一种DDoS攻击的检测方法及设备技术
A detection method and equipment for DDoS attack
The invention discloses a detection method and equipment for the DDoS attack, which is convenient and accurate to detect the attack of the DDoS of the broiler group in time and accurately. Including the detection methods of DDoS attacks: according to the similarity between the 22 user behavior of users access the server into at least one cluster; among them, the similarity degree of similarity for behavior indicate that two user behavior and the server interaction, each cluster includes at least two user behavior similarity between 22 the user in each cluster in the same range; monitor access to the server in a preset period of time, the user, if the user does not belong to any of the at least one cluster in a cluster or there has been a lot of new users appear in the cluster, it is determined that the server is attacked by DDoS.
【技术实现步骤摘要】
一种DDoS攻击的检测方法及设备
本专利技术涉及网络安全
,特别涉及一种DDoS攻击的检测方法及设备。
技术介绍
分布式拒绝服务(DistributedDenialofService,DDoS)攻击是一种网络攻击方式,通常通过入侵计算机形成肉鸡群或利用专门的攻击软件工具向受害主机发送服务请求来占用服务器的大量资源,从而造成网络阻塞或服务器资源耗尽,最终导致服务器拒绝服务合法用户。肉鸡可以认为是中了木马病毒,可以被远程操控的计算机设备。由于肉鸡群DDoS攻击,与正常用户的行为存在一定相似性,导致常规的DDoS检测方法,例如监控源IP地址分布变化、监控协议比例变化等不能及时准确的检测出肉鸡群攻击,甚至出现漏报或者误报的现象,严重影响了用户对服务的体验,对服务商造成巨大的经济损失。因此,如何及时准确地检测出肉鸡DDoS攻击显得十分紧急和迫切。
技术实现思路
本专利技术实施例提供一种DDoS攻击的检测方法及设备,便于及时准确地检测出肉鸡群的DDoS的攻击。第一方面,本专利技术一实施例提供了一种DDoS攻击的检测方法,所述检测方法包括:根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇;其中,所述行为相似度用于指示两个用户分别与所述服务器交互的行为的相似程度,每个簇包括至少两个用户,每个簇中两两用户之间的行为相似度处于同一个区间范围内;在预设时间段内监控访问所述服务器的用户,若所述用户不属于所述至少一个簇中的任意一个簇,则确定所述服务器受到DDoS攻击。可选的,根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇,包括:获取与所述服务器交互的...
【技术保护点】
一种分布式拒绝服务DDoS攻击的检测方法,其特征在于,包括:根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇;其中,所述行为相似度用于指示两个用户分别与所述服务器交互的行为的相似程度,每个簇包括至少两个用户,每个簇中两两用户之间的行为相似度处于同一个区间范围内;在预设时间段内监控访问所述服务器的用户,若所述用户不属于所述至少一个簇中的任意一个簇,则确定所述服务器受到DDoS攻击。
【技术特征摘要】
1.一种分布式拒绝服务DDoS攻击的检测方法,其特征在于,包括:根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇;其中,所述行为相似度用于指示两个用户分别与所述服务器交互的行为的相似程度,每个簇包括至少两个用户,每个簇中两两用户之间的行为相似度处于同一个区间范围内;在预设时间段内监控访问所述服务器的用户,若所述用户不属于所述至少一个簇中的任意一个簇,则确定所述服务器受到DDoS攻击。2.如权利要求1所述的检测方法,其特征在于,根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇,包括:获取与所述服务器交互的至少一个用户的至少一种行为特征参数;其中,所述行为特征参数用于指示用户与所述服务器交互的行为,一个用户对应至少一种行为特征参数;根据获取的所述至少一种行为特征参数确定所述至少两个用户中两两用户之间的所述行为相似度;将所述行为相似度在同一区间范围内的用户划分为一个簇。3.如权利要求2所述的检测方法,其特征在于,所述行为特征参数包括用户访问所述服务器的时长、用户与所述服务器交互的预设行为的频率和用户输入信息的频率。4.如权利要求3所述的检测方法,其特征在于,根据获取的所述至少一种行为特征参数确定所述至少两个用户中两两用户之间的所述行为相似度,包括:将所述至少一种行为特征参数中的每种行为特征参数进行归一化处理;根据归一化后的所述每种行为特征参数,通过如下公式确定所述两两用户之间的所述行为相似度:其中,θ为所述两两用户之间的行为相似度,n为用户行为的种类的数量,xik为用户i第k种行为特征参数的值,xjk为用户j第k种行为特征参数的值。5.一种分布式拒绝服务DDoS攻击的检测方法,其特征在于,包括:根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇;其中,所述行为相似度用于指示两个用户分别与所述服务器交互的行为的相似程度,每个簇包括至少两个用户,每个簇中两两用户之间的行为相似度处于同一个区间范围内;在预设时间段内监控所述每个簇包括的用户数量在所述至少一个簇所占的比例;若所述比例不小于第一阈值,则确定所述服务器受到DDoS攻击。6.如权利要求5所述的检测方法,其特征在于,根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇,包括:在获取与所述服务器交互的至少一个用户的至少一种行为特征参数;其中,所述行为特征参数用于指示用户与所述服务器交互的行为,一个用户对应至少一种行为特征参数;根据获取的所述至少一种行为特征参数确定所述至少两个用户中两两用户之间的所述行为相似度;将所述行为相似度在同一区间范围内的用户划分为一个簇。7.如权利要求6所述的检测方法,其特征在于,所述行为特征参数包括用户的访问时长、用户与所述服务器交互的预设行为的频率和用户输入信息的频率。8.如权利要求7所述的检测方法,其特征在于,根据获取的所述至少一种行为特征参数确定所述至少两个用户中两两用户之间的所述行为相似度,包括:将所述至少一种行为特征参数中的每种行为特征参数进行归一化处理;根据归一化后的所述每种行为特征参数,通过如下公式确定所述两两用户之间的所述行为相似度:其中,θ为所述两两用户之间的行为相似度,n为用户行为的种类的数量,xik为用户i第k种行为特征参数的值,xjk为用户j第k种行为特征参数的值。9.如权利要求5-8任一所述的检测方法,其特征在于,所述第一阈值为所述每个簇包括的用户数量在所述至少一个簇所占的比例的最大值。10.如权利要求9所述的检测方法,其特征在于,所述第一阈值为所述最大值与所述最大值的标准差之和;其中,所述最大值的标准差通过如下公式确定:其中,σ为标准差,S为最大值,μ为至少一个簇中每个簇包括的用户数量在所述至少一个簇所占的比例的平均值,N为预设时间段内划分簇的次数。11.如权利要求5所述的检测方法,其特征在于,若所述比例不小于第一阈值,则确定所述服务器受到DDoS攻击,包括:若所述比例不小于所述第一阈值,则提取所述比例对应的簇中新用户的网际协议IP地址;其中,所述新用户为首次注册的用户;若所述IP地址为首次出现,则确定所述服务器受到DDoS攻击。12.一种分布式拒绝服务DDoS攻击的检测设备,其特征在于,包括:划分模块,用于根据两两用户之间的行为相似度将访问服务器的用户划分为至少一个簇;其中,所述行为相似度用于指示两个用户分别与所述服务器交互的行为的相似程度,每个簇包括至少两个用户,每个簇中两两用户之间的行为相似度处...
【专利技术属性】
技术研发人员:刘文辉,陈裕涛,何坤,张磊,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。