[发明专利]一种DDoS攻击检测方法和装置

权利要求书

1.一种DDoS攻击检测方法，其特征在于，包括：

统计各周期内接收到的目标报文的总数；各所述周期在时间上连续；所述目标报文为目的IP地址为防护目标IP地址的报文；

计算当前报文总数变化量；所述当前报文总数变化量为当前周期内接收到的目标报文的总数与上一个周期内接收到的目标报文的总数的差值的绝对值；

判断所述当前报文总数变化量是否符合第一预设条件，包括：计算所述当前报文总数变化量与上周期报文总数变化量的差值；所述上周期报文总数变化量为上一周期内接收到的报文总数与上上一周期内接收到的目标报文的总数的差值的绝对值；判断所述当前报文总数变化量与上周期报文总数变化量的差值是否大于或等于第一阈值；若是，则确定所述当前报文总数变化量符合所述第一预设条件；若否，则确定所述当前报文总数变化量不符合所述第一预设条件；

若是，则统计各周期接收的目标报文中各自治系统发送的目标报文的占比；

计算当前报文分布变化量；所述当前报文分布变化量为各自治系统在当前周期内发送的目标报文的占比与上一周期内发送的目标报文的占比的差值的绝对值之和；

判断所述当前报文分布变化量是否符合第二预设条件，包括：计算所述当前报文分布变化量与上周期报文分布变化量的差值；所述上周期报文分布变化量为各自治系统在上周期内发送的目标报文的占比与上上一周期内发送的目标报文的占比的差值的绝对值之和；判断所述当前报文分布变化量与上周期报文分布变化量的差值是否大于或等于第二阈值；若是，则确定所述当前报文分布变化量符合所述第二预设条件；若否，则确定所述当前报文分布变化量不符合所述第二预设条件；

若是，则确定当前存在DDoS攻击。

2.根据权利要求1所述的方法，其特征在于，所述第一阈值为预设时间长度内各周期的报文总数变化量的最大值与最小值的差值；

其中，任一周期的报文总数变化量为该周期内接收到的目标报文的总数与该周期的上一个周期内接收到的目标报文的总数的差值的绝对值。

3.根据权利要求1所述的方法，其特征在于，所述第二阈值为预设时间长度内各周期的报文分布变化量的最大值与最小值之差；

其中，任一周期的报文分布变化量为各自治系统在该周期内发送的目标报文的占比与该周期的上一周期内发送的目标报文的占比的差值的绝对值之和。

4.一种DDoS攻击检测装置，其特征在于，包括：

统计模块，用于统计各周期内接收到的目标报文的总数；各所述周期在时间上连续；所述目标报文为目的IP地址为防护目标IP地址的报文；

计算模块，用于计算当前报文总数变化量；所述当前报文总数变化量为当前周期内接收到的目标报文的总数与上一个周期内接收到的目标报文的总数的差值的绝对值；

处理模块，用于判断所述当前报文总数变化量是否符合第一预设条件，包括：计算所述当前报文总数变化量与上周期报文总数变化量的差值；所述上周期报文总数变化量为上一周期内接收到的报文总数与上上一周期内接收到的目标报文的总数的差值的绝对值；判断所述当前报文总数变化量与上周期报文总数变化量的差值是否大于或等于第一阈值；若是，则确定所述当前报文总数变化量符合所述第一预设条件；若否，则确定所述当前报文总数变化量不符合所述第一预设条；

若所述当前报文总数变化量符合第一预设条件，所述统计模块还用于统计各周期接收的目标报文中各自治系统发送的目标报文的占比；

所述计算模块还用计算当前报文分布变化量；所述当前报文分布变化量为各自治系统在当前周期内发送的目标报文的占比与上一周期内发送的目标报文的占比的差值的绝对值之和；

所述处理模块还用于判断所述当前报文分布变化量是否符合第二预设条件，以及在当前报文分布变化量符合第二预设条件时确定当前存在DDoS攻击；

所述处理模块判断所述当前报文分布变化量是否符合第二预设条件，包括：计算所述当前报文分布变化量与上周期报文分布变化量的差值；所述上周期报文分布变化量为各自治系统在上周期内发送的目标报文的占比与上上一周期内发送的目标报文的占比的差值的绝对值之和；判断所述当前报文分布变化量与上周期报文分布变化量的差值是否大于或等于第二阈值；若是，则确定所述当前报文分布变化量符合所述第二预设条件；若否，则确定所述当前报文分布变化量不符合所述第二预设条件。