CN114338206B

CN114338206B - Ddos攻击检测方法、装置、设备以及存储介质

Info

Publication number: CN114338206B
Application number: CN202111667159.5A
Authority: CN
Inventors: 王继五; 梅颖; 李锋伟; 刘长鑫
Original assignee: Dawning Network Technology Co ltd
Current assignee: Dawning Network Technology Co ltd
Priority date: 2021-12-31
Filing date: 2021-12-31
Publication date: 2024-05-07
Anticipated expiration: 2041-12-31
Also published as: CN114338206A

Abstract

本发明公开了一种DDOS攻击检测方法、装置、设备以及可存储介质，所述方法包括：获取目标网络流量；对所述目标网络流量进行特征提取，获取目标特征向量；所述目标特征向量包括源IP的熵、源IP的变化率以及包速率；通过所述目标特征向量与正常流量画像，获取目标关联度值；根据所述关联度值与攻击检测的阈值，获取目标网路流量的DDOS攻击检测结果。本发明的技术方案，通过获取网络流量的三维特征，实现了对网络异常流量的精准检测，使得攻击检测的成功率远远高于传统的基于阈值的检测方法。

Description

DDOS攻击检测方法、装置、设备以及存储介质

技术领域

本发明属于网络安全技术领域，尤其涉及一种DDOS攻击检测方法、装置、设备以及存储介质。

背景技术

随着计算机网络技术的迅速发展，网络安全问题面临越来越严峻的考验。其中，分布式拒绝服务攻击(Distributed Denial of Service，简称DDOS)是目前比较常见的攻击方法，通过向目标系统发起大流量的并发访问，可以造成被攻击目标的网络拥塞，服务异常，甚至是系统瘫痪。

现有技术中，主要有基于静态的阈值模板和基于深度学习的DDoS(Distributeddenial of service attack)分布式拒绝服务攻击，攻击检测两种方法。

其中，阈值模板一般是通过网络管理员的经验值进行配置或者通过对正常网络流量的学习统计获得。

但是，现实计算机网络流量复杂，流量随时间的波动比较大，波峰与波谷特征明显，所以很难通过一组阈值模板来实现DDOS攻击的精准检测，造成检测系统的检测精度较差，误报率较高。

基于深度学习的DDOS，攻击检测方法由于检测过程中所需的计算任务复杂，计算量大，所以很难做到实时的大流量攻击检测。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个目的在于提出一种DDOS攻击检测方法、装置、设备以及存储介质。

为了解决上述技术问题，本发明的实施例提供如下技术方案：

一种DDOS攻击检测方法，包括：

获取目标网络流量；

对所述目标网络流量进行特征提取，获取目标特征向量；所述目标特征向量包括源IP的熵、源IP的变化率以及包速率；

通过所述目标特征向量与正常流量画像，获取目标关联度值；

根据所述关联度值与攻击检测的阈值，获取目标网路流量的DDOS攻击检测结果。

本发明的该实施例，通过获取网络流量的目标特征向量的三维特征H、V以及R，可以获取整个网络流量中的混乱程度、整个网络流量中的变化率以及整个网络流量的总体状态，实现了对网络异常流量的精准检测，使得攻击检测的成功率远远高于传统的基于阈值的检测方法；同时，基于DPDK技术，单CPU核心流量处理能力显著提高。

可选的，获取目标网络流量前，包括：

获取所述正常流量画像；

本发明的获取模块采用CPU轮询的机制，从而最大限度的提高了CPU的I/O处理性能，避免流量突发造成系统的丢包。

可选的，获取目标网络流量前，包括：

根据所述正常流量画像获取所述攻击检测的阈值。

本发明的该实施例，实时获取目标网络流量，在获取目标网络流量之前，获取正常流量画像，以及攻击检测的阈值并实时更新，根据正常流量画像F’，以及攻击检测的阈值T，获取攻击检测的结果。

可选的，所述获取所述正常流量画像，包括：

获取参考网络流量；

对所述参考网络流量依据时刻进行划分，获取B个时刻参考网络流量；其中，B为正整数；

根据所述时刻参考网络流量，获取B个时刻特征向量；

对所述B个时刻特征向量取均值，获取所述正常流量画像。

本发明的该实施例，通过计算前64个时刻的特征向量，然后取均值得到正常流量画像，结果精准可靠。

可选的，获取攻击检测的阈值，包括：

根据所述B个时刻特征向量以及所述正常流量画像，获取B个参考关联度值；

对所述B个参考关联度值取均值，获取所述攻击检测的阈值。

本发明的该实施例，为获取攻击检测的结果提供了攻击检测的阈值，可以准确地获取攻击检测的结果，提高了攻击检测的结果的准确率。

可选的，所述获取所述源IP的熵，包括：

预设所述目标网络流量的统计时间；

预设在统计时间内获取的源IP个数以及每个所述源IP的报文的个数；

根据所述源IP个数以及每个所述源IP的报文的个数，计算每个所述源IP的报文出现的概率；

根据所述概率，获取所述统计时间内所述源IP的熵。

本发明的该实施例，获取了目标网络流量的目标特征向量的第一维度。

可选的，所述获取所述源IP的变化率，包括：

分别统计连续两个统计时间内的所述源IP的个数N_t以及N_t-1；其中，N_t以及N_t-1为正整数；

根据所述N_t以及N_t-1，获取所述源IP在两个所述统计时间内的变化数以及总数；

其中：所述源IP的变化数：σ＝N_t-N_t-1；

所述源IP的总数：N＝N_t+N_t-1；根据所述变化数以及总数，获取所述源IP的变化率；

其中，所述源IP的变化率：V＝σ/N。

本发明的该实施例，获取了目标网络流量的目标特征向量的第二维度，基于源IP的变化率，获取了整个网络中的报文的变化率。

本发明的实施例还提供一种DDOS攻击检测装置，包括：

获取模块，用于获取目标网络流量；

特征提取模块，用于对所述目标网络流量进行特征提取，获取目标特征向量；所述特征向量包括源IP的熵、源IP的变化率以及包速率；

流量获取模块，用于通过所述目标特征向量与正常流量画像，获取目标关联度值；

攻击检测模块，用于根据所述关联度值与攻击检测的阈值，获取目标网路流量的DDOS攻击检测结果。

本发明的实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上所述的方法。

本发明的实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的方法。

本发明的实施例，具有如下技术效果：

本发明的上述技术方案，通过获取网络流量的目标特征向量的三维特征H、V以及R，可以获取整个网络流量中的混乱程度、整个网络流量中的变化率以及整个网络流量的总体状态，实现了对网络异常流量的精准检测，使得攻击检测的成功率远远高于传统的基于阈值的检测方法；同时，基于DPDK技术，单CPU核心流量处理能力显著提高。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

图1是本发明实施例提供的DDOS攻击检测方法的流程示意图；

图2是本发明实施例提供的获取目标网络流量的原理示意图；

图3是本发明实施例提供的DDOS攻击检测的原理示意图；

图4是本发明实施例提供的获取正常流量画像以及攻击检测的阈值的方法示意图；

图5是本发明实施例提供的获取特征向量的流程示意图；

图6是本发明实施例提供的获取攻击检测的结果的流程示意图；

图7是本发明实施例提供的DDOS攻击检测装置的结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

本发明提到的，DDOS(Distributed denial of service attack)：分布式拒绝服务攻击；I/O(Input/Output)：输入/输出接口；DPDK(Data Plane Development Kit)：数据平面开发套件；CLI(command-line interface)命令行界面；指可在用户提示符下键入可执行指令的界面，用户通过键盘输入指令，计算机接收到指令后，予以执行；Web界面：网络界面。

如图1所示，本发明的实施例提供一种DDOS攻击检测方法，包括：

步骤S1：获取目标网络流量；

具体的，基于DPDK技术，实时获取网络流量。

其中，如图2所示，CoreN表示CPU的核心，CPU有L(L为正整数)个核心，每个CPU核心对应一个网卡硬件队列。

在实际应用场景中，通过多队列网卡驱动的支持，将各个网卡硬件队列绑定到不同的CPU核心上，每个CPU核心对应一个网卡硬件队列，以满足网卡的需求；具体的，获取模块采用基于DPDK的高性能零拷贝流量接入技术，实时捕获网络流量，并将网络流量发送至报文分发模块进行分发；区别于传统的采用向CPU发送中断的报文捕获方法，本发明的获取模块采用CPU轮询的机制，从而最大限度的提高了CPU的I/O处理性能，避免流量突发造成系统的丢包。

步骤S2：对所述目标网络流量进行特征提取，获取目标特征向量；所述目标特征向量包括源IP的熵、源IP的变化率以及包速率；

具体的，目标特征向量F＝(H，V，R)，其中，源IP的熵H用于描述基于源IP的统计报文在整个网络流量中的混乱程度；源IP的变化率V用于描述基于源IP的统计报文在整个网络流量中的变化率；报文速率R用于描述整个网络流量的总体状态。

步骤S3：通过所述目标特征向量与正常流量画像，获取目标关联度值；

步骤S4：根据所述关联度值与攻击检测的阈值，获取目标网路流量的DDOS攻击检测结果。

本发明一可选的实施例，步骤S1中，获取目标网络流量前，包括：

步骤S11：获取所述正常流量画像；

步骤S12：根据所述正常流量画像获取所述攻击检测的阈值。

如图4所示，本发明一可选的实施例，步骤S11中，所述获取所述正常流量画像，包括：

步骤S111：获取参考网络流量；

步骤S112：对所述参考网络流量依据时刻进行划分，获取B个时刻参考网络流量；其中，B为正整数；

步骤S113：根据所述时刻参考网络流量，获取B个时刻特征向量；

步骤S114：对所述B个时刻特征向量取均值，获取所述正常流量画像。

具体的，以B＝64为例，则64个时刻参考网络流量依次为F1、F2……F63、F64,对64个时刻参考网络流量取均值，获取正常流量画像F’。

如图4所示，本发明一可选的实施例，步骤S12中，获取攻击检测的阈值，包括：

步骤S121：根据所述B个时刻特征向量与所述正常流量画像，获取B个参考关联度值；其中，B为正整数；

步骤S122：对所述B个参考关联度值取均值，获取所述攻击检测的阈值。

具体的，获取关联度值的方法：

对于任何两个随机变量X，Y：

meanX	X的均值
		meanY	Y的均值
SDX	X的标准方差
		SDY	Y的标准方差

C定义两个随机变量X，Y的相关度如下：

其中，n表示随机变量X，Y的维度。

根据关联度值的计算方法，获取64个关联度值：

C1＝C(F1,F’)

C2＝C(F2,F’)

……

C64＝C(F64,F’)

可得，攻击检测的阈值T＝(C1+C2+…+C64)/64。

如图5所示，本发明一可选的实施例，步骤S2中，对所述目标网络流量进行特征提取，获取目标特征向量，包括：

步骤S21：获取源IP的熵；

步骤S22：获取源IP的变化率；

步骤S23：获取包速率。

本发明的该实施例，通过获取网络流量的目标特征向量的三维特征(源IP的熵、源IP的变化率以及包速率)，其中，三个维度的特征组成网络流量的特征向量F＝(H，V，R)；其中，源IP的熵H描述了基于源IP的统计报文在整个网络流量中的混乱程度；源IP的变化率V描述了基于源IP的统计报文在整个网络流量中的变化率；报文速率R描述了报文在整个网络流量的总体状态，因此，可以获取整个网络流量中的混乱程度、整个网络流量中的变化率以及整个网络流量的总体状态，因而提高了对网络异常流量的检测的成功率。

本发明一可选的实施例，步骤S21中，所述获取所述源IP的熵，包括：

步骤S211：预设所述目标网络流量的统计时间；

步骤S212：预设在统计时间内获取的源IP个数以及每个所述源IP的报文的个数；

步骤S213：根据所述源IP个数以及每个所述源IP的报文的个数，计算每个所述源IP的报文出现的概率；

步骤S214：根据所述概率，获取所述统计时间内所述源IP的熵。

具体的，如图3所示，检测时间窗口为Δt秒，阈值调整的时间周期为k*Δt秒。

本发明的实施例，相比于现有的正常网络流量行为的统计特征在一个较短的时间段内是一个平滑波动的曲线，当曲线发生突变点时，表明网络的流量行为发生了异常，存在DDoS攻击行为；能够反映出实时流量的变化，因而具有较高的灵敏度和准确率。

其中，当Δt取值为10秒，k取值为6时，对攻击检测的成功率最高。

Δt取值范围为1-60秒，最优为10s。

K一般在1-10，k最优为5。

例如：假设某段时间Δt内统计到的源IP个数为M，每个源IP报文的个数I1,I2，…,IM；其中，M为正整数；

计算某个源IP(x_i)出现的概率：P(x_i)＝I(x_i)/(I1+I2+…+IM)；

根据熵的计算公式H(X)＝-∑P(x_i)log2P(x_i)，得到Δt时间段内目标网络流量源IP的熵值H。

本发明一可选的实施例，步骤S22中，所述获取所述源IP的变化率，包括：

步骤S221：分别统计连续两个所述统计时间内的所述源IP的个数N_t以及N_t-1；其中，N_t以及N_t-1为正整数；

步骤S222：根据所述N_t以及N_t-1，获取所述源IP在两个所述统计时间内的变化数以及总数；其中：所述源IP的变化数：σ＝N_t-N_t-1；

所述源IP的总数：N＝N_t+N_t-1；

步骤S223：根据所述变化数以及总数，获取所述源IP的变化率；其中，所述源IP的变化率：V＝σ/N。

本发明的该实施例，获取了目标网络流量的特征向量的第二维度，基于源IP的变化率，获取了整个网络中的报文的变化率。

本发明的实施例还包括：目标特征向量第三维度，包速率R的计算过程：

统计时间段Δt内的报文总数Q,计算包速率R＝Q/Δt。

本发明的实施例，报文速率R描述了报文在整个网络流量的总体状态。

如图6所示，上述实施例，通过如下实现方式实现：

获取当前的网络流量特征F也即目标网络流量；

将F与正常流量画像F’通过上述关联度值的计算方法，计算获取目标关联度值；

将目标关联度值与攻击检测的阈值T做比较，从而确定网络中是否存在DDOS攻击；

具体的，当目标关联度值大于攻击检测的阈值T，则流量异常，存在攻击，上报；

当目标关联度值不大于攻击检测的阈值T，则流量正常，不存在攻击，无需上报。

如图7所示，本发明的实施例还提供一种DDOS攻击检测装置，包括：

获取模块，用于获取目标网络流量；

具体的，还包括控制模块，用于对整个攻击检测装置的配置管理和当检测到网络流量存在异常时，攻击告警日志的生成与存储。

控制模块通过CLI命令行或Web界面对装置进行配置工作；攻击告警日志可以通过CLI命令行进行查询，或在Web界面上展示。

本发明的该实施例，命令行界面要较图形用户界面节约计算机系统的资源，在熟记命令的前提下，使用命令行界面一般较使用图形用户界面的操作速度要快。

可选的，获取目标网络流量前，包括：

获取所述正常流量画像；

可选的，获取目标网络流量前，包括：

根据所述正常流量画像获取所述攻击检测的阈值。

可选的，所述获取所述正常流量画像，包括：

获取参考网络流量；

根据所述时刻参考网络流量，获取B个时刻特征向量；

对所述B个时刻特征向量取均值，获取所述正常流量画像。

可选的，获取攻击检测的阈值，包括：

获取所述B个时刻特征向量；

获取正常流量画像；

对所述B个参考关联度值取均值，获取所述攻击检测的阈值。

可选的，所述获取所述源IP的熵，包括：

预设所述目标网络流量的统计时间；

预设所述统计时间内获取的源IP个数以及每个所述源IP的报文的个数；

根据所述概率，获取所述统计时间内所述源IP的熵。

可选的，所述获取所述源IP的变化率，包括：

其中：所述源IP的变化数：σ＝N_t-N_t-1；

其中，所述源IP的变化率：V＝σ/N。

另外，本发明实施例的设备的其他构成及作用对本领域的技术人员来说是已知的，为减少冗余，此处不做赘述。

需要说明的是，在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims

1.一种DDOS攻击检测方法，其特征在于，包括：

获取目标网络流量；

对所述目标网络流量进行特征提取，获取目标特征向量，其中，所述目标特征向量包括源IP的熵、源IP的变化率以及包速率；

计算所述目标特征向量与正常流量画像的关联情况，得到目标关联度值；

比较所述目标关联度值与攻击检测的阈值，生成目标网络流量的DDOS攻击检测结果；

其中，所述获取目标网络流量，包括：基于DPDK技术，实时获取目标网络流量；

所述方法还包括：

获取所述正常流量画像；

所述获取所述正常流量画像，包括：

获取参考网络流量；

根据所述时刻参考网络流量，获取B个时刻特征向量；

对所述B个时刻特征向量取均值，获取所述正常流量画像；

所述方法还包括：

根据所述正常流量画像获取所述攻击检测的阈值；

所述获取攻击检测的阈值，包括：

对所述B个参考关联度值取均值，获取所述攻击检测的阈值；

所述根据所述B个时刻特征向量以及所述正常流量画像，获取B个参考关联度值，包括：

确定所述B个时刻特征向量中各时刻特征向量对应的均值和标准方差；

确定所述正常流量画像中不同时刻对应的的均值和标准方差；

根据所述B个时刻特征向量中各时刻特征向量对应的均值和标准方差与所述正常流量画像中不同时刻对应的的均值和标准方差，确定B个参考关联度值。

2.根据权利要求1所述的方法，其特征在于，所述获取所述源IP的熵，包括：

预设所述目标网络流量的统计时间；

统计在统计时间内获取的所有报文中不同源IP的个数以及每个源IP的报文的个数；

根据所述概率，获取所述统计时间内所述目标特征向量中源IP的熵。

3.根据权利要求1所述的方法，其特征在于，所述获取所述源IP的变化率，包括：

其中：所述源IP的变化数：σ＝N_t-N_t-1；

其中，所述源IP的变化率：V＝σ/N。

4.一种DDOS攻击检测装置，其特征在于，包括：

获取模块，用于获取目标网络流量；

攻击检测模块，用于根据所述关联度值与攻击检测的阈值，获取目标网路流量的DDOS攻击检测结果，

其中，所述获取模块还用于基于DPDK技术，实时获取目标网络流量；

所述获取模块还用于获取所述正常流量画像；

所述获取所述正常流量画像，包括：

获取参考网络流量；

根据所述时刻参考网络流量，获取B个时刻特征向量；

对所述B个时刻特征向量取均值，获取所述正常流量画像；

所述获取模块还用于：

根据所述正常流量画像获取所述攻击检测的阈值；

所述获取模块还用于：

对所述B个参考关联度值取均值，获取所述攻击检测的阈值；

所述获取模块还用于：

5.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至3任一项所述的方法。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至3任一项所述的方法。