CN108965347B - 一种分布式拒绝服务攻击检测方法、装置及服务器 - Google Patents

一种分布式拒绝服务攻击检测方法、装置及服务器 Download PDF

Info

Publication number
CN108965347B
CN108965347B CN201811178700.4A CN201811178700A CN108965347B CN 108965347 B CN108965347 B CN 108965347B CN 201811178700 A CN201811178700 A CN 201811178700A CN 108965347 B CN108965347 B CN 108965347B
Authority
CN
China
Prior art keywords
flow
dimension
value
time
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811178700.4A
Other languages
English (en)
Other versions
CN108965347A (zh
Inventor
陈虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201811178700.4A priority Critical patent/CN108965347B/zh
Publication of CN108965347A publication Critical patent/CN108965347A/zh
Application granted granted Critical
Publication of CN108965347B publication Critical patent/CN108965347B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种分布式拒绝服务攻击检测方法、装置及服务器,所述方法包括:预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;对获取的实时流量进行解包,得到多维度实时流量数据;根据所述多维度实时流量数据,统计每个维度的实时流量值;将每个维度的所述实时流量值与所述流量值基线进行差异比较;分析所述差异比较的结果,判断是否输出告警信息。本发明能够适应现网复杂的业务流量形态,避免了一刀切阈值产生的误告警和小流量漏报,提高了检测的准确率,并且提升了检测的灵敏度。

