本发明专利技术公开了一种高准确率的DDOS攻击检测方法,属于计算机网路安全领域。本方法为:数据包截取模块对接入的网络数据包信息进行解析;数据包特征统计模块对解析出的网络数据包信息进行统计;统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;数据分析模块根据存储的所计算出的历史数据,计算网络数据的报警阈值;数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将其提交到攻击分析模块;攻击分析模块根据接收到的网络数据值生成检测报告。与现有技术相比,本发明专利技术综合网络传输的历史数据,对当前的网络数据进行深入分析,可识别各种DDOS攻击。
【技术实现步骤摘要】
一种高准确率的DDOS攻击检测方法
本专利技术涉及计算机网路安全领域,具体涉及一种高准确率的DDOS攻击检测方法。
技术介绍
拒绝服务攻击,英文DenialofService(DOS),作为互联网上的一种攻击手段,已经有很长的历史了,主要是利用TCP/IP协议的缺陷,将提供服务的网络的资源耗尽,导致不能提供正常服务,是一种对网络危害巨大的恶意攻击,有些拒绝服务攻击是消耗带宽,有些是消耗网络设备的cpu和内存,也有一些是导致系统崩溃,其中具有代表性的攻击手段包括SYNflood,ICMPflood、UDPflood等。最初,攻击一般以单台电脑向目标发起攻击为主,即我们常说的DOS攻击,随着技术的发展,现在的攻击技术已经由DOS模式发展到了DDOS模式,即由统一控制的多台电脑,使用分布式技术,同时向攻击目标发起拒绝服务攻击,称为分布式拒绝服务攻击。到目前为止,还没有一种很好的技术能彻底检测并防御拒绝服务攻击。针对目前分布式拒绝服务攻击对互联网的威胁,本专利技术的目的在于提出一种DDOS攻击检测方法,其可以实时的对DDOS攻击进行检测。本专利技术综合DDOS攻击的多个网络特征,综合分析完成对DDOS攻击的检测。
技术实现思路
本专利技术的技术方案为:一种高准确率的DDOS攻击检测方法,其步骤为:1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口;2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数;3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据,计算网络数据的报警阈值;5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到攻击分析模块;6)攻击分析模块根据接收到的网络数据值生成检测报告。进一步的,所述检测报告为网络攻击报告,其包括:攻击类型、攻击目标、攻击源头、攻击规模。进一步的,所述攻击类型包括:1)UDPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且UDP数据包的流量超过UDP包流量报警阈值,且UDP数据包占网络数据包总数的比例达到UDP包占比报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值;2)TCPsynfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCPsyn数据包流量超过TCPsyn包流量报警阈值,且TCPsyn数据包和TCPsynack数据包的比例超过TCPsyn-ACK包占比报警阈值,且TCPsyn数据包与TCP数据包总量的比例超过TCPsyn包占比报警阈值,且TCP数据包的平均长度超过TCP包长度报警阈值;3)TCPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCP网络流量超过TCP包流量报警阈值,且TCP数据包占网络数据包总数的比例超过TCP包占比报警阈值;4)DNS攻击类型,其实别方法为:DNS数据包流量超过DNS包流量报警阈值,且DNS数据包流量占总流量的比例超过DNS流量占比报警阈值。进一步的,所述攻击规模的确定方法为:首先根据确定的攻击类型,获得对应类型目前的攻击流量;然后综合对比该类型数据包的流量报警阈值和历史正常流量,来评估出当前该攻击类型的攻击规模。进一步的,所述攻击目标的确定方法为:首先对发往同一目的IP地址的数据包个数进行统计;然后对比较集中的目的IP进行排名,将排名靠前的IP确定为被攻击的目标;所述攻击源IP的确定方法为:对数据包的源IP地址进行统计,并根据发送数据包个数进行从高到低的排列,将排名靠前的IP确定为攻击源IP。进一步的,所述检测报告为网络监测日报,其包括:当天不同时间点网络流量的折线图;当天各种类型数据包所占比例的折线图;当天各类型数据包所占比例平均值的饼状图;当天不同时间点网络中各类型数据包平均长度的折线图。综上所述,由于采用了上述技术方案,本专利技术的有益效果是:针对目前分布式拒绝服务攻击对互联网的威胁,本专利技术提出一种DDOS攻击检测方法,其可以实时的对DDOS攻击进行检测。本专利技术综合DDOS攻击的多个网络特征,综合分析完成对DDOS攻击的检测。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。一种高准确率的DDOS攻击检测方法,其步骤为:1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口;2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数;3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据,计算网络数据的报警阈值;5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到攻击分析模块;6)攻击分析模块根据接收到的网络数据值生成检测报告。进一步的,所述检测报告为网络攻击报告,其包括:攻击类型、攻击目标、攻击源头、攻击规模。进一步的,所述攻击类型包括:1)UDPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且UDP数据包的流量超过UDP包流量报警阈值,且UDP数据包占网络数据包总数的比例达到UDP包占比报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值;2)TCPsynfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCPsyn数据包流量超过TCPsyn包流量报警阈值,且TCPsyn数据包和TCPsynack数据包的比例超过TCPsyn-ACK包占比报警阈值,且TCPsyn数据包与TCP数据包总量的比例超过TCPsyn包占比报警阈值,且TCP数据包的平均长度超过TCP包长度报警阈值;3)TCPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCP网络流量超过TCP包流量报警阈值,且TCP数据包占网络数据包总数的比例超过TCP包占比报警阈值;4)DNS攻击类型,其实别方法为:DNS数据包流量超过DNS包流量报警阈值,且DNS数据包流量占总流量的比例超过DNS流量占比报警阈值。进一步的,所述攻击规模的确定方法为:首先根据确定的攻击类型,获得对应类型目前的攻击流量;然后综合对比该类型数据包的流量报警阈值和历史正常流量,来评估出当前该攻击类型的攻击规模。进一步的,所述攻击目标的确定方法为:首先对发往同本文档来自技高网...
【技术保护点】
一种高准确率的DDOS攻击检测方法,其步骤为:1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口、各种类型数据包的数据包长度;2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数、各类型数据包的平均长度;3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据,计算网络数据的报警阈值;5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到攻击分析模块;6)攻击分析模块根据接收到的网络数据值生成检测报告。
【技术特征摘要】
1.一种高准确率的DDOS攻击检测方法,其步骤为:1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口、各种类型数据包的数据包长度;2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数、各类型数据包的平均长度;3)统计数据处...
【专利技术属性】
技术研发人员:蔡昌菊,
申请(专利权)人:蔡昌菊,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。