【技术实现步骤摘要】
一种网络攻击检测方法及其装置、设备和存储介质
本专利技术属于互联网
,涉及但不限于一种网络攻击检测方法及其装置、设备和存储介质。
技术介绍
随着网络技术和网络应用的发展,网络安全问题显得越来越重要。分布式拒绝服务(DistributedDenialofService,DDos)攻击随着互联网的快速发展,也日益猖獗。DDoS攻击已经存在很多年,在DDoS攻击中,合法用户被剥夺使用基于Web的服务。通常情况下,DDoS攻击是通过在互联网上免费提供的数以百万计的计算机系统以协同的方式发起破坏,通过向受害者发送冗余数据包流导致其拒绝服务,从而使合法客户端不可用。目前高速率DDoS攻击(HighRateDDos,HR-DDoS)如今已经成为主流,流量超过600吉比特每秒(Gbitepersecond,Gbps)。及时发现此类攻击以确保基于互联网的服务和应用程序的可用性至关重要。此外,还有一种网络流量也能够导致拒绝为Web服务的合法用户提供服务,称为突发流事件(FlashEvent,FE)。FE类似于HR-DDoS攻击,其...
【技术保护点】
1.一种网络攻击检测方法,其特征在于,所述方法包括:/n确定待检测的网络数据流的传入包速率;/n如果所述传入包速率大于预设的速率阈值,确定所述网络数据流与参考数据流中源互联网协议IP地址的分散程度差异量;/n如果所述分散程度差异量大于预设的差异阈值,确定所述网络数据流为攻击数据流。/n
【技术特征摘要】
1.一种网络攻击检测方法,其特征在于,所述方法包括:
确定待检测的网络数据流的传入包速率;
如果所述传入包速率大于预设的速率阈值,确定所述网络数据流与参考数据流中源互联网协议IP地址的分散程度差异量;
如果所述分散程度差异量大于预设的差异阈值,确定所述网络数据流为攻击数据流。
2.根据权利要求1中所述的方法,其特征在于,所述如果所述传入包速率大于预设的速率阈值,确定所述网络数据流与参考数据流中源IP地址的分散程度差异量,包括:
如果所述传入包速率大于预设的速率阈值,确定所述网络数据流中源IP地址的分散参数;
确定所述参考数据流中IP地址的参考分散参数;
基于所述分散参数和所述参考分散参数,确定所述网络数据流与参考数据流中源IP地址的分散程度差异量。
3.根据权利要求2中所述的方法,其特征在于,确定所述网络数据流中源IP地址的分散参数包括:
确定所述网络数据流在预设的第一窗口时长内传入的各个数据包的源IP地址的出现概率;
基于各个所述源IP地址的出现概率,确定所述网络数据流的-熵;
将所述网络数据流的-熵确定为所述网络数据流中源IP地址的分散参数。
4.根据权利要求1中所述的方法,其特征在于,所述如果所述传入包速率大于预设的速率阈值,确定所述网络数据流与参考数据流中源IP地址的分散程度差异量,还包括:
确定所述网络数据流在预设的第一窗口时长内各个数据包的源IP地址的第一出现次数;
确定所述参考数据流在预设的第二窗口时长内各个数据包的源IP地址的第二出现次数;
分别基于所述第一窗口时长和所述第二窗口时长对所述第一出现次数和第二出现次数进行归一化,得到归一化的第一出现次数和归一化的第二出现次数;
基于所述归一化的第一出现次数和归一化的第二出现次数,确定所述网络数据流与参考数据流中源IP地址的分散程度差异量。
5.根据权利要求4中所述的方法,其特征在于,基于所述归一化的第一出现次数和归一化的第二出现次数,确定所述网络数据流与参考数据流中源IP地址的分散程度差异量,包括:<...
【专利技术属性】
技术研发人员:张宇,
申请(专利权)人:中移苏州软件技术有限公司,中国移动通信集团有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。