本发明专利技术涉及一种DoS/DDoS攻击检测方法,包括:获取预设业务的设定时间段内的流量数据,其中,流量数据为设定时间段内业务的总体流量数据与时间的对应关系数据;获取根据业务的历史流量数据计算的业务在不同时间区间对应的总体流量阈值数据,其中,时间区间的历史流量数据越大,对应的业务总体流量阈值越大;确定获取的流量数据所对应的时间区间,根据确定的时间区间查找与其对应的总体流量阈值数据;将流量数据中包含的业务的总体流量数据与查找的总体流量阈值数据进行对比,当总体流量数据持续超过总体流量阈值数据的时间超过设定值时,对所述业务进行攻击检测。上述方法能够使攻击检测更加精准。
【技术实现步骤摘要】
本专利技术涉及计算机网络安全
,特别是涉及一种DoS/DDoS攻击检测方法和装置。
技术介绍
拒绝服务(DenialofService,DoS)攻击和分布式拒绝服务(DistributedDenialofService,DDoS)攻击均是一种阻止合法用户正常访问服务的网络攻击,DoS/DDoS攻击的实质是向目标持续发送大量无用报文以占用目标的带宽和主机资源、产生庞大的攻击流量的恶意攻击。为保证网络安全以及确保服务的正常运行,准确及时地进行攻击检测至关重要。传统的针对DoS/DDoS攻击检测的方法一般是根据经验设定一个固定的流量阈值,当检测到业务的流量超过该设定的流量阈值时,则进行流量的清洗。上述简单的通过固定的流量阈值进行攻击检测,很可能出现攻击漏检和攻击错检,即带来了正常流量进行非必要清洗所造成的业务平台服务不稳定,以及攻击漏检导致资源恶意消耗甚至系统瘫痪等问题。
技术实现思路
基于此,有必要针对上述的问题,提供一种能够使攻击检测更加精准的DoS/DDoS攻击检测方法和装置。一种DoS/DDoS攻击检测方法,所述方法包括:获取预设业务在设定时间段内的流量数据,其中,所述流量数据为所述业务的总体流量与时间的对应关系数据;获取根据所述业务的历史流量数据计算的所述业务在不同时间区间对应的总体流量阈值数据,其中,所述时间区间的历史流量数据越大,对应的所述业务总体流量阈值越大;确定获取的所述流量数据所对应的时间区间,根据确定的所述时间区间查找与其对应的所述总体流量阈值;将所述流量数据与查找的所述总体流量阈值进行对比,当所述流量数据持续超过所述总体流量阈值的时间超过设定值时,对所述业务进行攻击检测。在一个实施例中,所述业务在不同时间区间对应的总体流量阈值数据是根据所述业务的历史流量数据和为所述业务分配的计算资源数据计算得到的,其中,所述业务的历史流量数据越大,分配的所述计算资源数据越大,得到的所述业务总体流量阈值越大。在一个实施例中,所述进行攻击流量定位的步骤包括:定位出现攻击流量的异常时间信息;获取对应所述异常时间信息的所述业务包含的各个业务模块的模块流量数据;将获取的所述模块流量数据与预先计算的与所述异常时间信息对应的模块流量阈值进行比较,确定超过所述模块流量阈值的业务模块标识;其中,与所述异常时间信息对应的模块流量阈值是根据各个所述业务模块的历史流量数据计算得到的。在一个实施例中,所述方法还包括:采集所述业务的历史流量值与时间的对应关系数据;将相邻的且差异小于设定值的所述历史流量值作为同一时间区间的区间流量值;计算所述区间流量值的平均流量值,并根据所述平均流量值确定所述时间区间的总体流量阈值;获取为所述业务分配的计算资源数据;根据获取的所述计算资源数据在线调整所述时间区间的总体流量阈值。在一个实施例中,所述方法还包括:当监控到所述业务中出现新增业务模块时,获取所述新增业务模块的属性信息,其中,所述属性信息包括类型信息和持续时间信息;根据所述类型信息获取为所述新增业务模块配置的新增流量阈值数据;根据所述新增流量阈值数据调整与所述持续时间信息对应的所述时间区间的总体流量阈值。一种DoS/DDoS攻击检测装置,所述装置包括:流量获取模块,用于获取预设业务的设定时间段内的流量数据,其中,所述流量数据为所述业务的总体流量与时间的对应关系数据;多流量阈值获取模块,用于获取根据所述业务的历史流量数据计算的所述业务在不同时间区间对应的总体流量阈值数据,其中,所述时间区间的历史流量数据越大,对应的所述业务总体流量阈值越大;比对阈值确定模块,用于确定获取的所述流量数据所对应的时间区间,根据确定的所述时间区间查找与其对应的所述总体流量阈值;攻击流量检测模块,用于将所述流量数据与查找的所述总体流量阈值进行对比,当所述流量数据持续超过所述总体流量阈值的时间超过设定值时,对所述业务进行攻击检测。在一个实施例中,所述业务在不同时间区间对应的总体流量阈值数据是根据所述业务的历史流量数据和为所述业务分配的计算资源数据计算得到的,其中,所述业务的历史流量数据越大,分配的所述计算资源数据越大,得到的所述业务总体流量阈值越大。在一个实施例中,所述攻击流量检测模块还用于定位出现攻击流量的异常时间信息;获取对应所述异常时间信息的所述业务包含的各个业务模块的模块流量数据;将获取的所述模块流量数据与预先计算的与所述异常时间信息对应的模块流量阈值进行比较,确定超过所述模块流量阈值的业务模块标识;其中,与所述异常时间信息对应的模块流量阈值是根据各个所述业务模块的历史流量数据计算得到的。在一个实施例中,所述装置还包括:历史流量采集模块,用于采集所述业务的历史流量值与时间的对应关系数据;时间区间划分模块,用于将相邻的且差异小于设定值的所述历史流量值作为同一时间区间的区间流量值;区间阈值计算模块,用于计算所述区间流量值的平均流量值,并根据所述平均流量值确定所述时间区间的总体流量阈值;计算资源获取模块,用于获取为所述业务分配的计算资源数据;流量阈值调整模块,用于根据获取的所述计算资源数据在线调整所述时间区间的总体流量阈值。在一个实施例中,所述装置还包括:新增模块信息获取模块,用于当监控到所述业务中出现新增业务模块时,获取所述新增业务模块的属性信息,其中,所述属性信息包括类型信息和持续时间信息;新增模块流量确定模块,用于根据所述类型信息获取为所述新增业务模块配置的新增流量阈值数据。流量阈值更新模块,用于根据所述新增流量阈值数据调整与所述持续时间信息对应的所述时间区间的总体流量阈值。上述DoS/DDoS攻击检测方法和装置,通过统计分析业务的历史流量数据分析得到业务在不同时间的流量特性,进而得到不同时间区间对应的不同的历史流量值,根据不同时间区间的历史流量值确定每个时间区间的业务总体流量阈值,在进行攻击检测时,获取业务当前的流量数据,并判断获取的流量数据所处的时间区间,并将获取的流量数据与其所处的时间区间对应的总体流量阈值进行比对,当前的流量数据超过对应的总体流量阈值且超过时间维持一定时间,则判定产生了流量攻击。上述方法和装置在分时间区间设定多个流量阈值,该设定的多个流量阈值能够更好的反映业务在各个时间区间的流量特征,分时间区间的多流量阈值能够使流量的检测更加精准,有效地减少了错检和漏检的现象。附图说明图1为一个实施例中DoS/DDoS攻击检测方法的应用环境图;图2为一个实施例中服务器的内部结构示意图;图3为一个实施例中DoS/DDoS攻击检测方法的流程图;图4为一个实施例中定位攻击流量定位步骤涉及的流程图;图5为一个实施例中不同时间区间的总体流量阈值数据准备步骤;图6为一个实施例中新增业务模块调整总体流量阈值所涉及方法的流程图;图7为一个实施例中DoS/DDoS攻击检测装置的结构框图;图8为另一个实施例中DoS/DDoS攻击检测装置的结构框图;图9为又一个实施例中DoS/DDoS攻击检测装置的结构框图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。如图1所示,在一个实施例中,提供了一种DoS/D本文档来自技高网...
【技术保护点】
一种DoS/DDoS攻击检测方法,所述方法包括:获取预设业务在设定时间段内的流量数据,其中,所述流量数据为所述业务的总体流量与时间的对应关系数据;获取根据所述业务的历史流量数据计算的所述业务在不同时间区间对应的总体流量阈值数据,其中,所述时间区间的历史流量数据越大,对应的所述业务总体流量阈值越大;确定获取的所述流量数据所对应的时间区间,根据确定的所述时间区间查找与其对应的所述总体流量阈值;将所述流量数据与查找的所述总体流量阈值进行对比,当所述流量数据持续超过所述总体流量阈值的时间超过设定值时,对所述业务进行攻击检测。
【技术特征摘要】
1.一种DoS/DDoS攻击检测方法,所述方法包括:获取预设业务在设定时间段内的流量数据,其中,所述流量数据为所述业务的总体流量与时间的对应关系数据;获取根据所述业务的历史流量数据计算的所述业务在不同时间区间对应的总体流量阈值数据,其中,所述时间区间的历史流量数据越大,对应的所述业务总体流量阈值越大;确定获取的所述流量数据所对应的时间区间,根据确定的所述时间区间查找与其对应的所述总体流量阈值;将所述流量数据与查找的所述总体流量阈值进行对比,当所述流量数据持续超过所述总体流量阈值的时间超过设定值时,对所述业务进行攻击检测。2.根据权利要求1所述的方法,其特征在于,所述业务在不同时间区间对应的总体流量阈值数据是根据所述业务的历史流量数据和为所述业务分配的计算资源数据计算得到的,其中,所述业务的历史流量数据越大,分配的所述计算资源数据越大,得到的所述业务总体流量阈值越大。3.根据权利要求1所述的方法,其特征在于,所述对所述业务进行攻击检测的步骤包括:定位出现攻击流量的异常时间信息;获取对应所述异常时间信息的所述业务包含的各个业务模块的模块流量数据;将获取的所述模块流量数据与预先计算的与所述异常时间信息对应的模块流量阈值进行比较,确定超过所述模块流量阈值的业务模块标识;其中,与所述异常时间信息对应的模块流量阈值是根据各个所述业务模块的历史流量数据计算得到的。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:采集所述业务的历史流量值与时间的对应关系数据;将相邻的且差异小于设定值的所述历史流量值作为同一时间区间的区间流量值;计算所述区间流量值的平均流量值,并根据所述平均流量值确定所述时间区间的总体流量阈值;获取为所述业务分配的计算资源数据;根据获取的所述计算资源数据在线调整所述时间区间的总体流量阈值。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:当监控到所述业务中出现新增业务模块时,获取所述新增业务模块的属性信息,其中,所述属性信息包括类型信息和持续时间信息;根据所述类型信息获取为所述新增业务模块配置的新增流量阈值数据;根据所述新增流量阈值数据调整与所述持续时间信息对应的所述时间区间的总体流量阈值。6.一种DoS/DDoS攻击检测装置,其特征在于,所述装置包括:流量获取模块,用于获取预设业务的设定时间段内的流量数据,其中,所述流量...
【专利技术属性】
技术研发人员:王元铭,
申请(专利权)人:平安科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。