一种DDos攻击的检测方法及装置制造方法及图纸

本申请涉及云计算领域，特别涉及一种DDos攻击的检测方法及装置。用以在云计算环境内部，进行准确的DDos检测。该方法为：服务器从自身的输出总流量中分别提取针对每一个目的IP的流量特征描述信息，再将所述每一个目的IP的流量特征描述信息与预设的规则集合进行匹配，获得匹配结果，以及根据匹配结果，确定所述服务器是否存在DDos攻击行为。这样，可以在云计算环境内部，准确及时地检测出DDos攻击行为，便于及时阻止云计算环境内部的服务器，对同属云计算环境的其他服务器以及对云计算环境外部的其他主机的DDos攻击，保障了云计算环境的整体安全性和运行可靠性。进一步地，也大大降低了前期的开发成本和后期的运维成本。

Method and device for detecting DDos attack

The invention relates to the field of cloud computing, in particular to a method and a device for detecting DDos attacks. For accurate DDos detection within a cloud computing environment. The method is: the server from its total output flow were extracted for the flow characteristics of each objective description of IP information, and then the flow characteristics of the each IP description information and the default set of rules matching, the matching result is obtained, and according to the matching result, the server determines whether there is DDos aggressive behavior. In this way, can calculate the internal environment in the cloud, timely and accurately detect DDos attack, to facilitate the timely stop inside the cloud server, other host computing environment to other servers and cloud computing environment are external to the cloud DDos attacks, to protect the overall safety and reliability of the cloud computing environment. Further, it greatly reduces the development cost and the operation and maintenance costs of the late stage.

【技术实现步骤摘要】
一种DDos攻击的检测方法及装置
本专利技术涉及云计算领域，特别涉及一种DDos攻击的检测方法及装置。
技术介绍
云计算(cloudcomputing)是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需求提供给计算机和其他设备。在云计算环境中，最常见的攻击形式之一便是分布式拒绝服务(DistributedDenialofService，DDoS)攻击。所谓DDoS攻击，即是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力。参阅图1所示，通常情况下，黑客会将DDoS主控程序安装在一个计算机上作为攻击者。在一个设定的时间，攻击者会通过主控程序与大量安装有代理程序的计算机通讯，而代理程序已经被安装在Internet上的许多计算机，这些计算机被称为傀儡机。傀儡机集群接收到攻击指令时就会向被攻击者发动攻击。利用客户/服务器技术，攻击者能在几秒钟内激活成百上千次傀儡机的运行。其中，上述傀儡机即是被黑客远程控制的机器。它们被黑客攻破或者由于用户不小心被植入了木马，黑客可以随意操纵傀儡机并利用傀儡机做任何事情本文档来自技高网...

【技术保护点】
一种分布式拒绝服务DDos攻击的检测方法，其特征在于，包括：服务器基于本地的输出总流量，分别提取出与所述服务器存在连接的每一个目的IP的流量特征描述信息，其中，一个目的IP的流量特征描述信息，用于表征所述一个目的IP与所述服务器之间的输出流量的传输状态；所述服务器分别将所述每一个目的IP的流量特征描述信息与预设的规则集合进行匹配，获得匹配结果；所述服务器根据匹配结果，确定所述服务器是否存在DDos攻击行为。

【技术特征摘要】
1.一种分布式拒绝服务DDos攻击的检测方法，其特征在于，包括：服务器基于本地的输出总流量，分别提取出与所述服务器存在连接的每一个目的IP的流量特征描述信息，其中，一个目的IP的流量特征描述信息，用于表征所述一个目的IP与所述服务器之间的输出流量的传输状态；所述服务器分别将所述每一个目的IP的流量特征描述信息与预设的规则集合进行匹配，获得匹配结果；所述服务器根据匹配结果，确定所述服务器是否存在DDos攻击行为。2.如权利要求1所述的方法，其特征在于，服务器基于本地的输出总流量，分别提取出与所述服务器存在连接的每一个目的IP的流量特征描述信息之前，进一步包括：服务器计算本地的输出总流量的大小，并确定本地的输出总流量的大小达到设定阈值。3.如权利要求2所述的方法，其特征在于，服务器确定本地的输出总流量的大小达到设定阈值，包括：服务器判断以下任意一种统计参量达到相应阈值时，确定本地的输出总流量的大小达到设定阈值：输出方向单位时间内发送的比特数目；输出方向单位时间内发送的请求数据包数目；输出方向单位时间内发送的http请求数目；输出方向单位时间内新建连接数目。4.如权利要求1所述的方法，其特征在于，服务器基于所述输出总流量，提取出与所述服务器存在连接的每一个目的IP的流量特征描述信息，包括：所述服务器基于所述输出总流量，分别针对每一个目的IP提取出以下参数中的一种或任意组合作为相应的流量特征描述信息：所述服务器到目的IP的输出流量速率；所述服务器到目的IP的输出数据包类型；所述服务器到目的IP的输出数据包中异常数据包的数目。5.如权利要求1－4任一项所述的方法，其特征在于，所述服务器根据匹配结果，确定所述服务器是否存在DDos攻击行为，包括：所述服务器确定至少一个目的IP的流量特征描述信息中包含的各个参数，在所述规则集合中命中的规则的总数目，达到预设的命中门限时，确定所述服务器存在DDos攻击行为。6.如权利要求1－4任一项所述的方法，其特征在于，确定所述服务器存在DDos攻击行为后，进一步包括：所述服务器确定自身的DDos攻击行为所针对的目的IP集合；所述服务器在所述目的IP集合中的每一个目的IP的输出方向进行流量丢弃或者进行流量限速。7.如权利要求6所述的方法，其特征在于，进一步包括：所述服务器检测到本地的输出总流量的大小低于设定阈值时，在所述目的IP集合中的每一个目的IP的输出方向，停止流量丢弃或停止流量限速。8.如权利要求6所述的方法，其特征在于，进一步包括：所述服务器确定所述目的IP集合中的任意一个目的IP的流量特征描述信息与预设的规则集合不再匹配时，在所述任意一个目的IP的输出方向停止流量丢弃或停止流量限速。9....

【专利技术属性】
技术研发人员：张钊，胡闽，程行峰，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY