[发明专利]一种DDoS攻击识别方法、装置及存储介质

权利要求书

1.一种DDoS攻击识别方法，其特征在于：所述DDoS攻击识别方法包括以下步骤：

接收原数据；

解析原数据，获得第一处理数据；

分组，根据第一处理数据，将接收的数据分组并汇聚；

分析数据，获得第二处理数据；

得到每一个目标ip的每个协议类型的流量值，并按照目标ip汇聚出单位时间内该目标ip的所有源ip，并对每个目标ip及对应的源ip信息进行存储，得到攻击事件临时表；

预判断，根据第二处理数据，判断是否发生攻击；

预结果，根据预判断结果，生成预结果；

二次判断，根据僵木蠕模块及预结果，判断攻击是否发生；

所述二次判断，根据僵木蠕模块及预结果，判断攻击是否发生步骤中，还包括：

僵木蠕模块信息获取，在固定时间点读取包含URI字段的话单，使用内置特征库对话单流量进行识别，通过特征匹配技术手段输出指定时间范围内的僵木蠕恶意事件；

僵木蠕模块计算，在固定时间点对僵木蠕恶意事件库按照时间进行查询，查询前时间阈值N内的数据存入内存，并获取List数组，对List数组进行遍历，构造第一哈希Map；

僵木蠕模块比对，根据攻击事件临时表，构建第二哈希Map，其中key为目标ip，所述第二哈希Map的value取值规则为遍历该目标ip对应的源ip，分别计算哈希值，判断第一哈希Map中是否存在该哈希值，若存在，取出该哈希值对应的value填入，若不存在，进入比对循环；

比对循环，根据攻击事件临时表及第二哈希Map，遍历下一个源ip，计算哈希值，判断第一哈希Map中的哈希结构中是否存在该哈希值，若存在，取出该哈希值对应的value，累加到原有的value值后填入，若不存在，循环比对循环步骤，直至所有目标ip和源ip遍历结束，获得第三哈希Map，其中key为目标ip，权重值为value；

僵木蠕模块判断，遍历第三哈希Map，对于每一个目标ip，判断其权重值，若其权重值大于等于判读阈值M，则判定此IP该时间段发生了DDoS攻击，若其权重值小于M，则判定此IP该时间段没有发生DDoS攻击。

2.根据权利要求1所述DDoS攻击识别方法，其特征在于：所述接收原数据步骤中，所述原数据为NetFlow/sFlow/cFlow的设备流记录数据。

3.根据权利要求2所述DDoS攻击识别方法，其特征在于：所述解析原数据，获得第一处理数据步骤中，包括：解析每条设备流记录的五元组、协议、流量、包数、字节数。

4.根据权利要求3所述DDoS攻击识别方法，其特征在于：所述分组，根据第一处理数据，将接收的数据分组并汇聚步骤中，包括：按照目标ip，协议类型进行流量分组汇聚。

5.根据权利要求1所述DDoS攻击识别方法，其特征在于：所述分析数据，获得第二处理数据步骤中，所述第二处理数据为每一个目标ip的每个协议类型的流量值，以及该目标ip的所有源ip。

6.根据权利要求1所述DDoS攻击识别方法，其特征在于：所述预判断，根据第二处理数据，判断是否发生攻击步骤中，包括：根据每一个目标ip的每个协议类型的流量值，并按照目标ip汇聚出单位时间内该目标ip的所有源ip，结合该目标ip前时间阈值N内的历史流量信息和攻击检测规则，判断该目标ip是否发生DDoS攻击。

7.根据权利要求1-6任一项所述DDoS攻击识别方法，其特征在于：所述预结果，根据预判断结果，生成预结果步骤中，包括：若预判断结果为是，将此目标ip及对应的源ip信息进行存储，若否不进行存储。

8.一种DDoS攻击识别装置，其特征在于：所述DDoS攻击识别装置包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1-7任一项所述DDoS攻击识别方法。

9.一种计算机可读存储介质，其特征在于：所述计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如权利要求1-7任一种所述DDoS攻击识别方法。