CN107864155A - 一种高准确率的ddos攻击检测方法 - Google Patents
一种高准确率的ddos攻击检测方法 Download PDFInfo
- Publication number
- CN107864155A CN107864155A CN201711319256.9A CN201711319256A CN107864155A CN 107864155 A CN107864155 A CN 107864155A CN 201711319256 A CN201711319256 A CN 201711319256A CN 107864155 A CN107864155 A CN 107864155A
- Authority
- CN
- China
- Prior art keywords
- packet
- attack
- data
- network
- network data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种高准确率的DDOS攻击检测方法,属于计算机网路安全领域。本方法为:数据包截取模块对接入的网络数据包信息进行解析;数据包特征统计模块对解析出的网络数据包信息进行统计;统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;数据分析模块根据存储的所计算出的历史数据,计算网络数据的报警阈值;数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将其提交到攻击分析模块;攻击分析模块根据接收到的网络数据值生成检测报告。与现有技术相比,本发明综合网络传输的历史数据,对当前的网络数据进行深入分析,可识别各种DDOS攻击。
Description
技术领域
本发明涉及计算机网路安全领域,具体涉及一种高准确率的DDOS攻击检测方法。
背景技术
拒绝服务攻击,英文Denial of Service(DOS),作为互联网上的一种攻击手段,已经有很长的历史了,主要是利用TCP/IP协议的缺陷,将提供服务的网络的资源耗尽,导致不能提供正常服务,是一种对网络危害巨大的恶意攻击,有些拒绝服务攻击是消耗带宽,有些是消耗网络设备的cpu和内存,也有一些是导致系统崩溃,其中具有代表性的攻击手段包括SYN flood,ICMP flood、UDP flood等。
最初,攻击一般以单台电脑向目标发起攻击为主,即我们常说的DOS攻击,随着技术的发展,现在的攻击技术已经由DOS模式发展到了DDOS模式,即由统一控制的多台电脑,使用分布式技术,同时向攻击目标发起拒绝服务攻击,称为分布式拒绝服务攻击。到目前为止,还没有一种很好的技术能彻底检测并防御拒绝服务攻击。
针对目前分布式拒绝服务攻击对互联网的威胁,本发明的目的在于提出一种DDOS攻击检测方法,其可以实时的对DDOS攻击进行检测。本发明综合DDOS攻击的多个网络特征,综合分析完成对DDOS攻击的检测。
发明内容
本发明的技术方案为:
一种高准确率的DDOS攻击检测方法,其步骤为:
1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口;
2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数;
3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;
4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据,计算网络数据的报警阈值;
5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到攻击分析模块;
6)攻击分析模块根据接收到的网络数据值生成检测报告。
进一步的,所述检测报告为网络攻击报告,其包括:攻击类型、攻击目标、攻击源头、攻击规模。
进一步的,所述攻击类型包括:
1)UDPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且UDP数据包的流量超过UDP包流量报警阈值,且UDP数据包占网络数据包总数的比例达到UDP包占比报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值;
2)TCPsynfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCPsyn数据包流量超过TCPsyn包流量报警阈值,且TCPsyn数据包和TCPsynack数据包的比例超过TCPsyn-ACK包占比报警阈值,且TCPsyn数据包与TCP数据包总量的比例超过 TCPsyn包占比报警阈值,且TCP数据包的平均长度超过TCP包长度报警阈值;
3)TCPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCP网络流量超过TCP包流量报警阈值,且TCP数据包占网络数据包总数的比例超过TCP包占比报警阈值;
4)DNS攻击类型,其实别方法为:DNS数据包流量超过DNS包流量报警阈值,且DNS数据包流量占总流量的比例超过DNS流量占比报警阈值。
进一步的,所述攻击规模的确定方法为:首先根据确定的攻击类型,获得对应类型目前的攻击流量;然后综合对比该类型数据包的流量报警阈值和历史正常流量,来评估出当前该攻击类型的攻击规模。
进一步的,所述攻击目标的确定方法为:首先对发往同一目的IP地址的数据包个数进行统计;然后对比较集中的目的IP进行排名,将排名靠前的IP确定为被攻击的目标;所述攻击源IP的确定方法为:对数据包的源IP地址进行统计,并根据发送数据包个数进行从高到低的排列,将排名靠前的IP确定为攻击源IP。
进一步的,所述检测报告为网络监测日报,其包括:当天不同时间点网络流量的折线图;当天各种类型数据包所占比例的折线图;当天各类型数据包所占比例平均值的饼状图;当天不同时间点网络中各类型数据包平均长度的折线图。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
针对目前分布式拒绝服务攻击对互联网的威胁,本发明提出一种DDOS攻击检测方法,其可以实时的对DDOS攻击进行检测。本发明综合DDOS攻击的多个网络特征,综合分析完成对DDOS攻击的检测。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种高准确率的DDOS攻击检测方法,其步骤为:
1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口;
2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数;
3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;
4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据,计算网络数据的报警阈值;
5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到攻击分析模块;
6)攻击分析模块根据接收到的网络数据值生成检测报告。
进一步的,所述检测报告为网络攻击报告,其包括:攻击类型、攻击目标、攻击源头、攻击规模。
进一步的,所述攻击类型包括:
1)UDPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且UDP数据包的流量超过UDP包流量报警阈值,且UDP数据包占网络数据包总数的比例达到UDP包占比报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值;
2)TCPsynfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCPsyn数据包流量超过TCPsyn包流量报警阈值,且TCPsyn数据包和TCPsynack数据包的比例超过TCPsyn-ACK包占比报警阈值,且TCPsyn数据包与TCP数据包总量的比例超过 TCPsyn包占比报警阈值,且TCP数据包的平均长度超过TCP包长度报警阈值;
3)TCPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCP网络流量超过TCP包流量报警阈值,且TCP数据包占网络数据包总数的比例超过TCP包占比报警阈值;
4)DNS攻击类型,其实别方法为:DNS数据包流量超过DNS包流量报警阈值,且DNS数据包流量占总流量的比例超过DNS流量占比报警阈值。
进一步的,所述攻击规模的确定方法为:首先根据确定的攻击类型,获得对应类型目前的攻击流量;然后综合对比该类型数据包的流量报警阈值和历史正常流量,来评估出当前该攻击类型的攻击规模。
进一步的,所述攻击目标的确定方法为:首先对发往同一目的IP地址的数据包个数进行统计;然后对比较集中的目的IP进行排名,将排名靠前的IP确定为被攻击的目标;所述攻击源IP的确定方法为:对数据包的源IP地址进行统计,并根据发送数据包个数进行从高到低的排列,将排名靠前的IP确定为攻击源IP。
进一步的,所述检测报告为网络监测日报,其包括:当天不同时间点网络流量的折线图;当天各种类型数据包所占比例的折线图;当天各类型数据包所占比例平均值的饼状图;当天不同时间点网络中各类型数据包平均长度的折线图。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何属于本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围。
Claims (2)
