CN113596001A - DDoS攻击检测方法、装置、设备及计算机程序产品 - Google Patents

DDoS攻击检测方法、装置、设备及计算机程序产品 Download PDF

Info

Publication number
CN113596001A
CN113596001A CN202110817481.5A CN202110817481A CN113596001A CN 113596001 A CN113596001 A CN 113596001A CN 202110817481 A CN202110817481 A CN 202110817481A CN 113596001 A CN113596001 A CN 113596001A
Authority
CN
China
Prior art keywords
flow
ddos attack
sampling interval
inflow
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110817481.5A
Other languages
English (en)
Other versions
CN113596001B (zh
Inventor
李淑贤
李金星
顾宁伦
谢懿
魏来
李海明
师文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110817481.5A priority Critical patent/CN113596001B/zh
Publication of CN113596001A publication Critical patent/CN113596001A/zh
Application granted granted Critical
Publication of CN113596001B publication Critical patent/CN113596001B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DDoS攻击检测方法包括:获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;将IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;将样本特征向量输入预训练的分类模型进行模型训练,获得分类结果;若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。本发明还公开了一种DDoS攻击检测装置、设备及计算机程序产品。本发明通过采用与流量大小不相关的样本特征向量作为训练数据,能够避免流量大小的变化对检测结果影响,进而降低对检测结果的误判,提高了DDoS攻击检测的准确率。

Description

DDoS攻击检测方法、装置、设备及计算机程序产品
技术领域
本发明涉及网络安全技术领域,尤其涉及一种DDoS攻击检测方法、装置、设备及计算机程序产品。
背景技术
随着计算机网络技术的快速发展,网络攻击破坏行为也日益增加。其中,DDoS(Distributed Denial of Service,分布式拒绝服务)攻击破坏力惊人、影响巨大,是一种严重威胁网络安全攻击手段。DDoS攻击通常是利用僵尸网络对受害者发送大量的服务请求,造成受害者资源大量消耗,从而无法及时响应合法用户的请求,甚至完全瘫痪。随着网络技术的发展,DDoS攻击流量的也在不断增大,使其越来越难以检测。
目前,DDoS攻击的检测方式主要是人工智能检测方式,通过构造关于DDoS攻击指标的特征向量,训练分类器,最后通过训练好的分类器对流量进行识别,分辨出正常流量和DDoS攻击流量。但是,由于人工智能检测方式中特征向量的特征值都依赖于流量大小,流量大小的变化对检测结果影响较大进而可能对检测结果造成误判,造成DDoS攻击检测的准确率较低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种DDoS攻击检测方法、装置、设备及计算机程序产品,旨在解决现有DDoS攻击检测的准确率较低的技术问题。
为实现上述目的,本发明提供一种DDoS攻击检测方法,所述DDoS攻击检测方法包括以下步骤:
获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;
将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;
将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;
若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。
进一步地,所述获取多个采样间隔对应的IP流平均长度的步骤包括:
获取每一个采样间隔内IP流的第一数量以及IP流所包括IP包的总个数,其中,所述IP流为具有相同五元组的报文集合;
基于所述第一数量以及所述总个数,分别确定每一个采样间隔对应的IP流平均长度。
进一步地,获取各个采样间隔对应的IP包流入流出比增长速率的步骤包括:
获取每一个采样间隔的第一IP包流入流出比,以及每一个采样间隔的前一采样间隔的第二IP包流入流出比;
基于所述第一IP包流入流出比以及所述第二IP包流入流出比,分别确定每一个采样间隔对应的IP包流入流出比增长速率。
进一步地,所述获取每一个采样间隔的第一IP包流入流出比的步骤包括:
获取每一个采样间隔内IP包的流入数量以及流出数量;
基于所述流入数量以及流出数量,分别确定每一个采样间隔对应的第一IP包流入流出比。
进一步地,所述获取各个采样间隔对应的源IP地址熵的步骤包括:
获取每一个采样间隔内IP包的流入数量以及IP流对应的源IP地址集,并获取每一个采样间隔内各个源IP地址在流入IP包中的出现次数;
基于所述出现次数以及所述流入数量,分别确定每一个采样间隔对应的源IP地址熵。
进一步地,所述若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量的步骤之后,还包括:
获取DDoS攻击流量的采样间隔对应的实际流量,并基于所述实际流量确定所述DDoS攻击流量对应的差分流量;
若所述差分流量大于预设阈值,则确定所述DDoS攻击流量为轻度攻击流量;
若所述差分流量小于或等于预设阈值,则确定所述DDoS攻击流量为重度攻击流量。
进一步地,所述基于所述实际流量确定所述DDoS攻击流量对应的差分流量的步骤包括:
获取所述实际流量对应的目标时刻,在预设天内的历史流量中,获取所述目标时刻对应的目标历史流量;
确定各个目标历史流量的流量均值,并基于所述流量均值以及所述实际流量,确定所述DDoS攻击流量对应的差分流量。
此外,为实现上述目的,本发明还提供一种DDoS攻击检测装置,所述DDoS攻击检测装置还包括:
获取模块,用于获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;
样本构造模块,用于将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;
训练模块,用于将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;
判定模块,用于若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。
此外,为实现上述目的,本发明还提供一种DDoS攻击检测设备,所述DDoS攻击检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DDoS攻击检测程序,所述DDoS攻击检测程序被所述处理器执行时实现前述的DDoS攻击检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现前述的DDoS攻击检测方法的步骤。
本发明通过获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;接着将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;而后将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;然后若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量,通过采用与流量大小不相关的样本特征向量作为训练数据,能够避免流量大小的变化对检测结果影响,进而降低对检测结果的误判,提高了DDoS攻击检测的准确率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境中DDoS攻击检测设备的结构示意图;
图2为本发明DDoS攻击检测方法第一实施例的流程示意图;
图3为本发明DDoS攻击检测装置一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境中DDoS攻击检测设备的结构示意图。
本发明实施例DDoS攻击检测设备可以是PC,也可以是智能手机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)播放器、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、便携计算机等具有显示功能的可移动式终端设备。
如图1所示,该DDoS攻击检测设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,DDoS攻击检测设备还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。其中,传感器比如光传感器、运动传感器以及其他传感器。当然,DDoS攻击检测设备还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的终端结构并不构成对DDoS攻击检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及DDoS攻击检测程序。
在图1所示的DDoS攻击检测设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的DDoS攻击检测程序。
在本实施例中,DDoS攻击检测设备包括:存储器1005、处理器1001及存储在所述存储器1005上并可在所述处理器1001上运行的DDoS攻击检测程序,其中,处理器1001调用存储器1005中存储的DDoS攻击检测程序时,并执行以下各个实施例中DDoS攻击检测方法的步骤。
本发明还提供一种DDoS攻击检测方法,参照图2,图2为本发明DDoS攻击检测方法第一实施例的流程示意图。
本实施例中,该DDoS攻击检测方法包括以下步骤:
步骤S101,获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;
本实施例中,IP流是指具有相同五元组的报文集合,五元组包括原地址、源端口、目的IP地址、目的端口以及协议类型,IP流长度是指一个IP流包含的IP包的个数,IP流平均长度是指同一采样间隔内所有IP流的平均长度。IP包流入流出比增长速率根据当前采样间隔的IP包流入流出比以及前一采样间隔的IP包流入流出比进行计算得到,IP包流入流出比为同一采样间隔内IP包的流入数量与IP包的流出数量之间的比例。源IP地址熵根据采样间隔内IP包的流入数量以及各个源IP地址在还采样间隔内IP包中的出现次数,通过信息熵的公式进行计算得到。在每一个采样间隔完成时,分别计算该采样间隔的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,并进行关联存储。
本实施例中的DDoS攻击检测方法,可以进行定时触发、实时触发或者按照检测指令触发,例如,设置定时出发的时间间隔,该时间间隔可以为采样间隔的整数倍,即定时间隔该时间间隔获取多个采样间隔对应的IP流平均长度,并且该多个采样间隔可以为该时间间隔内的采样间隔,进而实现定时进行DDoS攻击检测,或者,可以通过用户输入的检测指令触发,在接收到检测指令时,获取多个采样间隔对应的IP流平均长度,该多个采样间隔可以为上一次检测之后的所有采样间隔。当然,该采样间隔的数量可以由用户进行设置,即用户设置当前需要进行DDoS攻击检测的采样间隔的数量,或者,采样间隔的数量可以进行预设设置,且采样间隔也可进行合理设置,例如,采样间隔为5S、10S等。
本实施例中,先获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵,例如,获取当前时刻之前多个采样间隔的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵。
步骤S102,将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;
本实施例中,在获取到IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵作为一个样本特征向量,进而分别得到各个采样间隔的样本特征向量,基于各个样本特征向量得到该训练样本集。
正常情况下,IP流的平均长度较1大很多,IP包流入流出比处于均衡状态。而发生DDoS攻击时,长度为1的IP流急剧增加,IP流的平均长度趋于1;且由于攻击包均为流入包,因此流入包与流出包的比值会急剧增加,IP包流入流出比增长速率会急剧增大。同时,随机DDoS攻击,一般由攻击者通过随机函数产生一个随机的IP地址,每次请求的源IP地址都不相同,所有源地址比较分散;对于真实地址的DDoS攻击,在攻击者发动攻击时,对IP地址没有伪造,源IP地址比较集中。IP地址分布越分散,则熵越大;分布集中时,熵越小。因此,可选取IP流平均长度、IP包流入流出比增长速率以及源IP地址熵作为特征值,构造特征向量。
步骤S103,将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;
本实施例中,在获取到训练样本集之后,将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果,即将预训练的分类模型的输出作为各个样本特征向量对应的分类结果,通过使用收敛较快的SMO算法来求解最大间隔超平面,由于采用独立于流量大小的特征值作为向量元素,可将样本特征向量从原始空间映射到一个更高维的特征空间,使得样本特征向量在这个特征空间内线性可分,根据经验采用泛化性能更好的高斯核函数,使得分类结果更加准确。
优选地,该分类模型可以为SVM(Support Vector Machine,支持向量机)分类器。
需要说明的是,在进行DDoS攻击检测之前,需要根据样本对分类模型进行训练,得到预训练的分类模型,具体地,采用与训练样本集中的样本特征向量相同的方式够着预训练样本集,并确定预训练样本集的真实结果,该真实结果包括预训练样本集中每一个样本特征向量对应的流量是否正常。然后,根据预训练样本集对分类模型进行模型训练,根据预训练结果以及真实结果对分类模型进行验证,在分类模型验证通过时,将当前训练后的分类模型作为预训练的分类模型。例如根据预训练结果以及真实结果确定训练准确率,在准确率大于预设值时分类模型验证通过。
步骤S104,若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。
本实施例中,训练结果包括各个样本特征向量对应的流量为正常流量或异常流量,若训练结果包括异常流量,则获取异常流量对应的样本特征向量,并确定该异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。
本实施例提出的DDoS攻击检测方法,通过获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;接着将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;而后将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;然后若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量,通过采用与流量大小不相关的样本特征向量作为训练数据,能够避免流量大小的变化对检测结果影响,进而降低对检测结果的误判,提高了DDoS攻击检测的准确率。
基于第一实施例,提出本发明DDoS攻击检测方法的第二实施例,在本实施例中,步骤S101包括:
步骤S201,获取每一个采样间隔内IP流的第一数量以及IP流所包括IP包的总个数,其中,所述IP流为具有相同五元组的报文集合;
步骤S202,基于所述第一数量以及所述总个数,分别确定每一个采样间隔对应的IP流平均长度。
本实施例中,先获取每一个采样间隔内IP流的第一数量以及IP流所包括IP包的总个数,具体地,对于每一个采样间隔,将该采样间隔内的流入报文以及流出报文,将流入报文以及流出报文按照五元组进行划分,得到各个IP流,并确定IP流的第一数量,以及各个IP流所包括IP包的总个数,该总个数为IP流所包括IP包的个数之和。
而后,基于第一数量以及所述总个数,分别确定每一个采样间隔对应的IP流平均长度,具体地,对于每一个采样间隔,其IP流平均长度的公式为:
Lavg=NIPP/NIPF
其中,Lavg为IP流平均长度,NIPP为第一数量,NIPF为总个数。
本实施例提出的DDoS攻击检测方法,通过获取每一个采样间隔内IP流的第一数量以及IP流所包括IP包的总个数,其中,所述IP流为具有相同五元组的报文集合;接着基于所述第一数量以及所述总个数,分别确定每一个采样间隔对应的IP流平均长度,能够根据IP流的第一数量以及IP流所包括IP包的总个数准确得到IP流平均长度,进一步提高了DDoS攻击检测的准确率。
基于第一实施例,提出本发明DDoS攻击检测方法的第三实施例,在本实施例中,步骤S101包括:
步骤S301,获取每一个采样间隔的第一IP包流入流出比,以及每一个采样间隔的前一采样间隔的第二IP包流入流出比;
步骤S302,基于所述第一IP包流入流出比以及所述第二IP包流入流出比,分别确定每一个采样间隔对应的IP包流入流出比增长速率。
本实施例中,先获取获取每一个采样间隔的第一IP包流入流出比,以及每一个采样间隔的前一采样间隔的第二IP包流入流出比;而后基于所述第一IP包流入流出比以及所述第二IP包流入流出比,分别确定每一个采样间隔对应的IP包流入流出比增长速率,具体地,对于每一个采样间隔,其IP包流入流出比增长速率的公式为:
Figure BDA0003170045510000091
其中,ρT为IP包流入流出比增长速率,rT为第一IP包流入流出比,rT-1为第二IP包流入流出比。
进一步地,一实施例中,该步骤S301包括:
步骤a,获取每一个采样间隔内IP包的流入数量以及流出数量;
步骤b,基于所述流入数量以及流出数量,分别确定每一个采样间隔对应的第一IP包流入流出比。
本实施例中,先获取每一个采样间隔内IP包的流入数量以及流出数量,对于每一个时间间隔,获取该时间间隔内IP包的流入数量以及IP包的流出数量。而后基于流入数量以及流出数量,分别确定每一个采样间隔对应的第一IP包流入流出比,对于每一个时间间隔,第一IP包流入流出比的公式为:
r=NIIPP/NOIPP
其中,r为第一IP包流入流出比,NIIPP为流入数量,NOIPP为流出数量。
本实施例提出的DDoS攻击检测方法,通过获取每一个采样间隔的第一IP包流入流出比,以及每一个采样间隔的前一采样间隔的第二IP包流入流出比;接着基于所述第一IP包流入流出比以及所述第二IP包流入流出比,分别确定每一个采样间隔对应的IP包流入流出比增长速率,能够根据第一IP包流入流出比以及第二IP包流入流出比准确得到IP包流入流出比增长速率,进一步提高了DDoS攻击检测的准确率。
基于第一实施例,提出本发明DDoS攻击检测方法的第四实施例,在本实施例中,步骤S101包括:
步骤S401,获取每一个采样间隔内IP包的流入数量以及IP流对应的源IP地址集,并获取每一个采样间隔内各个源IP地址在IP包中的出现次数;
步骤S402,基于所述出现次数以及所述流入数量,分别确定每一个采样间隔对应的源IP地址熵。
本实施例中,获取每一个采样间隔内IP包的流入数量以及IP流对应的源IP地址集,具体地,对于每一个采样间隔,获取该采样间隔内所有IP流中的源IP地址对于的源IP地址集合,以及所有IP流所包括的IP包的流入数量,并获取源IP地址集合中各个源IP地址在流入IP包中的出现次数,即各个源IP地址所对应的流入IP包的数量即为各个源IP地址的出现次数。
而后,基于出现次数以及所述流入数量,分别确定每一个采样间隔对应的源IP地址熵,该每一个采样间隔,源IP地址熵的公式为:
Figure BDA0003170045510000101
其中,H(X)为源IP地址熵,ni为源IP地址集合中第i个源IP地址的出现次数,NIIPP为IP包的流入数量,j为源IP地址集合中源IP地址的总数量。
根据源IP地址熵的公式可知,IP地址分布越分散,则源IP地址熵越大;分布越集中时,源IP地址熵越小。而在随机DDoS攻击,一般由攻击者通过随机函数产生一个随机的IP地址,每次请求的源IP地址都不相同,所以源地址比较分散,源IP地址熵较大;对于真实地址的DDoS攻击,在攻击者发动攻击时,对IP地址没有伪造,源地址比较集中,源IP地址熵较小。
本实施例提出的DDoS攻击检测方法,通过获取每一个采样间隔内IP包的流入数量以及IP流对应的源IP地址集,并获取各个源IP地址在每一个采样间隔内IP包中的出现次数;接着基于所述出现次数以及所述流入数量,分别确定每一个采样间隔对应的源IP地址熵,能够根据IP包的流入数量以及出现次数准确得到源IP地址熵,进一步提高了DDoS攻击检测的准确率。
基于上述各个实施例,提出本发明DDoS攻击检测方法的第五实施例,在本实施例中,步骤S104之后,该DDoS攻击检测方法还包括:
步骤S501,获取DDoS攻击流量的采样间隔对应的实际流量,并基于所述实际流量确定所述DDoS攻击流量对应的差分流量;
步骤S502,若所述差分流量大于预设阈值,则确定所述DDoS攻击流量为轻度攻击流量;
步骤S503,若所述差分流量小于或等于预设阈值,则确定所述DDoS攻击流量为重度攻击流量。
本实施例中,在确定当前存在DDoS攻击流量时,基于DDoS攻击流量所对应的采样间隔的时刻,获取DDoS攻击流量的采样间隔对应的实际流量,而后,并基于所述实际流量确定所述DDoS攻击流量对应的差分流量。
具体地,一实施例中,该步骤S501包括:
步骤c,获取所述实际流量对应的目标时刻,在预设天内的历史流量中,获取所述目标时刻对应的目标历史流量;
步骤d,确定各个目标历史流量的流量均值,并基于所述流量均值以及所述实际流量,确定所述DDoS攻击流量对应的差分流量。
本实施例中,获取所述实际流量对应的目标时刻,即实际流量在采样间隔内的时刻,其中,该目标时刻可以为采样间隔内的任一时刻,根据该目标时刻在预设天内的历史流量中,获取所述目标时刻对应的目标历史流量,需要说明的是,该预设天可以为各个目标时刻对应的当前天之前的预设天,或者,预设天可以为各个目标时刻对应的当前天之前的无异常流量预设天,例如,目标时刻为当天,预设天可以为当天之前无异常流量的7天。
而后,确定各个目标历史流量的流量均值,并基于所述流量均值以及所述实际流量,确定所述DDoS攻击流量对应的差分流量,具体地,该差分流量的公式为:
Figure BDA0003170045510000121
其中,Δ为差分流量,ω为常数,d为预设天的天数,qi为第i天目标时刻的目标历史流量,qk为实际流量,i的范围为1~d。
接着,判断该差分流量是否大于预设阈值,若所述差分流量大于预设阈值,则确定所述DDoS攻击流量为轻度攻击流量;若所述差分流量小于或等于预设阈值,则确定所述DDoS攻击流量为重度攻击流量,进而能够根据差分流量准确判断DDoS攻击流量的攻击强度。
本实施例提出的DDoS攻击检测方法,通过获取DDoS攻击流量的采样间隔对应的实际流量,并基于所述实际流量确定所述DDoS攻击流量对应的差分流量;接着若所述差分流量大于预设阈值,则确定所述DDoS攻击流量为轻度攻击流量;而后若所述差分流量小于或等于预设阈值,则确定所述DDoS攻击流量为重度攻击流量,能够根据差分流量准确判断DDoS攻击流量的攻击强度,与现有通过多分类算法判断DDoS攻击的攻击强度相比,降低了算法的复杂度,避免了多分类算法的缺陷,进一步提高了DDoS攻击的检测效率。
本发明还提供一种DDoS攻击检测装置,参照图3,所述DDoS攻击检测装置包括:
获取模块10,用于获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;
样本构造模块20,用于将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;
训练模块30,用于将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;
判定模块40,用于若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。
上述各程序单元所执行的方法可参照本发明DDoS攻击检测方法各个实施例,此处不再赘述。
本发明还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有DDoS攻击检测程序,所述DDoS攻击检测程序被处理器执行时实现如上所述的DDoS攻击检测方法的步骤。
其中,在所述处理器上运行的DDoS攻击检测程序被执行时所实现的方法可参照本发明DDoS攻击检测方法各个实施例,此处不再赘述。
此外,本发明实施例还提出一种计算机程序产品,该计算机程序产品上包括DDoS攻击检测程序,所述DDoS攻击检测程序被处理器执行时实现如上所述的DDoS攻击检测方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种DDoS攻击检测方法,其特征在于,所述DDoS攻击检测方法包括以下步骤:
获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;
将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;
将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;
若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。
2.如权利要求1所述的DDoS攻击检测方法,其特征在于,所述获取多个采样间隔对应的IP流平均长度的步骤包括:
获取每一个采样间隔内IP流的第一数量以及IP流所包括IP包的总个数,其中,所述IP流为具有相同五元组的报文集合;
基于所述第一数量以及所述总个数,分别确定每一个采样间隔对应的IP流平均长度。
3.如权利要求1所述的DDoS攻击检测方法,其特征在于,获取各个采样间隔对应的IP包流入流出比增长速率的步骤包括:
获取每一个采样间隔的第一IP包流入流出比,以及每一个采样间隔的前一采样间隔的第二IP包流入流出比;
基于所述第一IP包流入流出比以及所述第二IP包流入流出比,分别确定每一个采样间隔对应的IP包流入流出比增长速率。
4.如权利要求3所述的DDoS攻击检测方法,其特征在于,所述获取每一个采样间隔的第一IP包流入流出比的步骤包括:
获取每一个采样间隔内IP包的流入数量以及流出数量;
基于所述流入数量以及流出数量,分别确定每一个采样间隔对应的第一IP包流入流出比。
5.如权利要求1所述的DDoS攻击检测方法,其特征在于,所述获取各个采样间隔对应的源IP地址熵的步骤包括:
获取每一个采样间隔内IP包的流入数量以及IP流对应的源IP地址集,并获取每一个采样间隔内各个源IP地址在流入IP包中的出现次数;
基于所述出现次数以及所述流入数量,分别确定每一个采样间隔对应的源IP地址熵。
6.如权利要求1至5任一项所述的DDoS攻击检测方法,其特征在于,所述若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量的步骤之后,还包括:
获取DDoS攻击流量的采样间隔对应的实际流量,并基于所述实际流量确定所述DDoS攻击流量对应的差分流量;
若所述差分流量大于预设阈值,则确定所述DDoS攻击流量为轻度攻击流量;
若所述差分流量小于或等于预设阈值,则确定所述DDoS攻击流量为重度攻击流量。
7.如权利要求6所述的DDoS攻击检测方法,其特征在于,所述基于所述实际流量确定所述DDoS攻击流量对应的差分流量的步骤包括:
获取所述实际流量对应的目标时刻,在预设天内的历史流量中,获取所述目标时刻对应的目标历史流量;
确定各个目标历史流量的流量均值,并基于所述流量均值以及所述实际流量,确定所述DDoS攻击流量对应的差分流量。
8.一种DDoS攻击检测装置,其特征在于,所述DDoS攻击检测装置还包括:
获取模块,用于获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;
样本构造模块,用于将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;
训练模块,用于将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;
判定模块,用于若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。
9.一种DDoS攻击检测设备,其特征在于,所述DDoS攻击检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DDoS攻击检测程序,所述DDoS攻击检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的DDoS攻击检测方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的DDoS攻击检测方法的步骤。
CN202110817481.5A 2021-07-19 2021-07-19 DDoS攻击检测方法、装置、设备及计算机可读存储介质 Active CN113596001B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110817481.5A CN113596001B (zh) 2021-07-19 2021-07-19 DDoS攻击检测方法、装置、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110817481.5A CN113596001B (zh) 2021-07-19 2021-07-19 DDoS攻击检测方法、装置、设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113596001A true CN113596001A (zh) 2021-11-02
CN113596001B CN113596001B (zh) 2023-04-28

Family

ID=78248337

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110817481.5A Active CN113596001B (zh) 2021-07-19 2021-07-19 DDoS攻击检测方法、装置、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113596001B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338206A (zh) * 2021-12-31 2022-04-12 曙光网络科技有限公司 Ddos攻击检测方法、装置、设备以及存储介质
CN114745174A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 电网设备的接入验证系统和方法
CN115499226A (zh) * 2022-09-21 2022-12-20 浙江中控技术股份有限公司 互联网攻击的检测方法及装置、非易失性存储介质、处理器

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105827611A (zh) * 2016-04-06 2016-08-03 清华大学 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统
CN107483455A (zh) * 2017-08-25 2017-12-15 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和系统
CN110011983A (zh) * 2019-03-19 2019-07-12 中国民航大学 一种基于流表特征的拒绝服务攻击检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105827611A (zh) * 2016-04-06 2016-08-03 清华大学 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统
CN107483455A (zh) * 2017-08-25 2017-12-15 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和系统
CN110011983A (zh) * 2019-03-19 2019-07-12 中国民航大学 一种基于流表特征的拒绝服务攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
徐图 等: ""多类支持向量机的DDoS攻击检测的方法"", 《电 子 科 技 大 学 学 报》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338206A (zh) * 2021-12-31 2022-04-12 曙光网络科技有限公司 Ddos攻击检测方法、装置、设备以及存储介质
CN114338206B (zh) * 2021-12-31 2024-05-07 曙光网络科技有限公司 Ddos攻击检测方法、装置、设备以及存储介质
CN114745174A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 电网设备的接入验证系统和方法
CN115499226A (zh) * 2022-09-21 2022-12-20 浙江中控技术股份有限公司 互联网攻击的检测方法及装置、非易失性存储介质、处理器

Also Published As

Publication number Publication date
CN113596001B (zh) 2023-04-28

Similar Documents

Publication Publication Date Title
CN111147504B (zh) 威胁检测方法、装置、设备和存储介质
CN113596001A (zh) DDoS攻击检测方法、装置、设备及计算机程序产品
Otoum et al. DL‐IDS: a deep learning–based intrusion detection framework for securing IoT
US10785249B2 (en) Predicting the risk associated with a network flow, such as one involving an IoT device, and applying an appropriate level of security inspection based thereon
US10924503B1 (en) Identifying false positives in malicious domain data using network traffic data logs
US10735382B2 (en) Detecting human activity to mitigate attacks on a host
US10505974B2 (en) Network attack defense system and method
US11032305B2 (en) Malware detection system attack prevention
US11949701B2 (en) Network access anomaly detection via graph embedding
WO2021139641A1 (zh) 一种web攻击检测方法、装置及电子设备和存储介质
KR20180097760A (ko) 추론 공격에 대한 프라이버시 보호 실시간 서비스를 가능하게 하는 시스템 및 방법
US9866575B2 (en) Management and distribution of virtual cyber sensors
CN113765846B (zh) 一种网络异常行为智能检测与响应方法、装置及电子设备
US9449104B2 (en) Method and apparatus for deriving and using trustful application metadata
CN113242301A (zh) 真实服务器的选定方法、装置、计算机设备及存储介质
Anil A zero-trust security framework for granular insight on blind spot and comprehensive device protection in the enterprise of internet of things (e-iot)
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
Nakahara et al. Machine Learning based Malware Traffic Detection on IoT Devices using Summarized Packet Data.
CN116319076B (zh) 恶意流量的检测方法、装置、设备及计算机可读存储介质
CN113542295B (zh) DDoS攻击检测方法、装置、设备及计算机可读存储介质
CN114513369B (zh) 基于深度报文检测的物联网行为分析方法及系统
CN117478340A (zh) 基于物联网的安全检测方法、装置、设备及存储介质
CN117914566A (zh) 僵尸网络的检测分类方法及系统
Wang et al. A Trusted Measurement Model for Mobile Internet
CN117692172A (zh) 一种暴力破解检测方法和相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant