DDoS攻击事件集构建方法和DDoS攻击防御方法技术

本发明专利技术实施例涉及信息安全领域，公开了一种DDoS攻击事件集构建方法和DDoS攻击防御方法，该DDoS攻击事件集构建方法包括：构建事件集，并对事件集中的每个事件设置一个权重值；根据每个事件的发生频次，更新每个事件对应的权重值，并记录更新时间；根据每个事件更新的权重值和更新时间，构建线段树，并更新线段树中各个节点信息；遍历线段树中的各个节点，筛选符合预定条件的事件，得到DDoS攻击事件集。本发明专利技术实施例基于指数衰减递增的事件权重值计算及更新方式，筛选攻击事件以形成DDoS攻击事件集，方便后续采用DDoS攻击事件集从海量的事件中查找DDoS攻击事件，提高了攻击事件的检测效率。测效率。测效率。

【技术实现步骤摘要】
DDoS攻击事件集构建方法和DDoS攻击防御方法


[0001]本专利技术涉及信息安全领域，尤其涉及一种DDoS攻击事件集构建方法和DDoS攻击防御方法。

技术介绍

[0002]分布式拒绝服务攻击(DDoS)是当前互联网面临的主要威胁之一，如何对DDoS攻击进行快速准确的检测以及有效的防御一直是网络信息安全领域的研究热点。而应用层DDoS攻击会针对某种应用协议频繁发起攻击请求，攻击方式也是多种多样，这些攻击往往不需要很大的流量就可能导致服务进入不可用的状态。
[0003]目前，应对应用层DDoS攻击的传统做法是统计某种事件请求的频次，并定时清理超时请求。但该处理方式在集群中有局限性，并且基于频次的统计也不能很准确地描述攻击行为。