Description

一种分布式拒绝服务攻击检测方法、装置及服务器
技术领域
本发明涉及网络安全技术领域,尤其涉及一种分布式拒绝服务攻击检测方法、装置及服务器。
背景技术
DDoS是英文Distributed Denial of Service的缩写,意为“分布式拒绝服务”,DDoS的精髓是:利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或者长期占用大量资源,从而达到拒绝服务的目的。DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应;另外就是通过短时间内发送海量数据包阻塞IDC(Internet Data Center,互联网数据中心)上游链路带宽,造成正常业务流量陡降,从而达到拒绝服务的目的。
传统的DDoS检测一般都是基于阈值告警,即基于IP(Internet Protocol,网络协议)统计特定时间窗内的流量成分变化,当变化量超过设定的阈值时告警。这种方案比较简单,但是不灵活,所有业务或者特定业务都是一刀切的阈值,容易产生大量误报或者小流量漏报。
发明内容
本发明所要解决的技术问题在于,提供一种分布式拒绝服务攻击检测方法、装置及服务器,能够适应现网复杂的业务流量形态,避免了一刀切阈值产生的误告警和小流量漏报,提高检测的准确率,并且提升检测的灵敏度。
为了解决上述技术问题,第一方面,本发明提供了一种分布式拒绝服务攻击检测方法包括:
预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;
对获取的实时流量进行解包,得到多维度实时流量数据;
根据所述多维度实时流量数据,统计每个维度的实时流量值;
将每个维度的所述实时流量值与所述流量值基线进行差异比较;
分析所述差异比较的结果,判断是否输出告警信息。
第二方面,本发明提供了一种分布式拒绝服务攻击检测装置,包括:
离线计算模块,用于预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;
解包模块,用于对获取的实时流量进行解包,得到多维度实时流量数据;
流量统计模块,用于根据所述多维度实时流量数据,统计每个维度的实时流量值;
差异比较模块,用于将每个维度的所述实时流量值与所述流量值基线进行差异比较;
告警输出模块,用于分析所述差异比较的结果,判断是否输出告警信息。
第三方面,本发明提供了一种服务器,包括处理器和存储器,其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行如第一方面所述的分布式拒绝服务攻击检测方法。
第四方面,本发明提供了一种计算机存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行如第一方面所述的分布式拒绝服务攻击检测方法。
实施本发明实施例,具有如下有益效果:
本发明通过预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;再根据得到的多维度实时流量数据,统计每个维度的实时流量值;将每个维度的实时流量值与流量值基线进行差异比较,根据差异比较的结果,判断是否需要输出告警。本发明为每个维度都设置了流量值基线,对于每一个当前时刻而言,其之前的预设时间段内的历史流量数据均是不同的,故流量值基线在不同时间段内是不同的,即流量值基线是动态变化的。本发明能够适应现网复杂的业务流量形态,提高了检测的准确率,并且提升了检测的灵敏度。
附图说明
图1是本发明实施例提供的应用场景示意图;
图2是本发明实施例提供的一种分布式拒绝服务攻击检测方法流程图;
图3是本发明实施例提供的一种离线计算方法流程图;
图4是本发明实施例提供的一种流量统计方法流程图;
图5是本发明实施例提供的一种流量差异比较方法流程图;
图6是本发明实施例提供的另一种流量差异比较方法流程图;
图7是本发明实施例提供的一种实时流量检测过程示意图;
图8是本发明实施例提供的一种分布式拒绝服务攻击检测装置示意图;
图9是本发明实施例提供的一种离线计算模块示意图;
图10是本发明实施例提供的一种流量统计模块示意图;
图11是本发明实施例提供的差异比较模块第一示意图;
图12是本发明实施例提供的差异比较模块第二示意图;
图13是本发明实施例提供的一种DDoS检测系统示意图;
图14是本发明实施例提供的一种服务器结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。而且,术语“第一”、“第二”等适用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
首先对本实施例中涉及的名词作以下解释:
CUSUM(Cumulative Sum,累积和)算法:变化点检测的主要思想是把网络数据流看作一个随机模型,在异常情况发生时,模型的结构会发生变化,只要能够检测出模型的变化,就能及时发现攻击行为。CUSUM算法是用来检测异常的常用算法,具有计算简单、效率高的特点,因此被广泛应用到需要实时检测的环境中。而且,通过对算法设置不同的检测参数、修改期望值产生方法、阈值的动态产生等方法,可以使该算法具有很好的自适应性。CUSUM算法可以检测到一个统计过程均值的变化,该算法在参数模型已知的情况下是渐进最优的,并且对变化较小的序列检测较为敏感。CUSUM定义如下:
Figure BDA0001824441610000041
其中,xn表示样本序列,ωn表示对样本xn的期望值。当值S超过了指定的阈值β,那么表示值发生了明显的变化,通过对β值的调整可以控制算法对变化的敏感程度。
假设ωi-1=ωi,则Sn+1展开如下:
Figure BDA0001824441610000042
当xi连续大于ωi时,Sn也就成为xi+1i序列的和,这个值会越来越大,直到最后超过指定的阈值,并产生异常报警。
欧氏距离:欧几里得度量(euclidean metric),也称欧氏距离,是一个通常采用的距离定义,指在m维空间中两个点之间的真实距离,或者向量的自然长度(即该点到原点的距离)。在二维和三维空间中的欧氏距离就是两点之间的实际距离。
余弦相似度:余弦相似性通过测量两个向量的夹角的余弦值来度量它们之间的相似性。0度角的余弦值是1,而其他任何角度的余弦值都不大于1;并且其最小值是-1。从而两个向量之间的角度的余弦值确定两个向量是否大致指向相同的方向。两个向量有相同的指向时,余弦相似度的值为1;两个向量夹角为90°时,余弦相似度的值为0;两个向量指向完全相反的方向时,余弦相似度的值为-1。这结果是与向量的长度无关的,仅仅与向量的指向方向相关。余弦相似度通常用于正空间,因此给出的值为0到1之间。
DDoS攻击检测是DDoS攻击防御的基础,DDoS检测系统除了能够产生告警给网络管理员处理之外,还需要能够准确的提供当前攻击的详细信息,比如:攻击的类型、攻击流量大小(或请求数)。业界已有的DDoS攻击流量检测方法主要是通过对网络中的数据类型,如:协议,标志位,应用层特征(GET/POST)进行统计,当统计结果偏离原有模型、阈值时,则认为攻击发生。
现有技术中,在流量进入核心交换机之前,将其镜像一份到流量分析系统;流量分析系统对流量按照网络协议栈规范进行逐包解析,提取出源目的IP、协议、包长等信息,并对其进行聚合统计;将特定时间窗的变化量信息与阈值进行比对,对超过阈值的IP进行告警。这种方式对所有业务或者特定业务采用的都是一刀切的阈值,容易产生误报或者小流量漏报。
请参见图1,其示出了本发明实施例提供的应用场景示意图,包括:服务请求发送方集群110、业务处理服务器120和流量检测服务器130,其中,所述服务请求发送方集群110包括若干用户终端设备,所述用户终端设备可以但不限于为手机、平板电脑、台式计算机等终端设备。所述业务处理服务器120用于接收并处理用户发送的业务服务请求;所述流量检测服务器130用于对流入的流量进行检测,判断是否存在DDoS攻击,并且当检测到存在DDoS攻击时,发出告警信息。
请参见图2,其示出了一种分布式拒绝服务攻击检测方法流程图,包括:
S210.预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线。
这里的预设时间段是指当前时间段之前的一段时间,可以是:以一天(24小时)为计数单位,当前时间段就是今天的0点到24点,而今天0点之前的时间段均为本发明中的预设时间段,本实施例中可以取最近7天,即从今天0点之前开始向前推7天,这一段时间为预设时间段,当然也可以是6天、5天等,可根据实际需要来确定。这里的时间段是以每天24小时来计数的,当然也可以是其他的计数单位,比如小时等。可以理解的是,本实施例中,对于今天来说,需要采集的多维度流量数据是今天之前的7天之内的历史流量数据;当今天过后,对于明天来说,需要采集的多维度流量数据即是今天之前的6天之内的历史流量数据以及今天的流量数据;以此类推,可以采集到当天之前7天的多维度流量数据。
需要说明的是,在采集的这些流量数据之后,需要对其进行存储,以便后续用到相关数据可以及时取用。这里,数据流量的采集可以是实时的,例如,在具体某一天,可以实时采集当天的流量数据并将其存储起来,以便作为后续某天的历史流量数据来进行计算。
这里的离线计算其实是对每个目的IP进行流量画像,得到每个目的IP的流量特征信息。
请参见图3,对多维度流量数据进行离线计算,得到每个维度的流量统计值基线具体可以包括:
S310.对预先存储的所述预设时间段内的多维度流量数据进行降噪处理。
对采集到的流量数据需要进行降噪处理,过滤掉非公司IP流量基线、过滤网络混杂流量以及过滤DDoS攻击流量等,对于过滤DDoS攻击流量的操作,由于这里的流量数据均为历史流量数据,所以当时已经通过检测流量知道了是否存在DDoS攻击流量;将以上可能影响流量判断的流量数据过滤掉,才能得到实际的正常流量数据,即未受到DDoS攻击的流量。
S320.对经过降噪处理之后的所述多维度流量数据进行数据平滑处理。
数据平滑处理主要是:去掉毛刺点、将缺失的部分用最近一段时间的流量值补齐,比如,可以是用最近20分钟内的最大值来补齐。
S330.根据数据处理结果,得出每个维度的流量值基线,并计算所述多维度流量数据的统计值。
在经过上述的数据降噪处理和数据平滑处理之后,根据处理之后的数据拟合出流量曲线,得出每个维度的流量值基线,并计算多维度流量数据的统计值。
S340.存储所述流量值基线和所述统计值。
这里的流量值基线可以是在预设一段时间内的正常流量值。具体地,对于每一个维度的每一个具体时刻点,均会有一个基线流量值与其对应。即根据对最近7天的多维度流量数据进行处理分析,最终得出了对于每一个目的IP,一天之内各个维度在每个时刻点的标准参考流量值。
统计值包括最大最小值、均值、方差及多倍均方差等。
本实施例中丰富了流量数据的统计维度,所说的多维度包括:源端口、目的端口、包长、生存时间值(TTL,Time To Live)和流量包量。多维度是针对某一个目的IP而言的,即对于一个目的IP,可以通过源端口、目的端口、包长、生存时间值和流量包量的流量来描述这个目的IP的流量。
对于每一个目的IP,需要得到:源端口维度下的流量值基线、目的端口维度下的流量值基线、包长维度下的流量值基线、生存时间值维度下的流量值基线和流量包量维度下的流量值基线,即每一个维度都有与其对应的基线。
根据前述的采集7天之内的多维度流量数据,对于每一天而言,最近7天之内的多维度流量数据均是不相同的,因而根据这7天之内的多维度流量数据得到的流量值基线也是不同的,即对于每个目的IP的每个维度的流量值基线是动态变化的。
S220.对获取的实时流量进行解包,得到多维度实时流量数据。
这里可通过分光器实时镜像流量,经过分光交换机之后,按照网络协议栈规范对原始网络包进行解包,从而得到多维度实时流量数据。
S230.根据所述多维度实时流量数据,统计每个维度的实时流量值。
请参见图4,其示出了一种流量统计方法,包括:
S410.当所述维度为源端口、目的端口、包长或生存时间值时,在每个维度下设置若干统计标识。
S420.检测预设时间窗内所述统计标识所对应的流量值。
对于源端口维度:
采用IP+源端口作为标识,基于IP和源端口来统计源端口维度的流量,这样就可以在特定时间窗内检测某一个目的IP的某一个源端口的流量值。具体地,源端口可以取53,123,161,1900,19,135,0等。
对于目的端口维度:
采用IP+目的端口作为标识,基于IP和目的端口来统计目的端口维度的流量,这样就可以在特定时间窗内检测某一个目的IP的某一个目的端口的流量值。
对于包长维度:
假设最大包长为1500,用最大包长除以100,得到15,那么用任一采集到的包长除以100得到分段值M,分段值M会落在0~15之间的某一段中。采用IP+M作为标识,基于IP+M来统计包长维度的流量,这样就可以在特定时间窗内检测某一个目的IP的某个包长段的流量值。
对于TTL维度:
和包长维度类似,将采集到的TTL值除以一个预设值,比如16,可以得到分段值N。采用IP+N来统计TTL维度的流量,这样就可以在特定时间窗内检测某一个目的IP的某个TTL分段的流量值。
对于流量包量维度,可以不设置标识,可直接统计流量包量维度下的流量值。
S240.将每个维度的所述实时流量值与所述流量值基线进行差异比较。
在本实施例的上述内容中,根据最近7天的多维度流量数据得到了每一个目的IP,一天之内各个维度在每个时间点的流量值,将某个维度在某个时间点的多维度实时流量值与对应时间点的流量值基线进行差异比较。具体可参见图5,其示出了一种流量差异比较方法,其主要针对的是源端口、目的端口、包长和生存时间值维度,所述方法包括:
S510.所述维度为源端口、目的端口、包长或生存时间值时,为每个维度的流量判断分别设置相应的阈值。
S520.计算预设时间窗内,每个维度的所述实时流量值与所述流量值基线的偏差。
S530.当所述偏差超过所述相应的阈值时,为对应维度做标记。
具体地,以源端口维度为例,计算特定时间窗内的流量与流量值基线的差异。假设时间窗为10s,每两个时间点之间的间隔为2s,这样一个时间窗内有5个时间点,采集目的IP+53端口的流量,将5个时间点的流量值x=(x1,x2,x3,x4,x5)与目的IP+53端口对应时刻的5个点的基线值y=(y1,y2,y3,y4,y5)进行差异比较。这里具体可以采用欧氏距离和余弦相似度两种方法计算实时流量值与基线值的偏差,当偏差超过设定的阈值时,则将目的IP+53端口这个维度的标志位置为1。由于是分别采用两种方法进行偏差的计算,取两者计算的较大的偏差值作为最终的偏差值。
请参见图6,其示出了另一种流量差异比较方法,其主要针对的是流量包量这个维度,所述方法包括:
S610.当所述维度为流量包量时,计算预设时间窗内预设个时间点的实时流量值与对应的流量值基线的差值。
这里的流量包量维度,可以看成是流量或包量维度,任取其中一个就可以,因为知道包的个数、长度以及时间,就可以得到流量。
S620.计算预设个差值的累加和。
S630.当所述累加和超过所述统计值时,为所述流量包量维度做标记。
具体地,对于流量包量维度,可通过CUSUM算法来统计累积量,假设时间窗为10s,每两个时间点之间的间隔为2s,这样一个时间窗内有5个时间点,将每个时间点的流量值与对应时间点的流量值基线进行比较,如果某个点的流量增加超过流量值基线,则累加差值,否则不累加。最后将5个点的累加和跟统计值做比较,这里的统计值可以是多倍均方差或其他统计值,当累加和超过对应的统计值时,将流量包量维度的标志位置为1。
S250.分析所述差异比较的结果,判断是否输出告警信息。
根据上述差异比较的结果,统计标志位被置为1的维度的个数,本实施例中,当标志位被置为1的维度的个数大于等于2时,则确定为异常,并输出告警信息到后端系统。本实施例中,告警周期可设为10s,即每10s钟判断一次是否需要告警。
对于实时流量的检测过程示意图可参见图7,其只是作为一个示例,在实际操作过程中,并不一定完全是按照该流程来执行。在接收到解包后的多维度实时流量数据之后,各个维度对某个时间点的流量值统计可以是同时进行的,各维度统计完之后,分别与对应的流量值基线进行差异比较,得出差异比较的结果,对差异比较的结果进行分析,最终判断是否需要告警。当判断有DDoS攻击时,对DDoS攻击源发出的网络数据包进行屏蔽。
请参见图8,本实施例还提供了一种分布式拒绝服务攻击检测装置,该装置可通过硬件和/或软件的方式实现,所述装置包括:
离线计算模块810,用于预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线。
所述离线计算模块810的功能主要是对每个IP进行流量画像,通过对采集的多维度流量数据进行处理分析,得到每个目的IP的流量特征信息。具体地,离线计算模块810对采集到的多维度流量数据进行存储,并对每个IP在预设时间段内的流量进行处理,统计流量成分的占比以及计算流量统计值信息。
解包模块820,用于对获取的实时流量进行解包,得到多维度实时流量数据。
流量统计模块830,用于根据所述多维度实时流量数据,统计每个维度的实时流量值。
差异比较模块840,用于将每个维度的所述实时流量值与所述流量值基线进行差异比较。
告警输出模块850,用于分析所述差异比较的结果,判断是否输出告警信息。
本装置中所提到的多维度包括:源端口、目的端口、包长、生存时间值和流量包量。
请参见图9,其中,所述离线计算模块810还包括:
第一处理模块910,用于对预先存储的所述预设时间段内的多维度流量数据进行降噪处理。
这里的降噪处理包括:过滤非公司IP流量基线、过滤网络混杂流量以及过滤DDoS攻击流量等。
第二处理模块920,用于对经过降噪处理之后的所述多维度流量数据进行数据平滑处理。
数据平滑处理主要包括:去掉毛刺点、将缺失的部分用最近一段时间内的最大值来补齐等。
第一计算模块930,用于根据数据处理结果,得出每个维度的流量值基线,并计算所述多维度流量数据的统计值。
第一存储模块940,用于存储所述流量值基线和所述统计值,以供实时检测关联调用。
所述离线计算模块810还包括第二存储模块,用于对采集的流量数据进行存储,以便后续根据存储的相关数据进行计算分析。
对于不同的维度,本实施例通过流量统计模块830中的不同模块来进行流量统计,具体地,请参见图10,对于源端口、目的端口、包长或生存时间值维度,所述流量统计模块830包括:
标识设置模块1010,用于当所述维度为源端口、目的端口、包长或生存时间值时,在每个维度下设置若干统计标识。
流量检测模块1020,用于检测预设时间窗内所述统计标识所对应的流量值。
对于流量包量维度,可直接通过流量统计模块830下的统计模块进行流量的统计。
对于不同的维度,本实施例通过差异比较模块840中的不同模块来进行差异比较,具体地,请参见图11,对于源端口、目的端口、包长或生存时间值维度,所述差异比较模块840包括:
阈值设置模块1110,用于当所述维度为源端口、目的端口、包长或生存时间值时,为每个维度的流量判断分别设置相应的阈值。
偏差计算模块1120,用于计算预设时间窗内,每个维度的所述实时流量值与所述流量值基线的偏差。
第一标记模块1130,用于当所述偏差超过所述相应的阈值时,为对应维度做标记。
请参见图12,对于流量包量维度,所述差异比较模块840包括:
差值计算模块1210,用于当所述维度为流量包量时,计算预设时间窗内预设个时间点的实时流量值与对应的流量值基线的差值。
累加和计算模块1220,用于计算预设个差值的累加和。
第二标记模块1230,用于当所述累加和超过所述统计值时,为所述流量包量维度做标记。
上述实施例中提供的装置可执行本发明任意实施例所提供方法,具备执行该方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节,可参见本发明实施例所提供的方法。
请参见图13,其示出了一种DDoS检测系统示意图,包括核心交换机1310、服务器1320、分光交换机1330、解包模块1340、离线计算模块1350、实时检测模块1360和告警模块1370,所述系统的具体工作过程如下:
在流量进入核心交换机1310之前,通过分光器实时镜像流量;实时流量经过核心交换机1310流入服务器1320。
镜像流量经过分光交换机1330进入解包模块1340,所述解包模块1340包括若干子解包模块,分光交换机1330按照二元组(源目的IP)将镜像的流量分发到不同的子解包模块;解包模块按照网络协议栈规范对原始网络包进行解包。
解包之后的多维度实时流量数据实时输出给实时检测模块1360和离线计算模块1350,离线计算模块1350中的流量采集模块1352对输出的实时流量数据进行采集,并将采集的流量信息存储在第二存储模块1354中;数据处理模块1356从第二存储模块1354中获得最近7天的历史流量数据并进行分析,得到对于每个IP的流量值画像,并将结果存储在第一存储模块1358中。
实时检测模块1360中的流量统计模块1362对实时流量的各个维度进行统计,差异比较模块1364将实时统计的流量与每个IP的流量值画像进行实时关联,并通过CUSUM算法、欧氏距离以及余弦相似度的计算方法,计算偏差值。告警模块1370判断是否存在流量异常,如果出现流量异常,则将告警信息发送至后端系统。
请参见图14,其示出了一种服务器结构示意图,该服务器1400用于实施上述实施例中提供的分布式拒绝服务攻击检测方法,具体来讲,所述服务器结构可以包括上述分布式拒绝服务攻击检测装置。该服务器1400可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)1422(例如,一个或一个以上处理器)和存储器1432,一个或一个以上存储应用程序1442或数据1444的存储介质1430(例如一个或一个以上海量存储设备)。其中,存储器1432和存储介质1430可以是短暂存储或持久存储。存储在存储介质1430的程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1422可以设置为与存储介质1430通信,在服务器1400上执行存储介质1430中的一系列指令操作。服务器1400还可以包括一个或一个以上电源1426,一个或一个以上有线或无线网络接口1450,一个或一个以上输入输出接口1458,和/或,一个或一个以上操作系统1441,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
本实施例还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行如本实施例所提供的方法。
本发明基于滑动时间窗的突变点累加和检测,并结合欧氏距离及余弦相似度的方法来计算流量的变化量,大大提升了检测的灵敏度,对于较小的流量突增均可有效检测出来。本发明丰富了流量数据的统计维度,使得对IP的流量画像更为精准,并且为每个维度都设置了流量值基线,对于每一个当前时刻而言,其之前的预设时间段内的历史流量数据均是不同的,故流量值基线在不同时间段内是不同的,即流量值基线是动态变化的;关联离线计算为每个IP进行单独的流量画像,基于流量画像设置动态告警阈值,避免了一刀切阈值带来的误报,提高了检测的准确率。
本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤和顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或中断产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
本实施例中所示出的结构,仅仅是与本申请方案相关的部分结构,并不构成对本申请方案所应用于其上的设备的限定,具体的设备可以包括比示出的更多或更少的部件,或者组合某些部件,或者具有不同的部件的布置。应当理解到,本实施例中所揭露的方法、装置等,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分仅仅为一种逻辑功能的划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元模块的间接耦合或通信连接。
基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员还可以进一步意识到,结合本说明书所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合实现,为了清除地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但这种实现不应认为超出本发明的范围。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (11)

1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:
预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;所述多维度流量数据是在所述预设时间段内实时采集的,用于基于多个维度的流量描述目的IP的流量,所述离线计算为对每个所述目的IP进行流量画像,所述每个维度的流量值基线是在所述预设时间段内的正常流量值,表征每个所述目的IP的流量特征信息;
对获取的实时流量进行解包,得到多维度实时流量数据;所述实时流量为通过实时镜像得到的原始网络包;
根据所述多维度实时流量数据,统计每个目的IP的每个维度的实时流量值;
将每个目的IP的每个维度的所述实时流量值与所述流量值基线进行差异比较;
分析所述差异比较的结果,判断是否输出告警信息。
2.根据权利要求1所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线包括:
对预先存储的所述预设时间段内的多维度流量数据进行降噪处理;
对经过降噪处理之后的所述多维度流量数据进行数据平滑处理;
根据数据处理结果,得出每个维度的流量值基线,并计算所述多维度流量数据的统计值;
存储所述流量值基线和所述统计值。
3.根据权利要求2所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述多维度包括:源端口、目的端口、包长、生存时间值和流量包量。
4.根据权利要求3所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述根据所述多维度实时流量数据,统计每个维度的实时流量值包括:
当所述维度为源端口、目的端口、包长或生存时间值时,在每个维度下设置若干统计标识;
检测预设时间窗内所述统计标识所对应的流量值。
5.根据权利要求4所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述将每个维度的所述实时流量值与所述流量值基线进行差异比较包括:
当所述维度为源端口、目的端口、包长或生存时间值时,为每个维度的流量判断分别设置相应的阈值;
计算预设时间窗内,每个维度的所述实时流量值与所述流量值基线的偏差;
当所述偏差超过所述相应的阈值时,为对应维度做标记。
6.根据权利要求3所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述将每个维度的所述实时流量值与所述流量值基线进行差异比较包括:
当所述维度为流量包量时,计算预设时间窗内预设个时间点的实时流量值与对应的流量值基线的差值;
计算预设个差值的累加和;
当所述累加和超过所述统计值时,为所述流量包量维度做标记。
7.一种分布式拒绝服务攻击检测装置,其特征在于,包括:
离线计算模块,用于预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;所述多维度流量数据是在所述预设时间段内实时采集的,用于基于多个维度的流量描述目的IP的流量,所述离线计算为对每个所述目的IP进行流量画像,所述每个维度的流量值基线是在所述预设时间段内的正常流量值,表征每个所述目的IP的流量特征信息;
解包模块,用于对获取的实时流量进行解包,得到多维度实时流量数据;所述实时流量为通过实时镜像得到的原始网络包;
流量统计模块,用于根据所述多维度实时流量数据,统计每个目的IP的每个维度的实时流量值;
差异比较模块,用于将每个目的IP的每个维度的所述实时流量值与所述流量值基线进行差异比较;
告警输出模块,用于分析所述差异比较的结果,判断是否输出告警信息。
8.根据权利要求7所述的一种分布式拒绝服务攻击检测装置,其特征在于,所述离线计算模块包括:
第一处理模块,用于对预先存储的所述预设时间段内的多维度流量数据进行降噪处理;
第二处理模块,用于对经过降噪处理之后的所述多维度流量数据进行数据平滑处理;
第一计算模块,用于根据数据处理结果,得出每个维度的流量值基线,并计算所述多维度流量数据的统计值;
第一存储模块,用于存储所述流量值基线和所述统计值。
9.根据权利要求8所述的一种分布式拒绝服务攻击检测装置,其特征在于,所述多维度包括:源端口、目的端口、包长、生存时间值和流量包量。
10.一种服务器,其特征在于,包括处理器和存储器,其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行如权利要求1-6任一项所述的分布式拒绝服务攻击检测方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行如权利要求1-6中任一项所述的分布式拒绝服务攻击检测方法。
CN201811178700.4A 2018-10-10 2018-10-10 一种分布式拒绝服务攻击检测方法、装置及服务器 Active CN108965347B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811178700.4A CN108965347B (zh) 2018-10-10 2018-10-10 一种分布式拒绝服务攻击检测方法、装置及服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811178700.4A CN108965347B (zh) 2018-10-10 2018-10-10 一种分布式拒绝服务攻击检测方法、装置及服务器

Publications (2)

Publication Number Publication Date
CN108965347A CN108965347A (zh) 2018-12-07
CN108965347B true CN108965347B (zh) 2021-06-11

Family

ID=64480970

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811178700.4A Active CN108965347B (zh) 2018-10-10 2018-10-10 一种分布式拒绝服务攻击检测方法、装置及服务器

Country Status (1)

Country Link
CN (1) CN108965347B (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110166418B (zh) * 2019-03-04 2020-11-13 腾讯科技(深圳)有限公司 攻击检测方法、装置、计算机设备和存储介质
CN109922072B (zh) * 2019-03-18 2021-07-16 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击检测方法及装置
CN109951491A (zh) * 2019-03-28 2019-06-28 腾讯科技(深圳)有限公司 网络攻击检测方法、装置、设备及存储介质
CN110602109A (zh) * 2019-09-17 2019-12-20 东南大学 一种基于多特征熵的应用层DDoS攻击检测与防御方法
CN111314294A (zh) * 2020-01-15 2020-06-19 福建奇点时空数字科技有限公司 一种基于周期性和移动窗口基线算法的异常流量检测方法
CN111277598B (zh) * 2020-01-21 2022-11-04 北京天琴合创技术有限公司 一种基于流量的应用攻击识别方法及系统
CN111163114A (zh) * 2020-04-02 2020-05-15 腾讯科技(深圳)有限公司 用于检测网络攻击的方法和设备
CN113518057B (zh) * 2020-04-09 2024-03-08 腾讯科技(深圳)有限公司 分布式拒绝服务攻击的检测方法、装置及其计算机设备
CN111556057B (zh) * 2020-04-29 2022-11-04 绿盟科技集团股份有限公司 一种流量异常检测方法、装置、电子设备及存储介质
CN112287390B (zh) * 2020-10-23 2024-05-10 杭州数梦工场科技有限公司 基线的自适应调整方法及装置
CN112380100A (zh) * 2020-12-01 2021-02-19 北京威努特技术有限公司 基于方向偏差的业务异常检测方法、装置和介质
CN112468347B (zh) * 2020-12-14 2022-02-25 中国科学院信息工程研究所 一种云平台的安全管理方法、装置、电子设备及存储介质
CN114301761B (zh) * 2021-12-31 2024-07-30 科来网络技术股份有限公司 一种告警方法、系统、告警装置及存储介质
CN114666092A (zh) * 2022-02-16 2022-06-24 奇安信科技集团股份有限公司 用于安全分析的实时行为安全基线数据降噪方法及装置
CN117596079A (zh) * 2024-01-18 2024-02-23 北京安博通科技股份有限公司 分布式拒绝服务攻击检测方法、装置、电子设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103441982A (zh) * 2013-06-24 2013-12-11 杭州师范大学 一种基于相对熵的入侵报警分析方法
CN107623685A (zh) * 2017-09-08 2018-01-23 杭州安恒信息技术有限公司 快速检测SYN Flood攻击的方法及装置
CN107743087A (zh) * 2016-10-27 2018-02-27 腾讯科技(深圳)有限公司 一种邮件攻击的检测方法及系统
CN108334774A (zh) * 2018-01-24 2018-07-27 中国银联股份有限公司 一种检测攻击的方法、第一服务器及第二服务器
CN109067787A (zh) * 2018-09-21 2018-12-21 腾讯科技(深圳)有限公司 分布式拒绝服务ddos攻击检测方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10075468B2 (en) * 2016-06-24 2018-09-11 Fortinet, Inc. Denial-of-service (DoS) mitigation approach based on connection characteristics
US20180091547A1 (en) * 2016-09-26 2018-03-29 Arbor Networks, Inc. Ddos mitigation black/white listing based on target feedback

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103441982A (zh) * 2013-06-24 2013-12-11 杭州师范大学 一种基于相对熵的入侵报警分析方法
CN107743087A (zh) * 2016-10-27 2018-02-27 腾讯科技(深圳)有限公司 一种邮件攻击的检测方法及系统
CN107623685A (zh) * 2017-09-08 2018-01-23 杭州安恒信息技术有限公司 快速检测SYN Flood攻击的方法及装置
CN108334774A (zh) * 2018-01-24 2018-07-27 中国银联股份有限公司 一种检测攻击的方法、第一服务器及第二服务器
CN109067787A (zh) * 2018-09-21 2018-12-21 腾讯科技(深圳)有限公司 分布式拒绝服务ddos攻击检测方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于相对熵理论的网络异常检测方法;韩照国;《中国优秀硕士学位论文全文数据库信息科技辑》;20101015;正文第三章-第四章 *

Also Published As

Publication number Publication date
CN108965347A (zh) 2018-12-07

Similar Documents

Publication Publication Date Title
CN108965347B (zh) 一种分布式拒绝服务攻击检测方法、装置及服务器
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
US10554526B2 (en) Feature vector based anomaly detection in an information technology environment
US9386028B2 (en) System and method for malware detection using multidimensional feature clustering
CN112019574B (zh) 异常网络数据检测方法、装置、计算机设备和存储介质
US8676729B1 (en) Network traffic classification using subspace clustering techniques
CN110519290B (zh) 异常流量检测方法、装置及电子设备
CN108076019B (zh) 基于流量镜像的异常流量检测方法及装置
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN109951491A (zh) 网络攻击检测方法、装置、设备及存储介质
CN109617868B (zh) 一种ddos攻击的检测方法、装置及检测服务器
CN107968791B (zh) 一种攻击报文的检测方法及装置
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN113114694B (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
TW201349797A (zh) 網路流量異常偵測系統及其方法
CN113518057A (zh) 分布式拒绝服务攻击的检测方法、装置及其计算机设备
CN111163114A (zh) 用于检测网络攻击的方法和设备
CN110958245B (zh) 一种攻击的检测方法、装置、设备和存储介质
US10715641B2 (en) System and method for identifying devices behind network address translators based on TCP timestamps
CN111092849B (zh) 基于流量的分布式拒绝服务的检测方法及装置
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN114095265B (zh) Icmp隐蔽隧道检测方法、装置及计算机设备
CN106817268B (zh) 一种ddos攻击的检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant