本發明的實施例提供一種DDoS攻擊檢測方法和裝置，涉及通信技術領域，用于快速、準確的檢測出DDoS攻擊。該方法包括：統計各周期內接收到的目標報文的總數；計算當前報文總數變化量；當前報文總數變化量為當前周期與上一個周期內接收到的目標報文的總數的差值的絕對值；判斷當前報文總數變化量是否符合第一預設條件；若是，則統計各周期接收的目標報文中各自治系統發送的目標報文的占比；計算當前報文分布變化量；當前報文分布變化量為各自治系統在當前周期與上一周期內發送的目標報文的占比的差值的絕對值之和；判斷當前報文分布變化量是否符合第二預設條件；若是，則確定當前存在DDoS攻擊。本發明的實施例用于DDoS攻擊檢測。

技術領域

本發明涉及通信技術領域，尤其涉及一種DDoS攻擊檢測方法和裝置。

背景技術

目前，分布式拒絕服務(英文名稱：Distributed Denial of Service，簡稱：DDoS)是自治系統AS(英文名稱：Autonomous System，簡稱：AS)域網絡中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊是一種隱蔽的拒絕服務攻擊.一般DDoS攻擊過程為：首先，攻擊者將控制源AS域網絡中大量的傀儡計算機，將多個傀儡計算機聯合起來作為攻擊平臺，其中一部分傀儡計算機可以設置為主控端，然后，攻擊者通過主控端將攻擊指令發送至所有的傀儡計算機，最后，所有的傀儡計算機向目的AS域網絡發送數據流，對目的AS域網絡中的服務器進行DDoS攻擊，從而造成目的AS域網絡中服務器超載或者死機，甚至造成目的AS域網絡癱瘓。與拒絕服務攻擊(英文名稱：Denial of Service，簡稱：DOS)相比，DDoS攻擊在單條鏈路上的流量更小，難以被網絡設備檢測，因而更易于形成。另一方面，DDoS攻擊匯聚后的異常流量總量很大，極具破壞力。

對DDoS攻擊流量進行迅速的清洗，是保障網絡傳輸和服務的關鍵，而快速有效的檢測出DDoS攻擊，是對DDoS攻擊流量進行迅速清洗的關鍵。目前一般主流安全防護廠家的DDoS攻擊檢測設備，都基于對設備的NetFlow采樣報文進行處理分析，通過對報文的協議類型進行統計，統計各類報文的變化情況，從而對DDoS攻擊進行檢測。雖然使用NetFlow的方案可以針對各類協議分別做較為精確的分析，但由于NetFlow采樣、存儲和計算均需要一定的時間，因此，往往DDoS攻擊到來時，NetFlow分析設備無法迅速發現。即，NetFlow分析設備檢測到DDoS攻擊存在遲滯，并且有時這種延遲可達到數分鐘，這對一些敏感性的業務來說難以接受。因此，如何快速、準確的檢測出DDoS攻擊是本領域技術人員亟待解決的一個技術問題。

發明內容

本發明的實施例提供一種DDoS攻擊檢測方法和裝置，用于快速、準確的檢測出DDoS攻擊，從而保障網絡傳輸和服務。

為達到上述目的，本發明的實施例采用如下技術方案：

第一方面，提供一種DDoS攻擊檢測方法，包括：

統計各周期內接收到的目標報文的總數；各所述周期在時間上連續；所述目標報文為目的IP地址為防護目標IP地址的報文；

計算當前報文總數變化量；所述當前報文總數變化量為當前周期內接收到的目標報文的總數與上一個周期內接收到的目標報文的總數的差值的絕對值；

判斷所述當前報文總數變化量是否符合第一預設條件；

若是，則統計各周期接收的目標報文中各自治系統發送的目標報文的占比；

計算當前報文分布變化量；所述當前報文分布變化量為各自治系統在當前周期內發送的目標報文的占比與上一周期內發送的目標報文的占比的差值的絕對值之和；

判斷所述當前報文分布變化量是否符合第二預設條件；

若是，則確定當前存在DDoS攻擊。

第二方面，提供一種DDoS攻擊檢測裝置，包括：