CN110311925A - DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 - Google Patents
DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 Download PDFInfo
- Publication number
- CN110311925A CN110311925A CN201910693687.4A CN201910693687A CN110311925A CN 110311925 A CN110311925 A CN 110311925A CN 201910693687 A CN201910693687 A CN 201910693687A CN 110311925 A CN110311925 A CN 110311925A
- Authority
- CN
- China
- Prior art keywords
- type
- data packet
- ddos
- reflection
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种DDoS反射型攻击的检测方法及装置、计算机设备与可读介质。其方法包括:对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;对同一类型的数据包进行聚合;基于聚合后的各类型的数据包,检测待检测的数据流中是否存在对应类型的DDoS反射型攻击。本发明的技术方案,即使对于很小流量的探测型的攻击,也能够及时检测到,具有高度的灵敏性和实时性,进而能够在DDoS反射型攻击未造成大的攻击事件和重大损失前,实现有效的防护和威胁预警。而且本发明的技术方案,可以对DDoS反射型攻击的类型进行确定,进而能够便于实现更加精准地防护。
Description
【技术领域】
本发明涉及计算机应用技术领域,尤其涉及一种DDoS反射型攻击的检测方法及装置、计算机设备与可读介质。
【背景技术】
互联网蓬勃发展的今天,网络的阴暗面也在日益增长,分布式拒绝服务(Distributed Denial of Service;DDoS)攻击场景下的攻与防在不断的进步。躲在暗处的黑客在不断的追寻以更小的代价发动更大流量的攻击方式。
为了防止DDoS攻击带来的危害,在反射攻击的流量越来越大的情况下,不仅仅要防御住超大流量的反射攻击,还要能提前发现新的反射威胁,及时封堵和提供防御策略。目前传统的DDoS反射型攻击的检测方案根据流量相似度,阈值和模型来判断是否出现异常的DDoS流量。例如,可以根据历史DDoS流量的规律,通过建立正常流量的比例模型,认为不符合模型的流量为异常的DDoS反射型攻击,可以进一步做出告警。或者也可以根据历史DDoS流量的规律,设置一个流量阈值,若流量大于流量阈值时,判断当前的流量为DDoS反射型攻击。
但是,现有技术的DDoS反射型攻击的检测方案,无法捕获到小型的DDoS探测类型的反射攻击,导致DDoS反射型攻击的检测的实时性以及灵敏度都非常差。
【发明内容】
本发明提供了一种DDoS反射型攻击的检测方法及装置、计算机设备与可读介质,用于提高DDoS反射型攻击的检测的实时性以及灵敏度。
本发明提供一种DDoS反射型攻击的检测方法,所述方法包括:
对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;
对同一所述类型的所述数据包进行聚合;
基于聚合后的各所述类型的数据包,检测所述待检测的数据流中是否存在对应类型的DDoS反射型攻击。
本发明提供一种DDoS反射型攻击的检测装置,所述装置包括:
获取模块,用于对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;
聚合模块,用于对同一所述类型的所述数据包进行聚合;
检测模块,用于基于聚合后的各所述类型的数据包,检测所述待检测的数据流中是否存在对应类型的DDoS反射型攻击。
本发明还提供一种计算机设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的DDoS反射型攻击的检测方法。
本发明还提供一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的DDoS反射型攻击的检测方法。
本发明的DDoS反射型攻击的检测方法及装置、计算机设备与可读介质,通过对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;对同一类型的数据包进行聚合;基于聚合后的各类型的数据包,检测待检测的数据流中是否存在对应类型的DDoS反射型攻击。本发明的技术方案,即使对于很小流量的探测型的攻击,也能够及时检测到,具有高度的灵敏性和实时性,进而能够在DDoS反射型攻击未造成大的攻击事件和重大损失前,实现有效的防护和威胁预警。而且本发明的技术方案,可以对DDoS反射型攻击的类型进行确定,进而能够便于实现更加精准地防护。
【附图说明】
图1为本发明的DDoS反射型攻击的检测方法实施例一的流程图。
图2为本发明的DDoS反射型攻击的检测方法实施例二的流程图。
图3为本发明的DDoS反射型攻击的检测方法实施例三的流程图。
图4为本发明的DDoS反射型攻击的检测方法实施例四的流程图。
