[发明专利]DDoS攻击检测方法、装置、设备及计算机可读存储介质有效
| 申请号: | 202110817481.5 | 申请日: | 2021-07-19 |
| 公开(公告)号: | CN113596001B | 公开(公告)日: | 2023-04-28 |
| 发明(设计)人: | 李淑贤;李金星;顾宁伦;谢懿;魏来;李海明;师文 | 申请(专利权)人: | 中移(杭州)信息技术有限公司;中国移动通信集团有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 深圳市世纪恒程知识产权代理事务所 44287 | 代理人: | 晏波 |
| 地址: | 311100 浙江省杭州市余*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | ddos 攻击 检测 方法 装置 设备 计算机 可读 存储 介质 | ||
1.一种DDoS攻击检测方法,其特征在于,所述DDoS攻击检测方法包括以下步骤:
获取多个采样间隔对应的IP流平均长度,获取各个采样间隔对应的IP包流入流出比增长速率,以及获取各个采样间隔对应的源IP地址熵;
将每一个采样间隔对应的IP流平均长度、IP包流入流出比增长速率以及源IP地址熵,作为一个样本特征向量,获得训练样本集;
将训练样本集中的样本特征向量输入预训练的分类模型进行模型训练,获得各个样本特征向量对应的分类结果;
若训练结果包括异常流量,则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量;
获取DDoS攻击流量的采样间隔对应的实际流量,获取所述实际流量对应的目标时刻,在预设天内的历史流量中,获取所述目标时刻对应的目标历史流量;
确定各个目标历史流量的流量均值,并基于所述流量均值以及所述实际流量,确定所述DDoS攻击流量对应的差分流量,差分流量的公式为:
其中,Δ为差分流量,ω为常数,d为预设天的天数,qi为第i天目标时刻的目标历史流量,qk为实际流量,i的范围为1~d;
若所述差分流量大于预设阈值,则确定所述DDoS攻击流量为轻度攻击流量。
2.如权利要求1所述的DDoS攻击检测方法,其特征在于,所述获取多个采样间隔对应的IP流平均长度的步骤包括:
获取每一个采样间隔内IP流的第一数量以及IP流所包括IP包的总个数,其中,所述IP流为具有相同五元组的报文集合;
基于所述第一数量以及所述总个数,分别确定每一个采样间隔对应的IP流平均长度。
3.如权利要求1所述的DDoS攻击检测方法,其特征在于,获取各个采样间隔对应的IP包流入流出比增长速率的步骤包括:
获取每一个采样间隔的第一IP包流入流出比,以及每一个采样间隔的前一采样间隔的第二IP包流入流出比;
基于所述第一IP包流入流出比以及所述第二IP包流入流出比,分别确定每一个采样间隔对应的IP包流入流出比增长速率。
4.如权利要求3所述的DDoS攻击检测方法,其特征在于,所述获取每一个采样间隔的第一IP包流入流出比的步骤包括:
获取每一个采样间隔内IP包的流入数量以及流出数量;
基于所述流入数量以及流出数量,分别确定每一个采样间隔对应的第一IP包流入流出比。
5.如权利要求1所述的DDoS攻击检测方法,其特征在于,所述获取各个采样间隔对应的源IP地址熵的步骤包括:
获取每一个采样间隔内IP包的流入数量以及IP流对应的源IP地址集,并获取每一个采样间隔内各个源IP地址在流入IP包中的出现次数;
基于所述出现次数以及所述流入数量,分别确定每一个采样间隔对应的源IP地址熵。
6.如权利要求1至5任一项所述的DDoS攻击检测方法,其特征在于,所述基于所述流量均值以及所述实际流量,确定所述DDoS攻击流量对应的差分流量的步骤之后,还包括:
若所述差分流量小于或等于预设阈值,则确定所述DDoS攻击流量为重度攻击流量。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中移(杭州)信息技术有限公司;中国移动通信集团有限公司,未经中移(杭州)信息技术有限公司;中国移动通信集团有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110817481.5/1.html,转载请声明来源钻瓜专利网。
