【技术实现步骤摘要】
本专利技术涉及计算机网络安全,特别是涉及一种基于端口数据的反射攻击检测方法、系统及电子设备。
技术介绍
1、近几年,互联网攻击事件明显增多,攻击流量也明显增大,超过1gb的攻击流量频频出现,严重危害为互联网安全,分布式拒绝服务(distributed denial of service,ddos)攻击一直都是网络安全研究中的热点议题。用户数据包协议(userdatagramprotocol,udp)反射ddos攻击(以下简称为udp反射攻击)是ddos攻击中的一种主要攻击类型。udp反射攻击是利用有漏洞的应用层服务协议(以下简称服务协议)发起的ddos攻击,这些服务均使用udp作为传输协议。2017年《中国互联网网络安全态势综述》称,2017年大流量ddos攻击事件数量全年持续增加,10gbps以上攻击事件数量全年日均达133次,占日均攻击事件的29.4%,另外100gbs以上攻击事件数量日均达到6起以上,从攻击方式来看,反射攻击依旧占据主流。因此,反射攻击的特征提取和识别技术对维护互联网安全至关重要。
2、现有的面向ddos入侵检测的报文特性提取方法,根据报文协议将ddos攻击分为欺骗攻击、流量攻击、反射攻击、慢连接攻击和连接耗尽攻击五类,并针对不同的类型提取其特征向量,增加了攻击报文特征的纬度与表达能力,完成ddos攻击报文的识别,但是该方法采用实验环境中以自攻击方式获取的数据集进行特性提取,其检测精度在实际应用时有所下降。
技术实现思路
1、本专利技术的目的是提供
2、为实现上述目的,本专利技术提供了如下方案:
3、一种基于端口数据的反射攻击检测方法,包括:
4、基于公网流量构建训练集;所述公网流量为端口数据;
5、利用所述训练集训练机器学习模型,得到反射攻击检测模型;
6、获取公网实时流量的特征向量为实时特征向量;所述特征向量包括协议类型、单位时间内接收的报文数量、报文长度、单位时间内源端口号的标准差和单位时间内目标端口号的标准差;
7、将所述实时特征向量输入到反射攻击检测模型中,得到反射攻击检测结果;所述反射攻击检测结果为公网实时流量是否为反射攻击流量。
8、可选的,基于公网流量构建训练集,包括:
9、构建空集为数据集;
10、获取当前公网流量;
11、对所述当前公网流量进行预处理,得到预处理后的当前公网流量;
12、根据所述预处理后的当前公网流量,确定当前公网流量的带宽放大系数和报文放大因子;
13、根据所述带宽放大系数和所述报文放大因子,确定当前公网流量的流量类型;所述流量类型包括正常流量和反射攻击流量;
14、在当前公网流量的流量类型为反射攻击流量时,提取当前公网流量的特征向量;
15、将当前公网流量的特征向量添加到所述数据集中;
16、更新当前公网流量,并返回步骤“对所述当前公网流量进行预处理,得到预处理后的当前公网流量”,直至所述数据集中特征向量的数量达到数量阈值,确定所述数据集为训练集。
17、可选的,所述带宽放大系数为:
18、
19、其中,baf为带宽放大系数;len(udp payload)atv为单位时间δt内放大器回复报文的udp负载长度;len(udp payload)ata为单位时间δt内放大器收到请求报文的udp负载长度。
20、可选的,所述报文放大因子为:
21、
22、其中,paf为报文放大因子;numatv为单位时间δt内放大器回复报文的数量;numata为单位时间δt内放大器收到请求报文的数量。
23、可选的,根据所述带宽放大系数和所述报文放大因子,确定当前公网流量的流量类型,包括:
24、根据所述带宽放大系数和所述报文放大因子判断当前公网流量是否符合正常流量条件,得到判断结果;所述正常流量条件为所述带宽放大系数小于带宽放大系数阈值,且所述报文放大因子小于报文放大因子阈值;
25、若所述判断结果为是,则确定当前公网流量的流量类型为正常流量;
26、若所述判断结果为否,则确定当前公网流量的流量类型为反射攻击流量。
27、可选的,利用所述训练集训练机器学习模型,得到反射攻击检测模型,包括:
28、以特征向量为输入,以公网流量是否为反射攻击流量为输出,对机器学习模型进行训练,得到反射攻击检测模型。
29、可选的,在将所述实时特征向量输入到反射攻击检测模型中,得到反射攻击检测结果之后,还包括:
30、在所述反射攻击检测结果为反射攻击流量时,将所述实时特征向量,添加到训练集中,并返回步骤“利用所述训练集训练机器学习模型,得到反射攻击检测模型”。
31、一种基于端口数据的反射攻击检测系统,包括:
32、训练集构建模块,用于基于公网流量构建训练集;所述公网流量为端口数据;
33、反射攻击检测模型训练模块,用于利用所述训练集训练机器学习模型,得到反射攻击检测模型;
34、实时特征向量确定模块,用于获取公网实时流量的特征向量为实时特征向量;所述特征向量包括协议类型、单位时间内接收的报文数量、报文长度、单位时间内源端口号的标准差和单位时间内目标端口号的标准差;
35、反射攻击检测模块,用于将所述实时特征向量输入到反射攻击检测模型中,得到反射攻击检测结果;所述反射攻击检测结果为公网实时流量是否为反射攻击流量。
36、一种电子设备,可选的,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行所述的一种基于端口数据的反射攻击检测方法。
37、可选的,所述存储器为可读存储介质。
38、根据本专利技术提供的具体实施例,本专利技术公开了以下技术效果:
39、本专利技术提供的一种基于端口数据的反射攻击检测方法、系统及电子设备,基于攻击过程并结合udp协议本身特性,提取报文特征值并建立反射攻击的特征向量,通过阈值判定和特征匹配的方法对流量进行检测,能够实时检测流量攻击和有效负荷放大攻击,能够提高放大型ddos攻击流量的检测精度。
本文档来自技高网...【技术保护点】
1.一种基于端口数据的反射攻击检测方法,其特征在于,包括:
2.根据权利要求1所述的一种基于端口数据的反射攻击检测方法,其特征在于,基于公网流量构建训练集,包括:
3.根据权利要求2所述的一种基于端口数据的反射攻击检测方法,其特征在于,所述带宽放大系数为:
4.根据权利要求2所述的一种基于端口数据的反射攻击检测方法,其特征在于,所述报文放大因子为:
5.根据权利要求2所述的一种基于端口数据的反射攻击检测方法,其特征在于,根据所述带宽放大系数和所述报文放大因子,确定当前公网流量的流量类型,包括:
6.根据权利要求2所述的一种基于端口数据的反射攻击检测方法,其特征在于,利用所述训练集训练机器学习模型,得到反射攻击检测模型,包括:
7.根据权利要求1所述的一种基于端口数据的反射攻击检测方法,其特征在于,在将所述实时特征向量输入到反射攻击检测模型中,得到反射攻击检测结果之后,还包括:
8.一种基于端口数据的反射攻击检测系统,其特征在于,包括:
9.一种电子设备,其特征在于,包括存储器及处理器,
10.根据权利要求9所述的一种电子设备,其特征在于,所述存储器为可读存储介质。
...【技术特征摘要】
1.一种基于端口数据的反射攻击检测方法,其特征在于,包括:
2.根据权利要求1所述的一种基于端口数据的反射攻击检测方法,其特征在于,基于公网流量构建训练集,包括:
3.根据权利要求2所述的一种基于端口数据的反射攻击检测方法,其特征在于,所述带宽放大系数为:
4.根据权利要求2所述的一种基于端口数据的反射攻击检测方法,其特征在于,所述报文放大因子为:
5.根据权利要求2所述的一种基于端口数据的反射攻击检测方法,其特征在于,根据所述带宽放大系数和所述报文放大因子,确定当前公网流量的流量类型,包括:
6.根据权利要求2所述的一种基于端口数据的反射攻击检测...
【专利技术属性】
技术研发人员:归翀,胥旭波,苏伟胜,陶亮,罗婷倚,唐亚森,刘斌,韦才超,古原,谭文玮,黄永州,方增俊,陈三喜,梁夏,罗柳芬,李宁,
申请(专利权)人:广西北投公路建设投资集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。