一种DDoS检测方法及检测装置制造方法及图纸

技术编号：17056410 阅读：26 留言：0更新日期：2018-01-17 20:19

本发明专利技术公开了一种DDoS检测方法，其中，包括：根据源地址聚簇算法统计每条流量中具有相同源IP的平均特征量

A DDoS detection method and detection device

The present invention discloses a DDoS detection method, including: according to the source address clustering algorithm, the average eigenvalue of the same source IP in each traffic is counted.

全部详细技术资料下载

【技术实现步骤摘要】
一种DDoS检测方法及检测装置
本专利技术涉及网络安全
，尤其涉及一种DDoS检测方法及一种DDoS检测装置。
技术介绍
据网络安全权威机构调查研究表明，DDoS(DistributedDenialofService，分布式拒绝服务)攻击对网络的危害程度非常之大，在全球范围内，造成数以百亿美金的损失，所以对DDoS攻击进行防御意义重大。目前，针对DDoS攻击检测，主流办法是从网络流数据中提取需要的流量特征参数，通过分析流量特征参数，确定异常时间点，并构建历史时间窗，然后找出异常时间点流量最大的前N个目的IP，通过分析历史时间窗内包含各选出目的IP的子流，最后确认攻击并识别出异常流。现有技术中的检测步骤如下：1.从网络设备中获取网络中的流数据，从流数据中提取流量特征参数；2.对步骤1提取的流量特征参数进行处理，确定异常时间节点，根据异常时间点进行扩展，形成历史时间窗；3.找出异常时间点流量最大的前N个目的IP，对找出的每一目的IP，根据流量特征参数在异常时间点的变化与其在历史时间窗内的波动之比是否超过训练得到的阈值来判断该目的IP是否为异常目的IP；4.找出异常目的IP在历史时间窗口内对应的源IP地址并统计这些源IP到该目的IP的流量大小，若某个源IP到该目的IP的流量变化高于阈值，则标记为疑似DoS(DenialofService，拒绝服务)攻击，若存在多个源IP到该目的IP的流量变化高于给定阈值，则标记为疑似DDoS攻击。现有技术中的这种检测方法能检测出DDoS攻击，针对一段时间内的流量进行分析，但由于特征量太少，所以精确度不够，比较粗糙。因此，如...
一种DDoS检测方法及检测装置

【技术保护点】
一种DDoS检测方法，其特征在于，针对混合的多条流量，所述DDoS检测方法包括：根据源地址聚簇算法统计每条流量中具有相同源IP的平均特征量fi，

【技术特征摘要】
1.一种DDoS检测方法，其特征在于，针对混合的多条流量，所述DDoS检测方法包括：根据源地址聚簇算法统计每条流量中具有相同源IP的平均特征量fi，其中，fi表示第i条流量中具有相同源IP的平均特征量，ωi表示第i条流量的平均字节数，表示第i条流量的平均包数目，τi表示第i条流量中平均包间隔时间，i表示流量的条数，i为大于或者等于1的自然数；将具有相同源IP的平均特征量与标准特征量进行比较，根据比较结果将流量进行分组，得到多个分别具有不同数目流量的特征预分组；将多个特征预分组的各个特征预分组的流量数目比例与参考特征分组的各个特征分组的流量数目比例进行比较，得到流量数目比例差值；判断所述流量数目比例差值与设定阈值的大小；若所述流量数目比例差值大于所述设定阈值，则判定多个特征预分组所对应的流量为异常流量。2.根据权利要求1所述的DDoS检测方法，其特征在于，所述标准特征量为：其中，O表示标准特征量，Oω表示平均字节数的标准特征量，表示平均包数目的标准特征量，Oτ表示平均包间隔时间的标准特征量。3.根据权利要求2所述的DDoS检测方法，其特征在于，所述标准特征量通过经验值获得。4.根据权利要求2所述的DDoS检测方法，其特征在于，所述将具有相同源IP的平均特征量与标准特征量进行比较，根据比较结果将流量进行分组，得到多个分别具有不同数目流量的特征预分组包括：将具有相同源IP的平均特征量中的平均字节数与平均字节数的标准特征量比较；根据比较结果，将相同源IP的平均特征量中的平均字节数大于平均字节数的标准特征量的流量分为平均字节数一组，将相同源IP的平均特征量中的平均字节数小于或者等于平均字节数的标准特征量的流量分为平均字节数二组；将所述平均字节数一组和所述平均字节...

【专利技术属性】
技术研发人员：郑佳伟，赵旦谱，台宪青，
申请(专利权)人：江苏物联网研究发展中心，
类型：发明
国别省市：江苏,32

全部详细技术资料下载我是这个专利的主人