CN110365693A - 基于多方位监测的DoS攻击测试方法、装置和电子设备 - Google Patents

Abstract

本发明提供了基于多方位监测的DoS攻击测试方法、装置和电子设备，其中，所述方法包括：设定服务器A为主控服务器，同时服务器A也为检测服务器，服务器B为攻击服务器，服务器C为被攻击服务器；主控服务器A对被攻击服务器C进行实时监测；服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果。本发明通过采用另一台处于公网的服务器，模拟正常用户对被攻击服务器进行定时检测(心跳检测)，避免了使用攻击服务器作为监测服务器时因流量过大而导致的检测数据偏差大，不准确等缺点。

Description

基于多方位监测的DoS攻击测试方法、装置和电子设备

技术领域

本发明涉及网络安全领域，尤其涉及基于多方位监测的DoS攻击测试方法、装置和电子设备。

背景技术

DoS攻击测试通常用于测试业务或服务器对DoS攻击的耐受力。对于DoS攻击测试的结构，应采用攻击服务器与监测服务器分离的方法，分别从网络的TCP层，HTTP 层和被攻击服务器内部的CPU和内存的占用率以及被攻击服务器的网络流入、流出流量对被攻击服务器进行多方位的监测。其中DoS攻击测试的方法涵盖多数常见的DoS 攻击手段。

现有的DoS攻击测试使用的监测手法通常较为粗糙、简单，仅通过判断目标端口能够连接或者目标网站能否访问来判断其可用性，难以准确描述DoS攻击测试所消耗的资源情况，也难以准确评判DoS攻击测试的效果。

术语解释：

DDoS攻击：DDoS的攻击原理，简言之，其实就是利用TCP/UDP协议规律，通过占用协议栈资源或者发起大流量拥塞，达到消耗目标机器性能或者网络的目的。 TCP包括三次握手与四次挥手，如图1所示，TCP建立连接时，三次握手包括：

1.client:syn

2.server:syn+ack

3.client:ack

TCP断开连接时，四次挥手包括：

1.client:fin

2.server:ack

3.server:fin

4.client:ack

HTTP慢速攻击：利用HTTP的正常机制，先与被攻击机器建立一个正常的连接，然后通过长时间保持这个连接不断开使得服务器上的可用资源消耗殆尽，无法提供正常的服务。

HTTP Flood攻击：是一种专门针对Web应用层Flood攻击，攻击者操纵网络上的肉鸡或使用匿名的HTTP、SOCKS代理，对目标Web服务器进行海量http request 攻击，使得对方服务器造成服务器资源耗尽，一直到宕机崩溃，HTTP Flood主要是用来攻击Web页面的。

SYN Flood攻击：SYN Flood是一种利用TCP协议缺陷的攻击。攻击者通过向受害者发送大量的SYN数据包，但不再继续回应被攻击服务器返回的SYN-ACK报文，从而导致被攻击服务器上存在大量的TCP半连接，致使被攻击服务器的资源消耗殆尽。

ACK Flood攻击：当服务器接收到带有ACK标志位的数据包后，会校验该数据包是否合法，若合法则向应用层传递该数据包，若不合法则返回RST包。当攻击机器的发包速率很大的时候，被攻击机器需要耗费大量的资源判断并处理这些报文，并返回 RST包，从而导致正常数据包无法处理。

UDP Flood攻击：向被攻击服务器的UDP端口发送大量的无效UDP数据包，从而导致正常的UDP包无法接收，消耗服务器资源。

TCP连接攻击：与被攻击机器TCP连接而不传送数据，使服务器阻塞。通过建立大量的这种连接，导致服务器无法提供正常的服务，造成网络崩溃或者资源耗尽。

发明内容

针对现有技术的不足，本发明提供了基于多方位监测的DoS攻击测试方法、装置和电子设备，其中，基于多方位监测的DoS攻击测试方法，包括：

设定服务器A为主控服务器，同时服务器A也为检测服务器，服务器B为攻击服务器，服务器C为被攻击服务器；

主控服务器A对被攻击服务器C进行实时监测；

服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果。

本发明所述方法中，进一步地，所述主控服务器A对被攻击服务器C进行实时监测，包括：主控服务器A监测被攻击服务器C在正常环境下(即未受到DoS攻击时) 的网络延时和服务器资源情况，记正常情况下平均网络时延为t1，丢包率记为d1。

本发明所述方法中，进一步地，所述服务器A控制服务器B向服务器C进行DoS 攻击测试，并计算得到DoS攻击测试结果，包括：

步骤a1，主控服务器A向攻击服务器B发出指令，由服务器B发起对服务器C 的DoS攻击，主控服务器A同时监测服务器B以及服务器C的资源状况；

步骤a2，计算得到DoS攻击测试结果。

本发明所述方法中，进一步地，步骤a1包括：主控服务器A记录攻击期间的平均网络时延为t2，丢包率记为d2，经过n次DoS攻击，记录下每次攻击期间的平均网络时延集为T_attack＝{t2_i|i＝1,2,3……n}，丢包率集为D_attack＝{d2_i|i＝1,2,3……n}，t2_i为第i次攻击期间的平均网络时延，d2_i为第i次攻击期间的丢包率。

本发明所述方法中，进一步地，步骤a2包括：

步骤a2-1，设定测试端口的丢包率阈值为D，根据如下公式计算丢包率评估值DoS_D：

其中，d表示丢包率，其取值范围为[0,1]；

步骤a2-2，设定测试端口的网络延迟阈值为T，设网络延时评估值DoS_T＝f(t-T)，f(t-T)为网络延时函数，其应满足一阶偏导同时其二阶偏导函数满足上述条件，且当t＞T时，其取值范围为(0,1)，令网络延时函数为网络延时评估值DoS_T的归一化函数，从而得到网络延时评估值DoS_T的计算公式为：

其中，t表示网络延迟，其取值范围为[t_min,∞)，t_min表示最小延迟；

步骤a2-3，根据如下公式计算DoS攻击效果的评判值Q：

Q＝max{DoS_T,DoS_D}，

即

其中Q的取值范围为[0,1)；

步骤a2-4，将平均网络时延集T_attack和丢包率集D_attack代入DoS攻击效果的评判值Q的计算公式中，得到一组数据集，记为Q_attack＝{Q_i|i＝1,2,3……n}，Q_i表示第i 次攻击的攻击效果的评判值；

当0＜n＜10，取集合Q_attack中所有数据的算术平均值作为DoS攻击测试最终结果；

当n≥10时，计算集合Q_attack中所有数据的算术平均值其标准偏差为s，设第 i次的偏差值为取显著性水平a＝0.05，格布拉斯临界值为G(a,n)，通过查表当时，判断此时的Q_i为异常值。剔除异常值后得到新数据集，计算新数据集中所有数据的算术平均值，作为DoS攻击测试最终结果。

本发明所述方法中，进一步地，所述主控服务器A对被攻击服务器C进行实时监测，包括外部网络监测和内部资源监测，所述外部网络监测和内部资源监测的频率均为一秒一次。

本发明所述方法中，进一步地，所述外部网络监测包括TCP层监测和HTTP层监测，所述TCP层监测，包括：服务器A向目标服务器C的目标端口以固定频率发送 SYN包，以收到ACK包的时延和丢包率计算得到的评估值Q来判断目标服务器的TCP 层网络资源情况；

所述HTTP层监测，包括：服务器A模拟用户正常访问目标服务器C，向目标端口以固定频率发送request报文，以收到response报文的时延和丢包率计算得到的评估值Q来判断目标服务器的HTTP层网络资源以及网页访问情况。

本发明所述方法中，进一步地，所述内部资源监测包括内存监测、CPU监测以及内部网络流量监测，具体包括：服务器A向被攻击服务器C发起信号，以固定频率接受被攻击服务器C的内存、CPU以及内部网络流量情况。

本发明还提供了基于多方位监测的DoS攻击测试装置，包括设定模块、监测模块和攻击测试模块；

其中，所述设定模块，用于，设定服务器A为主控服务器，同时服务器A也为检测服务器，服务器B为攻击服务器，服务器C为被攻击服务器；

所述监测模块，用于，控制主控服务器A对被攻击服务器C进行实时监测；

所述攻击测试模块，用于，通过服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果。

本发明所述装置中，进一步地，所述监测模块，用于，控制主控服务器A对被攻击服务器C进行实时监测，还包括：主控服务器A监测被攻击服务器C在正常环境下的网络延时和服务器资源情况，记正常情况下平均网络时延为t1，丢包率记为d1。

本发明所述装置中，进一步地，所述攻击测试模块，用于，通过服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果，还包括：

步骤b1，主控服务器A向攻击服务器B发出指令，由服务器B发起对服务器C 的DoS攻击，主控服务器A同时监测服务器B以及服务器C的资源状况；

步骤b2，计算得到DoS攻击测试结果。

本发明所述装置中，进一步地，步骤b1包括：主控服务器A记录攻击期间的平均网络时延为t2，丢包率记为d2，经过n次DoS攻击，记录下每次攻击期间的平均网络时延集为T_attack＝{t2_i|i＝1,2,3……n}，丢包率集为D_attack＝{d2_i|i＝1,2,3……n}，t2_i为第i次攻击期间的平均网络时延，d2_i为第i次攻击期间的丢包率。

本发明所述装置中，进一步地，步骤b2包括：

步骤b2-1，设定测试端口的丢包率阈值为D，根据如下公式计算丢包率评估值DoS_D：

其中，d表示丢包率，其取值范围为[0,1]；

步骤b2-2，设定测试端口的网络延迟阈值为T，设网络延时评估值DoS_T＝f(t-T)，f(t-T)为网络延时函数，其应满足一阶偏导同时其二阶偏导函数满足上述条件，且当t＞T时，其取值范围为(0,1)，令网络延时函数为网络延时评估值DoS_T的归一化函数，从而得到网络延时评估值DoS_T的计算公式为：

其中，t表示网络延迟，其取值范围为[t_min,∞)，t_min表示最小延迟；

步骤b2-3，根据如下公式计算DoS攻击效果的评判值Q：

Q＝max{DoS_T,DoS_D}，

即

其中Q的取值范围为[0,1)；

步骤b2-4，将平均网络时延集T_attack和丢包率集D_attack代入DoS攻击效果的评判值Q的计算公式中，得到一组数据集，记为Q_attack＝{Q_i|i＝1,2,3……n}，Q_i表示第i 次攻击的攻击效果的评判值；

当0＜n＜10，取集合Q_attack中所有数据的算术平均值作为DoS攻击测试最终结果；

当n≥10时，计算集合Q_attack中所有数据的算术平均值其标准偏差为s，设第 i次的偏差值为取显著性水平a＝0.05，格布拉斯临界值为G(a,n)，通过查表当时，判断此时的Q_i为异常值。剔除异常值后得到新数据集，计算新数据集中所有数据的算术平均值，作为DoS攻击测试最终结果。

本发明所述装置中，进一步地，所述监测模块，用于，控制主控服务器A对被攻击服务器C进行实时监测，还包括外部网络监测和内部资源监测，所述外部网络监测和内部资源监测的频率均为一秒一次。

本发明所述装置中，进一步地，所述外部网络监测包括TCP层监测和HTTP层监测，所述TCP层监测，包括：服务器A向目标服务器C的目标端口以固定频率发送 SYN包，以收到ACK包的时延和丢包率计算得到的评估值Q来判断目标服务器的TCP 层网络资源情况；

所述HTTP层监测，包括：服务器A模拟用户正常访问目标服务器C，向目标端口以固定频率发送request报文，以收到response报文的时延和丢包率计算得到的评估值Q来判断目标服务器的HTTP层网络资源以及网页访问情况。

本发明所述装置中，进一步地，所述内部资源监测包括内存监测、CPU监测以及内部网络流量监测，具体包括：服务器A向被攻击服务器C发起信号，以固定频率接受被攻击服务器C的内存、CPU以及内部网络流量情况。

本发明还提供了一种电子设备，包括：处理器和存储器，在所述存储器中存储有计算机程序指令，所述计算机程序指令在被所述处理器运行时使得所述处理器执行如上所述的攻击测试方法。

有益效果：

本DoS攻击监测方法的监测层面涵盖网络的TCP层及HTTP层，硬件资源的CPU 及内存，全面地记录了受到DoS攻击后被攻击服务器的资源占用情况。并通过记录DoS 攻击测试中的丢包率和网络延迟，在多次测试时剔除可能存在的异常值，根据评估算法得出相应数值，更为准确、具体地评判了DoS攻击的网络层面效果以及被攻击服务器的网络可用性。

附图说明

下面结合附图和具体实施方式对本发明做更进一步的具体说明，本发明的上述和/ 或其他方面的优点将会变得更加清楚。

图1是TCP三次握手与四次挥手示意图。

图2是本发明DoS攻击测试方法的基本结构图。

图3是本发明提供的电子设备架构图。

图4是本发明提供的基于多方位监测的DoS攻击测试装置架构图。

具体实施方式

在DoS攻击中，由于攻击时所产生的网络流量较大，可能会造成被攻击服务器端口阻塞、资源消耗、无法提供正常服务等情况。本发明提供的基于多方位监测的DoS 攻击测试方法通过采用另一台处于公网的服务器，模拟正常用户对被攻击服务器进行定时检测(心跳检测)，避免了使用攻击服务器作为监测服务器时因流量过大而导致的检测数据偏差大，不准确等缺点。

其中对被攻击服务器的定时监测分为外部网络检测、内部资源检测两个部分。外部网络检测分别通过TCP层和HTTP层，从外部对被攻击服务器进行网络检测。内部资源检测分别通过检测目标服务器的CPU，内存硬件等资源的占用情况，并同时检测被攻击服务器内部的网络流入、流出等内部网络资源占用情况。从多个方面更加全面的评估在受到不同攻击类型的DoS攻击时服务器网络资源和硬件资源的消耗。

DoS攻击测试的基本结构如图2所示：

其中服务器A为主控服务器，同时也是检测服务器，服务器B为攻击服务器，服务器C为被攻击服务器。

DoS攻击测试的流程如下：

由主控服务器A先对被攻击服务器C进行监测，监测被攻击服务器C在正常环境下的网络延时和服务器资源情况，记正常情况下平均网络时延为t1，丢包率记为d1。

再由主控服务器A向攻击服务器B发出指令，由服务器B发起对服务器C的DoS 攻击，主控服务器A同时监控服务器B以及服务器C的资源状况。由于DoS攻击所带来的大流量，能在服务器A上直观地观察到在服务器B发起DoS攻击后服务器C 的各资源的波动情况，记录攻击期间的平均网络时延为t2，丢包率记为d2。通过多次测试，记录下每次攻击期间的平均网络时延集为T_attack＝{t2_i|i＝1,2,3……n}，丢包率集为D_attack＝{d2_i|i＝1,2,3……n}，t2_i为第i次攻击期间的平均网络时延，d2_i为第i 次攻击期间的丢包率；

对于测试的服务与端口，需要根据其情况自定义丢包率与延迟阈值。设定测试端口的网络延迟阈值与丢包率阈值分别为T和D。对于丢包率d，其取值范围为[0,1]，当丢包率d大于阈值D时，评估DoS攻击程度(丢包)为1，其余为0，呈阶跃函数，则有丢包率评估计算公式

对于网络延迟t，设定最小延迟为t_min，则有取值范围为[t_min,∞)，需对其进行归一化处理。随着网络延迟的增大，其DoS攻击程度(延时)的评估值越大，对评估值变化程度越小。设网络延时函数为DoS_T＝f(t-T)，则应满足一阶偏导其二阶偏导函数满足上述条件，且当t＞T时，其取值范围为(0,1)，令其为DoS攻击程度(延时)的归一化函数，则有网络延时评估计算公式：

得出DoS攻击效果的评判公式为Q＝max{DoS_T,DoS_D}，即其中Q的取值范围为[0,1)。将记录下的平均网络时延集T_attack和丢包率集D_attack代入DoS 攻击效果评判公式Q，得到一组数据集记为Q_attack＝{Q_i|i＝1,2,3……n}。

当测试次数0＜n＜10次时，取其算术平均值作为DoS攻击测试最终结果。

当测试次数n≥10次时，使用格拉布斯准则剔除测试的异常值。计算集合Q_attack中所有数据的算术平均值其标准偏差为s，设第i次测量的偏差值为取显著性水平a＝0.05，格布拉斯临界值为G(a,n)，通过查表当时，判断此时的Q_i为异常值，剔除异常值后得到新数据集，计算新数据集中所有数据的算术平均值，作为DoS攻击测试最终结果。该结果可较为准确评估DoS攻击带来的网络情况影响。

此评价公式同时适用于评估TCP层与HTTP层的DoS攻击程度。

被攻击服务器的监测分为两类，外部网络监测、内部资源监测。由于服务器性能的提升，目前的DoS攻击已经较少出现耗尽服务器硬件资源的情况，所以主要由外部网络监测来确定DoS攻击测试程度，内部资源监测为辅助的、附加的监测方法。

1、外部网络监测：

外部网络监测的频率为一秒一次，过快的监测频率会导致服务器资源消耗从而造成额外的负担，过低的监测频率则会导致监测时间精度不够。

外部网络监测又分为TCP层监测和HTTP层监测。TCP层监测使用的方法为向目标服务器C的目标端口以固定频率发送SYN包，以收到ACK包的时延和丢包率计算得到的评估值Q来判断目标服务器的TCP层网络资源情况。

HTTP层监测模拟用户正常访问目标服务器C，向目标端口以固定频率发送request报文，以收到response报文的时延和丢包率计算得到的评估值Q来判断目标服务器的 HTTP层网络资源以及网页访问情况。

通过外部网络监测，能模拟真实用户访问目标服务器延时和网络状况。服务器A将测试的延时和丢包率分别记录，并代入至DoS攻击效果评判公式Q，在测试结束后，计算并得出DoS攻击测试的效果值。

下图为对同一应用不同流量大小的DoS攻击测试数据截取，攻击流量随序号增大，测试数据与结果如下表1所示：

表1

通过Q较为准确表示了DoS攻击所带来的网络影响。

2、内部资源监测：

内部资源监测的频率与外部网络监测相同。内部资源监测包含内存监测、CPU监测以及内部网络流量监测。

由主控服务器(监测服务器)向被攻击服务器发起信号，以固定频率(一秒一次)接受被攻击服务器的硬件以及网络资源情况，能够直观的监测到受到DoS攻击前后被攻击服务器的资源占用的波动情况。

通过内外部同时监测的方法，经过评估计算得到具体数值，能够准确、及时地发现目标服务器在受到DoS攻击后的资源消耗，精准定位目标服务器的短板、缺陷和可能存在的危险。

本发明还提供了基于多方位监测的DoS攻击测试装置100，如图4所示，包括设定模块101、监测模块102和攻击测试模块103；

其中，所述设定模块101，用于，设定服务器A为主控服务器，同时服务器A也为检测服务器，服务器B为攻击服务器，服务器C为被攻击服务器；

所述监测模块102，用于，控制主控服务器A对被攻击服务器C进行实时监测；

所述攻击测试模块103，用于，通过服务器A控制服务器B向服务器C进行DoS 攻击测试，并计算得到DoS攻击测试结果。

本发明所述装置中，进一步地，所述监测模块，用于，控制主控服务器A对被攻击服务器C进行实时监测，还包括：主控服务器A监测被攻击服务器C在正常环境下的网络延时和服务器资源情况，记正常情况下平均网络时延为t1，丢包率记为d1。

本发明所述装置中，进一步地，所述攻击测试模块，用于，通过服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果，还包括：

步骤b1，主控服务器A向攻击服务器B发出指令，由服务器B发起对服务器C 的DoS攻击，主控服务器A同时监测服务器B以及服务器C的资源状况；

步骤b2，计算得到DoS攻击测试结果。

本发明所述装置中，进一步地，步骤b1包括：主控服务器A记录攻击期间的平均网络时延为t2，丢包率记为d2，经过n次DoS攻击，记录下每次攻击期间的平均网络时延集为T_attack＝{t2_i|i＝1,2,3……n}，丢包率集为D_attack＝{d2_i|i＝1,2,3……n}，t2_i为第i次攻击期间的平均网络时延，d2_i为第i次攻击期间的丢包率。

本发明所述装置中，进一步地，步骤b2包括：

步骤b2-1，设定测试端口的丢包率阈值为D，根据如下公式计算丢包率评估值DoS_D：

其中，d表示丢包率，其取值范围为[0,1]；

步骤b2-2，设定测试端口的网络延迟阈值为T，设网络延时评估值DoS_T＝f(t-T)，f(t-T)为网络延时函数，其应满足一阶偏导同时其二阶偏导函数满足上述条件，且当t＞T时，其取值范围为(0,1)，令网络延时函数为网络延时评估值DoS_T的归一化函数，从而得到网络延时评估值DoS_T的计算公式为：

其中，t表示网络延迟，其取值范围为[t_min,∞)，t_min表示最小延迟；

步骤b2-3，根据如下公式计算DoS攻击效果的评判值Q：

Q＝max{DoS_T,DoS_D}，

即

其中Q的取值范围为[0,1)；

步骤b2-4，将平均网络时延集T_attack和丢包率集D_attack代入DoS攻击效果的评判值Q的计算公式中，得到一组数据集，记为Q_attack＝{Q_i|i＝1,2,3……n}，Q_i表示第i 次攻击的攻击效果的评判值；

当0＜n＜10，取集合Q_attack中所有数据的算术平均值作为DoS攻击测试最终结果；

当n≥10时，计算集合Q_attack中所有数据的算术平均值其标准偏差为s，设第 i次的偏差值为取显著性水平a＝0.05，格布拉斯临界值为G(a,n)，通过查表当时，判断此时的Q_i为异常值。剔除异常值后得到新数据集，计算新数据集中所有数据的算术平均值，作为DoS攻击测试最终结果。

本发明所述装置中，进一步地，所述监测模块，用于，控制主控服务器A对被攻击服务器C进行实时监测，还包括外部网络监测和内部资源监测，所述外部网络监测和内部资源监测的频率均为一秒一次。

本发明所述装置中，进一步地，所述外部网络监测包括TCP层监测和HTTP层监测，所述TCP层监测，包括：服务器A向目标服务器C的目标端口以固定频率发送 SYN包，以收到ACK包的时延和丢包率计算得到的评估值Q来判断目标服务器的TCP 层网络资源情况；

所述HTTP层监测，包括：服务器A模拟用户正常访问目标服务器C，向目标端口以固定频率发送request报文，以收到response报文的时延和丢包率计算得到的评估值Q来判断目标服务器的HTTP层网络资源以及网页访问情况。

本发明所述装置中，进一步地，所述内部资源监测包括内存监测、CPU监测以及内部网络流量监测，具体包括：服务器A向被攻击服务器C发起信号，以固定频率接受被攻击服务器C的内存、CPU以及内部网络流量情况。

如上所述，根据本申请实施例的基于多方位监测的DoS攻击测试装置，可以实现在各种终端设备中，例如分布式计算系统的服务器。在一个示例中，根据本申请实施例的基于多方位监测的DoS攻击测试装置可以作为一个软件模块和/或硬件模块而集成到所述终端设备中。例如，该基于多方位监测的DoS攻击测试装置可以是该终端设备的操作系统中的一个软件模块，或者可以是针对于该终端设备所开发的一个应用程序；当然，该基于多方位监测的DoS攻击测试装置同样可以是该终端设备的众多硬件模块之一。

替换地，在另一示例中，该基于多方位监测的DoS攻击测试装置与终端设备也可以是分立的终端设备，并且该基于多方位监测的DoS攻击测试装置可以通过有线和/ 或无线网络连接到该终端设备，并且按照约定的数据格式来传输交互信息。

如图3所示，本申请还提供一种电子设备10，包括：

一个或多个处理器11和存储器12，处理器11可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备 10中的其他组件以执行期望的功能。

存储器12可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器11可以运行所述程序指令，以实现上文所述的本申请的各个实施例的基于多方位监测的DoS攻击测试方法以及/ 或者其他期望的功能。

在一个示例中，电子设备10还可以包括输入装置13和输出装置14，这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。

例如，该输入装置13可以是键盘、鼠标等。

该输出装置14可以向外部输出各种信息，包括基于多方位监测的DoS攻击测试方法的结果等。该输出装置14可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等。

当然，为了简化，图3中仅示出了该电子设备10与本申请有关的组件中的一些，省略了诸如总线、输入/输出接口等等的组件。

根据本申请的另一方面，还提供一种计算机可读存储介质，其上存储有计算机程序指令，当所述计算机程序指令被计算装置执行时，可操作来执行如上所述的基于多方位监测的DoS攻击测试方法。

本发明提供了基于多方位监测的DoS攻击测试方法、装置和电子设备，具体实现该技术方案的方法和途径很多，以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (17)

1.基于多方位监测的DoS攻击测试方法，其特征在于，包括：

设定服务器A为主控服务器，同时服务器A也为检测服务器，服务器B为攻击服务器，服务器C为被攻击服务器；

主控服务器A对被攻击服务器C进行实时监测；

服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果。

2.根据权利要求1所述的方法，其特征在于，所述主控服务器A对被攻击服务器C进行实时监测，包括：主控服务器A监测被攻击服务器C在正常环境下的网络延时和服务器资源情况，记正常情况下平均网络时延为t1，丢包率记为d1。

3.根据权利要求2所述的方法，其特征在于，所述服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果，包括：

步骤a1，主控服务器A向攻击服务器B发出指令，由服务器B发起对服务器C的DoS攻击，主控服务器A同时监测服务器B以及服务器C的资源状况；

步骤a2，计算得到DoS攻击测试结果。

4.根据权利要求3所述的方法，其特征在于，步骤a1包括：主控服务器A记录攻击期间的平均网络时延为t2，丢包率记为d2，经过n次DoS攻击，记录下每次攻击期间的平均网络时延集为T_attack＝{t2_i|i＝1，2，3......n}，丢包率集为D_attack＝{d2_i|i＝1，2，3......n}，t2_i为第i次攻击期间的平均网络时延，d2_i为第i次攻击期间的丢包率。

5.根据权利要求4所述的方法，其特征在于，步骤a2包括：

步骤a2-1，设定测试端口的丢包率阈值为D，根据如下公式计算丢包率评估值DoS_D：

其中，d表示丢包率，其取值范围为[0，1]；

步骤a2-2，设定测试端口的网络延迟阈值为T，设网络延时评估值DoS_T＝f(t-T)，f(t-T)为网络延时函数，其应满足一阶偏导同时其二阶偏导函数满足上述条件，且当t＞T时，其取值范围为(0，1)，令网络延时函数为网络延时评估值DoS_T的归一化函数，从而得到网络延时评估值DoS_T的计算公式为：

其中，t表示网络延迟，其取值范围为[t_min，∞)，t_min表示最小延迟；

步骤a2-3，根据如下公式计算DoS攻击效果的评判值Q：

Q＝max{DoS_T，DoS_D}，

即

其中Q的取值范围为[0，1)；

步骤a2-4，将平均网络时延集T_attack和丢包率集D_attack代入DoS攻击效果的评判值Q的计算公式中，得到一组数据集，记为Q_attack＝{Q_i|i＝1，2，3......n}，Q_i表示第i次攻击的攻击效果的评判值；

当0＜n＜10，取集合Q_attack中所有数据的算术平均值作为DoS攻击测试最终结果；

当n≥10时，计算集合Q_attack中所有数据的算术平均值其标准偏差为s，设第i次测量的偏差值为取显著性水平a＝0.05，格布拉斯临界值为G(a，n)，通过查表当时，判断此时的Q_i为异常值，剔除异常值后得到新数据集，计算新数据集中所有数据的算术平均值，作为DoS攻击测试最终结果。

6.根据权利要求5所述的方法，其特征在于，所述主控服务器A对被攻击服务器C进行实时监测，包括外部网络监测和内部资源监测，所述外部网络监测和内部资源监测的频率均为一秒一次。

7.根据权利要求6所述的方法，其特征在于，所述外部网络监测包括TCP层监测和HTTP层监测，所述TCP层监测，包括：服务器A向目标服务器C的目标端口以固定频率发送SYN包，以收到ACK包的时延和丢包率计算得到的评估值Q来判断目标服务器的TCP层网络资源情况；

所述HTTP层监测，包括：服务器A模拟用户正常访问目标服务器C，向目标端口以固定频率发送request报文，以收到response报文的时延和丢包率计算得到的评估值Q来判断目标服务器的HTTP层网络资源以及网页访问情况。

8.根据权利要求7所述的方法，其特征在于，所述内部资源监测包括内存监测、CPU监测以及内部网络流量监测，具体包括：服务器A向被攻击服务器C发起信号，以固定频率接受被攻击服务器C的内存、CPU以及内部网络流量情况。

9.基于多方位监测的DoS攻击测试装置，其特征在于，包括设定模块、监测模块和攻击测试模块；

其中，所述设定模块，用于，设定服务器A为主控服务器，同时服务器A也为检测服务器，服务器B为攻击服务器，服务器C为被攻击服务器；

所述监测模块，用于，控制主控服务器A对被攻击服务器C进行实时监测；

所述攻击测试模块，用于，通过服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果。

10.根据权利要求9所述的装置，其特征在于，所述监测模块，用于，控制主控服务器A对被攻击服务器C进行实时监测，还包括：主控服务器A监测被攻击服务器C在正常环境下的网络延时和服务器资源情况，记正常情况下平均网络时延为t1，丢包率记为d1。

11.根据权利要求10所述的装置，其特征在于，所述攻击测试模块，用于，通过服务器A控制服务器B向服务器C进行DoS攻击测试，并计算得到DoS攻击测试结果，还包括：

步骤b1，主控服务器A向攻击服务器B发出指令，由服务器B发起对服务器C的DoS攻击，主控服务器A同时监测服务器B以及服务器C的资源状况；

步骤b2，计算得到DoS攻击测试结果。

12.根据权利要求11所述的装置，其特征在于，步骤b1包括：主控服务器A记录攻击期间的平均网络时延为t2，丢包率记为d2，经过n次DoS攻击，记录下每次攻击期间的平均网络时延集为T_attack＝{t2_i|i＝1，2，3......n}，丢包率集为D_attack＝{d2_i|i＝1，2，3......n}，t2_i为第i次攻击期间的平均网络时延，d2_i为第i次攻击期间的丢包率。

13.根据权利要求12所述的装置，其特征在于，步骤b2包括：

步骤b2-1，设定测试端口的丢包率阈值为D，根据如下公式计算丢包率评估值DoS_D：

其中，d表示丢包率，其取值范围为[0，1]；

步骤b2-2，设定测试端口的网络延迟阈值为T，设网络延时评估值DoS_T＝f(t-T)，f(t-T)为网络延时函数，其应满足一阶偏导同时其二阶偏导函数满足上述条件，且当t＞T时，其取值范围为(0，1)，令网络延时函数为网络延时评估值DoS_T的归一化函数，从而得到网络延时评估值DoS_T的计算公式为：

其中，t表示网络延迟，其取值范围为[t_min，∞)，t_min表示最小延迟；

步骤b2-3，根据如下公式计算DoS攻击效果的评判值Q：

Q＝max{DoS_T，DoS_D}，

即

其中Q的取值范围为[0，1)；

步骤b2-4，将平均网络时延集T_attack和丢包率集D_attack代入DoS攻击效果的评判值Q的计算公式中，得到一组数据集，记为Q_attack＝{Q_i|i＝1，2，3......n}，Q_i表示第i次攻击的攻击效果的评判值；

当0＜n＜10，取集合Q_attack中所有数据的算术平均值作为DoS攻击测试最终结果；

当n≥10时，计算集合Q_attack中所有数据的算术平均值其标准偏差为s，设第i次的偏差值为取显著性水平a＝0.05，格布拉斯临界值为G(a，n)，通过查表当时，判断此时的Q_i为异常值，剔除异常值后得到新数据集，计算新数据集中所有数据的算术平均值，作为DoS攻击测试最终结果。

14.根据权利要求13所述的装置，其特征在于，所述监测模块，用于，控制主控服务器A对被攻击服务器C进行实时监测，还包括外部网络监测和内部资源监测，所述外部网络监测和内部资源监测的频率均为一秒一次。

15.根据权利要求14所述的装置，其特征在于，所述外部网络监测包括TCP层监测和HTTP层监测，所述TCP层监测，包括：服务器A向目标服务器C的目标端口以固定频率发送SYN包，以收到ACK包的时延和丢包率计算得到的评估值Q来判断目标服务器的TCP层网络资源情况；

所述HTTP层监测，包括：服务器A模拟用户正常访问目标服务器C，向目标端口以固定频率发送request报文，以收到response报文的时延和丢包率计算得到的评估值Q来判断目标服务器的HTTP层网络资源以及网页访问情况。

16.根据权利要求15所述的装置，其特征在于，所述内部资源监测包括内存监测、CPU监测以及内部网络流量监测，具体包括：服务器A向被攻击服务器C发起信号，以固定频率接受被攻击服务器C的内存、CPU以及内部网络流量情况。

17.一种电子设备，其特征在于，包括：处理器和存储器，在所述存储器中存储有计算机程序指令，所述计算机程序指令在被所述处理器运行时使得所述处理器执行如权利要求1-8任一项所述的攻击测试方法。