[发明专利]一种DDOS攻击检测方法

说明书

技术领域

本发明属于计算机网路安全领域，具体涉及一种DDOS攻击检测方法。

背景技术

拒绝服务攻击，英文Denial of Service(DOS)，作为互联网上的一种攻击手段，已经有 很长的历史了，主要是利用TCP/IP协议的缺陷，将提供服务的网络的资源耗尽，导致不 能提供正常服务，是一种对网络危害巨大的恶意攻击，有些拒绝服务攻击是消耗带宽，有 些是消耗网络设备的cpu和内存，也有一些是导致系统崩溃，其中具有代表性的攻击手段 包括SYN flood，ICMP flood、UDP flood等。

最初，攻击一般以单台电脑向目标发起攻击为主，即我们常说的DOS攻击，随着技 术的发展，现在的攻击技术已经由DOS模式发展到了DDOS模式，即由统一控制的多台 电脑，使用分布式技术，同时向攻击目标发起拒绝服务攻击，称为分布式拒绝服务攻击。

到目前为止，还没有一种很好的技术能彻底检测并防御拒绝服务攻击。

发明内容

针对目前分布式拒绝服务攻击对互联网的威胁，本发明的目的在于提出一种DDOS攻 击检测方法，其可以实时的对DDOS攻击进行检测。本发明综合DDOS攻击的多个网络特 征，综合分析完成对DDOS攻击的检测。

本发明的技术方案为：

一种DDOS攻击检测方法，其步骤为：

1)数据包截取模块对接入的网络数据包信息进行解析；所述网络数据包信息包括：数 据包类型、IP地址、端口；

2)数据包特征统计模块对解析出的网络数据包信息进行统计，得到单位时间内截获到 的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应 用层不同类型的数据包数量、数据包的IP地址总数和端口总数；

3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布；

4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据，计算网络数据 的报警阈值；

5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈 值，如果超过则将该网络数据值提交到攻击分析模块；

6)攻击分析模块根据接收到的网络数据值生成检测报告。

进一步的，所述网络数据包信息还包括各种类型数据包的数据包长度；同时所述数据 包特征统计模块对解析出的各类型数据包的数据包长度进行统计。

进一步的，所述统计数据处理模块计算出单位时间内各类型数据包的平均长度。

进一步的，所述数据分析模块实时更新各类型数据包的报警阈值；所述报警阈值的计 算方法为：首先计算某类型数据包某一时刻前后一时间段内该类型数据包占总数据包比例 的平均值F1；然后计算在该时刻前几天、前几周和前几月的同一时刻中，该类型数据包占 总数据包的比例的平均值Fn；最后根据公式F=k1F1+k2F2······+knFnn×Q]]>计算该类型数据 包的报警阈值F；其中n时间段数，kn为Fn对应的权重，Q为一倍数因子，且Q＞1。

进一步的，所述网络层的数据包类型包括：IP数据包、ICMP数据包、ARP数据包； 所述传输层的数据包类型包括：TCP数据包、TCPsyn数据包、TCPsyn-ack数据包、UDP 数据包；所述应用层的数据包类型包括：DNS数据包、RTP数据包、QQ数据包、HTTP 数据包。