[发明专利]一种DDoS攻击的检测方法及装置

权利要求书

1.一种分布式拒绝服务DDoS攻击的检测方法，其特征在于，应用于云计算环境内部，包括：

服务器基于本地的输出总流量，分别提取出与所述服务器存在连接的每一个目的IP的流量特征描述信息，其中，一个目的IP的流量特征描述信息，用于表征所述一个目的IP与所述服务器之间的输出流量的传输状态；

所述服务器分别将所述每一个目的IP的流量特征描述信息与预设的规则集合进行匹配，获得匹配结果；

所述服务器根据匹配结果，确定所述服务器是否存在发起DDoS攻击行为；

所述服务器确定自身存在DDoS攻击行为时，确定自身的DDoS攻击行为所针对的目的IP集合，并在该目的IP集合中的每一个目的IP的输出方向进行流量丢弃或者进行流量限速。

2.如权利要求1所述的方法，其特征在于，服务器基于本地的输出总流量，分别提取出与所述服务器存在连接的每一个目的IP的流量特征描述信息之前，进一步包括：

服务器计算本地的输出总流量的大小，并确定本地的输出总流量的大小达到设定阈值。

3.如权利要求2所述的方法，其特征在于，服务器确定本地的输出总流量的大小达到设定阈值，包括：

服务器判断以下任意一种统计参量达到相应阈值时，确定本地的输出总流量的大小达到设定阈值：

输出方向单位时间内发送的比特数目；

输出方向单位时间内发送的请求数据包数目；

输出方向单位时间内发送的http请求数目；

输出方向单位时间内新建连接数目。

4.如权利要求1所述的方法，其特征在于，服务器基于所述输出总流量，提取出与所述服务器存在连接的每一个目的IP的流量特征描述信息，包括：

所述服务器基于所述输出总流量，分别针对每一个目的IP提取出以下参数中的一种或任意组合作为相应的流量特征描述信息：

所述服务器到目的IP的输出流量速率；

所述服务器到目的IP的输出数据包类型；

所述服务器到目的IP的输出数据包中异常数据包的数目。

5.如权利要求1－4任一项所述的方法，其特征在于，所述服务器根据匹配结果，确定所述服务器是否存在DDoS攻击行为，包括：

所述服务器确定至少一个目的IP的流量特征描述信息中包含的各个参数，在所述规则集合中命中的规则的总数目，达到预设的命中门限时，确定所述服务器存在DDoS攻击行为。

6.如权利要求1－4任一项所述的方法，其特征在于，确定所述服务器存在DDoS攻击行为后，进一步包括：

所述服务器确定自身的DDoS攻击行为所针对的目的IP集合；

所述服务器在所述目的IP集合中的每一个目的IP的输出方向进行流量丢弃或者进行流量限速。

7.如权利要求6所述的方法，其特征在于，进一步包括：

所述服务器检测到本地的输出总流量的大小低于设定阈值时，在所述目的IP集合中的每一个目的IP的输出方向，停止流量丢弃或停止流量限速。

8.如权利要求6所述的方法，其特征在于，进一步包括：

所述服务器确定所述目的IP集合中的任意一个目的IP的流量特征描述信息与预设的规则集合不再匹配时，在所述任意一个目的IP的输出方向停止流量丢弃或停止流量限速。