The invention provides an attack detection method, a device and a terminal device, which relates to the computer technology field. The detection method includes the following steps: judging attack terminal equipment in flow and general flow into the first ratio in the current preset time period corresponding to the UDP is greater than a first preset value; if so, judging by the terminal device in the preset time period corresponding to UDP second ratio of the flow with the current maximum flow rate is greater than second preset value. And the terminal equipment into the flow and UDP third flow ratio is greater than the current ratio in the history of the current preset time period corresponding to UDP; if it is judged, the terminal equipment is attacked by UDP. The attack detection method can detect UDP attacks better.
【技术实现步骤摘要】
攻击检测方法、装置及终端设备
本专利技术涉及计算机
,具体而言,涉及一种攻击检测方法、装置及终端设备。
技术介绍
UDPFlood是当前流行的DOS与DDOS的方式之一,其攻击原理很简单。这种攻击是利用UDP协议是一个面向无连接的传输协议,以至于数据传输过程中,不需要建立连接和进行认证这一特点,进行攻击时攻击方就可以向被攻击方发送大量的异常高流量的完整UDP数据包,这样一方面会使被攻击主机所在的网络资源被耗尽,还会使被攻击主机忙于处理UDP数据包,而使系统崩溃。目前对于UDPFlood攻击常用的防护方法需要建立专业的防火墙或其他防护设备支持,造成成本较高。
技术实现思路
有鉴于此,本专利技术实施例提供了一种攻击检测方法、装置及终端设备,以解决上述问题。为了实现上述目的,本专利技术采用的技术方案如下:一种攻击检测方法,所述方法包括:判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值;若是,则判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值,且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值;若是,则判定所述终端设备受到UDP攻击。一种攻击检测装置,所述装置包括第一判断模块、第二判断模块以及判定模块,其中,所述第一判断模块用于判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值;若是,则所述第二判断模块用于判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值,且 ...
【技术保护点】
一种攻击检测方法,其特征在于,所述方法包括:判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值;若是,则判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值,且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值;若是,则判定所述终端设备受到UDP攻击。
【技术特征摘要】
1.一种攻击检测方法,其特征在于,所述方法包括:判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值;若是,则判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值,且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值;若是,则判定所述终端设备受到UDP攻击。2.根据权利要求1所述的方法,其特征在于,所述判定所述终端设备受到UDP攻击之后,所述方法还包括:获取所述终端设备受到的UDP攻击的源地址。3.根据权利要求2所述的方法,其特征在于,所述获取所述终端设备受到的UDP攻击的源地址,包括:获取所述终端设备在当前时间段对应的所有UDP会话的入流量中大于UDP会话平均入流量的UDP会话;若是,则判断所述UDP会话的出流量是否为0;若是,则获取所述UDP会话的IP地址作为所述终端设备受到的UDP攻击的源地址。4.根据权利要求1所述的方法,其特征在于,所述判断终端设备在当前预设时间段对应的UDP入流量与总体入流量的第一比值是否大于第一预设值之前,所述方法还包括:获取DPI设备采集的所述终端设备在当前时间之前的多个预设时间段的网络流量信息,所述网络流量信息包括多个会话分别对应的网络流量信息;基于所述多个预设时间段的网络流量信息,获取所述终端设备在当前预设时间段对应的UDP入流量以及总体入流量。5.根据权利要求4所述的方法,其特征在于,所述判断所述终端设备在当前预设时间段对应的UDP入流量与当前最大入流量的第二比值是否大于第二预设值,且所述终端设备在当前预设时间段对应的UDP入流量与UDP出流量的第三比值是否大于当前历史比值之前,所述方法还包括:基于所述多个预设时间段的网络流量信息,获取所述多个预设时间段分别对应的总入流量中的最大值作为当前最大入流量;基于所述多个预设时间段的网络流量信息,获取所述终端设备在当前预设时间段对应的UDP出流量;基于所述多个预设时间段的网络流量信息,获取所述多个预设时间段中除当前预设时间段之外的预设时间段分别对应的UDP入流量与UDP出流量之间的比值中的最大值,...
【专利技术属性】
技术研发人员:莫凡,范渊,刘博,龙文洁,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。