CN112367311A - DDoS攻击检测方法、装置、设备及存储介质 - Google Patents

Abstract

本发明实施例公开了一种DDoS攻击检测方法、装置、设备及存储介质。本发明中，通过基于多租户的流量行为，具体为可以分为数据域流量和信令域流量来确定信息熵，使得确定的信息熵不仅能够体现各租户的流量行为与DDoS攻击行为在时间维度上关联性，还能够体现DDoS攻击行为与流量行为之间的相关性和触发性，进而通过根据该信息熵对多租户的流量行为进行DDoS攻击行为检测，并建立多租户的流量行为与DDoS攻击行为的攻击特征之间的关联的方式，解决了传统检测方式中无法精准匹配不同租户的私有协议特性与业务逻辑特性，亦无法发现隐藏在租户对应的数据域流量中与对应的信令域流量中的DDoS攻击行为，进而导致检测不精确的问题。

Description

DDoS攻击检测方法、装置、设备及存储介质

技术领域

本发明实施例涉及网络安全技术领域，特别涉及一种DDoS攻击检测方法、装置、设备及存储介质。

背景技术

5G技术可满足用户多种应用场景的需求，更快更好的连接人与人、人与物和物与物之间的通信，达到万物互联的目的。基于网络切片(Network Slicing)的多租户模式是5G网络的重要特征，租户可以通过不同类型的切片模式来进行各类通讯需求应答与异构交易/交互模式的选择，实现海量连接、差异化带宽选型与通信质量选型来适配自身业务用例。5G技术为不同租户提供海量接入点与高质量大带宽接入能力的同时，也为海量连接租户带来了在高带宽场景下发起DDoS攻击(Distributed denial of service attack，分布式拒绝服务攻击)的可能。一方面，在用户数据面行为领域(以下称为：数据域)由于5G技术在无线侧提供了大量的移动设备接入点并在边缘计算节点集成了大量的第三方应用，导致DDoS发起攻击的目标点增多；另一方面，在5G网元控制面行为领域(以下称为：信令域)始终存在高带宽、动态链接变化的信令控制通道，信令风暴DDoS可以以实时变化的方式直接攻击5G网元设备，但其动态变化属性使DDoS检测精准度提升变得极为困难。因此，针对5G多租户场景下的DDoS检测对保障运营商网络的可用性具有重大意义。

但是，目前保障5G网络的可用性不受DDoS攻击影响的主要手段仍依靠传统防火墙与流量检测清洗设备进行防护。由于这些设备与相应方法尚未将数据域流量与信令域流量行为进行关联，因此无法发现DDoS攻击的相关性与触发关系。

发明内容

本发明实施例的目的在于提供一种DDoS攻击检测方法、装置、设备及存储介质，旨在解决上述技术问题。

为解决上述技术问题，本发明的实施例提供了一种DDoS攻击检测方法，包括以下步骤：

基于N个租户的流量行为，确定信息熵，所述N为大于1的正整数，所述信息熵能够体现所述N个租户的流量行为与DDoS攻击行为在时间维度上的关联性；

基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测，并建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联。

本发明的实施例还提供了一种DDoS攻击检测装置，包括：

确定模块，用于基于N个租户的流量行为，确定信息熵，所述N为大于1的正整数，所述信息熵能够体现所述N个租户的流量行为与DDoS攻击行为在时间维度上的关联性；

检测模块，用于基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测，并建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联。

本发明的实施例还提供了一种DDoS攻击检测设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上文所述的DDoS攻击检测方法。

本发明的实施例还提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现如上文所述的DDoS攻击检测方法。

本发明实施例提供的DDoS攻击检测方法、装置、设备及存储介质，在进行DDoS攻击检测时，通过基于多租户的流量行为来确定能够体现各租户的流量行为与DDoS攻击行为在时间维度上关联性的信息熵，并根据该信息熵对多租户的流量行为进行DDoS攻击行为检测，从而解决了现有基于IP地址(Internet Protocol Address，互联网协议地址)、端口号、MAC地址(Media Access Control Address，直译为媒体存取控制位址，也称为局域网地址)、通用协议、时间戳等传统检测方式中，无法精准匹配不同租户的私有协议特性与业务逻辑特性的问题。

此外，本发明实施例提供的DDoS攻击检测方法、装置、设备及存储系统，由于信息熵是基于多租户的流量行为确定的，而在该领域中，流量行为又分为数据域流量和信令域流量，因此基于多租户的流量行为确定的信息熵能够体现数据域流量和信令域流量之间的关联性，从而在基于多租户的流量行为确定的信息熵进行DDoS攻击行为检测时，能够建立多租户的流量行为与DDoS攻击行为的攻击特征之间的关联，进而发现DDoS攻击行为与流量行为之间的相关性和触发性，从而解决了传统检测方式中，无法发现隐藏在租户对应的数据域流量中与对应的信令域流量中的DDoS攻击行为，进而导致检测不精确的问题。

