[发明专利]基于流量的分布式拒绝服务的检测方法及装置

说明书

本申请公开了一种基于流量的分布式拒绝服务的检测方法及装置。该方法通过第一时间段内各时刻的真实流量值和相应的预测流量值，确定流量值误差系数；基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；并获取当前时刻的异常累加和或初始时刻到当前时刻的时间段内的异常累加和，通过比较获取的异常累加和与异常累加和阈值，判断当前时刻的真实流量值是否存在异常。可见，该方法通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和来判断当前时刻的真实流量值是否异常，从而降低了误报率。

技术领域

本申请涉及网络入侵检测领域，尤其涉及一种基于流量的分布式拒绝服务的检测方法及装置。

背景技术

网络入侵检测是企业、园区网重要的安全防护措施。基于入侵检测系统，可以有效地识别网络攻击，从而保护企业、园区网内安全。然而，近些年来，有效的网络入侵检测己越来越困难，主要原因在于网络带宽不断增长，实时检测大量的数据存在性能瓶颈。

目前，为了解决对大量数据的检测，传统采取Netflow的分布式拒绝服务(Distributed Denial of Service，DDOS)攻击检测方法来识别网络是否收到攻击。其中，DDOS通过大量消耗受害服务节点的各种资源(如带宽、CPU及主存储器)，使其对其它节点的正常服务请求无法响应或延迟响应。Netflow是一种流量统计协议，其工作原理是：利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。该检测方法为根据平时流量大小、网络环境，人为设置该网络的静态流量值阈值，若当前时刻的流量超过设置的静态流量值阈值，则进行告警。

然而，对于静态流量值阈值的设置，若设置过高，则不能检测出一些相对小范围的DDOS攻击；若设置过低，则会引起大量DDOS攻击误报，降低了检测的准确性。

发明内容

本申请实施例提供一种基于流量的分布式拒绝服务的检测方法及装置，以提高检测的准确性。

第一方面，提供了一种基于流量的分布式拒绝服务的检测方法，该方法包括：

基于第一时间段内各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，第一时间段为当前时刻之前的时间段；

基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；

当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；

当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，时间段内的异常累加和为时间段内每个时刻的真实流量值与相应流量阈值的差值的和；

将获取的异常累加和与异常累加和阈值进行比较；若当前时刻的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常，异常累加和阈值是由流量值误差系数和第一预设常数确定的。

可见，该方法通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和来判断当前时刻的真实流量值当前网络是否被攻击，从而降低了误报率。

在一个可选的实现中，确定流量值误差系数之前，该方法还包括：

对第一时间段内第一时刻的真实流量值和第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在第一时刻为初始时刻时，初始时刻的预测流量值与初始时刻的真实流量值相等，第一时刻为第二时刻的前一时刻；

第二时刻的预测流量值采用如下表达式得到：