一种DDoS攻击检测方法、系统、设备及介质技术方案

本发明专利技术公开了一种DDoS攻击检测方法、系统、设备及介质，涉及计算机网络与信息安全技术领域。该方法包括：获取目标网络中的各局部检测设备发送的异常警报信息；异常警报信息包括异常聚合流标识、异常发生时间、对应的设备标识和对应的位选择哈希函数的构造参数；根据各异常警报信息分别确定各局部检测设备的异常爆发期；根据各局部检测设备的异常爆发期的重叠情况判断目标网络中是否存在DDoS攻击；若是，则确定DDoS攻击的攻击时间段，并采用地址智能重构算法，根据DDoS攻击的攻击时间段内的各异常警报信息确定受害者IP地址。本发明专利技术能够实现快速、准确地检测网络中的DDoS攻击以及识别攻击受害者。别攻击受害者。别攻击受害者。

【技术实现步骤摘要】
一种DDoS攻击检测方法、系统、设备及介质


[0001]本专利技术涉及计算机网络与信息安全
，特别是涉及一种DDoS攻击检测方法、系统、设备及介质。

技术介绍

[0002]随着云计算在互联网上变得无处不在，它为许多严重的攻击打开了大门，特别是分布式拒绝服务(Distributed Denial ofService,DDoS)攻击。DDoS攻击是云安全面临的最严重威胁之一，它对云服务的影响甚至超过对普通互联网服务的影响。将云视为固有的多租户基础设施，针对单个客户的DDoS攻击实际上针对的是云中的所有客户。近年来，DDoS攻击在数量和破坏力上都在不断发展。2010年最大的DDoS攻击峰值带宽超过100Gbps。如此规模的DDoS攻击可以轻易破坏任意的在线服务，造成巨大的经济损失。云提供商需要做更多的工作来确保其云服务的可用性。
[0003]因此，如何应对针对在线服务的DDoS攻击成为研究的重点。然而，DDoS攻击存在攻击源分散、集中检测困难等问题，现有的DDoS攻击对抗策略受到当前互联网不断增长的链路带宽和不明显的DDoS攻击源的影响，无法快速、准确地检测网络中的DDoS攻击以及识别攻击受害者。

技术实现思路

[0004]本专利技术的目的是提供一种DDoS攻击检测方法、系统、设备及介质，以实现快速、准确地检测网络中的DDoS攻击以及识别攻击受害者。
[0005]为实现上述目的，本专利技术提供了如下方案：
[0006]一种DDoS攻击检测方法，所述方法包括：
[0007]获取目标网络中的各局部检测设备发送的异常警报信息；所述异常警报信息包括异常聚合流标识、异常发生时间、对应的设备标识和对应的位选择哈希函数的构造参数；所述异常聚合流标识用于表示目标网络流量中异常流量的聚集特征；所述聚集特征是由基于分布式概要数据结构的位选择哈希函数确定的；
[0008]根据各所述异常警报信息分别确定各所述局部检测设备的异常爆发期；
[0009]根据各所述局部检测设备的异常爆发期的重叠情况判断目标网络中是否存在DDoS攻击；
[0010]若是，则确定所述DDoS攻击的攻击时间段，并采用地址智能重构算法，根据所述DDoS攻击的攻击时间段内的各所述异常警报信息确定受害者IP地址；所述受害者IP地址用于定位DDoS攻击受害者或过滤DDoS攻击流。
[0011]可选地，所述异常警报信息的生成方法，具体包括：
[0012]采用基于分布式概要数据结构的位选择哈希函数确定目标网络流量的聚集特征，并将目标网络流量中具有相同聚集特征的数据包划分为一个聚合流，得到多个聚合流；所述聚集特征为数据包的源IP地址、目的IP地址或TCP报文标志位；
[0013]分别统计每个采样间隔内各所述聚合流到达的报文数量，得到流量矩阵；
[0014]采用主成分分析方法，根据所述流量矩阵确定异常聚合流标识和异常发生时间；
[0015]根据所述异常聚合流标识、所述异常发生时间、对应的设备标识和对应的位选择哈希函数的构造参数生成异常警报信息。
[0016]可选地，所述采用主成分分析方法，根据所述流量矩阵确定异常聚合流标识和异常发生时间，具体包括：
[0017]删除所述流量矩阵中的全零列向量，得到简化流量矩阵；
[0018]将所述简化流量矩阵沿列向量方向划分为多个子流量矩阵；
[0019]采用主成分分析方法，分别对各所述子流量矩阵进行异常检测，得到多个异常子向量；
[0020]分别将各所述异常子向量在所述简化流量矩阵中对应的行向量确定为异常行向量；
[0021]根据所述异常行向量确定异常聚合流标识和异常发生时间。
[0022]可选地，所述根据各所述局部检测设备的异常爆发期的重叠情况判断目标网络中是否存在DDoS攻击，具体包括：
[0023]统计所述异常爆发期在时间上存在重叠的所述局部检测设备的数量；
[0024]若所述异常爆发期在时间上存在重叠的所述局部检测设备的数量大于设定数量，则目标网络中存在DDoS攻击；
[0025]若所述异常爆发期在时间上存在重叠的所述局部检测设备的数量小于或等于设定数量，则目标网络中不存在DDoS攻击。
[0026]可选地，所述采用地址智能重构算法，根据所述DDoS攻击的攻击时间段内的各所述异常警报信息确定受害者IP地址，具体包括：
[0027]根据所述DDoS攻击的攻击时间段内的各所述异常警报信息的异常聚合流标识和对应的位选择哈希函数的构造参数确定IP地址离散片段集合；所述IP地址离散片段集合中包括多个比特位数相同的IP地址离散片段；
[0028]分别统计所述IP地址离散片段集合中的各比特位的值为1的IP地址离散片段的数量和各比特位的值为0的IP地址离散片段的数量，得到所述IP地址离散片段集合对重构IP地址中的各比特位的指定情况；所述重构IP地址的比特位与所述IP地址离散片段的比特位一一对应；
[0029]根据所述指定情况，将所述IP地址离散片段集合中的噪音IP地址离散片段删除，保留主流IP地址离散片段；
[0030]根据各所述主流IP地址离散片段确定所述重构IP地址中的各比特位的状态；所述状态包括：确定状态0、确定状态1、模糊状态和未知状态；
[0031]从各所述主流IP地址离散片段中确定与所述重构IP地址的匹配程度最高的IP地址离散片段；
[0032]根据与所述重构IP地址的匹配程度最高的IP地址离散片段及所述重构IP地址确定受害者IP地址。
[0033]可选地，所述采用主成分分析方法，分别对各所述子流量矩阵进行异常检测，得到多个异常子向量，具体包括：
[0034]采用主成分分析方法，分别确定各所述子流量矩阵对应的特征值和特征向量；
[0035]根据所述特征值和累积贡献率阈值，分别将各所述子流量矩阵对应的所述特征向量划分为正常子空间和异常子空间；所述累积贡献率阈值是根据各所述特征向量对异常流量的贡献率确定的；
[0036]分别计算各所述子流量矩阵的每个行向量在对应的异常子空间上的投影的欧式范数；
[0037]将所述欧式范数大于设定阈值的所述子流量矩阵的行向量作为异常子向量。
[0038]可选地，所述根据各所述主流IP地址离散片段确定所述重构IP地址中的各比特位的状态，具体包括：
[0039]对于所述重构IP地址中的任意一个比特位，若全部所述主流IP地址离散片段中的对应比特位的值为0的比例大于或等于最高设定比例，且全部所述主流IP地址离散片段中的对应比特位的值为1的比例小于最低设定比例，则所述重构IP地址中的所述比特位的状态为确定状态0；所述最低设定比例小于所述最高设定比例；
[0040]对于所述重构IP地址中的任意一个比特位，若全部所述主流IP地址离散片段中的对应比特位的值为1的比例大于或等于最高设定比例，且全部所述主流IP地址离散片段中的对应比特位的值为0的比例小于最低设定比例，则所述重本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种DDoS攻击检测方法，其特征在于，所述方法包括：获取目标网络中的各局部检测设备发送的异常警报信息；所述异常警报信息包括异常聚合流标识、异常发生时间、对应的设备标识和对应的位选择哈希函数的构造参数；所述异常聚合流标识用于表示目标网络流量中异常流量的聚集特征；所述聚集特征是由基于分布式概要数据结构的位选择哈希函数确定的；根据各所述异常警报信息分别确定各所述局部检测设备的异常爆发期；根据各所述局部检测设备的异常爆发期的重叠情况判断目标网络中是否存在DDoS攻击；若是，则确定所述DDoS攻击的攻击时间段，并采用地址智能重构算法，根据所述DDoS攻击的攻击时间段内的各所述异常警报信息确定受害者IP地址；所述受害者IP地址用于定位DDoS攻击受害者或过滤DDoS攻击流。2.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述异常警报信息的生成方法，具体包括：采用基于分布式概要数据结构的位选择哈希函数确定目标网络流量的聚集特征，并将目标网络流量中具有相同聚集特征的数据包划分为一个聚合流，得到多个聚合流；所述聚集特征为数据包的源IP地址、目的IP地址或TCP报文标志位；分别统计每个采样间隔内各所述聚合流到达的报文数量，得到流量矩阵；采用主成分分析方法，根据所述流量矩阵确定异常聚合流标识和异常发生时间；根据所述异常聚合流标识、所述异常发生时间、对应的设备标识和对应的位选择哈希函数的构造参数生成异常警报信息。3.根据权利要求2所述的DDoS攻击检测方法，其特征在于，所述采用主成分分析方法，根据所述流量矩阵确定异常聚合流标识和异常发生时间，具体包括：删除所述流量矩阵中的全零列向量，得到简化流量矩阵；将所述简化流量矩阵沿列向量方向划分为多个子流量矩阵；采用主成分分析方法，分别对各所述子流量矩阵进行异常检测，得到多个异常子向量；分别将各所述异常子向量在所述简化流量矩阵中对应的行向量确定为异常行向量；根据所述异常行向量确定异常聚合流标识和异常发生时间。4.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述根据各所述局部检测设备的异常爆发期的重叠情况判断目标网络中是否存在DDoS攻击，具体包括：统计所述异常爆发期在时间上存在重叠的所述局部检测设备的数量；若所述异常爆发期在时间上存在重叠的所述局部检测设备的数量大于设定数量，则目标网络中存在DDoS攻击；若所述异常爆发期在时间上存在重叠的所述局部检测设备的数量小于或等于设定数量，则目标网络中不存在DDoS攻击。5.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述采用地址智能重构算法，根据所述DDoS攻击的攻击时间段内的各所述异常警报信息确定受害者IP地址，具体包括：根据所述DDoS攻击的攻击时间段内的各所述异常警报信息的异常聚合流标识和对应的位选择哈希函数的构造参数确定IP地址离散片段集合；所述IP地址离散片段集合中包括
多个比特位数相同的IP地址离散片段；分别统计所述IP地址离散片段集合中的各比特位的值为1的IP地址离散片段的数量和各比特位的值为0的IP地址离散片段的数量，得到所述IP地址离散片段集合对重构IP地址中的各比特位的指定情况；所述重构IP地址的比特位与所述IP地址离散片段的比特位一一对应；根据所述指定情况，将所述IP地址离散片段集合中的噪音IP地址离散片段删除，保留主流IP地址离散片段；根据各所述主流IP地址离散片段确定所述重构IP地址中的各比特位的状态；所述状态包括：确定状态0、确定状态1、模糊状态和未知状态；从各所述主流IP地址离散片段中确定与所述重构IP地址的匹...

【专利技术属性】
技术研发人员：王飞，王小峰，邢倩倩，陈荣茂，陈思齐，李振兴，李京秦，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：