基于流量的分布式拒绝服务的检测方法及装置制造方法及图纸

本申请公开了一种基于流量的分布式拒绝服务的检测方法及装置。该方法通过第一时间段内各时刻的真实流量值和相应的预测流量值，确定流量值误差系数；基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；并获取当前时刻的异常累加和或初始时刻到当前时刻的时间段内的异常累加和，通过比较获取的异常累加和与异常累加和阈值，判断当前时刻的真实流量值是否存在异常。可见，该方法通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和来判断当前时刻的真实流量值是否异常，从而降低了误报率。

Detection method and device of distributed denial of service based on traffic

【技术实现步骤摘要】
基于流量的分布式拒绝服务的检测方法及装置
本申请涉及网络入侵检测领域，尤其涉及一种基于流量的分布式拒绝服务的检测方法及装置。
技术介绍
网络入侵检测是企业、园区网重要的安全防护措施。基于入侵检测系统，可以有效地识别网络攻击，从而保护企业、园区网内安全。然而，近些年来，有效的网络入侵检测己越来越困难，主要原因在于网络带宽不断增长，实时检测大量的数据存在性能瓶颈。目前，为了解决对大量数据的检测，传统采取Netflow的分布式拒绝服务(DistributedDenialofService，DDOS)攻击检测方法来识别网络是否收到攻击。其中，DDOS通过大量消耗受害服务节点的各种资源(如带宽、CPU及主存储器)，使其对其它节点的正常服务请求无法响应或延迟响应。Netflow是一种流量统计协议，其工作原理是：利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。该检测方法为根据平时流量大小、网络环境，人为设置该网络的静态流量值阈值，若当前时刻的流量超过设置的静态流量值阈值，则进行告警。然而，对于静态流量值阈值的设置，若设置过高，则不能检测出一些相对小范围的DDOS攻击；若设置过低，则会引起大量DDOS攻击误报，降低了检测的准确性。
技术实现思路
本申请实施例提供一种基于流量的分布式拒绝服务的检测方法及装置，以提高检测的准确性。第一方面，提供了一种基于流量的分布式拒绝服务的检测方法，该方法包括：基于第一时间段内各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，第一时间段为当前时刻之前的时间段；基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，时间段内的异常累加和为时间段内每个时刻的真实流量值与相应流量阈值的差值的和；将获取的异常累加和与异常累加和阈值进行比较；若当前时刻的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常，异常累加和阈值是由流量值误差系数和第一预设常数确定的。可见，该方法通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和来判断当前时刻的真实流量值当前网络是否被攻击，从而降低了误报率。在一个可选的实现中，确定流量值误差系数之前，该方法还包括：对第一时间段内第一时刻的真实流量值和第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在第一时刻为初始时刻时，初始时刻的预测流量值与初始时刻的真实流量值相等，第一时刻为第二时刻的前一时刻；第二时刻的预测流量值采用如下表达式得到：其中，为第二时刻的预测流量值，xt0-1为第一时刻的真实流量值，为第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。上述实施方式可以依据每一时刻的真实流量值，获取相应时刻的预测流量值。在一个可选的实现中，基于各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，包括：在第一时间段内且经第二时间段后，按照时间的先后顺序，从第二时间段的终止时刻起，以预设数量个时刻为步长，依次计算每个第二时间段内各时刻的预设误差的标准差，各时刻的预设误差为各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值，第二时间段小于第一时间段；将至少一个预测误差的标准差的中位数确定为流量值误差系数。上述实施方式获取的流量值误差系数用于表示整个网络的真实流量值与预测流量值的误差幅度，可作为后续检测的标准参数。在一个可选的实现中，基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值，包括：将流量值误差系数与第三预设常数的乘积和当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；当前时刻的流量阈值采用如下表达式得到：其中，Thflow,t当前时刻的流量阈值，为当前时刻的预测流量值，cflow为第三预设常数，且cflow＞0，σe为流量值误差系数。上述实施方式能够获取各个时刻对应的流量阈值，进一步提高了检测的准确性。在一个可选的实现中，基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值，包括：从当前时刻的预设最小误差阈值和流量值误差系数与第三预设常数的乘积中选取最大值；将选取的最大值与当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；当前时刻的流量阈值采用如下表达式得到：其中，Thflow,t当前时刻的流量阈值，为当前时刻的预测流量值，cflow为第三预设常数，且cflow＞0，σe为流量值误差系数，max(,)为取最大值运算，Mmin为预设最小误差阈值，且Mmin为大于零的常数。在一个可选的实现中，在当前时刻为初始时刻时，当前时刻的异常累加和采用如下表达式得到：St＝max((xt-Thflow,t),0)在当前时刻不为初始时刻时，初始时刻到当前时刻的时间段内的异常累加和采用如下表达式得到：St＝max(St-1+(xt-Thflow,t),0)其中，St为初始时刻到当前时刻的时间段内的异常累加和，St-1为初始时刻到当前时刻的前一时刻的异常累加和，xt为当前时刻的真实流量值，max(,)为取最大值运算，Thflow,t为异常累加和阈值。该方式为一种当前时刻的异常累加和的表达方式。在一个可选的实现中，确定当前时刻的真实流量值存在异常之后，该方法还包括：查找当前时刻之前的时刻中，存在正常真实流量值，且与当前时刻最近的时刻；将查找到的时刻的预测流量值确定为当前时刻的下一时刻的预测流量值，并返回执行基于当前时刻的预测流量值和流量值误差系数，采用预设求和算法，得到当前时刻的流量阈值的步骤。当前时刻的真实流量值存在异常时，通过查找存在正常真实流量值，且与当前时刻最近的时刻，可以进一步提高了检测的准确性。在一个可选的实现中，异常累加和阈值采用如下表达式得到：Thsum＝csum*σe其中，Thsum为异常累加和阈值，σe为流量值误差系数，csum为第一预设常数，且csum＞0。第二方面，提供了一种检测装置，该装置包括：确定单元、获取单元和比较单元；确定单元，用于基于第一时间段内各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，第一时间段为当前时刻之前的时间段；获取单元，用于基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流本文档来自技高网...

【技术保护点】
1.一种基于流量的分布式拒绝服务的检测方法，其特征在于，所述方法包括：/n基于第一时间段内各时刻的真实流量值和所述各时刻的预测流量值，确定流量值误差系数；/n基于当前时刻的预测流量值和所述流量值误差系数，获取所述当前时刻的流量阈值，所述当前时刻为所述第一时间段之后的时刻；/n当所述当前时刻为初始时刻时，获取所述当前时刻的异常累加和，所述当前时刻的异常累加和为所述当前时刻的真实流量值与所述当前时刻的流量阈值的差值；/n当所述当前时刻不为初始时刻时，获取所述初始时刻到所述当前时刻的时间段内的异常累加和，所述时间段内的异常累加和为所述时间段内每个时刻的真实流量值与相应时刻的流量阈值的差值的和；/n将获取的异常累加和与异常累加和阈值进行比较；若所述获取的异常累加和大于所述异常累加和阈值，则确定所述当前时刻的真实流量值存在异常，所述异常累加和阈值是由所述流量值误差系数和第一预设常数确定的。/n

【技术特征摘要】
1.一种基于流量的分布式拒绝服务的检测方法，其特征在于，所述方法包括：
基于第一时间段内各时刻的真实流量值和所述各时刻的预测流量值，确定流量值误差系数；
基于当前时刻的预测流量值和所述流量值误差系数，获取所述当前时刻的流量阈值，所述当前时刻为所述第一时间段之后的时刻；
当所述当前时刻为初始时刻时，获取所述当前时刻的异常累加和，所述当前时刻的异常累加和为所述当前时刻的真实流量值与所述当前时刻的流量阈值的差值；
当所述当前时刻不为初始时刻时，获取所述初始时刻到所述当前时刻的时间段内的异常累加和，所述时间段内的异常累加和为所述时间段内每个时刻的真实流量值与相应时刻的流量阈值的差值的和；
将获取的异常累加和与异常累加和阈值进行比较；若所述获取的异常累加和大于所述异常累加和阈值，则确定所述当前时刻的真实流量值存在异常，所述异常累加和阈值是由所述流量值误差系数和第一预设常数确定的。


