CN110944016A - DDoS攻击检测方法、装置、网络设备及存储介质 - Google Patents
DDoS攻击检测方法、装置、网络设备及存储介质 Download PDFInfo
- Publication number
- CN110944016A CN110944016A CN201911354598.3A CN201911354598A CN110944016A CN 110944016 A CN110944016 A CN 110944016A CN 201911354598 A CN201911354598 A CN 201911354598A CN 110944016 A CN110944016 A CN 110944016A
- Authority
- CN
- China
- Prior art keywords
- clustering
- access
- preset
- characteristic values
- access characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施方式涉及通信技术领域,公开了一种DDoS攻击检测方法,该方法包括:根据日志文件中的N个访问信息计算得到N个访问特征值,所述N为正整数;将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个所述访问特征值是否为异常的聚类结果;将N个所述聚类结果与预设的规则库进行匹配,若匹配成功,则判定存在DDoS攻击。本发明实施方式还提供了一种DDoS攻击检测装置、网络设备及存储介质。本发明实施方式提供的DDoS攻击检测方法、装置、网络设备及存储介质,可以提高DDoS攻击检测的准确性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种DDoS攻击检测方法、装置、网络设备及存储介质。
背景技术
分布式拒绝服务攻击(DDoS攻击)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
然而,发明人发现现有技术中至少存在如下问题:目前检测DDoS攻击的方式均为通过判断当前每分钟的流量或数据包数是否高于预先设置的阈值来判断,而预先设置的阈值均是来自于经验值,采用这种检测方式检测DDoS攻击,准确度较低。
发明内容
本发明实施方式的目的在于提供一种DDoS攻击检测方法、装置、网络设备及存储介质,使得DDoS攻击检测的准确度提高。
为解决上述技术问题,本发明的实施方式提供了一种DDoS攻击检测方法,包含以下步骤:根据日志文件中的N个访问信息计算得到N个访问特征值,N为正整数;将每一访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个访问特征值是否为异常的聚类结果;将N个聚类结果与预设的规则库进行匹配,若匹配成功,则判定存在DDoS攻击。
本发明的实施方式还提供了一种DDoS攻击检测装置,包括:特征值计算模块,用于根据日志文件中的N个访问信息计算得到N个访问特征值,N为正整数;特征值聚类模块,用于将每一访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个访问特征值是否为异常的聚类结果;攻击检测模块,用于将N个聚类结果与预设的规则库进行匹配,若匹配成功,则判定存在DDoS攻击。
本发明的实施方式还提供了一种网络设备,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如上述的DDoS攻击检测方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现如上述的DDoS攻击检测方法。
本发明实施方式相对于现有技术而言,根据日志文件中的访问信息计算访问特征值,通过将访问特征值与对应的第一预设特征样本集聚类的方式来判断是否为异常,由于第一预设特征样本集可以反映多个正常的访问信息的信息,因此通过聚类的方法比根据经验值设置阈值的判断方式更能准确地判断访问特征值是否为异常;同时,由于是通过一次聚类的结果就可以得到检测结果,因此不需要占用如redis集群进行检测中间过程的数据存储,资源占用少;而且在较短的时间内(几十秒)就能得到检测结果,时效性较高;进一步地,通过多个聚类是否为异常的聚类结果结合预设的规则库来判断是否存在DDoS攻击,可以从多个维度来进行综合判断,比根据单个比较结果的单个因素判断的方式能准确地判断是否存在DDoS攻击,从而提高DDoS攻击检测的准确性。
另外,N个访问信息包括源IP地址、源IP端口、目的端口和协议中的至少一个;根据日志文件中的N个访问信息计算得到N个访问特征值,N为正整数,包括:根据日志文件计算每一访问信息在预设时间段内的信息熵,将每一信息熵作为访问特征值。
另外,N个访问信息还包括访问流量和数据包数量中的至少一个;根据日志文件中的N个访问信息计算得到N个访问特征值,N为正整数,还包括:根据日志文件统计每一访问信息在预设时间段内的累计值,将每一累计值作为访问特征值。
