基于IPv4和IPv6的拒绝服务攻击检测方法及系统技术方案

本发明专利技术公开了一种基于IPv4和IPv6的拒绝服务攻击检测方法，包括：在平时运营检测中，系统只提取流量中的基本运营参数，通过简单流量模型判断是否可能存在异常；在可能存在异常的情况下，使用业务流量模型判断是否存在异常；在确认异常的情况下，使用攻击流量模型，判断攻击类型。本发明专利技术还公开了一种基于IPv4和IPv6的拒绝服务攻击检测系统，包括流量模型模块、运营监测模块、异常确认模块、攻击类型确认模块以及处置模块。本发明专利技术可以只处理针对当前目标主机的流量，基本上屏蔽了整个网络的大流量数据对分析的干扰，对DOS/DDOS攻击的检出率准确率更高。

【技术实现步骤摘要】

【技术保护点】
一种基于IPv4和IPv6的拒绝服务攻击检测方法，其特征在于，包括：步骤a、对需要保护的主机进行监测时，抓取运营流量进行分析统计，提取基本运营参数；如果所述基本营运参数超出预设的阈值范围，则根据所述基本营运参数的来源定位目标主机；根据所述目标主机的基本营运参数，计算出新的简单流量模型，与在正常状态下已经事先建立的简单流量模型进行对比，判断所述目标主机是否可能存在异常；步骤b、如果判断所述目标主机可能存在异常，则跟踪分析所述目标主机的运营流量，提取流量参数，通过计算三维数据建立新的业务流量模型，与在正常状态下已经事先建立的业务流量模型进行对比，如果所述三维数据中至少有一个维度的数据偏离正常范围，则判断所述目标主机存在异常情况；所述三维数据包括业务量数据、业务范围数据、服务质量数据；步骤c、如果所述目标主机存在异常，则使用所述目标主机的运营流量的流量特征与事先根据不同攻击类型的流量特征所建立的攻击流量模型的流量特征进行对比，判断所述目标主机的攻击类型。

【技术特征摘要】

【专利技术属性】
技术研发人员：邱勇良，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：