【技术实现步骤摘要】
一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质
本申请实施例涉及计算机网络安全
,具体涉及一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质。
技术介绍
分布式拒绝服务(Distributeddenialofserviceattack,DDoS)攻击指借助于客户/服务器技术,使用大量计算机作为攻击平台,对一个或多个目标主机发动流量攻击,例如利用IDC服务器、手机、智能设备、打印机等对目标发起大量攻击请求,占用目标主机资源,使攻击的目标无法正常使用,其特征表现为攻击的发出点分布在不同地方。目前识别技术方案有:1、基于NetFlow的攻击识别,根据单位时间内流量是否超出设置的阈值来判断主机是否发生DDoS攻击;2、清洗原始流量,依据单位时间内网络流量或者报文数超出设定的阈值来判断是否发生DDoS攻击。无论是基于NetFlow的攻击识别技术,还是清洗原始流量的攻击识别技术,仅分析IP包的4层内容,包含源地址、目的地址、源端口、目的端口以及协议类型,没有分析应用层及以下的数据...
【技术保护点】
1.一种基于DPI的DDoS攻击识别方法,其特征在于,所述方法包括:/n根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;/n所述DDoS攻击检测系统对所述流信息进行解析和标记;/n所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;/n所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。/n
【技术特征摘要】
1.一种基于DPI的DDoS攻击识别方法,其特征在于,所述方法包括:
根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;
所述DDoS攻击检测系统对所述流信息进行解析和标记;
所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;
所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。
2.如权利要求1所述的方法,其特征在于,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;
所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。
3.如权利要求1所述的方法,其特征在于,所述DDoS攻击检测系统对所述流信息进行解析,包括:
所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。
4.如权利要求1所述的方法,其特征在于,所述DDoS攻击检测系统对所述相关数据信息进行判定,包括:
所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。
5.一种基于DPI的DDoS攻击识别系统,其特征在于,所述系统包括:
特征识别模块,用于根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检...
【专利技术属性】
技术研发人员:吴潇,王泽,赵亮,肖益凡,宋东力,
申请(专利权)人:国家计算机网络与信息安全管理中心,长安通信科技有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。