CN115150108A - 面向DDoS防护系统的流量监控方法、设备及介质 - Google Patents
面向DDoS防护系统的流量监控方法、设备及介质 Download PDFInfo
- Publication number
- CN115150108A CN115150108A CN202110285473.0A CN202110285473A CN115150108A CN 115150108 A CN115150108 A CN 115150108A CN 202110285473 A CN202110285473 A CN 202110285473A CN 115150108 A CN115150108 A CN 115150108A
- Authority
- CN
- China
- Prior art keywords
- forwarding
- flow
- log
- current
- target service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本申请提供了一种面向DDoS防护系统的流量监控方法、设备及介质,包括获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志;获取用于流量异常检测的至少一个告警基线;根据至少一个告警基线和当前流量转发日志进行流量异常检测,以确定目标业务的当前流量是否存在异常;若目标业务的当前流量存在异常,则进行清洗日志检测,以确定至少一个业务的当前流量清洗日志中是否存在目标业务的当前流量清洗日志;若存在目标业务的当前流量清洗日志,则确定目标业务受到DDoS攻击。从而在当前流量异常的情况下,可以判断出目标业务是否受到DDoS攻击。
Description
技术领域
本申请实施例涉及计算机网络技术领域,尤其涉及一种面向DDoS防护系统的流量监控方法、设备及介质。
背景技术
随着互联网技术的发展,网络提供的服务越来越多,为了保证网络服务的可靠性和稳定性,需要对网络流量进行及时有效的监控。
目前引起网络流量异常的原因很多,例如:设备异常可能会造成网络流量异常,或者,分布式拒绝服务(Distribution Denial of Service,DDOS)攻击也可能造成网络流量异常。而面向DDoS防护系统如何确定是否由于DDOS攻击造成网络流量异常,是本申请亟待解决的技术问题。
发明内容
本申请提供一种面向DDoS防护系统的流量监控方法、设备及介质,从而在当前流量异常的情况下,可以判断出目标业务是否受到DDoS攻击。
第一方面,提供了一种面向DDoS防护系统的流量监控方法,包括:获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志;获取用于流量异常检测的至少一个告警基线;根据至少一个告警基线和当前流量转发日志,进行流量异常检测,以确定目标业务的当前流量是否存在异常;若目标业务的当前流量存在异常,则进行清洗日志检测,以确定至少一个业务的当前流量清洗日志中是否存在目标业务的当前流量清洗日志;若至少一个业务的当前流量清洗日志中存在目标业务的当前流量清洗日志,则确定目标业务受到分布式拒绝服务DDoS攻击。
第二方面,提供了一种面向DDoS防护系统的流量监控装置,包括:第一获取模块、第二获取模块、流量异常检测模块、清洗日志检测模块和第一确定模块,其中,第一获取模块用于获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志;第二获取模块用于获取用于流量异常检测的至少一个告警基线;流量异常检测模块用于根据至少一个告警基线和当前流量转发日志,进行流量异常检测,以确定目标业务的当前流量是否存在异常;清洗日志检测模块用于若目标业务的当前流量存在异常,则进行清洗日志检测,以确定至少一个业务的当前流量清洗日志中是否存在目标业务的当前流量清洗日志;第一确定模块用于若至少一个业务的当前流量清洗日志中存在目标业务的当前流量清洗日志,则确定目标业务受到分布式拒绝服务DDoS攻击。
第三方面,提供了一种面向DDoS防护系统的流量监控设备,包括:处理器和存储器,该存储器用于存储计算机程序,该处理器用于调用并运行该存储器中存储的计算机程序,以执行第一方面的方法。
第四方面,提供了一种计算机可读存储介质,用于存储计算机程序,该计算机程序使得计算机执行第一方面的方法。
综上,在本申请中,服务器获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志;获取用于流量异常检测的至少一个告警基线;根据至少一个告警基线和当前流量转发日志,进行流量异常检测,以确定目标业务的当前流量是否存在异常;若目标业务的当前流量存在异常,则进行清洗日志检测,以确定至少一个业务的当前流量清洗日志中是否存在目标业务的当前流量清洗日志;若至少一个业务的当前流量清洗日志中存在目标业务的当前流量清洗日志,则确定目标业务受到分布式拒绝服务DDoS攻击。从而在当前流量异常的情况下,可以判断出目标业务是否受到DDoS攻击。并且在本申请中,对业务流量的监控可以深入到流量协议类型和转发集群维度等,使得告警准确率更高,定位问题更有效。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的DDoS防护系统的示意图;
图2为本申请实施例提供的面向DDoS防护系统的流量监控方法的流程图;
图3为本申请实施例提供的目标业务A的检测流量界面图;
图4为本申请实施例提供的目标业务A的清洗后流量界面图;
图5为本申请实施例提供的目标业务A的转发入流量界面图;
图6为本申请实施例提供的目标业务A的转发出流量界面图;
图7为本申请实施例提供的目标业务A的TCP会话连接数界面图;
图8为本申请实施例提供的一种面向DDoS防护系统的流量监控装置800的示意图;
图9是本申请实施例提供的面向DDoS防护系统的流量监控设备900的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例可以涉及云安全技术,但不限于此。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
在介绍本申请技术方案之前,下面先对本申请涉及的专业术语进行说明:
DDoS的攻击防护:实质上是资源的对抗,不像病毒木马、网站入侵、数据脱库等悄无声息的攻击方式,DDoS攻击受到的影响更为直观。攻击者的目标很明确,就是通过海量请求,使得被攻击者的网络出现拥塞,或者使对外提供服务的服务器资源耗尽,出现宕机。
转发集群:也被称为转发网关,是一种支持通过负载均衡的策略将流量分发到后端多台设备上的软件或设备。
检测集群:也被称为DDoS检测集群,是用于对流量进行解析和识别判断是否有恶意攻击流量的多台应用服务器。
清洗机群:也被称为DDoS清洗机群,是通过某种验证机制识别并丢弃恶意流量,并返回正常流量的多台应用服务器。
四层转发:根据流量的传输协议端口查表转发流量。
七层转发:根据流量的应用层协议和请求域名查表转发流量。
源站:提供业务服务的应用服务器,也是流量转发的目标服务器。
如上所述,目前引起网络流量异常的原因很多,例如:设备异常可能会造成网络流量异常,或者,DDOS攻击也可能造成网络流量异常。而面向DDoS防护系统如何确定是否由于DDOS攻击造成网络流量异常,是本申请亟待解决的技术问题。
为了解决上述技术问题,本申请结合DDoS防护系统产生的流量转发日志、流量清洗日志来判断流量异常的原因是否为DDOS攻击。
下面将对本申请技术方案进行详细阐述:
图1为本申请实施例提供的DDoS防护系统的示意图,如图1所示,互联网数据中心(Internet Data Center,IDC)机房业务流量首先经过分光进入检测集群,以使检测集群通过对业务流量的分析进行DDoS攻击检测,当检测集群检测到有DDoS攻击,则进行边界网关协议(Border Gateway Protocol,BGP)流量牵引,以将流量牵引到清洗集群进行流量清洗,清洗完成后,再通过BGP回注到转发路径中,由四层和七层转发完成流量的回源。
应理解的是,上述DDoS攻击检测是针对的IDC机房的所有业务流量进行的。
图2为本申请实施例提供的面向DDoS防护系统的流量监控方法的流程图,该方法的执行主体可以是计算机、台式电脑、笔记本电脑、平板电脑等智能设备,例如:该方法的执行主体可以是服务器,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云计算服务的云服务器。下面以该方法的执行主体为服务器对本申请技术方案进行示例性说明,如图2所示,该方法包括如下步骤:
S210:获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志。
S220:获取用于流量异常检测的至少一个告警基线。
S230:根据至少一个告警基线和当前流量转发日志,进行流量异常检测,以确定目标业务的当前流量是否存在异常。
S240:若目标业务的当前流量存在异常,则进行清洗日志检测,以确定至少一个业务的当前流量清洗日志中是否存在目标业务的当前流量清洗日志。
S250:若至少一个业务的当前流量清洗日志中存在目标业务的当前流量清洗日志,则确定目标业务受到分布式拒绝服务DDoS攻击。
可选的,目标业务可以是上述IDC机房涉及的任一任务,该目标业务具有唯一的互联网协议(Internet Protocol,IP)地址。
可选的,在本申请中“当前”可以被理解为当前预设时间段内,例如:假设当前时刻是下午2点,那么“当前”指的是下午1点55至下午2点这段时间。
应理解的是,转发网关可以产生当前流量转发日志,其中,该转发网关包括如图1所示的四层转发对应的转发网关和七层转发对应的转发网关中的至少一项。相应的,当前流量转发日志包括:四层转发对应的转发网关和七层转发对应的转发网关中的至少一项产生的当前流量转发日志。
可选的,当前流量转发日志包括目标业务的IP地址以及以下至少一项:四层转发入流量、四层转发出流量、四层转发入包量、四层转发出包量、七层转发入流量、七层转发出流量、七层转发入包量、七层转发出包量、传输控制协议(Transmission ControlProtocol,TCP)会话连接数、TCP会话新建连接数。
应理解的是,转发入流量指的是从客户端到如图1所示的源站的业务传输流量。相反的,转发出流量指的是从如图1所示的源站到客户端的业务传输流量。
应理解的是,上述TCP会话连接数指的是当前TCP会话连接总数。TCP会话新建连接数指的是在当前TCP会话连接总数相对于采集当前流量转发日志之前的TCP会话连接总数而新增的TCP连接数。
可选的,上述告警基线可以是固定的告警基线,也可以是动态变化的告警基线,本申请对此不做限制。
可选的,该告警基线是目标业务的告警基线,因此,服务可以将目标业务的IP地址作为关键词(Key),将告警基线缓存在Redis缓存中。
可选的,上述至少一个告警基线包括以下至少一项:TCP协议的转发入流量告警基线、TCP协议的转发出流量告警基线、TCP协议的转发入包量告警基线、TCP协议的转发出包量告警基线、用户数据报协议(User Datagram Protocol,UDP)协议的转发入流量告警基线、UDP协议的转发出流量告警基线、UDP协议的转发入包量告警基线、UDP协议的转发出包量告警基线、TCP会话连接数告警基线、TCP新建会话连接数告警基线。
应理解的是,告警基线与当前流量转发日志包括的信息具有对应关系。
示例1,TCP协议的转发入流量告警基线与当前流量转发日志包括的四层转发入流量和七层转发入流量中的至少一项对应,即该TCP协议的转发入流量告警基线是TCP协议的四层转发入流量对应的流量告警基线,或者是TCP协议的七层转发入流量对应的流量告警基线,又或者是TCP协议的四层转发入流量和七层转发入流量的流量和对应的流量告警基线。
示例2,TCP协议的转发出流量告警基线与当前流量转发日志包括的四层转发出流量和七层转发出流量中的至少一项对应,即该TCP协议的转发出流量告警基线是TCP协议的四层转发出流量对应的流量告警基线,或者是TCP协议的七层转发出流量对应的流量告警基线,又或者是TCP协议的四层转发出流量和七层转发出流量的流量和对应的流量告警基线。
示例3,TCP协议的转发入包量告警基线与当前包量转发日志包括的四层转发入包量和七层转发入包量中的至少一项对应,即该TCP协议的转发入包量告警基线是TCP协议的四层转发入包量对应的包量告警基线,或者是TCP协议的七层转发入包量对应的包量告警基线,又或者是TCP协议的四层转发入包量和七层转发入包量的包量和对应的包量告警基线。
示例4,TCP协议的转发出包量告警基线与当前包量转发日志包括的四层转发出包量和七层转发出包量中的至少一项对应,即该TCP协议的转发出包量告警基线是TCP协议的四层转发出包量对应的包量告警基线,或者是TCP协议的七层转发出包量对应的包量告警基线,又或者是TCP协议的四层转发出包量和七层转发出包量的包量和对应的包量告警基线。
示例5,UDP协议的转发入流量告警基线与当前流量转发日志包括的四层转发入流量和七层转发入流量中的至少一项对应,即该UDP协议的转发入流量告警基线是UDP协议的四层转发入流量对应的流量告警基线,或者是UDP协议的七层转发入流量对应的流量告警基线,又或者是UDP协议的四层转发入流量和七层转发入流量的流量和对应的流量告警基线。
示例6,UDP协议的转发出流量告警基线与当前流量转发日志包括的四层转发出流量和七层转发出流量中的至少一项对应,即该UDP协议的转发出流量告警基线是UDP协议的四层转发出流量对应的流量告警基线,或者是UDP协议的七层转发出流量对应的流量告警基线,又或者是UDP协议的四层转发出流量和七层转发出流量的流量和对应的流量告警基线。
示例7,UDP协议的转发入包量告警基线与当前包量转发日志包括的四层转发入包量和七层转发入包量中的至少一项对应,即该UDP协议的转发入包量告警基线是UDP协议的四层转发入包量对应的包量告警基线,或者是UDP协议的七层转发入包量对应的包量告警基线,又或者是UDP协议的四层转发入包量和七层转发入包量的包量和对应的包量告警基线。
示例8,UDP协议的转发出包量告警基线与当前包量转发日志包括的四层转发出包量和七层转发出包量中的至少一项对应,即该UDP协议的转发出包量告警基线是UDP协议的四层转发出包量对应的包量告警基线,或者是UDP协议的七层转发出包量对应的包量告警基线,又或者是UDP协议的四层转发出包量和七层转发出包量的包量和对应的包量告警基线。
示例9,TCP会话连接数告警基线与当前包量转发日志包括的TCP会话连接数对应。
示例10,TCP新建会话连接数告警基线与当前包量转发日志包括的TCP会话新建连接数对应。
应理解的是,服务器可以根据当前流量转发日志中信息和该信息对应的告警基线,判断目标业务的当前流量是否存在异常,具体可以采用如下可实现方式判断目标业务的当前流量是否存在异常,但不限于此:
可选的,若当前流量转发日志包括转发流量,且至少一个告警基线包括TCP协议的转发流量告警基线,则计算转发流量相对于转发流量告警基线的第一变化量,基于第一变化量进行流量异常检测,以确定目标业务的当前流量是否存在异常;或者,
可选的,若当前流量转发日志包括TCP会话连接数,且至少一个告警基线包括TCP会话连接数告警基线,则计算TCP会话连接数相对于TCP会话连接数告警基线的第二变化量,基于第二变化量进行流量异常检测,以确定目标业务的当前流量是否存在异常。
其中,转发入流量告警基线、转发出流量告警基线可以统称为转发流量告警基线,而当前流量转发日志包括的四层转发入流量、四层转发出流量、七层转发入流量、七层转发出流量可以统称为转发流量。
上述第一变化量可以是转发流量相对于转发流量告警基线的增加量或者减少量等。上述第二变化量可以是TCP会话连接数相对于TCP会话连接数告警基线的增加量或者减少量等。
此外,流量也可以通过包量衡量。TCP会话连接数可以是当前TCP总的会话连接数或者是新增的TCP会话连接数,基于此,上述两种可选方式具体可以通过如下可实现方式实现,但不限于此:
可实现方式一:若当前流量转发日志包括四层转发入流量和七层转发入流量中的至少一项,且告警基线包括TCP协议的转发入流量告警基线,则判断目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线的增加量是否大于或等于N1倍,或者目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线减少量是否大于或等于N1倍,或者判断目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线是否归零,N1为正数;相应的,若目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线的增加量大于或等于N1倍,或者目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线减少量大于或等于N1倍或者目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线归零,则判断目标业务的当前流量存在异常。否则,则判断目标业务的当前流量不存在异常。
可实现方式二:若当前流量转发日志包括四层转发出流量和七层转发出流量中的至少一项,且告警基线包括TCP协议的转发出流量告警基线,则判断目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线的增加量是否大于或等于N2倍,或者目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线减少量是否大于或等于N2倍,或者判断目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线是否归零,N2为正数。相应的,若目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线的增加量大于或等于N2倍,或者目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线减少量大于或等于N2倍或者目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线归零,则判断目标业务的当前流量存在异常。否则,则判断目标业务的当前流量不存在异常。
可实现方式三:若当前流量转发日志包括四层转发入包量和七层转发入包量中的至少一项,且告警基线包括TCP协议的转发入包量告警基线,则判断目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线的增加量是否大于或等于N3倍,或者目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线减少量是否大于或等于N3倍,或者判断目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线是否归零,N3为正数;相应的,若目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线的增加量大于或等于N3倍,或者目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线减少量大于或等于N3倍或者目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线归零,则判断目标业务的当前包量存在异常。否则,则判断目标业务的当前包量不存在异常。
可实现方式四:若当前流量转发日志包括四层转发出包量和七层转发出包量中的至少一项,且告警基线包括TCP协议的转发出包量告警基线,则判断目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线的增加量是否大于或等于N4倍,或者目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线减少量是否大于或等于N4倍,或者判断目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线是否归零,N4为正数;相应的,若目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线的增加量大于或等于N4倍,或者目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线减少量大于或等于N4倍或者目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线归零,则判断目标业务的当前包量存在异常。否则,则判断目标业务的当前包量不存在异常。
可实现方式五:若当前流量转发日志包括四层转发入流量和七层转发入流量中的至少一项,且告警基线包括UDP协议的转发入流量告警基线,则判断目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线的增加量是否大于或等于N5倍,或者目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线减少量是否大于或等于N5倍,或者判断目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线是否归零,N5为正数;相应的,若目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线的增加量大于或等于N5倍,或者目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线减少量大于或等于N5倍或者目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线归零,则判断目标业务的当前流量存在异常。否则,则判断目标业务的当前流量不存在异常。
可实现方式六:若当前流量转发日志包括四层转发出流量和七层转发出流量中的至少一项,且告警基线包括UDP协议的转发出流量告警基线,则判断目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线的增加量是否大于或等于N6倍,或者目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线减少量是否大于或等于N6倍,或者判断目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线是否归零,N6为正数;相应的,若目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线的增加量大于或等于N6倍,或者目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线减少量大于或等于N6倍或者目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线归零,则判断目标业务的当前流量存在异常。否则,则判断目标业务的当前流量不存在异常。
可实现方式七:若当前流量转发日志包括四层转发入包量和七层转发入包量中的至少一项,且告警基线包括UDP协议的转发入包量告警基线,则判断目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线的增加量是否大于或等于N7倍,或者目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线减少量是否大于或等于N7倍,或者判断目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线是否归零,N7为正数;相应的,若目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线的增加量大于或等于N7倍,或者目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线减少量大于或等于N7倍或者目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线归零,则判断目标业务的当前包量存在异常。否则,则判断目标业务的当前包量不存在异常。
可实现方式八:若当前流量转发日志包括四层转发出包量和七层转发出包量中的至少一项,且告警基线包括UDP协议的转发出包量告警基线,则判断目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线的增加量是否大于或等于N8倍,或者目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线减少量是否大于或等于N8倍,或者判断目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线是否归零,N8为正数;相应的,若目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线的增加量大于或等于N8倍,或者目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线减少量大于或等于N8倍或者目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线归零,则判断目标业务的当前包量存在异常。否则,则判断目标业务的当前包量不存在异常。
可实现方式九:若当前流量转发日志包括TCP会话连接数,且告警基线包括TCP会话连接数告警基线,则判断TCP会话连接数相对于TCP会话连接数告警基线的增加量是否大于或等于N9倍,或者判断TCP会话连接数相对于TCP会话连接数告警基线的减少量是否大于或等于N9倍,或者判断TCP会话连接数相对于TCP会话连接数告警基线是否归零,N9为正数;相应的,若TCP会话连接数相对于TCP会话连接数告警基线的增加量大于或等于N9倍,或者TCP会话连接数相对于TCP会话连接数告警基线的减少量大于或等于N9倍或者TCP会话连接数相对于TCP会话连接数告警基线归零,则判断目标业务的当前包量存在异常。否则,则判断目标业务的当前包量不存在异常。
可实现方式十:若当前流量转发日志包括TCP新建会话连接数,且告警基线包括TCP新建会话连接数告警基线,则判断TCP新建会话连接数相对于TCP新建会话连接数告警基线的增加量是否大于或等于N10倍,或者判断TCP新建会话连接数相对于TCP新建会话连接数告警基线的减少量是否大于或等于N10倍,或者判断TCP新建会话连接数相对于TCP新建会话连接数告警基线是否归零,N10为正数。相应的,若TCP新建会话连接数相对于TCP新建会话连接数告警基线的增加量大于或等于N10倍,或者TCP新建会话连接数相对于TCP新建会话连接数告警基线的减少量大于或等于N10倍或者TCP新建会话连接数相对于TCP新建会话连接数告警基线归零,则判断目标业务的当前包量存在异常。否则,则判断目标业务的当前包量不存在异常。
可选的,在上述可实现方式一中,目标任务当前TCP协议的转发入流量可以是以下任一项,但不限于此:TCP协议的当前四层转发入流量、TCP协议的当前七层转发入流量、TCP协议的当前四层转发入流量和当前七层转发入流量之和。
可选的,在上述可实现方式二中,目标任务当前TCP协议的转发出流量可以是以下任一项,但不限于此:TCP协议的当前四层转发出流量、TCP协议的当前七层转发出流量、TCP协议的当前四层转发出流量和当前七层转发出流量之和。
可选的,在上述可实现方式三中,目标任务当前TCP协议的转发出包量可以是以下任一项,但不限于此:TCP协议的当前四层转发出包量、TCP协议的当前七层转发出包量、TCP协议的当前四层转发出包量和当前七层转发出包量之和。
可选的,在上述可实现方式四中,目标任务当前TCP协议的转发出包量可以是以下任一项,但不限于此:TCP协议的当前四层转发出包量、TCP协议的当前七层转发出包量、TCP协议的当前四层转发出包量和当前七层转发出包量之和。
可选的,在上述可实现方式五中,目标任务当前UDP协议的转发入流量可以是以下任一项,但不限于此:UDP协议的当前四层转发入流量、UDP协议的当前七层转发入流量、UDP协议的当前四层转发入流量和当前七层转发入流量之和。
可选的,在上述可实现方式六中,目标任务当前UDP协议的转发出流量可以是以下任一项,但不限于此:UDP协议的当前四层转发出流量、UDP协议的当前七层转发出流量、UDP协议的当前四层转发出流量和当前七层转发出流量之和。
可选的,在上述可实现方式七中,目标任务当前UDP协议的转发出包量可以是以下任一项,但不限于此:UDP协议的当前四层转发出包量、UDP协议的当前七层转发出包量、UDP协议的当前四层转发出包量和当前七层转发出包量之和。
可选的,在上述可实现方式八中,目标任务当前UDP协议的转发出包量可以是以下任一项,但不限于此:UDP协议的当前四层转发出包量、UDP协议的当前七层转发出包量、UDP协议的当前四层转发出包量和当前七层转发出包量之和。
可选的,在上述可实现方式九中,当前TCP会话连接数可以为当前TCP会话连接总数。
可选的,在上述可实现方式十中,当前TCP会话新建连接数指的是在当前TCP会话连接总数相对于采集当前流量转发日志之前的TCP会话连接总数而新增的TCP连接数。
应理解的是,上述可实现方式一至十可以任意组合,本申请对此不做限制。
可选的,服务器可以周期性地比较当前流量转发日志中信息和该信息对应的告警基线,本申请对该周期不做限制。
可选的,若目标业务的当前流量存在异常,则服务器可以通过目标业务的IP地址作为关键词(Key)检测是否存在目标业务的当前流量清洗日志。
可选的,目标业务的当前流量清洗日志包括目标业务的IP地址以及以下至少一项:TCP协议的清洗入流量、TCP协议的清洗出流量、TCP协议的清洗入包量、TCP协议的清洗出包量、UDP协议的清洗入流量、UDP协议的清洗出流量、UDP协议的清洗入包量、UDP协议的清洗出包量、互联网控制消息协议(Internet Control Message Protocol,ICMP)协议的清洗入流量、ICMP协议的清洗出流量、ICMP协议的清洗入包量、ICMP协议的清洗出包量。
应理解的是,清洗入流量指的是相对清洗集群的入流量,清洗出流量指的是经过清洗集群清洗之后的出流量。
可选的,若服务器确定目标业务受到DDoS攻击,则推送告警消息,该告警消息用于告警目标业务受到DDoS攻击。
可选的,若目标业务的当前流量存在异常,且不存在目标业务的当前流量清洗日志,则服务器可以进一步产生对应的告警消息。例如:若目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线的增加量大于或等于N1倍,则服务器推送TCP协议的转发入流量飙升告警。若目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线减少量大于或等于N1倍,或者,目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线归零,则服务器推送TCP协议的转发入流量掉底告警。若目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线的增加量大于或等于N2倍,则服务器推送TCP协议的转发出流量飙升告警。若目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线减少量大于或等于N2倍,或者,目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线归零,则服务器推送TCP协议的转发出流量掉底告警。若目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线的增加量大于或等于N3倍,则服务器推送TCP协议的转发入包量飙升告警。若目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线减少量大于或等于N3倍,或者,目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线归零,则服务器推送TCP协议的转发入包量掉底告警。若目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线的增加量大于或等于N4倍,则服务器推送TCP协议的转发出包量飙升告警。若目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线减少量大于或等于N4倍,或者,目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线归零,则服务器推送TCP协议的转发出包量掉底告警。
若目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线的增加量大于或等于N5倍,则服务器推送UDP协议的转发入流量飙升告警。若目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线减少量大于或等于N5倍,或者,目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线归零,则服务器推送UDP协议的转发入流量掉底告警。若目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线的增加量大于或等于N6倍,则服务器推送UDP协议的转发出流量飙升告警。若目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线减少量大于或等于N6倍,或者,目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线归零,则服务器推送UDP协议的转发出流量掉底告警。若目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线的增加量大于或等于N7倍,则服务器推送UDP协议的转发入包量飙升告警。若目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线减少量大于或等于N7倍,或者,目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线归零,则服务器推送UDP协议的转发入包量掉底告警。若目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线的增加量大于或等于N8倍,则服务器推送UDP协议的转发出包量飙升告警。若目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线减少量大于或等于N8倍,或者,目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线归零,则服务器推送UDP协议的转发出包量掉底告警。
若TCP会话连接数相对于TCP会话连接数告警基线的增加量大于或等于N9倍,则服务器推送TCP会话连接数飙升告警。或者若TCP会话连接数相对于TCP会话连接数告警基线的减少量大于或等于N9倍或者TCP会话连接数相对于TCP会话连接数告警基线归零,则服务器推送TCP会话连接数掉底告警。
若TCP新建会话连接数相对于TCP新建会话连接数告警基线的增加量大于或等于N10倍,则服务器推送TCP新建会话连接数飙升告警。或者若TCP新建会话连接数相对于TCP新建会话连接数告警基线的减少量大于或等于N10倍或者TCP新建会话连接数相对于TCP新建会话连接数告警基线归零,则服务器推送TCP新建会话连接数掉底告警。
