一种DDoS攻击检测方法和装置制造方法及图纸
A method and device for detection of DDoS attack
The embodiment of the invention provides an DDoS attack detection method and device, which involves the field of communication technology for fast and accurate detection of DDoS attacks. The method includes: the total number of target packet statistics during the cycle of the received message; calculate the total amount of change; the total message variation of the absolute value of the difference, the total number of the target message of the current cycle and a cycle of the received message; judging whether the current total variation is consistent with the first preset condition; if the message is sent, the target system statistics each autonomous target message each cycle of the received message to calculate the current distribution proportion; variation; the current message distribution changes as the goal of each message sent autonomous system in the current cycle and a cycle of the ratio of the absolute value of the difference and judge whether the current; message distribution variation with second preset condition; if yes, then determine the current existence of DDoS attacks. An embodiment of the present invention is used for DDoS attack detection.
【技术实现步骤摘要】
一种DDoS攻击检测方法和装置
本专利技术涉及通信
,尤其涉及一种DDoS攻击检测方法和装置。
技术介绍
目前,分布式拒绝服务(英文名称:DistributedDenialofService,简称:DDoS)是自治系统AS(英文名称:AutonomousSystem,简称:AS)域网络中存在的最常见、危害性最大的攻击形式之一。DDoS攻击是一种隐蔽的拒绝服务攻击.一般DDoS攻击过程为:首先,攻击者将控制源AS域网络中大量的傀儡计算机,将多个傀儡计算机联合起来作为攻击平台,其中一部分傀儡计算机可以设置为主控端,然后,攻击者通过主控端将攻击指令发送至所有的傀儡计算机,最后,所有的傀儡计算机向目的AS域网络发送数据流,对目的AS域网络中的服务器进行DDoS攻击,从而造成目的AS域网络中服务器超载或者死机,甚至造成目的AS域网络瘫痪。与拒绝服务攻击(英文名称:DenialofService,简称:DOS)相比,DDoS攻击在单条链路上的流量更小,难以被网络设备检测,因而更易于形成。另一方面,DDoS攻击汇聚后的异常流量总量很大,极具破坏力。对DDoS攻击流量进行迅...
【技术保护点】
一种DDoS攻击检测方法,其特征在于,包括:统计各周期内接收到的目标报文的总数;各所述周期在时间上连续;所述目标报文为目的IP地址为防护目标IP地址的报文;计算当前报文总数变化量;所述当前报文总数变化量为当前周期内接收到的目标报文的总数与上一个周期内接收到的目标报文的总数的差值的绝对值;判断所述当前报文总数变化量是否符合第一预设条件;若是,则统计各周期接收的目标报文中各自治系统发送的目标报文的占比;计算当前报文分布变化量;所述当前报文分布变化量为各自治系统在当前周期内发送的目标报文的占比与上一周期内发送的目标报文的占比的差值的绝对值之和;判断所述当前报文分布变化量是否符合第...
【技术特征摘要】
1.一种DDoS攻击检测方法,其特征在于,包括:统计各周期内接收到的目标报文的总数;各所述周期在时间上连续;所述目标报文为目的IP地址为防护目标IP地址的报文;计算当前报文总数变化量;所述当前报文总数变化量为当前周期内接收到的目标报文的总数与上一个周期内接收到的目标报文的总数的差值的绝对值;判断所述当前报文总数变化量是否符合第一预设条件;若是,则统计各周期接收的目标报文中各自治系统发送的目标报文的占比;计算当前报文分布变化量;所述当前报文分布变化量为各自治系统在当前周期内发送的目标报文的占比与上一周期内发送的目标报文的占比的差值的绝对值之和;判断所述当前报文分布变化量是否符合第二预设条件;若是,则确定当前存在DDoS攻击。2.根据权利要求1所述的方法,其特征在于,所述判断所述当前报文总数变化量是否符合第一预设条件,包括:计算所述当前报文总数变化量与上周期报文总数变化量的差值;所述上周期报文总数变化量为上一周期内接收到的报文总数与上上一周期内接收到的目标报文的总数的差值的绝对值;判断所述当前报文总数变化量与上周期报文总数变化量的差值是否大于或等于第一阈值;若是,则确定所述当前报文总数变化量符合所述第一预设条件;若否,则确定所述当前报文总数变化量不符合所述第一预设条件。3.根据权利要求2所述的方法,其特征在于,所述第一阈值为预设时间长度内各周期的报文总数变化量的最大值与最小值之差;其中,任一周期的报文总数变化量为该周期内接收到的目标报文的总数与该周期的上一个周期内接收到的目标报文的总数的差值的绝对值。4.根据权利要求1所述的方法,其特征在于,所述判断所述当前报文分布变化量是否符合第二预设条件,包括:计算所述当前报文分布变化量与上周期报文分布变化量的差值;所述上周期报文分布变化量为各自治系统在上周期内发送的目标报文的占比与上上一周期内发送的目标报文的占比的差值的绝对值之和;判断所述当前报文分布变化量与上周期报文分布变化量的差值是否大于或等于第二阈值;若是,则确定所述当前报文分布变化量符合所述第二预设条件;若否,则确定所述当前报文分布变化量不符合所述第二预设条件。5.根据权利要求4所述的方法,其特征在于,所述第二阈值为预设时间长度内各周期的报文分布变化量的最大值与最小值之差;其中,任一周期的报文分布变化量为各自治系统在该周期内发送的目标报文的占比与该周期的上一周期内发送的目标报文的占比的差值的绝对值之和。6.一种DDoS攻击检测装置,其特征在于,包括:统计模块,用于统计各周期内接收到的目标报文...
【专利技术属性】
技术研发人员:刘子建,彭锐,周婧莹,刘思勤,陈孟尝,叶新斌,潘俊斌,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。