另外,将每一访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个访问特征值是否为异常的聚类结果,包括:将每一访问特征值分别与对应的第一预设特征样本集进行聚类;若访问特征值经过聚类后被单独分为一组,则判定访问特征值为异常。通过将每一访问特征值与对应的第一预设特征样本集进行聚类操作,根据访问特征值是否被单独分成一组来判断访问特征值是否为异常,可以快速准确得到判断的结果。
另外,在判定存在DDoS攻击之后,还包括:根据预设攻击类型表中的攻击特征统计日志文件中的攻击特征值,其中,在预设攻击类型表中,攻击特征与攻击类型相对应;将攻击特征值与对应的第二预设特征样本集进行聚类,若攻击特征值被单独分成一组,则判定存在与攻击特征对应的攻击类型。通过统计日志文件中的攻击特征值,再与第二预设特征样本集进行聚类,根据聚类的结果可以判断出现何种DDoS攻击类型,从而根据相应的DDoS攻击类型进行应对,有利于指导DDoS攻击处置的操作。
另外,在将每一访问特征值分别与对应的第一预设特征样本集进行聚类之前,还包括:根据日志文件计算历史访问信息的历史访问特征值,历史访问信息与访问信息相对应;将预设时间范围内的历史访问特征值进行聚类;若历史访问特征值中的一个被单独分为一组,则将另一组的历史访问特征值作为第一预设特征样本集。通过对日志文件中的历史访问信息的访问特征值的计算,在此基础上将一定时间范围内的多个访问特征值进行聚类,根据聚类的结果可以得到第一预设特征样本集,以便进行实时的访问特征值是否为异常的判断
另外,在将预设时间范围内的历史访问特征值进行聚类之后,还包括:若历史访问特征值被分成每组至少包括两个历史访问特征值且每组历史访问特征值的数目不等的两组数据,则将两组数据中数目较小的一组中的离另一组的聚类中心最近的历史访问特征值与另一组数据进行重新聚类;若重新聚类的结果为最近的历史访问特征值被单独分为一组,则将另一组历史访问特征值作为第一预设特征样本集;若重新聚类的结果为分成每组至少包括两个历史访问特征值的新的两组数据,则将新的两组数据一并作为第一预设特征样本集。在聚类的过程中,若初次得到的聚类结果不够准确,则进行重新聚类,根据重新聚类的结果得到第一预设特征样本集,可以使得到的第一预设特征样本集包括存在DDoS攻击的样本的可能性较小,从而提高DDoS攻击检测的准确性。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定。
图1是本发明第一实施方式提供的DDoS攻击检测方法的流程示意图;
图2是本发明第一实施方式提供的DDoS攻击检测方法中S102细化步骤的流程示意图;
图3是本发明第一实施方式中将访问特征值与第一预设特征样本集进行聚类的结果示例图;
图4是本发明第一实施方式提供的DDoS攻击检测方法中S103之后步骤的流程示意图;
图5是本发明第一实施方式中将攻击特征值与第二预设特征样本集进行聚类的结果示例图;
图6是本发明第一实施方式提供的DDoS攻击检测方法在S102之前步骤的流程示意图;
图7(a)是本发明第一实施方式将预设时间范围内的历史访问特征值进行聚类后的一结果示例图;
图7(b)是根据图7(a)形成第一预设特征样本集的结果的示例图;
图8(a)是本发明第一实施方式将历史访问特征值进行聚类后的另一结果示例图;
图8(b)是本发明第一实施方式将历史访问特征值进行重新聚类后的一结果示例图;
图8(c)是本发明第一实施方式将历史访问特征值进行重新聚类后的另一结果示例图;
图9是本发明第二实施方式提供的DDoS攻击检测装置的模块结构示意图;
图10是本发明第三实施方式提供的网络设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明的第一实施方式涉及一种DDoS攻击检测方法,根据日志文件中的访问信息计算访问特征值,将访问特征值与第一预设特征样本集聚类来判断是否为异常,并根据N个聚类结果结合预设的规则库来判断是否存在DDoS攻击。由于第一预设特征样本集反映了多个正常的访问信息,因此通过聚类的方法比根据经验值设置阈值的判断方式更能准确地判断访问特征值是否为异常;进一步地,通过多个聚类结果结合预设的规则库来判断是否存在DDoS攻击,可以从多个维度来综合判断,比只根据单个结果的单个因素判断的方式更准确地判断是否存在DDoS攻击,从而提高DDoS攻击检测的准确性。
应当说明的是,本发明实施方式的实施主体为服务端,其中,服务端用于检测目标网络中是否存在DDoS攻击,可以通过独立的服务器或者多个服务器组成的服务器集群来实现,以下以服务端为例进行说明。
本发明实施方式提供的DDoS攻击检测方法的具体流程如图1所示,包括以下步骤:
S101:根据日志文件中的N个访问信息计算得到N个访问特征值,N为正整数。
其中,日志文件可以为Netflow日志,NetFlow是一种网络监测功能,可以收集进入及离开网络界面的IP封包的数量及资讯,提供了各种网络行为数据,包括七元组信息(源IP地址、源IP端口、目的IP地址、目的端口、协议、数据包数、流量),而访问信息可以包括七元组信息中的至少一个。
