[发明专利]一种基于混杂模式的DDoS攻击检测方法及装置无效
| 申请号: | 201110081013.2 | 申请日: | 2011-03-31 |
| 公开(公告)号: | CN102104611A | 公开(公告)日: | 2011-06-22 |
| 发明(设计)人: | 陈庶樵;张博;伊鹏;王鹏;于婧;王保进;王雨;张风雨;程东年;赵靓 | 申请(专利权)人: | 中国人民解放军信息工程大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/56;H04L12/26 |
| 代理公司: | 郑州大通专利商标代理有限公司 41111 | 代理人: | 白毅明 |
| 地址: | 450002 *** | 国省代码: | 河南;41 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 混杂 模式 ddos 攻击 检测 方法 装置 | ||
1.一种基于混杂模式的DDoS攻击检测方法,其特征是:对DDoS数据库中的流量采用基于报文和流双尺度统计的条件下,采用误用检测和异常检测相结合的混杂模式实现对流量进行检测,生成DDoS攻击告警消息,该混杂模式采用报文检测与流检测并行,异常检测与误用检测串行的方式进行检测。
2.根据权利要求1所述的基于混杂模式的DDoS攻击检测方法,其特征是:在开始时误用检测模式中的特征样本较少的情况下,采用异常检测的方法对DDoS攻击进行首次发现,随着特征样本的不断增多,对DDoS攻击的检测转换到采用误用检测的方法。
3.根据权利要求1或2所述的基于混杂模式的DDoS攻击检测方法,其特征是:基于报文的异常检测,以真实的非异常的历史报文统计值作为基准数据,计算出单位时间内各类型数据包占数据包总数的比例分布和统计个数,预测当前时刻各类数据包比例分布和统计个数的阈值,所述阈值根据“滑动加权平均”算法计算得到,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度,用预测得到的阈值与当前时刻的数据包比例分布和统计个数比对,对于某单位时间内异常的数据包进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息;
基于流的异常检测,以真实的非异常的历史流统计值作为基准数据,计算出单位时间内各类型流占流总数的比例分布和统计个数,预测当前时刻各类流比例分布和统计个数的阈值,所述阈值根据“滑动加权平均”算法计算得到,其滑动窗口采用秒级、分钟级、小时级、天级四个粒度;用预测得到的阈值与当前时刻的流比例分布和统计个数比对,对于某单位时间内异常的流进行攻击分析,基于现有的DDoS攻击特征知识库,判断是否产生DDoS攻击,并记录相应的特征信息。
4.根据权利要求3所述的基于混杂模式的DDoS攻击检测方法,其特征是:基于报文的误用检测,摘录典型的基于报文的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当数据包比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击;
基于流的误用检测,摘录典型的基于流的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当流比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击。
5.根据权利要求1或2所述的基于混杂模式的DDoS攻击检测方法,其特征是:基于报文误用检测,摘录典型的基于报文的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当数据包比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击;
基于流的误用检测,摘录典型的基于流的异常检测得出的DDoS攻击异常特征值放入误用模式特征库,作为误用模式的检测特征,当流比例分布和统计个数的特征与误用检测特征库中的某个特征相同时,判断产生DDoS攻击。
6.根据权利要求1、2或4所述的基于混杂模式的DDoS攻击检测方法,其特征是:告警信息的推送采用无插件服务器推送技术,保持原有的HTTP协议,利用与用户Web浏览器已经打开的HTTP连接,根据自己的数据更新,随时地向客户端发送告警消息。
7.一种基于混杂模式的DDoS攻击检测装置,其特征是:包括流量监控模块、DDoS数据库、混杂检测模块、告警推送模块和Web模块,其中:
1)流量监控模块的复制流量入口与外部分光设备相连,接收分光设备复制的链路流量;
2)DDoS数据库通过数据库接口将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;
3)混杂检测模块通过混杂检测模块接口连接告警推送模块;
4)告警推送模块通过告警内容推送模块接口外接网关设备
5)Web模块分别通过接口与DDoS数据库和混杂检测模块交互连接。
8.根据权利要求7所述的基于混杂模式的DDoS攻击检测装置,其特征是:
所述流量监控模块,通过配置指定的统计策略,对客户流量进行报文和流统计;并将流量统计结果上报给DDoS数据库,同时接收DDoS数据库对流量监控模块统计策略配置信息;
所述的DDoS数据库,对流量监控模块进行策略配置,存储流量监控模块实时上报的统计值,将数据库中的表格信息提供给混杂检测模块,同时接收并存储混杂检测模块的检测结果;
所述的混杂检测模块,对DDoS数据库中的流量进行基于报文和流的统计分析,结合DDoS攻击异常检测和误用检测算法对异常流量进行检测,生成DDoS攻击告警消息;
所述的告警推送模块,将告警信息发送到外部网关,对用户进行DDoS告警消息的推送;根据自己的数据更新,利用已有的HTTP连接随时地向客户端发送最新的告警消息;
所述的Web模块,从DDoS数据库获得基于报文的统计信息、统计策略信息,对统计策略、实时流量信息、预测流量信息和DDoS告警消息进行多维展示。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军信息工程大学,未经中国人民解放军信息工程大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201110081013.2/1.html,转载请声明来源钻瓜专利网。
