CN116074088A - DDoS扫段攻击检测方法、装置、电子设备及介质 - Google Patents

Abstract

本公开提供了一种DDoS扫段攻击检测方法、装置、电子设备及存储介质，涉及网络安全技术领域。其中，方法包括：获取每个检测周期内发送至目标设备的流量日志；按照IP地址对流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的多个连续相邻IP数据流按照IP地址进行累加，得到多个IP数据流集合；当第一IP数据流集合的数据大小大于预设检测阈值时，确定第一IP数据流集合中的IP数据流为攻击流量数据，并根据第一IP数据流集合生成第一攻击事件。本公开可以有效识别数据流量中的分散攻击，提高了对异常数据的检测效果。

Description

DDoS扫段攻击检测方法、装置、电子设备及介质

背景技术

DDoS(Distributed Denial of Service，分布式拒绝服务)，是指利用大量合法的分布式服务器向目标发送请求，从而导致正常合法用户无法获得服务。

现有异常攻击检测主要是针对单一(Internet Protocol，网际互连协议)IP为攻击目标的流量异常检测，通过对该目标地址流量中的各种特征进行分类筛查，然后，依据行业经验设定阈值，当相关分类的流量超过对应的阈值时，便会产生告警事件。

然而，现有异常攻击检测仅可以发现相当部分的攻击，对于分散型、多目标、小流量、以占用链路带宽为目的的攻击流量无法有效检测。

基于此，如何检测流量数据中的分散攻击成为了亟需解决的技术问题。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开提供一种DDoS扫段攻击检测方法、装置、电子设备及存储介质，至少在一定程度上克服相关技术中无法检测分散攻击的问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一个方面，提供一种DDoS扫段攻击检测方法，包括：获取每个检测周期内发送至目标设备的流量日志，其中，所述流量日志包含多组网际互连协议IP数据流以及各个IP数据流的IP地址信息和流量信息；按照IP地址对所述流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的多个连续相邻IP数据流按照IP地址进行累加，得到多个IP数据流集合，其中，两个相邻IP数据流中较小的IP数据流的流量间浮动比为这两个相邻IP数据流之间数据大小的差值与其中较大的IP数据流的比值，所述多个IP数据流集合中包含第一IP数据流集合；当第一IP数据流集合的数据大小大于预设检测阈值时，确定所述第一IP数据流集合中的IP数据流为攻击流量数据，并根据所述第一IP数据流集合生成第一攻击事件。

在本公开的一个实施例中，获取每个检测周期内发送至目标设备的流量数据，包括：获取所述目标设备的设备标识，其中，所述设备标识为设备接口索引和IP地址中的至少一种；根据所述目标设备的设备标识，获取每个检测周期内发送至所述目标设备的流量数据。

在本公开的一个实施例中，在获取每个检测周期内发送至目标设备的流量日志之后，所述方法还包括：对所述流量日志中小于预设流量大小的IP流量进行过滤，以过滤符合路由协议的数据流量。

在本公开的一个实施例中，所述方法还包括：获取多个检测周期内生成的攻击事件，以及每个攻击事件的事件标识；根据所述事件标识对多个攻击事件进行合并，得到第二攻击事件。

在本公开的一个实施例中，所述事件标识为攻击对象和攻击类型中的至少一种；根据所述攻击对象和/或攻击类型，对多个攻击事件进行合并，得到第二攻击事件。

在本公开的一个实施例中，所述方法还包括：确定所述第二攻击事件的第二持续时长；在所述第二攻击事件连续攻击，且所述第二持续时长未达到预设持续时长的情况下，将所述第二攻击事件标记为疑似攻击；在所述第二攻击事件连续攻击，且所述第二持续时长达到预设持续时长的情况下，将所述第二攻击事件标记为攻击开始。

在本公开的一个实施例中，所述方法还包括：确定所述第二攻击事件的第二恢复时长；在所述第二攻击事件中断攻击，且所述第二恢复时长未达到预设恢复时长的情况下，将所述第二攻击事件标记为攻击中断；在所述第二攻击事件中断攻击，且所述第二恢复时长达到预设恢复时长的情况下，将所述第二攻击事件标记为攻击结束。

在本公开的一个实施例中，上述方法还包括：当第一IP数据流集合的第一IP个数占比大于预设IP个数占比时，确定所述第一IP数据流集合为攻击流量数据，并根据所述第一IP数据流集合生成第一攻击事件，其中，所述第一IP个数占比为所述第一IP数据流集合与所述流量日志之间IP数据流总数量的比值。

在本公开的一个实施例中，所述预设检测阈值设置为固定检测阈值；或者，通过以下步骤确定所述目标设备在t时间点的预设检测阈值：获取目标设备邻近当前时刻的最近n天的同比流量数据F组成的集合P，其中，P＝{F_i|1≤i≤n|}；去除掉集合P中的最大值F_max和最小值F_min得到集合Q，其中，Q＝P-{F_min,F_max}；对集合Q中的元素按照对应日期的前后顺序进行正序排列，得到有序集合D，其中，D＝{D₁,D₂,…,D_n-2}；通过以下公式计算t时间点的基线B_t：

通过以下公式计算所述目标设备在t时间点的阈值T_t：

T_t＝B_t·C

其中，C为预设浮动系数，当T_t≤BW时，所述目标设备在t时间点的预设检测阈值取值为T_t；当T_t＞BW，所述目标设备在t时间点的预设检测阈值取值为BW，BW为接口带宽。

根据本公开的另一个方面，提供一种DDoS扫段攻击检测装置，包括：数据获取模块，用于获取每个检测周期内发送至目标设备的流量日志，其中，所述流量日志包含多组IP数据流以及各个IP数据流的IP地址信息和流量信息；数据累加模块，用于按照IP地址对所述流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的多个连续相邻IP数据流按照IP地址进行累加，得到多个IP数据流集合，其中，两个相邻IP数据流中较小的IP数据流的流量间浮动比为这两个相邻IP数据流之间数据大小的差值与其中较大的IP数据流的比值，所述多个IP数据流集合中包含第一IP数据流集合；攻击识别模块，用于当第一IP数据流集合的数据大小大于预设检测阈值时，确定所述第一IP数据流集合为攻击流量数据，并根据所述第一IP数据流集合生成第一攻击事件。

在本公开的一个实施例中，上述数据获取模块，还用于获取所述目标设备的设备标识；根据所述目标设备的设备标识，其中，所述设备标识为设备接口索引和IP地址中的至少一种，获取每个检测周期内发送至所述目标设备的流量数据。

在本公开的一个实施例中，在获取每个检测周期内发送至目标设备的流量日志之后，所述方法还包括：对所述流量日志中小于预设流量大小的IP流量进行过滤，以过滤符合路由协议的数据流量。

在本公开的一个实施例中，上述装置还包括数据过滤模块，该数据过滤模块用于对所述流量日志中小于预设流量大小的IP数据流进行过滤，以过滤符合路由协议的数据流量。

在本公开的一个实施例中，上述装置还包括事件合并模块，该事件合并模块，用于获取多个检测周期内生成的攻击事件，以及每个攻击事件的事件标识；根据所述事件标识对多个攻击事件进行合并，得到第二攻击事件。

在本公开的一个实施例中，上述事件合并模块，还用于所述事件标识为攻击对象和攻击类型中的至少一种；根据所述攻击对象和/或攻击类型，对多个攻击事件进行合并，得到第二攻击事件。

在本公开的一个实施例中，上述装置还包括事件标记模块，该事件标记模块，用于确定所述第二攻击事件的第二持续时长；在所述第二攻击事件连续攻击，且所述第二持续时长未达到预设持续时长的情况下，将所述第二攻击事件标记为疑似攻击；在所述第二攻击事件连续攻击，且所述第二持续时长达到预设持续时长的情况下，将所述第二攻击事件标记为攻击开始。

在本公开的一个实施例中，上述事件标记模块，还用于确定所述第二攻击事件的第二恢复时长；在所述第二攻击事件中断攻击，且所述第二恢复时长未达到预设恢复时长的情况下，将所述第二攻击事件标记为攻击中断；在所述第二攻击事件中断攻击，且所述第二恢复时长达到预设恢复时长的情况下，将所述第二攻击事件标记为攻击结束。

在本公开的一个实施例中，上述攻击识别模块，还用于当第一IP数据流集合的第一IP个数占比大于预设IP个数占比时，确定所述第一IP数据流集合为攻击流量数据，并根据所述第一IP数据流集合生成第一攻击事件，其中，所述第一IP个数占比为所述第一IP数据流集合与所述流量日志之间IP数据流总数量的比值。

根据本公开的再一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的DDoS扫段攻击检测方法。

根据本公开的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的DDoS扫段攻击检测方法。

本公开的实施例所提供的一种DDoS扫段攻击检测方法、装置、电子设备及存储介质，其中，DDoS扫段攻击检测方法包括：获取每个检测周期内发送至目标设备的流量数据，其中，流量日志包含多个网际互连协议IP数据流以及各个IP数据流的IP地址信息和流量信息；按照IP地址对流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的IP数据流按照IP地址进行累加，得到多个IP数据流集合，其中，多个IP数据流集合中包含第一IP数据流集合；当第一IP数据流集合的数据大小大于预设检测阈值时，确定第一IP数据流集合中的IP数据流为攻击流量数据，并根据第一IP数据流集合生成第一攻击事件。本公开可以有效识别数据流量中的分散攻击，提高了对异常数据的检测效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本公开实施例中一种通信系统结构的示意图；

图2示出本公开实施例中一种DDoS扫段攻击检测方法流程图；

图3示出本公开实施例中另一种DDoS扫段攻击检测方法流程图；

图4示出本公开实施例中另一种DDoS扫段攻击检测方法流程图；

图5示出本公开实施例中一种DDoS扫段攻击检测方法示意图；

图6示出本公开实施例中另一种DDoS扫段攻击检测方法示意图；

图7示出本公开实施例中一种DDoS扫段攻击检测装置示意图；和

图8示出本公开实施例中一种电子设备的结构框图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

正如前述背景技术中所提及的，现有异常攻击检测主要是针对单一IP为攻击目标的流量异常检测，通过对该目标地址流量中的各种特征进行分类筛查，然后，依据行业经验设定阈值，当相关分类的流量超过对应的阈值时，便会产生告警事件。

然而，现有异常攻击检测仅可以发现相当部分的攻击，对于分散型、多目标、小流量、以占用链路带宽为目的的攻击流量无法有效检测。

当大量的肉鸡服务器向某些网段内的大量IP地址发送数据包时，攻击者为了避免单个IP流量过大被检测到，往往发送给单个IP的流量较小且流向大量目标IP的流量较为均匀。此时流向这些目标IP地址的流量总和一旦接近或达到电路带宽，则会导致电路阻塞，从而导致网络瘫痪或服务中断。

为了有效识别出此类流量，结合网络实际情况，研发出一套扫段攻击检测机制。

基于此，为了检测这种分散型、多目标、小流量的异常数据包，本公开实施例提供了一种DDoS扫段攻击检测方法、装置、电子设备及存储介质，以IP段为检测目标，以带宽的比值为阈值进行流量检测，可以有效的识别流量数据中多个IP的均衡流量，一旦这种均衡流量达到最大承载带宽便进行告警。

本公开提供的DDoS扫段攻击检测是一种新型的检测方式，相比于传统检测手段，它脱离了各种攻击特征，避免了对未知攻击特征无法识别的问题，同时，针对传统检测无法有效识别真实流量中的分散攻击流做了有效识别。

DDoS扫段攻击检测能够依据客户的租赁带宽或骨干线路最大承载带宽的比值作为检测阈值，当发现真实流量中存在大量相似数据包时，并且这些数据包的单秒流过的流量之和对现有检测线路的带宽会造成阻塞，此时基于扫段攻击检测的系统便可以识别出这些流量数据包。如果再结合处置系统对相关流量进行清洗或封堵，则可以保证检测线路的安全性。

图1示出了可以应用于本公开实施例的DDoS扫段攻击检测方法或DDoS扫段攻击检测装置的示例性系统架构的示意图。

如图1所示，系统架构100可以包括终端设备101、102、103，网络104和服务器105。

网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质，可以是有线网络，也可以是无线网络。

可选地，上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络，包括但不限于局域网(Local Area Network，LAN)、城域网(Metropolitan Area Network，MAN)、广域网(Wide Area Network，WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中，使用包括超文本标记语言(Hyper Text Mark-up Language，HTML)、可扩展标记语言(ExtensibleMarkupLanguage，XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure Socket Layer，SSL)、传输层安全(Transport Layer Security，TLS)、虚拟专用网络(Virtual Private Network，VPN)、网际协议安全(InternetProtocolSecurity，IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中，还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。

终端设备101、102、103可以是各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、可穿戴设备、增强现实设备、虚拟现实设备等。

可选地，不同的终端设备101、102、103中安装的应用程序的客户端是相同的，或基于不同操作系统的同一类型应用程序的客户端。基于终端平台的不同，该应用程序的客户端的具体形态也可以不同，比如，该应用程序客户端可以是手机客户端、PC客户端等。

服务器105可以是提供各种服务的服务器，例如对用户利用终端设备101、102、103所进行操作的装置提供支持的后台管理服务器。后台管理服务器可以对接收到的请求等数据进行分析等处理，并将处理结果反馈给终端设备。

可选地，服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接，本申请在此不做限制。

本领域技术人员可以知晓，图1中的终端设备、网络和服务器的数量仅仅是示意性的，根据实际需要，可以具有任意数目的终端设备、网络和服务器。本公开实施例对此不作限定。

下面结合附图及实施例对本示例实施方式进行详细说明。

首先，本公开实施例中提供了一种DDoS扫段攻击检测方法，该方法可以由任意具备计算处理能力的电子设备执行。

图2示出本公开实施例中一种DDoS扫段攻击检测方法流程图，如图2所示，本公开实施例中提供的DDoS扫段攻击检测方法包括如下步骤：

S202，获取每个检测周期内发送至目标设备的流量日志，其中，流量日志包含多组网际互连协议IP数据流以及各个IP数据流的IP地址信息和流量信息。

需要说明的是，目标设备可以是任意需要网络安全防护的设备，或者用于采集发送至安全防护设备的数据流量的流量采集设备，如终端设备、服务器等；检测周期可以是自由设定的任意时间段，如5秒、1分钟或2小时等；IP数据流可以是两个设备之间发送的数据包，IP数据流的IP地址信息可以包括IP数据流的源IP地址和目的IP地址，流量信息可以是IP数据流的数据大小。

在本公开的一个实施例中，在获取每个检测周期内发送至目标设备的流量日志之后，上述方法还可以包括：对流量日志中小于预设流量大小的IP数据流进行过滤，以过滤符合路由协议的数据流量。其中，流量日志中可能存在多个符合路由协议的IP数据流，该多个符合路由协议的IP数据流在根据IP地址排序后，多个符合路由协议的IP数据流中的各个IP数据流的流量间浮动比存在均满足小于预设流量间浮动比的情况，因此，需要过滤符合路由协议的流量数据，以提高后续扫段攻击检测的准确率。预设流量大小可以任意设置，如50k、100K或2M等等。

S204，按照IP地址对流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的多个连续相邻IP数据流按照IP地址进行累加，得到多个IP数据流集合，其中，两个相邻IP数据流中较小的IP数据流的流量间浮动比为这两个相邻IP数据流之间数据大小的差值与其中较大的IP数据流的比值，多个IP数据流集合中包含第一IP数据流集合。

需要说明的是，可以按照各个IP数据流的源IP地址或目的IP地址对流量日志中的IP数据流进行排序，然后，依次比较各个IP数据流的流量间浮动比与预设流量间浮动比的大小，将小于预设流量间浮动比的多个连续相邻IP数据流按照IP数据流的目的IP地址进行累加，得到多个IP数据流集合。第一IP数据流集合可以为多个IP数据流集合中的任意一个IP数据流集合。

S206，当第一IP数据流集合的数据大小大于预设检测阈值时，确定第一IP数据流集合中的IP数据流为攻击流量数据，并根据第一IP数据流集合生成第一攻击事件。

需要说明的是，预设检测阈值用于识别IP数据流集合是否为攻击数据，当IP数据流集合的数据大小大于预设检测阈值时，确定该IP数据流集合为攻击流量数据；当IP数据流集合的数据大小小于或等于预设流量检测阈值时，确定该IP数据流集合为非攻击流量数据。预设检测阈值可以按照检测需求自由设定，如预设检测阈值可以设置为100G、500G、650G等等，本公开不对此做具体限定。

在本公开的一个实施例中，上述方法还可以包括：当第一IP数据流集合的第一IP个数占比大于预设IP个数占比时，确定第一IP数据流集合为攻击流量数据，并根据第一IP数据流集合生成第一攻击事件，其中，第一IP个数占比为第一IP数据流集合与流量日志之间IP数据流总数量的比值。

需要说明的是，可以根据第一IP数据流集合的第一IP个数占比，判断第一IP数据流集合是否为攻击流量数据，在确定第一IP数据流集合为攻击流量数据后，可以根据第一IP数据流集合生成第一攻击事件，以便后续提供攻击事的告警。

本公开实施例提供的DDoS扫段攻击检测方法，通过将流量间浮动比小于预设流量间浮动比的IP数据流按照IP地址进行累加，得到多个IP数据流集合；当第一IP数据流集合的数据大小大于预设检测阈值时，确定第一IP数据流集合中的IP数据流为攻击流量数据，并根据第一IP数据流集合生成第一攻击事件。本公开可以有效识别数据流量中的分散攻击，提高了对异常数据的检测效果。

在本公开的一个实施例中，参见图3所示的另一种DDoS扫段攻击检测方法流程图，获取每个检测周期内发送至目标设备的流量数据，可以包括以下步骤：

S302，获取目标设备的设备标识，其中，设备标识为设备接口索引和IP地址中的至少一种。

S304，根据目标设备的设备标识，获取每个检测周期内发送至目标设备的流量数据。

需要说明的是，在本公开的一个实施例中，设备标识为设备接口索引和IP地址中的至少一种。可以根据目标设备的设备接口索引和/或IP地址，确定每个检测周期内发送至目标设备的流量数据。可以根据目标设备的设备接口索引和/或IP地址，从多个flow日志中提取、加工、检测、汇总和比对相关数据，筛选目的IP地址为目标设备的IP数据流，得到每个检测周期内发送至目标设备的流量数据。

在本公开的一个实施例中，获取设备采集的netflow日志信息，依据netflow日志信息中包含的设备IP字段和接口索引或者目的地址字段统计目标设备的流量日志F_t(t为统计周期)和单地址流量F_it(i为某个IP地址，t为统计周期)。当F_t>T_b时，将F_it按从大到小进行排序处理，去除掉F_it<F_min的流量值的IP数据流(F_min为最小统计值，如：150Kbps)。依次从大到小进行流量比对，计算其浮动值是否在某一范围内。公式为：(F_int-F_i(n+1)t)/F_int<V(i为某个IP地址，n∈{1,2,3,...}，t为统计周期，V为波动率)。统计IP个数所占netflow日志中默认网段的比例，其比例如果超过预设比值P，则进行下一步判断。将F_int对应的IP作为扫段检测的被攻击目标，生成告警攻击事件。本公开可以从海量netflow日志中提取、加工、检测、汇总和比对相关数据，提取出攻击流量生成攻击事件数据。

在本公开的一个实施例中，参见图4所示的另一种DDoS扫段攻击检测方法流程图，上述方法还可以包括以下步骤：

S402，获取多个检测周期内生成的攻击事件，以及每个攻击事件的事件标识。

S404，根据事件标识对多个攻击事件进行合并，得到第二攻击事件。

在本公开的一个实施例中，事件标识为攻击对象和攻击类型中的至少一种；

根据攻击对象和/或攻击类型，对多个攻击事件进行合并，得到第二攻击事件。

需要说明的是，按t值周期性启动合并任务；将告警事件依据异常特征码(扫段检测特征码为5110004)和目标设备MO进行分类，标识出告警唯一编号，告警唯一编号用于和后续告警事件数据进行比对。当扫段告警事件是第一条数据时，将其状态标识为initial。并将此告警事件的时间作为攻击告警的开始时间，标记为T_b；当扫段告警事件为后续数据时，按告警事件的触发时间T_e和告警的上次攻击时间T_a之间的时差判定是否连续。判断标准如下：

当T_e-T_a＝t时，表示连续攻击；

当T_e-T_a>t时：表示中断攻击；

不连续时将告警状态标识为interrupted，告警合并任务结束，连续时更新告警的最近攻击时间T_a。判断告警事件的持续时长是否到达预设值D_t，公式为：T_e-T_b≥D_t；达到预设值时，将告警状态标识为ongoing；当后续告警事件数据，没有此告警的编号时，计算当前时间T_c和最近一条告警事件的时间T_e之间的时差判定是否结束。公式为：T_c-T_e>R_t(R_t为恢复时长)，当告警时间结束时，将告警状态标识为obsolete，攻击告警结束。

本公开可以对攻击事件进行分类及合并，并识别出真正的攻击。由于攻击事件数据只是零散的攻击记录，并不能完整的表示出一次真正的攻击，包括攻击的开始时间、结束时间、峰值、状态等等，因此，需要对攻击事件进行合并，并依据预先配置的预设持续时长和预设恢复时长来判断告警的状态。

在本公开的一个实施例中，方法还包括：

确定第二攻击事件的第二持续时长；

在第二攻击事件连续攻击，且第二持续时长未达到预设持续时长的情况下，将第二攻击事件标记为疑似攻击；

在第二攻击事件连续攻击，且第二持续时长达到预设持续时长的情况下，将第二攻击事件标记为攻击开始。

在本公开的一个实施例中，方法还包括：

确定第二攻击事件的第二恢复时长；

在第二攻击事件中断攻击，且第二恢复时长未达到预设恢复时长的情况下，将第二攻击事件标记为攻击中断；

在第二攻击事件中断攻击，且第二恢复时长达到预设恢复时长的情况下，将第二攻击事件标记为攻击结束。

需要说明的是，在本公开的一个实施例中，本公开提供的DDoS扫段攻击检测可以分为三种不同类型的检测，分别为粗放型、谨慎型、严格型。

其中，粗放型：可以最大程度保护链路，在识别分散攻击流量时，可以预设流量间浮动比放大至25％，同时，满足条件的IP个数占比缩小至1％。攻击事件的持续时长缩短至1分钟，恢复时长延长至60分钟。

谨慎型：可以防止过多误判，在识别分散攻击流量时，可以将预设流量间浮动比设置在5％～10％之间，同时，满足条件的IP个数占比设置在10％～50％。攻击事件的持续时长设置在2～4分钟，恢复时长设置在15～30分钟。

严格型：可以准确的识别出真正的攻击流量，可以将预设流量间浮动比缩小至3％，同时满足条件的IP个数占比扩大至70％。攻击事件的持续时长延长至5分钟，恢复时长缩短至5分钟。

在本公开的一个实施例中，本公开的方法可以分为攻击事件检测和攻击事件归并两个流程，其中，图5公开了攻击事件检测流程，参见图5所示的一种DDoS扫段攻击检测方法示意图，在获取检测对象(目标设备)，根据检测对象标识，识别发送至检测对象的流量数据，按照IP地址进行流量数据汇总，对IP流量进行排序，剔除流量较小的IP数据，比较IP之间的流量，判断流量变化幅度是否在配比内(预设流量间浮动比)，汇总达标的IP流量，判断各个流量数据是否超过阈值(预设IP个数占比)，将超过预设IP个数占比的流量数标识为攻击流量数据，并依据该攻击流量数据生成攻击事件。

在本公开的一个实施例中，图6公开了攻击事件归并流程，参见图6所示的另一种DDoS扫段攻击检测方法示意图，获取攻击事件数据，攻击事件数据中包含多个攻击事件，获取持续时间和恢复时间配置信息(即预设持续时长和预设恢复时长)，按照攻击对象、攻击类型等信息进行攻击事件归并，判断攻击事件是否为中断，若是，则继续判断攻击事件的恢复时间(恢复时长)是否达到预设恢复时长，在攻击事件的恢复时长达到预设恢复时长时，标记该攻击事件为攻击结束；在攻击事件恢复时长未达到预设恢复时长时，标记该攻击事件为攻击中断。在攻击事件不为中断时，判断攻击事件的持续时长是否达到预设持续时长，若是，标记该攻击事件为攻击开始，若否，则标记该攻击事件为疑似攻击。

在本公开的一个实施例中，所述预设检测阈值设置为固定检测阈值；

或者，通过以下步骤计算所述目标设备在t时间点的预设检测阈值：

获取目标设备邻近当前时刻的最近n天的同比流量数据F组成的集合P，其中，P＝{F_i|1≤i≤n|}，F_i为第i个t时间点的流量值；

去除掉集合P中的最大值F_max和最小值F_min得到集合Q，其中，Q＝P-{F_min,F_max}，F_min为集合P中的最小元素值，F_max为集合P中的最大元素值；

对集合Q中的元素按照对应日期的前后顺序进行正序排列，得到有序集合D，其中，D＝{D₁,D₂,…,D_n-2}；

通过以下公式计算t时间点的基线B_t：

通过以下公式计算所述目标设备在t时间点的阈值T_t：

T_t＝B_t·C (2)其中，C为预设浮动系数，当T_t≤BW时，所述目标设备在t时间点的预设检测阈值取值为T_t；当T_t＞BW，所述目标设备在t时间点的预设检测阈值取值为BW，BW为接口带宽。

需要说明的是，t时间点可以是一天内任意时间点，如5点、6点、10点等等，预设浮动系数可以是任意比例值，如70％、60％或55％等等。当预设检测阈值设置为固定检测阈值时，该固定检测阈值可以为预设比例的接口带宽BW，预设比例可以是任意比例值，例如，预设比例为75％、80％或92％等等，当预设比例为80％时，T_i＝BW×80％，其中，T_i为固定检测阈值，BW为目标设备的接口带宽。预设检测阈值可以通过动态基线自动学习获得，首先获取目标设备最近n天的同比流量数据F组成的集合P，去除掉集合P中元素最大值F_max和元素最小值F_min，并对剩余元素按照对应日期的前后顺序进行正序排列得到有序集合D，通过公式(1)计算基线，再通过公式(2)阈值T_t与基线B_t的关系，计算t时间点的阈值T_t。在本公开的一个实施例中，当T_t≤BW时，所述目标设备在t时间点的预设检测阈值取值为T_t；当T_t＞BW，所述目标设备在t时间点的预设检测阈值取值为BW，BW为接口带宽。

基于同一发明构思，本公开实施例中还提供了一种DDoS扫段攻击检测装置，如下面的实施例。由于该装置实施例解决问题的原理与上述方法实施例相似，因此该装置实施例的实施可以参见上述方法实施例的实施，重复之处不再赘述。

图7示出本公开实施例中一种DDoS扫段攻击检测装置示意图，如图7所示，该装置包括：

数据获取模块710，用于获取每个检测周期内发送至目标设备的流量日志，其中，流量日志包含多组IP数据流以及各个IP数据流的IP地址信息和流量信息；

数据累加模块720，用于按照IP地址对流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的多个连续相邻IP数据流按照IP地址进行累加，得到多个IP数据流集合，其中，两个相邻IP数据流中较小的IP数据流的流量间浮动比为这两个相邻IP数据流之间数据大小的差值与其中较大的IP数据流的比值，多个IP数据流集合中包含第一IP数据流集合；

攻击识别模块730，用于当第一IP数据流集合的数据大小大于预设检测阈值时，确定第一IP数据流集合为攻击流量数据，并根据第一IP数据流集合生成第一攻击事件。

在本公开的一个实施例中，上述数据获取模块710，还用于获取目标设备的设备标识，其中，设备标识为设备接口索引和IP地址中的至少一种；根据目标设备的设备标识，获取每个检测周期内发送至目标设备的流量数据。

在本公开的一个实施例中，设备标识为设备接口索引和IP地址中的至少一种。

在本公开的一个实施例中，上述装置还包括事件合并模块，该事件合并模块，用于获取多个检测周期内生成的攻击事件，以及每个攻击事件的事件标识；根据事件标识对多个攻击事件进行合并，得到第二攻击事件。

在本公开的一个实施例中，上述装置还包括数据过滤模块，该数据过滤模块用于对流量日志中小于预设流量大小的IP数据流进行过滤，以过滤符合路由协议的数据流量。

在本公开的一个实施例中，上述事件合并模块，还用于事件标识为攻击对象和攻击类型中的至少一种；根据攻击对象和/或攻击类型，对多个攻击事件进行合并，得到第二攻击事件。

在本公开的一个实施例中，上述装置还包括事件标记模块，该事件标记模块，用于确定第二攻击事件的第二持续时长；在第二攻击事件连续攻击，且第二持续时长未达到预设持续时长的情况下，将第二攻击事件标记为疑似攻击；在第二攻击事件连续攻击，且第二持续时长达到预设持续时长的情况下，将第二攻击事件标记为攻击开始。

在本公开的一个实施例中，上述事件标记模块，还用于确定第二攻击事件的第二恢复时长；在第二攻击事件中断攻击，且第二恢复时长未达到预设恢复时长的情况下，将第二攻击事件标记为攻击中断；在第二攻击事件中断攻击，且第二恢复时长达到预设恢复时长的情况下，将第二攻击事件标记为攻击结束。

在本公开的一个实施例中，上述攻击识别模块，还用于当第一IP数据流集合的第一IP个数占比大于预设IP个数占比时，确定第一IP数据流集合为攻击流量数据，并根据第一IP数据流集合生成第一攻击事件，其中，第一IP个数占比为第一IP数据流集合与流量日志之间IP数据流总数量的比值。

所属技术领域的技术人员能够理解，本公开的各个方面可以实现为系统、方法或程序产品。因此，本公开的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

下面参照图8来描述根据本公开的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图8所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于：上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830。

其中，存储单元存储有程序代码，程序代码可以被处理单元810执行，使得处理单元810执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如，处理单元810可以执行上述方法实施例的如下步骤：获取每个检测周期内发送至目标设备的流量日志，其中，流量日志包含多组网际互连协议IP数据流以及各个IP数据流的IP地址信息和流量信息；按照IP地址对流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的多个连续相邻IP数据流按照IP地址进行累加，得到多个IP数据流集合，其中，多个IP数据流集合中包含第一IP数据流集合；当第一IP数据流集合的数据大小大于预设检测阈值时，确定第一IP数据流集合中的IP数据流为攻击流量数据，并根据第一IP数据流集合生成第一攻击事件。

存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202，还可以进一步包括只读存储单元(ROM)8203。

存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204，这样的程序模块8205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线830可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备800也可以与一个或多个外部设备840(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备800交互的设备通信，和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且，电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器860通过总线830与电子设备800的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中，本公开的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。

本公开中的计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

在本公开中，计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可选地，计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

在具体实施时，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

通过以上实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。

Claims (12)

1.一种分布式拒绝服务DDoS扫段攻击检测方法，其特征在于，包括：

获取每个检测周期内发送至目标设备的流量日志，其中，所述流量日志包含多组网际互连协议IP数据流以及各个IP数据流的IP地址信息和流量信息；

按照IP地址对所述流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的多个连续相邻IP数据流按照IP地址进行累加，得到多个IP数据流集合，其中，两个相邻IP数据流中较小的IP数据流的流量间浮动比为这两个相邻IP数据流之间数据大小的差值与其中较大的IP数据流的比值，所述多个IP数据流集合中包含第一IP数据流集合；

当第一IP数据流集合的数据大小大于预设检测阈值时，确定所述第一IP数据流集合中的IP数据流为攻击流量数据，并根据所述第一IP数据流集合生成第一攻击事件。

2.根据权利要求1所述的DDoS扫段攻击检测方法，其特征在于，获取每个检测周期内发送至目标设备的流量数据，包括：

获取所述目标设备的设备标识，其中，所述设备标识为设备接口索引和IP地址中的至少一种；

根据所述目标设备的设备标识，获取每个检测周期内发送至所述目标设备的流量数据。

3.根据权利要求1所述的DDoS扫段攻击检测方法，其特征在于，在获取每个检测周期内发送至目标设备的流量日志之后，所述方法还包括：

对所述流量日志中小于预设流量大小的IP数据流进行过滤，以过滤符合路由协议的数据流量。

4.根据权利要求1所述的DDoS扫段攻击检测方法，其特征在于，所述方法还包括：

获取多个检测周期内生成的攻击事件，以及每个攻击事件的事件标识；

根据所述事件标识对多个攻击事件进行合并，得到第二攻击事件。

5.根据权利要求4所述的DDoS扫段攻击检测方法，其特征在于，所述事件标识为攻击对象和攻击类型中的至少一种；

根据所述攻击对象和/或攻击类型，对多个攻击事件进行合并，得到第二攻击事件。

6.根据权利要求4所述的DDoS扫段攻击检测方法，其特征在于，所述方法还包括：

确定所述第二攻击事件的第二持续时长；

在所述第二攻击事件连续攻击，且所述第二持续时长未达到预设持续时长的情况下，将所述第二攻击事件标记为疑似攻击；

在所述第二攻击事件连续攻击，且所述第二持续时长达到预设持续时长的情况下，将所述第二攻击事件标记为攻击开始。

7.根据权利要求4所述的DDoS扫段攻击检测方法，其特征在于，所述方法还包括：

确定所述第二攻击事件的第二恢复时长；

在所述第二攻击事件中断攻击，且所述第二恢复时长未达到预设恢复时长的情况下，将所述第二攻击事件标记为攻击中断；

在所述第二攻击事件中断攻击，且所述第二恢复时长达到预设恢复时长的情况下，将所述第二攻击事件标记为攻击结束。

8.根据权利要求1所述的DDoS扫段攻击检测方法，其特征在于，所述方法还包括：

当第一IP数据流集合的第一IP个数占比大于预设IP个数占比时，确定所述第一IP数据流集合为攻击流量数据，并根据所述第一IP数据流集合生成第一攻击事件，其中，所述第一IP个数占比为所述第一IP数据流集合与所述流量日志之间IP数据流总数量的比值。

9.根据权利要求1所述的DDoS扫段攻击检测方法，其特征在于，所述预设检测阈值设置为固定检测阈值；

或者，通过以下步骤确定所述目标设备在t时间点的预设检测阈值：

获取目标设备邻近当前时刻的最近n天的同比流量数据F组成的集合P，其中，P＝{F_i|1≤i≤n|}；

去除掉集合P中的最大值F_max和最小值F_min得到集合Q，其中，Q＝P-{F_min,F_max}；

对集合Q中的元素按照对应日期的前后顺序进行正序排列，得到有序集合D，其中，D＝{D₁,D₂,…,D_n-2}；

通过以下公式计算t时间点的基线B_t：

通过以下公式计算所述目标设备在t时间点的阈值T_t：

T_t＝B_t·C

其中，C为预设浮动系数，当T_t≤BW时，所述目标设备在t时间点的预设检测阈值取值为T_t；当T_t＞BW，所述目标设备在t时间点的预设检测阈值取值为BW，BW为接口带宽。

10.一种DDoS扫段攻击检测装置，其特征在于，包括：

数据获取模块，用于获取每个检测周期内发送至目标设备的流量日志，其中，所述流量日志包含多组IP数据流以及各个IP数据流的IP地址信息和流量信息；

数据累加模块，用于按照IP地址对所述流量日志中的IP数据流进行排序，并依次比较各个IP数据流的流量间浮动比与预设流量间浮动比之间的大小，将流量间浮动比小于预设流量间浮动比的多个连续相邻IP数据流按照IP地址进行累加，得到多个IP数据流集合，其中，两个相邻IP数据流中较小的IP数据流的流量间浮动比为这两个相邻IP数据流之间数据大小的差值与其中较大的IP数据流的比值，所述多个IP数据流集合中包含第一IP数据流集合；

攻击识别模块，用于当第一IP数据流集合的数据大小大于预设检测阈值时，确定所述第一IP数据流集合为攻击流量数据，并根据所述第一IP数据流集合生成第一攻击事件。

11.一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1～9中任意一项所述DDoS扫段攻击检测方法。

12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1～9中任意一项所述的DDoS扫段攻击检测方法。

Images