【技术实现步骤摘要】
一种DDoS攻击检测方法、装置及设备
[0001]本申请涉及计算机
,尤其涉及一种DDoS攻击检测方法、装置及设备。
技术介绍
[0002]分布式拒绝服务攻击(Distributed denial of service attack,简称DDos攻击)可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,甚至会导致很多的大型网站出现无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
[0003]DDoS攻击的组织架构和内在原理如附图1所示,其可以利用多个受损的计算机系统作为发起攻击的“肉鸡”或“僵尸”,并形成有组织有规模的僵尸网络,攻击者依赖于僵尸网络使得攻击流量来源更多并且更加有效性。这些被感染的终端通常是计算机和服务器,但越来越多的是物联网设备和移动设备。攻击者可以通过发起网络钓鱼攻击、恶意攻击和其他大规模感染技术来感染脆弱的主机从而获取这些系统。目前,鉴于大数据环境下网络流量的爆炸性增长和高度复杂性,网络异常行为的检测面临着更加严峻的挑战。单一的DDoS防御...
【技术保护点】
【技术特征摘要】
1.一种DDoS攻击检测方法,其特征在于,包括:获取目标网络流,并对所述目标网络流进行过滤,得到过滤后的目标网络流;所述过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流;对所述过滤后的目标网络流进行特征提取,得到四个特征值;所述四个特征值表征了当前网络异常行为;对所述四个特征值进行融合处理,得到融合特征值;并利用所述融合特征值对网络异常行为进行分类,以根据分类结果确定DDoS攻击检测结果。2.根据权利要求1所述的方法,其特征在于,所述对所述目标网络流进行过滤,得到过滤后的目标网络流,包括:将所述目标网络流中具有相同源IP地址和目的IP地址的数据包划分为同一类;将同一个源IP地址对应不同的目标IP地址的数据包所在类删除,以及将同一目的IP地址对应同一个源IP地址的数据包所在类删除,得到过滤后的目标网络流。3.根据权利要求1所述的方法,其特征在于,所述四个特征值包括:当前的单位时间中的旧用户数量超过某个单位时间内旧用户数量最大值的百分比;新用户相对于平均新用户数量的变化百分比;当前新用户与旧用户的最大值之比;新用户的当前访问速率。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:利用识别器对融合特征值进行判断,如果对应采样点超过预设阈值,则将所述采样点标记为离群点,并在确定出达到预设连续次数的异常值时,发起DDoS攻击预警。5.一种DDoS攻击检测装置,其特征在于,包括:过滤单元,用于获取目标网络流,并对所述目标网络流进行过滤,得到过滤后的目标网络流;所述过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流;提取单元,用于对所述过滤后的目标网络流进行特征提取,得到四个特征值;所...
【专利技术属性】
技术研发人员:冯杰,
申请(专利权)人:中国农业银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。