可以理解的是,目的IP地址为检测的目标对象,即服务端用于检测目的IP地址的访问中是否存在DDoS攻击。
在一个具体的例子中,访问信息包括源IP地址、源IP端口、目的端口和协议中的至少一个,S101具体可以包括:根据日志文件计算每一访问信息在预设时间段内的信息熵,将每一信息熵作为访问特征值。
其中,预设时间段是指以当前时间为界点,一定时间范围的时间段,为实时的时间,例如当前20s内。预设时间段可以根据实际需要进行设置,例如是10s、20s或30s等。应该理解的是,此时服务端是相当于获取目的IP地址实时的访问信息进行判断,若预设时间段设置较短,则进行DDoS攻击检测的时效性较高,但由于访问信息的信息量较少,因此检测的准确性不高;若预设时间段设置较长,则访问信息的信息量较多,因此检测的准确性较高,但时效性不高。故预设时间段的设置应兼顾检测的准确性和检测的时效性。
信息熵可以根据访问信息发生的概率来计算。可选地,可以采用以下计算公式进行计算:
其中,n为事件的总数,i指第几个事件,pi指第i个事件占总事件发生的概率。
例如,以计算源IP地址的信息熵为例,若在预设时间段内在目的IP地址中发生了以下三个源IP地址的访问次数:
源IP地址 | 访问次数 |
201.192.1.10 | 8 |
19.13.10.1 | 12 |
39.1.3.4 | 4 |
从以上源IP地址这一访问信息可以计算源IP地址对于目的IP地址的信息熵,即:
H(U)=-(8/24)*log(8/24)-(12/24)*log(12/24)-(4/24)*log(4/24)=0.4232;
即在预设时间段内源IP地址的信息熵为0.432,同理可以计算得到源IP端口、目的端口和协议的信息熵,将计算得到的每一信息熵作为访问特征值。
在一个具体的例子中,访问信息还包括访问流量和数据包数量中的至少一个,S101还可以包括:根据日志文件统计每一访问信息在预设时间段内的累计值,将每一累计值作为访问特征值。
其中,此处的预设时间段可以与上述的预设时间段相同,也可以不同,这里不做限制。
可选地,访问流量的累计值可以通过统计在预设时间段内流经目的IP地址的流量值得到;数据包数量可以通过统计在预设时间段内流经目的IP地址的数据包数得到。
应当说明的是,访问信息可以包括源IP地址、源IP端口、目的端口、协议、访问流量和数据包数量中的至少一个,而源IP地址、源IP端口、目的端口和协议将计算得到的信息熵作为访问特征值,访问流量和数据包数据将统计的累计值作为访问特征值,即采用不同的计算方法得到访问特征值。
S102:将每一访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个访问特征值是否为异常的聚类结果。
其中,第一预设特征样本集可以由访问特征值为正常的样本组成。例如,可以采用传统的检测方法对样本进行判断,将多个检测为正常(不存在DDoS攻击)的样本组成第一预设特征样本集。
将每一访问特征值分别与对应的第一预设特征样本集进行聚类时,聚类的算法可以为K平均聚类算法、均值漂移聚类算法或基于密度的聚类算法等,这里不做限制。其中,将访问特征值分别与对应的第一预设特征样本集进行聚类例如是:将源IP地址的信息熵与源IP地址的信息熵为正常的第一预设特征样本集进行聚类,即第一预设特征样本集的个数为N个。
可选地,若访问特征值与对应的第一预设特征样本集进行聚类时,若访问特征值被单独分成一类,则表示访问特征值为异常;若访问特征值与第一预设特征样本集分成一类,则表示访问特征值为正常。可选地,若第一预设特征样本集由访问特征值为异常的样本组成,则推断的过程应相反。
S103:将N个聚类结果与预设的规则库进行匹配,若匹配成功,则判定存在DDoS攻击。
其中,预设的规则库可以根据大量的数据进行实验验证后得到,例如如下表所示:
表中,0代表正常,1代表异常,源IP熵是指源IP地址的信息熵,其它以此类推。以表中的第二行为例,若源IP地址的信息熵和访问流量为异常时,则表示存在DDoS攻击。
应当说明的是,以上表所示的预设规则库仅为示例,而不应以上表作为限制,具体可以根据实际情况进行设置,本发明实施方式不做具体限定。
具体地,服务端将N个访问特征值是否为异常的聚类结果与预设的规则库进行匹配,若匹配成功,则表示存在DDoS攻击;若匹配失败,则表示不存在DDoS攻击。
现有技术中,是通过判断当前每分钟的访问流量或者数据包数量是否高于设置的阈值来判断是否存在DDoS攻击。一方面,由于阈值的设置来自于经验,不够准确,因此DDoS攻击检测的准确率较低;另一方面,为了避免单次检测的偶然性,目前是通过三次的检测结果来判断是否存在DDoS攻击,因此需要3分钟才能得到检测结果,时效性不强;同时,由于要检测3次才能得到检测结果,因此需要使用如redis集群进行检测中间过程的数据存储,资源消耗较大。
与现有技术相比,本发明实施方式提供的DDoS攻击检测方法,根据日志文件中的访问信息计算访问特征值,通过将访问特征值与对应的第一预设特征样本集聚类的方式来判断是否为异常,由于第一预设特征样本集可以反映多个正常的访问信息的信息,因此通过聚类的方法比根据经验值设置阈值的判断方式更能准确地判断访问特征值是否为异常;同时,由于是通过一次聚类的结果就可以得到检测结果,因此不需要占用如redis集群进行检测中间过程的数据存储,资源占用少;而且在较短的时间内(几十秒)就能得到检测结果,时效性较高;进一步地,通过多个聚类是否为异常的聚类结果结合预设的规则库来判断是否存在DDoS攻击,可以从多个维度来进行综合判断,比根据单个比较结果的单个因素判断的方式能准确地判断是否存在DDoS攻击,从而提高DDoS攻击检测的准确性。
在一个具体的例子中,在S102中,即在将每一访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个访问特征值是否为异常的聚类结果,如图2所示,具体包括以下步骤:
S1021:将每一访问特征值分别与对应的第一预设特征样本集进行聚类。
S1022:若访问特征值经过聚类后被单独分为一组,则判定访问特征值为异常。
具体地,服务端将计算得到的每一访问特征值分别与对应的第一预设特征样本集进行聚类,若聚类的结果为访问特征值被单独分成一组,第一预设特征集为另外一组,则服务端判定访问特征值为异常,可能存在DDoS攻击。优选地,服务端将计算得到的每一访问特征值分别与对应的第一预设特征样本集进行聚类时,是进行K平均聚类算法的聚类,其中K等于2,即进行聚2类操作。可选地,若聚类的结果为访问特征值与第一预设特征集中部分的样本分成一组,则服务端判定访问特征值为正常。
请参考图3,其为将访问特征值与第一预设特征样本集进行聚类后的结果,由于图3中实时获取的访问特征值被分为单独的一组,因此服务端可以判定该访问特征值为异常。
通过将每一访问特征值与对应的第一预设特征样本集进行聚类操作,根据访问特征值是否被单独分成一组来判断访问特征值是否为异常,可以快速准确得到判断的结果。
在一个具体的例子中,在S103之后,即在判定存在DDoS攻击之后,如图4所示,还包括以下步骤:
S201:根据预设攻击类型表中的攻击特征统计日志文件中的攻击特征值,其中,在预设攻击类型表中,攻击特征与攻击类型相对应。
其中,预设攻击类型表包括攻击类型和与之对应的攻击特征,例如如下表所示:
上表中,“特征统计方式”即为攻击类型对应的攻击特征。
应当说明的是,上表仅为预设攻击类型表的示例,而不应以此为限,具体可以根据实际情况进行设置,本发明实施方式不做具体限制。
例如,若需要判断是否存在上表中的“SYN泛洪攻击”,则服务端相应统计“TCP_FLAGS字段为0x02”的数据包数量,再将数据包数据作为攻击特征值。
可选地,统计日志文件中的攻击特征值是指统计预设时间段内的攻击特征值,其中预设时间段可以与上述的相同,也可以不同。
S202:将攻击特征值与对应的第二预设特征样本集进行聚类,若攻击特征值被单独分成一组,则判定存在与攻击特征对应的攻击类型。
其中,第二预设特征样本是由攻击特征值在正常范围内的样本组成。例如,若攻击特征值为“SYN泛洪攻击”攻击类型的攻击特征值,则对应的第二预设特征样本集为“SYN泛洪攻击”的攻击特征值在正常范围内的样本组成。
将攻击特征值分别与对应的第二预设特征样本集进行聚类时,聚类的算法可以为K平均聚类算法、均值漂移聚类算法或基于密度的聚类算法等,优选地,聚类的算法为K平均聚类算法。
具体地,服务端将统计得到的攻击特征值与对应的第二预设特征样本集进行聚类,若攻击特征值被单独分成一组,则可以根据预设攻击类型表判定存在与该攻击类型对应的攻击类型。可选地,若攻击特征值与第二预设特征样本集的部分样本被分成一组,则服务端可以判定不存在与攻击特征对应的攻击类型。可以理解的是,若第二预设特征样本集为攻击特征值为异常范围的样本组成时,则推理的过程应相反。
请参考图5,其为将攻击特征值与对应的第二预设特征样本集进行聚类后的结果。从图5可以看出,由于攻击特征值被单独分成一组,则服务端可以判定存在与攻击特征值对应的攻击类型。
可选地,若出现DDoS攻击,但该DDoS攻击不在预设攻击类型表中,则表示发生未知的DDoS攻击类型,可以将该攻击类型及相应的攻击特征增加至预设攻击类型表中,以丰富预设攻击类型表。
通过统计日志文件中的攻击特征值,再与第二预设特征样本集进行聚类,根据聚类的结果可以判断出现何种DDoS攻击类型,从而根据相应的DDoS攻击类型进行应对,有利于指导DDoS攻击处置的操作。
在一个具体的例子中,在S102之前,即在将每一访问特征值分别与对应的第一预设特征样本集进行聚类之前,如图6所示,还包括以下步骤:
S301:根据日志文件计算历史访问信息的历史访问特征值,历史访问信息与访问信息相对应。
可选地,根据日志文件计算历史访问信息的历史访问特征值,是指统计在预设时间段内历史访问信息的历史访问特征值,其中,预设时间段可以与上述相同,也可以不同。
历史访问特征值的计算方法与上述访问特征值的计算方法相同,这里不再赘述。
S302:将预设时间范围内的历史访问特征值进行聚类。
其中,预设时间范围可以根据实际需要进行设置。可选地,预设时间范围为一天,由于一天内存在DDoS攻击的高峰和低谷,较有代表性,因此,将一天作为预设时间范围可以使得到的第一预设特征样本集较有代表性,从而使判断的结果更加准确。
由于预设时间范围的历史访问特征值为多个,因此可以进行聚类;优选地,采用K平均聚类算法的聚类,其中K等于2。
S303:若历史访问特征值中的一个被单独分为一组,则将另一组的历史访问特征值作为第一预设特征样本集。
请参考图7(a),其为将预设时间范围内的历史访问特征进行K平均聚类算法的聚类结果,左边的一个历史访问特征值被单独分为一组,则表示左边的历史访问特征值可能为存在DDoS攻击的历史访问特征值,则将右边另一组的历史访问特征值作为第一预设特征样本集,结果如图7(b)所示。
S304:若历史访问特征值被分成每组至少包括两个历史访问特征值且每组历史访问特征值的数目不等的两组数据,则将两组数据中数目较小的一组中的离另一组的聚类中心最近的历史访问特征值与另一组数据进行重新聚类。
请参考图8(a),其为历史访问特征值进行K平均聚类算法聚类后的另一种情形,历史访问特征值被分为两组数目不等的A/B两组数据,图中交叉所在的位置表示聚类中心,则服务端将A组数据(数目较小)中离B组的聚类中心最近的历史访问特征值,即A组最右边的历史访问特征值与B组数据进行重新聚类。
S305:若重新聚类的结果为上述最近的历史访问特征值被单独分为一组,则将另一组历史访问特征值作为第一预设特征样本集。
请参考图8(b),其为重新聚类的结果的一种情形,即重新聚类的结果为上述最近的历史访问特征值被单独分为一组,则将B组的数据作为第一预设特征样本集。
S306:若重新聚类的结果为分成每组至少包括两个历史访问特征值的新的两组数据,则将新的两组数据一并作为第一预设特征样本集。
请参考图8(c),其为重新聚类的结果的另一种情形,即重新聚类的结果为上述最近的历史访问特征值与B组的历史访问特征值中的部分样本被分为一组,其它的为另一组(矩形虚线所框部分),则将新的两组数据一并作为第一预设特征样本集。
可选地,也可以再次对新的两组数据再次进行S304的聚类,直至出现S305的聚类结果结束,则可以使形成的第一预设特征样本集包括DDoS攻击的样本的可能性更小。
通过对日志文件中的历史访问信息的访问特征值的计算,在此基础上将一定时间范围内的多个访问特征值进行聚类,根据聚类的结果形成第一预设特征样本集,可以得到第一预设特征样本集以便进行实时的访问特征值是否为异常的判断,且在聚类的过程中,若初次得到的聚类结果不够准确,则进行重新聚类,根据重新聚类的结果得到第一预设特征样本集,可以使得到的第一预设特征样本集包括存在DDoS攻击的样本的可能性较小,从而提高DDoS攻击检测的准确性。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包含相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明第二实施方式涉及一种DDoS攻击检测装置,如图9所示,包含:特征值计算模块401、特征值聚类模块402和攻击检测模块403。
特征值计算模块401,用于根据日志文件中的N个访问信息计算得到N个访问特征值,N为正整数;
特征值聚类模块402,用于将每一访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个访问特征值是否为异常的聚类结果;
攻击检测模块403,用于将N个聚类结果与预设的规则库进行匹配,若匹配成功,则判定存在DDoS攻击。
进一步地,N个访问信息包括源IP地址、源IP端口、目的端口和协议中的至少一个;
特征值聚类模块402还用于:根据日志文件计算每一访问信息在预设时间段内的信息熵,将每一信息熵作为访问特征值。
进一步地,N个访问信息还包括访问流量和数据包数量中的至少一个;
特征值聚类模块402还用于:根据日志文件统计每一访问信息在预设时间段内的累计值,将每一累计值作为访问特征值。
进一步地,特征值聚类模块402还用于:
将每一访问特征值分别与对应的第一预设特征样本集进行聚类;
若访问特征值经过聚类后被单独分为一组,则判定访问特征值为异常。
进一步地,DDoS攻击检测装置还包括攻击类型判断模块,其中,攻击类型模块用于:
根据预设攻击类型表中的攻击特征统计日志文件中的攻击特征值,其中,在预设攻击类型表中,攻击特征与攻击类型相对应;
将攻击特征值与对应的第二预设特征样本集进行聚类,若攻击特征值被单独分成一组,则判定存在与攻击特征对应的攻击类型。
进一步地,DDoS攻击检测装置还包括样本集确定模块,其中,样本集确定模块用于:
根据日志文件计算历史访问信息的历史访问特征值,历史访问信息与访问信息相对应;
将预设时间范围内的历史访问特征值进行聚类;
若历史访问特征值中的一个被单独分为一组,则将另一组的历史访问特征值作为第一预设特征样本集。
进一步地,样本集确定模块用于:
若历史访问特征值被分成每组至少包括两个历史访问特征值且每组历史访问特征值的数目不等的两组数据,则将两组数据中数目较小的一组中的离另一组的聚类中心最近的历史访问特征值与另一组数据进行重新聚类;
若重新聚类的结果为最近的历史访问特征值被单独分为一组,则将另一组历史访问特征值作为第一预设特征样本集;
若重新聚类的结果为分成每组至少包括两个历史访问特征值的新的两组数据,则将新的两组数据一并作为第一预设特征样本集。
不难发现,本实施方式为与第一实施方式相对应的装置实施例,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明第三实施方式涉及一种网络设备,如图10所示,包括至少一个处理器501;以及,与至少一个处理器501通信连接的存储器502;其中,存储器502存储有可被至少一个处理器501执行的指令,指令被至少一个处理器501执行,以使至少一个处理器501能够执行上述的DDoS攻击检测方法。
其中,存储器502和处理器501采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器501和存储器502的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器501处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器501。
处理器501负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器502可以被用于存储处理器501在执行操作时所使用的数据。
本发明第四实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种DDoS攻击检测方法,其特征在于,包括:
根据日志文件中的N个访问信息计算得到N个访问特征值,所述N为正整数;
将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个所述访问特征值是否为异常的聚类结果;
将N个所述聚类结果与预设的规则库进行匹配,若匹配成功,则判定存在DDoS攻击。
2.根据权利要求1所述的DDoS攻击检测方法,其特征在于,所述N个访问信息包括源IP地址、源IP端口、目的端口和协议中的至少一个;
所述根据日志文件中的N个访问信息计算得到N个访问特征值,所述N为正整数,包括:
根据日志文件计算每一所述访问信息在预设时间段内的信息熵,将每一所述信息熵作为所述访问特征值。
3.根据权利要求1所述的DDoS攻击检测方法,其特征在于,所述N个访问信息还包括访问流量和数据包数量中的至少一个;
所述根据日志文件中的N个访问信息计算得到N个访问特征值,所述N为正整数,还包括:
根据日志文件统计每一所述访问信息在预设时间段内的累计值,将每一所述累计值作为所述访问特征值。
4.根据权利要求1所述的DDoS攻击检测方法,其特征在于,所述将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个所述访问特征值是否为异常的聚类结果,包括:
将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类;
若所述访问特征值经过聚类后被单独分为一组,则判定所述访问特征值为异常。
5.根据权利要求1所述的DDoS攻击检测方法,其特征在于,在所述判定存在DDoS攻击之后,还包括:
根据预设攻击类型表中的攻击特征统计所述日志文件中的攻击特征值,其中,在所述预设攻击类型表中,所述攻击特征与攻击类型相对应;
将所述攻击特征值与对应的第二预设特征样本集进行聚类,若所述攻击特征值被单独分成一组,则判定存在与所述攻击特征对应的攻击类型。
6.根据权利要求1所述的DDoS攻击检测方法,其特征在于,在将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类之前,还包括:
根据所述日志文件计算历史访问信息的历史访问特征值,所述历史访问信息与所述访问信息相对应;
将预设时间范围内的所述历史访问特征值进行聚类;
若所述历史访问特征值中的一个被单独分为一组,则将另一组的历史访问特征值作为所述第一预设特征样本集。
7.根据权利要求6所述的DDoS攻击检测方法,其特征在于,在所述将预设时间范围内的所述历史访问特征值进行聚类之后,还包括:
若所述历史访问特征值被分成每组至少包括两个历史访问特征值且每组历史访问特征值的数目不等的两组数据,则将两组数据中数目较小的一组中的离另一组的聚类中心最近的历史访问特征值与另一组数据进行重新聚类;
若重新聚类的结果为所述最近的历史访问特征值被单独分为一组,则将另一组历史访问特征值作为所述第一预设特征样本集;
若重新聚类的结果为分成每组至少包括两个历史访问特征值的新的两组数据,则将所述新的两组数据一并作为所述第一预设特征样本集。
8.一种DDoS攻击检测装置,其特征在于,包括:
特征值计算模块,用于根据日志文件中的N个访问信息计算得到N个访问特征值,所述N为正整数;
特征值聚类模块,用于将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类,获取N个所述访问特征值是否为异常的聚类结果;
攻击检测模块,用于将N个所述聚类结果与预设的规则库进行匹配,若匹配成功,则判定存在DDoS攻击。
9.一种网络设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任一项所述的DDoS攻击检测方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的DDoS攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911354598.3A CN110944016B (zh) | 2019-12-25 | 2019-12-25 | DDoS攻击检测方法、装置、网络设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911354598.3A CN110944016B (zh) | 2019-12-25 | 2019-12-25 | DDoS攻击检测方法、装置、网络设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110944016A true CN110944016A (zh) | 2020-03-31 |
CN110944016B CN110944016B (zh) | 2022-06-14 |
Family
ID=69912245
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911354598.3A Active CN110944016B (zh) | 2019-12-25 | 2019-12-25 | DDoS攻击检测方法、装置、网络设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110944016B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800409A (zh) * | 2020-06-30 | 2020-10-20 | 杭州数梦工场科技有限公司 | 接口攻击检测方法及装置 |
CN113596000A (zh) * | 2021-07-19 | 2021-11-02 | 中移(杭州)信息技术有限公司 | 攻击检测方法、装置以及存储介质 |
CN116232767A (zh) * | 2023-05-06 | 2023-06-06 | 杭州美创科技股份有限公司 | DDoS防御方法、装置、计算机设备及存储介质 |
CN116708013A (zh) * | 2023-07-25 | 2023-09-05 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130104230A1 (en) * | 2011-10-21 | 2013-04-25 | Mcafee, Inc. | System and Method for Detection of Denial of Service Attacks |
CN104967629A (zh) * | 2015-07-16 | 2015-10-07 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
CN106060043A (zh) * | 2016-05-31 | 2016-10-26 | 北京邮电大学 | 一种异常流量的检测方法及装置 |
CN107528812A (zh) * | 2016-06-21 | 2017-12-29 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN107566192A (zh) * | 2017-10-18 | 2018-01-09 | 中国联合网络通信集团有限公司 | 一种异常流量处理方法及网管设备 |
CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及系统 |
-
2019
- 2019-12-25 CN CN201911354598.3A patent/CN110944016B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130104230A1 (en) * | 2011-10-21 | 2013-04-25 | Mcafee, Inc. | System and Method for Detection of Denial of Service Attacks |
CN104967629A (zh) * | 2015-07-16 | 2015-10-07 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
CN106060043A (zh) * | 2016-05-31 | 2016-10-26 | 北京邮电大学 | 一种异常流量的检测方法及装置 |
CN107528812A (zh) * | 2016-06-21 | 2017-12-29 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN107566192A (zh) * | 2017-10-18 | 2018-01-09 | 中国联合网络通信集团有限公司 | 一种异常流量处理方法及网管设备 |
CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
赵慧明: "基于信息熵聚类的DDoS检测算法", 《计算机系统应用》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800409A (zh) * | 2020-06-30 | 2020-10-20 | 杭州数梦工场科技有限公司 | 接口攻击检测方法及装置 |
CN111800409B (zh) * | 2020-06-30 | 2023-04-25 | 杭州数梦工场科技有限公司 | 接口攻击检测方法及装置 |
CN113596000A (zh) * | 2021-07-19 | 2021-11-02 | 中移(杭州)信息技术有限公司 | 攻击检测方法、装置以及存储介质 |
CN116232767A (zh) * | 2023-05-06 | 2023-06-06 | 杭州美创科技股份有限公司 | DDoS防御方法、装置、计算机设备及存储介质 |
CN116232767B (zh) * | 2023-05-06 | 2023-08-15 | 杭州美创科技股份有限公司 | DDoS防御方法、装置、计算机设备及存储介质 |
CN116708013A (zh) * | 2023-07-25 | 2023-09-05 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
CN116708013B (zh) * | 2023-07-25 | 2024-06-11 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110944016B (zh) | 2022-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110944016B (zh) | DDoS攻击检测方法、装置、网络设备及存储介质 | |
CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
US8677488B2 (en) | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive | |
CN110324210B (zh) | 基于icmp协议进行隐蔽信道通信的检测方法及装置 | |
CN107770132B (zh) | 一种对算法生成域名进行检测的方法及装置 | |
US10476629B2 (en) | Performing upper layer inspection of a flow based on a sampling rate | |
CN109889550B (zh) | 一种DDoS攻击确定方法及装置 | |
EP3382973B1 (en) | Early-warning decision method, node and sub-system | |
CN102769549A (zh) | 网络安全监控的方法和装置 | |
CN108259426B (zh) | 一种DDoS攻击检测方法及设备 | |
CN116418603B (zh) | 一种工业互联网的安全综合管理方法及系统 | |
CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
CN110958245B (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
JP2018073140A (ja) | ネットワーク監視装置、プログラム及び方法 | |
CN110519266B (zh) | 一种基于统计学方法的cc攻击检测的方法 | |
US20240154964A1 (en) | Device authentication method and system, and apparatus | |
CN112261019B (zh) | 分布式拒绝服务攻击检测方法、装置及存储介质 | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
CN111294318B (zh) | 一种网络攻击的ip地址分析方法、装置和存储介质 | |
CN115296904B (zh) | 域名反射攻击检测方法及装置、电子设备、存储介质 | |
CN113709083A (zh) | 网络攻击检测控制方法、装置、基站及计算机存储介质 | |
CN110198294B (zh) | 安全攻击检测方法及装置 | |
CN108200185B (zh) | 一种实现负载均衡的方法及装置 | |
CN109617925B (zh) | 一种针对网络攻击的防护、区间标记的设置方法及系统 | |
CN112019547B (zh) | 网络流量评估方法、攻击检测方法、服务器及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |