[发明专利]分布式拒绝服务攻击检测方法、装置及存储介质

权利要求书

1.一种分布式拒绝服务攻击检测方法，其特征在于，包括：

创建正常的源IP与目的IP对的历史库；

获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；

根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；

当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；

判断所述比例是否属于样本基线；

当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击；

其中，所述根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对，包括：当目标源IP与目的IP对连续n天在同一单位时间内出现，且每个预设时间段的网络封包数量超过预设阈值时，则判断所述目标源IP与目的IP对属于正常的源IP与目的IP对。

2.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述方法，还包括：

当当前网络下的源IP与目的IP对属于正常的源IP与目的IP对时，将当前网络下的源IP与目的IP对储存到所述源IP与目的IP对的历史库。

3.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述方法，还包括：

每间隔预设周期将符合预设条件的源IP与目的IP对储存到所述源IP与目的IP对的历史库，且更新所述源IP与目的IP对的历史库。

4.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述判断所述比例是否属于样本基线，包括：

选取预定的样本群；

通过K-means算法将所述比例与所述样本群进行聚2类操作，如果所述比例被单独聚成一类，则判断所述比例不属于样本基线。

5.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述方法还包括：

在所述历史库中，通过布隆过滤器存储正常网络下的源IP与目的IP对。

6.根据权利要求5所述的分布式拒绝服务攻击检测方法，其特征在于，所述通过布隆过滤器存储正常网络下的源IP与目的IP对，包括：

将所述源IP与目的IP对中的每个IP地址进行哈希计算后，保存在所述源IP与目的IP对历史库。

7.一种分布式拒绝服务攻击检测装置，其特征在于，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行步骤：

创建正常的源IP与目的IP对的历史库；

获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；

根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；

当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；

判断所述比例是否属于样本基线；

当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击；

其中，所述根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对，包括：当目标源IP与目的IP对连续n天在同一单位时间内出现，且每个预设时间段的网络封包数量超过预设阈值时，则判断所述目标源IP与目的IP对属于正常的源IP与目的IP对。

8.根据权利要求7所述的分布式拒绝服务攻击检测装置，其特征在于，所述判断所述比例是否属于样本基线，包括：

选取预定的样本群；

通过K-means算法将所述比例与所述样本群进行聚2类操作，如果所述比例被单独聚成一类，则判断所述比例不属于样本基线。

9.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的分布式拒绝服务攻击检测方法的步骤。