本申请实施例公开了一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质,通过根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;所述DDoS攻击检测系统对所述流信息进行解析和标记;所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。在提高DDoS攻击识别准确度和及时性的同时,还可以识别出具体DDoS攻击的业务类型,为实现业务差异化的攻击防护提供基础。
【技术实现步骤摘要】
一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质
本申请实施例涉及计算机网络安全
,具体涉及一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质。
技术介绍
分布式拒绝服务(Distributeddenialofserviceattack,DDoS)攻击指借助于客户/服务器技术,使用大量计算机作为攻击平台,对一个或多个目标主机发动流量攻击,例如利用IDC服务器、手机、智能设备、打印机等对目标发起大量攻击请求,占用目标主机资源,使攻击的目标无法正常使用,其特征表现为攻击的发出点分布在不同地方。目前识别技术方案有:1、基于NetFlow的攻击识别,根据单位时间内流量是否超出设置的阈值来判断主机是否发生DDoS攻击;2、清洗原始流量,依据单位时间内网络流量或者报文数超出设定的阈值来判断是否发生DDoS攻击。无论是基于NetFlow的攻击识别技术,还是清洗原始流量的攻击识别技术,仅分析IP包的4层内容,包含源地址、目的地址、源端口、目的端口以及协议类型,没有分析应用层及以下的数据内容,不能够直接识别出流量的业务类型,从而不能细化到被攻击主机上具体哪种业务受到DDoS攻击。
技术实现思路
为此,本申请实施例提供一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质,在提高DDoS攻击识别准确度和及时性的同时,还可以识别出具体DDoS攻击的业务类型,为实现业务差异化的攻击防护提供基础。为了实现上述目的,本申请实施例提供如下技术方案:根据本申请实施例的第一方面,提供了一种基于DPI的DDoS攻击识别方法,所述方法包括:根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;所述DDoS攻击检测系统对所述流信息进行解析和标记;所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。可选地,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。可选地,所述DDoS攻击检测系统对所述流信息进行解析,包括:所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。可选地,所述DDoS攻击检测系统对所述相关数据信息进行判定,包括:所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。根据本申请实施例的第二方面,提供了一种基于DPI的DDoS攻击识别系统,所述系统包括:特征识别模块,用于根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;解析和标记模块,用于对所述流信息进行解析和标记;提取模块,用于提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;判定模块,用于对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。可选地,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。可选地,所述解析和标记模块,具体用于:所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。可选地,所述判定模块,具体用于:所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。根据本申请实施例的第三方面,提供了一种设备,所述设备包括:数据采集装置、处理器和存储器;所述数据采集装置用于采集数据;所述存储器用于存储一个或多个程序指令;所述处理器,用于执行一个或多个程序指令,用以执行如上述第一方面任一项所述的方法。根据本申请实施例的第四方面,提供了一种计算机可读存储介质,所述计算机存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于执行如上述第一方面任一项所述的方法。综上所述,本申请实施例提供了一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质,通过根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;所述DDoS攻击检测系统对所述流信息进行解析和标记;所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。在提高DDoS攻击识别准确度和及时性的同时,还可以识别出具体DDoS攻击的业务类型,为实现业务差异化的攻击防护提供基础。附图说明为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本专利技术可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本专利技术所能产生的功效及所能达成的目的下,均应仍落在本专利技术所揭示的
技术实现思路
能涵盖的范围内。图1为本申请实施例提供的一种基于DPI的DDoS攻击识别方法流程示意图;图2为本申请实施例提供的一种基于DPI的DDoS攻击识别系统框图。具体实施方式以下由特定的具体实施例说明本专利技术的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本专利技术的其他优点及功效,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本申请实施例提供了一种基于DPI的DDoS攻击识别方法,如图1所示,所述方法包括如下步骤:步骤101:根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统。步骤102:所述DDoS攻击检测系统对所述流信息进行解析和标记。步骤103:所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数。步骤104:所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。在一种可能的实施本文档来自技高网...
【技术保护点】
1.一种基于DPI的DDoS攻击识别方法,其特征在于,所述方法包括:/n根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;/n所述DDoS攻击检测系统对所述流信息进行解析和标记;/n所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;/n所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。/n
【技术特征摘要】
1.一种基于DPI的DDoS攻击识别方法,其特征在于,所述方法包括:
根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;
所述DDoS攻击检测系统对所述流信息进行解析和标记;
所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;
所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。
2.如权利要求1所述的方法,其特征在于,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;
所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。
3.如权利要求1所述的方法,其特征在于,所述DDoS攻击检测系统对所述流信息进行解析,包括:
所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。
4.如权利要求1所述的方法,其特征在于,所述DDoS攻击检测系统对所述相关数据信息进行判定,包括:
所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。
5.一种基于DPI的DDoS攻击识别系统,其特征在于,所述系统包括:
特征识别模块,用于根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检...
【专利技术属性】
技术研发人员:吴潇,王泽,赵亮,肖益凡,宋东力,
申请(专利权)人:国家计算机网络与信息安全管理中心,长安通信科技有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。