CN112995235B - 一种对DDoS攻击进行检测的方法、装置及电子设备 - Google Patents
一种对DDoS攻击进行检测的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN112995235B CN112995235B CN202110550309.8A CN202110550309A CN112995235B CN 112995235 B CN112995235 B CN 112995235B CN 202110550309 A CN202110550309 A CN 202110550309A CN 112995235 B CN112995235 B CN 112995235B
- Authority
- CN
- China
- Prior art keywords
- attack
- area network
- local area
- report
- time period
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对DDoS攻击进行检测的方法、装置及电子设备,该方法包括:在局域网的边缘节点上统计入口报告,并以业务服务器为索引对入口报告进行统计,得到局域网在某个周期的防御面报告,通过检测防御面报告与预设的攻击特征库中的类型的匹配情况,并在没有与攻击特征库中的攻击类型相匹配的情况下,再与预先设置的动态基线进行比较,确定是否存在DDoS攻击。由于边缘节点是局域网通信链路中数据传输的起点,通过对边缘节点的数据进行检测,可以提前对DDoS攻击进行防御,进而避免局域网的通信链路进一步的受到侵占。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种对DDoS攻击进行检测的方法、装置及电子设备。
背景技术
分布式拒绝服务(英文名称:Distributed Denial of Service,英文简称: DDoS)攻击距今已存在超过20年,并且随着物联网等技术的发展,其攻击量级之大、分布范围之广、破坏性之严重,以及越发低成本的发起方式,都已经使得DDoS攻击成为网络安全中一个棘手的问题。
为了降低DDoS攻击的影响,局域网在运行的过程中,需要对DDoS攻击进行检测,现有技术中通常会在靠近服务器端的局域网末端进行DDoS攻击检测,但是在该种检测方式下,即使检测出来攻击,但是局域网的通信链路已经被污染,资源已经被侵占。
发明内容
有鉴于此,本发明实施例公开了一种对DDoS攻击进行检测的方法、装置及电子设备,通过对局域网边缘节点的入口报告进行分析,检测DDoS攻击,由于在局域网链路的数据起始位置检测是否存在攻击的情况,在此情况下,可以提前对DDoS攻击进行防御,进而避免局域网的通信链路进一步的受到侵占。
本发明实施例公开了一种对DDoS攻击进行检测的方法,包括:
区块链平台接收局域网的边缘节点上传的入口报告;所述入口报告是每间隔预设的时间周期在边缘节点上统计的,所述入口报告包括转发到业务服务器IP地址的数据包的流量信息;
对各个边缘节点上传的入口报告进行统计,得到局域网在预设的时间周期内的防御面报告;所述防御面报告包括到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;
将局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型进行匹配;
若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,表示局域网存在攻击类型已知的DDoS攻击;所述DDoS攻击的攻击类型为所述攻击特征库中与所述局域网在预设的时间周期内的防御面报告相匹配的攻击类型;
若局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型不匹配的情况下,将所述局域网在预设时间周期内的防御面报告与预设的动态基线进行比对;所述动态基线表示局域网处于正常状态下的标准防御面报告,所述标准防御面报告包括:达到每个业务服务器IP地址的数据包的标准流量信息和每个边缘节点的数据包的标准流量比例;
若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示局域网存在攻击类型未知的DDoS攻击。
可选的,所述动态基线的获取方法包括:
获取预设时间段内局域网处于正常运行状态下的防御面报告;
计算预设时间段内局域网处于正常运行状态下的防御面报告中各项信息的平均值,得到局域网的动态基线。
可选的,所述攻击特征库的构建方法包括:
将局域网在任意一个时间周期内的防御面报告与预设的动态基线进行比对;
若任意一个时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示存在DDoS攻击,并且确定所述DDoS攻击的类型;
将与动态基线的相似度小于预设的第一阈值的防御面报告和对应的攻击类型存储到攻击特征库中。
可选的,还包括:
若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,将预设的时间周期内的防御面报告存到所述攻击特征库中的目标攻击类型下;所述预设的时间周期内的防御面报告与目标攻击类型相匹配;
若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值的情况下,将预设时间周期内的防御面报告添加到所述攻击特征库中,并设置所述防御面报告的攻击类型。
可选的,生成上传到区块链的入口报告对应的哈希值。
本发明实施例公开了一种对DDoS攻击进行检测的装置,包括:
