP流量确定子单元(图4中未示出),配置用于将计算得到的各目标IP地址的流量比例中超出预定模型的流量比例所对应的流量作为各目标IP地址的攻击流量。
在本实施例的一些可选实现方式中,类型确定单元460可以包括:IP类型确定子单元(图4中未示出),配置用于基于计算得到的各目标IP地址的流量比例确定各目标IP地址的攻击类型。
在本实施例的一些可选实现方式中,特征分类单元中预设的特征类型可以包括以下一项或多项:收到的用户数据报协议包、收到的传输控制协议握手信号包、收到的传输控制协议响应信号包、收到的传输控制协议其他包、收到的因特网控制报文协议包、收到的其他网络互连协议包、发送的因特网控制协议包以及发送的传输控制协议复位信号包。
在本实施例的一些可选实现方式中,类型确定单元可以包括以下一项或多项:第一类型确定子单元(图4中未示出),配置用于若计算得到的流量比例中收到的用户数据报协议包的流量比例高于预定模型中用户数据报协议包的流量比例且当前目标系统仅提供传输控制协议服务,则确定发生用户数据报协议包攻击;第二类型确定子单元(图4中未示出),配置用于若计算得到的流量比例中收到的传输控制协议握手信号包的流量比例相对收到的传输控制协议响应信号包的流量比例超过2倍,则确定发生传输控制协议握手信号包攻击;第三类型确定子单元(图4中未示出),配置用于若计算得到的流量比例中收到的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则确定发生因特网控制报文协议包攻击;第四类型确定子单元(图4中未示出),配置用于若计算得到的流量比例中发送的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则当发送的因特网控制报文协议包的流量小于20Mbps时,确定发生大量的扫描,当发送的因特网控制报文协议包的流量大于等于20Mbps时,确定发生随机端口攻击;第五类型确定子单元(图4中未示出),配置用于若计算得到的流量比例中发送的传输控制协议复位信号包的流量比例高于预定模型中传输控制协议复位信号包的流量比例,则确定发生传输控制协议响应信号包攻击。
在本实施例的一些可选实现方式中,流量确定单元中预定模型的流量比例由历史周期内各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例的均值得到。
在在本申请的上述实施例中,第一类型确定子单元、第二类型确定子单元、第三类型确定子单元、第四类型确定子单元和第五类型确定子单元仅代表五个不同的用于确定攻击类型的子单元,本领域技术人员应当理解,其中的第一、第二、第三、第四或第五并不构成对类型确定子单元的特殊限定。
应当理解,装置400中记载的诸模块与参考图2描述的方法中的各个步骤相对应。由此,上文针对一种用于检测分布式拒绝服务的攻击流量的方法描述的操作和特征同样适用于装置400及其中包含的模块,在此不再赘述。装置400中的相应模块可以与终端设备和/或服务器中的模块相互配合以实现本申请实施例的方案。
下面参考图5,其示出了适于用来实现本申请实施例的终端设备或服务器的计算机系统500的结构示意图。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,所述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括摘要获取单元,特征分类单元,数量计算单元、比例计算单元和流量确定单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,摘要获取单元还可以被描述为“获取目标系统收发的数据包的摘要信息的单元”。
作为另一方面,本申请还提供了一种非易失性计算机存储介质,该非易失性计算机存储介质可以是上述实施例中所述装置中所包含的非易失性计算机存储介质;也可以是单独存在,未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序,当所述一个或者多个程序被一个设备执行时,使得所述设备:获取目标系统收发的数据包的摘要信息;根据摘要信息的特征将数据包分类至预设的特征类型;计算各类特征类型的数据包的数量;间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例;将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (14)
1.一种用于检测分布式拒绝服务的攻击流量的方法,其特征在于,所述方法包括:
获取目标系统收发的数据包的摘要信息;
根据所述摘要信息的特征将所述数据包分类至预设的特征类型;
计算各类特征类型的数据包的数量;
间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例;
将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:基于所述计算得到的流量比例确定攻击类型。
3.根据权利要求2所述的方法,其特征在于,所述获取目标系统收发的数据包的摘要信息包括:获取当前目标系统收发的各目标IP地址的数据包的摘要信息;
所述根据所述摘要信息的特征将所述数据包分类至预设的特征类型包括:根据所述各目标IP地址的数据包的摘要信息的特征将所述各目标IP地址的数据包分别分类至预设的特征类型;
所述计算各类特征类型的数据包的数量包括:计算各目标IP地址对应各类特征类型的数据包数量;
所述间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例包括:对于各目标IP地址,间隔预定时长计算各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例;以及
所述将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量包括:将计算得到的各目标IP地址的流量比例中超出预定模型的流量比例所对应的流量作为各目标IP地址的攻击流量。
4.根据权利要求3所述的方法,其特征在于,所述基于所述计算得到的流量比例确定攻击类型包括:基于所述计算得到的各目标IP地址的流量比例确定各目标IP地址的攻击类型。
5.根据权利要求2所述的方法,其特征在于,所述预设的特征类型包括以下一项或多项:收到的用户数据报协议包、收到的传输控制协议握手信号包、收到的传输控制协议响应信号包、收到的传输控制协议其他包、收到的因特网控制报文协议包、收到的其他网络互连协议包、发送的因特网控制协议包以及发送的传输控制协议复位信号包。
6.根据权利要求5所述的方法,其特征在于,所述基于所述计算得到的流量比例确定攻击类型包括以下一项或多项:
若所述计算得到的流量比例中收到的用户数据报协议包的流量比例高于预定模型中用户数据报协议包的流量比例且当前目标系统仅提供传输控制协议服务,则确定发生用户数据报协议包攻击;
若所述计算得到的流量比例中收到的传输控制协议握手信号包的流量比例相对收到的传输控制协议响应信号包的流量比例超过2倍,则确定发生传输控制协议握手信号包攻击;
若所述计算得到的流量比例中收到的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则确定发生因特网控制报文协议包攻击;
若所述计算得到的流量比例中发送的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则当发送的因特网控制报文协议包的流量小于20Mbps时,确定发生大量的扫描,当发送的因特网控制报文协议包的流量大于等于20Mbps时,确定发生随机端口攻击;
若所述计算得到的流量比例中发送的传输控制协议复位信号包的流量比例高于预定模型中传输控制协议复位信号包的流量比例,则确定发生传输控制协议响应信号包攻击。
7.根据权利要求1-6任意一项所述的方法,其特征在于,所述预定模型的流量比例由历史周期内各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例的均值得到。
8.一种用于检测分布式拒绝服务的攻击流量的装置,其特征在于,所述装置包括:
摘要获取单元,用于获取目标系统收发的数据包的摘要信息;
特征分类单元,用于根据所述摘要信息的特征将所述数据包分类至预设的特征类型;
数量计算单元,用于计算各类特征类型的数据包的数量;
比例计算单元,用于间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例;
流量确定单元,用于将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
类型确定单元,用于基于所述计算得到的流量比例确定攻击类型。
10.根据权利要求9所述的装置,其特征在于,所述摘要获取单元包括:IP摘要获取子单元,用于获取当前目标系统收发的各目标IP地址的数据包的摘要信息;
所述特征分类单元包括:IP特征分类子单元,用于根据所述各目标IP地址的数据包的摘要信息的特征将所述各目标IP地址的数据包分别分类至预设的特征类型;
所述数量计算单元包括:IP数量计算子单元,用于计算各目标IP地址对应各类特征类型的数据包数量;
所述比例计算单元包括:IP比例计算子单元,用于对于各目标IP地址,间隔预定时长计算各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例;以及
所述流量确定单元包括:IP流量确定子单元,用于将计算得到的各目标IP地址的流量比例中超出预定模型的流量比例所对应的流量作为各目标IP地址的攻击流量。
11.根据权利要求10所述的装置,其特征在于,所述类型确定单元包括:IP类型确定子单元,用于基于所述计算得到的各目标IP地址的流量比例确定各目标IP地址的攻击类型。
12.根据权利要求9所述的装置,其特征在于,所述特征分类单元中预设的特征类型包括以下一项或多项:收到的用户数据报协议包、收到的传输控制协议握手信号包、收到的传输控制协议响应信号包、收到的传输控制协议其他包、收到的因特网控制报文协议包、收到的其他网络互连协议包、发送的因特网控制协议包以及发送的传输控制协议复位信号包。
13.根据权利要求12所述的装置,其特征在于,所述类型确定单元包括以下一项或多项:
第一类型确定子单元,用于若所述计算得到的流量比例中收到的用户数据报协议包的流量比例高于预定模型中用户数据报协议包的流量比例且当前目标系统仅提供传输控制协议服务,则确定发生用户数据报协议包攻击;
第二类型确定子单元,用于若所述计算得到的流量比例中收到的传输控制协议握手信号包的流量比例相对收到的传输控制协议响应信号包的流量比例超过2倍,则确定发生传输控制协议握手信号包攻击;
第三类型确定子单元,用于若所述计算得到的流量比例中收到的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则确定发生因特网控制报文协议包攻击;
第四类型确定子单元,用于若所述计算得到的流量比例中发送的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例,则当发送的因特网控制报文协议包的流量小于20Mbps时,确定发生大量的扫描,当发送的因特网控制报文协议包的流量大于等于20Mbps时,确定发生随机端口攻击;
第五类型确定子单元,用于若所述计算得到的流量比例中发送的传输控制协议复位信号包的流量比例高于预定模型中传输控制协议复位信号包的流量比例,则确定发生传输控制协议响应信号包攻击。
14.根据权利要求8-13任意一项所述的装置,其特征在于,所述流量确定单元中所述预定模型的流量比例由历史周期内各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例的均值得到。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610809065.XA CN107800674A (zh) | 2016-09-07 | 2016-09-07 | 一种用于检测分布式拒绝服务的攻击流量的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610809065.XA CN107800674A (zh) | 2016-09-07 | 2016-09-07 | 一种用于检测分布式拒绝服务的攻击流量的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107800674A true CN107800674A (zh) | 2018-03-13 |
Family
ID=61530004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610809065.XA Pending CN107800674A (zh) | 2016-09-07 | 2016-09-07 | 一种用于检测分布式拒绝服务的攻击流量的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107800674A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300085A (zh) * | 2018-03-22 | 2019-10-01 | 北京京东尚科信息技术有限公司 | 网络攻击的取证方法、装置、系统、统计集群和计算集群 |
| CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| CN110569282A (zh) * | 2019-09-04 | 2019-12-13 | 中国工商银行股份有限公司 | 数据处理方法、装置、计算设备以及计算机可读存储介质 |
| CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN101980506A (zh) * | 2010-10-29 | 2011-02-23 | 北京航空航天大学 | 一种基于流量特征分析的分布式入侵检测方法 |
| CN102801738A (zh) * | 2012-08-30 | 2012-11-28 | 中国人民解放军国防科学技术大学 | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 |
| CN102946387A (zh) * | 2012-11-01 | 2013-02-27 | 惠州Tcl移动通信有限公司 | 一种防御拒接服务攻击的方法 |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN105491057A (zh) * | 2015-12-28 | 2016-04-13 | 北京像素软件科技股份有限公司 | 防止分布式拒绝服务DDoS攻击的数据传输方法和装置 |
-
2016
- 2016-09-07 CN CN201610809065.XA patent/CN107800674A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN101980506A (zh) * | 2010-10-29 | 2011-02-23 | 北京航空航天大学 | 一种基于流量特征分析的分布式入侵检测方法 |
| CN102801738A (zh) * | 2012-08-30 | 2012-11-28 | 中国人民解放军国防科学技术大学 | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 |
| CN102946387A (zh) * | 2012-11-01 | 2013-02-27 | 惠州Tcl移动通信有限公司 | 一种防御拒接服务攻击的方法 |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN105491057A (zh) * | 2015-12-28 | 2016-04-13 | 北京像素软件科技股份有限公司 | 防止分布式拒绝服务DDoS攻击的数据传输方法和装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300085A (zh) * | 2018-03-22 | 2019-10-01 | 北京京东尚科信息技术有限公司 | 网络攻击的取证方法、装置、系统、统计集群和计算集群 |
| CN110300085B (zh) * | 2018-03-22 | 2022-08-12 | 北京京东尚科信息技术有限公司 | 网络攻击的取证方法、装置、系统、统计集群和计算集群 |
| CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| CN110569282A (zh) * | 2019-09-04 | 2019-12-13 | 中国工商银行股份有限公司 | 数据处理方法、装置、计算设备以及计算机可读存储介质 |
| CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| CN113518057B (zh) * | 2020-04-09 | 2024-03-08 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN107800674A (zh) | 一种用于检测分布式拒绝服务的攻击流量的方法和装置 | |
| US10841228B2 (en) | Abnormal flow detection device and abnormal flow detection method thereof | |
| CN106796753B (zh) | 用于物联网领域的多传感器变化检测 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| CN105530138B (zh) | 一种数据监控方法及装置 | |
| CN103023725A (zh) | 一种基于网络流量分析的异常检测方法 | |
| CN109617868B (zh) | 一种ddos攻击的检测方法、装置及检测服务器 | |
| CN101022404A (zh) | 通信管理系统 | |
| CN106850687A (zh) | 用于检测网络攻击的方法和装置 | |
| CN112769633B (zh) | 一种代理流量检测方法、装置、电子设备及可读存储介质 | |
| Udhayan et al. | Statistical segregation method to minimize the false detections during ddos attacks. | |
| JP5104738B2 (ja) | パケットロス率計測方法、パケットロス率計測装置、およびコンピュータプログラム | |
| US11677777B1 (en) | Situational awareness and perimeter protection orchestration | |
| CN108429653A (zh) | 一种测试方法、设备和系统 | |
| WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| Kim et al. | Deep reinforcement learning-based traffic sampling for multiple traffic analyzers on software-defined networks | |
| Şimşek et al. | Fast and lightweight detection and filtering method for low‐rate TCP targeted distributed denial of service (LDDoS) attacks | |
| CN107454065A (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| CN110661684B (zh) | 流量统计方法及装置 | |
| CN107948989A (zh) | 一种移动终端联网时长的计算方法及装置 | |
| CN110162969B (zh) | 一种流量的分析方法和装置 | |
| CN106817364A (zh) | 一种暴力破解的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180313 |
|
| RJ01 | Rejection of invention patent application after publication |