本發明公開了一種分布式拒絕服務DDoS攻擊檢測方法及設備。方法包括：獲取每個檢測周期內發往防護對象設備的數據流，獲取各個數據流的總持續時長；根據各個數據流的總持續時長將各個數據流分為長數據流或短數據流；根據長數據流經過的檢測周期，將長數據流的總數據流量計入長數據流經過的各個檢測周期的統計流量中；將各個檢測周期內出現的短數據流的數據流量與被計入對應檢測周期內的長數據流的數據流量進行疊加以確定各個檢測周期內的統計流量；若出現統計流量超過預設流量閾值的檢測周期，則確定防護對象設備在該檢測周期內受到DDoS攻擊。采用本發明，提高了DDoS攻擊檢測精度，降低了DDoS攻擊檢測的誤報率。

技術領域

本申請涉及互聯網技術領域，尤其涉及一種分布式拒絕服務(DistributedDenial of Service，DDoS)攻擊檢測方法及設備。

背景技術

DDoS攻擊是指將多個計算機聯合起來作為攻擊平臺，采用合理的服務請求來占用一個或多個目標服務器的大量服務資源，從而使合法用戶無法得到該服務器的服務響應。

作為一種入侵檢測機制，采樣設備(比如路由器、交換機等)采集到達防護對象設備的信息后發送至采樣分析服務器，由采樣分析服務器定時對到達同一防護對象設備的不同數據流統計數據進行聚合，根據每檢測周期的統計結果判斷防護對象設備是否受到DDoS攻擊。然而，現有技術的攻擊檢測機制中，在某個檢測周期中上報至采樣分析服務器的數據流量可能是多個檢測周期內的流量總和，而采樣分析服務器將該數據流量記錄到上報時刻對應的檢測周期中的流量統計數據中，導致將不屬于該檢測周期的數據流量統計到該檢測周期的流量統計數據中，而使得該檢測周期流量過大從而得到如圖1所示的統計結果，而事實上在統計流量值較大的檢測周期(如15、33、171)不一定受到DDoS攻擊，因此，由于統計數據的不準確而降低了攻擊檢測精度。

發明內容

本發明實施例所要解決的技術問題在于，提供一種DDoS攻擊檢測方法及設備，使得每個檢測周期的統計數據更準確。

本發明第一方面提供了一種DDoS攻擊檢測方法，包括：DDoS攻擊檢測設備獲取每個檢測周期內發送至防護對象設備的數據流，并獲取各個數據流的總持續時長，然后根據所述各個數據流的總持續時長確定所述各個數據流為長數據流或短數據流，再根據所述長數據流經過的檢測周期，將所述長數據流的總數據流量分配到所述長數據流經過的各個檢測周期的統計流量中后，將各個檢測周期內出現的短數據流的數據流量與被分配到對應檢測周期內的長數據流的數據流量進行疊加從而確定各個檢測周期內的統計流量，若出現統計流量超過預設流量閾值的檢測周期，則確定所述防護對象設備在該檢測周期內受到分布式拒絕服務DDoS攻擊。

在本發明實施例第一方面中，通過對長數據流進行流量補償后加上每個檢測周期的短數據流的數據流量以得到統計流量，還原出近似的實際流量，使得每個檢測周期的統計數據更準確，提高了DDoS攻擊檢測精度，降低了DDoS攻擊檢測的誤報率。

結合第一方面，在第一方面的第一種實現方式中，在根據所述長數據流經過的檢測周期，將所述長數據流的總數據流量分配到所述長數據流經過的各個檢測周期的統計流量中，包括：按照所述長數據流在經過的各個檢測周期中的持續時長將所述長數據流的總數據流量分配到所述長數據流經過的各個檢測周期的統計流量中，這樣，使得流量統計結果更準確。

結合第一方面或第一方面的第一種實現方式，在第一方面的第二種實現方式中，所述方法還包括：在當前的緩存數據流量記錄中查找是否存在所述長數據流的數據流量記錄，若在當前的緩存數據流量記錄中存在所述長數據流的數據流量記錄，則將當前保存周期內的所述長數據流的數據流量與查找到的當前的緩存數據流量記錄中歷史保存周期內的所述長數據流的數據流量進行疊加從而確定所述長數據流的總數據流量，這樣，更有效的更合理的更準確的得到每個長數據流的總數據流量，降低了統計誤差。