在本申请中,服务器获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志;获取用于流量异常检测的至少一个告警基线;根据至少一个告警基线和当前流量转发日志,进行流量异常检测,以确定目标业务的当前流量是否存在异常;若目标业务的当前流量存在异常,则进行清洗日志检测,以确定至少一个业务的当前流量清洗日志中是否存在目标业务的当前流量清洗日志;若至少一个业务的当前流量清洗日志中存在目标业务的当前流量清洗日志,则确定目标业务受到分布式拒绝服务DDoS攻击。从而在当前流量异常的情况下,可以判断出目标业务是否受到DDoS攻击。并且在本申请中,对业务流量的监控可以深入到流量协议类型和转发集群维度等,使得告警准确率更高,定位问题更有效。
如上所述,本申请中的告警基线可以是固定的告警基线,也可以是动态变化的告警基线,下面将阐述如何确定动态变化的告警基线。
可选的,服务器可以根据当前流量转发日志和目标业务的历史流量转发日志确定告警基线。
可选的,服务器可以通过自定义开发流式计算插件即告警基线生成程序,实现告警基线的动态生成。
示例性的,服务器中的告警基线生成程序收到目标任务的当前流量转发日志后,自动会缓存该当前流量转发日志,其中该当前流量转发日志可以是一分钟内的流量转发日志。而缓存内可以缓存的是目标业务的最近30分钟的流量转发日志,该最近30分钟的流量转发日志可以包括当前流量转发日志,也可以是当前流量转发日志之前的最近30分钟的流量转发日志,本申请对此不做限制。基于此,服务器可以根据最近30分钟的流量转发日志结合指数平滑方法计算出告警基线,该指数平滑方法可以是一次、二次或者三次指数平滑处理模型等,本申请对此不做限制,其中平滑系数可以取值0.6,但不限于此。
可选的,当服务器当前流量转发日志后,判断该当前流量转发日志是否存在以下问题:
1、获取到的目标业务没有正常的业务流量,只是进行测试会产生部分流量。
2、当前流量转发日志中存在至少一个时间点上的数据丢失情况。
可选的,如果目标业务是没有正常业务流量等毛刺流量,那么服务器可以对当前流量转发日志进行丢弃,从而不会输出告警基线,从而消除了毛刺流量触发的误告警。
可选的,如果当前流量转发日志中存在至少一个时间点上的数据丢失情况,那么服务器可以结合自动流量转发日志来计算出一个修正值。例如:假设时间点a上的数据发生了丢失,而时间点a的前一个时间点a-1上未发生数据丢失,那么服务器可以将该时间点a-1上的数据作为时间点a上的数据,即时间点a上的修正值。
可选的,服务器生成的告警基线可以是不同维度上的告警基线,例如:告警基线包括以下至少一项,但不限于此:TCP协议的转发入流量告警基线、TCP协议的转发出流量告警基线、TCP协议的转发入包量告警基线、TCP协议的转发出包量告警基线、UDP协议的转发入流量告警基线、UDP协议的转发出流量告警基线、UDP协议的转发入包量告警基线、UDP协议的转发出包量告警基线、TCP会话连接数告警基线、TCP新建会话连接数告警基线。
在本申请中,服务器可以动态生成告警基线,从而可以提高判断流量是否异常的准确性。此外,服务器生成的告警基线可以是不同维度上的告警基线,以从不同维度反映流量是否存在异常。
可选的,为了便于研发人员或者用户可以监控流量,本申请还可以对监控流量过程中的各种信息进行可视化处理,具体如下:
可选的,服务器可以从检测集群处采集目标业务的当前流量检测日志,并对当前流量检测日志进行可视化处理。
可选的,当前流量检测日志包括目标业务的IP以及以下至少一项,但不限于此:TCP协议流量及包量、UDP协议流量及包量、ICMP协议流量及包量、TCP-ACK报文流量及包量、TCP-SYN报文流量及包量、TCP-RST报文流量及包量、TCP-FIN报文流量及包量、TCP-URG报文流量及包量。
应理解的是,当前流量检测日志包括的各项报文流量及包量均指的是相对于检测集群的报文入流量及入包量。
示例性的,图3为本申请实施例提供的目标业务A的检测流量界面图,如图3所示,该检测流量包括:TCP流量和UDP流量。
可选的,若存在目标业务的当前流量清洗日志,则服务器可以对当前流量清洗日志包括的清洗前业务流量大小和清洗后业务流量大小进行可视化处理。
示例性的,图4为本申请实施例提供的目标业务A的清洗后流量界面图,如图4所示,该清洗后流量包括:TCP流量和UDP流量。
可选的,服务器还可以对当前流量转发日志进行可视化处理。可选的,服务器对当前流量转发日志进行可视化处理,包括以下至少一项,但不限于此:若当前流量转发日志包括四层转发入流量和七层转发入流量中的至少一项,且告警基线包括TCP协议的转发入流量告警基线,则对目标任务当前TCP协议的转发入流量和告警基线进行可视化处理。若当前流量转发日志包括四层转发出流量和七层转发出流量中的至少一项,且告警基线包括TCP协议的转发出流量告警基线,则对目标任务当前TCP协议的转发出流量和TCP协议的转发出流量告警基线进行可视化处理。若当前流量转发日志包括四层转发入包量和七层转发入包量中的至少一项,且告警基线包括TCP协议的转发入包量告警基线,则对目标任务当前TCP协议的转发入包量和TCP协议的转发入包量告警基线进行可视化处理。若当前流量转发日志包括四层转发出包量和七层转发出包量中的至少一项,且告警基线包括TCP协议的转发出包量告警基线,则对目标任务当前TCP协议的转发出包量和TCP协议的转发出包量告警基线进行可视化处理。若当前流量转发日志包括四层转发入流量和七层转发入流量中的至少一项,且告警基线包括UDP协议的转发入流量告警基线,则对目标任务当前UDP协议的转发入流量和UDP协议的转发入流量告警基线进行可视化处理。若当前流量转发日志包括四层转发出流量和七层转发出流量中的至少一项,且告警基线包括UDP协议的转发出流量告警基线,则对目标任务当前UDP协议的转发出流量和UDP协议的转发出流量告警基线进行可视化处理。若当前流量转发日志包括四层转发入包量和七层转发入包量中的至少一项,且告警基线包括UDP协议的转发入包量告警基线,则对目标任务当前UDP协议的转发入包量和UDP协议的转发入包量告警基线进行可视化处理。若当前流量转发日志包括四层转发出包量和七层转发出包量中的至少一项,且告警基线包括UDP协议的转发出包量告警基线,则对目标任务当前UDP协议的转发出包量和UDP协议的转发出包量告警基线进行可视化处理。若当前流量转发日志包括TCP会话连接数,且告警基线包括TCP会话连接数告警基线,则对目标任务当前TCP会话连接数和TCP会话连接数告警基线进行可视化处理。若当前流量转发日志包括TCP新建会话连接数,且告警基线包括TCP新建会话连接数告警基线,则对目标任务当前TCP新建会话连接数和TCP新建会话连接数告警基线进行可视化处理。
示例性的,图5为本申请实施例提供的目标业务A的转发入流量界面图,如图5所示,该界面还显示了转发入流量告警基线,需要说明的是,这里的转发入流量可以是四层转发入流量和七层转发入流量中的至少一项,可以是TCP协议的转发入流量或者UDP协议的转发入流量,相应的,告警基线可以是TCP协议的转发入流量告警基线或者UDP协议的转发入流量告警基线。
示例性的,图6为本申请实施例提供的目标业务A的转发出流量界面图,如图6所示,该界面还显示了转发出流量告警基线,需要说明的是,这里的转发出流量可以是四层转发出流量和七层转发出流量中的至少一项,可以是TCP协议的转发出流量或者UDP协议的转发出流量,相应的,告警基线可以是TCP协议的转发出流量告警基线或者UDP协议的转发出流量告警基线。
示例性的,图7为本申请实施例提供的目标业务A的TCP会话连接数界面图,如图7所示,该界面还显示了TCP会话连接数告警基线。
可选的,在本申请中,考虑到每分钟采集的日志数据量比较大,服务器可以采用带有消息队列中间件方式的分布式日志实时处理架构,例如采用的消息中间件是开源的kafka,利用kafka的client开发库来进行日志的实时接收与处理。
可选的,服务器在采集到当前流量检测日志和当前流量转发日志之后,根据目标业务的IP,可以从缓存中匹配该目标业务的属性信息,并将这些属性信息作为标签添加至当前流量检测日志和当前流量转发日志。
可选的,若存在目标业务的当前流量清洗日志,则服务器根据目标业务的IP,可以从缓存中匹配该目标业务的属性信息,并将这些属性信息作为标签添加至当前流量清洗日志。
可选的,服务器可以通过业务属性打标系统将目标业务的属性信息实时更新到内存缓存中。在从缓存中匹配该目标业务的属性信息的过程中,服务器可以采用开源的Redis缓存中间件,处理日志程序逐条处理日志数据,通过将日志中的目标业务的IP作为Key去查找缓存中的属性信息。
可选的,目标业务的属性信息包括以下至少一项,但不限于此:
目标业务对应的转发集群;
目标业务对应的用户名称;
目标业务对应的用户等级;
目标业务对应的带宽配置;
目标业务是否开启DDoS防护;
目标业务对应的负责人信息。
可选的,服务器可以将带有标签的当前流量检测日志、当前流量转发日志和当前流量清洗日志写入至实时流式计算平台的接收缓存队列中,为实时统计分析提供实时数据,同时也将带有标签的当前流量检测日志、当前流量转发日志和当前流量清洗日志写入到搜索查询平台中,为后续的日志溯源提供查询能力,其中搜索查询平台和实时统计分析平台是基于Elastic Search+Kibana二次开发的cms监控告警平台。
可选的,上述当前流量检测日志、当前流量转发日志和当前流量清洗日志中的数据可以写入到分布式存储中,例如可以采用Druid分布式存储中间件,以很好的满足各个维度的数据应用场景,提供了高并发的快速写入数据和高并发的低延时的查询响应能力。同时能无缝对接开源的Grafana可视化Web组件,方便实现数据的可视化监控展示。
可选的,服务器还可以基于不同的统计维度,统计流量检测日志、流量转发日志、流量清洗日志等。其中,统计维度可以是转发集群维度、用户名称维度、用户等级维度、带宽配置维度、是否开启DDoS防护维度、负责人信息维度、业务IP+流量协议维度等。例如:服务器可以基于转发集群维度统计流量检测日志,基于用户名称维度统计流量转发日志等。
可选的,服务器在推送告警消息的同时,可以对告警消息进行可视化处理。
在本申请中,服务器可以可视化流量监控过程中的各项信息或者数据等,可供业务负责人和运维人员进行数据查询,分析等。面对互联网服务受到DDoS攻击的风险越来越大,给服务运营商的运维人员保障业务可用带来了极大的挑战,通过面向DDoS防护系统的流量监控方案,可以有效的帮助运维人员及时感知到业务是否异常以及是否受到攻击,从而采取有效的恢复措施来快速恢复业务可用。
图8为本申请实施例提供的一种面向DDoS防护系统的流量监控装置800的示意图,如图8所示,该装置800包括:
第一获取模块801,用于获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志;
第二获取模块802,用于获取用于流量异常检测的至少一个告警基线;
流量异常检测模块803,用于根据至少一个告警基线和当前流量转发日志,进行流量异常检测,以确定目标业务的当前流量是否存在异常;
清洗日志检测模块804,用于若目标业务的当前流量存在异常,则进行清洗日志检测,以确定至少一个业务的当前流量清洗日志中是否存在目标业务的当前流量清洗日志;
第一确定模块805,用于若至少一个业务的当前流量清洗日志中存在目标业务的当前流量清洗日志,则确定目标业务受到分布式拒绝服务DDoS攻击。
可选的,该装置800还包括:第二确定模块806,用于根据当前流量转发日志和目标业务的历史流量转发日志确定至少一个告警基线。
可选的,第二确定模块806具体用于对当前流量转发日志和目标业务的历史流量转发日志采用指数平滑方法,以确定至少一个告警基线。
可选的,当前流量转发日志包括目标业务的互联网协议IP地址以及以下至少一项:四层转发入流量、四层转发出流量、四层转发入包量、四层转发出包量、七层转发入流量、七层转发出流量、七层转发入包量、七层转发出包量、传输控制协议TCP会话连接数、TCP会话新建连接数。
可选的,告警基线包括以下至少一项:
TCP协议的转发入流量告警基线。
TCP协议的转发出流量告警基线。
TCP协议的转发入包量告警基线。
TCP协议的转发出包量告警基线。
用户数据报协议UDP协议的转发入流量告警基线。
UDP协议的转发出流量告警基线。
UDP协议的转发入包量告警基线。
UDP协议的转发出包量告警基线。
TCP会话连接数告警基线。
TCP新建会话连接数告警基线。
可选的,流量异常检测模块803具体用于:若当前流量转发日志包括转发流量,且至少一个告警基线包括TCP协议的转发流量告警基线,则计算转发流量相对于转发流量告警基线的第一变化量,基于第一变化量进行流量异常检测,以确定目标业务的当前流量是否存在异常;或者,若当前流量转发日志包括TCP会话连接数,且至少一个告警基线包括TCP会话连接数告警基线,则计算TCP会话连接数相对于TCP会话连接数告警基线的变化量,基于第二变化量进行流量异常检测,以确定目标业务的当前流量是否存在异常。
可选的,流量异常检测模块803具体用于:若当前流量转发日志包括四层转发入流量和七层转发入流量中的至少一项,且告警基线包括TCP协议的转发入流量告警基线,则判断目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线的增加量是否大于或等于N1倍,或者目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线减少量是否大于或等于N1倍,或者判断目标任务当前TCP协议的转发入流量相对于TCP协议的转发入流量告警基线是否归零,N1为正数。若当前流量转发日志包括四层转发出流量和七层转发出流量中的至少一项,且告警基线包括TCP协议的转发出流量告警基线,则判断目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线的增加量是否大于或等于N2倍,或者目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线减少量是否大于或等于N2倍,或者判断目标任务当前TCP协议的转发出流量相对于TCP协议的转发出流量告警基线是否归零,N2为正数。若当前流量转发日志包括四层转发入包量和七层转发入包量中的至少一项,且告警基线包括TCP协议的转发入包量告警基线,则判断目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线的增加量是否大于或等于N3倍,或者目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线减少量是否大于或等于N3倍,或者判断目标任务当前TCP协议的转发入包量相对于TCP协议的转发入包量告警基线是否归零,N3为正数。若当前流量转发日志包括四层转发出包量和七层转发出包量中的至少一项,且告警基线包括TCP协议的转发出包量告警基线,则判断目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线的增加量是否大于或等于N4倍,或者目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线减少量是否大于或等于N4倍,或者判断目标任务当前TCP协议的转发出包量相对于TCP协议的转发出包量告警基线是否归零,N4为正数。若当前流量转发日志包括四层转发入流量和七层转发入流量中的至少一项,且告警基线包括UDP协议的转发入流量告警基线,则判断目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线的增加量是否大于或等于N5倍,或者目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线减少量是否大于或等于N5倍,或者判断目标任务当前UDP协议的转发入流量相对于UDP协议的转发入流量告警基线是否归零,N5为正数。若当前流量转发日志包括四层转发出流量和七层转发出流量中的至少一项,且告警基线包括UDP协议的转发出流量告警基线,则判断目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线的增加量是否大于或等于N6倍,或者目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线减少量是否大于或等于N6倍,或者判断目标任务当前UDP协议的转发出流量相对于UDP协议的转发出流量告警基线是否归零,N6为正数。若当前流量转发日志包括四层转发入包量和七层转发入包量中的至少一项,且告警基线包括UDP协议的转发入包量告警基线,则判断目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线的增加量是否大于或等于N7倍,或者目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线减少量是否大于或等于N7倍,或者判断目标任务当前UDP协议的转发入包量相对于UDP协议的转发入包量告警基线是否归零,N7为正数。若当前流量转发日志包括四层转发出包量和七层转发出包量中的至少一项,且告警基线包括UDP协议的转发出包量告警基线,则判断目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线的增加量是否大于或等于N8倍,或者目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线减少量是否大于或等于N8倍,或者判断目标任务当前UDP协议的转发出包量相对于UDP协议的转发出包量告警基线是否归零,N8为正数。若当前流量转发日志包括TCP会话连接数,且告警基线包括TCP会话连接数告警基线,则判断TCP会话连接数相对于TCP会话连接数告警基线的增加量是否大于或等于N9倍,或者判断TCP会话连接数相对于TCP会话连接数告警基线的减少量是否大于或等于N9倍,或者判断TCP会话连接数相对于TCP会话连接数告警基线是否归零,N9为正数。若当前流量转发日志包括TCP新建会话连接数,且告警基线包括TCP新建会话连接数告警基线,则判断TCP新建会话连接数相对于TCP新建会话连接数告警基线的增加量是否大于或等于N10倍,或者判断TCP新建会话连接数相对于TCP新建会话连接数告警基线的减少量是否大于或等于N10倍,或者判断TCP新建会话连接数相对于TCP新建会话连接数告警基线是否归零,N10为正数。
可选的,该装置800还包括:可视化处理模块807,用于若当前流量转发日志包括转发流量,且至少一个告警基线包括TCP协议的转发流量告警基线,则对转发流量和转发流量告警基线进行可视化处理;或者,若当前流量转发日志包括TCP会话连接数,且至少一个告警基线包括TCP会话连接数告警基线,则对TCP会话连接数和TCP会话连接数告警基线进行可视化处理。
可选的,可视化处理模块807具体用于:若当前流量转发日志包括四层转发入流量和七层转发入流量中的至少一项,且告警基线包括TCP协议的转发入流量告警基线,则对目标任务当前TCP协议的转发入流量和告警基线进行可视化处理;若当前流量转发日志包括四层转发出流量和七层转发出流量中的至少一项,且告警基线包括TCP协议的转发出流量告警基线,则对目标任务当前TCP协议的转发出流量和TCP协议的转发出流量告警基线进行可视化处理;若当前流量转发日志包括四层转发入包量和七层转发入包量中的至少一项,且告警基线包括TCP协议的转发入包量告警基线,则对目标任务当前TCP协议的转发入包量和TCP协议的转发入包量告警基线进行可视化处理;若当前流量转发日志包括四层转发出包量和七层转发出包量中的至少一项,且告警基线包括TCP协议的转发出包量告警基线,则对目标任务当前TCP协议的转发出包量和TCP协议的转发出包量告警基线进行可视化处理;若当前流量转发日志包括四层转发入流量和七层转发入流量中的至少一项,且告警基线包括UDP协议的转发入流量告警基线,则对目标任务当前UDP协议的转发入流量和UDP协议的转发入流量告警基线进行可视化处理;若当前流量转发日志包括四层转发出流量和七层转发出流量中的至少一项,且告警基线包括UDP协议的转发出流量告警基线,则对目标任务当前UDP协议的转发出流量和UDP协议的转发出流量告警基线进行可视化处理;若当前流量转发日志包括四层转发入包量和七层转发入包量中的至少一项,且告警基线包括UDP协议的转发入包量告警基线,则对目标任务当前UDP协议的转发入包量和UDP协议的转发入包量告警基线进行可视化处理;若当前流量转发日志包括四层转发出包量和七层转发出包量中的至少一项,且告警基线包括UDP协议的转发出包量告警基线,则对目标任务当前UDP协议的转发出包量和UDP协议的转发出包量告警基线进行可视化处理;若当前流量转发日志包括TCP会话连接数,且告警基线包括TCP会话连接数告警基线,则对目标任务当前TCP会话连接数和TCP会话连接数告警基线进行可视化处理;若当前流量转发日志包括TCP新建会话连接数,且告警基线包括TCP新建会话连接数告警基线,则对目标任务当前TCP新建会话连接数和TCP新建会话连接数告警基线进行可视化处理。
可选的,该装置800还包括:推送模块808,用于若确定目标业务受到DDoS攻击,则推送告警消息。可视化处理模块807还用于对告警消息进行可视化处理。
可选的,该装置800还包括:第三获取模块809,用于获取来自于检测集群的目标业务的当前流量检测日志,可视化处理模块807还用于对当前流量检测日志进行可视化处理。
可选的,该装置800还包括:添加模块810,用于采用开源的Redis缓存中间件,通过将当前流量检测日志中的目标业务的互联网协议IP地址作为关键词,以查找缓存中目标业务的属性信息;向当前流量检测日志添加标签,标签为目标业务的属性信息。
可选的,添加模块810还用于采用开源的Redis缓存中间件,通过将当前流量转发日志中的目标业务的IP地址作为关键词,以查找缓存中目标业务的属性信息;向当前流量转发日志添加标签,标签为目标业务的属性信息。
可选的,可视化处理模块807还用于若至少一个业务的当前流量清洗日志中存在目标业务的当前流量清洗日志,则对当前流量清洗日志包括的清洗前业务流量大小和清洗后业务流量大小进行可视化处理。
可选的,添加模块810还用于
若至少一个业务的当前流量清洗日志中存在目标业务的当前流量清洗日志,则向当前流量检测日志添加标签,标签为目标业务的属性信息。
应理解的是,装置实施例与方法实施例可以相互对应,类似的描述可以参照方法实施例。为避免重复,此处不再赘述。具体地,图8所示的装置800可以执行上述方法实施例,并且装置800中的各个模块的前述和其它操作和/或功能分别为了实现各个方法中的相应流量,为了简洁,在此不再赘述。
上文中结合附图从功能模块的角度描述了本申请实施例的装置800。应理解,该功能模块可以通过硬件形式实现,也可以通过软件形式的指令实现,还可以通过硬件和软件模块组合实现。具体地,本申请实施例中的方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路和/或软件形式的指令完成,结合本申请实施例公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。可选地,软件模块可以位于随机存储器,闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等本领域的成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法实施例中的步骤。
图9是本申请实施例提供的面向DDoS防护系统的流量监控设备900的示意性框图。
如图9所示,该面向DDoS防护系统的流量监控设备900可包括:
存储器910和处理器920,该存储器910用于存储计算机程序,并将该程序代码传输给该处理器920。换言之,该处理器920可以从存储器910中调用并运行计算机程序,以实现本申请实施例中的方法。
例如,该处理器920可用于根据该计算机程序中的指令执行上述方法实施例。
在本申请的一些实施例中,该处理器920可以包括但不限于:
通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等等。
在本申请的一些实施例中,该存储器910包括但不限于:
易失性存储器和/或非易失性存储器。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synch link DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。
在本申请的一些实施例中,该计算机程序可以被分割成一个或多个模块,该一个或者多个模块被存储在该存储器910中,并由该处理器920执行,以完成本申请提供的方法。该一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述该计算机程序在该面向DDoS防护系统的流量监控设备中的执行过程。
如图9所示,该面向DDoS防护系统的流量监控设备还可包括:
收发器930,该收发器930可连接至该处理器920或存储器910。
其中,处理器920可以控制该收发器930与其他设备进行通信,具体地,可以向其他设备发送信息或数据,或接收其他设备发送的信息或数据。收发器930可以包括发射机和接收机。收发器930还可以进一步包括天线,天线的数量可以为一个或多个。
应当理解,该面向DDoS防护系统的流量监控设备中的各个组件通过总线系统相连,其中,总线系统除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。
本申请还提供了一种计算机存储介质,其上存储有计算机程序,该计算机程序被计算机执行时使得该计算机能够执行上述方法实施例的方法。或者说,本申请实施例还提供一种包含指令的计算机程序产品,该指令被计算机执行时使得计算机执行上述方法实施例的方法。
当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时,全部或部分地产生按照本申请实施例该的流量或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如数字视频光盘(digital video disc,DVD))、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,该模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。例如,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
以上该,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以该权利要求的保护范围为准。
Claims (14)
1.一种面向DDoS防护系统的流量监控方法,其特征在于,包括:
获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志;
获取用于流量异常检测的至少一个告警基线;
根据所述至少一个告警基线和所述当前流量转发日志,进行流量异常检测,以确定所述目标业务的当前流量是否存在异常;
若所述目标业务的当前流量存在异常,则进行清洗日志检测,以确定所述至少一个业务的当前流量清洗日志中是否存在所述目标业务的当前流量清洗日志;
若所述至少一个业务的当前流量清洗日志中存在所述目标业务的当前流量清洗日志,则确定所述目标业务受到分布式拒绝服务DDoS攻击。
2.根据权利要求1所述的方法,其特征在于,所述根据所述至少一个告警基线和所述当前流量转发日志,进行流量异常检测,以确定所述目标业务的当前流量是否存在异常之前,还包括:
根据所述当前流量转发日志和所述目标业务的历史流量转发日志确定所述至少一个告警基线。
3.根据权利要求2所述的方法,其特征在于,所述根据所述当前流量转发日志和所述目标业务的历史流量转发日志确定所述至少一个告警基线,包括:
对所述当前流量转发日志和所述目标业务的历史流量转发日志采用指数平滑方法,以确定所述至少一个告警基线。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述至少一个告警基线和所述当前流量转发日志,进行流量异常检测,以确定所述目标业务的当前流量是否存在异常,包括:
若所述当前流量转发日志包括转发流量,且所述至少一个告警基线包括TCP协议的转发流量告警基线,则计算所述转发流量相对于所述转发流量告警基线的第一变化量,基于所述第一变化量进行流量异常检测,以确定所述目标业务的当前流量是否存在异常;或者,
若所述当前流量转发日志包括TCP会话连接数,且所述至少一个告警基线包括TCP会话连接数告警基线,则计算所述TCP会话连接数相对于所述TCP会话连接数告警基线的第二变化量,基于所述第二变化量进行流量异常检测,以确定所述目标业务的当前流量是否存在异常。
5.根据权利要求4所述的方法,其特征在于,还包括:
若所述当前流量转发日志包括转发流量,且所述至少一个告警基线包括TCP协议的转发流量告警基线,则对所述转发流量和所述转发流量告警基线进行可视化处理;或者,
若所述当前流量转发日志包括TCP会话连接数,且所述至少一个告警基线包括TCP会话连接数告警基线,则对所述TCP会话连接数和所述TCP会话连接数告警基线进行可视化处理。
6.根据权利要求1-3任一项所述的方法,其特征在于,还包括:
若确定所述目标业务受到DDoS攻击,则推送告警消息;
对所述告警消息进行可视化处理。
7.根据权利要求1-3任一项所述的方法,其特征在于,还包括:
获取来自于检测集群的所述目标业务的当前流量检测日志;
对所述当前流量检测日志进行可视化处理。
8.根据权利要求7所述的方法,其特征在于,还包括:
采用开源的Redis缓存中间件,通过将所述当前流量检测日志中的目标业务的互联网协议IP地址作为关键词,以查找缓存中所述目标业务的属性信息;
向所述当前流量检测日志添加标签,所述标签为所述目标业务的属性信息。
9.根据权利要求1-3任一项所述的方法,其特征在于,还包括:
采用开源的Redis缓存中间件,通过将所述当前流量转发日志中的目标业务的IP地址作为关键词,以查找缓存中所述目标业务的属性信息;
向所述当前流量转发日志添加标签,所述标签为所述目标业务的属性信息。
10.根据权利要求1-3任一项所述的方法,其特征在于,还包括:
若所述至少一个业务的当前流量清洗日志中存在所述目标业务的当前流量清洗日志,则对所述当前流量清洗日志包括的清洗前业务流量大小和清洗后业务流量大小进行可视化处理。
11.根据权利要求10所述的方法,其特征在于,还包括:
若所述至少一个业务的当前流量清洗日志中存在所述目标业务的当前流量清洗日志,则向所述当前流量检测日志添加标签,所述标签为所述目标业务的属性信息。
12.一种面向DDoS防护系统的流量监控装置,其特征在于,包括:
第一获取模块,用于获取来自于转发网关的目标业务的当前流量转发日志和来自于清洗集群的至少一个业务的当前流量清洗日志;
第二获取模块,用于获取用于流量异常检测的至少一个告警基线;
流量异常检测模块,用于根据所述至少一个告警基线和所述当前流量转发日志,进行流量异常检测,以确定所述目标业务的当前流量是否存在异常;
清洗日志检测模块,用于若所述目标业务的当前流量存在异常,则进行清洗日志检测,以确定所述至少一个业务的当前流量清洗日志中是否存在所述目标业务的当前流量清洗日志;
第一确定模块,用于若所述至少一个业务的当前流量清洗日志中存在所述目标业务的当前流量清洗日志,则确定所述目标业务受到分布式拒绝服务DDoS攻击。
13.一种面向DDoS防护系统的流量监控设备,其特征在于,包括:
处理器和存储器,所述存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,以执行权利要求1至11中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,用于存储计算机程序,所述计算机程序使得计算机执行如权利要求1至11中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110285473.0A CN115150108A (zh) | 2021-03-17 | 2021-03-17 | 面向DDoS防护系统的流量监控方法、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110285473.0A CN115150108A (zh) | 2021-03-17 | 2021-03-17 | 面向DDoS防护系统的流量监控方法、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115150108A true CN115150108A (zh) | 2022-10-04 |
Family
ID=83404309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110285473.0A Pending CN115150108A (zh) | 2021-03-17 | 2021-03-17 | 面向DDoS防护系统的流量监控方法、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115150108A (zh) |
-
2021
- 2021-03-17 CN CN202110285473.0A patent/CN115150108A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
US11750631B2 (en) | System and method for comprehensive data loss prevention and compliance management | |
US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
US20200296137A1 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US10944795B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
US10735456B2 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US20190034254A1 (en) | Application-based network anomaly management | |
US10862921B2 (en) | Application-aware intrusion detection system | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
US9246774B2 (en) | Sample based determination of network policy violations | |
CN115150108A (zh) | 面向DDoS防护系统的流量监控方法、设备及介质 | |
Sharma et al. | DDoS prevention architecture using anomaly detection in fog-empowered networks | |
CN117040916A (zh) | 一种窃密检测方法装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |