[发明专利]泛洪攻击检测方法及检测装置

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种泛洪攻击检测方法及检测装置。

背景技术

DDOS(Distributed Demal of Service，分布式拒绝服务攻击)攻击是泛洪(flood)攻击的其中一种，主要是指攻击者利用主控主机做跳板(可能多级多层)，控制大量受感染的主机组成攻击网络对受害主机进行大规模的拒绝服务攻击。这种攻击往往能把单个攻击者的攻击以级数形式进行放大，从而对受害主机造成重大影响，也造成网络严重拥塞。

现有技术中对DDOS攻击进行检测的一种方式是流量异常检测：流量异常检测主要根据各种协议的报文流量在正常情况下是相对平稳变化的，只有在受到特定攻击时候才会发生明显的突变。流量异常检测一般分两个阶段，一个是学习阶段，通过一些样本流量进行学习，从而建立初始分析模型；然后系统进入工作状态，采集报文流量后进行流量统计，并进行流量模型的分析，然后把分析结果和初始分析模型进行比对，两者的差异如果大于阈值则认为异常；如果是正常，则进行流量学习，不断修正初始分析模型。

现有技术中对DDOS攻击进行检测的另一种方式是发包频率检测。因为对于DDOS攻击，通常会出现报文的大流量特征，而流量通常和报文的发包频率密切相关，因此，可以统计发包频率，将统计结果和阈值进行比较，如果大于阈值则认为异常，否则认为正常。

在对现有技术的研究和实践过程中，发明人发现现有技术存在以下问题：

现有技术目前存在的检测方法检测出DDOS攻击的准确性都不太高，对于流量异常检测方式，如果攻击是小流量下的泛洪攻击，流量变化短期内变化不是特别大，如果流量分析算法简单的话可能很难检测，对于一些正常的请求，类似代理或网络地址转换nat服务，也有可能短时内流量很大，因此容易出现误检测。对于发包频率检测方式，对于小流量攻击，很难检测，对于一些正常的请求，类似代理或nat服务，也容易出现误检测。

发明内容

本发明实施例要解决的技术问题是提供一种泛洪攻击检测方法及检测装置，能够更准确的检测出泛洪攻击。

为解决上述技术问题，本发明所提供的实施例是通过以下技术方案实现的：

本发明实施例提供一种泛洪攻击检测方法，包括：获取源报文的关键字总数；获取对应所述源报文的特征参数的数目，所述源报文的关键字总数是统计设定时间内接收的携带所述关键字的源报文的数目后得到；将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较，若大于等于所述预设阈值，则判断出发生泛洪攻击；所述特征参数的数目为源报文的正文哈希字串重复数目，所述预设阈值为预设的相似阈值。

本发明实施例提供一种检测装置，包括：获取单元，用于获取源报文的关键字总数和对应所述源报文的特征参数的数目；所述源报文的关键字总数是统计设定时间内接收的携带所述关键字的源报文的数目后得到；所述特征参数的数目为源报文的正文哈希字串重复数目；处理单元，用于将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较，若大于等于所述预设阈值，则判断出发生泛洪攻击；所述预设阈值为预设的相似阈值。

上述技术方案可以看出，本发明实施例充分利用了泛洪攻击所具有的特征，获取源报文的关键字总数和对应源报文的特征参数的数目后，将特征参数的数目占所述关键字总数的比例值与预设阈值进行比较，若大于等于所述预设阈值，则判断出发生泛洪攻击，这种检测方法更为准确和简单。

附图说明

图1是本发明实施例一泛洪攻击检测方法流程图；

图2是本发明实施例数据表的数据结构示意图；

图3是本发明实施例一的应用场景示意图；

图4是本发明实施例二泛洪攻击检测方法流程图；

图5是本发明实施例二的应用场景示意图；

图6是本发明实施例检测装置结构示意图。

具体实施方式

本发明实施例提供了一种泛洪攻击检测方法，能够更准确的检测出泛洪攻击。

本发明实施例技术方案是：对同一被保护的目的主机，检测其接收的报文记录，如果检测出接收的由多个主机发送的报文的正文内容都是雷同的，则认为目的主机正遭受这些主机的DDOS攻击；如果检测出接收的由多个主机发送的报文的正文内容可以随机变换，则检测对所接收报文进行应答的响应报文，如果检测出响应报文错误率高，也认为目的主机正遭受这些主机的DDOS攻击。

以下结合附图详细介绍本发明实施例内容。

请参阅图1，是本发明实施例一泛洪攻击检测方法流程图，实施例一针对正常携带关键字的情况，包括：