CN117424762A - 一种ddos攻击检测方法、介质及设备 - Google Patents
一种ddos攻击检测方法、介质及设备 Download PDFInfo
- Publication number
- CN117424762A CN117424762A CN202311744010.1A CN202311744010A CN117424762A CN 117424762 A CN117424762 A CN 117424762A CN 202311744010 A CN202311744010 A CN 202311744010A CN 117424762 A CN117424762 A CN 117424762A
- Authority
- CN
- China
- Prior art keywords
- information entropy
- dimension information
- entropy
- time
- ddos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 238000000547 structure data Methods 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims abstract description 16
- 238000007781 pre-processing Methods 0.000 claims abstract description 12
- 239000011159 matrix material Substances 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 24
- 230000006870 function Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000006424 Flood reaction Methods 0.000 description 1
- 102000002274 Matrix Metalloproteinases Human genes 0.000 description 1
- 108010000684 Matrix Metalloproteinases Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2379—Updates performed during online database operations; commit processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种DDOS攻击检测方法、介质及设备,所述方法包括:采集目标区块链中的多个节点的流量数据包;对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据;根据所述多维结构数据进行计算,得到所述多维结构数据的熵值;将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击,从而能够及时、准确地检测到区块链是否受到DDOS攻击,并且多维结构数据可以在不占用大量存储空间的前提下充分保留区块链节点被访问而留下的特征。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种DDOS攻击检测方法、介质及设备。
背景技术
在区块链中,由于区块链去中心化的特点,导致区块链节点分布十分广泛,使得攻击者可以从任何一个地点通过控制多个计算机或设备联合发起DDOS攻击,从而攻击者的傀儡机位置可以分布在更大的范围,选择起来更加灵活,也就使得DDOS攻击更加难以被发现。
发明内容
为了解决上述技术问题,本发明实施例提出了一种DDOS攻击检测方法、介质及设备,能够及时、准确地检测到针对区块链的DDOS攻击。
为了实现上述目的,本发明实施例提供了一种DDOS攻击检测方法,包括:
采集目标区块链中的多个节点的流量数据包;
对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据;
根据所述多维结构数据进行计算,得到所述多维结构数据的熵值;
将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击;
所述对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据,具体包括:
确定在预设第一时间段内采集到的所述流量数据包中包含的若干个IP及其对应的出现时间和出现频数;
基于所述若干个IP及其对应的出现时间和出现频数,构建一个三维Sketch数据结构矩阵并存储为所述多维结构数据;
其中,所述三维Sketch数据结构矩阵,其第一坐标和第二坐标共同用于指示IP,其第三坐标用于指示IP对应的出现时间,其元素数值用于指示IP对应的出现频数。
进一步的,所述熵值包括IP维度信息熵和时间维度信息熵;
所述根据所述多维结构数据进行计算,得到所述多维结构数据的熵值,具体包括:
根据所述三维Sketch数据结构矩阵,分别计算得到IP维度频数和,以及,时间维度频数和;
基于所述三维Sketch数据结构矩阵,以及所述IP维度频数和,计算得到IP维度信息熵;
基于所述三维Sketch数据结构矩阵,以及所述时间维度频数和,计算得到时间维度信息熵。
进一步的,所述IP维度频数和通过如下公式计算:
