检测方法、装置、存储介质、设备及程序产品制造方法及图纸

本申请公开一种检测方法、装置、存储介质、设备及程序产品，应用于安全、云安全、安全管理、云技术、人工智能、智慧交通、辅助驾驶等场景。该方法包括：基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量；根据实际收包量和丢包量确定丢包率；根据预设时长内的多个原始网络包的解析信息，统计不同类型的原始网络包的实际数据量，实际数据量包括实际流量与实际包量中的至少一种；根据不同类型的原始网络包的实际数据量和丢包率分别计算不同类型的原始网络包的检测数据量；及根据检测数据量检测是否受到网络包攻击。基于流量日志来确定的丢包率，还原实际数据量为较为准确地检测数据量，从而提高告警准确性。确性。确性。

【技术实现步骤摘要】
检测方法、装置、存储介质、设备及程序产品


[0001]本申请涉及网络安全技术，具体涉及一种检测方法、装置、存储介质、设备及程序产品。

技术介绍

[0002]分布式拒绝服务(Distributed Denial of Service，DDOS)是利用分布式的客户端，向服务提供者发起大量看似合法的请求，消耗或者长期占用大量资源，从而达到拒绝服务的目的。DDoS的攻击方式有很多种，最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应；另外就是通过短时间内发送海量数据包阻塞链路带宽,造成正常业务流量陡降，从而达到拒绝服务的目的。目前，因大流量DDoS攻击可能会使DDoS检测系统出现性能丢包，进而导致流量检测不够准确，告警的准确率较低。

技术实现思路

[0003]本申请实施例提供一种检测方法、装置、存储介质、设备及程序产品，可以提高检测效率，提高软件或游戏的开发进度。
[0004]一方面，提供一种检测方法，所述方法包括基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量；根据所述实际收包量和所述丢包量确定丢包率；根据所述预设时长内的多个所述原始网络包的解析信息，统计不同类型的所述原始网络包的实际数据量，所述实际数据量包括实际流量与实际包量中的至少一种；根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量；及根据所述检测数据量检测是否受到网络包攻击。
[0005]另一方面，提供一种检测装置，所述装置包括第一确定模块、第二确定模块、统计模块、计算模块和检测模块。所述第一确定模块用于基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量；所述第二确定模块用于根据所述实际收包量和所述丢包量确定丢包率；所述统计模块用于根据所述预设时长内的多个所述原始网络包的解析信息，统计不同类型的所述原始网络包的实际数据量，所述实际数据量包括实际流量与实际包量中的至少一种；所述计算模块用于根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量；所述检测模块用于根据所述检测数据量检测是否受到网络包攻击。
[0006]再一方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序适于处理器进行加载，以执行如上实施例所述的检测方法中的步骤。
[0007]另一方面，提供一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器通过调用所述存储器中存储的所述计算机程序，用于执行如上实施例所述的检测方法中的步骤。
[0008]另一方面，提供一种计算机程序产品，包括计算机指令，所述计算机指令被处理器执行时实现如上实施例所述的检测方法中的步骤。
[0009]本申请实施例的检测方法、检测装置、计算机可读存储介质和计算机设备，基于流量日志来确定预设时长内接收的多个原始网络包的实际收包量和丢包量，以计算瞬时丢包率，然后根据原始网络包的解析信息，统计不同类型的原始网络包的实际数据量，并结合丢包率和不同类型的原始网络包的实际数据量，来分别还原不同类型的原始网络包的检测数据量，最后根据还原后较为准确的检测数据量来检测是否受到网络包攻击，从而提高告警的准确率。
附图说明
[0010]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0011]图1为本申请针对大流量DDoS攻击的检测原理示意图。
[0012]图2为本申请实施例提供的检测系统的结构示意图。
[0013]图3为本申请实施例提供的检测方法的流程示意图。
[0014]图4为本申请实施例提供的IDS设备的结构示意图。
[0015]图5为本申请实施例提供的检测方法的流程示意图。
[0016]图6为本申请实施例提供的检测方法的流程示意图。
[0017]图7为本申请实施例提供的检测方法的检测告警对比图。
[0018]图8为本申请实施例提供的检测装置的结构示意图。
[0019]图9本申请实施例提供的计算机设备的结构示意图。
具体实施方式
[0020]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0021]本申请实施例提供一种检测方法、装置、计算机设备和存储介质。具体地，本申请实施例的检测方法可以由计算机设备执行，其中，该计算机设备可以为终端或者云服务器等设备。终端包括但不限于手机、电脑、智能语音交互设备、穿戴式智能设备、智能家电、车载终端、飞行器等。终端还可以包括客户端，该客户端可以是云游戏客户端、客户端小程序、视频客户端、浏览器客户端或即时通信客户端等。云服务器可以是独立的物理云服务器，也可以是多个物理云服务器构成的云服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云云服务器。
[0022]本专利技术实施例可应用于各种场景，包括但不限于安全、云安全、安全管理、云技术、
人工智能、智慧交通、辅助驾驶等。
[0023]首先，在对本申请实施例进行描述的过程中出现的部分名词或者术语作如下解释：
[0024]DDoS:是英文Distributed Denial of Service的缩写，意为“分布式拒绝服务”。DDoS的精髓就是：利用分布式的客户端，向服务提供者发起大量看似合法的请求，消耗或者长期占用大量资源，从而达到拒绝服务的目的。DoS的攻击方式有很多种，最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源(如synflood攻击)，从而使合法用户无法得到服务的响应；另外就是通过短时间内发送海量数据包阻塞入侵检测系统(intrusion detection system，IDS)的上游链路带宽，造成正常业务流量陡降，从而达到拒绝服务的目的。IDS为DDoS检测系统。
[0025]DDoS攻击检测：DDoS检测的本质是流量统计，是DDoS攻击防御的基础，一个优秀的检测系统除了能够产生告警给网络管理员处理之外，还需要能够准确的提供当前攻击的详细信息，比如:攻击的类型、攻击流量包量大小。业界已有的DDoS攻击流量检测方法主要是通过对网络中的数据类型，如：协议，标志位，应用层特征(GET/POST)进行统计，当统计结果偏离原有模型、阈值时，则认为本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测方法，其特征在于，包括：基于预设的流量日志确定预设时长内接收的多个原始网络包的实际收包量和丢包量；根据所述实际收包量和所述丢包量确定丢包率；根据所述预设时长内的多个所述原始网络包的解析信息，统计不同类型的所述原始网络包的实际数据量，所述实际数据量包括实际流量与实际包量中的至少一种；根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量；及根据所述检测数据量检测是否受到网络包攻击。2.根据权利要求1所述的检测方法，其特征在于，还包括：判断所述丢包率是否大于预设阈值；及若是，则将所述丢包率的值修改为所述预设阈值。3.根据权利要求1所述的检测方法，其特征在于，所述检测方法还包括：对所述预设时长内的多个所述原始网络包进行解析，以获取所述预设时长内的多个所述原始网络包的解析信息。4.根据权利要求1所述的检测方法，其特征在于，所述解析信息包括传输控制协议源端口和传输控制协议窗口；所述检测方法还包括：根据所述传输控制协议源端口和第一预定阈值确定源端口异常指标，所述源端口异常指标为第一预设值的情况下，所述传输控制协议源端口正常；及根据所述传输控制协议窗口和第二预定阈值确定窗口异常指标，所述窗口异常指标为第二预设值的情况下，所述传输控制协议窗口正常。5.根据权利要求4所述的检测方法，其特征在于，所述解析信息还包括目的网络互联协议地址、传输控制协议标记位、网络互联协议包总长、网络互联协议标记位、网络互联协议首部长度和传输控制协议首部长度，所述根据所述预设时长内的多个所述原始网络包的解析信息，统计不同类型的所述原始网络包的实际数据量，包括：统计所述传输控制协议标记位为第一预设标志位的所述原始网络包的数据量，以作为第一类型的网络包的实际数据量，所述第一类型的网络包的实际数据量包括所述第一类型的网络包的实际流量和实际包量，所述第一类型的网络包的实际流量根据所有所述第一类型的网络包的所述网络互联协议包总长和所述网络互联协议首部长度确定，所述第一类型的网络包的实际包量根据所有所述第一类型的网络包数量确定；统计所述传输控制协议标记位为第二预设标志位的所述原始网络包的包量，以作为第二类型的网络包的实际包量，所述第一预设标志位和所述第二预设标志位不同；统计所述传输控制协议标记位为所述第一预设标志位、所述源端口异常指标为所述第一预设值、所述窗口异常指标均为所述第二预设值、所述传输控制协议首部长度小于第一长度阈值、所述网络互联协议包总长小于第二长度阈值的所述原始网络包的包量，以作为第三类型的所述网络包的实际包量。6.根据权利要求5所述的检测方法，其特征在于，所述根据不同类型的所述原始网络包的实际数据量和所述丢包率分别计算不同类型的所述原始网络包的检测数据量，包括：根据所述第一类型的网络包的实际流量和实际包量、以及所述丢包率，分别计算第一类型的网络包的第一检测流量和第一检测包量；
根据所述第二类型的网络包的实际包量和所述丢包率，计算所述第二类型的网络包的第二检测包量；根据所述第三类...

【专利技术属性】
技术研发人员：陈虎，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：