本发明专利技术涉及一种分布式拒绝服务攻击检测方法、装置及服务器,所述方法包括:预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;对获取的实时流量进行解包,得到多维度实时流量数据;根据所述多维度实时流量数据,统计每个维度的实时流量值;将每个维度的所述实时流量值与所述流量值基线进行差异比较;分析所述差异比较的结果,判断是否输出告警信息。本发明专利技术能够适应现网复杂的业务流量形态,避免了一刀切阈值产生的误告警和小流量漏报,提高了检测的准确率,并且提升了检测的灵敏度。
【技术实现步骤摘要】
一种分布式拒绝服务攻击检测方法、装置及服务器
本专利技术涉及网络安全
,尤其涉及一种分布式拒绝服务攻击检测方法、装置及服务器。
技术介绍
DDoS是英文DistributedDenialofService的缩写,意为“分布式拒绝服务”,DDoS的精髓是:利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或者长期占用大量资源,从而达到拒绝服务的目的。DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应;另外就是通过短时间内发送海量数据包阻塞IDC(InternetDataCenter,互联网数据中心)上游链路带宽,造成正常业务流量陡降,从而达到拒绝服务的目的。传统的DDoS检测一般都是基于阈值告警,即基于IP(InternetProtocol,网络协议)统计特定时间窗内的流量成分变化,当变化量超过设定的阈值时告警。这种方案比较简单,但是不灵活,所有业务或者特定业务都是一刀切的阈值,容易产生大量误报或者小流量漏报。
技术实现思路
本专利技术所要解决的技术问题在于,提供一种分布式拒绝服务攻击检测方法、装置及服务器,能够适应现网复杂的业务流量形态,避免了一刀切阈值产生的误告警和小流量漏报,提高检测的准确率,并且提升检测的灵敏度。为了解决上述技术问题,第一方面,本专利技术提供了一种分布式拒绝服务攻击检测方法包括:预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;对获取的实时流量进行解包,得到多维度实时流量数据;根据所述多维度实时流量数据,统计每个维度的实时流量值;将每个维度的所述实时流量值与所述流量值基线进行差异比较;分析所述差异比较的结果,判断是否输出告警信息。第二方面,本专利技术提供了一种分布式拒绝服务攻击检测装置,包括:离线计算模块,用于预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;解包模块,用于对获取的实时流量进行解包,得到多维度实时流量数据;流量统计模块,用于根据所述多维度实时流量数据,统计每个维度的实时流量值;差异比较模块,用于将每个维度的所述实时流量值与所述流量值基线进行差异比较;告警输出模块,用于分析所述差异比较的结果,判断是否输出告警信息。第三方面,本专利技术提供了一种服务器,包括处理器和存储器,其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行如第一方面所述的分布式拒绝服务攻击检测方法。第四方面,本专利技术提供了一种计算机存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行如第一方面所述的分布式拒绝服务攻击检测方法。实施本专利技术实施例,具有如下有益效果:本专利技术通过预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;再根据得到的多维度实时流量数据,统计每个维度的实时流量值;将每个维度的实时流量值与流量值基线进行差异比较,根据差异比较的结果,判断是否需要输出告警。本专利技术为每个维度都设置了流量值基线,对于每一个当前时刻而言,其之前的预设时间段内的历史流量数据均是不同的,故流量值基线在不同时间段内是不同的,即流量值基线是动态变化的。本专利技术能够适应现网复杂的业务流量形态,提高了检测的准确率,并且提升了检测的灵敏度。附图说明图1是本专利技术实施例提供的应用场景示意图;图2是本专利技术实施例提供的一种分布式拒绝服务攻击检测方法流程图;图3是本专利技术实施例提供的一种离线计算方法流程图;图4是本专利技术实施例提供的一种流量统计方法流程图;图5是本专利技术实施例提供的一种流量差异比较方法流程图;图6是本专利技术实施例提供的另一种流量差异比较方法流程图;图7是本专利技术实施例提供的一种实时流量检测过程示意图;图8是本专利技术实施例提供的一种分布式拒绝服务攻击检测装置示意图;图9是本专利技术实施例提供的一种离线计算模块示意图;图10是本专利技术实施例提供的一种流量统计模块示意图;图11是本专利技术实施例提供的差异比较模块第一示意图;图12是本专利技术实施例提供的差异比较模块第二示意图;图13是本专利技术实施例提供的一种DDoS检测系统示意图;图14是本专利技术实施例提供的一种服务器结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述。显然,所描述的实施例仅仅是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。在本专利技术的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。而且,术语“第一”、“第二”等适用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。首先对本实施例中涉及的名词作以下解释:CUSUM(CumulativeSum,累积和)算法:变化点检测的主要思想是把网络数据流看作一个随机模型,在异常情况发生时,模型的结构会发生变化,只要能够检测出模型的变化,就能及时发现攻击行为。CUSUM算法是用来检测异常的常用算法,具有计算简单、效率高的特点,因此被广泛应用到需要实时检测的环境中。而且,通过对算法设置不同的检测参数、修改期望值产生方法、阈值的动态产生等方法,可以使该算法具有很好的自适应性。CUSUM算法可以检测到一个统计过程均值的变化,该算法在参数模型已知的情况下是渐进最优的,并且对变化较小的序列检测较为敏感。CUSUM定义如下:其中,xn表示样本序列,ωn表示对样本xn的期望值。当值S超过了指定的阈值β,那么表示值发生了明显的变化,通过对β值的调整可以控制算法对变化的敏感程度。假设ωi-1=ωi,则Sn+1展开如下:当xi连续大于ωi时,Sn也就成为xi+1-ωi序列的和,这个值会越来越大,直到最后超过指定的阈值,并产生异常报警。欧氏距离:欧几里得度量(euclideanmetric),也称欧氏距离,是一个通常采用的距离定义,指在m维空间中两个点之间的真实距离,或者向量的自然长度(即该点到原点的距离)。在二维和三维空间中的欧氏距离就是两点之间的实际距离。余弦相似度:余弦相似性通过测量两个向量的夹角的余弦值来度量它们之间的相似性。0度角的余弦值是1,而其他任何角度的余弦值都不大于1;并且其最小值是-1。从而两个向量之间的角度的余弦值确定两个向量是否大致指向相同的方向。两个向量有相同的指向时,余弦相似度的值为1;两个向量夹角为90°时,余弦相似度的值为0;两个向量指向完全相反的方向时,余弦相似度的值为-1。这结果是与向量的长度无关的,仅仅与向量的指向方向相关。余弦相似度通常用于正空间,因此给出的值为0到1之间。DDoS攻击检测是DDoS攻击防御的基础,DDoS检测系统除了能够产生告警给网络管理员处理之外,还需要能够准确的提供当前攻击的详细信息,比如:攻击的类型、攻击流量大本文档来自技高网...
【技术保护点】
1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;对获取的实时流量进行解包,得到多维度实时流量数据;根据所述多维度实时流量数据,统计每个维度的实时流量值;将每个维度的所述实时流量值与所述流量值基线进行差异比较;分析所述差异比较的结果,判断是否输出告警信息。
【技术特征摘要】
1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线;对获取的实时流量进行解包,得到多维度实时流量数据;根据所述多维度实时流量数据,统计每个维度的实时流量值;将每个维度的所述实时流量值与所述流量值基线进行差异比较;分析所述差异比较的结果,判断是否输出告警信息。2.根据权利要求1所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述预先对预设时间段内采集的多维度流量数据进行离线计算,得到每个维度的流量值基线包括:对预先存储的所述预设时间段内的多维度流量数据进行降噪处理;对经过降噪处理之后的所述多维度流量数据进行数据平滑处理;根据数据处理结果,得出每个维度的流量值基线,并计算所述多维度流量数据的统计值;存储所述流量值基线和所述统计值。3.根据权利要求2所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述多维度包括:源端口、目的端口、包长、生存时间值和流量包量。4.根据权利要求3所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述根据所述多维度实时流量数据,统计每个维度的实时流量值包括:当所述维度为源端口、目的端口、包长或生存时间值时,在每个维度下设置若干统计标识;检测预设时间窗内所述统计标识所对应的流量值。5.根据权利要求4所述的一种分布式拒绝服务攻击检测方法,其特征在于,所述将每个维度的所述实时流量值与所述流量值基线进行差异比较包括:当所述维度为源端口、目的端口、包长或生存时间值时,为每个维度的流量判断分别设置相应的阈值;计算预设时间窗内,每个维度的所述实时流量值与所述流量值基线的偏差;当所述偏差超过所述相应的阈值时,为对应维度...
【专利技术属性】
技术研发人员:陈虎,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。