[发明专利]DDoS攻击检测方法、装置、网络设备及存储介质

说明书

本发明实施方式涉及通信技术领域，公开了一种DDoS攻击检测方法，该方法包括：根据日志文件中的N个访问信息计算得到N个访问特征值，所述N为正整数；将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类，获取N个所述访问特征值是否为异常的聚类结果；将N个所述聚类结果与预设的规则库进行匹配，若匹配成功，则判定存在DDoS攻击。本发明实施方式还提供了一种DDoS攻击检测装置、网络设备及存储介质。本发明实施方式提供的DDoS攻击检测方法、装置、网络设备及存储介质，可以提高DDoS攻击检测的准确性。

技术领域

本发明涉及通信技术领域，特别涉及一种DDoS攻击检测方法、装置、网络设备及存储介质。

背景技术

分布式拒绝服务攻击(DDoS攻击)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

然而，发明人发现现有技术中至少存在如下问题：目前检测DDoS攻击的方式均为通过判断当前每分钟的流量或数据包数是否高于预先设置的阈值来判断，而预先设置的阈值均是来自于经验值，采用这种检测方式检测DDoS攻击，准确度较低。

发明内容

本发明实施方式的目的在于提供一种DDoS攻击检测方法、装置、网络设备及存储介质，使得DDoS攻击检测的准确度提高。

为解决上述技术问题，本发明的实施方式提供了一种DDoS攻击检测方法，包含以下步骤：根据日志文件中的N个访问信息计算得到N个访问特征值，N为正整数；将每一访问特征值分别与对应的第一预设特征样本集进行聚类，获取N个访问特征值是否为异常的聚类结果；将N个聚类结果与预设的规则库进行匹配，若匹配成功，则判定存在DDoS攻击。

本发明的实施方式还提供了一种DDoS攻击检测装置，包括：特征值计算模块，用于根据日志文件中的N个访问信息计算得到N个访问特征值，N 为正整数；特征值聚类模块，用于将每一访问特征值分别与对应的第一预设特征样本集进行聚类，获取N个访问特征值是否为异常的聚类结果；攻击检测模块，用于将N个聚类结果与预设的规则库进行匹配，若匹配成功，则判定存在DDoS攻击。

本发明的实施方式还提供了一种网络设备，包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行如上述的DDoS攻击检测方法。

本发明的实施方式还提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时实现如上述的DDoS攻击检测方法。

本发明实施方式相对于现有技术而言，根据日志文件中的访问信息计算访问特征值，通过将访问特征值与对应的第一预设特征样本集聚类的方式来判断是否为异常，由于第一预设特征样本集可以反映多个正常的访问信息的信息，因此通过聚类的方法比根据经验值设置阈值的判断方式更能准确地判断访问特征值是否为异常；同时，由于是通过一次聚类的结果就可以得到检测结果，因此不需要占用如redis集群进行检测中间过程的数据存储，资源占用少；而且在较短的时间内(几十秒)就能得到检测结果，时效性较高；进一步地，通过多个聚类是否为异常的聚类结果结合预设的规则库来判断是否存在DDoS攻击，可以从多个维度来进行综合判断，比根据单个比较结果的单个因素判断的方式能准确地判断是否存在DDoS攻击，从而提高DDoS攻击检测的准确性。

另外，N个访问信息包括源IP地址、源IP端口、目的端口和协议中的至少一个；根据日志文件中的N个访问信息计算得到N个访问特征值，N为正整数，包括：根据日志文件计算每一访问信息在预设时间段内的信息熵，将每一信息熵作为访问特征值。