图5为本发明的DDoS反射型攻击的检测装置实施例的结构图。
图6为本发明的计算机设备实施例的结构图。
图7为本发明提供的一种计算机设备的示例图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
图1为本发明的DDoS反射型攻击的检测方法实施例一的流程图。如图1所示,本实施例的DDoS反射型攻击的检测方法,具体可以包括如下步骤:
S100、对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;
本实施例的DDoS反射型攻击的检测方法的执行主体可以为DDoS反射型攻击的检测装置,用于实现对网络中的DDoS的反射型攻击进行检测。
具体使用时,本实施例的DDoS反射型攻击的检测装置,可以部署在一服务器上,该服务器可以接收到发送至给服务器的所有数据流以及经由该服务器转发的所有数据流,本实施例的该DDoS反射型攻击的检测装置可以对该服务器接收到的所有数据流进行DDoS反射型攻击检测。
与现有技术不同的是,本实施例的方案,在检测DDoS反射型攻击时,对数据流的流量大小没有任何要求,即使很小的探测类型的DDoS反射型攻击检测,也能够适用,从而能够及时地发现DDoS反射型攻击。首先,本实施例的DDoS反射型攻击的检测装置先对待检测的数据流中的所有数据包进行协议解码。由于不同设备采用不同协议发送的数据包,封装时采用的协议编码不相同,会导致DDoS反射型攻击的检测装置获取到的待检测的数据流中同时混有不同编码类型的数据包,例如有些数据包为用户数据报协议(User DatagramProtocol;UDP)类型的数据包,而有些数据包为控制报文协议(Internet Control MessageProtocol;ICMP)类型的数据包,而还有些数据包为传输控制协议(Transmission ControlProtocol;TCP)类型的数据包。本实施例中,为了便于检测,首先对每一个数据包进行协议解码,获取每一个数据包对应的原始类型的数据包。
S101、对同一类型的数据包进行聚合;
S102、基于聚合后的各类型的数据包,检测待检测的数据流中是否存在对应类型的DDoS反射型攻击。
本实施例中,获取到待检测的数据流中的各个类型的数据包之后,可以将同一类型的数据包进行聚合,实现按照类型对待检测的数据流中的数据包进行分类。如UDP类型的数据包聚合为一类,TCP类型的数据包聚合为一类,ICMP类型的数据包聚合为一类。然后分别基于每一类型的数据包独有的特征信息,检测每一类型的数据包,确定是否存在对应类型的DDoS反射型攻击。
本实施例的DDoS反射型攻击的检测方法,通过对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;对同一类型的数据包进行聚合;基于聚合后的各类型的数据包,检测待检测的数据流中是否存在对应类型的DDoS反射型攻击。本实施例的技术方案,即使对于很小流量的探测型的攻击,也能够及时检测到,具有高度的灵敏性和实时性,进而能够在DDoS反射型攻击未造成大的攻击事件和重大损失前,实现有效的防护和威胁预警。而且本实施例的技术方案,可以对DDoS反射型攻击的类型进行确定,进而能够便于实现更加精准地防护。
图2为本发明的DDoS反射型攻击的检测方法实施例二的流程图。如图2所示,本实施例的DDoS反射型攻击的检测方法,在上述图1所示实施例的技术方案的基础上,详细介绍UDP类型的DDoS反射型攻击的检测方案。具体地,本实施例的DDoS反射型攻击的检测方法,具体可以包括如下步骤:
S200、对待检测的数据流中的所有数据包进行协议解码,获取待检测的数据流中的所有UDP类型的数据包、所有TCP类型的数据包以及ICMP类型的数据包;
S201、对UDP类型的数据包进行聚合;
本实施例中仅以UDP类型的数据包为例,进行DDoS反射型攻击的检测。
S202、基于聚合后的各UDP类型的数据包,检测待检测的数据流中的所有UDP类型的数据包中属于同一来源端口的来源IP的数量占所有UDP类型的数据包的所有来源IP的数量的比例是否超过第一预设比例阈值;若是,执行步骤S203;否则,执行步骤S207;
S203、检测待检测的数据流中的所有UDP类型的数据包中上述同一来源端口的数据包的数量占所有UDP类型的数据包的数量的比例是否超过第二预设比例阈值;若是,执行步骤S204;否则,执行步骤S207;
S204、检测待检测的数据流中的所有UDP类型的数据包中上述同一来源端口对应的各个来源IP是否均存活;若是,执行步骤S205;否则,执行步骤S207;
具体地,存活检测可在互联网中向该来源端口对应的各来源IP发送检测信息,以检测该来源端口对应的来源IP是否存活,详细可以参考相关现有技术,在此不再赘述。
S205、检测待检测的数据流中的所有UDP类型的数据包中上述同一来源端口的各个数据包携带的data字段之间的相似度是否均大于预设相似度阈值;若是,执行步骤S206;否则,执行步骤S207;
S206、确定上述同一来源端口通过多个来源IP发送的各UDP类型的数据包为DDoS反射型攻击,进而确定待检测的数据流中存在UDP类型的DDoS反射型攻击;结束。
S207、确定待检测的数据流中不存在UDP类型的DDoS反射型攻击;结束。
本实施例中,攻击者在发起UDP类型的DDoS反射型攻击时,通常会通过同一端口的多个IP发出大量的UDP类型的数据包请求,且DDoS反射型攻击的各个数据包中的data字段都较为相似。
