CN114615078A

CN114615078A - 一种DDoS攻击检测方法、装置及设备

Info

Publication number: CN114615078A
Application number: CN202210326411.4A
Authority: CN
Inventors: 冯杰
Original assignee: Agricultural Bank of China
Current assignee: Agricultural Bank of China
Priority date: 2022-03-30
Filing date: 2022-03-30
Publication date: 2022-06-10

Abstract

本申请公开了一种DDoS攻击检测方法、装置及设备，能够通过过滤掉一对一和一对多流量，只留下多对一数据包，减少检测过程的资源消耗和时间消耗，并且利用提取出的特征值对目标网络流进行检测，也进一步提高了检测结果的准确度。该方法包括：首先获取目标网络流，并对目标网络流进行过滤，得到过滤后的目标网络流；其中，过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流，然后，对过滤后的目标网络流进行特征提取，得到四个特征值；其中，四个特征值表征了当前网络异常行为，接着，可以对这四个特征值进行融合处理，得到融合特征值；并利用融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。

Description

一种DDoS攻击检测方法、装置及设备

技术领域

本申请涉及计算机技术领域，尤其涉及一种DDoS攻击检测方法、装置及设备。

背景技术

分布式拒绝服务攻击(Distributed denial of service attack，简称DDos攻击)可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，甚至会导致很多的大型网站出现无法进行操作的情况，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的。

DDoS攻击的组织架构和内在原理如附图1所示，其可以利用多个受损的计算机系统作为发起攻击的“肉鸡”或“僵尸”，并形成有组织有规模的僵尸网络，攻击者依赖于僵尸网络使得攻击流量来源更多并且更加有效性。这些被感染的终端通常是计算机和服务器，但越来越多的是物联网设备和移动设备。攻击者可以通过发起网络钓鱼攻击、恶意攻击和其他大规模感染技术来感染脆弱的主机从而获取这些系统。目前，鉴于大数据环境下网络流量的爆炸性增长和高度复杂性，网络异常行为的检测面临着更加严峻的挑战。单一的DDoS防御方法难以应对大规模的泛洪攻击，并且当前常用的检测方法往往具有时间延迟高，误报率高，虚假警报多以及计算开销大等等弊端，难以应对大数据环境下DDoS攻击流量的几何式增长趋势。

发明内容

本申请实施例的主要目的在于提供一种DDoS攻击检测方法、装置及设备，能够提高检测结果的准确度。

第一方面，本申请实施例提供了一种DDoS攻击检测方法，包括：

获取目标网络流，并对所述目标网络流进行过滤，得到过滤后的目标网络流；所述过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流；

对所述过滤后的目标网络流进行特征提取，得到四个特征值；所述四个特征值表征了当前网络异常行为；

对所述四个特征值进行融合处理，得到融合特征值；并利用所述融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。

可选的，对所述目标网络流进行过滤，得到过滤后的目标网络流，包括：

将所述目标网络流中具有相同源IP地址和目的IP地址的数据包划分为同一类；

将同一个源IP地址对应不同的目标IP地址的数据包所在类删除，以及将同一目的IP地址对应同一个源IP地址的数据包所在类删除，得到过滤后的目标网络流。

可选的，所述四个特征值包括：当前的单位时间中的旧用户数量超过某个单位时间内旧用户数量最大值的百分比；新用户相对于平均新用户数量的变化百分比；当前新用户与旧用户的最大值之比；新用户的当前访问速率。

可选的，所述方法还包括：

利用识别器对融合特征值进行判断，如果对应采样点超过预设阈值，则将所述采样点标记为离群点，并在确定出达到预设连续次数的异常值时，发起DDoS攻击预警。

第二方面，本申请实施例还提供了一种DDoS攻击检测装置，包括：

过滤单元，用于获取目标网络流，并对所述目标网络流进行过滤，得到过滤后的目标网络流；所述过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流；

提取单元，用于对所述过滤后的目标网络流进行特征提取，得到四个特征值；所述四个特征值表征了当前网络异常行为；

分类单元，用于对所述四个特征值进行融合处理，得到融合特征值；并利用所述融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。

可选的，所述过滤单元包括：

划分子单元，用于将所述目标网络流中具有相同源IP地址和目的IP地址的数据包划分为同一类；

删除子单元，用于将同一个源IP地址对应不同的目标IP地址的数据包所在类删除，以及将同一目的IP地址对应同一个源IP地址的数据包所在类删除，得到过滤后的目标网络流。

可选的，所述装置还包括：

预警单元，用于利用识别器对融合特征值进行判断，如果对应采样点超过预设阈值，则将所述采样点标记为离群点，并在确定出达到预设连续次数的异常值时，发起DDoS攻击预警。

本申请实施例还提供了一种DDoS攻击检测设备，包括：处理器、存储器、系统总线；

所述处理器以及所述存储器通过所述系统总线相连；

所述存储器用于存储一个或多个程序，所述一个或多个程序包括指令，所述指令当被所述处理器执行时使所述处理器执行上述DDoS攻击检测方法中的任意一种实现方式。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备执行上述DDoS攻击检测方法中的任意一种实现方式。

本申请实施例提供的一种DDoS攻击检测方法、装置及设备，首先获取目标网络流，并对目标网络流进行过滤，得到过滤后的目标网络流；其中，过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流，然后，对过滤后的目标网络流进行特征提取，得到四个特征值；其中，四个特征值表征了当前网络异常行为，接着，可以对这四个特征值进行融合处理，得到融合特征值；并利用融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。从而通过过滤掉一对一和一对多流量，只留下多对一数据包，减少了检测过程的资源消耗和时间消耗，并且利用提取出的特征值对目标网络流进行检测，也进一步提高了检测结果的准确度。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的DDoS攻击的组织架构和内在原理示意图；

图2为本申请实施例提供的一种DDoS攻击检测方法的流程示意图；

图3为本申请实施例提供的DDoS攻击检测的整体流程示意图；

图4为本申请实施例提供的一种DDoS攻击检测装置的组成示意图。

具体实施方式

目前在一些DDoS攻击检测方法中，通常会考虑到流标项速率变化，攻击时一定时间内流表项请求数据会快速增加，并且会随机生成大量的新端口号，通过提取的流状态信息进行数据分析处理，提取得到与DDoS攻击相关的六元组信息，包括源IP地址增速，流生存时间变化，端口的增速，流表项速率，流标匹配成功率和对比流比例来对DDoS攻击检测。

但这种检测方式是对通过的所有网络流进行检测，没有先对其进行过滤，这样会浪费大量的时间用来检测正常流量，而且提取出的特征值大多仅与流的增长速率有关，判断DDoS攻击的条件过于单一导致检测结果可能不够准确，造成误报。

为解决上述缺陷，本申请实施例提供了一种DDoS攻击检测方法，首先获取目标网络流，并对目标网络流进行过滤，得到过滤后的目标网络流；其中，过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流，然后，对过滤后的目标网络流进行特征提取，得到四个特征值；其中，四个特征值表征了当前网络异常行为，接着，可以对这四个特征值进行融合处理，得到融合特征值；并利用融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。从而通过过滤掉一对一和一对多流量，只留下多对一数据包，减少了检测过程的资源消耗和时间消耗，并且利用提取出的特征值对目标网络流进行检测，也进一步提高了检测结果的准确度。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

第一实施例

参见图2，为本实施例提供的一种DDoS攻击检测方法的流程示意图，该方法包括以下步骤：

S201：获取目标网络流，并对目标网络流进行过滤，得到过滤后的目标网络流；其中，过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流。

在本实施例中，将需要利用本申请实现DDoS攻击检测的任一网络流量定义为目标网络流，为了能够实现对目标网络流的DDoS攻击的准确检测，首先需要获取目标网络流，并对目标网络流进行过滤，得到过滤后的目标网络流；其中，过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流。

一种可选的实现方式是，本步骤S201中“对目标网络流进行过滤，得到过滤后的目标网络流”的具体实现过程可以包括下述步骤A-B：

步骤A：将目标网络流中具有相同源IP地址和目的IP地址的数据包划分为同一类。

步骤A2：将同一个源IP地址对应不同的目标IP地址的数据包所在类删除，以及将同一目的IP地址对应同一个源IP地址的数据包所在类删除，得到过滤后的目标网络流。

具体来讲，在本实现方式中，先将目标网络流定义为F＝<t₁，s₁，d₁，p₁>，<t₂，s₂，d₂，p₂>，......，<t_n，s_n，d_n，p_n>，在单位时间Δt中，t_i表示第i个数据包的时间，s_i表示第i个数据包的源IP地址，d_i表示第i个数据包的目标IP地址，p_i则表示第i个数据包的端口号。对网络流中的n个数据包进行分类，即具有相同源IP地址和目的IP地址的数据包被归为同一类，设其源IP地址为h_i，目标IP地址为h_j，将这个类记为IP_sd(h_i，h_j)。

然后，对于上面形成的类，执行以下两项删除规则，消除一对多流量和多对多流量的干扰：

(1)如果对于同一个源IP地址h_i存在不同的目标IP地址h_j和h_k等，且IP_sd(h_i，h_j)类和IP_sd(h_i，h_k)等类均不为空，则删除源IP地址为h_i的所有类(消除一对多流量的影响)。

(2)如果由所有目的IP地址为h_i的数据包组成的类只有唯一的类IP_sd(h_i，h_j)，则删除所有目的IP地址为h_j的数据包的类(消除一对一流量的影响)。

接着，在每个单位时间Δt内，从正常网络流U中取出的所有IP分组，都用I_k表示，把I_k执行上述一对多流量和多对多流量过滤后的样本组用F_k表示。

S202：对过滤后的目标网络流进行特征提取，得到四个特征值；其中，四个特征值表征了当前网络异常行为。

在本实施例中，通过步骤S201获取目标网络流并对目标网络流进行过滤，得到过滤后的目标网络流后，进一步可以对过滤后的目标网络流进行特征提取，得到四个特征值，用以执行后续步骤S203；其中，四个特征值表征了当前网络异常行为。且这四个特征值分别为当前的单位时间中的旧用户数量超过某个单位时间内旧用户数量最大值的百分比；新用户相对于平均新用户数量的变化百分比；当前新用户与旧用户的最大值之比；新用户的当前访问速率。

具体来讲，在获取到过滤后的目标网络流(即多对一网络流)后，进一步可以将多对一流量组F_k中的IP地址标记为O’，O’中的所有IP地址都是旧用户发来的请求。当k＝1时，最大用户数为O′_max＝max(O′_max，||F_k∩O′||。在每经过单位时间Δt之后，F_k就成为了旧用户请求，将F_k与O’合并成为新的O’，这样可以获得当前单位时间Δt中的旧IP地址数量的最大值O′_max。

将新用户数标记为N_k＝||F_k||-||F_k∩O′||，其中，集合F_k∩O′代表旧用户的数量。集合

代表该时间段内的新用户，用D_k代表该时间段内的新用户数量。

对正常网络流U进行处理之后，可以得到训练样本O′_max，获得的参数O′_max表示在单位时间Δt时段内的最大旧用户数。由此可计算出单位时间Δt内的平均新用户数，用

表示。

在此基础上，对于过滤后的目标网络流(即多对一网络流)，使用相同的单位时间Δt来进行采样，在每个采样区域中，用字典W_k来存储在该时间段内对每个源IP地址S_k的访问次数，则有W_k＝[S_k，i，O_k，i]。在本实施例中，为第k个时间段内的所有源IP地址创建了IP地址集IPD，以便可以表示第k个时间段内源IP地址S_k，i的访问次数。在每个单位时间Δt中，需要对过滤后的目标网络流进行特征提取，得到四个特征值，并分别定义为V、I、S、T，具体介绍如下：

(1)特征值V表示当前的单位时间Δt中的旧用户数量超过某个单位时间内上旧用户数量最大值的百分比。

(2)特征值I表示新用户相对于平均新用户数量的变化百分比。

(3)特征值S表示当前新用户与旧用户的最大值之比。

(4)特征值T表示新用户的当前访问速率。

S203：对四个特征值进行融合处理，得到融合特征值；并利用融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。

在本实施例中，通过步骤S202得到得到四个特征值V、I、S、T后，进一步可以对四个特征值进行融合处理，得到融合特征值，具体计算过程如下：

VIST＝-V×I×S×T (8)

这样，在筛选出不符合DDoS攻击特征的所有IP地址后，可以根据融合的特征值VIST对当前网络状态进行分类(包括正常流量、DDoS攻击、网络拥塞三种类型)，以根据分类结果确定DDoS攻击检测结果。

(1)正常流量。在通常情况下，当前时段的旧用户数||F_k∩O′||与旧用户数量的最大值O′_max相比是十分接近的，因而在公式(4)中，||F_k∩O′||-O′_max是接近于±0的，因此，V的值也是接近±0的。当前的新用户数量是接近于新用户的平均值，因此，I的值将接近0。对于特征值S来讲，旧用户的最大值包含了历史的旧用户数量，远远超出新用户数量，因此，S的值也将十分趋近于0。由于正常用户一般不会发送非法请求，因此，用户平均访问率A_k是一个在较小范围内波动的的常数c，故VIST的最终结果将非常接近±0。

(2)DDoS攻击。如果发生了DDoS攻击，则当前新用户数应该远远大于新用户的平均值，并且I值将增加。如果DDoS攻击有效，则网站或网络几乎无法为旧用户提供服务。当前的旧用户数应该是一个非常小的值，以使V的值接近-1。新用户的访问速率T也是很大的数值。

此外，V可以代表DDoS攻击对旧用户的影响，而VIST将用于衡量总体DDoS攻击的影响，VIST的值可解释为DDoS的总体影响值。

(3)网络拥塞。另一个可检测的网络流是网络拥塞。当一个热门话题出现时，新用户的数量和旧用户的数量将大大增加。有三个特点：首先，由于有大量的新用户，I应该非常积极；其次，由于热门话题的范围很广、热度很高，老用户也很可能会访问它，因此V值应是大于1的。进一步讲，即使出现了很多被热门话题吸引来的新用户，他们的访问速率常数c也不会很大，因为普通用户都不会大量发送请求。

∴VIST＝-V×I×S×T＜＜1 (11)

进一步的，一种可选的实现方式是，如图3所示，还可以将过滤后的目标网络流输入滑动窗口，利用识别器对每一个融合特征值VIST进行判断，如果对应采样点超过预设阈值(具体取值可根据实际情况进行设定，本申请实施例对此不进行设定，比如可以将其设定为100等)，则将采样点标记为离群点，并在确定出达到预设连续次数(具体取值可根据实际情况进行设定，本申请实施例对此不进行设定，比如可以将其设定为50等)的异常值时，发起DDoS攻击预警，比如可以通过语音播报和/或提示灯闪烁等方式发起DDoS攻击警报，提醒用户进行及时处理，避免造成损失。

这样，通过执行上述步骤S201-S203对目标网络流进行DDoS攻击检测时，为了消除正常流量所造成的一对一和一对多网络流量干扰，对目标网络流中的n个数据包进行分类，即具有相同源IP地址和目的IP地址的数据包被归为同一类，执行定义好的删除规则，消除一对多流量和多对多流量的干扰，减少了算法的资源消耗和时间消耗。使用当前时间旧用户数量超过旧用户数量最大值的百分比，新用户相对于平均新用户数量的变化百分比，新用户与旧用户的最大值之比，新用户的当前访问速率等4个特征值来综合判断是否发生了DDoS攻击，可以大大降低算法的误报率和虚假警报率，提高了预测的准确性。

综上，本实施例提供的一种DDoS攻击检测方法，首先获取目标网络流，并对目标网络流进行过滤，得到过滤后的目标网络流；其中，过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流，然后，对过滤后的目标网络流进行特征提取，得到四个特征值；其中，四个特征值表征了当前网络异常行为，接着，可以对这四个特征值进行融合处理，得到融合特征值；并利用融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。从而通过过滤掉一对一和一对多流量，只留下多对一数据包，减少了检测过程的资源消耗和时间消耗，并且利用提取出的特征值对目标网络流进行检测，也进一步提高了检测结果的准确度。

第二实施例

本实施例将对一种DDoS攻击检测装置进行介绍，相关内容请参见上述方法实施例。

参见图4，为本实施例提供的一种DDoS攻击检测装置的组成示意图，该装置包括：

过滤单元401，用于获取目标网络流，并对所述目标网络流进行过滤，得到过滤后的目标网络流；所述过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流；

提取单元402，用于对所述过滤后的目标网络流进行特征提取，得到四个特征值；所述四个特征值表征了当前网络异常行为；

分类单元403，用于对所述四个特征值进行融合处理，得到融合特征值；并利用所述融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。

在本实施例的一种实现方式中，所述过滤单元401包括：

在本实施例的一种实现方式中，所述四个特征值包括：当前的单位时间中的旧用户数量超过某个单位时间内旧用户数量最大值的百分比；新用户相对于平均新用户数量的变化百分比；当前新用户与旧用户的最大值之比；新用户的当前访问速率。

在本实施例的一种实现方式中，所述装置还包括：

综上，本实施例提供的一种DDoS攻击检测装置，首先获取目标网络流，并对目标网络流进行过滤，得到过滤后的目标网络流；其中，过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流，然后，对过滤后的目标网络流进行特征提取，得到四个特征值；其中，四个特征值表征了当前网络异常行为，接着，可以对这四个特征值进行融合处理，得到融合特征值；并利用融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。从而通过过滤掉一对一和一对多流量，只留下多对一数据包，减少了检测过程的资源消耗和时间消耗，并且利用提取出的特征值对目标网络流进行检测，也进一步提高了检测结果的准确度。

进一步地，本申请实施例还提供了一种DDoS攻击检测设备，包括：处理器、存储器、系统总线；

所述处理器以及所述存储器通过所述系统总线相连；

所述存储器用于存储一个或多个程序，所述一个或多个程序包括指令，所述指令当被所述处理器执行时使所述处理器执行上述DDoS攻击检测方法的任一种实现方法。

进一步地，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备执行上述DDoS攻击检测方法的任一种实现方法。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者诸如媒体网关等网络通信设备，等等)执行本申请各个实施例或者实施例的某些部分所述的方法。

需要说明的是，本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种DDoS攻击检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述对所述目标网络流进行过滤，得到过滤后的目标网络流，包括：

3.根据权利要求1所述的方法，其特征在于，所述四个特征值包括：当前的单位时间中的旧用户数量超过某个单位时间内旧用户数量最大值的百分比；新用户相对于平均新用户数量的变化百分比；当前新用户与旧用户的最大值之比；新用户的当前访问速率。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

5.一种DDoS攻击检测装置，其特征在于，包括：

6.根据权利要求5所述的装置，其特征在于，所述过滤单元包括：

7.根据权利要求5所述的装置，其特征在于，所述四个特征值包括：当前的单位时间中的旧用户数量超过某个单位时间内旧用户数量最大值的百分比；新用户相对于平均新用户数量的变化百分比；当前新用户与旧用户的最大值之比；新用户的当前访问速率。

8.根据权利要求5所述的装置，其特征在于，所述装置还包括：

9.一种DDoS攻击检测设备，其特征在于，包括：处理器、存储器、系统总线；

所述处理器以及所述存储器通过所述系统总线相连；

所述存储器用于存储一个或多个程序，所述一个或多个程序包括指令，所述指令当被所述处理器执行时使所述处理器执行权利要求1-4任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备执行权利要求1-4任一项所述的方法。