2.如权利要求1所述的方法，其特征在于，确定流量值误差系数之前，所述方法还包括：
对第一时间段内第一时刻的真实流量值和所述第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在所述第一时刻为初始时刻时，所述初始时刻的预测流量值与所述初始时刻的真实流量值相等，所述第一时刻为所述第二时刻的前一时刻；
所述第二时刻的预测流量值采用如下表达式得到：



其中，为所述第二时刻的预测流量值，xt0-1为所述第一时刻的真实流量值，为所述第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。


3.如权利要求1所述的方法，其特征在于，基于各时刻的真实流量值和所述各时刻的预测流量值，确定流量值误差系数，包括：
在所述第一时间段内且经第二时间段后，按照时间的先后顺序，从所述第二时间段的终止时刻起，以预设数量个时刻为步长，依次计算每个第二时间段内各时刻的预设误差的标准差，所述各时刻的预设误差为所述各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值，所述第二时间段小于所述第一时间段；
将至少一个预测误差的标准差的中位数确定为所述流量值误差系数。


4.如权利要求1所述的方法，其特征在于，基于所述当前时刻的预测流量值和所述流量值误差系数，获取所述当前时刻的流量阈值，包括：
将所述流量值误差系数与第三预设常数的乘积和所述当前时刻的预测流量值采用求和运算，得到所述当前时刻的流量阈值；
所述当前时刻的流量阈值采用如下表达式得到：



其中，Thflow,t所述当前时刻的流量阈值，为所述当前时刻的预测流量值，cflow为第三预设常数，且cflow＞0，σe为所述流量值误差系数。


5.如权利要求1所述的方法，其特征在于，基于所述当前时刻的预测流量值和所述流量值误差系数，获取所述当前时刻的流量阈值，包括：
从所述当前时刻的预设最小误差阈值和所述流量值误差系数与第三预设常数的乘积中选取最大值；
将选取的最大值与所述当前时刻的预测流量值采用求和运算，得到所述当前时刻的流量阈值；
所述当前时刻的流量阈值采用如下表达式得到：



其中，Thflow,t所述当前时刻的流量阈值，为所述当前时刻的预测流量值，cflow为第三预设常数，且cflow＞0，σe为所述流量值误差系数，max(,)为取最大值运算，Mmin为所述预设最小误差阈值，且Mmin为大于零的常数。


6.如权利要求1所述的方法，其特征在于，在所述当前时刻为初始时刻时，所述当前时刻的异常累加和采用如下表达式得到：
St＝max((xt-Thflow,t),0)
在当前时刻不为初始时刻时，所述初始时刻到所述当前时刻的时间段内的异常累加和采用如下表达式得到：
St＝max(St-1+(xt-Thflow,t),0)
其中，St为所述初始时刻到所述当前时刻的时间段内的异常累加和，St-1为所述初始时刻到所述当前时刻的前一时刻的异常累加和，xt为所述当前时刻的真实流量值，max(,)为取最大值运算，Thflow,t为所述异常累加和阈值。


7.如权利要求1所述的方法，其特征在于，确定所述当前时刻的真实流量值存在异常之后，所述方法还包括：
查找所述当前时刻之前的时刻中，存在正常真实流量值，且与所述当前时刻最近的时刻；
将查找到的所述时刻的预测流量值确定为所述当前时刻的下一时刻的预测流量值，并返回执行基于所述当前时刻的预测流量值和所述流量值误差系数，采用预设求和算法，得到所述当前时刻的流量阈值的步骤。


8.如权利要求6所述的方法，其特征在于，所述异常累加和阈值采用如下表达式得到：
Thsum＝csum*σe
其中，Thsum为所述异常累加和阈值，σe为所述流量值误差系数，csum为所述第一预设常数，且csum＞0。


9.一种检测装置，其特征在于，所述装置包括：确定单元、获取单元和比较单元；
所述确定单元，用于基于第一时间段内各时刻的真实流量值和所述各时刻的预测流量值，确定流量值误差系数，所述第一时间段为当前时...

【专利技术属性】
技术研发人员：徐迪，
申请(专利权)人：中移杭州信息技术有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：浙江;33