CN117596049B - 一种DDoS攻击检测方法及装置 - Google Patents
一种DDoS攻击检测方法及装置 Download PDFInfo
- Publication number
- CN117596049B CN117596049B CN202311606390.2A CN202311606390A CN117596049B CN 117596049 B CN117596049 B CN 117596049B CN 202311606390 A CN202311606390 A CN 202311606390A CN 117596049 B CN117596049 B CN 117596049B
- Authority
- CN
- China
- Prior art keywords
- detection
- information
- value
- ddos attack
- len
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 395
- 238000012545 processing Methods 0.000 claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 21
- 238000004364 calculation method Methods 0.000 claims description 36
- 230000006870 function Effects 0.000 claims description 11
- 238000012937 correction Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 6
- 238000003491 array Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000009286 beneficial effect Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000003044 adaptive effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 101100260051 Caenorhabditis elegans cct-1 gene Proteins 0.000 description 1
- 101100152619 Drosophila melanogaster CCT1 gene Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种DDoS攻击检测方法及装置,该方法包括:获取待检测窗口信息;待检测窗口信息包括M个检测窗口数据信息;对待检测窗口信息进行IP检测处理,得到IP检测序列信息;IP检测序列信息包括M个IP检测结果信息;IP检测结果信息包括IP检测熵值和IP结点值;对IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息。可见,本申请有利于提高DDoS攻击检测准确率和检测实时性,提高防御DDoS攻击能力。
Description
技术领域
本发明涉及网络处理技术领域,尤其涉及一种DDoS攻击检测方法及装置。
背景技术
DDoS攻击由于攻击范围广、简单有效、破坏性大、隐蔽性强和难以防御而成为网络攻击手段之一,极大影响了网络和主机系统的有效服务,对互联网的正常运行造成了严重威胁。因此,如何有效地防御DDoS攻击对于提高互联网的可靠性和可用性有着非常重要的意义。因此,提供一种DDoS攻击检测方法及装置,以提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
发明内容
本发明所要解决的技术问题在于,提供一种DDoS攻击检测方法及装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
为了解决上述技术问题,本发明实施例第一方面公开了一种DDoS攻击检测方法,所述方法包括:
获取待检测窗口信息;所述待检测窗口信息包括M个检测窗口数据信息;
对所述待检测窗口信息进行IP检测处理,得到IP检测序列信息;所述IP检测序列信息包括所述M个IP检测结果信息;所述IP检测结果信息包括IP检测熵值和IP结点值;
对所述IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息。
作为一种可选的实施方式,在本发明实施例第一方面中,对所述待检测窗口信息进行IP检测处理,得到IP检测序列信息,包括:
对于任一所述检测窗口数据信息,读取该检测窗口数据信息对应的TCP报文信息;所述TCP报文信息包括n个报文段信息;
对所述TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息。
作为一种可选的实施方式,在本发明实施例第一方面中,对所述TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息,包括:
对所述TCP报文信息进行信息熵修正计算处理,得到该检测窗口数据信息对应的IP检测熵值;
对所述TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值。
作为一种可选的实施方式,在本发明实施例第一方面中,所述对所述TCP报文信息进行信息熵修正计算处理,得到该检测窗口数据信息对应的IP检测熵值,包括:
对于所述TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的源IP地址;所述j满足:1<=j<=n;
用哈希函数对所述源IP地址进行处理,得到地址哈希值;
将所述地址哈希值存入存储空间的存储单元src_addr_hash[i][j];所述i为所述检测窗口数据信息在所述待检测窗口信息中的序列号;所述存储空间包括所述M个存储数组;每个所述存储数组包括所述n个所述存储单元src_addr_hash[i][j];
判断所述i是否大于1,得到第一数值判断结果;
当所述第一数值判断结果为是时,判断所述上一检测窗口存储空间的所有历史地址哈希值是否存在与所述地址哈希值相等的所述历史地址哈希值,得到第一哈希值判断结果;
当所述第一哈希值判断结果为是时,将所述地址哈希值从所述存储单元src_addr_hash[i][j]中删除;
当所述第一哈希值判断结果为否时,结束所述第一哈希值判断结果对应的判断流程;
当所述第一数值判断结果为否时,结束所述第一数值判断结果对应的判断流程;
统计存储数组src_addr_hash[i][n]中各IP地址哈希值出现的概率,得到IP地址概率值信息;
对所述IP地址概率值信息进行熵值计算,得到该检测窗口数据信息对应的IP检测熵值X[i]。
作为一种可选的实施方式,在本发明实施例第一方面中,所述对所述TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值,包括:
对于所述TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的包长度P_len[j];
获取开散列表src_addr_len[i][n];所述开散列表src_addr_len[i][n]的头结点最多包含n个列表包长度;
判断所述开散列表src_addr_len[i][n]中是否包含与所述包长度P_len[j]相一致的所述链表src_addr_len[a][b]的头结点,得到长度判断结果;所述b不大于所述n;所述a不大于所述i;
当所述长度判断结果为是时,将与所述包长度P_len[j]相一致的链表src_addr_len[a][b]对应的头节点计数值加1,得到所述包长度P_len[j]对应的链表src_addr_len[i][j]对应的头节点计数值;
当所述长度判断结果为否时,建立src_addr_len[i][j]的头结点,把P_len[j]添加至头节点数据域中,并将该头节点计数值加1,得到所述包长度P_len[j]对应的链表src_addr_len[i][j]的头节点计数值。
作为一种可选的实施方式,在本发明实施例第一方面中,所述对所述IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息,包括:
对于任一所述IP检测结果信息,利用统计计算模型和检测计算模型对该IP检测结果信息进行计算处理,得到该IP检测结果信息对应的IP统计值和DDoS攻击检测值;
其中,所述统计计算模型为:
式中,SI为第I个所述IP检测结果信息对应的IP统计值;X[t]为第t个所述IP检测结果信息对应的IP检测熵值;d为常数;
所述检测计算模型为:
式中,JCI为第I个所述IP检测结果信息对应的DDoS攻击检测值;m=max{j:j<n,Sj=0},S0=0,max为求最大值函数;h为自适应阈值,h设置如下:以2ρ为动态阈值的上界,即/>
基于所述IP统计值、所述DDoS攻击检测值和所述IP结点值,确定出DDoS攻击检测结果信息。
作为一种可选的实施方式,在本发明实施例第一方面中,所述基于所述IP统计值、所述DDoS攻击检测值和所述IP结点值,确定出DDoS攻击检测结果信息,包括:
判读所述IP统计值和所述DDoS攻击检测值是否满足第一攻击条件,得到第一攻击判断结果;
当所述第一攻击判断结果为是,判断所述IP结点值中的最大值是否大于节点阈值,得到阈值判断结果;
当所述阈值判断结果为是,确定DDoS攻击检测结果信息为存在DDoS攻击;
当所述阈值判断结果为否时,确定所述DDoS攻击检测结果信息为不存在DDoS攻击;
当所述第一攻击判断结果为否时,确定所述DDoS攻击检测结果信息为不存在DDoS攻击。
本发明实施例第二方面公开了一种DDoS攻击检测装置,装置包括:
获取模块,用于获取待检测窗口信息;所述待检测窗口信息包括M个检测窗口数据信息;
处理模块,用于对所述待检测窗口信息进行IP检测处理,得到IP检测序列信息;所述IP检测序列信息包括所述M个IP检测结果信息;所述IP检测结果信息包括IP检测熵值和IP结点值;
检测模块,用于对所述IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息。
本发明第三方面公开了另一种DDoS攻击检测装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例第一方面公开的DDoS攻击检测方法中的部分或全部步骤。
本发明第四方面公开了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明实施例第一方面公开的DDoS攻击检测方法中的部分或全部步骤。
与现有技术相比,本发明实施例具有以下有益效果:
本发明实施例中,获取待检测窗口信息;待检测窗口信息包括M个检测窗口数据信息;对待检测窗口信息进行IP检测处理,得到IP检测序列信息;IP检测序列信息包括M个IP检测结果信息;IP检测结果信息包括IP检测熵值和IP结点值;对IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息。可见,本申请有利于提高DDoS攻击检测准确率和检测实时性,提高防御DDoS攻击能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种DDoS攻击检测方法的流程示意图;
图2是本发明实施例公开的一种DDoS攻击检测装置的结构示意图;
图3是本发明实施例公开的另一种DDoS攻击检测装置的结构示意图;
图4是本发明实施例公开的一种DDoS攻击检测流程的结构示意图;
图5是本发明实施例公开的另一种DDoS攻击检测流程的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明公开了一种DDoS攻击检测方法及装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。以下分别进行详细说明。
实施例一
请参阅图1,图1是本发明实施例公开的一种DDoS攻击检测方法的流程示意图。其中,图1所描述的DDoS攻击检测方法应用于仓储管理系统中,如用于仓储物流DDoS攻击检测管理的本地服务器或云端服务器等,本发明实施例不做限定。如图1所示,该DDoS攻击检测方法可以包括以下操作:
101、获取待检测窗口信息。
本发明实施例中,该待检测窗口信息包括M个检测窗口数据信息。
102、对待检测窗口信息进行IP检测处理,得到IP检测序列信息。
本发明实施例中,该IP检测序列信息包括M个IP检测结果信息;IP检测结果信息包括IP检测熵值和IP结点值。
103、对IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息。
需要说明的是,连续统计多个检测窗口内的IP分组的各新源IP地址出现的概率,并根据前一个窗口的源IP地址对当前窗口的新源IP地址出现概率进行修正,以获取更准确的新源IP地址熵值序列;同时将不同包长度的IP分组的数量记录在开散列表中;本申请通过对源IP地址的熵值序列进行检测,如果累积和连续三次检测结果超过自适应阈值以及检测窗口内包长度相同的IP分组数量超过设定值,则发出DDoS攻击警告。本申请根据DDoS攻击时IP分组的源IP地址熵值急剧增加且相同包长度的IP分组数量迅速上升的明显特征进行检测,不需要建立攻击行为模型,也不需要用大量数据训练,具备检测速度快、运算耗费低的优点,有效地降低了在受害端检测的复杂度和提高了检测的准确性。
可见,实施本发明实施例所描述的DDoS攻击检测方法有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
如图4所示,在一个可选的实施例中,上述对待检测窗口信息进行IP检测处理,得到IP检测序列信息,包括:
对于任一检测窗口数据信息,读取该检测窗口数据信息对应的TCP报文信息;TCP报文信息包括n个报文段信息;
对TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息。
可见,实施本发明实施例所描述的DDoS攻击检测方法有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在另一个可选的实施例中,对TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息,包括:
对TCP报文信息进行信息熵计算处理,得到该检测窗口数据信息对应的IP检测熵值;
对TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值。
需要说明的是,由于DDoS攻击会在短时间内产生海量的数据包,如果检测的窗口是基于时间的,时间间隔较大时,不能及时地发现攻击而导致目标主机受到严重攻击;而时间间隔较小时,可能会出现较高的误警率,所以本发明选择固定包数量的窗口作为检测单元。因此,对于第i个窗口收到的TCP报文段{TCP_1,TCP_2,…,TCP_n},依次取出该报文段所在IP分组的源IP地址及包长度,对两者分别处理。首先把源IP地址经哈希函数处理后放在数组src_addr_hash[i][n]中,其中n表示检测窗口的长度。如果TCP报文段TCP_j所在的IP分组的源IP地址可能在第i-1个检测窗口中已出现过,则该IP地址不再作为新出现的源IP地址。为提高统计的准确性,需要执行修正算法,把该IP地址的哈希值从src_addr_hash[i][n]的相应位置中删除。然后统计数组src_addr_hash[i][n]各个元素出现的概率,结果放在数组src_addr_pro[i][n]中,同时根据src_addr_pro[i][n]统计出本检测窗口的源IP地址熵值并把结果放在检测序列X的第i个元素X[i]中。最后把包长度记录到开散列表src_addr_len[i][n]中。
可见,实施本发明实施例所描述的DDoS攻击检测方法有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在又一个可选的实施例中,对TCP报文信息进行信息熵修正计算处理,得到该检测窗口数据信息对应的IP检测熵值,包括:
对于TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的源IP地址;j满足:1<=j<=n;
用哈希函数对源IP地址进行处理,得到地址哈希值;
将地址哈希值存入存储空间的存储单元src_addr_hash[i][j];i为检测窗口数据信息在待检测窗口信息中的序列号;存储空间包括M个存储数组;每个存储数组包括n个存储单元src_addr_hash[i][j];
判断i是否大于1,得到第一数值判断结果;
当第一数值判断结果为是时,判断上一检测窗口存储空间的所有历史地址哈希值是否存在与地址哈希值相等的历史地址哈希值,得到第一哈希值判断结果;
当第一哈希值判断结果为是时,将地址哈希值从存储单元src_addr_hash[i][j]中删除;
当第一哈希值判断结果为否时,结束第一哈希值判断结果对应的判断流程;
当第一数值判断结果为否时,结束第一数值判断结果对应的判断流程;
统计存储数组src_addr_hash[i][n]中各IP地址哈希值出现的概率,得到IP地址概率值信息;
对IP地址概率值信息进行熵值计算,得到该检测窗口数据信息对应的IP检测熵值X[i]。
需要说明的是,熵值计算是基于以下公式进行的:
式中,Piii为该检测窗口内各IP地址哈希值出现的概率;k为该检测窗口内IP地址哈希值的总数量。
需要说明的是,在互联网中网络的正常流量部分一般而言是比较随机的,正常的网络通信不会发生大的波动。而发生DDoS攻击后,由于是多台傀儡主机集中攻击目标主机,会改变网络中流量部分的随机性。为防止被追踪,通过攻击工具软件发起DDoS攻击的攻击流量的IP分组中的源IP地址一般都是伪造的,因而攻击流量的源IP地址相对于正常流量的源IP地址更为分散,随机性更大,所以攻击流量的源IP地址熵值要大于正常流量的熵值。另外,由于DDoS攻击是用DDoS攻击工具软件发起的,攻击流量中会出现大量IP分组的包长度相同的情况,因此可以根据网络流量中IP分组的源IP地址熵值和相同包长度的IP分组数量的变化情况去检测DDoS攻击。
可见,实施本发明实施例所描述的DDoS攻击检测方法有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
如图5所示,在又一个可选的实施例中,对TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值,包括:
对于TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的包长度P_len[j];
获取开散列表src_addr_len[i][n];开散列表src_addr_len[i][n]的头结点最多包含n个列表包长度;
判断开散列表src_addr_len[i][n]中是否包含与包长度P_len[j]相一致的链表src_addr_len[a][b]的头结点,得到长度判断结果;b不大于n;a不大于i;
当长度判断结果为是时,将与包长度P_len[j]相一致的链表src_addr_len[a][b]对应的头节点计数值加1,得到包长度P_len[j]对应的链表src_addr_len[i][j]对应的头节点计数值;
当长度判断结果为否时,建立src_addr_len[i][j]的头结点,把P_len[j]添加至头节点数据域中,并将该头节点计数值加1,得到包长度P_len[j]对应的链表src_addr_len[i][j]的头节点计数值。
可见,实施本发明实施例所描述的DDoS攻击检测方法有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在一个可选的实施例中,上述对IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息,包括:
对于任一IP检测结果信息,利用统计计算模型和检测计算模型对该IP检测结果信息进行计算处理,得到该IP检测结果信息对应的IP统计值和DDoS攻击检测值;
其中,统计计算模型为:
式中,SI为第I个IP检测结果信息对应的IP统计值;X[t]为第t个IP检测结果信息对应的IP检测熵值;d为常数;
检测计算模型为:
式中,JCI为第I个IP检测结果信息对应的DDoS攻击检测值;m=max{j:j<n,Sj=0},S0=0,max为求最大值函数;h为自适应阈值,h设置如下:以2ρ为动态阈值的上界,即/>
基于IP统计值、DDoS攻击检测值和IP结点值,确定出DDoS攻击检测结果信息。
需要说明的是,d为人工改造因子,且0<d<1,其合理取值可以平衡检测延迟和误检率的矛盾,因此根据实际情况决定它的取值。
需要说明的是,m和h可以是用户设定,也可以是根据IP检测结果信息对应的IP检测熵值计算得到的,本发明实施例不做限定。
可见,实施本发明实施例所描述的DDoS攻击检测方法有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在另一个可选的实施例中,基于IP统计值、DDoS攻击检测值和IP结点值,确定出DDoS攻击检测结果信息,包括:
判读IP统计值和DDoS攻击检测值是否满足第一攻击条件,得到第一攻击判断结果;
当第一攻击判断结果为是,判断IP结点值中的最大值是否大于节点阈值,得到阈值判断结果;
当阈值判断结果为是,确定DDoS攻击检测结果信息为存在DDoS攻击;
当阈值判断结果为否时,确定DDoS攻击检测结果信息为不存在DDoS攻击;
当第一攻击判断结果为否时,确定DDoS攻击检测结果信息为不存在DDoS攻击。
需要说明的是,上述第一攻击条件为存在连续的3个IP统计值均大于IP统计值对应的DDoS攻击检测值。
需要说明的是,采用基于IP统计值、DDoS攻击检测值和IP结点值,确定出DDoS攻击检测结果信息是累积和连续三次超过该DDoS攻击检测值,且IP结点值中的最大值大于阈值才告警,既能自动适应网络动态变化的情况,又能把DDoS攻击流量区别于正常的网络流量,降低误警率。
可见,实施本发明实施例所描述的DDoS攻击检测方法有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
实施例二
请参阅图2,图2是本发明实施例公开的一种DDoS攻击检测装置的结构示意图。其中,图2所描述的装置能够应用于仓储管理系统中,如用于仓储物流DDoS攻击检测管理的本地服务器或云端服务器等,本发明实施例不做限定。如图2所示,该装置可以包括:
获取模块,用于获取待检测窗口信息;待检测窗口信息包括M个检测窗口数据信息;
处理模块,用于对待检测窗口信息进行IP检测处理,得到IP检测序列信息;IP检测序列信息包括M个IP检测结果信息;IP检测结果信息包括IP检测熵值和IP结点值;
检测模块,用于对IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息。
可见,实施图2所描述的DDoS攻击检测装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在另一个可选的实施例中,如图2所示,处理模块对待检测窗口信息进行IP检测处理,得到IP检测序列信息,包括:
对于任一检测窗口数据信息,读取该检测窗口数据信息对应的TCP报文信息;TCP报文信息包括n个报文段信息;
对TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息。
可见,实施图2所描述的DDoS攻击检测装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在又一个可选的实施例中,如图2所示,处理模块对TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息,包括:
对TCP报文信息进行信息熵计算处理,得到该检测窗口数据信息对应的IP检测熵值;
对TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值。
可见,实施图2所描述的DDoS攻击检测装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在又一个可选的实施例中,如图2所示,处理模块对TCP报文信息进行信息熵计算处理,得到该检测窗口数据信息对应的IP检测熵值,包括:
对于TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的源IP地址;j满足:1<=j<=n;
用哈希函数对源IP地址进行处理,得到地址哈希值;
将地址哈希值存入存储空间的存储单元src_addr_hash[i][j];i为检测窗口数据信息在待检测窗口信息中的序列号;存储空间包括M个存储数组;每个存储数组包括n个存储单元src_addr_hash[i][j];
判断i是否大于1,得到第一数值判断结果;
当第一数值判断结果为是时,判断上一检测窗口存储空间的所有历史地址哈希值是否存在与地址哈希值相等的历史地址哈希值,得到第一哈希值判断结果;
当第一哈希值判断结果为是时,将地址哈希值从存储单元src_addr_hash[i][j]中删除;
当第一哈希值判断结果为否时,结束第一哈希值判断结果对应的判断流程;
当第一数值判断结果为否时,结束第一数值判断结果对应的判断流程;
统计存储数组src_addr_hash[i][n]中各IP地址哈希值出现的概率,得到IP地址概率值信息;
对IP地址概率值信息进行熵值计算,得到该检测窗口数据信息对应的IP检测熵值X[i]。
可见,实施图2所描述的DDoS攻击检测装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在又一个可选的实施例中,如图2所示,处理模块对TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值,包括:
对于TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的包长度P_len[j];
获取开散列表src_addr_len[i][n];开散列表src_addr_len[i][n]的头结点最多包含n个列表包长度;
判断开散列表src_addr_len[i][n]中是否包含与包长度P_len[j]相一致的链表src_addr_len[a][b]的头结点,得到长度判断结果;b不大于n;a不大于i;
当长度判断结果为是时,将与包长度P_len[j]相一致的链表src_addr_len[a][b]对应的头节点计数值加1,得到包长度P_len[j]对应的链表src_addr_len[i][j]对应的头节点计数值;
当长度判断结果为否时,建立src_addr_len[i][j]的头结点,把P_len[j]添加至头节点数据域中,并将该头节点计数值加1,得到包长度P_len[j]对应的链表src_addr_len[i][j]的头节点计数值。
可见,实施图2所描述的DDoS攻击检测装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在又一个可选的实施例中,如图2所示,检测模块对IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息,包括:
对于任一IP检测结果信息,利用统计计算模型和检测计算模型对该IP检测结果信息进行计算处理,得到该IP检测结果信息对应的IP统计值和DDoS攻击检测值;
其中,统计计算模型为:
式中,SI为第I个IP检测结果信息对应的IP统计值;X[t]为第t个IP检测结果信息对应的IP检测熵值;d为常数;
检测计算模型为:
式中,JCI为第I个IP检测结果信息对应的DDoS攻击检测值;m=max{j:j<n,Sj=0},S0=0,max为求最大值函数;h为自适应阈值,h设置如下:以2ρ为动态阈值的上界,即/>
基于IP统计值、DDoS攻击检测值和IP结点值,确定出DDoS攻击检测结果信息。
可见,实施图2所描述的DDoS攻击检测装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
在又一个可选的实施例中,如图2所示,检测模块基于IP统计值、DDoS攻击检测值和IP结点值,确定出DDoS攻击检测结果信息,包括:
判读IP统计值和DDoS攻击检测值是否满足第一攻击条件,得到第一攻击判断结果;
当第一攻击判断结果为是,判断IP结点值中的最大值是否大于节点阈值,得到阈值判断结果;
当阈值判断结果为是,确定DDoS攻击检测结果信息为存在DDoS攻击;
当阈值判断结果为否时,确定DDoS攻击检测结果信息为不存在DDoS攻击;
当第一攻击判断结果为否时,确定DDoS攻击检测结果信息为不存在DDoS攻击。
可见,实施图2所描述的DDoS攻击检测装置有利于提高DDoS攻击检测准确率和检测实时性,进而提高防御DDoS攻击能力。
实施例三
请参阅图3,图3是本发明实施例公开的又一种DDoS攻击检测装置的结构示意图。其中,图3所描述的装置能够应用于仓储管理系统中,如用于仓储物流DDoS攻击检测管理的本地服务器或云端服务器等,本发明实施例不做限定。
如图3所示,该装置可以包括:
存储有可执行程序代码的存储器301;
与存储器301耦合的处理器302;
处理器302调用存储器301中存储的可执行程序代码,用于执行实施例一所描述的DDoS攻击检测方法中的步骤。
实施例四
本发明实施例公开了一种计算机可读读存储介质,其存储用于电子数据交换的计算机程序,其中,该计算机程序使得计算机执行实施例一所描述的DDoS攻击检测方法中的步骤。
实施例五
本发明实施例公开了一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,且该计算机程序可操作来使计算机执行实施例一所描述的DDoS攻击检测方法中的步骤。
以上所描述的装置实施例仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、一次可编程只读存储器(One-timeProgrammable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
最后应说明的是:本发明实施例公开的一种DDoS攻击检测方法及装置所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。
Claims (5)
1.一种DDoS攻击检测方法,其特征在于,所述方法包括:
获取待检测窗口信息;所述待检测窗口信息包括M个检测窗口数据信息;
对所述待检测窗口信息进行IP检测处理,得到IP检测序列信息;所述IP检测序列信息包括所述M个IP检测结果信息;所述IP检测结果信息包括IP检测熵值和IP结点值;所述对所述待检测窗口信息进行IP检测处理,得到IP检测序列信息,包括:
对于任一所述检测窗口数据信息,读取该检测窗口数据信息对应的TCP报文信息;所述TCP报文信息包括n个报文段信息;
对所述TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息;所述对所述TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息,包括:
对所述TCP报文信息进行信息熵修正计算处理,得到该检测窗口数据信息对应的IP检测熵值;
对所述TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值;所述对所述TCP报文信息进行信息熵修正计算处理,得到该检测窗口数据信息对应的IP检测熵值,包括:
对于所述TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的源IP地址;所述j满足:1<=j<=n;
用哈希函数对所述源IP地址进行处理,得到地址哈希值;
将所述地址哈希值存入存储空间的存储单元src_addr_hash[i][j];所述i为所述检测窗口数据信息在所述待检测窗口信息中的序列号;所述存储空间包括所述M个存储数组;每个所述存储数组包括所述n个所述存储单元src_addr_hash[i][j];
判断所述i是否大于1,得到第一数值判断结果;
当所述第一数值判断结果为是时,判断上一检测窗口存储空间的所有历史地址哈希值是否存在与所述地址哈希值相等的所述历史地址哈希值,得到第一哈希值判断结果;
当所述第一哈希值判断结果为是时,将所述地址哈希值从所述存储单元src_addr_hash[i][j]中删除;
当所述第一哈希值判断结果为否时,结束所述第一哈希值判断结果对应的判断流程;
当所述第一数值判断结果为否时,结束所述第一数值判断结果对应的判断流程;
统计存储数组src_addr_hash[i][n]中各IP地址哈希值出现的概率,得到IP地址概率值信息;
对所述IP地址概率值信息进行熵值计算,得到该检测窗口数据信息对应的IP检测熵值X[i];所述对所述TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值,包括:
对于所述TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的包长度P_len[j];
获取开散列表src_addr_len[i][n];所述开散列表src_addr_len[i][n] 的头结点最多包含n个列表包长度;
判断所述开散列表src_addr_len[i][n]中是否包含与所述包长度P_len[j]相一致的链表src_addr_len[a][b]的头结点,得到长度判断结果;所述b不大于所述n;所述a不大于所述i;
当所述长度判断结果为是时,将与所述包长度P_len[j]相一致的链表src_addr_len[a][b]对应的头节点计数值加1,得到所述包长度P_len[j]对应的链表src_addr_len[i][j]对应的头节点计数值;
当所述长度判断结果为否时,建立src_addr_len[i][j]的头结点,把P_len[j]添加至头节点数据域中,并将该头节点计数值加1,得到所述包长度P_len[j]对应的链表src_addr_len[i][j]的头节点计数值;
对所述IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息;所述对所述IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息,包括:
对于任一所述IP检测结果信息,利用统计计算模型和检测计算模型对该IP检测结果信息进行计算处理,得到该IP检测结果信息对应的IP统计值和DDoS攻击检测值;
其中,所述统计计算模型为:
;
式中,为第/>个所述IP检测结果信息对应的IP统计值;/>为第/>个所述IP检测结果信息对应的IP检测熵值;/>为常数;
所述检测计算模型为:
;
式中,为第/>个所述IP检测结果信息对应的DDoS攻击检测值;m=max{j:j<n,Sj=0},S0=0,max为求最大值函数;h为自适应阈值,h设置如下:/>,,以2ρ为动态阈值的上界,即/>2ρ;
基于所述IP统计值、所述DDoS攻击检测值和所述IP结点值,确定出DDoS攻击检测结果信息。
2.根据权利要求1所述的DDoS攻击检测方法,其特征在于,所述基于所述IP统计值、所述DDoS攻击检测值和所述IP结点值,确定出DDoS攻击检测结果信息,包括:
判读所述IP统计值和所述DDoS攻击检测值是否满足第一攻击条件,得到第一攻击判断结果;
当所述第一攻击判断结果为是,判断所述IP结点值中的最大值是否大于节点阈值,得到阈值判断结果;
当所述阈值判断结果为是,确定DDoS攻击检测结果信息为存在DDoS攻击;
当所述阈值判断结果为否时,确定所述DDoS攻击检测结果信息为不存在DDoS攻击;
当所述第一攻击判断结果为否时,确定所述DDoS攻击检测结果信息为不存在DDoS攻击。
3.一种DDoS攻击检测装置,其特征在于,所述装置包括:
获取模块,用于获取待检测窗口信息;所述待检测窗口信息包括M个检测窗口数据信息;
处理模块,用于对所述待检测窗口信息进行IP检测处理,得到IP检测序列信息;所述IP检测序列信息包括所述M个IP检测结果信息;所述IP检测结果信息包括IP检测熵值和IP结点值;所述处理模块对所述待检测窗口信息进行IP检测处理,得到IP检测序列信息,包括:
对于任一所述检测窗口数据信息,读取该检测窗口数据信息对应的TCP报文信息;所述TCP报文信息包括n个报文段信息;
对所述TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息;所述处理模块对所述TCP报文信息进行IP检测处理,得到该检测窗口数据信息对应的IP检测结果信息,包括:
对所述TCP报文信息进行信息熵修正计算处理,得到该检测窗口数据信息对应的IP检测熵值;
对所述TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值;所述处理模块对所述TCP报文信息进行信息熵修正计算处理,得到该检测窗口数据信息对应的IP检测熵值,包括:
对于所述TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的源IP地址;所述j满足:1<=j<=n;
用哈希函数对所述源IP地址进行处理,得到地址哈希值;
将所述地址哈希值存入存储空间的存储单元src_addr_hash[i][j];所述i为所述检测窗口数据信息在所述待检测窗口信息中的序列号;所述存储空间包括所述M个存储数组;每个所述存储数组包括所述n个所述存储单元src_addr_hash[i][j];
判断所述i是否大于1,得到第一数值判断结果;
当所述第一数值判断结果为是时,判断上一检测窗口存储空间的所有历史地址哈希值是否存在与所述地址哈希值相等的所述历史地址哈希值,得到第一哈希值判断结果;
当所述第一哈希值判断结果为是时,将所述地址哈希值从所述存储单元src_addr_hash[i][j]中删除;
当所述第一哈希值判断结果为否时,结束所述第一哈希值判断结果对应的判断流程;
当所述第一数值判断结果为否时,结束所述第一数值判断结果对应的判断流程;
统计存储数组src_addr_hash[i][n]中各IP地址哈希值出现的概率,得到IP地址概率值信息;
对所述IP地址概率值信息进行熵值计算,得到该检测窗口数据信息对应的IP检测熵值X[i];所述处理模块对所述TCP报文信息进行检测分析处理,得到该检测窗口数据信息对应的IP结点值,包括:
对于所述TCP报文信息中的任一报文段TCP_j,读取该报文段TCP_j所在IP分组的包长度P_len[j];
获取开散列表src_addr_len[i][n];所述开散列表src_addr_len[i][n] 的头结点最多包含n个列表包长度;
判断所述开散列表src_addr_len[i][n]中是否包含与所述包长度P_len[j]相一致的链表src_addr_len[a][b]的头结点,得到长度判断结果;所述b不大于所述n;所述a不大于所述i;
当所述长度判断结果为是时,将与所述包长度P_len[j]相一致的链表src_addr_len[a][b]对应的头节点计数值加1,得到所述包长度P_len[j]对应的链表src_addr_len[i][j]对应的头节点计数值;
当所述长度判断结果为否时,建立src_addr_len[i][j]的头结点,把P_len[j]添加至头节点数据域中,并将该头节点计数值加1,得到所述包长度P_len[j]对应的链表src_addr_len[i][j]的头节点计数值; 检测模块,用于对所述IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息;所述检测模块对所述IP检测序列信息进行DDoS攻击检测,得到DDoS攻击检测结果信息,包括:
对于任一所述IP检测结果信息,利用统计计算模型和检测计算模型对该IP检测结果信息进行计算处理,得到该IP检测结果信息对应的IP统计值和DDoS攻击检测值;
其中,所述统计计算模型为:
;
式中,为第/>个所述IP检测结果信息对应的IP统计值;/>为第/>个所述IP检测结果信息对应的IP检测熵值;/>为常数;
所述检测计算模型为:
;
式中,为第/>个所述IP检测结果信息对应的DDoS攻击检测值;m=max{j:j<n,Sj=0},S0=0,max为求最大值函数;h为自适应阈值,h设置如下:/>,,以2ρ为动态阈值的上界,即/>2ρ;
基于所述IP统计值、所述DDoS攻击检测值和所述IP结点值,确定出DDoS攻击检测结果信息。
4.一种DDoS攻击检测装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-2任一项所述的DDoS攻击检测方法。
5.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-2任一项所述的DDoS攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311606390.2A CN117596049B (zh) | 2023-11-28 | 2023-11-28 | 一种DDoS攻击检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311606390.2A CN117596049B (zh) | 2023-11-28 | 2023-11-28 | 一种DDoS攻击检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117596049A CN117596049A (zh) | 2024-02-23 |
CN117596049B true CN117596049B (zh) | 2024-04-12 |
Family
ID=89912953
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311606390.2A Active CN117596049B (zh) | 2023-11-28 | 2023-11-28 | 一种DDoS攻击检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117596049B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019105462A1 (zh) * | 2017-11-30 | 2019-06-06 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置,pe节点,节点 |
-
2023
- 2023-11-28 CN CN202311606390.2A patent/CN117596049B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019105462A1 (zh) * | 2017-11-30 | 2019-06-06 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置,pe节点,节点 |
CN109861924A (zh) * | 2017-11-30 | 2019-06-07 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置,pe节点,节点 |
Also Published As
Publication number | Publication date |
---|---|
CN117596049A (zh) | 2024-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111181932B (zh) | Ddos攻击检测与防御方法、装置、终端设备及存储介质 | |
Chen et al. | CBF: a packet filtering method for DDoS attack defense in cloud environment | |
CN109831461B (zh) | 一种分布式拒绝服务DDoS攻击防御方法及装置 | |
CN107770132B (zh) | 一种对算法生成域名进行检测的方法及装置 | |
US20080104702A1 (en) | Network-based internet worm detection apparatus and method using vulnerability analysis and attack modeling | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
US20060075489A1 (en) | Streaming algorithms for robust, real-time detection of DDoS attacks | |
CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
CN1297101C (zh) | 检测拒绝服务攻击的方法 | |
CN106878314A (zh) | 基于可信度的网络恶意行为检测方法 | |
CN112272175A (zh) | 一种基于dns的木马病毒检测方法 | |
US8151350B2 (en) | Method and device for detecting unknown network worms | |
CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
CN112788039B (zh) | 一种DDoS攻击识别方法、装置及存储介质 | |
CN114338120A (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
CN117596049B (zh) | 一种DDoS攻击检测方法及装置 | |
CN108347359B (zh) | 一种大型网络地址转换出口判断方法及装置 | |
CN112104628B (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
CN112104523B (zh) | 流量透传的检测方法、装置、设备及存储介质 | |
Yi et al. | Source-based filtering scheme against DDOS attacks | |
KR101061377B1 (ko) | 분포 기반 디도스 공격 탐지 및 대응 장치 | |
CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
CN113114663A (zh) | 一种基于扫描报文行为的判定方法及装置 | |
CN111901286B (zh) | 一种基于流量日志的apt攻击检测方法 | |
CN113765849A (zh) | 一种异常网络流量检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |