攻击检测方法、装置及终端设备制造方法及图纸

本发明专利技术提供了一种攻击检测方法、装置及终端设备，涉及计算机技术领域。该攻击检测方法包括：判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值；若是，则判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值，且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值；若是，则判定所述终端设备受到UDP攻击。该攻击检测方法能较好地实现对UDP攻击的检测。

Attack detection method, device and terminal equipment

The invention provides an attack detection method, a device and a terminal device, which relates to the computer technology field. The detection method includes the following steps: judging attack terminal equipment in flow and general flow into the first ratio in the current preset time period corresponding to the UDP is greater than a first preset value; if so, judging by the terminal device in the preset time period corresponding to UDP second ratio of the flow with the current maximum flow rate is greater than second preset value. And the terminal equipment into the flow and UDP third flow ratio is greater than the current ratio in the history of the current preset time period corresponding to UDP; if it is judged, the terminal equipment is attacked by UDP. The attack detection method can detect UDP attacks better.

【技术实现步骤摘要】
攻击检测方法、装置及终端设备
本专利技术涉及计算机
，具体而言，涉及一种攻击检测方法、装置及终端设备。
技术介绍
UDPFlood是当前流行的DOS与DDOS的方式之一，其攻击原理很简单。这种攻击是利用UDP协议是一个面向无连接的传输协议，以至于数据传输过程中，不需要建立连接和进行认证这一特点，进行攻击时攻击方就可以向被攻击方发送大量的异常高流量的完整UDP数据包，这样一方面会使被攻击主机所在的网络资源被耗尽，还会使被攻击主机忙于处理UDP数据包，而使系统崩溃。目前对于UDPFlood攻击常用的防护方法需要建立专业的防火墙或其他防护设备支持，造成成本较高。
技术实现思路
有鉴于此，本专利技术实施例提供了一种攻击检测方法、装置及终端设备，以解决上述问题。为了实现上述目的，本专利技术采用的技术方案如下：一种攻击检测方法，所述方法包括：判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值；若是，则判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值，且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值；若是，则判定所述终端设备受到UDP攻击。一种攻击检测装置，所述装置包括第一判断模块、第二判断模块以及判定模块，其中，所述第一判断模块用于判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值；若是，则所述第二判断模块用于判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值，且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值；若是，则所述判定模块用于判定所述终端设备受到UDP攻击。一种终端设备，所述终端设备包括存储器和处理器，所述存储器耦接到所述处理器，所述存储器存储指令，当所述指令由所述处理器执行时使所述处理器执行以下操作：判断所述终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值；若是，则判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值，且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值；若是，则判定所述终端设备受到UDP攻击。本专利技术实施例提供的攻击检测方法、装置及终端设备，通过判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值；若是，则再判断终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值，且终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值；若是，则判定该终端设备受到UDP攻击。从而可以根据流量信息实现对UDP攻击的检测，解决现有技术中的UDP攻击的检测方法成本较高的问题。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1示出了本专利技术实施例提供的终端设备的方框示意图；图2示出了本专利技术实施例提供的攻击检测方法的一种流程图；图3示出了本专利技术实施例提供的攻击检测方法的另一种流程图；图4示出了本专利技术实施例提供的攻击检测装置的功能模块图。具体实施方式下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本专利技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。图1示出了一种可应用于本专利技术实施例中的终端设备的结构框图。如图1所示，终端设备100包括存储器102、存储控制器104，一个或多个(图中仅示出一个)处理器106、外设接口108、射频模块110、音频模块112、显示单元114等。这些组件通过一条或多条通讯总线/信号线116相互通讯。存储器102可用于存储软件程序以及模块，如本专利技术实施例中的攻击检测方法及装置对应的程序指令/模块，处理器106通过运行存储在存储器102内的软件程序以及模块，从而执行各种功能应用以及数据处理，如本专利技术实施例提供的攻击检测装置。存储器102可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。外设接口108将各种输入/输出装置耦合至处理器106以及存储器102。在一些实施例中，外设接口108，处理器106以及存储控制器104可以在单个芯片中实现。在其他一些实例中，他们可以分别由独立的芯片实现。射频模块110用于接收以及发送电磁波，实现电磁波与电信号的相互转换，从而与通讯网络或者其他设备进行通讯。音频模块112向用户提供音频接口，其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。PA17035797HZ显示单元114在终端设备100与用户之间提供一个显示界面。具体地，显示单元114向用户显示视频输出，这些视频输出的内容可包括文字、图形、视频及其任意组合。可以理解，图1所示的结构仅为示意，终端设备100还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。第一实施例如图2示出了本专利技术实施例提供的攻击检测方法的流程图。请参见图2，该方法包括：步骤S110：判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值。在本专利技术实施例中，为了实现快速地判断UDPFlood攻击是否存在，需要获取终端设备对应的网络流量信息，可以在终端设备所在网络环境中设置用于采集该终端设备对应的网络流量信息的DPI设备。DPI设备具备业务数据流识别、业务数据流控制能力，工作在OSI模型传输层到应用层，具备高数据采集能力，能够对网络所承载的业务进行识别和流量管理。在进行对UDPFlood攻击的检测之前，需要获取终端设备的网络流量信息，以实现后续对UDPFlood攻击的判断。因此，在步骤S110之前，该攻击检测方法还包括：获取DPI设备采集的所述终端设备在当前时间之前的多个预设时间段的网络流量信息，所述网络本文档来自技高网...

【技术保护点】
一种攻击检测方法，其特征在于，所述方法包括：判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值；若是，则判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值，且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值；若是，则判定所述终端设备受到UDP攻击。

【技术特征摘要】
1.一种攻击检测方法，其特征在于，所述方法包括：判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值；若是，则判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值，且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值；若是，则判定所述终端设备受到UDP攻击。2.根据权利要求1所述的方法，其特征在于，所述判定所述终端设备受到UDP攻击之后，所述方法还包括：获取所述终端设备受到的UDP攻击的源地址。3.根据权利要求2所述的方法，其特征在于，所述获取所述终端设备受到的UDP攻击的源地址，包括：获取所述终端设备在当前时间段对应的所有UDP会话的入流量中大于UDP会话平均入流量的UDP会话；若是，则判断所述UDP会话的出流量是否为0；若是，则获取所述UDP会话的IP地址作为所述终端设备受到的UDP攻击的源地址。4.根据权利要求1所述的方法，其特征在于，所述判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值之前，所述方法还包括：获取DPI设备采集的所述终端设备在当前时间之前的多个预设时间段的网络流量信息，所述网络流量信息包括多个会话分别对应的网络流量信息；基于所述多个预设时间段的网络流量信息，获取所述终端设备在当前预设时间段对应的UDP入流量以及总体入流量。5.根据权利要求4所述的方法，其特征在于，所述判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值，且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值之前，所述方法还包括：基于所述多个预设时间段的网络流量信息，获取所述多个预设时间段分别对应的总入流量中的最大值作为当前最大入流量；基于所述多个预设时间段的网络流量信息，获取所述终端设备在当前预设时间段对应的UDP出流量；基于所述多个预设时间段的网络流量信息，获取所述多个预设时间段中除当前预设时间段之外的预设时间段分别对应的UDP入流量与UDP出流量之间的比值中的最大值，...

【专利技术属性】
技术研发人员：莫凡，范渊，刘博，龙文洁，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33