CN111181932A

CN111181932A - Ddos攻击检测与防御方法、装置、终端设备及存储介质

Info

Publication number: CN111181932A
Application number: CN201911311155.6A
Authority: CN
Inventors: 罗倩倩; 黄宗慧; 王文沛; 张继栋
Original assignee: Guangdong Communications and Networks Institute
Current assignee: Guangdong Communications and Networks Institute
Priority date: 2019-12-18
Filing date: 2019-12-18
Publication date: 2020-05-19
Anticipated expiration: 2039-12-18
Also published as: CN111181932B

Abstract

本发明公开了一种DDOS攻击检测与防御方法，包括：获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；计算所述流量行为特征参数的信息熵；获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。本发明还公开了一种DDOS攻击检测与防御装置、终端设备及存储介质，能有效解决现有技术DDOS攻击难以被网络设备检测和识别的问题，能有效防止DDOS攻击，操作简单，能有效缩短检测时间，提高执行效率。

Description

DDOS攻击检测与防御方法、装置、终端设备及存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及DDOS攻击检测与防御方法、装置、终端设备及存储介质。

背景技术

随着通信技术的快速发展，计算机网络已成为人们日常生活中不可或缺的通信媒介。计算机网络及其承载协议的开放，在给人们提供便利的同时，也极大的增加了网络的安全隐患。

近年来，互联网行业不断遭受大规模的DDoS网络攻击。其最大攻击峰值可达1.7T，Github被攻击时流量值约为1.35Tbps。DDoS攻击在单条链路上的流量正常，难以被网络设备检测和识别。但汇聚后所形成的异常流量很强大，极具破坏力。目前已成为影响整体网络性能的主要因素。

发明内容

本发明实施例提供DDOS攻击检测与防御方法、装置、终端设备及存储介质，能有效解决现有技术DDOS攻击难以被网络设备检测和识别的问题，能有效防止DDOS攻击，操作简单，能有效缩短检测时间，提高执行效率。

本发明一实施例提供一种DDOS攻击检测与防御方法，包括：

获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；

计算所述流量行为特征参数的信息熵；

获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；

按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。

作为上述方案的改进，在所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御之前，还包括：

将所述异常数据流按所述协议类型划分为TCP Flood数据流、UDP Flood数据流、DNS Flood数据流及HTTP Flood数据流。

作为上述方案的改进，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：

当所述异常数据流为TCP Flood数据流时，判断所述TCP Flood数据流的TCP协议数据包比例是否不满足任一预设的TCP协议数据包比例规则；其中，所述TCP协议数据包比例规则为公式(1)、(2)、(3)及(4)：

N_SYN＝N_SYN+ACK (1)

N_SYN+ACK＝N_Flow (2)

N_RST/N_SYN+ACK≈0 (3)

N_FIN/N_SYN+ACK＝2 (4)

其中，N_SYN为TCP报头带有SYN标识的报文数量，N_SYN+ACK为TCP报头带有SYN+ACK标识的报文数量，N_Flow为TCP报头带有Flow标识的报文数量,N_RST为TCP报头带有RST标识的报文数量,N_FIN为TCP报头带有FIN标识的报文数量；

当判断出所述TCP协议数据包比例不满足任一所述TCP协议数据包比例规则时，则认为存在TCP Flood攻击，根据各TCP连接状态，判断是否满足至少一种预设的IP异常条件；其中，所述IP异常条件包括：TCP Flood数据流的源IP地址的新建连接速率超过预设的新建连接速率阈值、TCP Flood数据流的源IP地址的并发连接数超过预设的并发连接数阈值、建立TCP连接后发送的报文数量为0、windows size值小于预设阈值及重传请求次数大于预设的请求次数阈值；

当判断出满足至少一种所述IP异常条件时，则确定为可疑连接并断开。

当所述异常数据流为UDP Flood数据流时，根据UDP报文段特征，判断所述UDPFlood数据流是否满足至少一种预设的UDP Flood攻击条件；其中，所述UDP Flood攻击条件包括：UDP报文数量占总数量包的比例超过预设的比例阈值、UDP报文长度在预设的长度范围内或相同及UDP报文存在相同或有规律变化的报文字段；

当判断出所述UDP Flood数据流满足至少一种所述UDP Flood攻击条件时，则认为存在UDP Flood攻击，对具有固定特征的UDP报文进行识别，建立指纹特征库；

以所述指纹特征库作为UDP报文过滤条件，丢弃被所述指纹特征库匹配到的UDP报文，转发未匹配到所述指纹特征库的UDP报文。

当所述异常数据流为DNS Flood数据流时，检测所述DNS Flood数据流的数据包是否具有特定的DNS攻击源端口号；

当判断出所述DNS Flood数据流的数据包具有所述DNS攻击源端口号时，则认定为存在DNS反射放大攻击，根据DNS协议报文，建立会话记录表；其中，所述会话记录表的记录项为源IP地址、目的IP地址、源端口、目的端口及协议类型；

当接收到DNS Reply报文时，判断所述DNS Reply报文的报文信息是否与所述会话记录表相匹配，若是，则允许所述DNS Reply报文通过；若否，则认定为DNS攻击报文，禁止所述DNS Reply报文通过。

当所述异常数据流为HTTP Flood数据流时，根据HTTP报文规律，判断所述HTTPFlood数据流是否满足至少一种预设的HTTP攻击条件，若是，则认为存在HTTP攻击；其中，所述HTTP攻击条件包括：流量超过预设的流量阈值、HTTP请求报文速率超过预设的请求报文速率阈值、访问url、jpg动态页面、php动态资源和html页面的比例频度超过预设的比例频度阈值、及HTTP报文的头部信息异于预设的正常http请求；

当所述HTTP Flood数据流的源IP地址的HTTP并发连接数超过预设的HTTP并发连接数阈值时，则认定为异常IP；

当所述HTTP Flood数据流的HTTP报文的请求头部存在异于预设的正常浏览器特征时，则认定为攻击报文；

当所述HTTP Flood数据流的源IP地址的访问流量大于预设的访问流量阈值时，则认定为可疑IP，进而在判断出所述HTTP Flood数据流的源IP地址对预设url的访问数与总访问数的比例超过预设的访问比例阈值，则认定为攻击IP。

作为上述方案的改进，通过如下步骤获取正常数据流：

将所述信息熵的波动趋势未达到预设的波动变化条件时对应的数据流，以及获取所述异常数据流进行分流检测与防御后的数据流，作为正常数据流。

本发明另一实施例对应提供了一种DDOS攻击检测与防御装置，包括：

流量行为特征参数提取模块，用于获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；

信息熵计算模块，用于计算所述流量行为特征参数的信息熵；

异常数据流获取模块，用于获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；

分流检测与防御模块，用于按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。

与现有技术相比，本发明实施例公开的DDOS攻击检测与防御方法及装置，通过获取通信网络中的数据流，并提取所述数据流的流量行为特征参数，其中，所述流量行为特征参数包括源IP地址及源端口号，计算所述流量行为特征参数的信息熵，获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流，按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，这样利用流量行为特征参数的信息熵进行DDOS攻击检测，进而结合数据流分流方法，将异常数据流按照协议类型进行分流检测及防御，能有效增加攻击检测的准确性，能降低攻击检测时间，提高执行效率，并能有效防止DDOS攻击，从而能有效解决现有技术DDOS攻击难以被网络设备检测和识别的问题，能有效提高通信网络的安全性和可靠性，降低DDOS攻击造成的严重后果。同时，本发明无需学习复杂的机器学习过程及长期的训练阶段，操作简单，利用最低的防御成本，最大程度降低DDOS攻击对通信网络造成的危害，从而大大降低了计算复杂度，降低对计算机硬件的要求。

本发明另一实施例提供了一种DDOS攻击检测与防御终端设备，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现上述发明实施例所述的DDOS攻击检测与防御方法。

本发明另一实施例提供了一种存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述发明实施例所述的DDOS攻击检测与防御方法。

附图说明

图1是本发明实施例一提供的一种DDOS攻击检测与防御方法的流程示意图；

图2是本发明实施例一提供的源IP地址及源端口号的信息熵波动趋势的具体实施例示意图；

图3是本发明实施例二提供的一种DDOS攻击检测与防御装置的结构示意图；

图4是本发明实施例三提供的一种DDOS攻击检测与防御终端设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

参见图1，是本发明实施例一提供的一种DDOS攻击检测与防御方法的流程示意图，所述方法包括步骤S101至步骤S104。

S101、获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号。

本发明中，所述DDOS攻击检测与防御方法分为两个阶段，第一阶段利用流量行为特征信息熵进行攻击检测，第二阶段将攻击数据流按照协议类型进行分流检测及防御。其中，示例性的，第一阶段检测过程中的信息熵计算的时间间隔建议为60s-600s，作为一个折中计算，可以选择间隔时间300s。

具体的，根据实际网络设备，获取通信网络中的Netflow流量数据，并使用工具Flow-tools将数据流中的源IP地址及源端口号输出至文本文件。进而，根据公式(5)得到所述数据流中所述源IP地址的出现概率，实现所述数据流的源IP地址：

其中，X₁＝{X_1i,i＝1,…,N}表示时间间隔内所述数据流中所述源IP地址的所有可能的N个取值状态，X_1i为其中一个所述源IP地址的取值，P₁为所述源IP地址的出现概率，P₁＝{P_1i,i＝1,…,N}，P_1i为其中一个所述源IP地址的出现概率，n_1i为时间间隔内其中一个所述源IP地址的出现次数。

同理地，根据公式(6)得到所述数据流中所述源端口号的出现概率，实现所述数据流的源端口号：

其中，X₂＝{X_2i,i＝1,…,N}表示时间间隔内所述数据流中所述源端口号的所有可能的N个取值状态，X_2i为其中一个所述源端口号的取值，n_2i为时间间隔内其中一个所述源端口号的出现次数，P₂为所述源端口号的出现概率，P₂＝{P_2i,i＝1,…,N}，P_2i为其中一个所述源IP地址的出现概率。

S102、计算所述流量行为特征参数的信息熵。

优选的，根据公式(7)得到所述流量行为特征参数的信息熵：

其中，H(X)为所述源IP地址和所述源端口号的信息熵，X表示数据流信源系统的属性，共有{X₁,X₂,…,X_N}个状态，P_i为数据流信源系统的属性的出现概率。本实施例中，N＝2，X₁为所述源IP地址，X₂为所述源端口号，P_i包括所述源IP地址的出现概率P₁和所述源端口号的出现概率P₂，且满足P₁+P₂＝1。

S103、获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流。

需要说明的是，分析不同时间间隔节点处源IP地址与源端口号的信息熵值，若某一时间点源IP地址或源端口号的信息熵值发生明显下降和上升，即检测到所述信息熵的波动趋势达到预设的波动变化条件，则确定该时间点为异常时间点，该异常时间点处的数据流为异常数据流。参见图2，是本发明实施例一提供的源IP地址及源端口号的信息熵波动趋势的具体实施例示意图，图2(a)为源IP地址的信息熵波动趋势，图2(b)为源端口号的信息熵波动趋势，在300秒处添加DDOS攻击流，基于源IP地址及源端口号信息熵发生明显变化，基于源IP地址的信息熵在300S处急剧增大；基于源端口号的信息熵在300S处急剧减小。因此，针对异常数据流转入第二阶段的分流检测与防御。

S104、按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。

在上述实施例中，优选的，在步骤S104之前，还包括：

基于上述实施例，步骤S104优选为：

N_SYN＝N_SYN+ACK (1)

N_SYN+ACK＝N_Flow (2)

N_RST/N_SY++ACK≈0 (3)

N_FIN/N_SYN+ACK＝2 (4)

需要说明的是，当判断出所述TCP协议数据包比例满足至少一项所述TCP协议数据包比例规则时，则认为不存在TCP Flood攻击，不继续执行TCP Flood数据流的防御操作。当判断出满足至少一种所述IP异常条件时，则认定为异常IP，确定为可疑连接并断开；当判断出不满足任一种所述IP异常条件时，则不执行断开操作。

基于上述实施例，步骤S104优选为：

需要说明的是，当判断出所述UDP Flood数据流不满足任一种所述UDP Flood攻击条件时，则认为不存在UDP Flood攻击，不继续执行UDP Flood数据流的防御操作。

基于上述实施例，步骤S104优选为：

示例性的，若数据包具有特定的源端口号，则认定为DNS反射放大攻击，如DNS反射放大攻击对应的端口号为53。

基于上述实施例，步骤S104优选为：

其中，所述HTTP报文的头部信息包括user-agent、referer、cookie、cache-control，所述正常http请求可以是信息user-agent为googlebot或user-agent等，HTTP报文的请求头部可以包括user-agent、referer和cookie等。当判断出所述HTTP Flood数据流不满足任一种HTTP攻击条件时，则认为不存在HTTP攻击，不继续执行HTTP Flood数据流的防御操作。

在一种优选的实施例中，通过如下步骤获取正常数据流：

将所述信息熵的波动趋势未达到预设的波动变化条件时对应的数据流，以及获取所述异常数据流进行检测与防御后的数据流，作为正常数据流。

需要说明的是，若所述信息熵的波动趋势未达到预设的波动变化条件时对应的正常数据流，不需要执行对数据流进行检测与防御。另外，异常数据流在分流检测与防御后放行的数据流视为正常数据流。

本发明实施例提供的一种DDOS攻击检测与防御方法，通过获取通信网络中的数据流，并提取所述数据流的流量行为特征参数，其中，所述流量行为特征参数包括源IP地址及源端口号，计算所述流量行为特征参数的信息熵，获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流，按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，这样利用流量行为特征参数的信息熵进行DDOS攻击检测，进而结合数据流分流方法，将异常数据流按照协议类型进行分流检测及防御，能有效增加攻击检测的准确性，能降低攻击检测时间，提高执行效率，并能有效防止DDOS攻击，从而能有效解决现有技术DDOS攻击难以被网络设备检测和识别的问题，能有效提高通信网络的安全性和可靠性，降低DDOS攻击造成的严重后果。同时，本发明无需学习复杂的机器学习过程及长期的训练阶段，操作简单，利用最低的防御成本，最大程度降低DDOS攻击对通信网络造成的危害，从而大大降低了计算复杂度，降低对计算机硬件的要求。

实施例二

参见图3，是本发明实施例二提供的一种DDOS攻击检测与防御装置的结构示意图，包括：

流量行为特征参数提取模块201，用于获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；

信息熵计算模块202，用于计算所述流量行为特征参数的信息熵；

异常数据流获取模块203，用于获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；

分流检测与防御模块204，用于按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。

优选的，所述DDOS攻击检测与防御装置还包括：

异常数据流划分单元，用于将所述异常数据流按所述协议类型划分为TCP Flood数据流、UDP Flood数据流、DNS Flood数据流及HTTP Flood数据流。

优选的，所述分流检测与防御模块204包括：

TCP Flood数据流检测单元，用于当所述异常数据流为TCP Flood数据流时，判断所述TCP Flood数据流的TCP协议数据包比例是否不满足任一预设的TCP协议数据包比例规则；其中，所述TCP协议数据包比例规则为公式(1)、(2)、(3)及(4)：

N_SYN＝N_SYN+ACK (1)

N_SYN+ACK＝N_Flow (2)

N_RST/N_SYN+ACK≈0 (3)

N_FIN/N_SYN+ACK＝2 (4)

第一TCP Flood数据流防御单元，用于当判断出所述TCP协议数据包比例不满足任一所述TCP协议数据包比例规则时，则认为存在TCP Flood攻击，根据各TCP连接状态，判断是否满足至少一种预设的IP异常条件；其中，所述IP异常条件包括：TCP Flood数据流的源IP地址的新建连接速率超过预设的新建连接速率阈值、TCP Flood数据流的源IP地址的并发连接数超过预设的并发连接数阈值、建立TCP连接后发送的报文数量为0、windows size值小于预设阈值及重传请求次数大于预设的请求次数阈值；

第二TCP Flood数据流防御单元，用于当判断出满足至少一种所述IP异常条件时，则确定为可疑连接并断开。

优选的，所述分流检测与防御模块204包括：

UDP Flood数据流检测单元，用于当所述异常数据流为UDP Flood数据流时，根据UDP报文段特征，判断所述UDP Flood数据流是否满足至少一种预设的UDP Flood攻击条件；其中，所述UDP Flood攻击条件包括：UDP报文数量占总数量包的比例超过预设的比例阈值、UDP报文长度在预设的长度范围内或相同及UDP报文存在相同或有规律变化的报文字段；

第一UDP Flood数据流防御单元，用于当判断出所述UDP Flood数据流满足至少一种所述UDP Flood攻击条件时，则认为存在UDP Flood攻击，对具有固定特征的UDP报文进行识别，建立指纹特征库；

第二UDP Flood数据流防御单元，用于以所述指纹特征库作为UDP报文过滤条件，丢弃被所述指纹特征库匹配到的UDP报文，转发未匹配到所述指纹特征库的UDP报文。

优选的，所述分流检测与防御模块204包括：

DNS Flood数据流检测单元，用于当所述异常数据流为DNS Flood数据流时，检测所述DNS Flood数据流的数据包是否具有特定的DNS攻击源端口号；

第一DNS Flood数据流防御单元，用于当判断出所述DNS Flood数据流的数据包具有所述DNS攻击源端口号时，则认定为存在DNS反射放大攻击，根据DNS协议报文，建立会话记录表；其中，所述会话记录表的记录项为源IP地址、目的IP地址、源端口、目的端口及协议类型；

第二DNS Flood数据流防御单元，用于当接收到DNS Reply报文时，判断所述DNSReply报文的报文信息是否与所述会话记录表相匹配，若是，则允许所述DNS Reply报文通过；若否，则认定为DNS攻击报文，禁止所述DNS Reply报文通过。

优选的，所述分流检测与防御模块204包括：

HTTP Flood数据流检测单元，用于当所述异常数据流为HTTP Flood数据流时，根据HTTP报文规律，判断所述HTTP Flood数据流是否满足至少一种预设的HTTP攻击条件，若是，则认为存在HTTP攻击；其中，所述HTTP攻击条件包括：流量超过预设的流量阈值、HTTP请求报文速率超过预设的请求报文速率阈值、访问url、jpg动态页面、php动态资源和html页面的比例频度超过预设的比例频度阈值、及HTTP报文的头部信息异于预设的正常http请求；

第一HTTP Flood数据流防御单元，用于当所述HTTP Flood数据流的源IP地址的HTTP并发连接数超过预设的HTTP并发连接数阈值时，则认定为异常IP；

第二HTTP Flood数据流防御单元，用于当所述HTTP Flood数据流的HTTP报文的请求头部存在异于预设的正常浏览器特征时，则认定为攻击报文；

第三HTTP Flood数据流防御单元，用于当所述HTTP Flood数据流的源IP地址的访问流量大于预设的访问流量阈值时，则认定为可疑IP，进而在判断出所述HTTP Flood数据流的源IP地址对预设url的访问数与总访问数的比例超过预设的访问比例阈值，则认定为攻击IP。

优选的，所述DDOS攻击检测与防御装置还包括：

正常数据流检测单元，用于将所述信息熵的波动趋势未达到预设的波动变化条件时对应的数据流，以及获取所述异常数据流进行分流检测与防御后的数据流，作为正常数据流。

本发明实施例提供的一种DDOS攻击检测与防御装置，通过获取通信网络中的数据流，并提取所述数据流的流量行为特征参数，其中，所述流量行为特征参数包括源IP地址及源端口号，计算所述流量行为特征参数的信息熵，获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流，按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，这样利用流量行为特征参数的信息熵进行DDOS攻击检测，进而结合数据流分流方法，将异常数据流按照协议类型进行分流检测及防御，能有效增加攻击检测的准确性，能降低攻击检测时间，提高执行效率，并能有效防止DDOS攻击，从而能有效解决现有技术DDOS攻击难以被网络设备检测和识别的问题，能有效提高通信网络的安全性和可靠性，降低DDOS攻击造成的严重后果。同时，本发明无需学习复杂的机器学习过程及长期的训练阶段，操作简单，利用最低的防御成本，最大程度降低DDOS攻击对通信网络造成的危害，从而大大降低了计算复杂度，降低对计算机硬件的要求。

实施例三

参见图4，是本发明实施例三提供的一种DDOS攻击检测与防御终端设备的结构示意图。该实施例的DDOS攻击检测与防御终端设备包括：处理器301、存储器302以及存储在所述存储器302中并可在所述处理器301上运行的计算机程序，例如DDOS攻击检测与防御程序。所述处理器执行所述计算机程序时实现上述各个DDOS攻击检测与防御方法实施例中的步骤。或者，所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述DDOS攻击检测与防御终端设备中的执行过程。

所述DDOS攻击检测与防御终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述DDOS攻击检测与防御终端设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，所述示意图仅仅是DDOS攻击检测与防御终端设备的示例，并不构成对DDOS攻击检测与防御终端设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述DDOS攻击检测与防御终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述DDOS攻击检测与防御终端设备的控制中心，利用各种接口和线路连接整个DDOS攻击检测与防御终端设备的各个部分。

所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述DDOS攻击检测与防御终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(SecureDigital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

其中，所述DDOS攻击检测与防御终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本发明提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims

1.一种DDOS攻击检测与防御方法，其特征在于，包括：

计算所述流量行为特征参数的信息熵；

2.如权利要求1所述的DDOS攻击检测与防御方法，其特征在于，在所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御之前，还包括：

将所述异常数据流按所述协议类型划分为TCP Flood数据流、UDP Flood数据流、DNSFlood数据流及HTTP Flood数据流。

3.如权利要求2所述的DDOS攻击检测与防御方法，其特征在于，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：

N_SYN＝N_SYN+ACK (1)

N_SYN+ACK＝N_Flow (2)

N_RST/N_SYN+ACK≈0 (3)

N_FIN/N_SYN+ACK＝2 (4)

其中，N_SYN为TCP报头带有SYN标识的报文数量，N_SYN+ACK为TCP报头带有SYN+ACK标识的报文数量，N_Flow为TCP报头带有Flow标识的报文数量，N_RST为TCP报头带有RST标识的报文数量，N_FIN为TCP报头带有FIN标识的报文数量；

4.如权利要求2所述的DDOS攻击检测与防御方法，其特征在于，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：

当所述异常数据流为UDP Flood数据流时，根据UDP报文段特征，判断所述UDP Flood数据流是否满足至少一种预设的UDP Flood攻击条件；其中，所述UDP Flood攻击条件包括：UDP报文数量占总数量包的比例超过预设的比例阈值、UDP报文长度在预设的长度范围内或相同及UDP报文存在相同或有规律变化的报文字段；

5.如权利要求2所述的DDOS攻击检测与防御方法，其特征在于，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：

6.如权利要求2所述的DDOS攻击检测与防御方法，其特征在于，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：

当所述异常数据流为HTTP Flood数据流时，根据HTTP报文规律，判断所述HTTP Flood数据流是否满足至少一种预设的HTTP攻击条件，若是，则认为存在HTTP攻击；其中，所述HTTP攻击条件包括：流量超过预设的流量阈值、HTTP请求报文速率超过预设的请求报文速率阈值、访问url、jpg动态页面、php动态资源和html页面的比例频度超过预设的比例频度阈值、及HTTP报文的头部信息异于预设的正常ht中请求；

7.如权利要求1所述的DDOS攻击检测与防御方法，其特征在于，通过如下步骤获取正常数据流：

8.一种DDOS攻击检测与防御装置，其特征在于，包括：

9.一种DDOS攻击检测与防御终端设备，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的DDOS攻击检测与防御方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至7中任意一项所述的DDOS攻击检测与防御方法。