此外，基于本发明实施例提供的DDoS攻击检测方法、装置、设备及存储系统，由于能够及时发现DDoS攻击，从而可以更好的保障5G网络的可用性。

另外，所述信息熵包括观察信息熵和修正信息熵；所述基于N个租户的流量行为，确定信息熵，包括：基于所述N个租户的流量行为，定义基本监测元组度规；基于所述N个租户的流量行为和所述基本监测元组度规，确定观察时间范围和修正时间范围；对于每一个租户，根据所述租户的流量行为和所述基本监测元组度规之间的关系，确定所述租户的流量行为在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式；将所述关联形式和预先定义的DDoS攻击信息记录到所述基本监测元组度规中，得到DDoS空间特征关联信息；根据时间维度和空间维度的关联关系，在所述观察时间范围内，分别获取所述基本监测元组度规中相同纬度下的DDoS空间特征关联信息和不同纬度下的DDoS空间特征关联信息；根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵。

另外，所述基于所述N个租户的流量行为，定义基本监测元组度规，包括：从记录所述N个租户的流量行为的流表中获取每一个租户的流量行为对应的攻击源IP地址、攻击目的IP地址、攻击目的端口和攻击源端口；对于每一个租户，根据所述攻击源IP地址、所述攻击目的IP地址、所述攻击目的端口和所述攻击源端口，定义所述基本监测元组度规。

另外，所述基于所述N个租户的流量行为和所述基本监测元组度规，确定观察时间范围和修正时间范围，包括：对于记录所述N个租户的流量行为的流表中的每一条数据域流量，定义单位观察时间；基于所述单位观察时间和所述基本监测元组度规，确定所述观察时间范围和所述修正时间范围。

另外，所述对于每一个租户，根据所述租户的流量行为和所述基本监测元组度规之间的关系，确定所述租户的流量行为在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式，包括：对于每一个租户，统计所述租户的流量行为对应的传输包数；根据所述传输包数和所述基本监测元组度规之间的关系，确定所述传输包数在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式。

另外，所述预先定义的DDoS攻击信息包括攻击源IP地址个数在全量源IP地址中的第一占比、攻击包个数在全量传输包中的第二占比、攻击源IP地址与业务协议个数的第三占比，所述相同纬度下的DDoS空间特征关联信息确定观察信息熵包括所述第一占比、所述第二占比和所述观察时间范围内出入的传输包数，所述不同纬度下的DDoS空间特征关联信息确定修正信息熵包括所述第三占比和所述观察时间范围内出入的传输包数；所述根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵，包括：根据所述第一占比、所述第二占比和所述观察时间范围内出入的传输包数，确定观察信息熵；根据所述第三占比和所述观察时间范围内出入的传输包数，确定修正信息熵；将所述观察信息熵和所述修正信息作为所述信息熵。

另外，在所述根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵之前，所述方法还包括：在所述观察时间范围内，对于记录所述N个租户的流量行为的流表中的每一条数据域流量，提取所述数据域流量的包头，对所述包头进行分析，得到修正参数；根据所述修正参数，确定观察时间范围内的扰动因子阈值；根据所述扰动因子阈值，分别对所述相同纬度下的DDoS空间特征关联信息和所述不同纬度下的DDoS空间特征关联信息进行修正；在对所述相同纬度下的DDoS空间特征关联信息和所述不同纬度下的DDoS空间特征关联信息进行修正后，根据修正后的所述相同纬度下的DDoS空间特征关联信息执行确定观察信息熵，根据修正后的所述不同纬度下的DDoS空间特征关联信息执行确定修正信息熵，得到所述信息熵的步骤。本发明实施例中，通过对确定信息熵的DDoS空间特征关联信息进行修正，从而实现了对最终确定的信息熵的修正，最终利用修正后的信息熵进行DDoS攻击行为检测，从而有效降低了误检测的几率，进一步提高了检测的精确性。

附图说明

一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定，附图中具有相同参考数字标号的元件表示为类似的元件，除非有特别申明，附图中的图不构成比例限制。

图1是根据本发明第一实施例的DDoS攻击检测方法的具体流程图；

图2是实现本发明第一实施例的DDoS攻击检测方法中步骤101操作的具体流程图；

图3是根据本发明第三实施例的DDoS攻击检测装置的结结构示意图；

图4是根据本发明第四实施例的DDoS攻击检测设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的各实施例进行详细的阐述。然而，本领域的普通技术人员可以理解，在本发明各实施例中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施例的种种变化和修改，也可以实现本申请所要求保护的技术方案。

以下各个实施例的划分是为了描述方便，不应对本发明的具体实现方式构成任何限定，各个实施例在不矛盾的前提下可以相互结合相互引用。

本发明第一实施例涉及一种DDoS攻击检测方法，通过基于多租户的流量行为，具体为可以分为数据域流量和信令域流量来确定信息熵，使得确定的信息熵不仅能够体现各租户的流量行为与DDoS攻击行为在时间维度上关联性，还能够体现DDoS攻击行为与流量行为之间的相关性和触发性，进而通过根据该信息熵对多租户的流量行为进行DDoS攻击行为检测，并建立多租户的流量行为与DDoS攻击行为的攻击特征之间的关联的方式，解决了传统检测方式中无法精准匹配不同租户的私有协议特性与业务逻辑特性，亦无法发现隐藏在租户对应的数据域流量中与对应的信令域流量中的DDoS攻击行为，进而导致检测不精确的问题。

下面对本实施例的DDoS攻击检测方法的实现细节进行说明，以下内容仅为方便理解而提供的实现细节，并非实施本方案的必须。

本实施例的具体流程如图1所示，具体包括以下步骤：

步骤101，基于N个租户的流量行为，确定信息熵。

具体的说，由于本实施例提供的DDoS检测方法，是为了实现对不同租户的私有协议特性与业务逻辑特性的精准匹配，而并非单纯的针对单一租户的流量行为进行匹配。故而所述N为大于1的正整数，即上述所说的信息熵是基于多租户的流量行为确定的。

此外，值得一提的是，由于目前保障5G网络的可用性不受DDoS攻击影响的主要手段是依靠传统防火墙与流量检测清洗设备进行防护。而这些设备大多停留在IP地址(Internet Protocol Address，互联网协议地址)、端口号、MAC地址(Media AccessControl Address，直译为媒体存取控制位址，也称为局域网地址)、通用协议、时间戳等传统检测方式中，对单一租户进行检测，这种方式不仅无法精准匹配不同的租户的私有协议特性与业务逻辑特性，也无法发现隐藏在租户的数据域流量中与对应的信令域流量中的DDoS攻击行为。因此，为了解决上述技术问题，本实施例通过利用多租户，由数据域流量和信令域流量组成的流量行为来确定信息熵，从而使得确定的信息熵能够体现数据域流量和信令域流量之间的关联性，同时实现对不同租户的私有协议特性与业务逻辑特性的精准匹配。

此外，为了解决现有检测方式中无法针对连续时间进行DDoS攻击特征关联的缺陷，本实施例引入观察时间和修正时间的方式来实现时间维度上的盲点覆盖，通过基于DDoS攻击行为在观察时间范围内的提取的特征与修正时间范围内的提取的特征的匹配性来实现连续时间内DDoS攻击行为的特征关联。

相应地，由于信息熵的确定是基于观察时间和修正时间的方式来确定的。因此，信息熵具体可以分为观察信息熵和修正信息熵，即最终进行DDoS攻击行为检测所依据的信息熵是包括观察信息熵和修正信息熵这两种。

为了便于理解基于观察时间和修正时间确定信息熵的方式，以下进行结合图2具体说明：

步骤S1：基于所述N个租户的流量行为，定义基本监测元组度规。

具体的说，在实际应用中，租户的流量行为是记录在流表中的，并且记录的流量行为至少包括攻击源IP地址IP_source、攻击目的IP地址IP_destination、攻击目的端口port_destination和攻击源端口port_source。故而，在本实施例中，上述步骤S1中给出的操作，具体是先从记录所述N个租户的流量行为的流表中获取每一个租户的流量行为对应的攻击源IP地址IP_source、攻击目的IP地址IP_destination、攻击目的端口port_destination和攻击源端口port_source；然后，对于每一个租户，根据所述攻击源IP地址IP_source、所述攻击目的IP地址IP_destination、所述攻击目的端口port_destination和所述攻击源端口port_source，定义所述基本监测元组度规。

关于根据所述攻击源IP地址IP_source、所述攻击目的IP地址IP_destination、所述攻击目的端口port_destination和所述攻击源端口port_source，定义所述基本监测元组度规的方式，具体可以基于公式(1)和公式2实现：

f_i＝[IP_souce,IP_destination,port_destination,port_souce] (1)

F_i＝{f₁,f₂,...,f_i} (2)

式中，f_i即组成基本监测元组度规中的流量度规，F_i即定义的基本监测元组度规。

此外，需要说明的是，上述所说的基本监测元组度规，具体表示的是一个度规的集合。在本实施例中，所述基本监测元组度规除了包括上述所说的流量度规，还包括了全量源地址个数、全量传输包个数、业务协议个数等具体的度规。

步骤S2：基于所述N个租户的流量行为和所述基本监测元组度规，确定观察时间范围和修正时间范围。

具体的说，在实现上述步骤S2中的操作时，首先会针对记录所述N个租户的流量行为的流表中的每一条数据域流量，定义单位观察时间；然后，基于所述单位观察时间和所述基本监测元组度规，确定所述观察时间范围和所述修正时间范围。

关于定义单位观察时间的操作，具体为：定义F_i＝{f₁,f₂,...,f_j}，且对于任意f_k(0<k≤j)在时间t＝i时被观察，即单位观察时间为t＝i。

假设连续观察时间范围的终止时刻为T，则结合上述基本监测元组度规，存在观察时间范围为：

T_s[{f₁,f₂,...,f_j1}_(t＝1),{f₁,f₂,...,f_j2}_(t＝2),...,{f₁,f₂,...,f_jT}_(t＝T)] (3)

需要说明的是，在本实施例中，修正时间为观察时间之后的任意增量时刻

因此存在修正时间范围为：

步骤S3：对于每一个租户，根据所述租户的流量行为和所述基本监测元组度规之间的关系，确定所述租户的流量行为在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式。

具体的说，在每一个租户的流量行为中，总体被传输的包的数量(以下称为传输包数)与基于租户的流量行为确定的基本元组度规之间是存在如公式(5)所示的关系的：

式中，具体是令IP_source为攻击源IP地址的最后一个地址时，传输包数与基于租户的流量行为确定的基本元组度规之间的关系。

因此，在实现步骤S3时，对于每一个租户，具体是通过统计租户的流量行为对应的传输包数，然后根据传输包数和基本监测元组度规之间的关系来确定传输包数在观察时间范围和修正时间范围的分布形式，进而得到DDoS攻击行为的攻击特征在时间维度上的关联形式。

关于上述所说的确定传输包数在观察时间范围和修正时间范围的分布形式，具体可以基于公式(6)确定：

式中，当nB(f_i)为入方向的传输包数B_in时，根据公式(6)可以获知入方向的传输包数在观察时间范围和修正时间范围的分布形式；当nB(f_i)为出方向的传输包数B_out时，根据公式(6)可以获知出方向的传输包数在观察时间范围和修正时间范围的分布形式。

综上，通过确定租户的流量行为中的传输包数在观察时间范围和修正时间范围的分布形式，并可以得到租户的流量行为中可能存在的DDoS攻击行为在整个连续时间范围内的分布情况。因而，基于多租户的流量行为确定的信息熵能够体现多租户的流量行为与DDoS攻击行为在时间维度上的关联性。

步骤S4：将所述关联形式和预先定义的DDoS攻击信息记录到所述基本监测元组度规中，得到DDoS空间特征关联信息。

关于上述所说的预定义的DDoS攻击信息，在本实施例中大致包括以下三种：

第一种：攻击源IP地址个数在全量源IP地址中的占比，为了便于区分以下称为第一占比。

具体的说，上述所说的第一占比，具体为真实攻击源IP地址个数在全量源IP地址(即所有的源IP地址)中的占比，在实际应用中，可以通过公式(7)获得：

A_1j＝USIP_j/UDIP_j (7)

式中，j表示观察时间范围内的第j个连续观察点，USIP_j为真实攻击源IP地址个数，UDIP_j为全量源IP地址个数。

第二种：攻击包个数在全量传输包中的占比，为了便于区分以下称为第二占比。

具体的说，上述所说的第二占比，具体为真实攻击包(传输包中存在的攻击包)个数在全量传输包中的占比，在实际应用中，可以通过公式(8)获得：

A_2j＝X/UDP_j (8)

式中，j表示观察时间范围内的第j个连续观察点，X为真实攻击包个数，UDP_j为全量传输包个数。

第三种：攻击源IP地址与业务协议个数的占比，为了便于区分以下称为第三占比。

具体的说，上述所说的第三占比，在实际应用中，可以通过公式(9)获得：

A_3j＝USIP_j/UPR_j (9)

式中，j表示观察时间范围内的第j个连续观察点，USIP_j为真实攻击源IP地址个数，UPR_j为业务协议个数。

相应地，步骤S4中所执行的操作，实质就是将步骤S3中获得的关联关系和预定义的上述三个占比记录到基本监测元组度规中。

步骤S5：根据时间维度和空间维度的关联关系，在所述观察时间范围内，分别获取所述基本监测元组度规中相同纬度下的DDoS空间特征关联信息和不同纬度下的DDoS空间特征关联信息。

应当理解的是，三维的空间维度和一维的时间维度便可以构成所谓的四维空间，因而时间维度和空间维度是存在固定的关联关系的。因此通过从基本监测元组度规中获取相同维度，具体是相同时间维度对应的空间维度中的DDoS空间特征关联信息和不同维度，具体是不同时间维度对应的空间维度中的DDoS空间特征关联信息，便可以获知连续时间内DDoS攻击行为的攻击特征的关联性，进而使得步骤S6中计算出的信息熵能够体现连续时间内进行的DDoS攻击行为的攻击特征的关联。

步骤S6：根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵。

具体的说，在本实施例中，用于计算观察信息熵的所述相同纬度下的DDoS空间特征关联信息主要包括上述提到的所述第一占比、所述第二占比和所述观察时间范围内出入的传输包数。

相应地，在根据所述第一占比、所述第二占比和所述观察时间范围内出入的传输包数，确定观察信息熵时，具体可以根据公式(10)实现：

其中，n是在整个观测时间范围τ内获取的所有租户的流量行为个数，p₁,p₂,...,p_n则代表变量X的出现概率。因此，在观测时间范围内，对于同纬度的DDoS空间特征关联信息就包括了第一占比、第二占比和观察时间内的出入的传输包数。在H(B)_τ＝0时，说明观测时间范围内的DDoS攻击行为的攻击特征的关联度最低，反之H(B)_τ＝1时，说明观测时间范围内的DDoS攻击行为的攻击特征的关联度最高，此种情况下检测出的流量行为，可以认为是异常流量行为，即可能是DDoS攻击行为，后续可以根据这种检测结果触发告警。

与上述确定的观察信息熵不同，修正信息熵主要是对于观测时间范围内无法归类为同维度的变量进行确认并给出其对观测时间范围内结果的影响。因此，在计算观察信息熵时，所依据的不同纬度下的DDoS空间特征关联信息主要包括上述提到的所述第三占比和所述观察时间范围内出入的传输包数。

