System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于流速统计的dos攻击检测方法、装置及存储介质。
技术介绍
1、随着软交换网络和计算机网络的不断发展、电信网的融合演进与开放运营,促使电信提供商和互联网提供商实现了通过互联网协议传输语音,完成了voip(voice overinternet protocol,ip网络电话)通信网络与系统的开发以及部署。voip相较于利用传统公共线路交换网络传输语音业务,在提供相同水平可靠性、可用性和安全性服务的基础上,具有功能选择多、可扩展性强、降低通信成本以及提高带宽利用率的优点。
2、sip(session initiation protocol,会话发起协议)是一个基于文本的应用层控制点对点协议,用于创建、修改和终止一个或多个参与者的会话,在大多数voip部署实例中用作通信协议。
3、dos(denial of service,拒绝服务)攻击指攻击者利用传输协议或目标系统存在的漏洞,通过大规模攻击使目标系统的可用资源和带宽资源被超出目标处理能力的海量数据包所大量消耗,或造成程序缓冲区溢出错误,致使目标机器停止提供服务,无法处理合法用户的正常请求,最终网络服务瘫痪。而由于网络协议本身的安全缺陷,dos攻击问题一直很难得到完全的解决。攻击者进行拒绝服务攻击,目的是让服务器呈现两种效果:一是迫使服务器的缓冲区满,不接收新的请求,二是使用ip欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。攻击类型中最常见的有计算机带宽攻击和连通性攻击。连通性攻击指使用大量的连接请求冲击计算机
4、对于sip dos攻击流量的检测,目前较常用的是基于行为特征的异常流量检测方法,通过从网络数据包种提取特征信息或行为信息,比较实际流量与已知攻击的签名以得出攻击流量的判定结果,但现实网络情况往往较为复杂,由于网络中已知攻击种类有限,存在对网络攻击漏检的情况,使得基于sip的dos攻击流量检测难以起到较好的效果。
5、因此,如何提供一种有效的方案以便对sip网络中的基于sip的dos攻击异常流量的检测,已成为现有技术中一亟待解决的问题。
技术实现思路
1、本专利技术的目的是提供一种基于流速统计的dos攻击检测方法、装置及存储介质,用以解决现有技术中存在的上述问题。
2、为了实现上述目的,本专利技术采用以下技术方案:
3、第一方面,本专利技术提供了一种基于流速统计的dos攻击检测方法,应用于sip网络中的中间代理服务器,包括:
4、统计当前采样周期内sip网络中的第一平均数据流速、当前采样周期之前sip网络中的第二平均数据流速以及与当前采样周期之前的多个历史采样周期一一对应的多个历史平均数据流速中数值最大的第三平均数据流速;
5、基于所述第二平均数据流速、所述第三平均数据流速以及sip网络的理论最大数据限流速度中的至少一个,确定出用于评价是否存在sip攻击风险的至少一个数据流速阈值;
6、如果所述第一平均数据流速大于所述至少一个数据流速阈值中的n个数据流速阈值,则统计当前采样周期内的所有sip数据包所对应的至少一个源地址中各源地址所对应的sip数据包的出现次数,n为大于等于1的整数;
7、基于所述至少一个源地址中各源地址所对应的出现次数,对告警记录表中记录的源地址所对应的出现次数进行更新;
8、当告警记录表中存在出现次数超过预设次数的目标源地址时,生成与所述n个数据流速阈值对应的dos攻击告警信息,所述dos攻击告警信息中包括所述目标源地址。
9、基于上述公开的内容,本专利技术通过统计当前采样周期内sip网络中的第一平均数据流速、当前采样周期之前sip网络中的第二平均数据流速以及与当前采样周期之前的多个历史采样周期一一对应的多个历史平均数据流速中数值最大的第三平均数据流速;基于所述第二平均数据流速、所述第三平均数据流速以及sip网络的理论最大数据限流速度中的至少一个,确定出用于评价是否存在sip攻击风险的至少一个数据流速阈值;如果所述第一平均数据流速大于所述至少一个数据流速阈值中的n个数据流速阈值,则统计当前采样周期内的所有sip数据包所对应的至少一个源地址中各源地址所对应的sip数据包的出现次数,n为大于等于1的整数;基于所述至少一个源地址中各源地址所对应的出现次数,对告警记录表中记录的源地址所对应的出现次数进行更新;当告警记录表中存在出现次数超过预设次数的目标源地址时,生成与所述n个数据流速阈值对应的dos攻击告警信息,所述dos攻击告警信息中包括所述目标源地址。如此,可通过sip网络中的数据流速确定出数据流速异常的采样周期,并通过解析sip数据包的源地址并统计数据流速异常的采样周期中相同源地址的sip数据包的出现次数,并在出超过预设次数时生成对应的dos攻击告警信息,从而可实现对sip网络中dos攻击的实时检测,具有较好的实时检测能力和较高的检测准确性。