接收单元,用于区块链平台接收局域网的边缘节点上传的入口报告;所述入口报告是每间隔预设的时间周期在边缘节点上统计的,所述入口报告包括转发到业务服务器IP地址的数据包的流量信息;
统计单元,用于对各个边缘节点上传的入口报告进行统计,得到局域网在预设的时间周期内的防御面报告;所述防御面报告包括到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;
匹配单元,用于将局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型进行匹配;
第一DDoS攻击确定单元,用于若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,表示局域网存在攻击类型已知的DDoS攻击;所述DDoS攻击的攻击类型为所述攻击特征库中与所述局域网在预设的时间周期内的防御面报告相匹配的攻击类型;
第一比对单元,用于若局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型不匹配的情况下,将所述局域网在预设时间周期内的防御面报告与预设的动态基线进行比对;所述动态基线表示局域网处于正常状态下的标准防御面报告,所述标准防御面报告包括:达到每个业务服务器IP地址的数据包的标准流量信息和每个边缘节点的数据包的标准流量比例;
第二DDoS攻击确定单元,用于若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示局域网存在攻击类型未知的DDoS攻击。
可选的,还包括:
获取单元,用于获取预设时间段内局域网处于正常运行状态下的防御面报告;
计算单元,用于计算预设时间段内局域网处于正常运行状态下的防御面报告中各项信息的平均值,得到局域网的动态基线。
可选的,还包括:
第二比对单元,用于将局域网在任意一个时间周期内的防御面报告与预设的动态基线进行比对;
第三DDoS攻击确定单元,用于若任意一个时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示存在DDoS攻击,并且确定所述DDoS攻击的类型;
第一存储单元,用于将与动态基线的相似度小于预设的第一阈值的防御面报告和对应的攻击类型存储到攻击特征库中。
可选的,还包括:
第二存储单元,用于若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,将预设的时间周期内的防御面报告存到所述攻击特征库中的目标攻击类型下;所述预设的时间周期内的防御面报告与目标攻击类型相匹配;
第三存储单元,用于若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值的情况下,将预设时间周期内的防御面报告添加到所述攻击特征库中,并设置所述防御面报告的攻击类型。
本发明实施例公开了一种电子设备,包括:
存储器和处理器;
所述存储器用于存储程序,所述处理器在执行所述处理器存储的程序时执行上述所述的一种对DDoS攻击进行检测的方法。
本发明实施例公开了一种对DDoS攻击进行检测的方法、装置及电子设备,该方法包括:通过在局域网的边缘节点上统计入口报告,并对入口报告发送到区块链平台上进行分析,其中,以业务服务器为索引对入口报告进行统计,得到局域网在某个周期的防御面报告,该防御面报告包括到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;并通过检测防御面报告与预设的攻击特征库中的类型的匹配情况,并在没有与攻击特征库中的攻击类型相匹配的情况下,再与预先设置的动态基线进行比较,确定是否存在DDoS攻击。由于边缘节点是局域网通信链中数据传输的起点,通过对边缘节点的数据进行检测,从而可以在DDoS攻击的恶意数据到达局域网链路中其它节点之前发现可能存在的DDoS攻击,在此情况下,可以提前对DDoS攻击进行防御,进而避免局域网的通信链路进一步的受到侵占。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本发明实施例提供的一种对DDoS攻击进行检测的方法的流程示意图;
图2示出了一种局域网的链路结构的示意图;
图3示出了本发明实施例提供的一种构建攻击特征库的方法的流程示意图;
图4示出了本发明实施例提供的一种对DDoS攻击进行检测的装置的结构示意图;
图5示出了本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1,示出了本发明实施例提供的一种对DDoS攻击进行检测的方法的流程示意图,在本实施例中,该方法包括:
S101:接收局域网的边缘节点上传的入口报告;
其中,入口报告为每间隔预设的时间周期在边缘节点上统计的,所述入口报告包括转发到业务服务器IP地址的数据包的流量信息。
本实施例中,边缘节点上设置有入口报告的获取程序,边缘节点每间隔预设的时间周期统计入口报告,其中,统计的入口报告包括转发到业务服务器IP地址的数据包的流量信息。
边缘节点为局域网中进行数据传输的起始节点,例如,如图2所示为一个局域网的链路图,其中,路由器节点101、路由器节点102、路由器节点103、路由器节点104、路由器节点105为局域网中的边缘节点。其中,路由器节点106、路由器节点107、路由器节点108、路由器节点109和路由器节点110也是局域网路径上的节点,但不是边缘节点。
并且,如图2所示,业务服务器为服务器1、服务器2以及被攻击的服务器X和被攻击的服务器Y。
举例说明:转发到业务服务器IP(中文名称:网际互连协议,英文全称:InternetProtocol)地址的数据包的流量信息包括多种,主要是包括业务服务器IP地址的收发包的情况,不同类型的数据包的数量,例如可以包括:达到某个业务服务器IP地址的数据包的个数、由业务服务器IP地址发送的数据包的个数,该业务IP地址收、发包的比例,达到业务服务器IP地址的数据包中SYN包的数量、ACK包的数量;达到业务服务器IP地址的数据包中UDP包的数量、ICMP包的数量;达到业务服务器IP地址的数据包中不同长度的数据包的数量。
如图2所示,以边缘路由器节点101为例,从边缘路由器节点101获取到的入口报告包括:
边缘路由器101:
目的IP 1.1.1.1 {
到达该IP地址的数据包个数为X,由该IP地址发送的数据包个数为Y,收发包比例X/Y;
到达该IP地址的数据包中SYN(中文名称:同步序列编号,英文名称:SynchronizeSequence Numbers)包数量为A,ACK(中文名称:即是确认字符,英文名称:Acknowledgecharacter)包数量为B;
到达该IP地址的数据包中UDP(中文名称:用户数据报协议,英文名称:UserDatagram Protocol)包数量为C,ICMP(中文名称:网络控制报文协议,英文名称:InternetControl Message Protocol)包数量为D;
到达该IP地址的数据包中长度为0-99的数量为E、100-199的数量为F…}
边缘节点再统计了入口报告后,会将入口报告发给送给区块链平台,区块链平台接收局域网的边缘节点上传的入口报告。
S102:对各个边缘节点上传的入口报告进行统计,得到局域网在预设时间周期内的防御面报告;
其中,防御面报告包括:到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;
本实施例中,区块链平台在对接收到的边缘节点上传的入口报告进行统计时,以业务服务器IP地址为索引对数据进行统计,统计后的防御面报告包括:到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例,其中,到达每个业务服务器IP地址的数据包的流量信息还可以包括:达到业务服务器IP地址的收发包的流量比例,达到业务服务器IP地址的不同类型的数据包的流量比例,达到业务服务器IP地址的不同长度的数据包的数量。
举例说明:某个第一周期内防御面报告的格式为:
入口101流量比例a%,入口102流量比例b% …
目的IP 1.1.1.1 {
到达该IP地址的收发包比例x/y;
到达该IP地址的数据包中SYN包比例为c,ACK包比例为d;
到达该IP地址的数据包中UDP包比例为e,ICMP包比例为f;
到达该IP地址的数据包中长度为0-99的数量为g、100-199的数量为h…}
IP 2.2.2.2{
与上述IP 1.1.1.1为同样形式的内容
}。
S103:将局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型进行匹配;
本实施例中,攻击特征库中预先存储有不同攻击类型的防御面报告,其中,不同攻击类型的防御面报告表示在某种攻击类型下产生的防御面报告。
本实施例中,构建攻击特征库可以理解为在攻击特征库中存储不同攻击类型的防御面报告,其中,构建攻击特征库的方法会在下文中进行详细的介绍,本实施例中不再赘述。
S104:若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,表示局域网存在攻击类型已知的DDoS攻击;
并且,若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配,那么局域网当前存在的DDoS攻击的攻击类型为所述攻击特征库中与所述局域网在预设的时间周期内的防御面报告相匹配的攻击类型。
通过上述介绍而控制,攻击特征库中存储有不同攻击类型的防御面报告,若局域网在预设的时间周期内的防御面报告与攻击特征类型对应的防御面报告匹配的情况下,则表示局域网存在DDoS攻击。
其中,判别局域网在预设的时间周期内的防御面报告与攻击特征库中攻击类型对应的防御面报告是否能够匹配的方法包括多种,本实施例中不进行限定,例如可以通过计算相似度的方法,判别二者是否能够匹配。
其中,通过相似性的方法,判别是否能够匹配的过程可以包括:
计算局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型对应的防御面报告的相似度;
若该相似度大于预设的第二阈值,则表示局域网在预设的时间周期内的防御面报告与攻击特征库中攻击类型能够匹配,即局域网当前存在DDoS攻击。
S105:若局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型不相匹配的情况下,将所述局域网在预设时间周期内的防御面报告与预设的动态基线进行比对;所述动态基线表示局域网处于正常状态下的标准防御面报告,所述标准防御面报告包括:达到每个业务服务器IP地址的数据包的标准流量信息和每个边缘节点的数据包的标准流量比例;
本实施例中,动态基线可以是在局域网处于正常运行状态时(即不存在DDoS攻击的情况下)通过统计局域网在某段时间内的防御面报告得到的,优选的,动态基线的确定过程可以包括:
获取预设时间段内局域网处于正常运行状态下的防御面报告;
计算预设时间段内局域网处于正常运行状态下的防御面报告中各项信息的平均值,得到局域网的动态基线。
其中,需要知道的是,预设时间段为大于多个预设的时间周期的时间长度,每个时间周期可以统计得到局域网的防御面报告,在预设的时间段内可以得到局域网统计的多个防御面报告,在一种实施方式中可以通过计算每个防御面报告中相对应的项目的平均值,确定标准防御面报告,即局域网的动态基线。
具体来说,防御面报告包括的项目为:到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例,其中,到达每个业务服务器IP地址的数据包的流量信息还可以包括如下的项目:达到业务服务器IP地址的收发包的流量比例,达到业务服务器IP地址的不同类型的数据包的流量比例,达到业务服务器IP地址的不同长度的数据包的数量。
举例说明:在某个时间段中的第一周期内防御面报告的格式为:
入口101流量比例a1%,入口102流量比例b1% …
目的IP 1.1.1.1 {
到达该IP地址的收发包比例x1/y1;
到达该IP地址的数据包中SYN包比例为c1,ACK包比例为d1;
到达该IP地址的数据包中UDP包比例为e1,ICMP包比例为f1;
到达该IP地址的数据包中长度为0-99的数量为g1、100-199的数量为h1…}
IP 2.2.2.2{
与上述IP 1.1.1.1为同样形式的内容
}。
在某个时间段中的第二周期内防御面报告的格式为:
入口101流量比例a2%,入口102流量比例b2% …
目的IP 1.1.1.1 {
到达该IP地址的收发包比例x2/y2;
到达该IP地址的数据包中SYN包比例为c2,ACK包比例为d2;
到达该IP地址的数据包中UDP包比例为e2,ICMP包比例为f2;
到达该IP地址的数据包中长度为0-99的数量为g2、100-199的数量为h2…}
IP 2.2.2.2{
与上述IP 1.1.1.1为同样形式的内容
}。
那么计算标准防御面报告时,入口101的标准流量比例可以统计计算a1%和a2%的平均值得到,入口102的标准流量比例可以通过b1%和b2%计算得到,到达该IP地址的收发包比例可以通过计算x1/y1和x2/y2的平均值得到,同理,防御面报告中的每一项可以通过计算平均值得到。
S106:若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示局域网存在DDoS攻击。
本实施例中,通过在局域网的边缘节点上统计入口报告,并对入口报告发送到区块链平台上进行分析,其中,以业务服务器为索引对入口报告进行统计,得到局域网在某个周期的防御面报告,该防御面报告包括到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;并通过检测防御面报告与预设的攻击特征库中的类型的匹配情况,以及在没有与攻击特征库中的攻击类型匹配的情况下与预先设置的动态基线进行比较,确定是否存在DDoS攻击。由于边缘节点是局域网通信链中数据传输的起点,通过对边缘节点的数据进行检测,从而可以在DDoS攻击的恶意数据到达局域网链路中其它节点之前发现可能存在的DDoS攻击,在此情况下,可以提前对DDoS攻击进行防御,进而避免局域网的通信链路进一步的受到侵占。进一步的,为了避免信息的篡改,在区块链平台接收到入口报告后,生成入口报告相应的哈希值。
参考图3,示出了本发明实施例提供的一种构建攻击特征库的方法的流程示意图,在本实施例中,该方法包括:
S301:将局域网在任意一个时间周期内的防御面报告与预设的动态基线进行比对;
S302:若任意一个时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示存在DDoS攻击,并且确定所述DDoS攻击的类型;
S303:将与动态基线的相似度小于预设的第一阈值的防御面报告和对应的攻击类型存储到攻击特征库中。
通过上述介绍可知,上述实施例中公开了动态基线的确定方法,即动态基线表示局域网处于正常状态下的标准防御面报告,所述标准防御面报告包括:达到每个业务服务器IP地址的数据包的标准流量信息和每个边缘节点的数据包的标准流量比例。
在防御面报告与动态基线的相似度小于预设的第一阈值时,则表示存在DDoS攻击,在检测到存在DDoS攻击后,可以通过多种方式确定DDoS攻击的类型,本实施例中不进行限定,例如可以通过经验确定,或者通过预先设置的不同攻击类型的特点确定。
本实施例中,为了不断的丰富攻击特征库中的攻击类型,以及不断的丰富每个攻击类型可能防御面报告的表现形式,在通过上述方法检测局域网是否存在DDoS攻击的情况下,将检测到的DDoS攻击的防御面报告存入攻击特征库中,优选的,还包括:
若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,将预设的时间周期内的防御面报告存到所述攻击特征库中的目标攻击类型下;所述预设的时间周期内的防御面报告与目标攻击类型相匹配;若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值的情况下,将预设时间周期内的防御面报告添加到所述攻击特征库中,并设置所述防御面报告的攻击类型。
本实施例中,通过构建攻击特征库,可以用于对DDoS攻击进行检测,并且通过不断地丰富攻击特征库中攻击类型的防御面报告,提升了对DDoS攻击进行检测的准确度。
参考图4,示出了本发明实施例提供的一种对DDoS攻击进行检测的装置的结构示意图,在本实施例中,该装置包括:
接收单元401,用于区块链平台接收局域网的边缘节点上传的入口报告;所述入口报告是每间隔预设的时间周期在边缘节点上统计的,所述入口报告包括转发到业务服务器IP地址的数据包的流量信息;
统计单元402,用于对各个边缘节点上传的入口报告进行统计,得到局域网在预设的时间周期内的防御面报告;所述防御面报告包括到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;
匹配单元403,用于将局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型进行匹配;
第一DDoS攻击确定单元404,用于若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,表示局域网存在攻击类型已知的DDoS攻击;所述DDoS攻击的攻击类型为所述攻击特征库中与所述局域网在预设的时间周期内的防御面报告相匹配的攻击类型;
第一比对单元405,用于若局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型不匹配的情况下,将所述局域网在预设时间周期内的防御面报告与预设的动态基线进行比对;所述动态基线表示局域网处于正常状态下的标准防御面报告,所述标准防御面报告包括:达到每个业务服务器IP地址的数据包的标准流量信息和每个边缘节点的数据包的标准流量比例;
第二DDoS攻击确定单元406,用于若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示局域网存在攻击类型未知的DDoS攻击。
可选的,还包括:
获取单元,用于获取预设时间段内局域网处于正常运行状态下的防御面报告;
计算单元,用于计算预设时间段内局域网处于正常运行状态下的防御面报告中各项信息的平均值,得到局域网的动态基线。
可选的,还包括:
第二比对单元,用于将局域网在任意一个时间周期内的防御面报告与预设的动态基线进行比对;
第三DDoS攻击确定单元,用于若任意一个时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示存在DDoS攻击,并且确定所述DDoS攻击的类型;
第一存储单元,用于将与动态基线的相似度小于预设的第一阈值的防御面报告和对应的攻击类型存储到攻击特征库中。
可选的,还包括:
第二存储单元,用于若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,将预设的时间周期内的防御面报告存到所述攻击特征库中的目标攻击类型下;所述预设的时间周期内的防御面报告与目标攻击类型相匹配;
第三存储单元,用于若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值的情况下,将预设时间周期内的防御面报告添加到所述攻击特征库中,并设置所述防御面报告的攻击类型。
本实施例的装置,通过在局域网的边缘节点上统计入口报告,并对入口报告发送到区块链平台上进行分析,其中,以业务服务器为索引对入口报告进行统计,得到局域网在某个周期的防御面报告,该防御面报告包括到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;并通过检测防御面报告与预设的攻击特征库中的类型的匹配情况,并在没有与攻击特征库中的攻击类型相匹配的情况下,再与预先设置的动态基线进行比较,确定是否存在DDoS攻击。由于边缘节点是局域网通信链中数据传输的起点,通过对边缘节点的数据进行检测,从而可以在DDoS攻击的恶意数据到达局域网链路中其它节点之前发现可能存在的DDoS攻击,进而避免DDoS攻击对局域网的通信链路造成影响。
参考图5,示出了本发明实施例公开的一种电子设备的结构示意图,在本实施例中,该电子设备包括:
存储器501和处理器502;
所述存储器用于存储程序,所述处理器在执行所述存储器存储的程序时执行上述所述的一种对DDoS攻击进行检测的方法,本实施例中不再赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种对DDoS攻击进行检测的方法,其特征在于,包括:
区块链平台接收局域网的边缘节点上传的入口报告;所述入口报告是每间隔预设的时间周期在边缘节点上统计的,所述入口报告包括转发到业务服务器IP地址的数据包的流量信息;
对各个边缘节点上传的入口报告进行统计,得到局域网在预设的时间周期内的防御面报告;所述防御面报告包括到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;
将局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型进行匹配;
若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,表示局域网存在攻击类型已知的DDoS攻击;所述DDoS攻击的攻击类型为所述攻击特征库中与所述局域网在预设的时间周期内的防御面报告相匹配的攻击类型;
若局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型不匹配的情况下,将所述局域网在预设时间周期内的防御面报告与预设的动态基线进行比对;所述动态基线表示局域网处于正常状态下的标准防御面报告,所述标准防御面报告包括:达到每个业务服务器IP地址的数据包的标准流量信息和每个边缘节点的数据包的标准流量比例;
若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示局域网存在攻击类型未知的DDoS攻击。
2.根据权利要求1所述的方法,其特征在于,所述动态基线的获取方法包括:
获取预设时间段内局域网处于正常运行状态下的防御面报告;
计算预设时间段内局域网处于正常运行状态下的防御面报告中各项信息的平均值,得到局域网的动态基线。
3.根据权利要求1所述的方法,其特征在于,所述攻击特征库的构建方法包括:
将局域网在任意一个时间周期内的防御面报告与预设的动态基线进行比对;
若任意一个时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示存在DDoS攻击,并且确定所述DDoS攻击的类型;
将与动态基线的相似度小于预设的第一阈值的防御面报告和对应的攻击类型存储到攻击特征库中。
4.根据权利要求1所述的方法,其特征在于,还包括:
若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,将预设的时间周期内的防御面报告存到所述攻击特征库中的目标攻击类型下;所述预设的时间周期内的防御面报告与目标攻击类型相匹配;
若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值的情况下,将预设时间周期内的防御面报告添加到所述攻击特征库中,并设置所述防御面报告的攻击类型。
5.根据权利要求1所述的方法,其特征在于,生成上传到区块链的入口报告对应的哈希值。
6.一种对DDoS攻击进行检测的装置,其特征在于,包括:
接收单元,用于区块链平台接收局域网的边缘节点上传的入口报告;所述入口报告是每间隔预设的时间周期在边缘节点上统计的,所述入口报告包括转发到业务服务器IP地址的数据包的流量信息;
统计单元,用于对各个边缘节点上传的入口报告进行统计,得到局域网在预设的时间周期内的防御面报告;所述防御面报告包括到达每个业务服务器IP地址的数据包的流量信息和流入每个边缘节点的数据包的流量占预设的时间周期内流入整个局域网的数据包的流量的比例;
匹配单元,用于将局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型进行匹配;
第一DDoS攻击确定单元,用于若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,表示局域网存在攻击类型已知的DDoS攻击;所述DDoS攻击的攻击类型为所述攻击特征库中与所述局域网在预设的时间周期内的防御面报告相匹配的攻击类型;
第一比对单元,用于若局域网在预设时间周期内的防御面报告与攻击特征库中的攻击类型不匹配的情况下,将所述局域网在预设时间周期内的防御面报告与预设的动态基线进行比对;所述动态基线表示局域网处于正常状态下的标准防御面报告,所述标准防御面报告包括:达到每个业务服务器IP地址的数据包的标准流量信息和每个边缘节点的数据包的标准流量比例;
第二DDoS攻击确定单元,用于若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示局域网存在攻击类型未知的DDoS攻击。
7.根据权利要求6所述的装置,其特征在于,还包括:
获取单元,用于获取预设时间段内局域网处于正常运行状态下的防御面报告;
计算单元,用于计算预设时间段内局域网处于正常运行状态下的防御面报告中各项信息的平均值,得到局域网的动态基线。
8.根据权利要求6所述的装置,其特征在于,还包括:
第二比对单元,用于将局域网在任意一个时间周期内的防御面报告与预设的动态基线进行比对;
第三DDoS攻击确定单元,用于若任意一个时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值,则表示存在DDoS攻击,并且确定所述DDoS攻击的类型;
第一存储单元,用于将与动态基线的相似度小于预设的第一阈值的防御面报告和对应的攻击类型存储到攻击特征库中。
9.根据权利要求6所述的装置,其特征在于,还包括:
第二存储单元,用于若所述局域网在预设的时间周期内的防御面报告与攻击特征库中的攻击类型相匹配的情况下,将预设的时间周期内的防御面报告存到所述攻击特征库中的目标攻击类型下;所述预设的时间周期内的防御面报告与目标攻击类型相匹配;
第三存储单元,用于若局域网在预设时间周期内的防御面报告与动态基线的相似度小于预设的第一阈值的情况下,将预设时间周期内的防御面报告添加到所述攻击特征库中,并设置所述防御面报告的攻击类型。
10.一种电子设备,其特征在于,包括:
存储器和处理器;
所述存储器用于存储程序,所述处理器在执行所述存储器中存储的程序时执行上述权利要求1-5中任意一项所述的一种对DDoS攻击进行检测的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110550309.8A CN112995235B (zh) | 2021-05-20 | 2021-05-20 | 一种对DDoS攻击进行检测的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110550309.8A CN112995235B (zh) | 2021-05-20 | 2021-05-20 | 一种对DDoS攻击进行检测的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995235A CN112995235A (zh) | 2021-06-18 |
| CN112995235B true CN112995235B (zh) | 2021-07-27 |
Family
ID=76337050
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110550309.8A Active CN112995235B (zh) | 2021-05-20 | 2021-05-20 | 一种对DDoS攻击进行检测的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995235B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285606B (zh) * | 2021-12-08 | 2023-08-08 | 深圳市星华时代科技有限公司 | 一种针对物联网管理的DDoS多点协作式防御方法 |
| CN116805923B (zh) * | 2023-08-25 | 2023-11-10 | 淳安华数数字电视有限公司 | 基于边缘计算的宽带通信方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657126A (zh) * | 2017-01-05 | 2017-05-10 | 盛科网络(苏州)有限公司 | 检测及防御DDoS攻击的装置及方法 |
| CN108471427A (zh) * | 2018-06-27 | 2018-08-31 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11563772B2 (en) * | 2019-09-26 | 2023-01-24 | Radware, Ltd. | Detection and mitigation DDoS attacks performed over QUIC communication protocol |
-
2021
- 2021-05-20 CN CN202110550309.8A patent/CN112995235B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657126A (zh) * | 2017-01-05 | 2017-05-10 | 盛科网络(苏州)有限公司 | 检测及防御DDoS攻击的装置及方法 |
| CN108471427A (zh) * | 2018-06-27 | 2018-08-31 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995235A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chen et al. | CBF: a packet filtering method for DDoS attack defense in cloud environment | |
| KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
| CN112995235B (zh) | 一种对DDoS攻击进行检测的方法、装置及电子设备 | |
| US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
| US20130074183A1 (en) | Method and apparatus for defending distributed denial-of-service (ddos) attack through abnormally terminated session | |
| CN106471778B (zh) | 攻击检测装置和攻击检测方法 | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| EP3334117B1 (en) | Method, apparatus and system for quantizing defence result | |
| US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
| JP2018508166A (ja) | アクセス要求を規制するシステムおよび方法 | |
| KR20130006750A (ko) | 서비스 거부 공격 탐지 방법 및 장치 | |
| CN112565307B (zh) | 一种对DDoS攻击进行入口管控的方法及装置 | |
| KR101585700B1 (ko) | 서비스 거부 공격 차단 방법 | |
| Ireland | Intrusion detection with genetic algorithms and fuzzy logic | |
| CN114338120B (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
| Sen | A robust mechanism for defending distributed denial of service attacks on web servers | |
| Guo et al. | Network forensics in MANET: traffic analysis of source spoofed DoS attacks | |
| CN107864110B (zh) | 僵尸网络主控端检测方法和装置 | |
| CN108347359B (zh) | 一种大型网络地址转换出口判断方法及装置 | |
| RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
| Ding et al. | Detecting intruders using a long connection chain to connect to a host | |
| Bukac | Traffic characteristics of common dos tools | |
| KR101400127B1 (ko) | 비정상 데이터 패킷 검출 방법 및 장치 | |
| CN111885092A (zh) | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |