[发明专利]一种用于检测分布式拒绝服务的攻击流量的方法和装置

说明书

技术领域

本申请涉及计算机技术领域，具体涉及互联网技术领域，尤其涉及一种用于检测分布式拒绝服务的攻击流量的方法和装置。

背景技术

分布式拒绝服务(Distributed Denial of Service，缩写为DDoS)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标系统发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。频繁发生的DDoS对目标系统的危害较大，为了快速切换防御手段，实施有效防御，需要对DDoS进行检测。

目前常见的一些检测DDoS的方案，主要有以下两种，一种为通过镜像流量提取数据包进行分析，并在分析时设置流量阈值、数据包数量阈值；另一种为统计数据包中TTL之类的特征来判定DDoS流量是否异常。

然而，上述采用镜像流量的方法需要引入新的设备，部署成本较高，并且攻击的检出率较依赖于阈值的设定是否准确；采用统计TTL之类的特征的方法，由于强大的攻击程序能够较好的伪装相应的数据包，因此检出DDoS的比例不高。

发明内容

本申请的目的在于提出一种改进的用于检测分布式拒绝服务的攻击流量的方法和装置，来解决以上背景技术部分提到的技术问题。

第一方面，本申请提供了一种用于检测分布式拒绝服务的攻击流量的方法，所述方法包括：获取目标系统收发的数据包的摘要信息；根据所述摘要信息的特征将所述数据包分类至预设的特征类型；计算各类特征类型的数据包的数量；

间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例；将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量。

在一些实施例中，所述方法还包括：基于所述计算得到的流量比例确定攻击类型。

在一些实施例中，所述获取目标系统收发的数据包的摘要信息包括：获取当前目标系统收发的各目标IP地址的数据包的摘要信息；所述根据所述摘要信息的特征将所述数据包分类至预设的特征类型包括：根据所述各目标IP地址的数据包的摘要信息的特征将所述各目标IP地址的数据包分别分类至预设的特征类型；所述计算各类特征类型的数据包的数量包括：计算各目标IP地址对应各类特征类型的数据包数量；所述间隔预定时长计算各类特征类型的数据包的数量相对目标系统收发的数据包的数量的流量比例包括：对于各目标IP地址，间隔预定时长计算各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例；以及所述将计算得到的流量比例中超出预定模型的流量比例所对应的流量作为攻击流量包括：将计算得到的各目标IP地址的流量比例中超出预定模型的流量比例所对应的流量作为各目标IP地址的攻击流量。

在一些实施例中，所述基于所述计算得到的流量比例确定攻击类型包括：基于所述计算得到的各目标IP地址的流量比例确定各目标IP地址的攻击类型。

在一些实施例中，所述预设的特征类型包括以下一项或多项：收到的用户数据报协议包、收到的传输控制协议握手信号包、收到的传输控制协议响应信号包、收到的传输控制协议其他包、收到的因特网控制报文协议包、收到的其他网络互连协议包、发送的因特网控制协议包以及发送的传输控制协议复位信号包。

在一些实施例中，所述基于所述计算得到的流量比例确定攻击类型包括以下一项或多项：若所述计算得到的流量比例中收到的用户数据报协议包的流量比例高于预定模型中用户数据报协议包的流量比例且当前目标系统仅提供传输控制协议服务，则确定发生用户数据报协议包攻击；若所述计算得到的流量比例中收到的传输控制协议握手信号包的流量比例相对收到的传输控制协议响应信号包的流量比例超过2倍，则确定发生传输控制协议握手信号包攻击；若所述计算得到的流量比例中收到的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例，则确定发生因特网控制报文协议包攻击；若所述计算得到的流量比例中发送的因特网控制报文协议包的流量比例高于预定模型中因特网控制报文协议包的流量比例，则当发送的因特网控制报文协议包的流量小于20Mbps时，确定发生大量的扫描，当发送的因特网控制报文协议包的流量大于等于20Mbps时，确定发生随机端口攻击；若所述计算得到的流量比例中发送的传输控制协议复位信号包的流量比例高于预定模型中传输控制协议复位信号包的流量比例，则确定发生传输控制协议响应信号包攻击。

在一些实施例中，所述预定模型的流量比例由历史周期内各类特征类型的数据包数量相对目标系统收发的数据包数量的流量比例的均值得到。