1.一种高准确率的DDOS攻击检测方法,其步骤为:
1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口、各种类型数据包的数据包长度;
2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数、各类型数据包的平均长度;
3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;
4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据,计算网络数据的报警阈值;
5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到攻击分析模块;
6)攻击分析模块根据接收到的网络数据值生成检测报告。
2.如权利要求1所述的方法,其特征在于所述检测报告为网络攻击报告,其还包括:攻击目标、攻击源头、攻击规模。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711319256.9A CN107864155A (zh) | 2017-12-12 | 2017-12-12 | 一种高准确率的ddos攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711319256.9A CN107864155A (zh) | 2017-12-12 | 2017-12-12 | 一种高准确率的ddos攻击检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107864155A true CN107864155A (zh) | 2018-03-30 |
Family
ID=61706070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711319256.9A Pending CN107864155A (zh) | 2017-12-12 | 2017-12-12 | 一种高准确率的ddos攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107864155A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924127A (zh) * | 2018-06-29 | 2018-11-30 | 新华三信息安全技术有限公司 | 一种流量基线的生成方法和装置 |
| CN111193689A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 一种网络攻击处理方法、装置、电子设备及存储介质 |
| CN111641628A (zh) * | 2020-05-26 | 2020-09-08 | 南京云利来软件科技有限公司 | 一种子网欺骗DDoS攻击监测预警方法 |
| CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| CN113645624A (zh) * | 2021-08-25 | 2021-11-12 | 广东省高峰科技有限公司 | 一种异常网络数据的排查方法和装置 |
-
2017
- 2017-12-12 CN CN201711319256.9A patent/CN107864155A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924127A (zh) * | 2018-06-29 | 2018-11-30 | 新华三信息安全技术有限公司 | 一种流量基线的生成方法和装置 |
| CN108924127B (zh) * | 2018-06-29 | 2020-12-04 | 新华三信息安全技术有限公司 | 一种流量基线的生成方法和装置 |
| CN111193689A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 一种网络攻击处理方法、装置、电子设备及存储介质 |
| CN111193689B (zh) * | 2018-11-15 | 2022-06-03 | 北京金山云网络技术有限公司 | 一种网络攻击处理方法、装置、电子设备及存储介质 |
| CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| CN113518057B (zh) * | 2020-04-09 | 2024-03-08 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| CN111641628A (zh) * | 2020-05-26 | 2020-09-08 | 南京云利来软件科技有限公司 | 一种子网欺骗DDoS攻击监测预警方法 |
| CN113645624A (zh) * | 2021-08-25 | 2021-11-12 | 广东省高峰科技有限公司 | 一种异常网络数据的排查方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107864155A (zh) | 一种高准确率的ddos攻击检测方法 | |
| US9060020B2 (en) | Adjusting DDoS protection based on traffic type | |
| CN101741847B (zh) | 一种ddos攻击检测方法 | |
| US7836498B2 (en) | Device to protect victim sites during denial of service attacks | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| US7331060B1 (en) | Dynamic DoS flooding protection | |
| Shamsolmoali et al. | Statistical-based filtering system against DDOS attacks in cloud computing | |
| US20030145232A1 (en) | Denial of service attacks characterization | |
| CN104378380A (zh) | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 | |
| US20140380457A1 (en) | Adjusting ddos protection | |
| Harshita | Detection and prevention of ICMP flood DDOS attack | |
| KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
| Patil et al. | A rate limiting mechanism for defending against flooding based distributed denial of service attack | |
| Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
| CN107864110A (zh) | 僵尸网络主控端检测方法和装置 | |
| CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
| Yi et al. | Source-based filtering scheme against DDOS attacks | |
| Haggerty et al. | Statistical signatures for early detection of flooding denial-of-service attacks | |
| Mosharraf et al. | Using a History-based Profile to Detect and Respond to DDoS Attacks. | |
| Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
| Acharya et al. | DDoS simulation and hybrid ddos defense mechanism | |
| US20240098111A1 (en) | CHARACTERIZATION AND MITIGATION OF RANDOMIZED DDoS ATTACKS | |
| Kiuchi et al. | A design of history based traffic filtering with probabilistic packet marking against DoS Attacks | |
| Selvaraj | Distributed Denial of Service Attack Detection, Prevention and Mitigation Service on Cloud Environment | |
| Doss et al. | Detecting IP Spoofing using Hop Count Filtering based dynamic path update approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180330 |