The invention discloses a DDoS attack detection method based on the application layer of network traffic, which selects three parameters of the change rate of traffic, the change rate of new source IP address and the request allocation rate of source IP address to analyze the network traffic, so as to distinguish the DDoS attack traffic from the FC traffic, and is equipped with the network traffic analysis module, DDoS attack detection module and attack response module, so that the network traffic occurs sudden However, when it changes, the network traffic analysis module sends a warning signal to the DDoS attack detection module, which is used to determine whether it is FC or DDoS attack. When DDoS attack is detected, the attack response module is activated to filter out malicious traffic and maintain uninterrupted services for real users, which can effectively identify the similarity between application layer DDoS attack traffic and FC traffic It can reduce the false alarm rate and the missed alarm rate. The cost is low and it is easy to be popularized.
【技术实现步骤摘要】
一种基于网络流量应用层DDoS攻击检测方法
本专利技术涉及互联网
,特别涉及一种基于网络流量应用层DDoS攻击检测方法。
技术介绍
网络技术的发展给人们的工作和生活带来的极大的便利,用户数量也急剧上升,电子商务、网络游戏等业务对网络的传输速度提出了更高的要求。拒绝服务DoS(DenialofServer)攻击是指攻击者通过向目标主机发送大量数据,消耗目标主机的计算资源或网络资源而破坏目标主机向合法用户提供服务。分布式拒绝服务DDoS(DistributedDenialofServer)攻击是DoS攻击的分布形式。DDoS攻击通过分布在整个因特网上的大量主机同时向受害主机发起大量的数据包,使用多个受害系统运行几个DoS攻击,协调一致地攻击一个或者多个受害主机。随着网络层和传输层的DDoS攻击检测技术已经日渐成熟,防御措施不断加强,针对底层的DDoS攻击已难于达到攻击目的,攻击者把攻击目标转移到应用层。应用层DDoS攻击通过消耗大量服务器的计算资源,阻止合法用户的正常访问。由于应用层攻击使用高层协议,故可以使用合法的协议和服务发起攻击,尤其与突发流量FC(FlashCrowd)非常相似。因此传统用于网络层和传输层的DDoS攻击检测方法不能直接用于应用层DDoS攻击检测,研究针对应用层DDoS攻击检测方法已经成为今年来网络安全领域的新热点。目前对应用层DDoS攻击的防范主要有如下几种:一种是采用混合测度来检测流量分布的偏移,从而区分DDoS攻击和FC事件;另外还有通过分析web通信的外联行为特 ...
【技术保护点】
1.一种基于网络流量应用层DDoS攻击检测方法,其特征在于,选取流量的变化率、新的源IP地址的变化率和源IP地址的请求分配率3个参数来进行分析网络流量,从而从FC流量中区分DDoS攻击流量,设有网络流量分析模块、DDoS攻击检测模块、攻击响应模块,网络流量发生突然改变时,网络流量分析模块就发送一个警告信号给DDoS攻击检测模块,DDoS攻击模块用于判断是FC还是DDoS攻击;当DDoS攻击被检测到时,攻击响应模块被激活,以过滤掉恶意流量并对真正的用户维持不间断的服务;同时,检测到FC时,激活各种负载分担机制,如内容分发网络能够容纳额外的合法的客户端访问网络资源,分担网络流量,以确保网络的正常运行。/n
【技术特征摘要】
1.一种基于网络流量应用层DDoS攻击检测方法,其特征在于,选取流量的变化率、新的源IP地址的变化率和源IP地址的请求分配率3个参数来进行分析网络流量,从而从FC流量中区分DDoS攻击流量,设有网络流量分析模块、DDoS攻击检测模块、攻击响应模块,网络流量发生突然改变时,网络流量分析模块就发送一个警告信号给DDoS攻击检测模块,DDoS攻击模块用于判断是FC还是DDoS攻击;当DDoS攻击被检测到时,攻击响应模块被激活,以过滤掉恶意流量并对真正的用户维持不间断的服务;同时,检测到FC时,激活各种负载分担机制,如内容分发网络能够容纳额外的合法的客户端访问网络资源,分担网络流量,以确保网络的正常运行。
2.根据权利要求1所述的一种基于网络流量应用层DDoS攻击检测方法,其特征在于,DDoS攻击模块设有源地址分析模块和DDoS攻击判定模块,通过对源IP地址进行分析来检测DDoS攻击;源IP地址分析模块从收到的网络流量中抽取源IP地址信息并判断其是一个新的还是旧的IP地址,攻击检测模块使用一个detect函数来检测攻击,其包含2个状态:有攻击和无攻击。
3.根据权利要求2所述的一种基于网络流量应用层DDoS攻击检测方法,其特征在于,源IP地址分析模块采用2个数组来保存源IP地址,即旧...
【专利技术属性】
技术研发人员:刘晓光,赵子毅,张晴晴,
申请(专利权)人:北京云端智度科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。