CN111600859B

CN111600859B - 分布式拒绝服务攻击的检测方法、装置、设备及存储介质

Info

Publication number: CN111600859B
Application number: CN202010381696.2A
Authority: CN
Inventors: 刘纪伟; 梁彧; 李睿楠; 陈洪伟; 赖秋楠; 胡付博
Original assignee: Hebei Branch Of National Computer Network & Information Safety Administration Center; Eversec Beijing Technology Co Ltd
Current assignee: Hebei Branch Of National Computer Network & Information Safety Administration Center; Eversec Beijing Technology Co Ltd
Priority date: 2020-05-08
Filing date: 2020-05-08
Publication date: 2022-08-05
Anticipated expiration: 2040-05-08
Also published as: CN111600859A

Abstract

本发明实施例公开了一种分布式拒绝服务攻击的检测方法、装置、设备及存储介质，该方法包括：实时监测网络流量，并根据预设采样周期采集目标网络流量；根据目标网络流量，提取原始流量特征；通过原始流量特征，构建分布式拒绝服务攻击的检测特征；根据分布式拒绝服务攻击的检测特征，确定目标网络流量中是否存在分布式拒绝服务攻击。本发明实施例的技术方案，实现了对网络流量中分布式拒绝服务攻击检测的同时，有效区分了正常突发流量和分布式拒绝服务攻击流量，避免了对正常突发流量的误判，提高了分布式拒绝服务攻击的检测效率和检测精度。

Description

分布式拒绝服务攻击的检测方法、装置、设备及存储介质

技术领域

本发明实施例涉及互联网技术领域，尤其涉及分布式拒绝服务攻击的检测方法、装置、设备及存储介质。

背景技术

随着科技的不断进步，互联网技术取得了巨大进步，伴随着互联网行业的迅速发展，互联网的网络安全变得尤为重要。

分布式拒绝服务(distributed denial of service，DDoS)攻击自出现以来一直是全球互联网网络安全的重要威胁之一，主要以Web服务器和DNS服务器为攻击目标，通过控制的傀儡主机发起突发大流量，造成目标系统计算资源的过度消耗，使目标系统无法为合法用户提供正常服务。

现有技术对于DDoS攻击的检测，通常通过目的IP地址熵值的方式进行检测，但这样的检测方式，无法有效区分突发流量是正常突发流量还是DDoS攻击流量，检测效率和检测精度均较低。

发明内容

本发明实施例提供了一种分布式拒绝服务攻击的检测方法、装置、设备及存储介质。

第一方面，本发明实施例提供了一种分布式拒绝服务攻击的检测方法，包括：

实时监测网络流量，并根据预设采样周期采集目标网络流量；

根据目标网络流量，提取原始流量特征；

通过原始流量特征，构建分布式拒绝服务攻击的检测特征；

根据分布式拒绝服务攻击的检测特征，确定目标网络流量中是否存在分布式拒绝服务攻击。

第二方面，本发明实施例提供了一种分布式拒绝服务攻击的检测装置，包括：

目标网络流量获取模块，用于实时监测网络流量，并根据预设采样周期采集目标网络流量；

原始流量特征提取模块，用于根据目标网络流量，提取原始流量特征；

检测特征获取模块，用于通过原始流量特征，构建分布式拒绝服务攻击的检测特征；

攻击检测执行模块，用于根据分布式拒绝服务攻击的检测特征，确定目标网络流量中是否存在分布式拒绝服务攻击。

第三方面，本发明实施例还提供了一种设备，设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序；

当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现本发明任意实施例的分布式拒绝服务攻击的检测方法。

第四方面，本发明实施例还提供了一种包含计算机可执行指令的存储介质，计算机可执行指令在由计算机处理器执行时实现本发明任意实施例的分布式拒绝服务攻击的检测方法。

本发明实施例的技术方案，通过提取网络流量中的原始流量特征，并构建分布式拒绝服务攻击的检测特征，进而根据构建的分布式拒绝服务攻击的检测特征确定网络流量中是否存在分布式拒绝服务攻击，实现了对网络流量中分布式拒绝服务攻击检测的同时，有效区分了正常突发流量和分布式拒绝服务攻击流量，避免了对正常突发流量的误判，提高了分布式拒绝服务攻击的检测效率和检测精度。

附图说明

图1是本发明实施例一提供的一种分布式拒绝服务攻击的检测方法的流程图；

图2是本发明实施例二供的一种分布式拒绝服务攻击的检测方法的流程图；

图3是本发明实施例三提供的一种分布式拒绝服务攻击的检测装置的结构框图；

图4是本发明实施例四提供的一种设备的结构框图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

图1为本发明实施例一提供的一种分布式拒绝服务攻击的检测方法的流程图，本实施例适用于检测网络流量中是否存在分布式拒绝服务攻击的情况，该方法可以由本发明实施例中的分布式拒绝服务攻击的检测装置来执行，该装置可以通过软件和/或硬件实现，并集成在服务器中，典型的可以集成在Web(World Wide Web，全球广域网)服务器或DNS(Domain Name System，域名系统协议)服务器，该方法具体包括如下步骤：

S110、实时监测网络流量，并根据预设采样周期采集目标网络流量。

为了提高服务器的安全性能，可以将采样周期设定为较小值，以使服务器尽可能多的执行对分布式拒绝服务攻击的检测，保证网络通信的安全；若为了减少服务器的处理压力，可以将采样周期设定为较大值，以节省服务器的检测资源；在本发明实施例中，对采样周期不作具体限定。

S120、根据所述目标网络流量，提取原始流量特征。

网络中的访问请求是由目的IP(Internet Protocol，网际互连协议)地址、源IP地址、目的端口和源端口组成；源IP地址，是访问请求发起方的IP地址；目的IP地址，是被请求方的IP地址；源端口是发起方发送数据包的端口；目的端口是被请求方接收数据包的端口，一个目的IP地址可以对应多达6万个目的端口，但正常的访问请求通常只会访问固定的目的端口，例如，80端口和23端口；其中，80端口是为HTTP(HyperText Transport Protocol，超文本传输协议)开放的，主要用于WWW(World Wide Web，万维网)传输信息的协议，也是上网冲浪使用次数最多的协议，浏览网页服务默认的端口号也是80端口；23端口是Telnet(远程登录)的端口，为用户提供了在本地计算机上完成远程主机工作的能力。

可选的，在本发明实施例中，所述原始流量特征包括源IP地址发送到目的IP地址的数据包数量、源IP地址发送到目的IP地址的数据包容量、目的IP地址对应的源IP地址的数量、目的IP地址对应的目的端口的数量、目的IP地址为条件下的源IP地址的条件概率和/或目的IP地址为条件下的目的端口的条件概率。例如，表1是目标网络流量的访问记录，每次访问请求的源IP地址、目的IP地址和目的端口如表1所示。

表1

由表1可知，目的IP地址包括IP1、IP2、IP3和IP4；以目的IP地址为IP3为例，对于IP3的访问请求包括源IP地址为IP1(访问请求2)和源地址为IP2的访问(访问请求5-8)，因此，目的IP地址IP3对应的源IP地址的数量为2个，记为N(IP3)＝2；目的IP地址为IP3，源IP地址为IP1的访问次数为1次，每次访问请求都会携带数据包，因此数据包数量等于访问请求次数，那么相应的数据包数量为1，即源IP地址IP1发送到目的IP地址IP3的数据包数量为1，记为pcount(IP1,IP3)＝1；目的IP地址为IP3，源IP地址为IP2的访问次数为4次，那么相应的数据包数量为4次，即源IP地址IP2发送到目的IP地址IP3的数据包数量为4，记为pcount(IP2,IP3)＝4；同样的，还可以获取目的IP地址分别为IP1、IP2和IP4时，对应的源IP地址的数量，即目的IP地址IP1对应的源IP地址的数量为2个，记为N(IP1)＝2；目的IP地址IP2对应的源IP地址的数量为1个，记为N(IP2)＝1；目的IP地址IP4对应的源IP地址的数量为1个，记为N(IP4)＝1；还可以获取目的IP地址分别为IP1、IP2和IP4时，源IP地址发送到目的IP地址数据包数量，即源IP地址IP2发送到目的IP地址IP1的数据包数量为1个，记为pcount(IP2,IP1)＝1；源IP地址IP3发送到目的IP地址IP1的数据包数量为1个，记为pcount(IP3,IP1)＝1；源IP地址IP1发送到目的IP地址IP2的数据包数量为1个，记为pcount(IP1,IP2)＝1；源IP地址IP1发送到目的IP地址IP4的数据包数量为1个，记为pcount(IP1,IP4)＝1。

