DDOS攻击检测与防御方法、装置、终端设备及存储介质制造方法及图纸

本发明专利技术公开了一种DDOS攻击检测与防御方法，包括：获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；计算所述流量行为特征参数的信息熵；获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。本发明专利技术还公开了一种DDOS攻击检测与防御装置、终端设备及存储介质，能有效解决现有技术DDOS攻击难以被网络设备检测和识别的问题，能有效防止DDOS攻击，操作简单，能有效缩短检测时间，提高执行效率。

DDoS attack detection and defense methods, devices, terminal devices and storage media

【技术实现步骤摘要】
DDOS攻击检测与防御方法、装置、终端设备及存储介质
本专利技术涉及网络安全
，尤其涉及DDOS攻击检测与防御方法、装置、终端设备及存储介质。
技术介绍
随着通信技术的快速发展，计算机网络已成为人们日常生活中不可或缺的通信媒介。计算机网络及其承载协议的开放，在给人们提供便利的同时，也极大的增加了网络的安全隐患。近年来，互联网行业不断遭受大规模的DDoS网络攻击。其最大攻击峰值可达1.7T，Github被攻击时流量值约为1.35Tbps。DDoS攻击在单条链路上的流量正常，难以被网络设备检测和识别。但汇聚后所形成的异常流量很强大，极具破坏力。目前已成为影响整体网络性能的主要因素。
技术实现思路
本专利技术实施例提供DDOS攻击检测与防御方法、装置、终端设备及存储介质，能有效解决现有技术DDOS攻击难以被网络设备检测和识别的问题，能有效防止DDOS攻击，操作简单，能有效缩短检测时间，提高执行效率。本专利技术一实施例提供一种DDOS攻击检测与防御方法，包括：获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；计算所述流量行为特征参数的信息熵；获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。作为上述方案的改进，在所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御之前，还包括：r>将所述异常数据流按所述协议类型划分为TCPFlood数据流、UDPFlood数据流、DNSFlood数据流及HTTPFlood数据流。作为上述方案的改进，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：当所述异常数据流为TCPFlood数据流时，判断所述TCPFlood数据流的TCP协议数据包比例是否不满足任一预设的TCP协议数据包比例规则；其中，所述TCP协议数据包比例规则为公式(1)、(2)、(3)及(4)：NSYN＝NSYN+ACK(1)NSYN+ACK＝NFlow(2)NRST/NSYN+ACK≈0(3)NFIN/NSYN+ACK＝2(4)其中，NSYN为TCP报头带有SYN标识的报文数量，NSYN+ACK为TCP报头带有SYN+ACK标识的报文数量，NFlow为TCP报头带有Flow标识的报文数量,NRST为TCP报头带有RST标识的报文数量,NFIN为TCP报头带有FIN标识的报文数量；当判断出所述TCP协议数据包比例不满足任一所述TCP协议数据包比例规则时，则认为存在TCPFlood攻击，根据各TCP连接状态，判断是否满足至少一种预设的IP异常条件；其中，所述IP异常条件包括：TCPFlood数据流的源IP地址的新建连接速率超过预设的新建连接速率阈值、TCPFlood数据流的源IP地址的并发连接数超过预设的并发连接数阈值、建立TCP连接后发送的报文数量为0、windowssize值小于预设阈值及重传请求次数大于预设的请求次数阈值；当判断出满足至少一种所述IP异常条件时，则确定为可疑连接并断开。作为上述方案的改进，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：当所述异常数据流为UDPFlood数据流时，根据UDP报文段特征，判断所述UDPFlood数据流是否满足至少一种预设的UDPFlood攻击条件；其中，所述UDPFlood攻击条件包括：UDP报文数量占总数量包的比例超过预设的比例阈值、UDP报文长度在预设的长度范围内或相同及UDP报文存在相同或有规律变化的报文字段；当判断出所述UDPFlood数据流满足至少一种所述UDPFlood攻击条件时，则认为存在UDPFlood攻击，对具有固定特征的UDP报文进行识别，建立指纹特征库；以所述指纹特征库作为UDP报文过滤条件，丢弃被所述指纹特征库匹配到的UDP报文，转发未匹配到所述指纹特征库的UDP报文。作为上述方案的改进，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：当所述异常数据流为DNSFlood数据流时，检测所述DNSFlood数据流的数据包是否具有特定的DNS攻击源端口号；当判断出所述DNSFlood数据流的数据包具有所述DNS攻击源端口号时，则认定为存在DNS反射放大攻击，根据DNS协议报文，建立会话记录表；其中，所述会话记录表的记录项为源IP地址、目的IP地址、源端口、目的端口及协议类型；当接收到DNSReply报文时，判断所述DNSReply报文的报文信息是否与所述会话记录表相匹配，若是，则允许所述DNSReply报文通过；若否，则认定为DNS攻击报文，禁止所述DNSReply报文通过。作为上述方案的改进，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：当所述异常数据流为HTTPFlood数据流时，根据HTTP报文规律，判断所述HTTPFlood数据流是否满足至少一种预设的HTTP攻击条件，若是，则认为存在HTTP攻击；其中，所述HTTP攻击条件包括：流量超过预设的流量阈值、HTTP请求报文速率超过预设的请求报文速率阈值、访问url、jpg动态页面、php动态资源和html页面的比例频度超过预设的比例频度阈值、及HTTP报文的头部信息异于预设的正常http请求；当所述HTTPFlood数据流的源IP地址的HTTP并发连接数超过预设的HTTP并发连接数阈值时，则认定为异常IP；当所述HTTPFlood数据流的HTTP报文的请求头部存在异于预设的正常浏览器特征时，则认定为攻击报文；当所述HTTPFlood数据流的源IP地址的访问流量大于预设的访问流量阈值时，则认定为可疑IP，进而在判断出所述HTTPFlood数据流的源IP地址对预设url的访问数与总访问数的比例超过预设的访问比例阈值，则认定为攻击IP。作为上述方案的改进，通过如下步骤获取正常数据流：将所述信息熵的波动趋势未达到预设的波动变化条件时对应的数据流，以及获取所述异常数据流进行分流检测与防御后的数据流，作为正常数据流。本专利技术另一实施例对应提供了一种DDOS攻击检测与防御装置，包括：流量行为特征参数提取模块，用于获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；信息熵计算模块，用于计算所述流量行为特征参数的信息熵；异常数据流获取模块，用于获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；分流检测与防御模块，用于按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。与现有技术相比，本专利技术实施例公开的DDOS攻击检测与防御方法及装置，通过获取通信网络中的数据流，并提取所述数据流的本文档来自技高网...

【技术保护点】
1.一种DDOS攻击检测与防御方法，其特征在于，包括：/n获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；/n计算所述流量行为特征参数的信息熵；/n获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；/n按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。/n

【技术特征摘要】
1.一种DDOS攻击检测与防御方法，其特征在于，包括：
获取通信网络中的数据流，并提取所述数据流的流量行为特征参数；其中，所述流量行为特征参数包括源IP地址及源端口号；
计算所述流量行为特征参数的信息熵；
获取当所述信息熵的波动趋势达到预设的波动变化条件时对应的数据流，作为异常数据流；
按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御。


2.如权利要求1所述的DDOS攻击检测与防御方法，其特征在于，在所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御之前，还包括：
将所述异常数据流按所述协议类型划分为TCPFlood数据流、UDPFlood数据流、DNSFlood数据流及HTTPFlood数据流。


3.如权利要求2所述的DDOS攻击检测与防御方法，其特征在于，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：
当所述异常数据流为TCPFlood数据流时，判断所述TCPFlood数据流的TCP协议数据包比例是否不满足任一预设的TCP协议数据包比例规则；其中，所述TCP协议数据包比例规则为公式(1)、(2)、(3)及(4)：
NSYN＝NSYN+ACK(1)
NSYN+ACK＝NFlow(2)
NRST/NSYN+ACK≈0(3)
NFIN/NSYN+ACK＝2(4)
其中，NSYN为TCP报头带有SYN标识的报文数量，NSYN+ACK为TCP报头带有SYN+ACK标识的报文数量，NFlow为TCP报头带有Flow标识的报文数量，NRST为TCP报头带有RST标识的报文数量，NFIN为TCP报头带有FIN标识的报文数量；
当判断出所述TCP协议数据包比例不满足任一所述TCP协议数据包比例规则时，则认为存在TCPFlood攻击，根据各TCP连接状态，判断是否满足至少一种预设的IP异常条件；其中，所述IP异常条件包括：TCPFlood数据流的源IP地址的新建连接速率超过预设的新建连接速率阈值、TCPFlood数据流的源IP地址的并发连接数超过预设的并发连接数阈值、建立TCP连接后发送的报文数量为0、windowssize值小于预设阈值及重传请求次数大于预设的请求次数阈值；
当判断出满足至少一种所述IP异常条件时，则确定为可疑连接并断开。


4.如权利要求2所述的DDOS攻击检测与防御方法，其特征在于，所述按所述异常数据流的协议类型对所述异常数据流进行分流检测与防御，具体包括：
当所述异常数据流为UDPFlood数据流时，根据UDP报文段特征，判断所述UDPFlood数据流是否满足至少一种预设的UDPFlood攻击条件；其中，所述UDPFlood攻击条件包括：UDP报文数量占总数量包的比例超过预设的比例阈值、UDP报文长度在预设的长度范围内或相同及UDP报文存在相同或有规律变化的报文字段；
当判断出所述UDPFlood数据流满足至少一种所述UDPFlood攻击条件时，则认为存在UDPFlood攻击，对具有固定特征的UDP报文进行识别，建立指纹特征库；
以所述指纹特征库作为UDP报文过滤条件，丢弃被所述指纹特征库匹配到的UDP报文，转发未匹配到所述指纹特征库的UDP报文。


5.如权利要求2所述的DDOS攻击检测与防御方法，其特征在于，所述按所...

【专利技术属性】
技术研发人员：罗倩倩，黄宗慧，王文沛，张继栋，
申请(专利权)人：广东省新一代通信与网络创新研究院，
类型：发明
国别省市：广东;44