国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      分布式拒絕服務攻擊檢測方法及裝置制造方法

      文檔序號:8003594閱讀:296來源:國知局
      分布式拒絕服務攻擊檢測方法及裝置制造方法
      【專利摘要】本發(fā)明實施例公開了一種分布式拒絕服務攻擊檢測方法及裝置,屬于網(wǎng)絡安全領(lǐng)域。其中所述方法包括:實時獲取服務器接收的數(shù)據(jù)報文,并對預設(shè)一段時間內(nèi)服務器接收的每個數(shù)據(jù)報文進行解析,以從每個數(shù)據(jù)報文中提取特征;根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例;判斷得到的每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線;若不符合占比基線,則判定為服務器存在DDoS攻擊。本發(fā)明通過占比信息檢測是否存在DDoS攻擊的方式,從而能夠快速、準確、及時地檢測出是否發(fā)生DDoS攻擊。
      【專利說明】分布式拒絕服務攻擊檢測方法及裝置

      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及網(wǎng)絡安全【技術(shù)領(lǐng)域】,特別涉及一種分布式拒絕服務攻擊檢測方法及裝置。

      【背景技術(shù)】
      [0002]隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,人們對網(wǎng)絡的使用和依賴程度逐漸增加,相對的關(guān)于網(wǎng)絡安全問題也隨之而來,特別是服務器遭受網(wǎng)絡攻擊事件(例如遭受分布式拒絕服務攻擊)層出不窮,導致基礎(chǔ)運營網(wǎng)絡大面積癱瘓,重要信息系統(tǒng)的安全受到巨大威脅,嚴重危及了經(jīng)濟發(fā)展、社會穩(wěn)定甚至國家安全。
      [0003]分布式拒絕服務(DDos, Distributed Denial of Service)攻擊是指攻擊者利用雇傭的多臺計算機對一個或者多個目標服務器分別發(fā)起拒絕服務攻擊,其利用合理的服務請求來占用過多的服務資源,從而使服務器無法處理合法用戶的指令。使用客戶端/服務器模式,攻擊者可以利用許多不知情的計算機作為攻擊平臺從而成倍地提高拒絕服務攻擊效果。在高速數(shù)據(jù)包的攻擊下,受害者服務器的關(guān)鍵資源,如帶寬、緩沖區(qū)、CPU資源等迅速耗盡,受害者或者崩潰,或者花大量時間處理攻擊包而不能正常服務,給受害者和用戶造成嚴重經(jīng)濟損失,因此有效地檢測和防御DDoS攻擊是構(gòu)建安全網(wǎng)絡的重要組成部分,已成為網(wǎng)絡安全領(lǐng)域亟待解決的重大問題。
      [0004]現(xiàn)有的DDoS攻擊檢測方法主要通過檢測并記錄目標服務器平時的流量,如果檢測到的流量超過平時流量一定程度,則認為有DDoS攻擊發(fā)生。但是,目前DDoS攻擊呈現(xiàn)的特征與正常的網(wǎng)絡訪問高峰非常相似,特別是攻擊者采用偽造、隨機變化報文源IP地址、隨機變化攻擊報文內(nèi)容等方法,使得DDoS攻擊更加難以檢測。因此,采用這種僅依賴單一檢測特征的檢測方法缺乏對多流量或行為特征的綜合分析,并且由于檢測特征的單一導致針對復雜實際應用環(huán)境的適應性較差,如果遇到因為服務器新部署業(yè)務導致的流量增長,也可能出現(xiàn)誤報,因此誤報率較高。另外采用此種檢測方法對于不是太大流量的DDOS攻擊,如連接耗盡型,慢速HTTP攻擊等,則會存在無法發(fā)現(xiàn)的問題。


      【發(fā)明內(nèi)容】

      [0005]本發(fā)明提供一種分布式拒絕服務攻擊檢測方法及裝置,以解決現(xiàn)有的檢測方法適應性差、誤報率高等問題。
      [0006]具體地,本發(fā)明實施例提供了一種分布式拒絕服務攻擊檢測方法,所述分布式拒絕服務攻擊檢測方法,包括:實時獲取服務器接收的數(shù)據(jù)報文,并對預設(shè)一段時間內(nèi)服務器接收的每個數(shù)據(jù)報文進行解析,以從每個數(shù)據(jù)報文中提取特征;根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例;將得到的每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例與預先存儲的占比基線進行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線;若不符合占比基線,則判定為服務器存在DDoS攻擊。
      [0007]另外,本發(fā)明實施例提供了一種分布式拒絕服務攻擊檢測裝置,所述分布式拒絕服務攻擊檢測裝置,包括:解析模塊、占比獲取模塊、占比匹配模塊、以及判定模塊,解析模塊,用于實時獲取服務器接收的數(shù)據(jù)報文,并對預設(shè)一段時間內(nèi)服務器接收的每個數(shù)據(jù)報文進行解析,以從每個數(shù)據(jù)報文中提取特征;占比獲取模塊,用于根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例;占比匹配模塊,用于將得到的每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例與預先存儲的占比基線進行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線;判定模塊,用于若不符合占比基線,則判定為服務器存在DDoS攻擊。
      [0008]本發(fā)明實施例提供的技術(shù)方案帶來的有益效果是:
      [0009]通過根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例,在每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不符合占比基線的情況下,則判定為服務器存在DDoS攻擊。解決了現(xiàn)有的檢測方法適應性差、誤報率高等問題,采用占比信息檢測是否存在DDoS攻擊的方式,通過判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線而去除誤報,使得DDoS攻擊易于發(fā)現(xiàn)。從而能夠快速、準確、及時地檢測出是否發(fā)生DDoS攻擊,并且能夠適應于各種復雜的實際環(huán)境,例如不需要太多數(shù)據(jù)報文個數(shù)的DDoS攻擊等環(huán)境。
      [0010]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其他目的、特征和優(yōu)點能夠更明顯易懂,以下特舉較佳實施例,并配合附圖,詳細說明如下。