技术实现思路

[0004]第一方面，本专利技术提供一种DDoS攻击事件集构建方法，包括：
[0005]构建事件集，并对所述事件集中的每个事件设置一个权重值；
[0006]根据所述每个事件的发生频次，分别更新所述每个事件对应的权重值，并记录更新时间；
[0007]根据所述每个事件更新的权重值和更新时间，构建线段树，并更新所述线段树中各个节点信息，其中，所述线段树的各个节点信息为所述每个事件的权重值和更新时间；
[0008]遍历所述线段树中的各个节点，筛选符合预定条件的事件，得到DDoS攻击事件集。
[0009]在可选的实施方式中，当实时更新所述每个事件的权重值时，所述根据所述每个事件的发生频次，更新所述每个事件对应的权重值，并记录更新时间包括：
[0010]获取所述每个事件在当前时刻的发生频次以及所述每个事件在前一时刻的权重值；
[0011]计算所述前一时刻的权重值与预定衰减倍数的乘积，得到第一衰减量；
[0012]将所述第一衰减量与所述发生频次进行加运算，得到并更新所述每个事件在当前时刻的权重值，记录所述每个事件的权重值更新时间。
[0013]在可选的实施方式中，当周期性更新所述每个事件的权重值时，所述根据所述每个事件的发生频次，更新所述每个事件对应的权重值，并记录更新时间包括：
[0014]获取所述每个事件在当前周期的发生频次以及所述每个事件在前一周期内的权重值；
[0015]计算所述前一周期内的权重值与预定衰减倍数的乘积，得到第二衰减量；
[0016]将所述第二衰减量与所述发生频次进行加运算，得到并更新所述每个事件在当前周期的权重值，记录所述每个事件的权重值更新时间。
[0017]在可选的实施方式中，所述更新所述线段树中各个节点信息包括：
[0018]根据所述每个事件的发生频次，自顶向下遍历更新所述线段树中各个非叶子节点的权重值以及将当前记录的更新时间作为所述各个非叶子节点的权重的更新时间，直至更新至叶子节点；
[0019]从所述叶子节点自底向上遍历更新所述线段树中各个父节点的权重值以及将当前记录的更新时间作为所述各个父节点的权重的更新时间，直至更新至根节点。
[0020]在可选的实施方式中，所述自顶向下遍历更新所述线段树中各个非叶子节点的权重值以及将当前记录的更新时间作为所述各个非叶子节点的权重的更新时间，直至更新至叶子节点包括：
[0021]所述线段树中的每个非叶子节点将所述第一衰减量或所述第二衰减量传递给子节点，以更新所述子节点的权重值，以及将当前记录的更新时间作为所述各个子节点的权重的更新时间，直至更新至叶子节点。
[0022]在可选的实施方式中，所述遍历所述线段树中的各个节点，筛选符合预定条件的事件，得到DDoS攻击事件集包括：
[0023]遍历所述线段树中各个节点，当所述各个节点所对应的事件的权重值小于预定阈值时，从所述事件集中剔除对应的事件，得到DDoS攻击事件集。
[0024]第二方面，本专利技术提供一种DDoS攻击防御方法，包括：
[0025]根据前述实施方式中任一项所述的攻击事件集构建方法，获取不同类别的DDoS攻击事件集；
[0026]根据所述不同类别的DDoS攻击事件集，检测出当前时刻所发生的事件中的攻击事件；
[0027]采取预定防御策略对所述攻击事件进行防御。
[0028]第三方面，本专利技术提供一种DDoS攻击事件集构建装置，包括：
[0029]事件集构建模块，用于构建事件集，并对所述事件集中的每个事件设置一个权重值；
[0030]权重更新模块，用于根据所述每个事件的发生频次，分别更新所述每个事件对应的权重值，并记录更新时间；根据所述每个事件更新的权重值和更新时间，构建线段树，并更新所述线段树中各个节点信息，其中，所述线段树的各个节点信息为所述每个事件的权重值和更新时间；
[0031]筛选模块，用于遍历所述线段树中的各个节点，筛选符合预定条件的事件，得到DDoS攻击事件集。
[0032]第四方面，本专利技术提供一种计算机设备，所述计算机设备包括存储器和至少一个处理器，所述存储器存储有计算机程序，所述处理器用于执行所述计算机程序以实施前述的DDoS攻击事件集构建方法。
[0033]第五方面，本专利技术提供一种计算机存储介质，其存储有计算机程序，所述计算机程序被执行时，实施前述的DDoS攻击事件集构建方法。
[0034]本专利技术实施例具有如下有益效果：
[0035]本专利技术实施例通过对各个事件设置一事件权重值，并基于指数衰减递增的事件权重值的计算及更新方式，筛选事件以形成DDoS攻击事件集，促使该DDoS攻击事件集准确描述其攻击行为，方便后续采用该DDoS攻击事件集从海量的事件中查找DDoS攻击事件，提高
了攻击事件的检测效率；并且，该DDoS攻击事件集可以应对各种类别的攻击事件，提高了攻击事件检测的可靠性和准确性。
附图说明
[0036]为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对本专利技术保护范围的限定。在各个附图中，类似的构成部分采用类似的编号。
[0037]图1示出了本专利技术实施例中DDoS攻击事件集构建方法的第一种实施方式示意图；
[0038]图2示出了本专利技术实施例中DDoS攻击事件集构建方法的第二种实施方式示意图；
[0039]图3示出了本专利技术实施例中DDoS攻击事件集构建方法的第三种实施方式示意图；
[0040]图4示出了本专利技术实施例中DDoS攻击事件集构建方法的第四种实施方式示意图；
[0041]图5示出了本专利技术实施例中线段树中各个节点的权重值更新过程示意图；
[0042]图6示出了本专利技术实施例中DDoS攻击防御方法的实施方式示意图；
[0043]图7示出了本专利技术实施例中DDoS攻击事件集构建装置的结构示意图。
具体实施方式
[0044]下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种DDoS攻击事件集构建方法，其特征在于，包括：构建事件集，并对所述事件集中的每个事件设置一个权重值；根据所述每个事件的发生频次，分别更新所述每个事件对应的权重值，并记录更新时间；根据所述每个事件更新的权重值和更新时间，构建线段树，并更新所述线段树中各个节点信息，其中，所述线段树的各个节点信息为所述每个事件的权重值和更新时间；遍历所述线段树中的各个节点，筛选符合预定条件的事件，得到DDoS攻击事件集。2.根据权利要求1所述的DDoS攻击事件集构建方法，其特征在于，当实时更新所述每个事件的权重值时，所述根据所述每个事件的发生频次，更新所述每个事件对应的权重值，并记录更新时间包括：获取所述每个事件在当前时刻的发生频次以及所述每个事件在前一时刻的权重值；计算所述前一时刻的权重值与预定衰减倍数的乘积，得到第一衰减量；将所述第一衰减量与所述发生频次进行加运算，得到并更新所述每个事件在当前时刻的权重值，记录所述每个事件的权重值更新时间。3.根据权利要求1所述的DDoS攻击事件集构建方法，其特征在于，当周期性更新所述每个事件的权重值时，所述根据所述每个事件的发生频次，更新所述每个事件对应的权重值，并记录更新时间包括：获取所述每个事件在当前周期的发生频次以及所述每个事件在前一周期内的权重值；计算所述前一周期内的权重值与预定衰减倍数的乘积，得到第二衰减量；将所述第二衰减量与所述发生频次进行加运算，得到并更新所述每个事件在当前周期的权重值，记录所述每个事件的权重值更新时间。4.根据权利要求2或3所述的DDoS攻击事件集构建方法，其特征在于，所述更新所述线段树中各个节点信息包括：根据所述每个事件的发生频次，自顶向下遍历更新所述线段树中各个非叶子节点的权重值以及将当前记录的更新时间作为所述各个非叶子节点的权重的更新时间，直至更新至叶子节点；从所述叶子节点自底向上遍历更新所述线段树中各个父节点的权重值以及将当前记录的更新时间作为所述各个父节点的权重的更新时间，直至更新至根节点。5.根据权利要求4所述的DDoS攻击事件集构建方法，其特征在于，所述...

【专利技术属性】
技术研发人员：王斌，潘建标，
申请(专利权)人：厦门亿联网络技术股份有限公司，
类型：发明
国别省市：