一种DDOS攻击的检测方法及系统技术方案

技术编号:15624278 阅读:125 留言:0更新日期:2017-06-14 05:54
本发明专利技术公开了一种DDOS攻击的检测方法,包括:采集各待检测数据中心的核心交换机的流量数据并传输所述流量数据;接收所述流量数据,并按照队列的形式周期性地输出至流式计算结点;为所述流式计算结点分配任务;根据流式计算模型计算以列队形式输出的流量数据以得到计算结果;对所述计算结果处理汇总得到检测结果;当所述检测结果表征出现DDOS攻击现象时报警提示。该方法能够将各待检测数据中心的流量数据进行汇聚,解决了跨数据中心、跨线路的全局DDOS攻击检测。此外,本发明专利技术还公开一种DDOS攻击的检测系统。

【技术实现步骤摘要】
一种DDOS攻击的检测方法及系统
本专利技术涉及DDOS攻击
,特别是涉及一种DDOS攻击的检测方法及系统。
技术介绍
DDOS攻击(分布式拒绝服务)是一类攻击而不是一种攻击,大致可以分为网络层和应用层两个层面的攻击。本专利技术中所指的DDOS攻击是针对网络层的DDOS攻击,即在TCP层利用TCP协议的漏洞通过大量密集的非正常TCP请求阻塞被攻击者的网络资源,造成无法提供正常服务。网络层的攻击是目前最普遍也难以防御的DDOS攻击形态,目前新闻上所见到的各大互联网公司遭受大规模DDOS攻击都是来自网络层面的DDOS攻击。DDOS攻击的检测手段大致可以根据检测的特征划分为以下几类:1、基于流量变化的检测方法DDOS攻击最明显的特征就是流量的大幅度增加,基于流量变化检测DDOS攻击也是最常见的方法。2、基于同协议不同类型数据包数比例流入一个地址的流量与流出流量在无攻击情况下成一定的比例。与正常流不同,攻击主机向攻击目标发送大量数据包,攻击目标不对攻击数据包作响应或由于拥塞,响应数据包较少,基于这一特点,通过统计进出子网的数据包数检测DDOS攻击。3、基于源地址数量及分布变化在出现DDOS攻击时,访问IP数量大幅度增加是攻击的一个明显特征,且此特征无法隐藏。基于这个特征,利用机器学习,能够有效地检测DDOS攻击。4、基于数据包头统计信息的变化攻击时,除了包数、源地址分布异常以外,数据包头信息统计分布也与正常情况不同,攻击者可以伪造某一方面信息,如源地址采用合法用户地址,却难以伪造包头的所有信息。熵和卡方检验是两种常用的统计方法,能够有效地计算特征分布变化。通过这两种方法计算数据包头部信息分布,如包长、协议等,与无攻击时的计算值进行比对,可以有效地检测出攻击。目前,网络层DDOS攻击的特征是非常明显的,DDOS攻击的检测方法发展到目前已经形成非常成熟和可靠算法及经验,从技术上讲这已经没有任何难度。当下各企业、互联网公司对DDOS攻击的检测及防御主要依赖于市面上的盒式安全设备以及IDC服务商、云服务商的抗DDOS攻击能力,而IDC服务商及云服务商则依赖于盒式设备以及ISP的近源防御能力。对同时运营多个数据中心的IDC服务商及云服务商而言,DDOS攻击的检测和处理能力则是至关重要的。传统的盒式网络检测设备虽然可以做到秒级的检测,但其缺点也很明显:盒式检测设备都是相对独立的,对运营多个数据中心的IDC/云服务商而言无法得到一个全网、全数据中心的统一视图的预警平台。此外,盒式检测设备通常检测出报警后无法与IDC/云服务商的CRM系统关联,即无法直接将受攻击的对象与服务商的客户信息直接进行绑定,这对服务商的安全处理中心而言工作上会带来极大的不便。由此可见,如何实现全局DDOS攻击的检测是本领域技术人员亟待解决的问题。
技术实现思路
本专利技术的目的是提供一种DDOS攻击的检测方法,用于实现全局DDOS攻击的检测。此外,本专利技术的目的还提供一种DDOS攻击的检测系统。为解决上述技术问题,本专利技术提供一种DDOS攻击的检测方法,包括:采集各待检测数据中心的核心交换机的流量数据并传输所述流量数据;接收所述流量数据,并按照队列的形式周期性地输出至流式计算结点;为所述流式计算结点分配任务;根据流式计算模型计算以列队形式输出的流量数据以得到计算结果;对所述计算结果处理汇总得到检测结果;当所述检测结果表征出现DDOS攻击现象时报警提示。优选地,通过sFlow协议采集各待检测数据中心的流量数据。优选地,通过NetFlow协议采集各待检测数据中心的流量数据。优选地,通过因特网传输所述流量数据。优选地,通过隧道协议传输所述流量数据。优选地,所述周期性地输出至流式计算结点中的周期为500毫秒-3秒范围内的任意值。优选地,所述流式计算结点根据流式计算模型计算以列队形式输出的流量数据以得到计算结果具体包括:在所述周期内,根据客户IP地址汇聚流量数据,同时对源IP地址数进行累加并缓存;根据所述核心交换机的IP地址、端口匹配到对应的待检测数据中心;统计当前所述核心交换机的总流量、当前IP流量及占比、当前流量占总出口带宽的占比。优选地,所述对所述计算结果处理汇总得到检测结果具体包括:根据时间序列算法,对所述客户IP地址访问的请求进行计算以判断是否存在DDOS攻击现象,如果是得到第一检测结果;判断所述计算结果是否超出对应的待检测数据中心设定的阈值,如果是得到第二检测结果;根据所述源IP地址数的变化判断是否存在IP地址异常,如果是得到第三检测结果;所述当所述检测结果表征出现DDOS攻击现象时报警提示具体包括:当同时出现所述第一检测结果、所述第二检测结果和所述第三检测结果时,表征出现DDOS攻击现象,则报警提示;当出现所述第一检测结果、所述第二检测结果和所述第三检测结果中的任意一种时,则进行计数,并进入下一个检测周期;如果连续三个周期均出现计数,表征出现DDOS攻击现象,则报警提示。一种DDOS攻击的检测系统,包括:计算节点,其中,所述计算节点具体包括:采集单元,用于采集各待检测数据中心的核心交换机的流量数据并传输所述流量数据;数据缓存单元,用于接收所述流量数据,并按照队列的形式周期性地输出至流式计算结点;调度单元,用于为所述流式计算结点分配任务;流式计算节点,用于根据流式计算模型计算以列队形式输出的流量数据以得到计算结果;所述调度单元,还用于对所述计算结果处理汇总得到检测结果;报警单元,用于当所述检测结果表征出现DDOS攻击现象时报警提示。优选地,还包括:备用计算节点,用于在所述计算节点出现故障时代替所述计算节点执行DDOS攻击的检测。本专利技术所提供的DDOS攻击的检测方法,首先采集各待检测数据中心的核心交换机的流量数据,然后以队列的形式周期性地输出至流式计算节点。通过流式计算节点的计算得到计算结果,然后对计算结果进行汇总得到检测结果。通过对检测结果的判断以获取当前的待检测数据中心是否存在DDOS攻击。该方法能够将各待检测数据中心的流量数据进行汇聚,解决了跨数据中心、跨线路的全局DDOS攻击检测。附图说明为了更清楚地说明本专利技术实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种DDOS攻击的检测方法的流程图;图2为本专利技术提供的DDOS攻击的检测系统的结构图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本专利技术保护范围。本专利技术的核心是提供一种DDOS攻击的检测方法及系统。为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。需要说明的是本专利技术中提到的DDOS攻击为分布式拒绝服务的简称。实施例一图1为本专利技术提供的一种DDOS攻击的检测方法的流程图。DDOS攻击的检测方法,包括:S10:采集各待检测数据中心的核心交换机的流量数据并传输流本文档来自技高网
...
一种DDOS攻击的检测方法及系统

【技术保护点】
一种DDOS攻击的检测方法,其特征在于,包括:采集各待检测数据中心的核心交换机的流量数据并传输所述流量数据;接收所述流量数据,并按照队列的形式周期性地输出至流式计算结点;为所述流式计算结点分配任务;根据流式计算模型计算以列队形式输出的流量数据以得到计算结果;对所述计算结果处理汇总得到检测结果;当所述检测结果表征出现DDOS攻击现象时报警提示。

【技术特征摘要】
1.一种DDOS攻击的检测方法,其特征在于,包括:采集各待检测数据中心的核心交换机的流量数据并传输所述流量数据;接收所述流量数据,并按照队列的形式周期性地输出至流式计算结点;为所述流式计算结点分配任务;根据流式计算模型计算以列队形式输出的流量数据以得到计算结果;对所述计算结果处理汇总得到检测结果;当所述检测结果表征出现DDOS攻击现象时报警提示。2.根据权利要求1所述的DDOS攻击的检测方法,其特征在于,通过sFlow协议采集各待检测数据中心的流量数据。3.根据权利要求1所述的DDOS攻击的检测方法,其特征在于,通过NetFlow协议采集各待检测数据中心的流量数据。4.根据权利要求1所述的DDOS攻击的检测方法,其特征在于,通过因特网传输所述流量数据。5.根据权利要求1所述的DDOS攻击的检测方法,其特征在于,通过隧道协议传输所述流量数据。6.根据权利要求1所述的DDOS攻击的检测方法,其特征在于,所述周期性地输出至流式计算结点中的周期为500毫秒-3秒范围内的任意值。7.根据权利要求6所述的DDOS攻击的检测方法,其特征在于,所述流式计算结点根据流式计算模型计算以列队形式输出的流量数据以得到计算结果具体包括:在所述周期内,根据客户IP地址汇聚流量数据,同时对源IP地址数进行累加并缓存;根据所述核心交换机的IP地址、端口匹配到对应的待检测数据中心;统计当前所述核心交换机的总流量、当前IP流量及占比、当前流量占总出口带宽的占比。8.根据权利要求7所述的DDOS攻击的检测方法,...

【专利技术属性】
技术研发人员:张玮
申请(专利权)人:上海安畅网络科技股份有限公司
类型:发明
国别省市:上海,31

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1