10、通过上述的设计,本专利技术可通过sip网络中的数据流速确定出数据流速异常的采样周期,并通过解析sip数据包的源地址并统计数据流速异常的采样周期中相同源地址的sip数据包的出现次数,并在出超过预设次数时生成对应的dos攻击告警信息,从而可实现对sip网络中dos攻击的实时检测,具有较好的实时检测能力和较高的检测准确性,便于实际应用和推广。
11、在一个可能的设计中,所述基于所述第二平均数据流速、所述第三平均数据流速以及sip网络的理论最大数据限流速度中的至少一个,确定出用于评价是否存在sip攻击风险的至少一个数据流速阈值,包括:
12、基于所述基于所述第二平均数据流速、所述第三平均数据流速以及sip网络的理论最大数据限流速度,确定出用于评价是否存在sip攻击风险的多个数据流速阈值;
13、所述当告警记录表中存在出现次数超过预设次数的目标源地址时,生成与所述n个数据流速阈值对应的dos攻击告警信息,包括:
14、当告警记录表中存在出现次数超过预设次数的目标源地址时,生成与所述n个数据流速阈值中数值最大的数据流速阈值所对应的dos攻击告警信息。
15、在一个可能的设计中,所述多个数据流速阈值包括第一数据流速阈值、第二数据流速阈值和第三数据流速阈值;
16、所述第一数据流速阈值为boundsuspect=(boundnormal+boundattack)/2,boundnormal表示所述第二平均数据流速,boundattack表示所述第三平均数据流速;
17、所述第二数据流速阈值为所述第三平均数据流速;
18、所述第三数据流速阈值为k·vrate_max,k的取值范围为[0.9,0.99],vrate_max表示sip网络的理论最大数据限流速度。
19、在一个可能的设计中,k的取值为0.95。
20、在一个可能的设计中,在统计当前采本文档来自技高网...
【技术保护点】
1.一种基于流速统计的DoS攻击检测方法,应用于SIP网络中的中间代理服务器,其特征在于,包括:
2.根据权利要求1所述的基于流速统计的DoS攻击检测方法,其特征在于,所述基于所述第二平均数据流速、所述第三平均数据流速以及SIP网络的理论最大数据限流速度中的至少一个,确定出用于评价是否存在SIP攻击风险的至少一个数据流速阈值,包括:
3.根据权利要求2所述的基于流速统计的DoS攻击检测方法,其特征在于,所述多个数据流速阈值包括第一数据流速阈值、第二数据流速阈值和第三数据流速阈值;
4.根据权利要求3所述的基于流速统计的DoS攻击检测方法,其特征在于,K的取值为0.95。
5.根据权利要求1所述的基于流速统计的DoS攻击检测方法,其特征在于,在统计当前采样周期内的所有SIP数据包所对应的至少一个源地址中各源地址所对应的SIP数据包的出现次数之前,所述方法还包括:
6.根据权利要求1所述的基于流速统计的DoS攻击检测方法,其特征在于,所述当告警记录表中存在出现次数超过预设次数的目标源地址时,生成与所述N个数据流速阈值对应的D
7.根据权利要求1所述的基于流速统计的DoS攻击检测方法,其特征在于,所述预设次数为2次。
8.一种基于流速统计的DoS攻击检测装置,其特征在于,包括:
9.一种基于流速统计的DoS攻击检测装置,其特征在于,包括依次通信相连的存储器、处理器和收发器,其中,所述存储器用于存储计算机程序,所述收发器用于收发消息,所述处理器用于读取所述计算机程序,执行如权利要求1~7任意一项所述的基于流速统计的DoS攻击检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,执行如权利要求1~7任意一项所述的基于流速统计的DoS攻击检测方法。
...【技术特征摘要】
1.一种基于流速统计的dos攻击检测方法,应用于sip网络中的中间代理服务器,其特征在于,包括:
2.根据权利要求1所述的基于流速统计的dos攻击检测方法,其特征在于,所述基于所述第二平均数据流速、所述第三平均数据流速以及sip网络的理论最大数据限流速度中的至少一个,确定出用于评价是否存在sip攻击风险的至少一个数据流速阈值,包括:
3.根据权利要求2所述的基于流速统计的dos攻击检测方法,其特征在于,所述多个数据流速阈值包括第一数据流速阈值、第二数据流速阈值和第三数据流速阈值;
4.根据权利要求3所述的基于流速统计的dos攻击检测方法,其特征在于,k的取值为0.95。
5.根据权利要求1所述的基于流速统计的dos攻击检测方法,其特征在于,在统计当前采样周期内的所有sip数据包所对应的至少一个源地址中各源地址所对应的sip数据包的出现次数之前,所述方法还包括:
6.根据权利要求1...
【专利技术属性】
技术研发人员:徐李阳,王晨飞,韩维,张月,宋灿,张郁颀,
申请(专利权)人:国家电网有限公司客户服务中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。