所述时间维度频数和通过如下公式计算:
所述IP维度信息熵通过如下公式计算:
所述时间维度信息熵通过如下公式计算:
其中,表示目标节点,/>为第一坐标,/>为第二坐标,/>为第三坐标,/>为三维Sketch数据结构矩阵且数值表示出现频数,若干个IP对应的出现频数之和为,/>为第三坐标的上限,/>为第一坐标的上限,/>为第二坐标的上限,/>表示IP维度,/>表示时间维度。
进一步的,所述熵值阈值包括IP维度信息熵阈值区间和时间维度信息熵阈值区间;
所述IP维度信息熵阈值区间通过如下公式计算:
所述时间维度信息熵阈值区间通过如下公式计算:
其中,为IP维度信息熵在预设时间段内的均值,/>为IP维度信息熵的标准差,/>为时间维度信息熵在预设时间段内的均值,/>为时间维度信息熵的标准差,/>表示IP维度,/>表示时间维度。
进一步的,所述将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击,具体包括:
当所述IP维度信息熵超出所述IP维度信息熵阈值区间的上限,且所述时间维度信息熵超出所述时间维度信息熵阈值区间的上限时,判定所述目标区块链受到DDOS攻击;或者,
当所述IP维度信息熵低于所述IP维度信息熵阈值区间的下限,且所述时间维度信息熵低于所述时间维度信息熵阈值区间的下限时,判定所述目标区块链受到DDOS攻击。
进一步的,在所述对在预设第一时间段内采集到的所述流量数据包进行预处理之前,所述方法还包括:
判断所述流量数据包对应的报文头是否大于预设报文头阈值;
若否,则丢弃所述流量数据包;
若是,则对所述流量数据包进行解码以形成新的流量数据包。
进一步的,所述方法还包括:
当判定所述目标区块链受到DDOS攻击时,向用户发送报警信息。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的DDOS攻击检测方法的步骤。
本发明实施例还提供了一种计算机设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的DDOS攻击检测方法的步骤。
综上,本发明具有以下有益效果:
采用本发明实施例,通过采集目标区块链中的多个节点的流量数据包;对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据;根据所述多维结构数据进行计算,得到所述多维结构数据的熵值;将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击,从而能够及时、准确地检测到区块链是否受到DDOS攻击,并且多维结构数据可以在不占用大量存储空间的前提下充分保留区块链节点被访问而留下的特征。
附图说明
图1是本发明提供的一种DDOS攻击检测方法的一个实施例的流程示意图;
图2是本发明提供的一种计算机设备的一个实施例的结构示意图;
图3是本发明提供的DDOS攻击检测的一个实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请描述中,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”、“第三”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
在本申请的描述中,需要说明的是,除非另有定义,本发明所使用的所有的技术和科学术语与属于本技术领域的技术人员通常理解的含义相同。本发明中说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明,对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
参见图1,是本发明提供的DDOS攻击检测方法的一个实施例的流程示意图,该方法包括步骤S1-S4,具体如下:
S1,采集目标区块链中的多个节点的流量数据包;
在一个具体实施例当中,可以采用libpcap库函数通过捕获流经节点网卡的流量数据信息来采集所述流量数据包。
S2,对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据;
可以理解的是,所述预设第一时间段相当于需要对目标区块链进行DDOS攻击检测的时间段。示例性的,所述预设第一时间段可以是指定的某一个连续的时间段,和/或,周期性间断的时间段。
S3,根据所述多维结构数据进行计算,得到所述多维结构数据的熵值;
S4,将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击;
所述对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据,具体包括:
确定在预设第一时间段内采集到的所述流量数据包中包含的若干个IP及其对应的出现时间和出现频数;
基于所述若干个IP及其对应的出现时间和出现频数,构建一个三维Sketch数据结构矩阵并存储为所述多维结构数据;
其中,所述三维Sketch数据结构矩阵,其第一坐标和第二坐标共同用于指示IP,其第三坐标用于指示IP对应的出现时间,其元素数值用于指示IP对应的出现频数。
在一个具体实施例当中,所述三维Sketch数据结构矩阵可以通过如下步骤构建:首先,将在预设第一时间段内区块链中首次出现的网络节点的IP存储到矩阵中, 对应时间段存储到矩阵/>中,对应的出现频数存储到矩阵/>的元素数值中,在此可以将矩阵/>看作是一个三维矩阵/>的第一坐标与第二坐标所构成的二维矩阵,而矩阵/>看作是同一个三维矩阵/>的第三坐标所构成的一维矩阵;然后,若在预设第一时间段内采集到的所述流量数据包中再次出现该网络节点的IP,则将此时该网络节点对应的IP地址存储在矩阵/>当中,并将时间/>(其中,/>为第一次抓取数据包流量的时间戳,T为固定间隔时间段)存储到矩阵/>,对应的将三维矩阵/>所代表的频数增加1。
本实施例中,当外界对区块链进行DDoS攻击时,会产生大量的网络流量,在现有技术中通常直接存储所有网络流量的相关信息,而如果直接存储每个流量的IP地址,将会消耗大量的存储空间。为了解决这个问题,本实施例采用特定的IP-时域-频率的三维Sketch数据结构来存储和处理这些流量数据,这种三维Sketch数据结构可以有效地保留流量数据包的IP地址、时间和数量等信息特征,从而能够充分反映区块链中完整监测时间段内网络的波动情况。特别的,使用三维Sketch数据结构的优势在于可以大大节约存储空间,相比于直接存储每个流量的IP地址,使用Sketch数据结构可以将数据进行压缩和抽象,从而减小存储需求,这对于区块链网络中的数量众多的节点来说非常重要。此外,通过三维Sketch数据结构还可以进行数据的分析和可视化,可以利用三维Sketch数据来识别网络流量中的异常模式、检测潜在的攻击行为或进行网络流量的统计分析。这对于保护区块链网络免受DDoS攻击具有重要意义。总之,采用特定的IP-时域-频率的三维Sketch数据结构可以有效地处理和存储大量的网络流量数据,既保留了关键信息特征,又节约了存储空间。这种数据结构对于监测和分析区块链网络中的DDoS攻击具有重要意义,并可以提高区块链网络的安全性和稳定性。
在一种可选的实施方式中,所述熵值包括IP维度信息熵和时间维度信息熵;
所述根据所述多维结构数据进行计算,得到所述多维结构数据的熵值,具体包括:
根据所述三维Sketch数据结构矩阵,分别计算得到IP维度频数和,以及,时间维度频数和;
基于所述三维Sketch数据结构矩阵,以及所述IP维度频数和,计算得到IP维度信息熵;
基于所述三维Sketch数据结构矩阵,以及所述时间维度频数和,计算得到时间维度信息熵。
在一种可选的实施方式中,所述IP维度频数和通过如下公式计算:
所述时间维度频数和通过如下公式计算:
所述IP维度信息熵通过如下公式计算:
所述时间维度信息熵通过如下公式计算:
其中,表示目标节点,/>为第一坐标,/>为第二坐标,/>为第三坐标,/>为三维Sketch数据结构矩阵且数值表示出现频数,若干个IP对应的出现频数之和为,/>为第三坐标的上限,/>为第一坐标的上限,/>为第二坐标的上限,/>表示IP维度,/>表示时间维度。
在一种可选的实施方式中,所述熵值阈值包括IP维度信息熵阈值区间和时间维度信息熵阈值区间;
所述IP维度信息熵阈值区间通过如下公式计算:
所述时间维度信息熵阈值区间通过如下公式计算:
其中,为IP维度信息熵在预设时间段内的均值,/>为IP维度信息熵的标准差,/>为时间维度信息熵在预设时间段内的均值,/>为时间维度信息熵的标准差,/>表示IP维度,/>表示时间维度。
需要说明的是,均值计算如下:;
标准差计算如下:。
在一种可选的实施方式中,所述将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击,具体包括:
当所述IP维度信息熵超出所述IP维度信息熵阈值区间的上限,且所述时间维度信息熵超出所述时间维度信息熵阈值区间的上限时,判定所述目标区块链受到DDOS攻击;或者,
当所述IP维度信息熵低于所述IP维度信息熵阈值区间的下限,且所述时间维度信息熵低于所述时间维度信息熵阈值区间的下限时,判定所述目标区块链受到DDOS攻击。
本实施例中,DDoS攻击通常会通过大量请求或数据包来淹没目标系统或网络,使其无法正常响应或运行。这会导致网络流量的异常分布,表现为短时间内大量相同IP的访问量剧增或同一时段大量不同IP的访问量剧增;
信息熵是用来衡量数据的不确定性和随机性的一种度量方法。在正常的网络流量中,IP地址和时间段的分布通常是比较均匀的,因此信息熵会相对较高。然而,在DDoS攻击中,由于攻击者使用大量相同或相似的IP地址在短时间内发送恶意流量,导致IP地址的分布变得不均匀,信息熵会相应降低;
通过设定适当的阈值,可以判断信息熵的变化是否超出或低于正常范围。当信息熵低于阈值时,说明网络流量的分布过于集中,可能是由于大量相同IP的访问量剧增所致;而当信息熵高于阈值时,说明网络流量的分布过于分散,可能是由于同一时段大量不同IP的访问量剧增所致;
因此,通过对预处理后的IP-时域-频率的三维Sketch数据结构矩阵进行信息熵计算,并监测其变化情况,可以及时发现DDoS攻击的存在。这种基于信息熵的方法可以有效地检测出不同类型的DDoS攻击,包括基于流量和基于请求的攻击。同时,通过联合分析IP和时域两个维度的信息熵,可以进一步提高判断的准确性;
进一步地,关于熵值过低的情况具体如下:
针对IP维度,可以计算IP地址的信息熵。在正常的网络流量中,IP地址通常是均匀分布的,因此熵值会相对较高。然而,在DDoS攻击中,攻击者通常会使用大量的相同或相似的IP地址来发送恶意流量,导致IP地址的分布变得不均匀,熵值相应降低。因此,通过比较IP维度的信息熵,可以判断是否存在DDoS攻击;
针对时域维度,可以计算时间段的信息熵。在正常的网络流量中,时间段的分布通常是均匀的,因此熵值也会相对较高。然而,在DDoS攻击中,攻击者通常会在短时间内发送大量的请求,导致时间段的分布变得不均匀,熵值相应降低。通过比较时域维度的信息熵,可以确认是否存在DDoS攻击;
通过联合分析IP和时域两个维度的信息熵,可以提高判断的准确性。这是因为DDoS攻击往往具有伪装IP和大量请求的特征,这些特征在单一的维度上可能难以准确判断,但在两个维度的联合分析中更容易被识别。当两个维度的熵值都较低时,很可能存在DDoS攻击。
在一种可选的实施方式中,在所述对在预设第一时间段内采集到的所述流量数据包进行预处理之前,所述方法还包括:
判断所述流量数据包对应的报文头是否大于预设报文头阈值;
若否,则丢弃所述流量数据包;
若是,则对所述流量数据包进行解码以形成新的流量数据包。
示例性的,所述预设报文头阈值可以为14。
本实施例中,若流量数据包对应的报文头小于预设报文头阈值,则说明该流量数据包对应的报文存在错误,需要丢弃,从而能够确保被处理的数据是可靠的。
需要说明的是,由于采集到的流量数据包可能是经过封装的,因此可以根据封装的协议进行解码,从而保证能够对解码后的数据顺利完成后续的处理。
在一种可选的实施方式中,所述方法还包括:
当判定所述目标区块链受到DDOS攻击时,向用户发送报警信息。
需要说明的是,在区块链网络中,当判定目标区块链中的某些节点遭受DDoS攻击时,能够检测到相应的异常流量并发出报警信息。这些报警信息会指明被攻击的节点对应的IP地址。
需要说明的是,参见图3,当判定所述目标区块链受到DDOS攻击时,还可以采取相应的防御控制措施,例如:
切断被攻击节点的网络连接(如关闭该节点的网络连接或使用防火墙等手段来阻止攻击者对该节点的访问,这样可以减轻攻击对整个区块链网络的影响,并防止攻击者进一步利用该节点进行攻击);
启用备份节点或可靠的节点来替代被攻击的节点(这些节点可以是预先配置好的可靠节点列表,以确保在发生攻击时能够快速接管并维持区块链网络的正常运行,通过这种方式,用户可以确保区块链网络的可用性和稳定性,并减少因攻击而导致的损失)。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的DDOS攻击检测方法的步骤。
本发明实施例还提供了一种计算机设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的DDOS攻击检测方法的步骤。
参见图2,该实施例的计算机设备包括:处理器301、存储器302以及存储在所述存储器302中并可在所述处理器301上运行的计算机程序,例如DDOS攻击检测程序。所述处理器301执行所述计算机程序时实现上述各个DDOS攻击检测方法实施例中的步骤,例如图1所示的步骤S1-S4。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器302中,并由所述处理器301执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述计算机设备中的执行过程。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可包括,但不仅限于,处理器301、存储器302。本领域技术人员可以理解,所述示意图仅仅是计算机设备的示例,并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机设备还可以包括输入输出设备、网络接入设备、总线等。
所述处理器301可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器301、数字信号处理器301 (Digital Signal Processor,DSP)、专用集成电路 (Application Specific Integrated Circuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器301可以是微处理器301或者该处理器301也可以是任何常规的处理器301等,所述处理器301是所述计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分。
所述存储器302可用于存储所述计算机程序和/或模块,所述处理器301通过运行或执行存储在所述存储器302内的计算机程序和/或模块,以及调用存储在存储器302内的数据,实现所述计算机设备的各种功能。所述存储器302可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器302可以包括高速随机存取存储器302,还可以包括非易失性存储器302,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital, SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器302件、闪存器件、或其他易失性固态存储器302件。
其中,所述计算机设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器301执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器302、只读存储器302(ROM,Read-OnlyMemory)、随机存取存储器302(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
综上,本发明具有以下有益效果:
采用本发明实施例,通过采集目标区块链中的多个节点的流量数据包;对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据;根据所述多维结构数据进行计算,得到所述多维结构数据的熵值;将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击,从而能够及时、准确地检测到区块链是否受到DDOS攻击,并且多维结构数据可以在不占用大量存储空间的前提下充分保留区块链节点被访问而留下的特征。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (9)
1.一种DDOS攻击检测方法,其特征在于,包括:
采集目标区块链中的多个节点的流量数据包;
对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据;
根据所述多维结构数据进行计算,得到所述多维结构数据的熵值;
将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击;
所述对在预设第一时间段内采集到的所述流量数据包进行预处理,得到多维结构数据,具体包括:
确定在预设第一时间段内采集到的所述流量数据包中包含的若干个IP及其对应的出现时间和出现频数;
基于所述若干个IP及其对应的出现时间和出现频数,构建一个三维Sketch数据结构矩阵并存储为所述多维结构数据;
其中,所述三维Sketch数据结构矩阵,其第一坐标和第二坐标共同用于指示IP,其第三坐标用于指示IP对应的出现时间,其元素数值用于指示IP对应的出现频数。
2.如权利要求1所述的DDOS攻击检测方法,其特征在于,所述熵值包括IP维度信息熵和时间维度信息熵;
所述根据所述多维结构数据进行计算,得到所述多维结构数据的熵值,具体包括:
根据所述三维Sketch数据结构矩阵,分别计算得到IP维度频数和,以及,时间维度频数和;
基于所述三维Sketch数据结构矩阵,以及所述IP维度频数和,计算得到IP维度信息熵;
基于所述三维Sketch数据结构矩阵,以及所述时间维度频数和,计算得到时间维度信息熵。
3.如权利要求2所述的DDOS攻击检测方法,其特征在于,
所述IP维度频数和通过如下公式计算:
所述时间维度频数和通过如下公式计算:
所述IP维度信息熵通过如下公式计算:
所述时间维度信息熵通过如下公式计算:
其中,表示目标节点,/>为第一坐标,/>为第二坐标,/>为第三坐标,/>为三维Sketch数据结构矩阵且数值表示出现频数,若干个IP对应的出现频数之和为,/>为第三坐标的上限,/>为第一坐标的上限,/>为第二坐标的上限,/>表示IP维度,/>表示时间维度。
4.如权利要求2所述的DDOS攻击检测方法,其特征在于,所述熵值阈值包括IP维度信息熵阈值区间和时间维度信息熵阈值区间;
所述IP维度信息熵阈值区间通过如下公式计算:
所述时间维度信息熵阈值区间通过如下公式计算:
其中,为IP维度信息熵在预设时间段内的均值,/>为IP维度信息熵的标准差,/>为时间维度信息熵在预设时间段内的均值,/> 为时间维度信息熵的标准差,表示IP维度,/>表示时间维度。
5.如权利要求4所述的DDOS攻击检测方法,其特征在于,所述将所述熵值与预设的熵值阈值进行比较,以判断所述目标区块链是否受到DDOS攻击,具体包括:
当所述IP维度信息熵超出所述IP维度信息熵阈值区间的上限,且所述时间维度信息熵超出所述时间维度信息熵阈值区间的上限时,判定所述目标区块链受到DDOS攻击;或者,
当所述IP维度信息熵低于所述IP维度信息熵阈值区间的下限,且所述时间维度信息熵低于所述时间维度信息熵阈值区间的下限时,判定所述目标区块链受到DDOS攻击。
6.如权利要求1-5任一项所述的DDOS攻击检测方法,其特征在于,在所述对在预设第一时间段内采集到的所述流量数据包进行预处理之前,所述方法还包括:
判断所述流量数据包对应的报文头是否大于预设报文头阈值;
若否,则丢弃所述流量数据包;
若是,则对所述流量数据包进行解码以形成新的流量数据包。
7.如权利要求1-5任一项所述的DDOS攻击检测方法,其特征在于,所述方法还包括:
当判定所述目标区块链受到DDOS攻击时,向用户发送报警信息。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7任一项所述的DDOS攻击检测方法。
9.一种计算机设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-7任一项所述的DDOS攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311744010.1A CN117424762B (zh) | 2023-12-19 | 2023-12-19 | 一种ddos攻击检测方法、介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311744010.1A CN117424762B (zh) | 2023-12-19 | 2023-12-19 | 一种ddos攻击检测方法、介质及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117424762A true CN117424762A (zh) | 2024-01-19 |
CN117424762B CN117424762B (zh) | 2024-03-19 |
Family
ID=89532909
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311744010.1A Active CN117424762B (zh) | 2023-12-19 | 2023-12-19 | 一种ddos攻击检测方法、介质及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117424762B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112437037A (zh) * | 2020-09-18 | 2021-03-02 | 清华大学 | 基于sketch的DDoS洪泛攻击检测方法及装置 |
CN113660209A (zh) * | 2021-07-16 | 2021-11-16 | 华东师范大学 | 一种基于sketch与联邦学习的DDoS攻击检测系统及应用 |
CN114285651A (zh) * | 2021-12-27 | 2022-04-05 | 电子科技大学 | 一种工控环境下的DDoS攻击检测方法 |
CN115277103A (zh) * | 2022-06-29 | 2022-11-01 | 中国科学院计算技术研究所 | DDoS攻击检测方法、DDoS攻击流量过滤方法、装置 |
CN117220958A (zh) * | 2023-09-20 | 2023-12-12 | 浙江工业大学 | 一种高速网络场景下基于sketch的DDoS攻击检测方法 |
-
2023
- 2023-12-19 CN CN202311744010.1A patent/CN117424762B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112437037A (zh) * | 2020-09-18 | 2021-03-02 | 清华大学 | 基于sketch的DDoS洪泛攻击检测方法及装置 |
CN113660209A (zh) * | 2021-07-16 | 2021-11-16 | 华东师范大学 | 一种基于sketch与联邦学习的DDoS攻击检测系统及应用 |
CN114285651A (zh) * | 2021-12-27 | 2022-04-05 | 电子科技大学 | 一种工控环境下的DDoS攻击检测方法 |
CN115277103A (zh) * | 2022-06-29 | 2022-11-01 | 中国科学院计算技术研究所 | DDoS攻击检测方法、DDoS攻击流量过滤方法、装置 |
CN117220958A (zh) * | 2023-09-20 | 2023-12-12 | 浙江工业大学 | 一种高速网络场景下基于sketch的DDoS攻击检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117424762B (zh) | 2024-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9130982B2 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
CN108650225B (zh) | 一种远程安全监测设备、系统及远程安全监测方法 | |
US20100251370A1 (en) | Network intrusion detection system | |
TWI474213B (zh) | 具攻擊防護機制的雲端系統及其防護方法 | |
JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US20210400072A1 (en) | Port scan detection using destination profiles | |
CN113518057B (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
CN112751862A (zh) | 一种端口扫描攻击检测方法、装置及电子设备 | |
CN110061998B (zh) | 一种攻击防御方法及装置 | |
CN114598512B (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
CN117424762B (zh) | 一种ddos攻击检测方法、介质及设备 | |
JP2007019981A (ja) | ネットワーク監視システム | |
EP4258147A1 (en) | Network vulnerability assessment | |
CN113765914B (zh) | Cc攻击防护方法、系统、计算机设备及可读存储介质 | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
CN114584356A (zh) | 网络安全监控方法及网络安全监控系统 | |
CN113783892A (zh) | 反射攻击检测方法、系统、设备及计算机可读存储介质 | |
CN111147497B (zh) | 一种基于知识不对等的入侵检测方法、装置以及设备 | |
CN113992404B (zh) | 一种攻击证据记录方法及装置 | |
CN114629689B (zh) | Ip地址欺诈行为识别方法、装置、计算机设备和存储介质 | |
CN113726799B (zh) | 针对应用层攻击的处理方法、装置、系统和设备 | |
CN113259299B (zh) | 一种标签管理方法、上报方法、数据分析方法及装置 | |
WO2023179461A1 (zh) | 一种处理疑似攻击行为的方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |