CN109981533A - 一种DDoS攻击检测方法、装置、电子设备及存储介质 - Google Patents
一种DDoS攻击检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN109981533A CN109981533A CN201711451017.9A CN201711451017A CN109981533A CN 109981533 A CN109981533 A CN 109981533A CN 201711451017 A CN201711451017 A CN 201711451017A CN 109981533 A CN109981533 A CN 109981533A
- Authority
- CN
- China
- Prior art keywords
- request
- access
- detection cycle
- entropy
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
- G06F16/358—Browsing; Visualisation therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明公开了一种DDoS攻击检测方法、装置、电子设备及存储介质,所述方法包括:在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;如果否,确定所述服务器在所述检测周期内受到DDoS攻击。提供了一种不受IP和流量影响的DDoS攻击检测方案,保证了DDoS攻击检测的准确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种分布式拒绝服务(DistributedDenial of Service,DDoS)攻击检测方法、装置、电子设备及存储介质。
背景技术
DDoS攻击是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式,指将多个客户端联合起来作为攻击平台,对一个或者多个目标服务器发动攻击,从而成倍地提高拒绝服务攻击的威力,其最基本的攻击方法是利用多个客户端同时发送大量的合理的服务请求,占用服务器的大量资源,导致服务器无法提供正常的服务。
现有技术在对DDoS攻击进行检测时,主要采用两种方式,一种是对服务器的流量进行检测,当流量超过设定流量阈值时,确定受到DDoS攻击;另一种是根据服务器接收的访问请求中出现的客户端IP地址来计算熵值,通过熵值可以反映出客户端IP地址的分布情况,熵值越大,表示源IP分布越分散,DDoS攻击发生时,客户端IP地址的熵值会明显增大。
然而,伴随着服务器提供的业务越来越复杂,服务器在特定情景下,很容易产生正常的突发用户大流量(Flash Crowd)情况,比如双11的电商网站服务器,春运的售票网站服务器以及学生选课期间的校园网服务器,导致通过流量检测DDoS攻击不准确,存在很高误检率;此外,现有大多数企事业单位都是通过网址转换(Network Address Translation,NAT)技术利用一个或几个公网IP提供互联网服务,这就导致大量用户使用同一IP访问同一服务器成为一种常见现象,依靠IP进行DDoS攻击检测也会产生很高的误检率。
发明内容
本发明提供一种DDoS攻击检测方法、装置、电子设备及存储介质,用以解决现有技术中DDoS攻击检测存在很高误检率,不准确的问题。
本发明公开了一种DDoS攻击检测方法,所述方法包括:
在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;
根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;
判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;
如果否,确定所述服务器在所述检测周期内受到DDoS攻击。
进一步地,所述在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长之前,所述方法还包括:
根据所述检测周期内,服务器中每个URL页面被访问的次数,服务器接收到访问请求的总次数,确定每个URL页面被访问的第二概率;
根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵;
判断所述请求熵是否位于预设的请求熵范围内;
如果否,进行后续步骤。
进一步地,所述在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长包括:
获取检测周期内,所述每个访问请求的请求时间及对应的URL页面的跳转时间;
针对每个访问请求,根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值,确定该访问请求访问对应的URL页面的访问时长。
进一步地,所述根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵包括:
根据公式确定所述检测周期的停留时间熵,其中H(U1)为所述检测周期的停留时间熵、n为第一概率的数量、Pi为第i个第一概率。
进一步地,所述根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵包括:
根据公式确定所述检测周期的请求熵,其中H(U2)为所述检测周期的请求熵、N为第二概率的数量、Pj为第j个第二概率。
本发明公开了一种DDoS攻击检测装置,所述装置包括:
第一确定模块,用于在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;
第二确定模块,用于根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;
第一判断模块,用于判断所述检测周期的停留时间熵是否位于预设的时间熵范围内,如果判断结果为否,触发第三确定模块;
第三确定模块,用于确定所述服务器在所述检测周期内受到DDoS攻击。
本发明公开了一种电子设备,包括:存储器和处理器;
所述处理器,用于读取存储器中的程序,执行下列过程:在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;如果否,确定所述服务器在所述检测周期内受到DDoS攻击。
进一步地,所述处理器,还用于根据所述检测周期内,服务器中每个URL页面被访问的次数,服务器接收到访问请求的总次数,确定每个URL页面被访问的第二概率;根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵;判断所述请求熵是否位于预设的请求熵范围内;如果否,进行在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长的步骤。
进一步地,所述处理器,具体用于获取检测周期内,所述每个访问请求的请求时间及对应的URL页面的跳转时间;针对每个访问请求,根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值,确定该访问请求访问对应的URL页面的访问时长。
进一步地,所述处理器,具体用于根据公式确定所述检测周期的停留时间熵,其中H(U1)为所述检测周期的停留时间熵、n为第一概率的数量、Pi为第i个第一概率。
进一步地,所述处理器,具体用于根据公式确定所述检测周期的请求熵,其中H(U2)为所述检测周期的请求熵、N为第二概率的数量、Pj为第j个第二概率。
本发明公开了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一项所述方法的步骤。
本发明公开了一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述任一项所述方法的步骤。
本发明实施例公开了一种DDoS攻击检测方法、装置、电子设备及存储介质,所述方法包括:在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;如果否,确定所述服务器在所述检测周期内受到DDoS攻击。由于在本发明实施例中,对访问请求访问对应的URL页面的访问时长,这一不受IP和流量影响的网络行为进行识别,并根据服务器受到DDoS攻击时,服务器会接收到大量的对应的URL页面的访问时长极短的访问请求,导致根据访问请求访问对应的URL页面的访问时长确定的时间熵偏离正常时间熵范围这一现象,根据检测周期内,服务器接收的每个访问请求对应的URL页面访问时长占总访问时长的第一概率及预设的信息熵公式,确定检测周期的停留时间熵,并在检测周期的停留时间熵不位于预设的时间熵范围内时,确定服务器在检测周期内受到DDoS攻击,保证了对DDoS攻击检测的准确性,降低了误检率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种DDoS攻击检测过程示意图;
图2为本发明实施例提供的一种停留时间熵和请求熵仿真示意图;
图3为本发明实施例提供的一种DDoS攻击检测过程示意图;
图4为本发明实施例提供的一种DDoS攻击检测装置结构示意图;
图5为本发明实施例提供的一种电子设备示意图;
图6为本发明实施例提供的一种电子设备示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的一种DDoS攻击检测过程示意图,该过程包括:
S101:在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符(Uniform Resource Locator,URL)页面的访问时长,并根据每个访问时长,确定总访问时长。
本发明实施例的DDoS攻击检测方法,可以应用于服务器、平板电脑、个人计算机(PC)等检测设备。
在正常情况下,用户访问万维网(World Wide Web,Web)服务器网站,通常是首先通过网站的主页URL链接,访问网站主页,在网站主页浏览发现感兴趣的内容后,再点击URL链接,进入到二级页面。然后继续浏览,用户往往在页面停留一段时间用来浏览页面内容。用户浏览完页面内容后,可能直接关闭该页面,也可能回退到上一级页面或者返回主页寻找其他感兴趣的内容。一般情况下不同的用户兴趣不同,在同一网站上访问的页面也肯定不同,同时,由于不同用户的浏览习惯和阅读速度不同,所以不同用户浏览的页面即使相同,花费的时间肯定也不尽相同。但DDoS攻击时,为了保证在相同的时间内尽可能的消耗Web服务器的资源,被植入代理程序的客户端会向Web服务器发送大量访问请求,并且每个访问请求对应的URL页面的访问时长极短,因此当Web服务器受到DDoS攻击时,Web服务器会接收到大量对应的URL页面的访问时长极短的访问请求。
具体的,在检测设备中预先设置有进行DDoS攻击检测的检测周期,其中检测周期可以为1分钟、3分钟、5分钟等,检测设备可以通过读取服务器的日志文件,确定服务器在检测周期内接收的每个访问请求访问对应的URL页面的访问时长,并根据每个访问时长的和,确定总访问时长。
例如:在检测周期内,服务器接收到访问请求1访问对应的URL页面的访问时长为20秒、访问请求2访问对应的URL页面的访问时长为10秒、访问请求3访问对应的URL页面的访问时长为15秒,确定总访问时长为45秒。
S102:根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵。
所述根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵包括:
根据公式确定所述检测周期的停留时间熵,其中H(U1)为所述检测周期的停留时间熵、n为第一概率的数量、Pi为第i个第一概率。
具体的,根据每个访问请求对应的访问时长与总访问时长的比值,确定每个访问请求对应的第一概率后,将检测周期内每个访问请求对应的第一概率代入公式中,确定检测周期的停留时间熵H(U1)。
较佳的,在本发明实施例中,可以根据公式确定检测周期内服务器接收的每个访问请求对应的第一概率,其中n为检测周期内接收到访问请求的次数,△ti为第i个访问请求对应的URL页面的访问时长,Pi为第i个访问请求对应的第一概率。
S103:判断所述检测周期的停留时间熵是否位于预设的时间熵范围内,如果是,进行S104,如果否,进行S105。
S104:确定所述服务器在所述检测周期内未受到DDoS攻击。
S105:确定所述服务器在所述检测周期内受到DDoS攻击。
当检测周期内,服务器受到DDoS攻击时,服务器在该检测周期内较未受到DDoS攻击时,会接收到大量的对应的URL页面访问时长极短的访问请求,进而导致根据每个访问请求对应的第一概率及预设的信息熵公式,确定的该检测周期的停留时间熵偏离正常的时间熵范围。在本发明实施例中,针对服务器预设有时间熵范围,其中预设的时间熵范围是根据该服务器未受到DDoS攻击时,对应的时间熵确定的。
具体的,检测设备判断检测周期的停留时间熵是否位于预设的时间熵范围内,如果是,确定服务器在该检测周期内未受到DDoS攻击,如果否,确定服务器在该检测周期内受到DDoS攻击。较佳的,在确定服务器在该检测周期内受到DDoS攻击后,还可以产生包含该检测周期标识信息的告警信息,便于服务器的安全管理人员对服务器是否受到DDoS攻击的获知。
由于在本发明实施例中,对访问请求访问对应的URL页面的访问时长,这一不受IP和流量影响的网络行为进行识别,并根据服务器受到DDoS攻击时,服务器会接收到大量的对应的URL页面的访问时长极短的访问请求,导致根据访问请求访问对应的URL页面的访问时长确定的时间熵偏离正常时间熵范围这一现象,根据检测周期内,服务器接收的每个访问请求对应的URL页面访问时长占总访问时长的第一概率及预设的信息熵公式,确定检测周期的停留时间熵,并在检测周期的停留时间熵不位于预设的时间熵范围内时,确定服务器在检测周期内受到DDoS攻击,保证了对DDoS攻击检测的准确性,降低了误检率。
实施例2:
为了进一步提高检测效率,在上述实施例的基础上,在本发明实施例中,所述在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长之前,所述方法还包括:
根据所述检测周期内,服务器中每个URL页面被访问的次数,服务器接收到访问请求的总次数,确定每个URL页面被访问的第二概率;
根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵;
判断所述请求熵是否位于预设的请求熵范围内;
如果否,进行后续步骤。
所述根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵包括:
根据公式确定所述检测周期的请求熵,其中H(U2)为所述检测周期的请求熵、N为第二概率的数量、Pj为第j个第二概率。
在正常情况下,用户会根据自己的兴趣去访问Web服务器网站,用户访问Web服务器的网站是随机的,但这种随机往往会遵循一定的群体特性,通常正常情况下用户的访问请求会表现为齐谱(Zipf-like)分布。在不考虑到正常的Flash Crowd的情况下,URL页面的请求熵会处于一个比较稳定的区间内,在本发明实施例中,可以根据正常情况下服务器对应的请求熵,确定请求熵对应的上限(Hmax)和下限(Hmin),从而确定请求熵范围。
此外,服务器在受到DDoS攻击时,或者处于正常的Flash Crowd情况下,服务器中一部分URL页面被访问的请求次数会激增,进而导致服务器中一部分的URL页面对应的第二概率增大,进而导致检测周期的请求熵偏离正常的请求熵范围,在本发明实施例中,可以通过对检测周期的请求熵是否位于正常的请求熵范围内,从而确定服务器是否处于DDoS攻击或者处于正常的Flash Crowd情况下。
具体的,检测设备可以通过读取服务器的日志文件,确定在检测周期内,服务器每个URL页面被访问的次数和服务器接收到的访问请求的总次数,根据每个URL页面被访问的次数与服务器接收到的访问请求的总次数,确定每个URL页面被访问的第二概率,并将检测周期内,服务器中每个URL页面被访问的第二概率,代入公式中,确定检测周期的请求熵H(U2)。如果请求熵位于预设的请求熵范围内,则说明服务器未受到DDoS攻击,也未处于正常的Flash Crowd情况下,如果请求熵不位于预设的请求熵范围内,则说明服务器受到DDoS攻击或者处于正常的Flash Crowd情况下,需要通过后续对检测周期的停留时间熵是否位于预设的时间熵范围内,判断检测周期内服务器是受到DDoS攻击,还是处于正常的Flash Crowd情况下。
以出现正常的Flash Crowd事件的校园网服务器为例,校园网服务器对应的停留时间熵和请求熵仿真示意图,如图2所示,其中横轴标为检测周期,当校园网服务器出现正常的Flash Crowd事件时,其中该正常的Flash Crowd事件为选课事件,校园网服务器对应选课的一个或多个URL页面的访问量会猛增,导致请求熵从5以上降至1以下,而因为正常的Flash Crowd事件是用户正常访问校园网服务器网站的行为,停留时间熵稳定在2-3之间。
较佳的,在本发明实施例中,可以根据确定检测周期内每个URL页面被访问的第二概率,其中,N为服务器中URL页面的总数量,ij为第j个URL页面接收到访问请求的次数,Pj为第j个URL页面对应的第二概率。
图3为本发明实施例提供的一种DDoS攻击检测过程示意图,该过程包括:
S301:根据检测周期内,服务器中每个URL页面被访问的次数,服务器接收到访问请求的总次数,确定每个URL页面被访问的第二概率。
S302:根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵。
S303:判断所述请求熵是否位于预设的请求熵范围内,如果是,进行S307,如果否,进行S304。
S304:在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长,并根据每个访问时长,确定总访问时长。
S305:根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵。
S306:判断所述检测周期的停留时间熵是否位于预设的时间熵范围内,如果是,进行S307,如果否,进行S308。
S307:确定所述服务器在所述检测周期内未受到DDoS攻击。
S308:确定所述服务器在所述检测周期内受到DDoS攻击。
实施例3:
为了提高检测精度,在上述各实施例的基础上,在本发明实施例中,所述在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长包括:
获取检测周期内,所述每个访问请求的请求时间及对应的URL页面的跳转时间;
针对每个访问请求,根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值,确定该访问请求访问对应的URL页面的访问时长。
具体的,服务器可以对接收到的数据包进行解码及处理,确定接收到的访问请求的请求时间及访问请求对应的URL页面的跳转时间,并将接收到每个访问请求的请求时间及访问请求对应的URL页面的跳转时间记录到日志文件中。检测设备可以通过读取服务器的日志文件,获取检测周期内,服务器接收的每个访问请求的请求时间及访问请求对应的URL页面的跳转时间,针对检测周期内服务器接收的每个访问请求,根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值,确定该访问请求访问对应的URL页面的访问时长。在本发明实施例中,通过服务器的日志文件,获取访问请求的请求时间及访问请求对应的URL页面的跳转时间,是现有技术,不再进行赘述。
实施例4:
图4为本发明实施例提供的一种DDoS攻击检测装置结构示意图,所述装置包括:
第一确定模块41,用于在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;
第二确定模块42,用于根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;
第一判断模块43,用于判断所述检测周期的停留时间熵是否位于预设的时间熵范围内,如果判断结果为否,触发第三确定模块;
第三确定模块44,用于确定所述服务器在所述检测周期内受到DDoS攻击。
所述装置还包括:
第二判断模块45,用于根据所述检测周期内,服务器中每个URL页面被访问的次数,服务器接收到访问请求的总次数,确定每个URL页面被访问的第二概率;根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵;判断所述请求熵是否位于预设的请求熵范围内;如果否,触发第一确定模块。
所述第一确定模块41,具体用于获取检测周期内,所述每个访问请求的请求时间及对应的URL页面的跳转时间;针对每个访问请求,根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值,确定该访问请求访问对应的URL页面的访问时长。
所述第二确定模块42,具体用于根据公式确定所述检测周期的停留时间熵,其中H(U1)为所述检测周期的停留时间熵、n为第一概率的数量、Pi为第i个第一概率。
所述第二判断模块45,具体用于根据公式确定所述检测周期的请求熵,其中H(U2)为所述检测周期的请求熵、N为第二概率的数量、Pj为第j个第二概率。
实施例5:
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于上述电子设备解决问题的原理与DDoS攻击检测方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
如图5所示,其为本发明实施例提供的电子设备的结构示意图,其中在图5中,总线架构可以包括任意数量的互联的总线和桥,具体有处理器51代表的一个或多个处理器51和存储器52代表的存储器52的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器51负责管理总线架构和通常的处理,存储器52可以存储处理器51在执行操作时所使用的数据。
在本发明实施例提供的电子设备中:
所述处理器51,用于读取存储器52中的程序,执行下列过程:在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;如果否,确定所述服务器在所述检测周期内受到DDoS攻击。
优选地,所述处理器51,还用于根据所述检测周期内,服务器中每个URL页面被访问的次数,服务器接收到访问请求的总次数,确定每个URL页面被访问的第二概率;根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵;判断所述请求熵是否位于预设的请求熵范围内;如果否,进行在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长的步骤。
优选地,所述处理器51,具体用于获取检测周期内,所述每个访问请求的请求时间及对应的URL页面的跳转时间;针对每个访问请求,根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值,确定该访问请求访问对应的URL页面的访问时长。
优选地,所述处理器51,具体用于根据公式确定所述检测周期的停留时间熵,其中H(U1)为所述检测周期的停留时间熵、n为第一概率的数量、Pi为第i个第一概率。
优选地,所述处理器51,具体用于根据公式确定所述检测周期的请求熵,其中H(U2)为所述检测周期的请求熵、N为第二概率的数量、Pj为第j个第二概率。
实施例6:
在上述各实施例的基础上,本发明实施例还提供了一种电子设备,如图6所示,包括:处理器61、通信接口62、存储器63和通信总线64,其中,处理器61,通信接口62,存储器63通过通信总线64完成相互间的通信;
所述存储器63中存储有计算机程序,当所述程序被所述处理器61执行时,使得所述处理器61执行以下步骤:
在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;
根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;
判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;
如果否,确定所述服务器在所述检测周期内受到DDoS攻击。
实施例7:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;
根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;
判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;
如果否,确定所述服务器在所述检测周期内受到DDoS攻击。
本发明实施例公开了一种DDoS攻击检测方法、装置、电子设备及存储介质,所述方法包括:在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;如果否,确定所述服务器在所述检测周期内受到DDoS攻击。由于在本发明实施例中,对访问请求访问对应的URL页面的访问时长,这一不受IP和流量影响的网络行为进行识别,并根据服务器受到DDoS攻击时,服务器会接收到大量的对应的URL页面的访问时长极短的访问请求,导致根据访问请求访问对应的URL页面的访问时长确定的时间熵偏离正常时间熵范围这一现象,根据检测周期内,服务器接收的每个访问请求对应的URL页面访问时长占总访问时长的第一概率及预设的信息熵公式,确定检测周期的停留时间熵,并在检测周期的停留时间熵不位于预设的时间熵范围内时,确定服务器在检测周期内受到DDoS攻击,保证了对DDoS攻击检测的准确性,降低了误检率。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种分布式拒绝服务DDoS攻击检测方法,其特征在于,所述方法包括:
在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;
根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;
判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;
如果否,确定所述服务器在所述检测周期内受到DDoS攻击。
2.如权利要求1所述的方法,其特征在于,所述在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长之前,所述方法还包括:
根据所述检测周期内,服务器中每个URL页面被访问的次数,服务器接收到访问请求的总次数,确定每个URL页面被访问的第二概率;
根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵;
判断所述请求熵是否位于预设的请求熵范围内;
如果否,进行后续步骤。
3.如权利要求1所述的方法,其特征在于,所述在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长包括:
获取检测周期内,所述每个访问请求的请求时间及对应的URL页面的跳转时间;
针对每个访问请求,根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值,确定该访问请求访问对应的URL页面的访问时长。
4.如权利要求1所述的方法,其特征在于,所述根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵包括:
根据公式确定所述检测周期的停留时间熵,其中H(U1)为所述检测周期的停留时间熵、n为第一概率的数量、Pi为第i个第一概率。
5.如权利要求2所述的方法,其特征在于,所述根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵包括:
根据公式确定所述检测周期的请求熵,其中H(U2)为所述检测周期的请求熵、N为第二概率的数量、Pj为第j个第二概率。
6.一种分布式拒绝服务DDoS攻击检测装置,其特征在于,所述装置包括:
第一确定模块,用于在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;
第二确定模块,用于根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;
第一判断模块,用于判断所述检测周期的停留时间熵是否位于预设的时间熵范围内,如果判断结果为否,触发第三确定模块;
第三确定模块,用于确定所述服务器在所述检测周期内受到DDoS攻击。
7.一种电子设备,其特征在于,包括:存储器和处理器;
所述处理器,用于读取存储器中的程序,执行下列过程:在检测周期内,确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长,并根据每个访问时长,确定总访问时长;根据每个访问请求对应的访问时长,及所述总访问时长,确定每个访问请求对应的第一概率,根据每个所述第一概率及预设的信息熵公式,确定所述检测周期的停留时间熵;判断所述检测周期的停留时间熵是否位于预设的时间熵范围内;如果否,确定所述服务器在所述检测周期内受到DDoS攻击。
8.如权利要求7所述的电子设备,其特征在于,所述处理器,还用于根据所述检测周期内,服务器中每个URL页面被访问的次数,服务器接收到访问请求的总次数,确定每个URL页面被访问的第二概率;根据每个所述第二概率及预设的信息熵公式,确定所述检测周期的请求熵;判断所述请求熵是否位于预设的请求熵范围内;如果否,进行在检测周期内,确定服务器接收的每个访问请求访问对应的URL页面的访问时长的步骤。
9.如权利要求7所述的电子设备,其特征在于,所述处理器,具体用于获取检测周期内,所述每个访问请求的请求时间及对应的URL页面的跳转时间;针对每个访问请求,根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值,确定该访问请求访问对应的URL页面的访问时长。
10.如权利要求7所述的电子设备,其特征在于,所述处理器,具体用于根据公式确定所述检测周期的停留时间熵,其中H(U1)为所述检测周期的停留时间熵、n为第一概率的数量、Pi为第i个第一概率。
11.如权利要求8所述的电子设备,其特征在于,所述处理器,具体用于根据公式确定所述检测周期的请求熵,其中H(U2)为所述检测周期的请求熵、N为第二概率的数量、Pj为第j个第二概率。
12.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1-5任一项所述方法的步骤。
13.一种计算机可读存储介质,其特征在于,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求1-5任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711451017.9A CN109981533B (zh) | 2017-12-27 | 2017-12-27 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711451017.9A CN109981533B (zh) | 2017-12-27 | 2017-12-27 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109981533A true CN109981533A (zh) | 2019-07-05 |
CN109981533B CN109981533B (zh) | 2021-11-30 |
Family
ID=67071885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711451017.9A Active CN109981533B (zh) | 2017-12-27 | 2017-12-27 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109981533B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111901324A (zh) * | 2020-07-20 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 一种基于序列熵流量识别的方法、装置和存储介质 |
CN113709159A (zh) * | 2021-08-27 | 2021-11-26 | 北京天融信网络安全技术有限公司 | 访问数据检测方法、装置、设备及存储介质 |
CN115150206A (zh) * | 2022-09-06 | 2022-10-04 | 广东广泰信息科技有限公司 | 一种信息安全用的入侵检测安全预警系统及其方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
CN104967629A (zh) * | 2015-07-16 | 2015-10-07 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
US20160205125A1 (en) * | 2015-01-14 | 2016-07-14 | Korea Internet & Security Agency | System and method for analyzing mobile cyber incident |
CN106101080A (zh) * | 2016-05-31 | 2016-11-09 | 乐视控股(北京)有限公司 | 页面访问控制方法和装置 |
CN107306259A (zh) * | 2016-04-22 | 2017-10-31 | 腾讯科技(深圳)有限公司 | 网页页面访问中的攻击检测方法和装置 |
CN107395553A (zh) * | 2016-05-17 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的检测方法及装置 |
-
2017
- 2017-12-27 CN CN201711451017.9A patent/CN109981533B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
US20160205125A1 (en) * | 2015-01-14 | 2016-07-14 | Korea Internet & Security Agency | System and method for analyzing mobile cyber incident |
CN104967629A (zh) * | 2015-07-16 | 2015-10-07 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
CN107306259A (zh) * | 2016-04-22 | 2017-10-31 | 腾讯科技(深圳)有限公司 | 网页页面访问中的攻击检测方法和装置 |
CN107395553A (zh) * | 2016-05-17 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的检测方法及装置 |
CN106101080A (zh) * | 2016-05-31 | 2016-11-09 | 乐视控股(北京)有限公司 | 页面访问控制方法和装置 |
Non-Patent Citations (3)
Title |
---|
A. RAMAMOORTHI ET AL: "Real time detection and classification of DDoS attacks using enhanced SVM with string kernels", 《2011 INTERNATIONAL CONFERENCE ON RECENT TRENDS IN INFORMATION TECHNOLOGY (ICRTIT)》 * |
肖军等: "基于会话异常度模型的应用层分布式拒绝服务攻击过滤", 《计算机学报》 * |
黄宸: "Web服务DDoS攻击的防御技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111901324A (zh) * | 2020-07-20 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 一种基于序列熵流量识别的方法、装置和存储介质 |
CN111901324B (zh) * | 2020-07-20 | 2023-02-28 | 杭州安恒信息技术股份有限公司 | 一种基于序列熵流量识别的方法、装置和存储介质 |
CN113709159A (zh) * | 2021-08-27 | 2021-11-26 | 北京天融信网络安全技术有限公司 | 访问数据检测方法、装置、设备及存储介质 |
CN115150206A (zh) * | 2022-09-06 | 2022-10-04 | 广东广泰信息科技有限公司 | 一种信息安全用的入侵检测安全预警系统及其方法 |
CN115150206B (zh) * | 2022-09-06 | 2022-11-04 | 广东广泰信息科技有限公司 | 一种信息安全用的入侵检测安全预警系统及其方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109981533B (zh) | 2021-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107294919A (zh) | 一种水平权限漏洞的检测方法及装置 | |
CN103384888A (zh) | 用于恶意软件的检测和扫描的系统和方法 | |
CN107015996A (zh) | 一种资源访问方法、装置及系统 | |
CN110035075A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
US9865008B2 (en) | Determining a configuration of a content item display environment | |
CN106899549B (zh) | 一种网络安全检测方法及装置 | |
CN104967542A (zh) | 一种移动端页面的测试方法、装置和系统 | |
KR102242219B1 (ko) | 서버가 공격받는 것을 막기 위한 방법 및 디바이스 | |
CN110782374A (zh) | 基于区块链的电子取证方法及系统 | |
CN110968760A (zh) | 网页数据的爬取方法、装置、网页登录方法及装置 | |
CN109981533A (zh) | 一种DDoS攻击检测方法、装置、电子设备及存储介质 | |
CN109582844A (zh) | 一种识别爬虫的方法、装置及系统 | |
CN110113366A (zh) | 一种csrf漏洞的检测方法及装置 | |
US9864870B2 (en) | Restricting network spidering | |
JP6666441B2 (ja) | Ipアドレス取得方法及び装置 | |
CN108322427A (zh) | 一种对访问请求进行风控的方法与设备 | |
CN110309669A (zh) | 一种数据标注方法、装置及设备 | |
CN105227532B (zh) | 一种恶意行为的阻断方法及装置 | |
CN113569179A (zh) | 基于统一网站的子系统访问方法和装置 | |
US10686834B1 (en) | Inert parameters for detection of malicious activity | |
CN107391714A (zh) | 一种截图方法、截图服务器、截图服务系统及介质 | |
Noskov | Smart City Webgis Applications: Proof of Work Concept For High-Level Quality-Of-Service Assurance | |
CN112287349A (zh) | 安全漏洞检测方法及服务端 | |
CN110535862A (zh) | 一种流量检测方法、系统、装置及计算机可读存储介质 | |
CN109600272A (zh) | 爬虫检测的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |