一種DDoS攻擊檢測方法、系統、設備及介質技術方案

本發明專利技術公開了一種DDoS攻擊檢測方法、系統、設備及介質，涉及計算機網絡與信息安全技術領域。該方法包括：獲取目標網絡中的各局部檢測設備發送的異常警報信息；異常警報信息包括異常聚合流標識、異常發生時間、對應的設備標識和對應的位選擇哈希函數的構造參數；根據各異常警報信息分別確定各局部檢測設備的異常爆發期；根據各局部檢測設備的異常爆發期的重疊情況判斷目標網絡中是否存在DDoS攻擊；若是，則確定DDoS攻擊的攻擊時間段，并采用地址智能重構算法，根據DDoS攻擊的攻擊時間段內的各異常警報信息確定受害者IP地址。本發明專利技術能夠實現快速、準確地檢測網絡中的DDoS攻擊以及識別攻擊受害者。別攻擊受害者。別攻擊受害者。

【技術實現步驟摘要】
一種DDoS攻擊檢測方法、系統、設備及介質


[0001]本專利技術涉及計算機網絡與信息安全
，特別是涉及一種DDoS攻擊檢測方法、系統、設備及介質。

技術介紹

[0002]隨著云計算在互聯網上變得無處不在，它為許多嚴重的攻擊打開了大門，特別是分布式拒絕服務(Distributed Denial ofService,DDoS)攻擊。DDoS攻擊是云安全面臨的最嚴重威脅之一，它對云服務的影響甚至超過對普通互聯網服務的影響。將云視為固有的多租戶基礎設施，針對單個客戶的DDoS攻擊實際上針對的是云中的所有客戶。近年來，DDoS攻擊在數量和破壞力上都在不斷發展。2010年最大的DDoS攻擊峰值帶寬超過100Gbps。如此規模的DDoS攻擊可以輕易破壞任意的在線服務，造成巨大的經濟損失。云提供商需要做更多的工作來確保其云服務的可用性。
[0003]因此，如何應對針對在線服務的DDoS攻擊成為研究的重點。然而，DDoS攻擊存在攻擊源分散、集中檢測困難等問題，現有的DDoS攻擊對抗策略受到當前互聯網不斷增長的鏈路帶寬和不明顯的DDoS攻擊源的影響，無法快速、準確地檢測網絡中的DDoS攻擊以及識別攻擊受害者。

技術實現思路

[0004]本專利技術的目的是提供一種DDoS攻擊檢測方法、系統、設備及介質，以實現快速、準確地檢測網絡中的DDoS攻擊以及識別攻擊受害者。
[0005]為實現上述目的，本專利技術提供了如下方案：
[0006]一種DDoS攻擊檢測方法，所述方法包括：
[0007]獲取目標網絡中的各局部檢測設備發送的異常警報信息；所述異常警報信息包括異常聚合流標識、異常發生時間、對應的設備標識和對應的位選擇哈希函數的構造參數；所述異常聚合流標識用于表示目標網絡流量中異常流量的聚集特征；所述聚集特征是由基于分布式概要數據結構的位選擇哈希函數確定的；
[0008]根據各所述異常警報信息分別確定各所述局部檢測設備的異常爆發期；
[0009]根據各所述局部檢測設備的異常爆發期的重疊情況判斷目標網絡中是否存在DDoS攻擊；
[0010]若是，則確定所述DDoS攻擊的攻擊時間段，并采用地址智能重構算法，根據所述DDoS攻擊的攻擊時間段內的各所述異常警報信息確定受害者IP地址；所述受害者IP地址用于定位DDoS攻擊受害者或過濾DDoS攻擊流。
[0011]可選地，所述異常警報信息的生成方法，具體包括：
[0012]采用基于分布式概要數據結構的位選擇哈希函數確定目標網絡流量的聚集特征，并將目標網絡流量中具有相同聚集特征的數據包劃分為一個聚合流，得到多個聚合流；所述聚集特征為數據包的源IP地址、目的IP地址或TCP報文標志位；
[0013]分別統計每個采樣間隔內各所述聚合流到達的報文數量，得到流量矩陣；
[0014]采用主成分分析方法，根據所述流量矩陣確定異常聚合流標識和異常發生時間；
[0015]根據所述異常聚合流標識、所述異常發生時間、對應的設備標識和對應的位選擇哈希函數的構造參數生成異常警報信息。
[0016]可選地，所述采用主成分分析方法，根據所述流量矩陣確定異常聚合流標識和異常發生時間，具體包括：
[0017]刪除所述流量矩陣中的全零列向量，得到簡化流量矩陣；
[0018]將所述簡化流量矩陣沿列向量方向劃分為多個子流量矩陣；
[0019]采用主成分分析方法，分別對各所述子流量矩陣進行異常檢測，得到多個異常子向量；
[0020]分別將各所述異常子向量在所述簡化流量矩陣中對應的行向量確定為異常行向量；
[0021]根據所述異常行向量確定異常聚合流標識和異常發生時間。
[0022]可選地，所述根據各所述局部檢測設備的異常爆發期的重疊情況判斷目標網絡中是否存在DDoS攻擊，具體包括：
[0023]統計所述異常爆發期在時間上存在重疊的所述局部檢測設備的數量；
[0024]若所述異常爆發期在時間上存在重疊的所述局部檢測設備的數量大于設定數量，則目標網絡中存在DDoS攻擊；
[0025]若所述異常爆發期在時間上存在重疊的所述局部檢測設備的數量小于或等于設定數量，則目標網絡中不存在DDoS攻擊。
[0026]可選地，所述采用地址智能重構算法，根據所述DDoS攻擊的攻擊時間段內的各所述異常警報信息確定受害者IP地址，具體包括：
[0027]根據所述DDoS攻擊的攻擊時間段內的各所述異常警報信息的異常聚合流標識和對應的位選擇哈希函數的構造參數確定IP地址離散片段集合；所述IP地址離散片段集合中包括多個比特位數相同的IP地址離散片段；
[0028]分別統計所述IP地址離散片段集合中的各比特位的值為1的IP地址離散片段的數量和各比特位的值為0的IP地址離散片段的數量，得到所述IP地址離散片段集合對重構IP地址中的各比特位的指定情況；所述重構IP地址的比特位與所述IP地址離散片段的比特位一一對應；
[0029]根據所述指定情況，將所述IP地址離散片段集合中的噪音IP地址離散片段刪除，保留主流IP地址離散片段；
[0030]根據各所述主流IP地址離散片段確定所述重構IP地址中的各比特位的狀態；所述狀態包括：確定狀態0、確定狀態1、模糊狀態和未知狀態；
[0031]從各所述主流IP地址離散片段中確定與所述重構IP地址的匹配程度最高的IP地址離散片段；
[0032]根據與所述重構IP地址的匹配程度最高的IP地址離散片段及所述重構IP地址確定受害者IP地址。
[0033]可選地，所述采用主成分分析方法，分別對各所述子流量矩陣進行異常檢測，得到多個異常子向量，具體包括：
[0034]采用主成分分析方法，分別確定各所述子流量矩陣對應的特征值和特征向量；
[0035]根據所述特征值和累積貢獻率閾值，分別將各所述子流量矩陣對應的所述特征向量劃分為正常子空間和異常子空間；所述累積貢獻率閾值是根據各所述特征向量對異常流量的貢獻率確定的；
[0036]分別計算各所述子流量矩陣的每個行向量在對應的異常子空間上的投影的歐式范數；
[0037]將所述歐式范數大于設定閾值的所述子流量矩陣的行向量作為異常子向量。
[0038]可選地，所述根據各所述主流IP地址離散片段確定所述重構IP地址中的各比特位的狀態，具體包括：
[0039]對于所述重構IP地址中的任意一個比特位，若全部所述主流IP地址離散片段中的對應比特位的值為0的比例大于或等于最高設定比例，且全部所述主流IP地址離散片段中的對應比特位的值為1的比例小于最低設定比例，則所述重構IP地址中的所述比特位的狀態為確定狀態0；所述最低設定比例小于所述最高設定比例；
[0040]對于所述重構IP地址中的任意一個比特位，若全部所述主流IP地址離散片段中的對應比特位的值為1的比例大于或等于最高設定比例，且全部所述主流IP地址離散片段中的對應比特位的值為0的比例小于最低設定比例，則所述重本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種DDoS攻擊檢測方法，其特征在于，所述方法包括：獲取目標網絡中的各局部檢測設備發送的異常警報信息；所述異常警報信息包括異常聚合流標識、異常發生時間、對應的設備標識和對應的位選擇哈希函數的構造參數；所述異常聚合流標識用于表示目標網絡流量中異常流量的聚集特征；所述聚集特征是由基于分布式概要數據結構的位選擇哈希函數確定的；根據各所述異常警報信息分別確定各所述局部檢測設備的異常爆發期；根據各所述局部檢測設備的異常爆發期的重疊情況判斷目標網絡中是否存在DDoS攻擊；若是，則確定所述DDoS攻擊的攻擊時間段，并采用地址智能重構算法，根據所述DDoS攻擊的攻擊時間段內的各所述異常警報信息確定受害者IP地址；所述受害者IP地址用于定位DDoS攻擊受害者或過濾DDoS攻擊流。2.根據權利要求1所述的DDoS攻擊檢測方法，其特征在于，所述異常警報信息的生成方法，具體包括：采用基于分布式概要數據結構的位選擇哈希函數確定目標網絡流量的聚集特征，并將目標網絡流量中具有相同聚集特征的數據包劃分為一個聚合流，得到多個聚合流；所述聚集特征為數據包的源IP地址、目的IP地址或TCP報文標志位；分別統計每個采樣間隔內各所述聚合流到達的報文數量，得到流量矩陣；采用主成分分析方法，根據所述流量矩陣確定異常聚合流標識和異常發生時間；根據所述異常聚合流標識、所述異常發生時間、對應的設備標識和對應的位選擇哈希函數的構造參數生成異常警報信息。3.根據權利要求2所述的DDoS攻擊檢測方法，其特征在于，所述采用主成分分析方法，根據所述流量矩陣確定異常聚合流標識和異常發生時間，具體包括：刪除所述流量矩陣中的全零列向量，得到簡化流量矩陣；將所述簡化流量矩陣沿列向量方向劃分為多個子流量矩陣；采用主成分分析方法，分別對各所述子流量矩陣進行異常檢測，得到多個異常子向量；分別將各所述異常子向量在所述簡化流量矩陣中對應的行向量確定為異常行向量；根據所述異常行向量確定異常聚合流標識和異常發生時間。4.根據權利要求1所述的DDoS攻擊檢測方法，其特征在于，所述根據各所述局部檢測設備的異常爆發期的重疊情況判斷目標網絡中是否存在DDoS攻擊，具體包括：統計所述異常爆發期在時間上存在重疊的所述局部檢測設備的數量；若所述異常爆發期在時間上存在重疊的所述局部檢測設備的數量大于設定數量，則目標網絡中存在DDoS攻擊；若所述異常爆發期在時間上存在重疊的所述局部檢測設備的數量小于或等于設定數量，則目標網絡中不存在DDoS攻擊。5.根據權利要求1所述的DDoS攻擊檢測方法，其特征在于，所述采用地址智能重構算法，根據所述DDoS攻擊的攻擊時間段內的各所述異常警報信息確定受害者IP地址，具體包括：根據所述DDoS攻擊的攻擊時間段內的各所述異常警報信息的異常聚合流標識和對應的位選擇哈希函數的構造參數確定IP地址離散片段集合；所述IP地址離散片段集合中包括
多個比特位數相同的IP地址離散片段；分別統計所述IP地址離散片段集合中的各比特位的值為1的IP地址離散片段的數量和各比特位的值為0的IP地址離散片段的數量，得到所述IP地址離散片段集合對重構IP地址中的各比特位的指定情況；所述重構IP地址的比特位與所述IP地址離散片段的比特位一一對應；根據所述指定情況，將所述IP地址離散片段集合中的噪音IP地址離散片段刪除，保留主流IP地址離散片段；根據各所述主流IP地址離散片段確定所述重構IP地址中的各比特位的狀態；所述狀態包括：確定狀態0、確定狀態1、模糊狀態和未知狀態；從各所述主流IP地址離散片段中確定與所述重構IP地址的匹...

【專利技術屬性】
技術研發人員：王飛，王小峰，邢倩倩，陳榮茂，陳思齊，李振興，李京秦，
申請(專利權)人：中國人民解放軍國防科技大學，
類型：發明
國別省市：