[发明专利]分布式拒绝服务攻击检测方法、装置及存储介质

说明书

本发明公开了一种分布式拒绝服务攻击检测方法，包括：创建正常的源IP与目的IP对的历史库；获取实时网络下的源IP与目的IP对，将实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；当实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断该比例是否属于样本基线；当该比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。本发明还提供一种分布式拒绝服务攻击检测装置及计算机可读存储介质。本发明提供的分布式拒绝服务攻击检测方法，能够解决现有方法中存在的缺陷。

技术领域

本发明实施例涉及软件开发技术领域，特别涉及一种分布式拒绝服务攻击检测方法、装置及存储介质。

背景技术

当前分布式拒绝服务(Distributed Denial of Service,DDoS)攻击检测所需的数据来自于Netflow日志，该日志提供了各种网络行为数据，包括七元组信息(源ip、源端口、目的ip、目的端口、协议、包数、流量)。在获得Netflow日志数据的基础上，当前的检测技术为：对流进某个互联网协议(Internet Protocol,IP)的报文包数或者报文流量，按照每一分钟为单位建立一个阈值，当发现某一类包数或者流量异常增大，超过该阈值时，则认为受到了DDoS攻击。

现有的DDos检测技术通过“判断当前每分钟的流量或者包数是否高于自动生成的阈值”来判断是否产生DDOS攻击告警。缺陷如下：(1)无法识别来自“脉冲攻击”、“低速攻击”等DDos攻击；(2)需要3分钟才能判断是否存在DDos攻击检测，实时性不强；(3)阈值的生成方式来自经验，实践证明生成的阈值存在大量误报和漏报的情况；(4)将“Flash Crowd”(瞬间拥挤)误判为DDos攻击。

发明内容

本发明实施方式的目的在于提供一种分布式拒绝服务攻击检测方法，能够克服现有的DDoS检测技术的上述缺陷。

为解决上述技术问题，本发明的实施方式提供了一种分布式拒绝服务攻击检测方法，所述方法包括：创建正常的源IP与目的IP对的历史库；获取实时网络下的源IP与目的IP对，将所述实时网络下的源IP与目的IP对与历史库中的源IP与目的IP对进行比较；根据预设规则判断所述实时网络下的源IP与目的IP对是否属于正常的源IP与目的IP对；当所述实时网络下的源IP与目的IP对属于非正常的源IP与目的IP对时，统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断所述比例是否属于样本基线；当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。

本发明的实施方式还提供了一种分布式拒绝服务攻击检测装置，包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行上述的分布式拒绝服务攻击检测方法的步骤。

本发明的实施方式还提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述分布式拒绝服务攻击检测方法的步骤。

本发明实施方式相对于现有技术而言，找到了能区别DDoS攻击与正常网络态势的特征，即通过统计在单位时间内出现的非正常的源IP与目的IP对的比例；判断所述比例是否属于样本基线；当所述比例不属于样本基线时，则判断当前的实时网络受到了分布式拒绝服务攻击。本发明实施方式不仅能检测出常见的流量攻击，还能检测出“低速攻击、脉冲攻击”，并且可以区分“Flash Crowd”情况和真实的DDoS攻击。

优选地，所述方法还包括：当所述当前网络下的源IP与目的IP对属于正常的源IP与目的IP对时，将当前网络下的源IP与目的IP对储存到所述源IP与目的IP对的历史库。