CN112261019B - 分布式拒绝服务攻击检测方法、装置及存储介质 - Google Patents

Abstract

本发明公开了一种分布式拒绝服务攻击检测方法，包括：创建正常的源IP与目的IP对的历史库；获取实时网络下的源IP与目的IP对，将实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；当实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断该比例是否属于样本基线；当该比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。本发明还提供一种分布式拒绝服务攻击检测装置及计算机可读存储介质。本发明提供的分布式拒绝服务攻击检测方法，能够解决现有方法中存在的缺陷。

Description

分布式拒绝服务攻击检测方法、装置及存储介质

技术领域

本发明实施例涉及软件开发技术领域，特别涉及一种分布式拒绝服务攻击检测方法、装置及存储介质。

背景技术

当前分布式拒绝服务(Distributed Denial of Service,DDoS)攻击检测所需的数据来自于Netflow日志，该日志提供了各种网络行为数据，包括七元组信息(源ip、源端口、目的ip、目的端口、协议、包数、流量)。在获得Netflow日志数据的基础上，当前的检测技术为：对流进某个互联网协议(Internet Protocol,IP)的报文包数或者报文流量，按照每一分钟为单位建立一个阈值，当发现某一类包数或者流量异常增大，超过该阈值时，则认为受到了DDoS攻击。

现有的DDos检测技术通过“判断当前每分钟的流量或者包数是否高于自动生成的阈值”来判断是否产生DDOS攻击告警。缺陷如下：(1)无法识别来自“脉冲攻击”、“低速攻击”等DDos攻击；(2)需要3分钟才能判断是否存在DDos攻击检测，实时性不强；(3)阈值的生成方式来自经验，实践证明生成的阈值存在大量误报和漏报的情况；(4)将“Flash Crowd”(瞬间拥挤)误判为DDos攻击。

发明内容

本发明实施方式的目的在于提供一种分布式拒绝服务攻击检测方法，能够克服现有的DDoS检测技术的上述缺陷。

为解决上述技术问题，本发明的实施方式提供了一种分布式拒绝服务攻击检测方法，所述方法包括：创建正常的源IP与目的IP对的历史库；获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断所述比例是否属于样本基线；当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。

本发明的实施方式还提供了一种分布式拒绝服务攻击检测装置，包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行上述的分布式拒绝服务攻击检测方法的步骤。

本发明的实施方式还提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述分布式拒绝服务攻击检测方法的步骤。

本发明实施方式相对于现有技术而言，找到了能区别DDoS攻击与正常网络态势的特征，即通过统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断所述比例是否属于样本基线；当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。本发明实施方式不仅能检测出常见的流量攻击，还能检测出“低速攻击、脉冲攻击”，并且可以区分“Flash Crowd”情况和真实的DDoS攻击。

优选地，所述方法还包括：当所述当前网络下的源IP与目的IP对属于正常的源IP与目的IP对时，将当前网络下的源IP与目的IP对储存到所述源IP与目的IP对的历史库。

优选地，所述方法还包括：每间隔预设周期将符合预设条件的源IP与目的IP对储存到所述源IP与目的IP对的历史库，且更新所述源IP与目的IP对的历史库。

优选地，所述判断所述比例是否属于样本基线，包括：选取预定的样本群；通过K-means算法将所述比例与所述样本群进行聚2类操作，如果所述比例被单独聚成一类，则判断所述比例不属于样本基线。

优选地，所述根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对，包括：当目标源IP与目的IP对连续n天在同一单位时间内出现，且每个预设时间段的网络封包数量超过预设阈值时，则判断所述目标源IP与目的IP对属于正常的源IP与目的IP对。

优选地，所述方法还包括：在所述历史库中，通过布隆过滤器存储正常网络下的源IP与目的IP对。这样能进行“低速攻击、脉冲攻击”的检测，相对现有技术有更大的检测范围。另外，使用了布隆过滤器存储和检索历史的源IP与目的IP对，节省了存储空间，在海量数据情况下保证了高检索效率。