数据包容量也即数据包包含的字节量，在网络流量采样中对于每次访问请求的数据包来说，都可以获取到相应数据包容量，以目的IP地址为IP3为例，源IP地址为IP2的4次访问中，数据包容量分别为400、500、500和600，对应的数据包容量之和为2000，即源IP地址IP2发送到目的IP地址IP3的数据包容量为2000，记为bcount(IP2,IP3)＝2000；目的IP地址为IP3，源IP地址为IP1的1次访问中，数据包容量为400，即源IP地址IP1发送到目的IP地址IP3的数据包容量为400，记为bcount(IP1,IP3)＝400；同样的，还可以获取目的IP地址分别为IP1、IP2和IP4时，源IP地址发送到目的IP地址的数据包容量，即源IP地址IP2发送到目的IP地址IP1的数据包容量，记为bcount(IP2,IP1)；源IP地址IP3发送到目的IP地址IP1的数据包容量，记为bcount(IP3,IP1)；源IP地址IP1发送到目的IP地址IP2的数据包容量，记为bcount(IP1,IP2)；源IP地址IP1发送到目的IP地址IP4的数据包容量，记为bcount(IP1,IP4)。

条件概率是一个事件在另外一个事件已经发生条件下的发生概率，例如，事件A在事件B已经发生条件下的发生概率，记为p(A|B)＝p(A∩B)/p(B)；根据表1，以目的IP地址为IP3为例，本次目标网络流量总共包括9次访问请求，目的IP地址为IP3，且源IP地址为IP1的访问请求有1次，因此，目的IP地址为IP3，且源IP地址为IP1的概率为1/9，记为p(IP1∩IP3)＝1/9，而目的IP地址为IP3的访问有5次，即目的IP地址为IP3的概率为5/9，p(IP3)＝5/9，由此，目的IP地址IP3为条件下的源IP地址IP1的条件概率为p(IP1|IP3)＝p(IP1∩IP3)/p(IP3)＝1/5；目的IP地址IP3为条件下的源IP地址IP2的条件概率为p(IP2|IP3)＝p(IP2∩IP3)/p(IP3)＝4/5；同样的，还可以获取目的IP地址分别为IP1、IP2和IP4时，对应的源IP地址的条件概率，即目的IP地址IP1为条件下的源IP地址IP2的条件概率为1/2，记为p(IP2|IP1)＝1/2；目的IP地址IP1为条件下的源IP地址IP3的条件概率为1/2，记为p(IP3|IP1)＝1/2；目的IP地址IP2为条件下的源IP地址IP1的条件概率为1，记为p(IP1|IP2)＝1；目的IP地址IP4为条件下的源IP地址IP1的条件概率为1，记为p(IP1|IP4)＝1。

表1中，D表示端口，80D即80端口；以目的IP地址为IP3为例，对于IP3的访问请求包括目的端口为45D(访问请求2和7)和目的端口为48D(访问请求5、6和8)，因此，目的IP地址IP3对应的目的端口的数量为2个，记为M(IP3)＝2；同样的，还可以获取目的IP地址分别为IP1、IP2和IP4时，对应的目的端口数量，即目的IP地址IP1对应的目的端口的数量为2个，记为M(IP1)＝2；目的IP地址IP2对应的目的端口的数量为1个，记为M(IP2)＝1；目的IP地址IP4对应的目的端口的数量为1个，记为M(IP4)＝1。

以目的IP地址为IP3为例，目的端口为45D的访问有2次，即p(45D∩IP3)＝2/9，而目的IP地址为IP3的访问有5次，p(IP3)＝5/9，由此，目的IP地址IP3为条件下的目的端口45D的条件概率为2/5，记为p(45D|IP3)＝2/5；目的IP地址IP3为条件下的目的端口为48D的条件概率为p(48D|IP3)＝3/5；同样的，还可以获取目的IP地址分别为IP1、IP2和IP4时，对应的目的端口的条件概率，即目的IP地址IP1为条件下的目的端口36D的条件概率为1/2，记为p(36D|IP1)＝1/2；目的IP地址IP1为条件下的目的端口47D的条件概率为1/2，记为p(47D|IP1)＝1/2；目的IP地址IP2为条件下的目的端口80D的条件概率为1，记为p(80D|IP2)＝1；目的IP地址IP4为条件下的目的端口42D的条件概率为1，记为p(42D|IP4)＝1。

S130、通过所述原始流量特征，构建分布式拒绝服务攻击的检测特征。

分布式拒绝服务攻击流量相比于正常突发流量存在明显的差异，首先，正常的突发流量对目标发送的数据包大小通常是无规律的，而DDoS攻击流量往往具有固定大小的数据包；其次，正常情况下服务器的下行流量会高于上行流量，而发生DDoS攻击时情况正好相反，上行流量速率会明显大于下行流量速率，因此通过双向速率的差异，可以确定网络中的高速率突发流量是正常突发流量还是DDoS攻击流量；最后，DDoS攻击流量的目的IP地址唯一，源IP地址数量众多且变化极快，形成源IP地址对目的IP地址的多对一映射，同时，为了快速消耗服务器资源，DDoS攻击还会请求尽可能多的服务(即访问尽可能多的目的端口)，目的端口和目的IP地址也会形成多对一的映射关系，因此，可以通过原始流量特征，构建用于检测分布式拒绝服务攻击的检测特征。

可选的，在本发明实施例中，所述分布式拒绝服务攻击的检测特征包括与各目的IP地址对应的平均数据包数量、与各目的IP地址对应的平均数据包容量、与各目的IP地址对应的平均双向数据包数量差值、与各目的IP地址对应的平均双向数据包容量差值、与各目的IP地址对应的源IP地址的变化速率、与各目的IP地址对应的目的端口的变化速率、各目的IP地址为条件下的源IP地址的条件熵和/或各目的IP地址为条件下的目标端口的条件熵。

具体的，与各目的IP地址对应的平均数据包数量由如下公式获取：

其中，C(dip_k)表示目的IP地址对应的平均数据包数量，dip_k表示目的IP地址，k表示目的IP地址的编号，例如，上述技术方案中目的IP地址为IP3，即为dip₃；sip_j表示源IP地址，j为源IP地址的编号，例如，上述技术方案中目的IP地址为IP3时，与IP3对应的源IP地址为IP1和源地址为IP2，即j＝1、2；N为目的IP地址对应的源IP地址的数量，例如，上述技术方案中，目的IP地址IP3对应的源IP地址的数量为2个，即N＝2；pcount(sip_j,dip_k)表示源IP地址发送到目的IP地址的数据包数量。

与各目的IP地址对应的平均数据包容量由如下公式获取：

其中，B(dip_k)表示目的IP地址对应的平均数据包容量，bcount(sip_j,dip_k)表示源IP地址发送到目的IP地址的数据包容量。

与各目的IP地址对应的平均双向数据包数量差值由如下公式获取：

其中，ΔC(dip_k)表示目的IP地址对应的平均双向数据包数量差值，pcount(dip_k,sip_j)表示目的IP地址发送到源IP地址的数据包数量；特别的，源IP地址发送到目的IP地址的数据包数量pcount(sip_j,dip_k)，也即上行流量的数据包数量，目的IP地址发送到源IP地址的数据包数量pcount(dip_k,sip_j)，也即下行流量的数据包数量；ΔC(dip_k)实质上表示了上行流量的平均数据包数量与下行流量的平均数据包数量的差值。

与各目的IP地址对应的平均双向数据包容量差值由如下公式获取：

其中，ΔB(dip_k)表示目的IP地址对应的平均双向数据包容量差值，bcount(dip_k,sip_j)表示目的IP地址发送到源IP地址的数据包容量；特别的，源IP地址发送到目的IP地址的平均数据包容量

也即上行流量的平均数据包容量，目的IP地址发送到源IP地址的平均数据包容量

也即下行流量的平均数据包容量；ΔB(dip_k)实质上表示了上行流量的平均数据包容量与下行流量的平均数据包容量的差值；

与各目的IP地址对应的源IP地址的变化速率由如下公式获取：

其中，R(sip,dip_k)表示目的IP地址对应的源IP地址的变化速率，τ表示采样周期；

与各目的IP地址对应的目的端口的变化速率由如下公式获取：

其中，R(dport,dip_k)表示目的IP地址对应的目的端口的变化速率，dport表示目的端口，M表示目的IP地址对应的目的端口的数量；

各目的IP地址为条件下的源IP地址的条件熵可以由如下公式获取：

其中，H(sip|dip_k)表示目的IP地址为条件下的源IP地址的条件熵，p(sip_j|dip_k)表示目的IP地址为条件下的源IP地址的条件概率；

各目的IP地址为条件下的目标端口的条件熵可以由如下公式获取：

其中，H(dport|dip_k)表示目的IP地址为条件下的目标端口的条件熵，p(dport_j|dip_k)表示目的IP地址为条件下的目的端口的条件概率。

条件熵H(X|Y)表示在已知随机变量Y的条件下，随机变量X的不确定性，变量的随机性越大，条件熵数值越大；对于DDoS攻击流量来说，源IP地址与目的IP地址之间存在多对一映射关系，目的端口与目的IP地址之间也存在多对一映射关系，因此，相比于条件概率，条件上可以更加精确地表示目的IP地址为定值时，源IP地址和目的端口的随机性。

S140、根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击。

相比于正常流量，DDoS攻击流量中与各目的IP地址对应的平均数据包数量变小，与各目的IP地址对应的平均双向数据包数量差值变大，与各目的IP地址对应的平均双向数据包容量差值变大，与各目的IP地址对应的源IP地址的变化速率变大，与各目的IP地址对应的目的端口的变化速率变大，各目的IP地址为条件下的源IP地址的条件熵变大，各目的IP地址为条件下的目标端口的条件熵变大，因此，可以根据上述分布式拒绝服务攻击的检测特征中的一个或多个来确定目标网络流量中是否存在分布式拒绝服务攻击。

可选的，在本发明实施例中，所述根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击，包括：根据所述分布式拒绝服务攻击的检测特征，以及预设检测阈值确定所述目标网络流量中是否存在分布式拒绝服务攻击。具体的，可以为各个分布式拒绝服务攻击的检测特征分别设定对应的检测阈值，当一个或多个分布式拒绝服务攻击的检测特征满足阈值条件时，则判断目标网络流量中存在分布式拒绝服务攻击。特别的，可以根据各分布式拒绝服务攻击的检测特征的平均值与预设检测阈值进行比较，也可以各分布式拒绝服务攻击的检测特征的最大值或最小值(选择最大值还是最小值，与该检测特征与正常流量相比较的变化趋势相关，若该检测特征与正常流量相比较的变化趋势为变大，则选择该检测特征的最大值，若该该检测特征与正常流量相比较的变化趋势为变小，则选择该检测特征的最小值)与预设检测阈值进行比较；例如，获取到目标网络流量中与各目的IP地址对应的平均数据包数量后，再计算所有目的IP地址的平均数据包数量的平均值，根据该平均值与预设数据包数据量阈值进行比较，若该平均值小于预设数据包数据量阈值，则表明目标网络流量中存在分布式拒绝服务攻击；还可以在获取到目标网络流量中与各目的IP地址对应的平均数据包数量后，获取所有目的IP地址的平均数据包数量中的最小值，根据该最小值与预设数据包数量阈值进行比较，若该最小值小于预设数据包数量阈值，则表明目标网络流量中存在分布式拒绝服务攻击。

可选的，在本发明实施例中，在根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击后，还包括：当确定所述目标网络流量中存在分布式拒绝服务攻击时，根据所述与各目的IP地址对应的平均数据包容量，确定所述分布式拒绝服务攻击的类型。各目的IP地址对应的平均数据包容量的变化与DDoS的攻击方式相关，有些DDoS攻击会使各目的IP地址对应的平均数据包容量变大，以尽可能多的消耗网络资源；有些DDoS攻击则会减小数据包的负载，以便于增加数据包的发送速率，因而会使与各目的IP地址对应的平均数据包容量变小，因此，当确定目标网络流量中存在DDoS攻击流量时，可以根据各目的IP地址对应的平均数据包容量的变化，确定DDoS的攻击类型。

可选的，在本发明实施例中，所述根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击，包括：将所述分布式拒绝服务攻击的检测特征输入至预先训练完成的检测模型中，并根据输出结果，确定所述目标网络流量中是否存在分布式拒绝服务攻击；其中，所述检测模型基于增量式增长型分层自组织映射神经网络算法获取。增量式，即增量式学习，是指机器学习模型在保留大部分已有知识的前提下，不断学习新样本中的知识，对自身模型进行动态更新的过程；增长型分层自组织映射(Growing Hierarchical Self-Organizing Maps，GHSOM)神经网络算法的层拓展特性使得其便于通过动态层拓展实现在线增量学习，以保证对分布式拒绝服务攻击进行检测的同时，对于新出现的DDoS类型，具有相同的检测效果。

实施例二

图2为本发明实施例二提供的一种分布式拒绝服务攻击的检测方法的流程图，在本实施例中，对分布式拒绝服务攻击的检测方法进行具体化，将分布式拒绝服务攻击的检测特征输入至预先训练完成的检测模型中，并根据输出结果，确定目标网络流量中是否存在分布式拒绝服务攻击，具体的，该方法包括如下步骤：

S201、获取初始GHSOM神经网络检测模型；执行S202。

具体的，初始增长型分层自组织映射神经网络模型的获取主要包括如下步骤：

首先，初始化第0层神经元；由于第0层只有一个神经元，因此该神经元的初始权值为全部训练样本的平均值，并以此计算该层平均量化误差；其中，量化误差，也即对模拟信号进行量化而产生的误差；

其次，采用自顶向下的方式开始增长，将第0层神经元扩展为第1层2×2结构的SOM(Self-Organizing Feature Mapping，自组织特征映射)子网；其中，SOM子网通过Kohonen网络算法进行学习；Kohonen网络是一种前馈式无监督学习的自组织竞争型神经网络，能够识别环境特征并自动聚类；

然后，比较最新层获胜神经元与第0层神经元的平均量化误差，若满足横向扩展条件，在最大量化误差神经元和与它相距最远神经元之间添加一行，并继续采用Kohonen网络算法进行学习，直到不再满足横向扩展条件为止；

最后，当横向扩展完成后，若某个神经元满足纵向扩展条件，则从该神经元扩展出一个新的2×2结构SOM子网，并比较最新层获胜神经元与第0层神经元的平均量化误差，在最大量化误差神经元和与它相距最远神经元之间添加一列，并继续采用Kohonen网络算法进行学习，直到不再满足纵向扩展条件，网络结构趋于稳定为止，即获取到初始增长型分层自组织映射神经网络模型。

特别的，横向扩展条件、纵向扩展条件以及网络结构稳定条件均可以根据需要设定，在本发明实施例中对此不作具体限定。

S202、提取网络流量中的分布式拒绝服务攻击的检测特征，构建检测样本，并将多个检测样本构成检测样本集；执行S203。

对于提取出来的分布式拒绝服务攻击的检测特征，标记流量类型；其中，流量类型包括正常流量和分布式拒绝服务攻击流量；将分布式拒绝服务攻击的检测特征和对应的流量类型构建检测样本。

S203、针对检测样本集中的各检测样本，依次通过初始检测模型计算各检测样本可用于检测的获胜神经元；执行S204。

S204、判断目标检测样本与对应的获胜神经元是否属于同类；若是，执行S205；若否，执行S206。

初始时，将检测样本集中的第一个检测样本作为目标检测样本。

S205、输出检测结果；执行S211。

输出该目标检测样本为分布式拒绝服务攻击流量。

S206、将目标检测样本加入至当前获胜神经元的增量训练集中；执行S207。

如果判断目标检测样本与对应的获胜神经元不属于同类，那么可能是新出现的DDoS攻击类型，因此，将目标检测样本加入至当前获胜神经元的增量训练集中，以便于进一步判断。

S207、判断当前获胜神经元是否满足拓展子网条件，若否，执行S211；若否是，执行S208。

如果判断当前获胜神经元不满足拓展子网条件，那么对该目标检测样本的检测结束，并判断为正常流量。

S208、拓展一层SOM子网，并用增量训练集对拓展SOM子网进行训练，直至网络结构达到稳定；执行S209。

S209、判断GHSOM神经网络规模是否达到删除SOM子网条件；若否，执行S211；若是，执行S210。

S210、删除不成熟的SOM子网并收集被删除子网的检测样本；返回S207。

S211、将检测样本集中的下一检测样本作为目标检测样本；返回S203。

如果目标检测样本为检测样本集中的最后一个检测样本，则结束检测。

本发明实施例的技术方案，通过训练完成的增量式增长型分层自组织映射神经网络模型，对分布式拒绝服务攻击的检测特征的检测，确定目标网络流量中是否存在分布式拒绝服务攻击，实现了对网络流量中分布式拒绝服务攻击的检测，同时具备了在线学习更新能力，对于新出现的分布式拒绝服务攻击类型也具备同样的检测能力，提高了分布式拒绝服务攻击的检测效率和检测精度。

实施例三

图3是本发明实施例三所提供的一种分布式拒绝服务攻击的检测装置的结构框图，该装置应用于服务器中，具体包括：目标网络流量获取模块310、原始流量特征提取模块320、检测特征获取模块330和攻击检测执行模块340。

目标网络流量获取模块310，用于实时监测网络流量，并根据预设采样周期采集目标网络流量；

原始流量特征提取模块320，用于根据所述目标网络流量，提取原始流量特征；

检测特征获取模块330，用于通过所述原始流量特征，构建分布式拒绝服务攻击的检测特征；

攻击检测执行模块340，用于根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击。

可选的，在上述技术方案的基础上，所述原始流量特征包括源IP地址发送到目的IP地址的数据包数量、源IP地址发送到目的IP地址的数据包容量、目的IP地址对应的源IP地址的数量、目的IP地址对应的目的端口的数量、目的IP地址为条件下的源IP地址的条件概率和/或目的IP地址为条件下的目的端口的条件概率。

可选的，在上述技术方案的基础上，所述分布式拒绝服务攻击的检测特征包括与各目的IP地址对应的平均数据包数量、与各目的IP地址对应的平均数据包容量、与各目的IP地址对应的平均双向数据包数量差值、与各目的IP地址对应的平均双向数据包容量差值、与各目的IP地址对应的源IP地址的变化速率、与各目的IP地址对应的目的端口的变化速率、各目的IP地址为条件下的源IP地址的条件熵和/或各目的IP地址为条件下的目标端口的条件熵。

可选的，在上述技术方案的基础上，与各目的IP地址对应的平均数据包数量由如下公式获取：

其中，C(dip_k)表示目的IP地址对应的平均数据包数量，dip_k表示目的IP地址，k表示目的IP地址的编号，sip_j表示源IP地址，j表示源IP地址的编号，N表示目的IP地址对应的源IP地址的数量，pcount(sip_j,dip_k)表示源IP地址发送到目的IP地址的数据包数量；

与各目的IP地址对应的平均数据包容量由如下公式获取：

其中，B(dip_k)表示目的IP地址对应的平均数据包容量，bcount(sip_j,dip_k)表示源IP地址发送到目的IP地址的数据包容量；

其中，ΔC(dip_k)表示目的IP地址对应的平均双向数据包数量差值，pcount(dip_k,sip_j)表示目的IP地址发送到源IP地址的数据包数量；

其中，ΔB(dip_k)表示目的IP地址对应的平均双向数据包容量差值，bcount(dip_k,sip_j)表示目的IP地址发送到源IP地址的数据包容量；

与各目的IP地址对应的源IP地址的变化速率由如下公式获取：

可选的，在上述技术方案的基础上，攻击检测执行模块340，具体用于根据所述分布式拒绝服务攻击的检测特征，以及预设检测阈值确定所述目标网络流量中是否存在分布式拒绝服务攻击。

可选的，在上述技术方案的基础上，分布式拒绝服务攻击的检测装置，还包括：

攻击类型确定模块，用于当确定所述目标网络流量中存在分布式拒绝服务攻击时，根据所述与各目的IP地址对应的平均数据包容量，确定所述分布式拒绝服务攻击的类型。

可选的，在上述技术方案的基础上，攻击检测执行模块340，具体还用于将所述分布式拒绝服务攻击的检测特征输入至预先训练完成的检测模型中，并根据输出结果，确定所述目标网络流量中是否存在分布式拒绝服务攻击；其中，所述检测模型基于增量式增长型分层自组织映射神经网络算法获取。

上述装置可执行本发明任意实施例所提供的分布式拒绝服务攻击的检测方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明任意实施例提供的方法。

实施例四

图4为本发明实施例四提供的一种设备的结构示意图。图4示出了适于用来实现本发明实施方式的示例性设备12的框图。图4显示的设备12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图4所示，设备12以通用计算设备的形式表现。设备12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理单元16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(ISA)总线，微通道体系结构(MAC)总线，增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。

设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM)30和/或高速缓存存储器32。设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图4未显示，通常称为“硬盘驱动器”)。尽管图4中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。系统存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如系统存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。

设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该设备12交互的设备通信，和/或与使得该设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且，设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与设备12的其它模块通信。应当明白，尽管图中未示出，可以结合设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

处理单元16通过运行存储在系统存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现本发明任意实施例所提供的分布式拒绝服务攻击的检测方法。也即：实时监测网络流量，并根据预设采样周期采集目标网络流量；根据所述目标网络流量，提取原始流量特征；通过所述原始流量特征，构建分布式拒绝服务攻击的检测特征；根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击。

实施例五

本发明实施例五还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明任意实施例所述的分布式拒绝服务攻击的检测方法；该方法包括：

根据所述目标网络流量，提取原始流量特征；

通过所述原始流量特征，构建分布式拒绝服务攻击的检测特征；

根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。

Claims

1.一种分布式拒绝服务攻击的检测方法，其特征在于，包括：

根据所述目标网络流量，提取原始流量特征；

根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击；

所述原始流量特征包括源IP地址发送到目的IP地址的数据包数量、源IP地址发送到目的IP地址的数据包容量、目的IP地址对应的源IP地址的数量、目的IP地址对应的目的端口的数量、目的IP地址为条件下的源IP地址的条件概率和/或目的IP地址为条件下的目的端口的条件概率；

所述分布式拒绝服务攻击的检测特征包括与各目的IP地址对应的平均数据包数量、与各目的IP地址对应的平均数据包容量、与各目的IP地址对应的平均双向数据包数量差值、与各目的IP地址对应的平均双向数据包容量差值、与各目的IP地址对应的源IP地址的变化速率、与各目的IP地址对应的目的端口的变化速率、各目的IP地址为条件下的源IP地址的条件熵和/或各目的IP地址为条件下的目标端口的条件熵；

所述根据所述分布式拒绝服务攻击的检测特征，确定所述目标网络流量中是否存在分布式拒绝服务攻击，包括：

将所述分布式拒绝服务攻击的检测特征输入至预先训练完成的检测模型中，并根据输出结果，确定所述目标网络流量中是否存在分布式拒绝服务攻击；其中，所述检测模型基于增量式增长型分层自组织映射神经网络算法获取。

2.根据权利要求1所述的方法，其特征在于，与各目的IP地址对应的平均数据包数量由如下公式获取：