基于上述UDP类型的DDoS反射型攻击特性,本实施例中采用步骤S202-S205用于检测UDP类型的DDoS反射型攻击需要满足的以下四个条件:
1、待检测的数据流中的所有UDP类型的数据包中属于同一来源端口的来源IP的数量占该待检测的数据流中所有UDP类型的数据包的所有来源IP的数量的比例超过第一预设比例阈值;
2、待检测的数据流中的所有UDP类型的数据包中上述同一来源端口的数据包的数量占所有UDP类型的数据包的数量的比例超过第二预设比例阈值;
3、待检测的数据流中的所有UDP类型的数据包中上述同一来源端口对应的各个来源IP均存活;
4、待检测的数据流中的所有UDP类型的数据包中上述同一来源端口的各个数据包携带的data字段之间的相似度是否均大于预设相似度阈值。
本实施例中,只有当上述四个条件同时都满足时,才能确定属于UDP类型的DDoS反射型攻击。本实施例中是以上述步骤S202-S205的检测顺序为例,实际应用中,检测顺序可以没有限制,4个条件都经过检测即可。
其中本实施例的第一预设比例阈值和第二预设比例阈值均可以根据实际需求来设置,例如可以为50%、60%、70%或者其他百分比,且两者可以相等,也可以不等。同理,本实施例的预设相似度阈值,也可以根据实际需求来设置,例如可以为70%、80%、90%或者其他百分比。
本实施例的DDoS反射型攻击的检测方法,通过采用上述技术方案,可以实现对UDP类型的DDoS反射型攻击的检测,即使对于很小流量的探测型的UDP类型的DDoS反射型攻击,也能够及时检测到,具有高度的灵敏性和实时性,进而能够在DDoS反射型攻击未造成大的攻击事件和重大损失前,实现有效的防护和威胁预警。而且本实施例的技术方案,可以对DDoS反射型攻击的类型进行确定,进而能够便于实现更加精准地防护。
图3为本发明的DDoS反射型攻击的检测方法实施例三的流程图。如图3所示,本实施例的DDoS反射型攻击的检测方法,在上述图1所示实施例的技术方案的基础上,详细介绍TCP类型的DDoS反射型攻击的检测方案。具体地,本实施例的DDoS反射型攻击的检测方法,具体可以包括如下步骤:
S300、对待检测的数据流中的所有数据包进行协议解码,获取待检测的数据流中的所有UDP类型的数据包、所有TCP类型的数据包以及ICMP类型的数据包;
S301、对TCP类型的数据包进行聚合;
本实施例中仅以TCP类型的数据包为例,进行DDoS反射型攻击的检测。
S302、基于聚合后的各TCP类型的数据包,按照flag类别进行分类;
S303、检测待检测的数据流中所有TCP类型的数据包中flag类别相同的数据包的数量占所有TCP类型的数据包的数量的比例是否超过第三预设比例阈值;若是,执行步骤S304;否则执行步骤S306;
S304、检测上述flag类别相同的各TCP类型的数据包的来源IP和来源端口是否均存活;若是,执行步骤S305;否则,执行步骤S306;
S305、确定上述flag类别相同的各TCP类型的数据包为DDoS反射型攻击,进而确定待检测的数据流中存在TCP类型的DDoS反射型攻击;结束。
S306、确定待检测的数据流中不存在TCP类型的DDoS反射型攻击;结束。
本实施例中,攻击者在发起TCP类型的DDoS反射型攻击时,会发出大量的同一flag类别的TCP类型的数据包请求。
基于上述TCP类型的DDoS反射型攻击特性,本实施例中采用步骤S303-S304用于检测TCP类型的DDoS反射型攻击需要满足的以下两个条件:
A、待检测的数据流中所有TCP类型的数据包中flag类别相同的数据包的数量占所有TCP类型的数据包的数量的比例超过第三预设比例阈值;
B、上述flag类别相同的各TCP类型的数据包的来源IP和来源端口均存活。
本实施例中,只有当上述两个条件同时都满足时,才能确定属于TCP类型的DDoS反射型攻击。本实施例中是以上述步骤S303-S304的检测顺序为例,实际应用中,检测顺序可以没有限制,可以同时检测,也可以按照S304和S303的顺序检测。其中本实施例的第三预设比例阈值也可以根据实际需求来设置,例如可以为50%、60%、70%或者其他百分比。
本实施例的DDoS反射型攻击的检测方法,通过采用上述技术方案,可以实现对TCP类型的DDoS反射型攻击的检测,即使对于很小流量的探测型的TCP类型的DDoS反射型攻击,也能够及时检测到,具有高度的灵敏性和实时性,进而能够在DDoS反射型攻击未造成大的攻击事件和重大损失前,实现有效的防护和威胁预警。而且本实施例的技术方案,可以对DDoS反射型攻击的类型进行确定,进而能够便于实现更加精准地防护。
图4为本发明的DDoS反射型攻击的检测方法实施例四的流程图。如图4所示,本实施例的DDoS反射型攻击的检测方法,在上述图1所示实施例的技术方案的基础上,详细介绍ICMP类型的DDoS反射型攻击的检测方案。具体地,本实施例的DDoS反射型攻击的检测方法,具体可以包括如下步骤:
S400、对待检测的数据流中的所有数据包进行协议解码,获取待检测的数据流中的所有UDP类型的数据包、所有TCP类型的数据包以及ICMP类型的数据包;
S401、对ICMP类型的数据包进行聚合;
本实施例中仅以ICMP类型的数据包为例,进行DDoS反射型攻击的检测。
S402、基于聚合后的各ICMP类型的数据包,按照type字段进行分类;
S403、检测待检测的数据流中的所有ICMP类型的数据包中type字段相同且等于0的数据包的数量占所有ICMP类型的数据包的数量的比例是否超过第四预设比例阈值;若是,执行步骤S404;
S404、检测上述type字段相同且等于0的各ICMP类型的数据包的来源IP是否均存活;若是,执行步骤S405;否则,执行步骤S406;
S405、确定上述type字段相同且等于0的各ICMP类型的数据包为DDoS反射型攻击,进而确定待检测的数据流中存在ICMP类型的DDoS反射型攻击;结束。
S406、确定待检测的数据流中不存在ICMP类型的DDoS反射型攻击;结束。
本实施例中,攻击者在发起ICMP类型的DDoS反射型攻击时,会发出大量的同一type类型的TCP类型的数据包请求,且该type字段的数值为0。
基于上述ICMP类型的DDoS反射型攻击特性,本实施例中采用步骤S403-S404用于检测ICMP类型的DDoS反射型攻击需要满足的以下两个条件:
a、待检测的数据流中的所有ICMP类型的数据包中type字段相同且等于0的数据包的数量占所有ICMP类型的数据包的数量的比例超过第四预设比例阈值;
b、上述type字段相同且等于0的各ICMP类型的数据包的来源IP均存活。
本实施例中,只有当上述两个条件同时都满足时,才能确定属于ICMP类型的DDoS反射型攻击。本实施例中是以上述步骤S403-S404的检测顺序为例,实际应用中,检测顺序可以没有限制,可以同时检测,也可以按照S404和S403的顺序检测。其中本实施例的第四预设比例阈值也可以根据实际需求来设置,例如可以为50%、60%、70%或者其他百分比。
本实施例的DDoS反射型攻击的检测方法,通过采用上述技术方案,可以实现对ICMP类型的DDoS反射型攻击的检测,即使对于很小流量的探测型的ICMP类型的DDoS反射型攻击,也能够及时检测到,具有高度的灵敏性和实时性,进而能够在DDoS反射型攻击未造成大的攻击事件和重大损失前,实现有效的防护和威胁预警。而且本实施例的技术方案,可以对DDoS反射型攻击的类型进行确定,进而能够便于实现更加精准地防护。
图5为本发明的DDoS反射型攻击的检测装置实施例的结构图。如图5所示,本实施例的DDoS反射型攻击的检测装置,具体可以包括:
获取模块10用于对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;
聚合模块11用于基于获取模块10获取的各种类型的数据包,对同一类型的数据包进行聚合;
检测模块12用于基于聚合模块11聚合后的各类型的数据包,检测待检测的数据流中是否存在对应类型的DDoS反射型攻击。
进一步可选地,本实施例的DDoS反射型攻击的检测装置中,类型包括UDP类型、TCP类型或者ICMP类型。
进一步可选地,本实施例的DDoS反射型攻击的检测装置中,检测模块12用于:
基于聚合后的各UDP类型的数据包,检测待检测的数据流中的所有UDP类型的数据包中属于同一来源端口的来源IP的数量占所有UDP类型的数据包的所有来源IP的数量的比例是否超过第一预设比例阈值、且属于同一来源端口的数据包的数量占所有UDP类型的数据包的数量的比例是否超过第二预设比例阈值、同一来源端口对应的各个来源IP是否均存活、且同一来源端口的各个数据包携带的data字段之间的相似度是否均大于预设相似度阈值;
若是,确定待检测的数据流中存在UDP类型的DDoS反射型攻击。
或者进一步可选地,本实施例的DDoS反射型攻击的检测装置中,检测模块12用于:
基于聚合后的各TCP类型的数据包,按照flag类别进行分类;
检测待检测的数据流中的所有TCP类型的数据包中flag类别相同的数据包的数量占所有TCP类型的数据包的数量的比例是否超过第三预设比例阈值、且flag类别相同的各TCP类型的数据包的来源IP和来源端口是否均存活;
若是,确定待检测的数据流中存在TCP类型的DDoS反射型攻击。
或者进一步可选地,本实施例的DDoS反射型攻击的检测装置中,检测模块12用于:
基于聚合后的各ICMP类型的数据包,按照type字段进行分类;
检测待检测的数据流中的所有ICMP类型的数据包中type字段相同且等于0的数据包的数量占所有ICMP类型的数据包的数量的比例是否超过第四预设比例阈值、且type字段相同且等于0的各ICMP类型的数据包的来源IP是否均存活;
若是,确定待检测的数据流中存在ICMP类型的DDoS反射型攻击。
本实施例的DDoS反射型攻击的检测装置,通过采用上述模块实现DDoS反射型攻击的检测的实现原理以及技术效果与上述相关方法实施例的实现相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。
图6为本发明的计算机设备实施例的结构图。如图6所示,本实施例的计算机设备,包括:一个或多个处理器30,以及存储器40,存储器40用于存储一个或多个程序,当存储器40中存储的一个或多个程序被一个或多个处理器30执行,使得一个或多个处理器30实现如上图1-图4所示实施例的DDoS反射型攻击的检测方法。图6所示实施例中以包括多个处理器30为例。
例如,图7为本发明提供的一种计算机设备的示例图。图7示出了适于用来实现本发明实施方式的示例性计算机设备12a的框图。图7显示的计算机设备12a仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机设备12a以通用计算设备的形式表现。计算机设备12a的组件可以包括但不限于:一个或者多个处理器16a,系统存储器28a,连接不同系统组件(包括系统存储器28a和处理器16a)的总线18a。
总线18a表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机设备12a典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12a访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28a可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30a和/或高速缓存存储器32a。计算机设备12a可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34a可以用于读写不可移动的、非易失性磁介质(图7未显示,通常称为“硬盘驱动器”)。尽管图7中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18a相连。系统存储器28a可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明上述图1-图5各实施例的功能。
具有一组(至少一个)程序模块42a的程序/实用工具40a,可以存储在例如系统存储器28a中,这样的程序模块42a包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42a通常执行本发明所描述的上述图1-图5各实施例中的功能和/或方法。
计算机设备12a也可以与一个或多个外部设备14a(例如键盘、指向设备、显示器24a等)通信,还可与一个或者多个使得用户能与该计算机设备12a交互的设备通信,和/或与使得该计算机设备12a能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22a进行。并且,计算机设备12a还可以通过网络适配器20a与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20a通过总线18a与计算机设备12a的其它模块通信。应当明白,尽管图中未示出,可以结合计算机设备12a使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器16a通过运行存储在系统存储器28a中的程序,从而执行各种功能应用以及数据处理,例如实现上述实施例所示的DDoS反射型攻击的检测方法。
本发明还提供一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上述实施例所示的DDoS反射型攻击的检测方法。
本实施例的计算机可读介质可以包括上述图7所示实施例中的系统存储器28a中的RAM30a、和/或高速缓存存储器32a、和/或存储系统34a。
随着科技的发展,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载,或者采用其他方式获取。因此,本实施例中的计算机可读介质不仅可以包括有形的介质,还可以包括无形的介质。
本实施例的计算机可读介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种DDoS反射型攻击的检测方法,其特征在于,所述方法包括:
对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;
对同一所述类型的所述数据包进行聚合;
基于聚合后的各所述类型的数据包,检测所述待检测的数据流中是否存在对应类型的DDoS反射型攻击。
2.根据权利要求1所述的方法,其特征在于,所述类型包括UDP类型、TCP类型或者ICMP类型。
3.根据权利要求2所述的方法,其特征在于,基于聚合后的各所述类型的数据包,检测所述待检测的数据流中是否存在对应类型的DDoS反射型攻击,包括:
基于聚合后的各所述UDP类型的数据包,检测所述待检测的数据流中的所有UDP类型的数据包中属于同一来源端口的来源IP的数量占所有UDP类型的数据包的所有来源IP的数量的比例是否超过第一预设比例阈值、且属于同一来源端口的数据包的数量占所有UDP类型的数据包的数量的比例是否超过第二预设比例阈值、同一来源端口对应的各个来源IP是否均存活、且同一来源端口的各个数据包携带的data字段之间的相似度是否均大于预设相似度阈值;
若是,确定所述待检测的数据流中存在所述UDP类型的DDoS反射型攻击。
4.根据权利要求2所述的方法,其特征在于,基于聚合后的各所述类型的数据包,检测所述待检测的数据流中是否存在对应类型的DDoS反射型攻击,包括:
基于聚合后的各所述TCP类型的数据包,按照flag类别进行分类;
检测所述待检测的数据流中的所有TCP类型的数据包中所述flag类别相同的数据包的数量占所有TCP类型的数据包的数量的比例是否超过第三预设比例阈值、且所述flag类别相同的各所述TCP类型的数据包的来源IP和来源端口是否均存活;
若是,确定所述待检测的数据流中存在所述TCP类型的DDoS反射型攻击。
5.根据权利要求2所述的方法,其特征在于,基于聚合后的各所述类型的数据包,检测所述待检测的数据流中是否存在对应类型的DDoS反射型攻击,包括:
基于聚合后的各所述ICMP类型的数据包,按照type字段进行分类;
检测所述待检测的数据流中的所有ICMP类型的数据包中所述type字段相同且等于0的数据包的数量占所有ICMP类型的数据包的数量的比例是否超过第四预设比例阈值、且所述type字段相同且等于0的各所述ICMP类型的数据包的来源IP是否均存活;
若是,确定所述待检测的数据流中存在ICMP类型的DDoS反射型攻击。
6.一种DDoS反射型攻击的检测装置,其特征在于,所述装置包括:
获取模块,用于对待检测的数据流中的所有数据包进行协议解码,获取各种类型的数据包;
聚合模块,用于对同一所述类型的所述数据包进行聚合;
检测模块,用于基于聚合后的各所述类型的数据包,检测所述待检测的数据流中是否存在对应类型的DDoS反射型攻击。
7.根据权利要求6所述的装置,其特征在于,所述类型包括UDP类型、TCP类型或者ICMP类型。
8.根据权利要求7所述的装置,其特征在于,所述检测模块,用于:
基于聚合后的各所述UDP类型的数据包,检测所述待检测的数据流中的所有UDP类型的数据包中属于同一来源端口的来源IP的数量占所有UDP类型的数据包的所有来源IP的数量的比例是否超过第一预设比例阈值、且属于同一来源端口的数据包的数量占所有UDP类型的数据包的数量的比例是否超过第二预设比例阈值、同一来源端口对应的各个来源IP是否均存活、且同一来源端口的各个数据包携带的data字段之间的相似度是否均大于预设相似度阈值;
若是,确定所述待检测的数据流中存在所述UDP类型的DDoS反射型攻击。
9.根据权利要求7所述的装置,其特征在于,所述检测模块,用于:
基于聚合后的各所述TCP类型的数据包,按照flag类别进行分类;
检测所述待检测的数据流中的所有TCP类型的数据包中所述flag类别相同的数据包的数量占所有TCP类型的数据包的数量的比例是否超过第三预设比例阈值、且所述flag类别相同的各所述TCP类型的数据包的来源IP和来源端口是否均存活;
若是,确定所述待检测的数据流中存在所述TCP类型的DDoS反射型攻击。
10.根据权利要求7所述的装置,其特征在于,所述检测模块,用于:
基于聚合后的各所述ICMP类型的数据包,按照type字段进行分类;
检测所述待检测的数据流中的所有ICMP类型的数据包中所述type字段相同且等于0的数据包的数量占所有ICMP类型的数据包的数量的比例是否超过第四预设比例阈值、且所述type字段相同且等于0的各所述ICMP类型的数据包的来源IP是否均存活;
若是,确定所述待检测的数据流中存在ICMP类型的DDoS反射型攻击。
11.一种计算机设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910693687.4A CN110311925B (zh) | 2019-07-30 | 2019-07-30 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910693687.4A CN110311925B (zh) | 2019-07-30 | 2019-07-30 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110311925A true CN110311925A (zh) | 2019-10-08 |
| CN110311925B CN110311925B (zh) | 2022-06-28 |
Family
ID=68082536
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910693687.4A Active CN110311925B (zh) | 2019-07-30 | 2019-07-30 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110311925B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855648A (zh) * | 2019-11-04 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 一种网络攻击的预警控制方法及装置 |
| CN112953956A (zh) * | 2021-03-05 | 2021-06-11 | 中电积至(海南)信息技术有限公司 | 一种基于主被动结合的反射放大器识别方法 |
| CN113347186A (zh) * | 2021-06-01 | 2021-09-03 | 百度在线网络技术(北京)有限公司 | 反射攻击探测方法、装置和电子设备 |
| CN113765873A (zh) * | 2020-11-02 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 用于检测异常访问流量的方法和装置 |
| CN113783892A (zh) * | 2021-09-28 | 2021-12-10 | 北京天融信网络安全技术有限公司 | 反射攻击检测方法、系统、设备及计算机可读存储介质 |
| CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2456902A1 (en) * | 2001-08-07 | 2003-02-27 | Ip-Online Gmbh | Method, data carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators |
| CN101197810A (zh) * | 2006-12-08 | 2008-06-11 | 北京大学 | 一种实时检测蠕虫的方法 |
| CN104022999A (zh) * | 2013-09-05 | 2014-09-03 | 北京科能腾达信息技术股份有限公司 | 基于协议分析的网络数据处理方法及系统 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN106953833A (zh) * | 2016-01-07 | 2017-07-14 | 无锡聚云科技有限公司 | 一种DDoS攻击检测系统 |
| CN107800674A (zh) * | 2016-09-07 | 2018-03-13 | 百度在线网络技术(北京)有限公司 | 一种用于检测分布式拒绝服务的攻击流量的方法和装置 |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
| US20180131717A1 (en) * | 2016-11-10 | 2018-05-10 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting distributed reflection denial of service attack |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109525508A (zh) * | 2018-12-15 | 2019-03-26 | 深圳先进技术研究院 | 基于流量相似性比对的加密流识别方法、装置及存储介质 |
| CN109660518A (zh) * | 2018-11-22 | 2019-04-19 | 北京六方领安网络科技有限公司 | 网络的通信数据检测方法、装置以及机器可读存储介质 |
-
2019
- 2019-07-30 CN CN201910693687.4A patent/CN110311925B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2456902A1 (en) * | 2001-08-07 | 2003-02-27 | Ip-Online Gmbh | Method, data carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators |
| CN101197810A (zh) * | 2006-12-08 | 2008-06-11 | 北京大学 | 一种实时检测蠕虫的方法 |
| CN104022999A (zh) * | 2013-09-05 | 2014-09-03 | 北京科能腾达信息技术股份有限公司 | 基于协议分析的网络数据处理方法及系统 |
| CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| CN106953833A (zh) * | 2016-01-07 | 2017-07-14 | 无锡聚云科技有限公司 | 一种DDoS攻击检测系统 |
| CN107800674A (zh) * | 2016-09-07 | 2018-03-13 | 百度在线网络技术(北京)有限公司 | 一种用于检测分布式拒绝服务的攻击流量的方法和装置 |
| US20180131717A1 (en) * | 2016-11-10 | 2018-05-10 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting distributed reflection denial of service attack |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109660518A (zh) * | 2018-11-22 | 2019-04-19 | 北京六方领安网络科技有限公司 | 网络的通信数据检测方法、装置以及机器可读存储介质 |
| CN109525508A (zh) * | 2018-12-15 | 2019-03-26 | 深圳先进技术研究院 | 基于流量相似性比对的加密流识别方法、装置及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 杨玉兰: "DDoS攻击行为特征分析及防御方法探究", 《网络安全技术与应用》 * |
| 江健等: "僵尸网络机理与防御技术", 《软件学报》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855648A (zh) * | 2019-11-04 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 一种网络攻击的预警控制方法及装置 |
| CN113765873A (zh) * | 2020-11-02 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 用于检测异常访问流量的方法和装置 |
| CN113765873B (zh) * | 2020-11-02 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 用于检测异常访问流量的方法和装置 |
| CN112953956A (zh) * | 2021-03-05 | 2021-06-11 | 中电积至(海南)信息技术有限公司 | 一种基于主被动结合的反射放大器识别方法 |
| CN112953956B (zh) * | 2021-03-05 | 2022-11-18 | 中电积至(海南)信息技术有限公司 | 一种基于主被动结合的反射放大器识别方法 |
| CN113347186A (zh) * | 2021-06-01 | 2021-09-03 | 百度在线网络技术(北京)有限公司 | 反射攻击探测方法、装置和电子设备 |
| CN113347186B (zh) * | 2021-06-01 | 2022-05-06 | 百度在线网络技术(北京)有限公司 | 反射攻击探测方法、装置和电子设备 |
| CN113783892A (zh) * | 2021-09-28 | 2021-12-10 | 北京天融信网络安全技术有限公司 | 反射攻击检测方法、系统、设备及计算机可读存储介质 |
| CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110311925B (zh) | 2022-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110311925A (zh) | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 | |
| US20230063480A1 (en) | Collection of error packet information for network policy enforcement | |
| US10348740B2 (en) | Systems and methods for threat analysis of computer data | |
| US9680849B2 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| US7685640B2 (en) | Methods and apparatus for interface adapter integrated virus protection | |
| US10997289B2 (en) | Identifying malicious executing code of an enclave | |
| CN113228589B (zh) | 使用标签保护基于网络的计算资源 | |
| US10534909B2 (en) | Multi-tiered sandbox based network threat detection | |
| CN109144820A (zh) | 一种异常主机的检测方法及装置 | |
| US20090013407A1 (en) | Intrusion detection system/intrusion prevention system with enhanced performance | |
| WO2013020400A1 (zh) | 恶意代码的检测方法、系统及相关装置 | |
| CN102624721B (zh) | 一种特征码验证平台装置及特征码验证方法 | |
| CN112639790A (zh) | 用于控制对外围设备的访问的系统和方法 | |
| CN106790175B (zh) | 一种蠕虫事件的检测方法及装置 | |
| US20180082060A1 (en) | System Call Vectorization | |
| CN112788601A (zh) | 一种基于大数据的移动终端信息安全防护系统及方法 | |
| CN106301992A (zh) | 一种攻击报文检测方法及设备 | |
| CN106464513A (zh) | 用于抑制恶意调用的系统和方法 | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| CN112953957B (zh) | 一种入侵防御方法、系统及相关设备 | |
| CN114726579A (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| KR102285661B1 (ko) | 침입 탐지 시스템에서 로드 밸런싱 방법 및 장치 | |
| CN113726799B (zh) | 针对应用层攻击的处理方法、装置、系统和设备 | |
| US20230308479A1 (en) | Anti-snooping apparatus | |
| CN114866299B (zh) | 网络数据转发方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |