CN112019547A - 网络流量评估方法、攻击检测方法、服务器及存储介质 - Google Patents

网络流量评估方法、攻击检测方法、服务器及存储介质 Download PDF

Info

Publication number
CN112019547A
CN112019547A CN202010888343.1A CN202010888343A CN112019547A CN 112019547 A CN112019547 A CN 112019547A CN 202010888343 A CN202010888343 A CN 202010888343A CN 112019547 A CN112019547 A CN 112019547A
Authority
CN
China
Prior art keywords
time period
network traffic
evaluation value
value
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010888343.1A
Other languages
English (en)
Other versions
CN112019547B (zh
Inventor
王晨光
冯剑
吴君轶
胡辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010888343.1A priority Critical patent/CN112019547B/zh
Publication of CN112019547A publication Critical patent/CN112019547A/zh
Application granted granted Critical
Publication of CN112019547B publication Critical patent/CN112019547B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例涉及计算机领域,公开了一种网络流量评估方法、攻击检测方法、服务器及存储介质。本发明实施例中,采集选取的时间段内的网络流量;获取所述网络流量的多个特征值;对所述多个特征值进行加权融合,得到所述网络流量的第一评估值,通过这样的方法,提高了网络流量的第一评估值的准确性,以及使利用网络流量的第一评估值进行攻击检测时,可以得到较准确的DDoS攻击检测结果。

Description

网络流量评估方法、攻击检测方法、服务器及存储介质
技术领域
本发明实施例涉及计算机领域,特别涉及一种网络流量评估方法、攻击检测方法、服务器及存储介质。
背景技术
随着计算机技术的不断发展,分布式拒绝服务(Distributed Denial ofService,DDoS)攻击变得日益猖獗。DDoS攻击是多个攻击者同时向一个或数个目标发动攻击,或者,一个攻击者控制位于不同位置的多台有漏洞的机器对目标同时实施攻击,使得计算机或者网络资源无法为其既定用户提供服务,从而降低网络性能,甚至使网路瘫痪。
目前,DDoS攻击的检测方法是:通过对大量的历史网络流量进行统计分析或者数据变换,并从得到的特征值中选取最大的特征值作为正常网络流量,并将检测到的当前网络流量数据与正常网络流量进行对比来判断是否发生DDoS攻击,若当前网络流量超过正常网络流量,则发生DDoS攻击。然而,该方法直接将得到的最大的特征值作为正常网络流量值,可能导致设定的正常网络流量不准确,从而导致检测的准确度较低。
发明内容
本发明实施例的目的在于提供一种网络流量评估方法、攻击检测方法、服务器及存储介质,提高了网络流量的第一评估值的准确性,以及使利用网络流量的第一评估值进行攻击检测时,可以得到较准确的DDoS攻击检测结果。
为解决上述技术问题,本发明的实施例提供了一种网络流量评估方法,包括:采集选取的时间段内的网络流量;获取所述网络流量的多个特征值;对所述多个特征值进行加权融合,得到所述网络流量的第一评估值。
本发明的实施例还提供了一种攻击检测方法,包括:获取选取的时间段内的网络流量的第一评估值;其中,所述选取的时间段包含当前时间段和除所述当前时间段之外的其他时间段,所述网络流量的第一评估值由上述所述的网络流量评估方法得到;根据所述网络流量的第一评估值,得到所述当前时间段的网络流量是否发生了分布式拒绝服务DDoS攻击的检测结果。
本发明的实施例还提供了一种服务器,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述所述的网络流量评估方法,和/或,执行如权利要求上述所述的攻击检测方法。
本发明的实施例还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述所述的网络流量评估方法,和/或,执行上述所述的攻击检测方法。
本发明实施例相对于现有技术而言,先采集选取的时间段内的网络流量,再获取网络流量的多个特征值,并对多个特征值进行加权融合;由于为每个特征值赋予了权重值,所以通过这样的方法计算出来的第一评估值会更加的准确。而且由于得到的网络流量的第一评估值较准确,所以利用网络流量的第一评估值进行攻击检测时,可以得到较准确的DDoS攻击检测结果。
另外,在所述得到所述网络流量的第一评估值之后,还包括:确定除当前时间段之外的其他时间段的网络流量的第一评估值中的最大第一评估值,并将所述最大第一评估值的N倍作为第一动态阈值;其中,N大于或等于1。通过这样的方法,可以得到合理的第一动态阈值。
另外,在所述得到所述网络流量的第一评估值之后,还包括:计算所述网络流量的第二评估值;其中,本时间段的网络流量的第二评估值根据上一个时间段的网络流量的第一评估值和第二评估值得到,第一个时间段的网络流量的第二评估值至少根据第一时间段的网络流量的第一评估值得到;根据除当前时间段之外的其他时间段的网络流量的第一评估值和第二评估值,计算第二动态阈值。通过这样的方法,可以根据上一个时间段的网络流量的第一评估值和第二评估值合理的预测本时间段的第二评估值,从而得到合理的第二动态阈值。
另外,所述第二动态阈值为所述其他时间段的网络流量的第一评估值和第二评估值的差值的绝对值中的最大值。通过这样的方法,可以得到准确的第二动态阈值。
另外,所述对所述多个特征值进行加权融合,得到所述网络流量的第一评估值,包括:
Figure BDA0002656219070000021
其中,Yi为第i个时间段的网络流量的第一评估值,Fj为第i个时间段的网络流量的第j个特征值,Wj为第i个时间段的网络流量的第j个特征值的权重值,n为特征值的个数。通过这样的方法,可以准确的计算出第一评估值。
另外,所述本时间段的网络流量的第二评估值根据上一个时间段的网络流量的第一评估值和第二评估值得到,包括:
Si=Yi-1+a(Yi-1-Si-1)
其中,Yi-1为第i-1个时间段的网络流量的第一评估值,Si为第i个时间段的网络流量的第二评估值,1i-1为第i-1个时间段的网络流量的第二评估值,a为预设值,S1=S0=Y0,S1至少根据所述第一时间段的所述网络流量的第一评估值得到。通过这样的方法,使第i个时间段的网络流量的第二评估值是根据第i-1个时间段的网络流量的第一评估值和第二评估值得到的,第i-1个时间段的网络流量的第二评估值是根据第i-2个时间段的网络流量的第一评估值和第二评估值得到的…,即第i个时间段的网络流量的第二评估值是通过增量计算得到的,这样可以更加准确的得到网络流量的第二评估值。
另外,所述网络流量的多个特征值包括以下任意组合:不同源协议地址访问网络流量的熵、源协议地址的熵、源端口的熵、协议地址的上行网络流量与下行网络流量的比例、协议地址的上行网络数据包与下行网络数据包的比例、协议的熵、传输控制协议TCP半连接的比例。由于这些网络流量的特征的特征值可以更好的反映出网络流量的特点,所以可以使得到的网络流量的第一评估值更加的准确。
另外,根据所述网络流量的第一评估值,得到所述当前时间段的网络流量是否发生了分布式拒绝服务DDoS攻击的检测结果,包括:根据所述网络流量的第一评估值确定比较值;其中,所述比较值包括第一比较值,和/或,所述比较值包括第二比较值;获取与所述比较值对应的动态阈值;若所述比较值大于对应的动态阈值,得到所述当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果。通过这样的方法,可以准确的确定在何种情况下,当前时间段的网络流量发生了分布式拒绝服务DDoS攻击。
另外,所述第一比较值为所述当前时间段的网络流量的第一评估值,与所述第一比较值对应的动态阈值为第一动态阈值;其中,所述第一动态阈值由上述所述的网络流量评估方法得到。通过这样的方法,可以准确的确定第一比较值以及与第一比较值对应的第一动态阈值。
另外,所述第二比较值为所述当前时间段的网络流量的第一评估值和第二评估值的差值的绝对值;其中,所述当前时间段的网络流量的第二评估值和所述第二动态阈值由上述所述的网络流量评估方法得到。通过这样的方法,可以准确的确定第二比较值以及与第二比较值对应的第二动态阈值。
另外,在所述得到所述当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果之后,还包括:剔除所述当前时间段的网络流量。由于当前时间段的网络流量发生了DDoS攻击,所以将当前时间段的网络流量进行剔除,以免对后续的检测造成影响。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是根据本发明第一实施例中的网络流量评估方法的流程图;
图2是根据本发明第二实施例中的网络流量评估方法的流程图;
图3是根据本发明第三实施例中的网络流量评估方法的流程图;
图4是根据本发明第四实施例中的攻击检测方法的流程图;
图5是根据本发明第四实施例中的步骤402的一种具体实现方式的流程图;
图6是根据本发明第五实施例中的服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施例进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施例中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施例的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
本发明的第一实施例涉及一种网络流量评估方法,应用于服务器。本实施例的网络流量评估方法的具体流程如图1所示,包括:
步骤101,采集选取的时间段内的网络流量。
具体地说,选取的时间段可以实际需要进行选取,选取的时间段可以为当前时间段和一个最近的历史时间段,例如:选取的时间段可以为当前10分钟和前一个10分钟,则获取当前10分钟的网络流量和前一个10分钟的网络流量;选取的时间段也可以为当前时间段和多个最近的历史时间段,例如:当选取当前10分钟和前3天、前7天或前30天的网络流量时,将前几天的网络流量按每10分钟划分为一个时间段,分别获取每个10分钟的网络流量和当前10分钟的网络流量。在选取好时间段之后,服务器采集选取的时间段内的网络流量。其中,若某个时间段的网络流量的第一评估值已经存储在服务器本地,则不需要重新采集该时间段的网络流量以及计算该时间段的网络流量的第一评估值。
步骤102,获取网络流量的多个特征值。
具体地说,对于每一个时间段的网络流量均存在多个特征值,所以分别获取每个时间段的网络流量的多个特征值,其中,每一个时间段的网络流量的多个特征值的个数是相同的;服务器按照预设规则分别计算每一个时间段的多个特征值。
在一个例子中,网络流量的多个特征值包括以下任意组合:不同源协议地址访问网络流量的熵、源协议地址的熵、源端口的熵、协议地址的上行网络流量与下行网络流量的比例、协议地址的上行网络数据包与下行网络数据包的比例、协议的熵、传输控制协议TCP半连接的比例。
具体地说,熵是衡量事物混乱程度的一个指标,事物越混乱熵值越大,反之熵值越小。可以采用以下公式计算熵:
Figure BDA0002656219070000051
其中,将一个时间段按照单位时间划分可以得到单位时间的个数m,m为正整数,当p(xk)为第k个单位时间内出现不同源协议地址访问网络流量的概率时,H为不同源协议地址访问网络流量的熵;当p(xk)为第k个单位时间内出现源协议地址的概率时,H为源协议地址的熵;当p(xk)为第k个单位时间内出现源端口的概率时,H为源端口的熵;当p(xk)为第k个单位时间内出现协议的概率时,H为协议的熵。
而协议地址的上行网络流量与下行网络流量的比例、协议地址的上行网络数据包与下行网络数据包的比例以及传输控制协议TCP半连接的比例可以通过以下计算方法获取得到:分别计算单位时间内的比例,并计算各比例的平均值获取得到;或者;分别计算单位时间内的比例,并取比例的最大值获取得到。
步骤103,对多个特征值进行加权融合,得到网络流量的第一评估值。
具体地说,对于每一个时间段内的网络流量,分别对该时间段的多个特征值进行加权融合,得到网络流量的第一评估值。例如:选取的时间段有5个,则会得到5个第一评估值。对于一个时间段的网络流量,服务器根据预设算法计算每个特征值的权重,并对多个特征值加权融合,得到网络流量的第一评估值;其中,预设算法可以为随机森林算法。服务器在获取到第一评估值后,将第一评估值存储在本地,以备后续使用。
在一个例子中,对多个特征值进行加权融合,得到网络流量的第一评估值,包括:
Figure BDA0002656219070000061
其中,Yi为第i个时间段的网络流量的第一评估值,Fj为第i个时间段的网络流量的第j个特征值,Wj为第i个时间段的网络流量的第j个特征值的权重值,n为特征值的个数。
具体地说,服务器会按照时间的先后顺序对选取的时间段进行编号,例如:若选取了8点到8点30分之间的网络流量,而每10分钟为一个时间段,则8点到8点10分的时间段为第1个时间段,8点10分到8点20分的时间段为第2个时间段,8点20分到8点30分的时间段为第3个时间段;而且服务器还会对特征值进行编号,例如:不同源协议地址访问网络流量的熵为第1个特征值,源协议地址的熵为第2个特征值。在获取到编号之后,按照上述计算公式计算得到每个时间段的网络流量的第一评估值。通过这样的计算方法,可以准确的计算出第一评估值。
本实施例中,服务器先采集选取的时间段内的网络流量,再获取网络流量的多个特征值,并对多个特征值进行加权融合;由于为每个特征值赋予了权重值,所以通过这样的方法计算出来的第一评估值会更加的准确。
本发明的第二实施例涉及一种网络流量评估方法,第二实施例与第一实施例大致相同,主要区别之处在于:当除当前时间段之外的其他时间段的网络流量的第一评估值有多个时,将最大第一评估值的N倍作为第一动态阈值。本实施例的网络流量评估方法的具体流程图如图2所示,包括:
步骤201,采集选取的时间段内的网络流量。
步骤202,获取网络流量的多个特征值。
步骤203,对多个特征值进行加权融合,得到网络流量的第一评估值。
步骤201-203与第一实施例中的步骤101-103类似,在此不再赘述。
步骤204,确定除当前时间段之外的其他时间段的网络流量的第一评估值中的最大第一评估值,并将最大第一评估值的N倍作为第一动态阈值;其中,N大于或等于1。
具体地说,若除当前时间段之外的其他时间段的网络流量的第一评估值有多个,确定除当前时间段之外的其他时间段的网络流量的第一评估值中的最大第一评估值,并将最大第一评估值的N倍作为第一动态阈值;其中,N大于或等于1。其中,第一动态阈值跟选取的时间段相关,选取的时间段不同,获取到的第一动态阈值可能不同。在一个例子中,N为4/3。
本实施例中,若除当前时间段之外的其他时间段的网络流量的第一评估值有多个,确定除当前时间段之外的其他时间段的网络流量的第一评估值中的最大第一评估值,并将最大第一评估值的N倍作为第一动态阈值,这样可以得到合理的第一动态阈值。
本发明的第三实施例涉及一种网络流量评估方法,第三实施例与第一实施例大致相同,主要区别之处在于:计算网络流量的第二评估值,根据其他时间段的网络流量的第一评估值和第二评估值,计算第二动态阈值。本实施例的网络流量评估方法的具体流程图如图3所示,包括:
步骤301,采集选取的时间段内的网络流量。
步骤302,获取网络流量的多个特征值。
步骤303,对多个特征值进行加权融合,得到网络流量的第一评估值。
步骤301-303与第一实施例中的步骤101-103类似,在此不再赘述。
步骤304,计算网络流量的第二评估值;其中,本时间段的网络流量的第二评估值根据上一个时间段的网络流量的第一评估值和第二评估值得到,第一个时间段的网络流量的第二评估值至少根据第一时间段的网络流量的第一评估值得到。
具体地说,第一个时间段的网络流量的第二评估值为第一个时间段的网络流量的第一评估值,或者第一个时间段的网络流量的第二评估值为第一个时间段的网络流量的第一评估值、第二个时间段的网络流量的第一评估值和第三个时间段的网络流量的第一评估值的平均值。在获取到第一个时间段的网络流量的第二评估值后,根据第一个时间段的网络流量的第一评估值和第二评估值计算第二个时间段的网络流量的第二评估值;在获取到第二个时间段的网络流量的第二评估值后,根据第二个时间段的网络流量的第一评估值和第二评估值计算第三个时间段的网络流量的第二评估值……依次类推,计算得到选取的时间段的网络流量的第二评估值。
在一个例子中,若本地不存在某一个时间段的网络流量,例如:该时间段的网络流量被剔除,则根据该时间段的上一个时间段的网络流量的第一评估值和第二评估值计算该时间段的下一个时间段的网络流量的第二评估值。
在一个例子中,本时间段的网络流量的第二评估值根据上一个时间段的网络流量的第一评估值和第二评估值得到,包括:
Si=Yi-1+a(Yi-1-Si-1)
其中,Yi-1为第i-1个时间段的网络流量的第一评估值,Si为第i个时间段的网络流量的第二评估值,Si-1为第i-1个时间段的网络流量的第二评估值,a为预设值,S1=S0=Y0,S1至少根据第一时间段的网络流量的第一评估值得到。
具体地说,服务器会按照时间的先后顺序对选取的时间段进行编号,而且服务器还会对特征值进行编号,在获取到编号之后,计算得到每个时间段的网络流量的第一评估值;在得到网络流量的第一评估值之后,按照上述计算公式计算得到每个时间段的网络流量的第二评估值;其中,a为预设的平滑常数,a可以根据实际需要进行设定,本实施不做具体限定;其中,S1=Y1,或者,S1=(Y1+Y2+Y3)/3。
步骤305,根据除当前时间段之外的其他时间段的网络流量的第一评估值和第二评估值,计算第二动态阈值。
在一个例子中,第二动态阈值为其他时间段的网络流量的第一评估值和第二评估值的差值的绝对值中的最大值。具体地说,对于每个时间段,计算该时间段的第一评估值和第二评估值的差值的绝对值;将差值的绝对值中的最大值作为第二动态阈值。
在一个例子中,第二动态阈值为其他时间段的网络流量的第一评估值和第二评估值的比值中的最大值。具体地说,对于每个时间段,计算该时间段的第一评估值和第二评估值的比值;将比值中的最大值作为第二动态阈值。
在一个例子中,在得到网络流量的第一评估值之后,还包括:确定除当前时间段之外的其他时间段的网络流量的第一评估值中的最大第一评估值,并将最大第一评估值的N倍作为第一动态阈值;其中,N大于或等于1。
本实施例中,可以根据上一个时间段的网络流量的第一评估值和第二评估值合理的预测本时间段的第二评估值,从而得到合理的第二动态阈值。
本发明的第四实施例涉及一种攻击检测方法,应用于服务器。本实施例的攻击检测方法的具体流程图如图4所示,包括:
步骤401,获取选取的时间段内的网络流量的第一评估值;其中,选取的时间段包含当前时间段和除当前时间段之外的其他时间段。
具体地说,当本实施例的服务器与第一实施例的服务器相同时,本实施例的服务器的本地存储有网络流量的第一评估值,直接从本地获取选取时间段内的网络流量的第一评估值;当本实施例的服务器与第一实施例的服务器不同时,本实施例的服务器需要接收第一实施例的服务器发送的网络流量的第一评估值;其中,网络流量的第一评估值由第一实施例的网络流量评估方法得到。
步骤402,根据网络流量的第一评估值,得到当前时间段的网络流量是否发生了分布式拒绝服务DDoS攻击的检测结果。
在一个例子中,根据第一评估值,得到当前时间段的网络流量是否发生了分布式拒绝服务DDoS攻击的检测结果的具体流程图如图5所示,包括:
步骤4021,根据网络流量的第一评估值确定比较值;其中,比较值包括第一比较值,和/或,比较值包括第二比较值。
步骤4022,获取与比较值对应的动态阈值。
在一个例子中,第一比较值为当前时间段的网络流量的第一评估值,与第一比较值对应的动态阈值为第一动态阈值;其中,第一动态阈值由第二实施例的网络流量评估方法得到。
具体地说,在获取选取的时间段内的网络流量的第一评估值之后,从中获取当前时间段的网络流量的第一评估值,将当前时间段的网络流量的第一评估值作为第一比较值,与第一比较值对应的动态阈值为第一动态阈值,当本实施例的服务器与第二实施例的服务器相同时,本实施例的服务器的本地存储有第一动态阈值,直接从本地获取选取时间段的第一动态阈值,当本实施例的服务器与第二实施例的服务器不同时,本实施例的服务器需要接收第二实施例的服务器发送的第一动态阈值;其中,第一动态阈值由第二实施例的网络流量评估方法得到。
在一个例子中,第二比较值为当前时间段的网络流量的第一评估值和第二评估值的差值的绝对值,与第二比较值对应的动态阈值为第二动态阈值;其中,当前时间段的网络流量的第二评估值和第二动态阈值由第三实施例的网络流量评估方法得到。
具体地说,在获取选取的时间段内的网络流量的第一评估值和第二评估值之后,从中获取当前时间段的网络流量的第一评估值和第二评估值,计算当前时间段的网络流量的第一评估值和第二评估值的差值的绝对值,将当前时间段的网络流量的第一评估值和第二评估值的差值的绝对值作为第二比较值,与第二比较值对应的动态阈值为第二动态阈值。当本实施例的服务器与第三实施例的服务器相同时,本实施例的服务器的本地存储有第二动态阈值,直接从本地获取选取时间段的第二动态阈值,当本实施例的服务器与第三实施例的服务器不同时,本实施例的服务器需要接收第三实施例的服务器发送的第二动态阈值;其中,第二动态阈值由第三实施例的网络流量评估方法得到。
在一个例子中,第一比较值为当前时间段的网络流量的第一评估值,与第一比较值对应的动态阈值为第一动态阈值,第二比较值为当前时间段的网络流量的第一评估值和第二评估值的差值的绝对值,与第二比较值对应的动态阈值为第二动态阈值,第二动态阈值为其他时间段的网络流量的第一评估值和第二评估值的差值的绝对值中的最大值。当前时间段的网络流量的第二评估值、第一动态阈值和第二动态阈值由第三实施例的网络流量评估方法得到。
在一个例子中,第二比较值为当前时间段的网络流量的第一评估值和第二评估值的比值,与第二比较值对应的动态阈值为第二动态阈值;其中,当前时间段的网络流量的第二评估值和第二动态阈值由第三实施例的网络流量评估方法得到。
具体地说,在获取选取的时间段内的网络流量的第一评估值和第二评估值之后,从中获取当前时间段的网络流量的第一评估值和第二评估值,计算当前时间段的网络流量的第一评估值和第二评估值的比值,将当前时间段的网络流量的第一评估值和第二评估值的比值作为第二比较值,与第二比较值对应的动态阈值为第二动态阈值,第二动态阈值为其他时间段的网络流量的第一评估值和第二评估值的比值中的最大值。当前时间段的网络流量的第二评估值、第一动态阈值和第二动态阈值由第三实施例的网络流量评估方法得到。
在一个例子中,第一比较值为当前时间段的网络流量的第一评估值,与第一比较值对应的动态阈值为第一动态阈值,第二比较值为当前时间段的网络流量的第一评估值和第二评估值的比值,与第二比较值对应的动态阈值为第二动态阈值。
步骤4023,若比较值大于对应的动态阈值,得到当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果。
具体地说,当比较值包括第一比较值时,若第一比较值大于第一动态阈值,得到当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果,若第一比较值不大于第一动态阈值,得到当前时间段的网络流量未发生分布式拒绝服务DDoS攻击的检测结果。
当比较值包括第二比较值时,若第二比较值大于第二动态阈值,得到当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果,若第二比较值不大于第二动态阈值,得到当前时间段的网络流量未发生分布式拒绝服务DDoS攻击的检测结果。
当比较值包括第一比较值和第二比较值时,若第一比较值大于第一动态阈值且第二比较值大于第二动态阈值,得到当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果;其中,可以在比较出第一比较值大于第一动态阈值之后,再比较第二比较值和第二动态阈值的大小,也可以在比较出第二比较值大于第二动态阈值之后,再比较第一比较值和第一动态阈值的大小;若第一比较值不大于第一动态阈值或第二比较值不大于第二动态阈值,得到当前时间段的网络流量未发生分布式拒绝服务DDoS攻击的检测结果。当比较值包括第一比较值和第二比较值时,通过二次确认的方式,可以使得到的检测结果更加的准确。
在一个例子中,在得到当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果之后,还包括:剔除当前时间段的网络流量。由于当前时间段的网络流量发生了DDoS攻击,所以将当前时间段的网络流量进行剔除,以免对后续的检测造成影响。
本实施例中,获取选取的时间段内的网络流量的第一评估值,根据网络流量的第一评估值,得到当前时间段的网络流量是否发生了分布式拒绝服务DDoS攻击的检测结果,由于得到的第一评估值较准确,所以可以得到较准确的DDoS攻击检测结果。
本发明第五实施例涉及一种服务器,如图6所示,包括至少一个处理器502;以及,与至少一个处理器通信连接的存储器501;其中,存储器501存储有可被至少一个处理器502执行的指令,指令被至少一个处理器502执行,以使至少一个处理器502能够执行第一实施例、第二实施例、第三实施例的网络流量评估方法,和/或,第四实施例的攻击检测方法。
其中,存储器501和处理器502采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器502和存储器501的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器502处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器502。
处理器502负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器501可以被用于存储处理器502在执行操作时所使用的数据。
本发明第六实施例涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施例是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。

Claims (14)

1.一种网络流量评估方法,其特征在于,包括:
采集选取的时间段内的网络流量;
获取所述网络流量的多个特征值;
对所述多个特征值进行加权融合,得到所述网络流量的第一评估值。
2.根据权利要求1所述的网络流量评估方法,其特征在于,在所述得到所述网络流量的第一评估值之后,还包括:
确定除当前时间段之外的其他时间段的网络流量的第一评估值中的最大第一评估值,并将所述最大第一评估值的N倍作为第一动态阈值;其中,N大于或等于1。
3.根据权利要求1或2所述的网络流量评估方法,其特征在于,在所述得到所述网络流量的第一评估值之后,还包括:
计算所述网络流量的第二评估值;其中,本时间段的网络流量的第二评估值根据上一个时间段的网络流量的第一评估值和第二评估值得到,第一个时间段的网络流量的第二评估值至少根据第一时间段的网络流量的第一评估值得到;
根据除当前时间段之外的其他时间段的网络流量的第一评估值和第二评估值,计算第二动态阈值。
4.根据权利要求3所述的网络流量评估方法,其特征在于,所述第二动态阈值为所述其他时间段的网络流量的第一评估值和第二评估值的差值的绝对值中的最大值。
5.根据权利要求1所述的网络流量评估方法,其特征在于,所述对所述多个特征值进行加权融合,得到所述网络流量的第一评估值,包括:
Figure FDA0002656219060000011
其中,Yi为第i个时间段的网络流量的第一评估值,Fj为第i个时间段的网络流量的第j个特征值,Wj为第i个时间段的网络流量的第j个特征值的权重值,n为特征值的个数。
6.根据权利要求3所述的网络流量评估方法,其特征在于,所述本时间段的网络流量的第二评估值根据上一个时间段的网络流量的第一评估值和第二评估值得到,包括:
Si=Yi-1+a(Yi-1-Si-1)
其中,Yi-1为第i-1个时间段的网络流量的第一评估值,Si为第i个时间段的网络流量的第二评估值,Si-1为第i-1个时间段的网络流量的第二评估值,a为预设值,S1=S0=Y0,S1至少根据所述第一时间段的所述网络流量的第一评估值得到。
7.根据权利要求1所述的网络流量评估方法,其特征在于,所述网络流量的多个特征值包括以下任意组合:不同源协议地址访问网络流量的熵、源协议地址的熵、源端口的熵、协议地址的上行网络流量与下行网络流量的比例、协议地址的上行网络数据包与下行网络数据包的比例、协议的熵、传输控制协议TCP半连接的比例。
8.一种攻击检测方法,其特征在于,包括:
获取选取的时间段内的网络流量的第一评估值;其中,所述选取的时间段包含当前时间段和除所述当前时间段之外的其他时间段,所述网络流量的第一评估值由权利要求1所述的网络流量评估方法得到;
根据所述网络流量的第一评估值,得到所述当前时间段的网络流量是否发生了分布式拒绝服务DDoS攻击的检测结果。
9.根据权利要求8所述的攻击检测方法,其特征在于,所述根据所述网络流量的第一评估值,得到所述当前时间段的网络流量是否发生了分布式拒绝服务DDoS攻击的检测结果,包括:
根据所述网络流量的第一评估值确定比较值;其中,所述比较值包括第一比较值,和/或,所述比较值包括第二比较值;
获取与所述比较值对应的动态阈值;
若所述比较值大于对应的动态阈值,得到所述当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果。
10.根据权利要求9所述的攻击检测方法,其特征在于,所述第一比较值为所述当前时间段的网络流量的第一评估值,与所述第一比较值对应的动态阈值为第一动态阈值;其中,所述第一动态阈值由权利要求2所述的网络流量评估方法得到。
11.根据权利要求9或10所述的攻击检测方法,其特征在于,所述第二比较值为所述当前时间段的网络流量的第一评估值和第二评估值的差值的绝对值,与所述第二比较值对应的动态阈值为第二动态阈值;其中,所述当前时间段的网络流量的第二评估值和所述第二动态阈值由权利要求3所述的网络流量评估方法得到。
12.根据权利要求9所述的攻击检测方法,其特征在于,在所述得到所述当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果之后,还包括:
剔除所述当前时间段的网络流量。
13.一种服务器,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任一所述的网络流量评估方法,和/或,执行如权利要求8至12中任一所述的攻击检测方法。
14.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一所述的网络流量评估方法,和/或,执行如权利要求8至12中任一所述的攻击检测方法。
CN202010888343.1A 2020-08-28 2020-08-28 网络流量评估方法、攻击检测方法、服务器及存储介质 Active CN112019547B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010888343.1A CN112019547B (zh) 2020-08-28 2020-08-28 网络流量评估方法、攻击检测方法、服务器及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010888343.1A CN112019547B (zh) 2020-08-28 2020-08-28 网络流量评估方法、攻击检测方法、服务器及存储介质

Publications (2)

Publication Number Publication Date
CN112019547A true CN112019547A (zh) 2020-12-01
CN112019547B CN112019547B (zh) 2023-04-07

Family

ID=73502949

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010888343.1A Active CN112019547B (zh) 2020-08-28 2020-08-28 网络流量评估方法、攻击检测方法、服务器及存储介质

Country Status (1)

Country Link
CN (1) CN112019547B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113837570A (zh) * 2021-09-09 2021-12-24 上海理想信息产业(集团)有限公司 多模网络健康度评估方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102882895A (zh) * 2012-10-31 2013-01-16 杭州迪普科技有限公司 一种识别报文攻击的方法及装置
US20140082730A1 (en) * 2012-09-18 2014-03-20 Kddi Corporation System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
CN105407103A (zh) * 2015-12-19 2016-03-16 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN107332785A (zh) * 2017-05-23 2017-11-07 国家电网公司 一种基于动态工作阈值的有效流量控制方法
CN108768942A (zh) * 2018-04-20 2018-11-06 武汉绿色网络信息服务有限责任公司 一种基于自适应阈值的DDoS攻击检测方法和检测装置
CN109639633A (zh) * 2018-11-02 2019-04-16 平安科技(深圳)有限公司 异常流量数据识别方法、装置、介质及电子设备
CN111092849A (zh) * 2018-10-24 2020-05-01 中移(杭州)信息技术有限公司 基于流量的分布式拒绝服务的检测方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140082730A1 (en) * 2012-09-18 2014-03-20 Kddi Corporation System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
CN102882895A (zh) * 2012-10-31 2013-01-16 杭州迪普科技有限公司 一种识别报文攻击的方法及装置
CN105407103A (zh) * 2015-12-19 2016-03-16 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN107332785A (zh) * 2017-05-23 2017-11-07 国家电网公司 一种基于动态工作阈值的有效流量控制方法
CN108768942A (zh) * 2018-04-20 2018-11-06 武汉绿色网络信息服务有限责任公司 一种基于自适应阈值的DDoS攻击检测方法和检测装置
CN111092849A (zh) * 2018-10-24 2020-05-01 中移(杭州)信息技术有限公司 基于流量的分布式拒绝服务的检测方法及装置
CN109639633A (zh) * 2018-11-02 2019-04-16 平安科技(深圳)有限公司 异常流量数据识别方法、装置、介质及电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113837570A (zh) * 2021-09-09 2021-12-24 上海理想信息产业(集团)有限公司 多模网络健康度评估方法及装置
CN113837570B (zh) * 2021-09-09 2024-01-23 上海理想信息产业(集团)有限公司 多模网络健康度评估方法及装置

Also Published As

Publication number Publication date
CN112019547B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
US7937586B2 (en) Defending against denial of service attacks
CN106034149A (zh) 一种账户识别方法及装置
CN107426772B (zh) 一种基于q学习的动态竞争窗口调整方法、装置及设备
CN110944016A (zh) DDoS攻击检测方法、装置、网络设备及存储介质
CN110650042A (zh) 电力通信网健康度评价方法及终端设备
CN108270723A (zh) 一种电力网络预测攻击路径的获取方法
CN114363064A (zh) 一种物联网业务适配的动态数据加密策略系统
CN106846031A (zh) 基于信誉系统和Stackelberg博弈的可信P2P流媒体带宽定价方法
CN112019547B (zh) 网络流量评估方法、攻击检测方法、服务器及存储介质
CN112039861A (zh) 风险识别方法、装置、电子设备和计算机可读存储介质
CN117459321B (zh) 一种端到端可信通信方法及系统
CN107613500B (zh) 一种不确定环境下的无线频谱共享方法
CN115884195A (zh) 模型训练方法、无线资源调度方法及其装置及电子设备
CN106936527B (zh) 一种基于双门限的多用户合作频谱感知方法
US7366785B2 (en) Communication control apparatus, communication control method and communication control program product
CN113127693B (zh) 一种流量数据包统计方法、装置、设备及存储介质
CN110532094B (zh) 一种负载均衡权重值修改方法及处理系统
CN116170199A (zh) 一种基于物联网网关的设备接入验证系统
WO2019069905A1 (ja) 情報処理装置、制御方法、及びプログラム
CN109547236A (zh) 电子数据上传存储方法、可读存储介质和终端
CN111542052B (zh) 一种物联网中基于群体信任度的数据转发方法及装置
CN106714192B (zh) 网络调整方法及装置
CN111064565B (zh) 缓解DDoS攻击的方法
CN110489568B (zh) 生成事件图的方法、装置、存储介质和电子设备
CN105279282A (zh) 一种身份关系数据库的生成方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant