本发明专利技术公开了一种分布式拒绝服务攻击检测方法及装置,所述方法包括:实时获取服务器接收的数据报文;对第一预设时间段内每个所述数据报文进行解析、统计,得到不同维度的实时流量值;根据同步报文字段维度的第一实时流量值和终止报文字段维度的第二实时流量值,计算所述第一实时流量值占所述第二实时流量值的比例,得到第一比值;当所述第一比值大于第一阈值时,判定所述服务器存在同步报文字段泛洪攻击。本发明专利技术有效且具有针对性的判定服务器是否存在分布式拒绝服务攻击中的同步报文字段泛洪攻击。实时流量值体现相关报文字段的动态变化,使得对同步报文字段泛洪攻击的判定更加灵活准确,减少误告警的发生情形。
【技术实现步骤摘要】
一种分布式拒绝服务攻击检测方法及装置
本专利技术涉及互联网通信
,尤其涉及一种分布式拒绝服务攻击检测方法及装置。
技术介绍
SYNFlood(同步报文字段泛洪)攻击作为DDoS(DistributedDenialofService,分布式拒绝服务)攻击的方式之一,它利用TCP(TransmissionControlProtocol,传输控制协议)的漏洞,发送大量伪造的SYN(同步报文字段)连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)而拒绝提供服务。2000年,美国数个大型商业网站(有Yahoo、eBay、CNN、Amazon等)相继遭受SYNFlood攻击,服务瘫痪长达数小时之久,造成了高达12亿美元的经济损失。2005年,国内大型商业网站8848同样遭到了SYNFlood攻击,服务瘫痪时间长达27小时。SYNFlood攻击看似简单,但防御起来相当困难,一方面,这种攻击利用的是TCP固有的漏洞,使用正常网络服务都不会禁止SYN;另一方面,攻击者不需要得到目标主机的返回信息,所以可以伪造数据报文的源IP地址使目标主机无从追查。目前对SYN洪泛攻击的抵御往往是事后防御,而此时SYN洪泛攻击已经对受害主机或目标网络造成了一定的伤害。因此,需要提供对SYN洪泛攻击更准确有效的事前检测方案。
技术实现思路
为了解决现有技术应用在对抵御SYN洪泛攻击时检测时准确度低、易出现误告警等问题,本专利技术提供了一种分布式拒绝服务攻击检测方法及装置:一方面,本专利技术提供了一种分布式拒绝服务攻击检测方法及装置,所述方法包括:实时获取服务器接收的数据报文;对第一预设时间段内每个所述数据报文进行解析、统计,得到不同维度的实时流量值;根据同步报文字段维度的第一实时流量值和终止报文字段维度的第二实时流量值,计算所述第一实时流量值占所述第二实时流量值的比例,得到第一比值;当所述第一比值大于第一阈值时,判定所述服务器存在同步报文字段泛洪攻击。另一方面提供了一种分布式拒绝服务攻击检测装置,所述装置包括:数据报文获取模块:用于实时获取服务器接收的数据报文;第一统计模块:用于对第一预设时间段内每个所述数据报文进行解析、统计,得到不同维度的实时流量值;第一计算模块:用于根据同步报文字段维度的第一实时流量值和终止报文字段维度的第二实时流量值,计算所述第一实时流量值占所述第二实时流量值的比例,得到第一比值;攻击判定模块:用于当所述第一比值大于第一阈值时,判定所述服务器存在同步报文字段泛洪攻击。另一方面提供了一种服务器,所述服务器包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述的分布式拒绝服务攻击检测方法。另一方面提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述的分布式拒绝服务攻击检测方法。本专利技术提供的一种分布式拒绝服务攻击检测方法及装置,具有如下技术效果:本专利技术有效且具有针对性的判定服务器是否存在分布式拒绝服务攻击中的同步报文字段泛洪攻击。实时流量值体现相关报文字段的动态变化,使得对同步报文字段泛洪攻击的判定更加灵活准确,能够适应现网复杂的业务流量形态,减少误告警的发生情形。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。图1是本专利技术实施例提供的一种应用环境的示意图;图2是本专利技术实施例提供的一种分布式拒绝服务攻击检测方法的流程示意图;图3是本专利技术实施例提供的实时流量值与流量值基线进行比较的一种的流程示意图;图4是本专利技术实施例提供的对第一实时流量值和第二实时流量值的比值进行比较的一种流程示意图;图5是本专利技术实施例提供的当所述第一比值大于第一阈值时,判定所述服务器存在同步报文字段泛洪攻击的一种流程示意图;图6是本专利技术实施例提供的一种分布式拒绝服务攻击检测装置的组成框图;图7也是本专利技术实施例提供的一种分布式拒绝服务攻击检测装置的组成框图;图8是本专利技术实施例提供的模型训练和模型预测的一种示意图;图9是本专利技术实施例提供的一种反射式同步报文字段泛洪攻击的示意图;图10是本专利技术实施例提供的一种实时流量检测过程示意图;图11是本专利技术实施例提供的一种SYN泛洪攻击检测系统示意图;图12是本专利技术实施例提供的一种服务器的组成框图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。请参见图1,其示出了本专利技术实施例提供的应用环境,包括:服务请求发送方集群110、业务处理服务器120和流量检测服务器130,其中,所述服务请求发送方集群110包括若干用户终端设备,所述用户终端设备可以但不限于为手机、平板电脑、台式计算机等终端设备。所述业务处理服务器120用于接收并处理用户发送的业务服务请求;所述流量检测服务器130用于对流入的流量进行检测,判断是否存在SYNFlood攻击,并且当检测到存在SYNFlood攻击时,发出告警信息。需要说明的是,图1仅仅是一种示例。在本专利技术实施例中,在流量进入核心交换机之前,将其镜像一份到流量分析系统,流量分析系统对流量进行进一步处理(分类、解析、统计、计算和差异比较等),进而根据处理结果得出服务器是否存在SYNFlood攻击的判定。在实际应用中,流量检测服务器可以部署在大中型网络骨干路由器上。以下介绍本专利技术一种分布式拒绝服务攻击检测方法,图2是本专利技术实施例提供的一种分布式拒绝服务攻击检测方法的流程示意图,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示,所述方法可以包括:S201:实时获取服务器接收的数据报文;在本专利技术实施例中,如图11所示,可通过分光器实时镜像所述数据报文,分光器在所述数据报文由运营商发送至核心交换机1110的路径中作镜像,这样便可以实时获取到由运营商经核心交换机1110发送至服务器1120的所述数据报文。所述数据报文经过分光交换机1130之后,按照二元组本文档来自技高网...
【技术保护点】
1.一种分布式拒绝服务攻击检测方法,其特征在于,所述方法包括:实时获取服务器接收的数据报文;对第一预设时间段内每个所述数据报文进行解析、统计,得到不同维度的实时流量值;根据同步报文字段维度的第一实时流量值和终止报文字段维度的第二实时流量值,计算所述第一实时流量值占所述第二实时流量值的比例,得到第一比值;当所述第一比值大于第一阈值时,判定所述服务器存在同步报文字段泛洪攻击。
【技术特征摘要】
1.一种分布式拒绝服务攻击检测方法,其特征在于,所述方法包括:实时获取服务器接收的数据报文;对第一预设时间段内每个所述数据报文进行解析、统计,得到不同维度的实时流量值;根据同步报文字段维度的第一实时流量值和终止报文字段维度的第二实时流量值,计算所述第一实时流量值占所述第二实时流量值的比例,得到第一比值;当所述第一比值大于第一阈值时,判定所述服务器存在同步报文字段泛洪攻击。2.根据权利要求1所述的方法,其特征在于,所述当所述第一比值大于第一阈值时,判定所述服务器存在同步报文字段泛洪攻击的步骤,包括:根据复位报文字段维度的第三实时流量值和所述第二实时流量值,计算所述第三实时流量值占所述第二实时流量值的比例,得到第二比值;当所述第二比值小于第二阈值时,判定所述服务器存在直接式同步报文字段泛洪攻击;当所述第二比值大于第三阈值时,判定所述服务器存在反射式同步报文字段泛洪攻击;其中,所述第二阈值小于所述第一阈值,所述第三阈值大于所述第一阈值。3.根据权利要求1或2任一所述的方法,其特征在于,所述根据同步报文字段维度的第一实时流量值和终止报文字段维度的第二实时流量值,计算所述第一实时流量值占所述第二实时流量值的比例,得到第一比值的步骤之前,还包括:根据所述数据报文,统计得到实时总流量值;计算所述第一实时流量值占所述实时总流量值的比例,得到第三比值;当所述第三比值大于第四阈值时,计算得到所述第一比值并将所述第一比值与所述第一阈值进行比较;其中,所述第四阈值小于所述第一阈值。4.根据权利要求3所述的方法,其特征在于,所述对第一预设时间内每个所述数据报文进行解析、统计,得到基于不同维度的实时流量值的步骤之后,还包括:将每个维度的所述实时流量值与对应的流量值基线进行差异比较;当所述差异比较的结果不满足预设条件时,判定所述服务器存在异常;其中,每个维度的所述流量值基线是预先对第二预设时间段内采集的数据报文进行离线计算得到的。5.根据权利要求4所述的方法,其特征在于,所述流量值基线包括源端口流量值基线、目的端口流量值基线、包长流量值基线、生存时间值流量值基线、同步报文字段/终止报文字段流量值基线和同步报文字段/数据报文流量值基线。6.一种分布式拒绝服务攻...
【专利技术属性】
技术研发人员:陈虎,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。