本发明专利技术实施例公开了一种分布式拒绝服务攻击检测方法及装置,属于网络安全领域。其中所述方法包括:实时获取服务器接收的数据报文,并对预设一段时间内服务器接收的每个数据报文进行解析,以从每个数据报文中提取特征;根据从每个数据报文中提取的特征得到每种协议类型的数据报文个数占数据报文总数的比例;判断得到的每种协议类型的数据报文个数占数据报文总数的比例是否符合占比基线;若不符合占比基线,则判定为服务器存在DDoS攻击。本发明专利技术通过占比信息检测是否存在DDoS攻击的方式,从而能够快速、准确、及时地检测出是否发生DDoS攻击。
【技术实现步骤摘要】
【专利摘要】本专利技术实施例公开了一种分布式拒绝服务攻击检测方法及装置,属于网络安全领域。其中所述方法包括:实时获取服务器接收的数据报文,并对预设一段时间内服务器接收的每个数据报文进行解析,以从每个数据报文中提取特征;根据从每个数据报文中提取的特征得到每种协议类型的数据报文个数占数据报文总数的比例;判断得到的每种协议类型的数据报文个数占数据报文总数的比例是否符合占比基线;若不符合占比基线,则判定为服务器存在DDoS攻击。本专利技术通过占比信息检测是否存在DDoS攻击的方式,从而能够快速、准确、及时地检测出是否发生DDoS攻击。【专利说明】分布式拒绝服务攻击检测方法及装置
本专利技术涉及网络安全
,特别涉及一种分布式拒绝服务攻击检测方法及装置。
技术介绍
随着互联网技术的迅速发展,人们对网络的使用和依赖程度逐渐增加,相对的关于网络安全问题也随之而来,特别是服务器遭受网络攻击事件(例如遭受分布式拒绝服务攻击)层出不穷,导致基础运营网络大面积瘫痪,重要信息系统的安全受到巨大威胁,严重危及了经济发展、社会稳定甚至国家安全。 分布式拒绝服务(DDos, Distributed Denial of Service)攻击是指攻击者利用雇佣的多台计算机对一个或者多个目标服务器分别发起拒绝服务攻击,其利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。使用客户端/服务器模式,攻击者可以利用许多不知情的计算机作为攻击平台从而成倍地提高拒绝服务攻击效果。在高速数据包的攻击下,受害者服务器的关键资源,如带宽、缓冲区、CPU资源等迅速耗尽,受害者或者崩溃,或者花大量时间处理攻击包而不能正常服务,给受害者和用户造成严重经济损失,因此有效地检测和防御DDoS攻击是构建安全网络的重要组成部分,已成为网络安全领域亟待解决的重大问题。 现有的DDoS攻击检测方法主要通过检测并记录目标服务器平时的流量,如果检测到的流量超过平时流量一定程度,则认为有DDoS攻击发生。但是,目前DDoS攻击呈现的特征与正常的网络访问高峰非常相似,特别是攻击者采用伪造、随机变化报文源IP地址、随机变化攻击报文内容等方法,使得DDoS攻击更加难以检测。因此,采用这种仅依赖单一检测特征的检测方法缺乏对多流量或行为特征的综合分析,并且由于检测特征的单一导致针对复杂实际应用环境的适应性较差,如果遇到因为服务器新部署业务导致的流量增长,也可能出现误报,因此误报率较高。另外采用此种检测方法对于不是太大流量的DDOS攻击,如连接耗尽型,慢速HTTP攻击等,则会存在无法发现的问题。
技术实现思路
本专利技术提供一种分布式拒绝服务攻击检测方法及装置,以解决现有的检测方法适应性差、误报率高等问题。 具体地,本专利技术实施例提供了一种分布式拒绝服务攻击检测方法,所述分布式拒绝服务攻击检测方法,包括:实时获取服务器接收的数据报文,并对预设一段时间内服务器接收的每个数据报文进行解析,以从每个数据报文中提取特征;根据从每个数据报文中提取的特征得到每种协议类型的数据报文个数占数据报文总数的比例;将得到的每种协议类型的数据报文个数占数据报文总数的比例与预先存储的占比基线进行匹配,判断每种协议类型的数据报文个数占数据报文总数的比例是否符合占比基线;若不符合占比基线,则判定为服务器存在DDoS攻击。 另外,本专利技术实施例提供了一种分布式拒绝服务攻击检测装置,所述分布式拒绝服务攻击检测装置,包括:解析模块、占比获取模块、占比匹配模块、以及判定模块,解析模块,用于实时获取服务器接收的数据报文,并对预设一段时间内服务器接收的每个数据报文进行解析,以从每个数据报文中提取特征;占比获取模块,用于根据从每个数据报文中提取的特征得到每种协议类型的数据报文个数占数据报文总数的比例;占比匹配模块,用于将得到的每种协议类型的数据报文个数占数据报文总数的比例与预先存储的占比基线进行匹配,判断每种协议类型的数据报文个数占数据报文总数的比例是否符合占比基线;判定模块,用于若不符合占比基线,则判定为服务器存在DDoS攻击。 本专利技术实施例提供的技术方案带来的有益效果是: 通过根据从每个数据报文中提取的特征得到每种协议类型的数据报文个数占数据报文总数的比例,在每种协议类型的数据报文个数占数据报文总数的比例不符合占比基线的情况下,则判定为服务器存在DDoS攻击。解决了现有的检测方法适应性差、误报率高等问题,采用占比信息检测是否存在DDoS攻击的方式,通过判断每种协议类型的数据报文个数占数据报文总数的比例是否符合占比基线而去除误报,使得DDoS攻击易于发现。从而能够快速、准确、及时地检测出是否发生DDoS攻击,并且能够适应于各种复杂的实际环境,例如不需要太多数据报文个数的DDoS攻击等环境。 上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。 【专利附图】【附图说明】 图1是本专利技术一个实施例提供的分布式拒绝服务攻击检测方法的流程图; 图2A是本专利技术另一个实施例提供的分布式拒绝服务攻击检测方法的流程图; 图2B是每天数据报文的总数的波形曲线的示意图; 图2C是每天数据报文的总大小的波形曲线的示意图; 图2D是一天内一种协议类型的数据报文个数占数据报文总数的比例的波形曲线的不意图; 图3是本专利技术又一个实施例提供的分布式拒绝服务攻击检测方法的流程图; 图4是本专利技术一个实施例提供的分布式拒绝服务攻击检测装置的主要架构框图; 图5是本专利技术另一个实施例提供的分布式拒绝服务攻击检测装置的主要架构框图; 图6是本专利技术又一个实施例提供的分布式拒绝服务攻击检测装置的主要架构框图; 图7是一种终端的结构框图。 【具体实施方式】 为更进一步阐述本专利技术为达成预定专利技术目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本专利技术提出的分布式拒绝服务攻击检测方法及装置其【具体实施方式】、结构、特征及功效,详细说明如后。 有关本专利技术的前述及其他
技术实现思路
、特点及功效,在以下配合参考图式的较佳实施例详细说明中将可清楚的呈现。通过【具体实施方式】的说明,当可对本专利技术为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图式仅是提供参考与说明之用,并非用来对本专利技术加以限制。 第一实施例 请参考图1,其示出了本专利技术一个实施例提供的分布式拒绝服务攻击检测方法的流程图。该方法可以由分布式拒绝服务攻击检测装置所执行的分布式拒绝服务攻击检测过程;分布式拒绝服务攻击检测装置可以运行在被检测的服务器等设备上,以运行在服务器上为例,所述分布式拒绝服务攻击检测方法,可包括以下步骤101-107: 步骤101,实时获取服务器接收的数据报文,并对预设一段时间内服务器接收的每个数据报文进行解析,以从每个数据报文中提取特征。 从数据报文中提取的特征包括数据报文的大小(例如2MB等)、源IP地址、目的IP地址、数据报文所属的协议类型等。源IP地址可以为发送数据报文给服务器的终端的IP地址,目的IP地址可以为终端将数据报本文档来自技高网...
【技术保护点】
一种分布式拒绝服务攻击检测方法,其特征在于,所述分布式拒绝服务攻击检测方法包括:实时获取服务器接收的数据报文,并对预设一段时间内服务器接收的每个数据报文进行解析,以从每个数据报文中提取特征;根据从每个数据报文中提取的特征得到每种协议类型的数据报文个数占数据报文总数的比例;将得到的每种协议类型的数据报文个数占数据报文总数的比例与预先存储的占比基线进行匹配,判断每种协议类型的数据报文个数占数据报文总数的比例是否符合所述占比基线;若不符合所述占比基线,则判定为所述服务器存在DDoS攻击。
【技术特征摘要】
【专利技术属性】
技术研发人员:辛霄,陈曦,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。