优选地，所述通过布隆过滤器存储正常网络下的源IP与目的IP对，包括：将所述源IP与目的IP对中的每个IP地址进行哈希计算后，保存在所述源IP与目的IP对历史库。

附图说明

一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定。

图1是根据本发明第一实施方式的分布式拒绝服务攻击检测方法的流程示意图；

图2是根据本发明第一实施方式的将源IP与目的IP对进行哈希计算的示意图；

图3是根据本发明第二实施方式的分布式拒绝服务攻击检测装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的各实施方式进行详细的阐述。然而，本领域的普通技术人员可以理解，在本发明各实施方式中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请所要求保护的技术方案。

本发明的第一实施方式涉及一种分布式拒绝服务攻击检测方法，本实施方式的核心在于，找到了能区别DDoS攻击与正常网络态势的特征，即通过统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断所述比例是否属于样本基线；当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。本发明实施方式不仅能检测出常见的流量攻击，还能检测出“低速攻击、脉冲攻击”，并且可以区分“Flash Crowd”情况和真实的DDoS攻击。下面对本实施方式的分布式拒绝服务攻击检测方法的实现细节进行具体的说明，以下内容仅为方便理解提供的实现细节，并非实施本方案的必须。本实施方式中的分布式拒绝服务攻击检测方法的流程示意图如图2所示，该方法应用于分布式拒绝服务攻击检测装置。

在本实施方式中，根据不同的需求，图2所示的流程图中的步骤的执行顺序可以改变，某些步骤可以省略。

步骤S101：创建正常的源IP与目的IP对的历史库。

在所述源IP与目的IP对历史库中，通过布隆过滤器存储正常网络下的源IP与目的IP对，具体地，所述通过布隆过滤器存储正常网络下的源IP与目的IP对，包括：将所述源IP与目的IP对中的每个IP地址进行哈希计算后，保存在所述源IP与目的IP对历史库。

由于源IP与目的IP对的历史数据是海量的，所以源IP与目的IP对历史库的建立必须考虑如何实现空间的节省和查找的高效，本实施例中，使用布隆过滤器(Bloom Filter)，进行正常流量的源IP与目的IP对历史数据的存储，实现源IP与目的IP对历史数据与实时源IP与目的IP对的比较。

布隆过滤器(Bloom Filter)是一个很长的二进制向量和一系列随机映射函数。布隆过滤器用于检索一个元素是否在一个集合中。如果想要判断一个元素是不是在一个集合里，一般思路的是将所有元素保存起来，然后通过比较确定。链表，树等等数据结构都是这种思路，事实上随着集合中元素的增加，需要的存储空间越来越大，检索速度也越来越慢。不过散列表(又叫哈希表，Hash table)的数据结构可以通过一个Hash函数将一个元素映射成一个位阵列(Bit array)中的一个点。这样，查看目标点的值是不是1就可以知道集合中有没有目标点了，这就是布隆过滤器的基本思想。因此，布隆过滤器的优点是空间效率高和查询时间快。

这样能进行“低速攻击、脉冲攻击”的检测，相对现有技术有更大的检测范围。另外，使用了布隆过滤器存储和检索历史的源IP与目的IP对，节省了存储空间，在海量数据情况下保证了高检索效率。

本实施例中，通过布隆过滤器创建源IP与目的IP对历史库，布隆过滤器的计算公式为

其中，k为布隆过滤器的哈希函数数量，m为哈希结果数组长度，n为预计存入历史库的记录数(即IP对数量)，f为Hash碰撞现象几率。

举个例子，本实施例中根据实际的预计存入历史库的数量和计算能力，选择16个哈希函数和一个64位整数(即k＝16，m＝64)。如图2所示，取已知的源IP与目的IP对，如“10.88.90.51-172.23.27.18”，用16个哈希函数进行计算，得到值分别为hi(0≤i≤15,0≤hi≤63)的16个哈希值，例如：h1＝2、h2＝61…h16＝14。将hi对应的比特位置为1，其他比特位置为0。然后将计算结果保存在所述源IP与目的IP对历史库。

步骤S102：获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较。

具体地，获取实时流量的源IP与目的IP对。通过将实时流量的源IP与目的IP对与历史库中的源IP与目的IP对进行比较即可知道实时流量的源IP与目的IP对是否为正常的源IP与目的IP对。

步骤S103：根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对。当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，执行步骤S104，当所述实时网络下的源IP与目的IP对属于正常的源IP与目的IP对时，执行步骤S105。

本实施例中，当目标源IP与目的IP对连续n天在同一单位时间内(例如，1小时)出现，且每个预设时间段的网络封包数量超过预设阈值(x)时，则判断所述目标源IP与目的IP对属于正常的源IP与目的IP对。其中，x可根据具体的业务进行设置。由于单位周期的比例基线是自动学习的，所以“x”和“n”的设置无需很精确，对DDoS检测结果影响不大。

因为运营商建造了网络，现在正在使用的网络叫现网。现网是一个动态而复杂的不断变化的实体，所以源IP与目的IP对的历史库需要不断更新。本实施例以30天为周期进行更新。在30天内，统计目标源IP与目的IP对是否连续出现3天、是否每天产生网络流量包超过12包。例如，发现源IP与目的IP对“10.88.90.51-172.23.27.18”，在30天内连续出现4天，每天超过12包网络数据包，则判断该源IP与目的IP对是正常的源IP与目的IP对，计算后存储到新的历史库中。

步骤S104：统计在单位时间内出现的非正常的源IP与目的IP对的比例。

当前的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击都是高分布式和高源IP地址伪装的，即通过随机函数产生IP地址。在一次DDoS攻击中，只有0.6％～14％的IP地址是在以前出现过，而在一次正常的瞬间拥挤(“flash crowd”)中，大约有82.9％的IP曾经发送过请求。在对网络流量的统计中发现，正常情况下，网络中出现的IP地址很大概率会在一定时期内重复出现，然而当发生DDoS攻击时，发现新IP地址会显著增加。

基于此，利用单位时间内，正常的网络态势下源IP与目的IP对的数量范围是稳定的这一网络特征，本实施例通过：建立正常网络的源IP与目的IP对历史库，从而获得实时流量在单位时间内出现的非正常源IP与目的IP对的比例，该比例不属于样本基线，则认为产生了DDoS攻击。且可以判断该异常并非“flash crowd”。

步骤S105：将当前网络下的源IP与目的IP对储存到所述源IP与目的IP对的历史库。

在优选的实施例中，还可以每间隔预设周期更新所述源IP与目的IP对的历史库。其中，预设周期可以由开发人员根据需要进行设置，例如，每间30天将符合预设条件(如30天内发现连续出现4天，每天超过12包)的源IP与目的IP对储存到所述源IP与目的IP对的历史库，且更新所述源IP与目的IP对的历史库。即，30天后，用新产生的源IP与目的IP对历史库替换旧的源IP与目的IP对历史库。

步骤S106：判断所述比例是否属于样本基线。

具体地，所述判断所述比例是否属于样本基线，包括：

选取预定的样本群；通过K-means算法将所述比例与所述样本群进行聚2类操作，如果所述比例被单独聚成一类，则判断所述比例不属于样本基线。

本实施例中，将单位周期的n个历史比例值作为样本。进行K-means聚2类操作，选择样本多的那类作为样本基线，保留基线。例如，实时统计某小时内每5秒内的非正常源IP与目的IP对的比例，从该某小时的历史比例值作为样本群得到该小时的非正常源IP与目的IP对比例基线。

因此，以单位周期为1小时计算，1天24小时，有24个比例基线。举个例子:统计每个小时的每5秒内不属于源IP与目的IP对历史库的比例。每天共有24个小时，则有24个统计时段，每个时段有n个5秒单元统计值作为样本。进行7天的学习，得到每天的16:00-17:00点，有500个5秒内的统计值作为样本群，通过计算得到500个5秒内不属于源IP与目的IP对历史库的比例分别为：t1＝2.21％t2＝1.82％t3＝2.11％t4＝5.82…t500＝1.99％。对所有的样本进行K-means算法聚2类操作，获得样本数多的那类认为是样本基线。同理，经过7天的学习，得到“0-1点”、“1-2点”等其他23个时间段的样本基线，共计24个样本基线。

本实施例中，由于单位周期的比例基线是自动学习的，减少了人工经验的干扰。

步骤S107：当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。

如16:00-17:00点的基线有2.21％、1.82％、2.11％、1.99％等400个样本，实时统计16:40:06-16:40:10的非正常IP对占比为12.1％。进行K-means聚2类操作后，12.1％被单独聚成1类，则说明该比例不属于样本基线时，则判断16:40:06-16:40:10产生了DDoS攻击。经过实验，本实施例中只需5秒即可检测出DDOS攻击，相对现有技术的方案提高了时效性。

与现有技术相比，本发明实施方式，找到了能区别DDoS攻击与正常网络态势的特征，即通过统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断所述比例是否属于样本基线；当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。本发明实施方式不仅能检测出常见的流量攻击，还能检测出“低速攻击、脉冲攻击”，并且可以区分“Flash Crowd”情况和真实的DDoS攻击。

上面各种方法的步骤划分，只是为了描述清楚，并不对步骤执行的先后顺序进行限定，而且实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。

本发明第二实施方式涉及一种分布式拒绝服务攻击检测装置，如图3所示，包括至少一个处理器301；以及，与至少一个处理器301通信连接的存储器302；其中，存储器302存储有可被至少一个处理器301执行的指令，指令被至少一个处理器301执行，以使至少一个处理器301能够执行步骤：

创建正常的源IP与目的IP对的历史库；获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断所述比例是否属于样本基线；当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。

其中，处理器301和存储器302采用总线方式连接，总线可以包括任意数量的互联的总线和桥，总线将一个或多个处理器301和存储器302的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器301处理的数据通过天线在无线介质上进行传输，进一步，天线还接收数据并将数据传送给处理器301。

处理器301负责管理总线和通常的处理，还可以提供各种功能，包括定时、外围接口、电压调节、电源管理以及其他控制功能。而存储器302可以被用于存储处理器301在执行操作时所使用的数据。

本发明的实施方式还提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现步骤：

创建正常的源IP与目的IP对的历史库；获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断所述比例是否属于样本基线；当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。

即，本领域技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域的普通技术人员可以理解，上述各实施方式是实现本发明的具体实施例，而在实际应用中，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。

Claims (9)

1.一种分布式拒绝服务攻击检测方法，其特征在于，包括：

创建正常的源IP与目的IP对的历史库；

获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；

根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；

当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；

判断所述比例是否属于样本基线；

当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击；

其中，所述根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对，包括：当目标源IP与目的IP对连续n天在同一单位时间内出现，且每个预设时间段的网络封包数量超过预设阈值时，则判断所述目标源IP与目的IP对属于正常的源IP与目的IP对。

2.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述方法，还包括：

当当前网络下的源IP与目的IP对属于正常的源IP与目的IP对时，将当前网络下的源IP与目的IP对储存到所述源IP与目的IP对的历史库。

3.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述方法，还包括：

每间隔预设周期将符合预设条件的源IP与目的IP对储存到所述源IP与目的IP对的历史库，且更新所述源IP与目的IP对的历史库。

4.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述判断所述比例是否属于样本基线，包括：

选取预定的样本群；

通过K-means算法将所述比例与所述样本群进行聚2类操作，如果所述比例被单独聚成一类，则判断所述比例不属于样本基线。

5.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述方法还包括：

在所述历史库中，通过布隆过滤器存储正常网络下的源IP与目的IP对。

6.根据权利要求5所述的分布式拒绝服务攻击检测方法，其特征在于，所述通过布隆过滤器存储正常网络下的源IP与目的IP对，包括：

将所述源IP与目的IP对中的每个IP地址进行哈希计算后，保存在所述源IP与目的IP对历史库。

7.一种分布式拒绝服务攻击检测装置，其特征在于，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行步骤：

创建正常的源IP与目的IP对的历史库；

获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；

根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；

当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；

判断所述比例是否属于样本基线；

当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击；

其中，所述根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对，包括：当目标源IP与目的IP对连续n天在同一单位时间内出现，且每个预设时间段的网络封包数量超过预设阈值时，则判断所述目标源IP与目的IP对属于正常的源IP与目的IP对。

8.根据权利要求7所述的分布式拒绝服务攻击检测装置，其特征在于，所述判断所述比例是否属于样本基线，包括：

选取预定的样本群；

通过K-means算法将所述比例与所述样本群进行聚2类操作，如果所述比例被单独聚成一类，则判断所述比例不属于样本基线。

9.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的分布式拒绝服务攻击检测方法的步骤。

Images