【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种分布式拒绝服务攻击检测方法、装置、电子设备及介质。
技术介绍
1、分布式拒绝服务攻击(distributed denial of service,ddos)是一种常见的网络攻击方式,其通过大量合法或非法请求,使目标服务器过载,从而使得合法用户无法访问服务。这种攻击方式严重影响了网络服务的正常运行,给企业和个人带来了巨大的损失。
2、动态基线技术是一种针对ddos攻击的检测和防御方法,它基于维度(如流量大小、连接数等)进行动态基线的建立和检测。在这种技术中,首先通过对历史流量数据进行学习,建立代表正常网络行为的基线模型。这个基线模型会根据单一维度的指标进行动态调整,以适应网络流量的变化。
3、现有的防御技术往往针对单一维度的攻击,难以有效地抵御复杂多变的ddos攻击。
技术实现思路
1、有鉴于此,有必要提供一种分布式拒绝服务攻击检测方法,用以解决现有技术中针对单一维度的攻击进行防御的问题。
2、为了解决上述问题,本专利技术提供一种分布式拒绝服务攻击检测方法,包括:
3、获取实时流量数据;
4、将所述实时流量数据按照源ip地址、源端口、目的ip地址以及目的端口进行分类,得到多维度数据类别;
5、根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
6、根据历史数据得到基线模型;
7、将所述多维度基线统计表中的每个报文数量按照所述多维
8、在一些可能的实现方式中,所述多维度数据类别,包括:第一维度、第二维度、第三维度、第四维度、第五维度、第六维度、第七维度、第八维度、第九维度、第十维度、第十一维度、第十二维度、第十三维度、第十四维度和第十五维度:
9、所述第一维度包括源ip地址;
10、所述第二维度包括源ip地址和目的ip地址;
11、所述第三维度包括源ip地址和源端口;
12、所述第四维度包括源ip地址和目的端口;
13、所述第五维度包括源ip地址、源端口和目的端口;
14、所述第六维度包括源ip地址、源端口和目的ip地址;
15、所述第七维度包括源ip地址、目的ip地址和源端口;
16、所述第八维度包括源ip地址、源端口、目的ip地址以及目的端口;
17、所述第九维度包括目的ip地址;
18、所述第十维度包括目的ip地址和源端口;
19、所述第十一维度包括目的ip地址和目的端口;
20、所述第十二维度包括目的ip地址、源端口和目的端口;
21、所述第十三维度包括源端口;
22、所述第十四维度包括源端口和目的端口;
23、所述第十五维度包括目的端口。
24、在一些可能的实现方式中,所述数据包的属性包括:tcp连接首包数、tcp连接关闭包数、udp报文数、icmp协议报文数、分片报文数、http协议报文数、ssl协议报文数、dns请求包、dns响应包、流数、新建流数、入口流量大小以及出口流量大小中的一种或者多种。
25、在一些可能的实现方式中,根据历史数据得到基线模型,包括:
26、按照预设时间间隔统计若干天的历史流量数据;
27、将所述历史流量数据按照所述多维度数据类别统计各个维度的报文数量;
28、计算各个时刻所述各个维度的报文数量的峰值或均值,得到基线模型。
29、在一些可能的实现方式中,所述将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常,包括:
30、将所述多维度基线统计表中的每个报文数量和与其对应时刻的基线模型中的报文数量的峰值或均值进行比对,确定所述实时流量数据是否存在异常。
31、在一些可能的实现方式中,确定所述实时流量数据是否存在异常,包括:
32、当所述多维度基线统计表中的每个报文数量大于与其对应时刻的基线模型中的报文数量的峰值或均值,确定所述多维度基线统计表对应的流量数据存在异常。
33、在一些可能的实现方式中,如果所述历史数据中存在攻击,剔除攻击时所述历史数据中的噪音数据。
34、另一方面,本专利技术还提供了一种分布式拒绝服务攻击检测装置,包括:
35、流量数据获取模块,用于获取实时流量数据;
36、类别获取模块,用于将所述实时流量数据按照源ip地址、源端口、目的ip地址以及目的端口进行分类,得到多维度数据类别;
37、基线统计表获取模块,用于根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
38、基线模型获取模块,用于根据历史数据得到基线模型;
39、异常判断模块,用于将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常。
40、另一方面,本专利技术还提供了一种电子设备,包括存储器和处理器,其中,
41、所述存储器,用于存储程序;
42、所述处理器,与所述存储器耦合,用于执行所述存储器中存储的所述程序,以实现上述任意一种实现方式中所述的一种分布式拒绝服务攻击检测方法中的步骤。
43、另一方面,本专利技术还提供了一种计算机可读存储介质,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述任意一种实现方式中所述的一种分布式拒绝服务攻击检测方法中的步骤。
44、采用上述实施例的有益效果是:本专利技术提供的一种分布式拒绝服务攻击检测方法,获取实时流量数据并将实时流量数据按照源ip地址、源端口、目的ip地址以及目的端口进行分类,得到多维度数据类别,进一步根据多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表,进一步根据历史数据得到基线模型进一步将多维度基线统计表中的每个报文数量按照多维度数据类别与基线模型比对,最终确定实时流量数据是否存在异常。本专利技术从多个维度对流量数据的报文数量进行统计,并将统计结果与历史流量数据进行比较判断是否存在异常,从而提高分布式拒绝服务攻击检测和防御效果。
本文档来自技高网...【技术保护点】
1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:
2.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述多维度数据分类表,包括:第一维度、第二维度、第三维度、第四维度、第五维度、第六维度、第七维度、第八维度、第九维度、第十维度、第十一维度、第十二维度、第十三维度、第十四维度和第十五维度:
3.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述数据包的属性包括:tcp连接首包数、tcp连接关闭包数、udp报文数、icmp协议报文数、分片报文数、http协议报文数、ssl协议报文数、dns请求包、dns响应包、流数、新建流数、入口流量大小以及出口流量大小中的一种或者多种。
4.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,根据历史数据得到基线模型,包括:
5.根据权利要求4所述的分布式拒绝服务攻击检测方法,其特征在于,所述将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常,包括:
6.根据权利要求5所述的分布式拒
7.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,如果所述历史数据中存在攻击,剔除攻击时所述历史数据中的噪音数据。
8.一种分布式拒绝服务攻击检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括存储器和处理器,其中,
10.一种计算机可读存储介质,其特征在于,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述权利要求1至7中任意一项所述的一种分布式拒绝服务攻击检测方法中的步骤。
...【技术特征摘要】
1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:
2.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述多维度数据分类表,包括:第一维度、第二维度、第三维度、第四维度、第五维度、第六维度、第七维度、第八维度、第九维度、第十维度、第十一维度、第十二维度、第十三维度、第十四维度和第十五维度:
3.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述数据包的属性包括:tcp连接首包数、tcp连接关闭包数、udp报文数、icmp协议报文数、分片报文数、http协议报文数、ssl协议报文数、dns请求包、dns响应包、流数、新建流数、入口流量大小以及出口流量大小中的一种或者多种。
4.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,根据历史数据得到基线模型,包括:
5.根据权利要求4...
【专利技术属性】
技术研发人员:钟竹,马学聪,
申请(专利权)人:北京安博通科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。