相应地，在根据所述第三占比和所述观察时间范围内出入的传输包数，确定修正信息熵时，具体可以根据公式(11)实现：

相应地，对于修正信息熵，在H(B)_τ＝0时，说明修正时间范围内的DDoS攻击行为的攻击特征的关联度最低，反之H(B)_τ＝1时，说明修正时间范围内的DDoS攻击行为的攻击特征的关联度最高，此种情况下检测出的流量行为，可以认为是异常流量行为，即可能是DDoS攻击行为，后续可以根据这种检测结果触发告警。

步骤102，基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测，并建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联。

具体的说，通过上述描述可知，信息熵是包括观察信息熵和修正信息熵两种，因而在基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测时，分别是基于观察信息熵在观察时间范围内对所述N个租户的流量行为进行DDoS攻击行为检测，并根据观察时间范围内的H(B)_τ的取值变化，确定在观察时间范围内，N个租户的流量行为中是否存在DDoS攻击行为，以及各租户的流量行为与可能存在的DDoS攻击行为的攻击特征之间的关联，以及基于修正信息熵在修正时间范围内对所述N个租户的流量行为进行DDoS攻击行为检测，并根据修正时间范围内的H(B)_τ的取值变化，确定在修正时间范围内，N个租户的流量行为中是否存在DDoS攻击行为，以及各租户的流量行为与可能存在的DDoS攻击行为的攻击特征之间的关联。

综上，通过对观察时间范围内的多租户的流量形式的DDoS攻击行为检测和修正时间范围内的多租户的流量行为的DDoS攻击行为的检测，并分别建立观察时间范围内和修正时间范围内N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联，进而实现了对连续时间内DDoS攻击行为的攻击特征的关联。

通过上述描述不难发现，本实施例提供的DDoS攻击检测方法，在进行DDoS攻击检测时，通过基于多租户的流量行为来确定能够体现各租户的流量行为与DDoS攻击行为在时间维度上关联性的信息熵，并根据该信息熵对多租户的流量行为进行DDoS攻击行为检测，从而解决了现有基于IP地址(Internet Protocol Address，互联网协议地址)、端口号、MAC地址(Media Access Control Address，直译为媒体存取控制位址，也称为局域网地址)、通用协议、时间戳等传统检测方式中，无法精准匹配不同租户的私有协议特性与业务逻辑特性的问题。

此外，本实施例提供的DDoS攻击检测方法，由于信息熵是基于多租户的流量行为确定的，而在该领域中，流量行为又分为数据域流量和信令域流量，因此基于多租户的流量行为确定的信息熵能够体现数据域流量和信令域流量之间的关联性，从而在基于多租户的流量行为确定的信息熵进行DDoS攻击行为检测时，能够建立多租户的流量行为与DDoS攻击行为的攻击特征之间的关联，进而发现DDoS攻击行为与流量行为之间的相关性和触发性，从而解决了传统检测方式中，无法发现隐藏在租户对应的数据域流量中与对应的信令域流量中的DDoS攻击行为，进而导致检测不精确的问题。

此外，基于本实施例提供的DDoS攻击检测方法，由于能够及时发现DDoS攻击，从而可以更好的保障5G网络的可用性。

此外，通过上述描述不难发现，本实施例提供的DDoS攻击检测方法，通过采用5G网络中简单易获取的源IP地址、目的IP地址、源端口、目的端口、协议作为DDoS行为检测的出发点，通过IP维度、端口维度、IP结合端口多维度空间检测手段关联的方法，输出多租户DDoS检测互作用信息熵，在减少流表输出字段依懒性的前提下，实现连续时间序列检测，明确了不同租户场景下DDoS攻击相互关联的关联度检测模型。

再者，本实施例提供的DDoS攻击检测方法，采用将DDoS空间行为特征进行元组化处理的方式，在整体流时间窗口内对不同租户的异常流量行为进行信息熵定义，并明确互作用可能性大小与信息熵呈现正相关关系，为5G多租户场景下的DDoS攻击触发机制提供了检测思路与方法，且无需相关网络设备提供额外信息字段，数据源类型依懒性较小。

本发明的第二实施例涉及一种DDoS攻击检测方法。第二实施例在第一实施例的基础上做了进一步改进，主要改进之处为：引入了对信息熵的修正流程，在基于DDoS空间特征参数信息确定信息熵之前，先对DDoS空间特征参数信息进行修正，进而实现了对最终确定的信息熵的修正，从而保证最终的检测结果更加精准。

具体的说，在执行根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵的步骤之前，对DDoS空间特征参数信息进行修正，主要包括以下几个步骤：

步骤1：在所述观察时间范围内，对于记录所述N个租户的流量行为的流表中的每一条数据域流量，提取所述数据域流量的包头，对所述包头进行分析，得到修正参数。

具体的说，上述提取到的修正参数，主要包括确定的观察时间范围或修正时间范围，采样时间间隔和连续时间窗口、DDoS攻击行为对应的攻击特征和基于多租户的流量行为确定的基本监测元组度规的关联检出次数平均值μ、扰动后的熵值精准度σ等。

步骤2：根据所述修正参数，确定观察时间范围内的扰动因子阈值。

具体的说，本实施例中所说的扰动因子阈值，主要由DDoS攻击行为对应的攻击特征和基于多租户的流量行为确定的基本监测元组度规的关联检出次数平均值μ、扰动后的熵值精准度σ，以及预先定义的扰动因子β共同确定的。

关于在所述观察时间范围内确定的扰动因子阈值，具体可以根据公式(12)实现：

Th＝(μ+σ)*β (12)

此外，值得一提的是，此处所说的预先定义的观察时间范围内的扰动因子，能够在对信息熵的修正过程中，对于信息熵的影响作用于整个观测时间范围，从而使得确定的扰动因子阈值也能够在对信息熵的修正过程中，对于信息熵的影响作用于整个观测时间范围。

进一步地，在得到DDoS空间特征关联信息之后，按照所述扰动因子的递增进行阈值计算。

具体的，在本实施例中，扰动因子的数值从1.5开始，以修正参数中的时间间隔为单位递增时间，进行递增，即从1.5开始进行每个时间间隔内的递增。

进一步地，在完成上述递增后，分别在扰动因子β<1和扰动因子β＝1的状态下，对扰动因子阈值进行加权赋值。

具体的，在扰动因子β<1的状态下，将扰动因子阈值赋值为Th_j＝C_j/β；在扰动因子β＝1的状态下，将扰动因子阈值赋值为Th_j＝C_j*β，进而完成对扰动函数的初始化。

步骤3：根据所述扰动因子阈值，分别对所述相同纬度下的DDoS空间特征关联信息和所述不同纬度下的DDoS空间特征关联信息进行修正。

具体的说，步骤3中根据所述扰动因子阈值，分别对所述相同纬度下的DDoS空间特征关联信息和所述不同纬度下的DDoS空间特征关联信息进行修正的操作，具体如下：

首先，对于每一个DDoS空间特征关联信息(包括相同维度下的和不同维度下的)，将其与扰动因子阈值进行比较。

相应地，对于DDoS空间特征关联信息大于扰动因子阈值的情况，在观察时间范围内进行时间窗口移动，移动后直接计算观察时间范围内的信息熵，得到第一次关联修正的结果。

接着，在第一次关联修正的结果下，判断在第四个观察时间点对应的时间窗口接收到的DDoS空间特征关联信息是否小于扰动因子阈值。

相应地，若小于，则进行第二次修正。

具体的说，第二次修正是发生在修正时间范围内的时间窗口内的，具体的修正过程，与上述在观察时间范围为进行的时间窗口的移动类似，此处不再赘述。

接着，判断当前是否存在扰动因子β<1。

相应地，若存在，则触发扰动因子阈值与DDoS空间特征关联信息进行点乘运算，至此完成第二次修正结果与第一次修正结果的合并。

综上，在完成上述修正步骤后，便可以根据修正后的所述相同纬度下的DDoS空间特征关联信息执行确定观察信息熵的步骤，根据修正后的所述不同纬度下的DDoS空间特征关联信息执行确定修正信息熵的步骤，进而得到修正后的信息熵。

相应地，在基于修正后的信息熵对多租户的流量行为进行DDoS攻击行为检测时，若在修正时间范围内，基于能够体现时间维度和空间维度的DDoS空间特征关联信息确定的信息熵等于1，则认定当前流量行为是DDoS攻击行为，反之则输出多租户的流量行为与可能是DDoS攻击行为之间的关联结果。

由此，本实施例提供的DDoS攻击检测方法，通过对确定信息熵的DDoS空间特征关联信息进行修正，从而实现了对最终确定的信息熵的修正，最终利用修正后的信息熵进行DDoS攻击行为检测，从而有效降低了误检测的几率，进一步提高了检测的精确性。

此外，本实施例提供的DDoS攻击检测方法，通过引入观测时间与修正时间的方式，结合不同DDoS攻击空间特征的度规值，即上述所说的DDoS空间特征关联信息，在观测时间范围内进行特征修正扰动函数的定义与初始化，在修正时间范围内完成观测时间范围的扰动函数一次赋值以确认观测时间范围的信息熵初步偏离范围，在修正时间自身范围内完成观测时间范围内信息熵的二次修正，并反馈至观测时间范围内，将修正结论及时内化至观测时间中，在降低观测时间范围内的误报同时，也形成了反馈式修正，使得修正能够持续下去，进而保证了使用过程中的持续修正，实现了修正反馈结果与多租户DDoS互作用监测的互补，使得5G网络切片能够更好的适用于各种场合，即具有较高的适配性。

此外，应当理解的是，上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。

本发明第三实施例涉及一种DDoS攻击检测装置，如图3所示，包括：确定模块301和检测模块302。

其中，确定模块，用于基于N个租户的流量行为，确定信息熵；检测模块，用于基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测，并建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联。

需要说明的是，在本实施例中，为了实现精准匹配不同租户的私有协议特性与业务逻辑特性的问题，所述N为大于1的正整数，即信息熵是基于多租户的流量行为确定的。

此外，在本领域中，由于流量行为包括数据域流量和信令域流量，因而基于多租户的流量行为确定的信息熵能够体现数据域流量和信令域流量之间的关联性。

此外，在本实施例中，所述信息熵能够体现所述N个租户的流量行为与DDoS攻击行为在时间维度上的关联性，因而在基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测时，能够建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联。

此外，在另一个例子中，所述信息熵包括观察信息熵和修正信息熵。

相应地，确定模块301在基于N个租户的流量行为，确定信息熵时，具体为：

基于所述N个租户的流量行为，定义基本监测元组度规；

基于所述N个租户的流量行为和所述基本监测元组度规，确定观察时间范围和修正时间范围；

对于每一个租户，根据所述租户的流量行为和所述基本监测元组度规之间的关系，确定所述租户的流量行为在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式；

将所述关联形式和预先定义的DDoS攻击信息记录到所述基本监测元组度规中，得到DDoS空间特征关联信息；

根据时间维度和空间维度的关联关系，在所述观察时间范围内，分别获取所述基本监测元组度规中相同纬度下的DDoS空间特征关联信息和不同纬度下的DDoS空间特征关联信息；

根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵。

此外，在另一个例子中，所述基于所述N个租户的流量行为，定义基本监测元组度规，具体为：

从记录所述N个租户的流量行为的流表中获取每一个租户的流量行为对应的攻击源IP地址、攻击目的IP地址、攻击目的端口和攻击源端口；

对于每一个租户，根据所述攻击源IP地址、所述攻击目的IP地址、所述攻击目的端口和所述攻击源端口，定义所述基本监测元组度规。

此外，在另一个例子中，所述基于所述N个租户的流量行为和所述基本监测元组度规，确定观察时间范围和修正时间范围，具体为：

对于记录所述N个租户的流量行为的流表中的每一条数据域流量，定义单位观察时间；

基于所述单位观察时间和所述基本监测元组度规，确定所述观察时间范围和所述修正时间范围。

此外，在另一个例子中，所述对于每一个租户，根据所述租户的流量行为和所述基本监测元组度规之间的关系，确定所述租户的流量行为在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式，具体为：

对于每一个租户，统计所述租户的流量行为对应的传输包数；

根据所述传输包数和所述基本监测元组度规之间的关系，确定所述传输包数在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式。

此外，在另一个例子中，所述预先定义的DDoS攻击信息包括攻击源IP地址个数在全量源IP地址中的第一占比、攻击包个数在全量传输包中的第二占比、攻击源IP地址与业务协议个数的第三占比，所述相同纬度下的DDoS空间特征关联信息确定观察信息熵包括所述第一占比、所述第二占比和所述观察时间范围内出入的传输包数，所述不同纬度下的DDoS空间特征关联信息确定修正信息熵包括所述第三占比和所述观察时间范围内出入的传输包数。

相应地，所述根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵，具体为：

根据所述第一占比、所述第二占比和所述观察时间范围内出入的传输包数，确定观察信息熵；

根据所述第三占比和所述观察时间范围内出入的传输包数，确定修正信息熵；

将所述观察信息熵和所述修正信息作为所述信息熵。

此外，在另一个例子中，DDoS攻击检测装置还包括修正模块。

具体而言，修正模块用于在检测模块302基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测，并建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联之前，执行以下操作：

在所述观察时间范围内定义扰动因子；

在所述观察时间范围内，对于记录所述N个租户的流量行为的流表中的每一条数据域流量，提取所述数据域流量的包头，对所述包头进行分析，得到修正参数；

根据所述修正参数和所述扰动因子，计算DDoS空间特征参数信息；

根据所述DDoS空间特征参数信息，对所述观察信息熵和所述修正信息熵进行修正；

将修正后的所述观察信息熵和修正后的所述修正信息熵进行加权处理，得到加权后的修正信息熵；

判断所述修正信息熵是否满足预设判决要求。

相应地，在所述修正信息熵满足预设判决要求时，通知检测模块302基于所述修正信息熵对所述N个租户的流量行为进行DDoS攻击行为检测，并建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联；否则，重新执行所述根据所述DDoS空间特征参数信息，对所述观察信息熵和所述修正信息熵进行修正的操作。

不难发现，本实施例为与第一或第二实施例相对应的装置实施例，本实施例可与第一或第二实施例互相配合实施。第一或第二实施例中提到的相关技术细节在本实施例中依然有效，为了减少重复，这里不再赘述。相应地，本实施例中提到的相关技术细节也可应用在第一或第二实施例中。

值得一提的是，本实施例中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本发明的创新部分，本实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入，但这并不表明本实施例中不存在其它的单元。

本发明第四实施例涉及一种DDoS攻击检测设备，如图4所示，包括至少一个处理器401；以及，与所述至少一个处理器401通信连接的存储器402；其中，所述存储器402存储有可被所述至少一个处理器401执行的指令，所述指令被所述至少一个处理器401执行，以使所述至少一个处理器401能够执行上述第一或第二实施例所描述的DDoS攻击检测方法。

其中，存储器402和处理器401采用总线方式连接，总线可以包括任意数量的互联的总线和桥，总线将一个或多个处理器401和存储器402的各种电路链接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输，进一步，天线还接收数据并将数据传送给处理器。

处理器401负责管理总线和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器402可以被用于存储处理器401在执行操作时所使用的数据。

本申请的第五实施例涉及一种计算机可读存储介质，存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例所描述的人像图片质量评估方法。

本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域的普通技术人员可以理解，上述各实施例是实现本发明的具体实施例，而在实际应用中，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。

Claims (10)

1.一种DDoS攻击检测方法，其特征在于，包括：

基于N个租户的流量行为，确定信息熵，所述N为大于1的正整数，所述信息熵能够体现所述N个租户的流量行为与DDoS攻击行为在时间维度上的关联性；

基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测，并建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联。

2.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述信息熵包括观察信息熵和修正信息熵；

所述基于N个租户的流量行为，确定信息熵，包括：

基于所述N个租户的流量行为，定义基本监测元组度规；

基于所述N个租户的流量行为和所述基本监测元组度规，确定观察时间范围和修正时间范围；

对于每一个租户，根据所述租户的流量行为和所述基本监测元组度规之间的关系，确定所述租户的流量行为在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式；

将所述关联形式和预先定义的DDoS攻击信息记录到所述基本监测元组度规中，得到DDoS空间特征关联信息；

根据时间维度和空间维度的关联关系，在所述观察时间范围内，分别获取所述基本监测元组度规中相同纬度下的DDoS空间特征关联信息和不同纬度下的DDoS空间特征关联信息；

根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵。

3.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述基于所述N个租户的流量行为，定义基本监测元组度规，包括：

从记录所述N个租户的流量行为的流表中获取每一个租户的流量行为对应的攻击源IP地址、攻击目的IP地址、攻击目的端口和攻击源端口；

对于每一个租户，根据所述攻击源IP地址、所述攻击目的IP地址、所述攻击目的端口和所述攻击源端口，定义所述基本监测元组度规。

4.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述基于所述N个租户的流量行为和所述基本监测元组度规，确定观察时间范围和修正时间范围，包括：

对于记录所述N个租户的流量行为的流表中的每一条数据域流量，定义单位观察时间；

基于所述单位观察时间和所述基本监测元组度规，确定所述观察时间范围和所述修正时间范围。

5.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述对于每一个租户，根据所述租户的流量行为和所述基本监测元组度规之间的关系，确定所述租户的流量行为在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式，包括：

对于每一个租户，统计所述租户的流量行为对应的传输包数；

根据所述传输包数和所述基本监测元组度规之间的关系，确定所述传输包数在所述观察时间范围和所述修正时间范围的分布形式，得到所述DDoS攻击行为的攻击特征在时间维度上的关联形式。

6.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述预先定义的DDoS攻击信息包括攻击源IP地址个数在全量源IP地址中的第一占比、攻击包个数在全量传输包中的第二占比、攻击源IP地址与业务协议个数的第三占比，所述相同纬度下的DDoS空间特征关联信息确定观察信息熵包括所述第一占比、所述第二占比和所述观察时间范围内出入的传输包数，所述不同纬度下的DDoS空间特征关联信息确定修正信息熵包括所述第三占比和所述观察时间范围内出入的传输包数；

所述根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵，包括：

根据所述第一占比、所述第二占比和所述观察时间范围内出入的传输包数，确定观察信息熵；

根据所述第三占比和所述观察时间范围内出入的传输包数，确定修正信息熵；

将所述观察信息熵和所述修正信息作为所述信息熵。

7.根据权利要求2所述的DDoS攻击检测方法，其特征在于，在所述根据所述相同纬度下的DDoS空间特征关联信息确定观察信息熵，根据所述不同纬度下的DDoS空间特征关联信息确定修正信息熵，得到所述信息熵之前，所述方法还包括：

在所述观察时间范围内，对于记录所述N个租户的流量行为的流表中的每一条数据域流量，提取所述数据域流量的包头，对所述包头进行分析，得到修正参数；

根据所述修正参数，确定观察时间范围内的扰动因子阈值；

根据所述扰动因子阈值，分别对所述相同纬度下的DDoS空间特征关联信息和所述不同纬度下的DDoS空间特征关联信息进行修正；

在对所述相同纬度下的DDoS空间特征关联信息和所述不同纬度下的DDoS空间特征关联信息进行修正后，根据修正后的所述相同纬度下的DDoS空间特征关联信息执行确定观察信息熵，根据修正后的所述不同纬度下的DDoS空间特征关联信息执行确定修正信息熵，得到所述信息熵的步骤。

8.一种DDoS攻击检测装置，其特征在于，包括：

确定模块，用于基于N个租户的流量行为，确定信息熵，所述N为大于1的正整数，所述信息熵能够体现所述N个租户的流量行为与DDoS攻击行为在时间维度上的关联性；

检测模块，用于基于所述信息熵对所述N个租户的流量行为进行DDoS攻击行为检测，并建立所述N个租户的流量行为与所述DDoS攻击行为的攻击特征之间的关联。

9.一种DDoS攻击检测设备，其特征在于，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1至7任一所述的DDoS攻击检测方法。

10.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7任一项所述的DDoS攻击检测方法。

Images