      【專利附圖】

      【附圖說明】
      [0011]圖1是本發(fā)明一個實施例提供的分布式拒絕服務攻擊檢測方法的流程圖;
      [0012]圖2A是本發(fā)明另一個實施例提供的分布式拒絕服務攻擊檢測方法的流程圖;
      [0013]圖2B是每天數(shù)據(jù)報文的總數(shù)的波形曲線的示意圖;
      [0014]圖2C是每天數(shù)據(jù)報文的總大小的波形曲線的示意圖;
      [0015]圖2D是一天內(nèi)一種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的波形曲線的不意圖;
      [0016]圖3是本發(fā)明又一個實施例提供的分布式拒絕服務攻擊檢測方法的流程圖;
      [0017]圖4是本發(fā)明一個實施例提供的分布式拒絕服務攻擊檢測裝置的主要架構(gòu)框圖;
      [0018]圖5是本發(fā)明另一個實施例提供的分布式拒絕服務攻擊檢測裝置的主要架構(gòu)框圖;
      [0019]圖6是本發(fā)明又一個實施例提供的分布式拒絕服務攻擊檢測裝置的主要架構(gòu)框圖;
      [0020]圖7是一種終端的結(jié)構(gòu)框圖。

      【具體實施方式】
      [0021]為更進一步闡述本發(fā)明為達成預定發(fā)明目的所采取的技術(shù)手段及功效,以下結(jié)合附圖及較佳實施例,對依據(jù)本發(fā)明提出的分布式拒絕服務攻擊檢測方法及裝置其【具體實施方式】、結(jié)構(gòu)、特征及功效,詳細說明如后。
      [0022]有關(guān)本發(fā)明的前述及其他技術(shù)內(nèi)容、特點及功效,在以下配合參考圖式的較佳實施例詳細說明中將可清楚的呈現(xiàn)。通過【具體實施方式】的說明,當可對本發(fā)明為達成預定目的所采取的技術(shù)手段及功效得以更加深入且具體的了解,然而所附圖式僅是提供參考與說明之用,并非用來對本發(fā)明加以限制。
      [0023]第一實施例
      [0024]請參考圖1,其示出了本發(fā)明一個實施例提供的分布式拒絕服務攻擊檢測方法的流程圖。該方法可以由分布式拒絕服務攻擊檢測裝置所執(zhí)行的分布式拒絕服務攻擊檢測過程;分布式拒絕服務攻擊檢測裝置可以運行在被檢測的服務器等設(shè)備上,以運行在服務器上為例,所述分布式拒絕服務攻擊檢測方法,可包括以下步驟101-107:
      [0025]步驟101,實時獲取服務器接收的數(shù)據(jù)報文,并對預設(shè)一段時間內(nèi)服務器接收的每個數(shù)據(jù)報文進行解析,以從每個數(shù)據(jù)報文中提取特征。
      [0026]從數(shù)據(jù)報文中提取的特征包括數(shù)據(jù)報文的大小(例如2MB等)、源IP地址、目的IP地址、數(shù)據(jù)報文所屬的協(xié)議類型等。源IP地址可以為發(fā)送數(shù)據(jù)報文給服務器的終端的IP地址,目的IP地址可以為終端將數(shù)據(jù)報文發(fā)送到的目標服務器的IP地址。數(shù)據(jù)報文所屬的協(xié)議類型可以從數(shù)據(jù)報文的標志位中進行提取。
      [0027]步驟103,根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例。
      [0028]步驟105,將得到的每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例與預先存儲的占比基線進行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線。
      [0029]占比基線是指服務器在預設(shè)一段時間內(nèi)每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的正常占比范圍。
      [0030]步驟107,若不符合占比基線,則判定為服務器存在DDoS攻擊。
      [0031]例如,對于不需要太多數(shù)據(jù)報文個數(shù)的DDoS攻擊,如連接耗盡型,可以通過分析SYN數(shù)據(jù)報文占比的變化進行發(fā)現(xiàn)。即通過判斷SYN數(shù)據(jù)報文占比是否符合占比基線而進行發(fā)現(xiàn)。SYN (synchronize,同步)是TCP/IP建立連接時使用的握手信號。在客戶機和服務器之間建立正常的TCP網(wǎng)絡連接時,客戶機首先發(fā)出一個SYN消息,服務器使用SYN+ACK應答表示接收到了這個消息,最后客戶機再以ACK消息響應。這樣在客戶機和服務器之間才能建立起可靠的TCP連接,數(shù)據(jù)才可以在客戶機和服務器之間傳遞。
      [0032]綜上所述,本實施例提供的分布式拒絕服務攻擊檢測方法,通過根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例,在每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不符合占比基線的情況下,則判定為服務器存在DDoS攻擊。解決了現(xiàn)有的檢測方法適應性差、誤報率高等問題,采用占比信息檢測是否存在DDoS攻擊的方式,通過判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線而去除誤報,使得DDoS攻擊易于發(fā)現(xiàn)。從而能夠快速、準確、及時地檢測出是否發(fā)生DDoS攻擊,并且能夠適應于各種復雜的實際環(huán)境,例如不需要太多數(shù)據(jù)報文個數(shù)的DDoS攻擊等環(huán)境。
      [0033]第二實施例
      [0034]請參考圖2A,其示出了本發(fā)明另一個實施例提供的分布式拒絕服務攻擊檢測方法的流程圖。圖2A是在圖1的基礎(chǔ)上改進而來的。該方法可以由分布式拒絕服務攻擊檢測裝置所執(zhí)行的分布式拒絕服務攻擊檢測過程;分布式拒絕服務攻擊檢測裝置可以運行在被檢測的服務器等設(shè)備上,以運行在服務器上為例,所述分布式拒絕服務攻擊檢測方法,可包括以下步驟201-215:
      [0035]步驟201,實時獲取服務器接收的數(shù)據(jù)報文,并對預設(shè)一段時間內(nèi)服務器接收的每個數(shù)據(jù)報文進行解析,以從每個數(shù)據(jù)報文中提取特征。
      [0036]服務器作為提供服務的設(shè)備,其接收的數(shù)據(jù)報文通常是終端向服務器發(fā)送服務請求時所攜帶的報文。終端發(fā)送一個服務請求時可以攜帶一個或多個數(shù)據(jù)報文。從數(shù)據(jù)報文中提取的特征包括數(shù)據(jù)報文的大小(例如2MB等)、源IP地址、目的IP地址、數(shù)據(jù)報文所屬的協(xié)議類型等。
      [0037]源IP地址可以為發(fā)送數(shù)據(jù)報文給服務器的終端的IP地址,目的IP地址可以為終端將數(shù)據(jù)報文發(fā)送到的目標服務器的IP地址。數(shù)據(jù)報文所屬的協(xié)議類型可以從數(shù)據(jù)報文的標志位中進行提取。標志位通常記錄數(shù)據(jù)報文所屬的協(xié)議類型,數(shù)據(jù)報文所屬的協(xié)議類型可以為屬于0SI(0pen System Interconnect,開放式系統(tǒng)互聯(lián))模型的某種協(xié)議,國際標準化組織制定了 OSI模型,這個模型把網(wǎng)絡通信的工作分為7層,分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。屬于網(wǎng)絡層的協(xié)議可以包括:IP (InternetProtocol,網(wǎng)絡之間互連的協(xié)議)、IPX (Internetwork Packet Exchange protocol,互聯(lián)網(wǎng)分組交換協(xié)議)、OSPF (Open Shortest Path First,開放式最短路徑優(yōu)先)等,屬于傳輸層的協(xié)議可以包括:TCP (Transmiss1n Control Protocol,傳輸控制協(xié)議)、UDP (UserDatagram Protocol,用戶數(shù)據(jù)報協(xié)議)、SPX (Sequenced Packet Exchange protocol,序列分組交換協(xié)議)等,屬于應用層的協(xié)議可以包括:Telnet、FTP(File Transfer Protocol,文件傳輸協(xié)議)、HTTP (Hypertext Transfer Protocol,超文本傳輸協(xié)議)、SNMP (SimpleNetwork Management Protocol,簡單網(wǎng)絡管理協(xié)議)、DNS (Domain Name System,域名系統(tǒng))等。
      [0038]預設(shè)一段時間可以根據(jù)實際需要而設(shè)定為任意值,例如10分鐘等。
      [0039]步驟203,根據(jù)從每個數(shù)據(jù)報文中提取的特征得到預設(shè)一段時間內(nèi)服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例,并將服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例進行存儲。
      [0040]服務器的流量包括但不限于:預設(shè)一段時間內(nèi)服務器接收的數(shù)據(jù)報文總數(shù)和數(shù)據(jù)報文的總大小??梢詫⒎掌鞯牧髁亢兔糠N協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例存儲到數(shù)據(jù)庫中。
      [0041]舉例說明一種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的計算方法,例如在一段時間內(nèi),服務器接收的Http類型的數(shù)據(jù)報文的數(shù)量為80個,接收的數(shù)據(jù)報文的總數(shù)為100個,則可以得出Http類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例為80%。
      [0042]步驟205,將得到的服務器的流量與預先存儲的流量基線進行匹配,判斷服務器的流量是否符合流量基線,若符合,則進行步驟209。
      [0043]優(yōu)選地,步驟205中,還可包括:若不符合,則進行步驟207。
      [0044]基線是指特定一個時期的“快照”,提供一個標準,后續(xù)數(shù)據(jù)都基于此標準。在本發(fā)明實施例中,基線是指服務器在一段時間內(nèi),相對穩(wěn)定的流量范圍,或者每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的正常范圍,作為判斷目標服務器是否正常的一個標準。
      [0045]基線可以包括流量基線、占比基線等。流量基線是服務器在預設(shè)一段時間內(nèi)的正常流量范圍。占比基線是指服務器在預設(shè)一段時間內(nèi)每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的正常占比范圍。
      [0046]基線預先存儲在數(shù)據(jù)庫中,其可以是根據(jù)所獲取的樣本預先訓練學習得出的,訓練學習的方法可以采用目前現(xiàn)有的貝葉斯方法、最大熵方法、經(jīng)驗法等。所獲取的樣本可以是一段時間內(nèi)獲取的數(shù)據(jù)報文。其中采用所獲取的樣本訓練學習得出基線的一種方法可以是:若訓練樣本是一個月內(nèi)服務器未受到攻擊所接收的數(shù)據(jù)報文,計算在一個月內(nèi)每個預設(shè)時間段內(nèi)(例如10分鐘)數(shù)據(jù)報文的總數(shù)和總大小可以得到服務器每天24小時每個預設(shè)時間段的流量范圍(包括流量最大值和流量最小值),例如周一 12:10到12:20之間計算出的數(shù)據(jù)報文的總數(shù)最大值為I萬個,數(shù)據(jù)報文的總數(shù)最小值為9000個,數(shù)據(jù)報文的總大小最大值為20G,數(shù)據(jù)報文的總大小最小值為18G,則周一 12:10到12:20之間的數(shù)據(jù)報文的總數(shù)范圍為9000個?I萬個,12:10到12:20之間的數(shù)據(jù)報文的總大小范圍為18G?20G,將每天每個預設(shè)時間段的流量范圍(包括數(shù)據(jù)報文的總數(shù)范圍和數(shù)據(jù)報文的總大小范圍)用光滑曲線連接,可以得到每天的流量最大值波形曲線和流量最小值波形曲線,即得到如圖2B所示每天24小時數(shù)據(jù)報文的總數(shù)的最大值波形曲線220和最小值波形曲線221,并得到如圖2C所示每天的數(shù)據(jù)報文的總大小的最大值波形曲線222和最小值波形曲線223,圖2B和2C中最大值波形曲線和最小值波形曲線之間的范圍即為流量基線。正常的流量范圍應在此流量基線范圍內(nèi)。圖2B和2C中的橫坐標表示一天24小時的不同時刻。按照上述方法,同樣地,可以再計算一個月內(nèi)每個預設(shè)時間段內(nèi)(例如10分鐘)數(shù)據(jù)報文所屬的協(xié)議類型和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例,得到每天24小時每個預設(shè)時間段內(nèi)每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例范圍,將每天每個預設(shè)時間段內(nèi)的占比范圍用光滑曲線連接,可以得到每天的占比最大值波形曲線和占比最小值波形曲線,此占比最大值波形曲線和占比最小值波形曲線之間即為占比基線。正常占比范圍應在此占比基線范圍內(nèi),如圖2D所示,示出了一天內(nèi)一種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的最大值波形曲線224和最小值波形曲線225。最大值波形曲線224和最小值波形曲線225之間即為占比基線。圖2D中的橫坐標同樣表示一天24小時的不同時刻。
      [0047]優(yōu)選地,步驟205中,判斷服務器的流量是否符合流量基線,可以包括:
      [0048]若服務器的流量在預設(shè)一段時間內(nèi)的正常流量范圍內(nèi),則判定為服務器的流量符合流量基線,若服務器的流量不在預設(shè)一段時間內(nèi)的正常流量范圍內(nèi),則判定為服務器的流量不符合流量基線。
      [0049]步驟207,記錄不符合流量基線的數(shù)據(jù)報文,并進行步驟209。
      [0050]步驟209,將每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例與預先存儲的占比基線進行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線,若不符合,則進行步驟211。
      [0051]優(yōu)選地,步驟209之后,還可包括:若符合,則進行步驟215。
      [0052]占比基線的獲得方法在步驟205中已作了詳細說明,此處不再贅述。
      [0053]優(yōu)選地,步驟209中,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線,可以包括:
      [0054]若每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例在正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例符合占比基線,若每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不在正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不符合占比基線。
      [0055]步驟211,記錄不符合占比基線的數(shù)據(jù)報文,判斷服務器狀態(tài)是否存在異常,若存在異常,則進行步驟213。
      [0056]例如,對于不需要太多數(shù)據(jù)報文個數(shù)的DDoS攻擊,如連接耗盡型,可以通過分析SYN數(shù)據(jù)報文占比的變化進行發(fā)現(xiàn)。即通過判斷SYN數(shù)據(jù)報文占比是否符合占比基線而進行發(fā)現(xiàn)。SYN (synchronize,同步)是TCP/IP建立連接時使用的握手信號。在客戶機和服務器之間建立正常的TCP網(wǎng)絡連接時,客戶機首先發(fā)出一個SYN消息,服務器使用SYN+ACK應答表示接收到了這個消息,最后客戶機再以ACK消息響應。這樣在客戶機和服務器之間才能建立起可靠的TCP連接,數(shù)據(jù)才可以在客戶機和服務器之間傳遞。
      [0057]優(yōu)選地,步驟211之后,還可包括:若不存在異常,則進行步驟215。
      [0058]服務器狀態(tài)例如可以包括服務器的CPU使用率、服務器的內(nèi)存占用率等。
      [0059]判斷服務器狀態(tài)是否存在異常時可以采用如下方法:獲取服務器的CPU使用率和服務器的內(nèi)存占用率;判斷是否至少滿足條件⑴和(ii)中的一個:(i)服務器的CPU使用率大于第一預設(shè)值;(ii)服務器的內(nèi)存占用率大于第二預設(shè)值;若至少滿足條件(i)和
      (ii)中的一個,則判定為服務器狀態(tài)存在異常,若不滿足條件(i)和(ii)中任一個,則判定為服務器狀態(tài)不存在異常。
      [0060]當然,本發(fā)明實施例中,也可以根據(jù)實際需要而判斷服務器的其它資源是否大于一定閾值而判定為服務器狀態(tài)出現(xiàn)異常。
      [0061]步驟213,判定為服務器存在DDoS攻擊。
      [0062]步驟215,根據(jù)得到的預設(shè)一段時間內(nèi)服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例修正預先存儲的流量基線和占比基線,進行步驟201。
      [0063]修正預先存儲的流量基線和占比基線時,也可以是分別根據(jù)得到的服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例訓練學習得出。其具體的訓練學習的方法也可以采用步驟205中所述的各種方法,此處不再贅述。
      [0064]綜上所述,本實施例提供的分布式拒絕服務攻擊檢測方法,還通過判斷服務器狀態(tài)是否存在異常,若存在異常,則判定為服務器存在DDoS攻擊,使得能夠更加準確地判斷出是否發(fā)生DDoS攻擊,并能夠判斷出流量是否符合流量基線。另外,還通過根據(jù)得到的預設(shè)一段時間內(nèi)服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例修正預先存儲的流量基線和占比基線,從而能夠利用沒有發(fā)生攻擊的檢測數(shù)據(jù),實時修正基線數(shù)據(jù),能夠使基線更加符合實際環(huán)境,確保檢測結(jié)果更加準確。
      [0065]第三實施例
      [0066]請參考圖3,其示出了本發(fā)明又一個實施例提供的分布式拒絕服務攻擊檢測方法的流程圖。該方法可以由分布式拒絕服務攻擊檢測裝置所執(zhí)行的分布式拒絕服務攻擊檢測過程;分布式拒絕服務攻擊檢測裝置可以運行在被檢測的服務器等設(shè)備上,以運行在服務器上為例,其與圖2所示的分布式拒絕服務攻擊檢測方法相似,其不同之處在于,還包括:步驟301和步驟303。
      [0067]優(yōu)選地,步驟213之后,還可包括:步驟301。
      [0068]步驟301,判定不符合占比基線的數(shù)據(jù)報文為DDoS攻擊源發(fā)出的,在服務器的流量不符合流量基線時,判定為攻擊類型為消耗服務器接收數(shù)據(jù)帶寬的攻擊,在服務器的流量符合流量基線時,判定為攻擊類型為消耗服務器資源的攻擊。
      [0069]服務器資源包括服務器的CPU、內(nèi)存等資源。
      [0070]步驟303,對DDoS攻擊源發(fā)出的數(shù)據(jù)報文進行屏蔽,并向存在DDoS攻擊的服務器發(fā)送受到攻擊的告警信息。
      [0071 ] 當判定服務器存在DDoS攻擊時,可以向存在DDoS攻擊的服務器發(fā)送“正受到DDoS攻擊,攻擊類型為消耗服務器資源的攻擊”等類似告警信息。得知DDoS攻擊源后,可以對DDoS攻擊源發(fā)出的不符合流量基線的數(shù)據(jù)報文和不符合占比基線的數(shù)據(jù)報文進行屏蔽,即不接收此數(shù)據(jù)報文。
      [0072]綜上所述,本實施例提供的分布式拒絕服務攻擊檢測方法,還通過判定不符合占比基線的數(shù)據(jù)報文為DDoS攻擊源發(fā)出的,還通過服務器的流量判斷出攻擊的類型,對DDoS攻擊源發(fā)出的數(shù)據(jù)報文進行屏蔽,并向存在DDoS攻擊的服務器發(fā)送受到攻擊的告警信息。從而可以快速、及時地阻止已經(jīng)發(fā)生的DDoS攻擊和判斷出攻擊的類型,并能及時報警通知服務器。
      [0073]以下為本發(fā)明的裝置實施例,在裝置實施例中未詳盡描述的細節(jié),可以參考上述對應的方法實施例。
      [0074]第四實施例
      [0075]請參考圖4,其示出了本發(fā)明一個實施例提供的分布式拒絕服務攻擊檢測裝置的主要架構(gòu)框圖。所述分布式拒絕服務攻擊檢測裝置,包括:解析模塊401、占比獲取模塊403、占比匹配模塊405、以及判定模塊407。
      [0076]具體地,解析模塊401,用于實時獲取服務器接收的數(shù)據(jù)報文,并對預設(shè)一段時間內(nèi)服務器接收的每個數(shù)據(jù)報文進行解析,以從每個數(shù)據(jù)報文中提取特征。
      [0077]其中,從每個數(shù)據(jù)報文中提取的特征可以包括數(shù)據(jù)報文的大小、源IP地址、目的IP地址、或數(shù)據(jù)報文所屬的協(xié)議類型等。
      [0078]占比獲取模塊403,用于根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例。
      [0079]占比匹配模塊405,用于將得到的每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例與預先存儲的占比基線進行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線。
      [0080]其中,占比基線為服務器在預設(shè)一段時間內(nèi)每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的正常占比范圍。
      [0081]判定模塊407,用于若不符合占比基線,則判定為服務器存在DDoS攻擊。
      [0082]綜上所述,本實施例提供的分布式拒絕服務攻擊檢測裝置,通過根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例,在每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不符合占比基線的情況下,則判定為服務器存在DDoS攻擊。解決了現(xiàn)有的檢測方法適應性差、誤報率高等問題,采用占比信息檢測是否存在DDoS攻擊的方式,通過判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合占比基線而去除誤報,使得DDoS攻擊易于發(fā)現(xiàn)。從而能夠快速、準確、及時地檢測出是否發(fā)生DDoS攻擊,并且能夠適應于各種復雜的實際環(huán)境,例如不需要太多數(shù)據(jù)報文個數(shù)的DDoS攻擊等環(huán)境。
      [0083]第五實施例
      [0084]請參考圖5,其示出了本發(fā)明另一個實施例提供的分布式拒絕服務攻擊檢測裝置的主要架構(gòu)框圖。其與圖4所示的分布式拒絕服務攻擊檢測裝置相似,其不同之處在于,分布式拒絕服務攻擊檢測裝置還可以包括:流量獲取模塊501、流量匹配模塊503。所述判定模塊407,可以包括:異常判斷模塊505、攻擊判定模塊507及修正模塊509。異常判斷模塊505,還可以包括:獲取模塊511以及判斷模塊513。
      [0085]流量獲取模塊501,用于根據(jù)從每個數(shù)據(jù)報文中提取的特征得到預設(shè)一段時間內(nèi)服務器的流量。
      [0086]服務器的流量包括但不限于:預設(shè)一段時間內(nèi)服務器接收的數(shù)據(jù)報文總數(shù)和數(shù)據(jù)報文的總大小。
      [0087]流量匹配模塊503,用于將得到的服務器的流量與預先存儲的流量基線進行匹配,判斷服務器的流量是否符合流量基線。流量基線可以是服務器在預設(shè)一段時間內(nèi)的正常流量范圍。
      [0088]優(yōu)選地,占比匹配模塊405,還用于若服務器的流量在預設(shè)一段時間內(nèi)的正常流量范圍內(nèi),則判定為服務器的流量符合流量基線;若服務器的流量不在預設(shè)一段時間內(nèi)的正常流量范圍內(nèi),則判定為服務器的流量不符合流量基線。
      [0089]優(yōu)選地,流量匹配模塊503,還用于若每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例在正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例符合占比基線,若每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不在正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不符合占比基線。
      [0090]異常判斷模塊505,用于判斷服務器狀態(tài)是否存在異常。
      [0091]攻擊判定模塊507,用于若存在異常,則判定為服務器存在DDoS攻擊。
      [0092]修正模塊509,用于若不存在異常,則根據(jù)得到的預設(shè)一段時間內(nèi)服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例修正預先存儲的流量基線和占比基線。
      [0093]優(yōu)選地,異常判斷模塊505,還可以包括:獲取模塊511以及判斷模塊513。
      [0094]獲取模塊511,用于獲取服務器的CPU使用率和服務器的內(nèi)存占用率。
      [0095]判斷模塊513,用于判斷是否至少滿足條件⑴和(ii)中的一個:⑴服務器的(PU使用率大于第一預設(shè)值;(ii)服務器的內(nèi)存占用率大于第二預設(shè)值;若至少滿足條件
      (i)和(ii)中的一個,則判定為服務器狀態(tài)存在異常;若不滿足條件(i)和(ii)中任一個,則判定為服務器狀態(tài)不存在異常。
      [0096]綜上所述,本實施例提供的分布式拒絕服務攻擊檢測裝置,還通過判斷服務器狀態(tài)是否存在異常,若存在異常,則判定為服務器存在DDoS攻擊,使得能夠更加準確地判斷出是否發(fā)生DDoS攻擊,并能夠判斷出流量是否符合流量基線。另外,還通過根據(jù)得到的預設(shè)一段時間內(nèi)服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例修正預先存儲的流量基線和占比基線,從而能夠利用沒有發(fā)生攻擊的檢測數(shù)據(jù),實時修正基線數(shù)據(jù),能夠使基線更加符合實際環(huán)境,確保檢測結(jié)果更加準確。
      [0097]第六實施例
      [0098]請參考圖6,其示出了本發(fā)明又一個實施例提供的分布式拒絕服務攻擊檢測裝置的主要架構(gòu)框圖。其與圖5所示的分布式拒絕服務攻擊檢測裝置相似,其不同之處在于,所述分布式拒絕服務攻擊檢測裝置,還可以包括:攻擊信息確定模塊601以及處理模塊603。
      [0099]攻擊信息確定模塊601,用于判定不符合占比基線的數(shù)據(jù)報文為DDoS攻擊源發(fā)出的,在服務器的流量不符合流量基線時,判定為攻擊類型為消耗服務器接收數(shù)據(jù)帶寬的攻擊,在服務器的流量符合流量基線時,判定為攻擊類型為消耗服務器資源的攻擊。
      [0100]告警模塊603,用于對DDoS攻擊源發(fā)出的數(shù)據(jù)報文進行屏蔽,并向存在DDoS攻擊的服務器發(fā)送受到攻擊的告警信息。
      [0101]綜上所述,本實施例提供的分布式拒絕服務攻擊檢測裝置,還通過判定不符合占比基線的數(shù)據(jù)報文為DDoS攻擊源發(fā)出的,還通過服務器的流量判斷出攻擊的類型,對DDoS攻擊源發(fā)出的數(shù)據(jù)報文進行屏蔽,并向存在DDoS攻擊的服務器發(fā)送受到攻擊的告警信息。從而可以快速、及時地阻止已經(jīng)發(fā)生的DDoS攻擊和判斷出攻擊的類型,并能及時報警通知服務器。
      [0102]第七實施例
      [0103]請參考圖7,其示出了一種終端的結(jié)構(gòu)框圖。如圖7所示,以分布式拒絕服務攻擊檢測裝置運行在終端上作為示例,終端包括存儲器702、存儲控制器704,一個或多個(圖中僅示出一個)處理器706、外設(shè)接口 708、射頻模塊710、攝像模塊714、音頻模塊716、觸控屏幕718以及按鍵模塊720。這些組件通過一條或多條通訊總線/信號線相互通訊。
      [0104]可以理解,圖7所示的結(jié)構(gòu)僅為示意,終端還可包括比圖7中所示更多或者更少的組件,或者具有與圖7所示不同的配置。圖7中所示的各組件可以采用硬件、軟件或其組合實現(xiàn)。
      [0105]存儲器702可用于存儲軟件程序以及模塊,如本發(fā)明實施例中的在終端內(nèi)進行分布式拒絕服務攻擊檢測方法對應的程序指令/模塊(例如,分布式拒絕服務攻擊檢測裝置中的解析模塊401、占比獲取模塊403、占比匹配模塊405、判定模塊407、流量獲取模塊501、流量匹配模塊503、攻擊信息確定模塊601以及處理模塊603等),處理器702通過運行存儲在存儲器704內(nèi)的軟件程序以及模塊,從而執(zhí)行各種功能應用以及數(shù)據(jù)處理,即實現(xiàn)上述的在終端內(nèi)進行分布式拒絕服務攻擊檢測方法。
      [0106]存儲器702可包括高速隨機存儲器,還可包括非易失性存儲器,如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實例中,存儲器702可進一步包括相對于處理器706遠程設(shè)置的存儲器,這些遠程存儲器可以通過網(wǎng)絡連接至終端。上述網(wǎng)絡的實例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。處理器706以及其他可能的組件對存儲器702的訪問可在存儲控制器704的控制下進行。
      [0107]外設(shè)接口 708將各種輸入/輸入裝置耦合至CPU以及存儲器702。處理器706運行存儲器702內(nèi)的各種軟件、指令以執(zhí)行終端的各種功能以及進行數(shù)據(jù)處理。
      [0108]在一些實施例中,外設(shè)接口 708,處理器706以及存儲控制器704可以在單個芯片中實現(xiàn)。在其他一些實例中,他們可以分別由獨立的芯片實現(xiàn)。
      [0109]射頻模塊710用于接收以及發(fā)送電磁波,實現(xiàn)電磁波與電信號的相互轉(zhuǎn)換,從而與通訊網(wǎng)絡或者其他設(shè)備進行通訊。射頻模塊710可包括各種現(xiàn)有的用于執(zhí)行這些功能的電路元件,例如,天線、射頻收發(fā)器、數(shù)字信號處理器、加密/解密芯片、用戶身份模塊(SIM)卡、存儲器等等。射頻模塊710可與各種網(wǎng)絡如互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、無線網(wǎng)絡進行通訊或者通過無線網(wǎng)絡與其他設(shè)備進行通訊。上述的無線網(wǎng)絡可包括蜂窩式電話網(wǎng)、無線局域網(wǎng)或者城域網(wǎng)。上述的無線網(wǎng)絡可以使用各種通信標準、協(xié)議及技術(shù),包括但并不限于全球移動通信系統(tǒng)(Global System for Mobile Communicat1n, GSM)、增強型移動通信技術(shù)(Enhanced Data GSM Environment, EDGE),寬帶碼分多址技術(shù)(wideband code divis1nmultiple access, W-CDMA),碼分多址技術(shù)(Code divis1n access, CDMA)、時分多址技術(shù)(time divis1n multiple access, TDMA),藍牙,無線保真技術(shù)(Wireless, Fidelity,WiFi)(如美國電氣和電子工程師協(xié)會標準IEEE 802.11a, IEEE 802.lib, IEEE802.1lg和/或 IEEE 802.lln)、網(wǎng)絡電話(Voice over internet protocal, VoIP)、全球微波互聯(lián)接入(Worldwide Interoperability for Microwave Access,W1-Max)、其他用于郵件、即時通訊及短消息的協(xié)議,以及任何其他合適的通訊協(xié)議,甚至可包括那些當前仍未被開發(fā)出來的協(xié)議。
      [0110]攝像模塊714用于拍攝照片或者視頻。拍攝的照片或者視頻可以存儲至存儲器702內(nèi),并可通過射頻模塊710發(fā)送。
      [0111]音頻模塊716向用戶提供音頻接口,其可包括一個或多個麥克風、一個或者多個揚聲器以及音頻電路。音頻電路從外設(shè)接口 708處接收聲音數(shù)據(jù),將聲音數(shù)據(jù)轉(zhuǎn)換為電信息,將電信息傳輸至揚聲器。揚聲器將電信息轉(zhuǎn)換為人耳能聽到的聲波。音頻電路還從麥克風處接收電信息,將電信號轉(zhuǎn)換為聲音數(shù)據(jù),并將聲音數(shù)據(jù)傳輸至外設(shè)接口 708中以進行進一步的處理。音頻數(shù)據(jù)可以從存儲器702處或者通過射頻模塊710獲取。此外,音頻數(shù)據(jù)也可以存儲至存儲器702中或者通過射頻模塊710進行發(fā)送。在一些實例中,音頻模塊716還可包括一個耳機播孔,用于向耳機或者其他設(shè)備提供音頻接口。
      [0112]觸控屏幕718在終端與用戶之間同時提供一個輸出及輸入界面。具體地,觸控屏幕718向用戶顯示視頻輸出,這些視頻輸出的內(nèi)容可包括文字、圖形、視頻、及其任意組合。一些輸出結(jié)果是對應于一些用戶界面對象。觸控屏幕718還接收用戶的輸入,例如用戶的點擊、滑動等手勢操作,以便用戶界面對象對這些用戶的輸入做出響應。檢測用戶輸入的技術(shù)可以是基于電阻式、電容式或者其他任意可能的觸控檢測技術(shù)。觸控屏幕718顯示單元的具體實例包括但并不限于液晶顯示器或發(fā)光聚合物顯示器。
      [0113]按鍵模塊720同樣提供用戶向終端進行輸入的接口,用戶可以通過按下不同的按鍵以使終端執(zhí)行不同的功能。
      [0114]此外,本發(fā)明實施例還提供一種計算機可讀存儲介質(zhì),其內(nèi)存儲有計算機可執(zhí)行指令,上述的計算機可讀存儲介質(zhì)例如為非易失性存儲器例如光盤、硬盤、或者閃存。上述的計算機可執(zhí)行指令用于讓計算機或者類似的運算裝置完成上述的分布式拒絕服務攻擊檢測方法。
      [0115]以上所述,僅是本發(fā)明的較佳實施例而已,并非對本發(fā)明作任何形式上的限制,雖然本發(fā)明已以較佳實施例揭露如上,然而并非用以限定本發(fā)明,任何熟悉本專業(yè)的技術(shù)人員,在不脫離本發(fā)明技術(shù)方案范圍內(nèi),當可利用上述揭示的技術(shù)內(nèi)容作出些許更動或修飾為等同變化的等效實施例,但凡是未脫離本發(fā)明技術(shù)方案內(nèi)容,依據(jù)本發(fā)明的技術(shù)實質(zhì)對以上實施例所作的任何簡單修改、等同變化與修飾,均仍屬于本發(fā)明技術(shù)方案的范圍內(nèi)。
      【權(quán)利要求】
      1.一種分布式拒絕服務攻擊檢測方法,其特征在于,所述分布式拒絕服務攻擊檢測方法包括: 實時獲取服務器接收的數(shù)據(jù)報文,并對預設(shè)一段時間內(nèi)服務器接收的每個數(shù)據(jù)報文進行解析,以從每個數(shù)據(jù)報文中提取特征; 根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例; 將得到的每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例與預先存儲的占比基線進行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合所述占比基線; 若不符合所述占比基線,則判定為所述服務器存在DDoS攻擊。
      2.根據(jù)權(quán)利要求1所述的分布式拒絕服務攻擊檢測方法,其特征在于,所述占比基線為服務器在所述預設(shè)一段時間內(nèi)每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的正常占比范圍。
      3.根據(jù)權(quán)利要求1所述的分布式拒絕服務攻擊檢測方法,其特征在于,根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例之后,還包括: 根據(jù)從每個數(shù)據(jù)報文中提取的特征得到所述預設(shè)一段時間內(nèi)服務器的流量; 將得到的服務器的流量與預先存儲的流量基線進行匹配,判斷所述服務器的流量是否符合所述流量基線; 其中,所述服務器的流量包括所述預設(shè)一段時間內(nèi)所述服務器接收的數(shù)據(jù)報文總數(shù)和數(shù)據(jù)報文的總大小,所述流量基線為服務器在所述預設(shè)一段時間內(nèi)的正常流量范圍。
      4.根據(jù)權(quán)利要求3所述的分布式拒絕服務攻擊檢測方法,其特征在于,判斷所述服務器的流量是否符合所述流量基線中,包括: 若所述服務器的流量在所述預設(shè)一段時間內(nèi)的正常流量范圍內(nèi),則判定為所述服務器的流量符合所述流量基線; 若所述服務器的流量不在所述預設(shè)一段時間內(nèi)的正常流量范圍內(nèi),則判定為所述服務器的流量不符合所述流量基線。
      5.根據(jù)權(quán)利要求3所述的分布式拒絕服務攻擊檢測方法,其特征在于,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合所述占比基線中,包括: 若每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例在所述正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例符合所述占比基線,若每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不在所述正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不符合所述占比基線。
      6.根據(jù)權(quán)利要求3所述的分布式拒絕服務攻擊檢測方法,其特征在于,若不符合所述占比基線中,包括: 判斷服務器狀態(tài)是否存在異常; 若存在異常,則判定為所述服務器存在DDoS攻擊; 若不存在異常,則根據(jù)得到的所述預設(shè)一段時間內(nèi)服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例修正預先存儲的所述流量基線和所述占比基線。
      7.根據(jù)權(quán)利要求6所述的分布式拒絕服務攻擊檢測方法,其特征在于,判斷所述服務器狀態(tài)是否存在異常中,包括: 獲取所述服務器的CPU使用率和所述服務器的內(nèi)存占用率; 判斷是否至少滿足條件(i)和(ii)中的一個:(i)所述服務器的CPU使用率大于第一預設(shè)值;(ii)所述服務器的內(nèi)存占用率大于第二預設(shè)值; 若至少滿足條件(i)和(ii)中的一個,則判定為所述服務器狀態(tài)存在異常; 若不滿足條件(i)和(ii)中任一個,則判定為所述服務器狀態(tài)不存在異常。
      8.根據(jù)權(quán)利要求3所述的分布式拒絕服務攻擊檢測方法,其特征在于,判定為所述服務器存在DDoS攻擊之后,還包括: 判定不符合所述占比基線的數(shù)據(jù)報文為DDoS攻擊源發(fā)出的,在所述服務器的流量不符合所述流量基線時,判定為攻擊類型為消耗服務器接收數(shù)據(jù)帶寬的攻擊,在所述服務器的流量符合所述流量基線時,判定為攻擊類型為消耗服務器資源的攻擊; 對所述DDoS攻擊源發(fā)出的數(shù)據(jù)報文進行屏蔽,并向存在DDoS攻擊的服務器發(fā)送受到攻擊的告警信息。
      9.根據(jù)權(quán)利要求1所述的分布式拒絕服務攻擊檢測方法,其特征在于,從每個數(shù)據(jù)報文中提取的特征包括數(shù)據(jù)報文的大小、源IP地址、目的IP地址、或數(shù)據(jù)報文所屬的協(xié)議類型。
      10.一種分布式拒絕服務攻擊檢測裝置,其特征在于,所述分布式拒絕服務攻擊檢測裝置,包括: 解析模塊,用于實時獲取服務器接收的數(shù)據(jù)報文,并對預設(shè)一段時間內(nèi)服務器接收的每個數(shù)據(jù)報文進行解析,以從每個數(shù)據(jù)報文中提取特征; 占比獲取模塊,用于根據(jù)從每個數(shù)據(jù)報文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例; 占比匹配模塊,用于將得到的每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例與預先存儲的占比基線進行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例是否符合所述占比基線; 判定模塊,用于若不符合所述占比基線,則判定為所述服務器存在DDoS攻擊。
      11.根據(jù)權(quán)利要求10所述的分布式拒絕服務攻擊檢測裝置,其特征在于,所述占比基線為服務器在所述預設(shè)一段時間內(nèi)每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例的正常占比范圍。
      12.根據(jù)權(quán)利要求10所述的分布式拒絕服務攻擊檢測裝置,其特征在于,所述分布式拒絕服務攻擊檢測裝置,還包括: 流量獲取模塊,用于根據(jù)從每個數(shù)據(jù)報文中提取的特征得到所述預設(shè)一段時間內(nèi)服務器的流量; 流量匹配模塊,用于將得到的服務器的流量與預先存儲的流量基線進行匹配,判斷所述服務器的流量是否符合所述流量基線; 其中,所述服務器的流量包括所述預設(shè)一段時間內(nèi)所述服務器接收的數(shù)據(jù)報文總數(shù)和數(shù)據(jù)報文的總大小,所述流量基線為服務器在所述預設(shè)一段時間內(nèi)的正常流量范圍。
      13.根據(jù)權(quán)利要求12所述的分布式拒絕服務攻擊檢測裝置,其特征在于,所述流量匹配模塊,還用于若所述服務器的流量在所述預設(shè)一段時間內(nèi)的正常流量范圍內(nèi),則判定為所述服務器的流量符合所述流量基線;若所述服務器的流量不在所述預設(shè)一段時間內(nèi)的正常流量范圍內(nèi),則判定為所述服務器的流量不符合所述流量基線。
      14.根據(jù)權(quán)利要求12所述的分布式拒絕服務攻擊檢測裝置,其特征在于,所述占比匹配模塊,還用于若每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例在所述正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例符合所述占比基線,若每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不在所述正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例不符合所述占比基線。
      15.根據(jù)權(quán)利要求12所述的分布式拒絕服務攻擊檢測裝置,其特征在于,所述判定模塊,包括: 異常判斷模塊,用于判斷服務器狀態(tài)是否存在異常; 攻擊判定模塊,用于若存在異常,則判定為所述服務器存在DDoS攻擊; 修正模塊,用于若不存在異常,則根據(jù)得到的所述預設(shè)一段時間內(nèi)服務器的流量和每種協(xié)議類型的數(shù)據(jù)報文個數(shù)占數(shù)據(jù)報文總數(shù)的比例修正預先存儲的所述流量基線和所述占比基線。
      16.根據(jù)權(quán)利要求15所述的分布式拒絕服務攻擊檢測裝置,其特征在于,所述異常判斷模塊,包括: 獲取模塊,用于獲取所述服務器的CPU使用率和所述服務器的內(nèi)存占用率; 判斷模塊,用于判斷是否至少滿足條件⑴和(ii)中的一個:⑴所述服務器的CPU使用率大于第一預設(shè)值;(ii)所述服務器的內(nèi)存占用率大于第二預設(shè)值;若至少滿足條件(i)和(ii)中的一個,則判定為所述服務器狀態(tài)存在異常;若不滿足條件⑴和(ii)中任一個,則判定為所述服務器狀態(tài)不存在異常。
      17.根據(jù)權(quán)利要求12所述的分布式拒絕服務攻擊檢測裝置,其特征在于,所述分布式拒絕服務攻擊檢測裝置,還包括: 攻擊信息確定模塊,用于判定不符合所述占比基線的數(shù)據(jù)報文為DDoS攻擊源發(fā)出的,在所述服務器的流量不符合所述流量基線時,判定為攻擊類型為消耗服務器接收數(shù)據(jù)帶寬的攻擊,在所述服務器的流量符合所述流量基線時,判定為攻擊類型為消耗服務器資源的攻擊; 處理模塊,用于對所述DDoS攻擊源發(fā)出的數(shù)據(jù)報文進行屏蔽,并向存在DDoS攻擊的服務器發(fā)送受到攻擊的告警信息。
      18.根據(jù)權(quán)利要求10所述的分布式拒絕服務攻擊檢測裝置,其特征在于,從每個數(shù)據(jù)報文中提取的特征包括數(shù)據(jù)報文的大小、源IP地址、目的IP地址、或數(shù)據(jù)報文所屬的協(xié)議類型。
      【文檔編號】H04L12/26GK104348811SQ201310337323
      【公開日】2015年2月11日 申請日期:2013年8月5日 優(yōu)先權(quán)日:2013年8月5日
      【發(fā)明者】辛霄, 陳曦 申請人:深圳市騰訊計算機系統(tǒng)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1