[發(fā)明專利]基于流量的分布式拒絕服務(wù)的檢測方法及裝置有效
| 申請?zhí)枺?/td> | 201811245531.1 | 申請日: | 2018-10-24 |
| 公開(公告)號: | CN111092849B | 公開(公告)日: | 2022-01-25 |
| 發(fā)明(設(shè)計)人: | 徐迪 | 申請(專利權(quán))人: | 中移(杭州)信息技術(shù)有限公司;中國移動通信集團有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京同達信恒知識產(chǎn)權(quán)代理有限公司 11291 | 代理人: | 郭潤湘 |
| 地址: | 311100 浙江省杭州市*** | 國省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 流量 分布式 拒絕服務(wù) 檢測 方法 裝置 | ||
本申請公開了一種基于流量的分布式拒絕服務(wù)的檢測方法及裝置。該方法通過第一時間段內(nèi)各時刻的真實流量值和相應(yīng)的預(yù)測流量值,確定流量值誤差系數(shù);基于當(dāng)前時刻的預(yù)測流量值和流量值誤差系數(shù),獲取當(dāng)前時刻的流量閾值;并獲取當(dāng)前時刻的異常累加和或初始時刻到當(dāng)前時刻的時間段內(nèi)的異常累加和,通過比較獲取的異常累加和與異常累加和閾值,判斷當(dāng)前時刻的真實流量值是否存在異常。可見,該方法通過獲取當(dāng)前時刻之前一段時間內(nèi)的真實流量值與流量閾值的差值累加和流量值的異常累加和來判斷當(dāng)前時刻的真實流量值是否異常,從而降低了誤報率。
技術(shù)領(lǐng)域
本申請涉及網(wǎng)絡(luò)入侵檢測領(lǐng)域,尤其涉及一種基于流量的分布式拒絕服務(wù)的檢測方法及裝置。
背景技術(shù)
網(wǎng)絡(luò)入侵檢測是企業(yè)、園區(qū)網(wǎng)重要的安全防護措施。基于入侵檢測系統(tǒng),可以有效地識別網(wǎng)絡(luò)攻擊,從而保護企業(yè)、園區(qū)網(wǎng)內(nèi)安全。然而,近些年來,有效的網(wǎng)絡(luò)入侵檢測己越來越困難,主要原因在于網(wǎng)絡(luò)帶寬不斷增長,實時檢測大量的數(shù)據(jù)存在性能瓶頸。
目前,為了解決對大量數(shù)據(jù)的檢測,傳統(tǒng)采取Netflow的分布式拒絕服務(wù)(Distributed Denial of Service,DDOS)攻擊檢測方法來識別網(wǎng)絡(luò)是否收到攻擊。其中,DDOS通過大量消耗受害服務(wù)節(jié)點的各種資源(如帶寬、CPU及主存儲器),使其對其它節(jié)點的正常服務(wù)請求無法響應(yīng)或延遲響應(yīng)。Netflow是一種流量統(tǒng)計協(xié)議,其工作原理是:利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù),生成NetFlow緩存,隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進行傳輸,不再匹配相關(guān)的訪問控制等策略,NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。該檢測方法為根據(jù)平時流量大小、網(wǎng)絡(luò)環(huán)境,人為設(shè)置該網(wǎng)絡(luò)的靜態(tài)流量值閾值,若當(dāng)前時刻的流量超過設(shè)置的靜態(tài)流量值閾值,則進行告警。
然而,對于靜態(tài)流量值閾值的設(shè)置,若設(shè)置過高,則不能檢測出一些相對小范圍的DDOS攻擊;若設(shè)置過低,則會引起大量DDOS攻擊誤報,降低了檢測的準(zhǔn)確性。
發(fā)明內(nèi)容
本申請實施例提供一種基于流量的分布式拒絕服務(wù)的檢測方法及裝置,以提高檢測的準(zhǔn)確性。
第一方面,提供了一種基于流量的分布式拒絕服務(wù)的檢測方法,該方法包括:
基于第一時間段內(nèi)各時刻的真實流量值和各時刻的預(yù)測流量值,確定流量值誤差系數(shù),第一時間段為當(dāng)前時刻之前的時間段;
基于當(dāng)前時刻的預(yù)測流量值和流量值誤差系數(shù),獲取當(dāng)前時刻的流量閾值;
當(dāng)當(dāng)前時刻為初始時刻時,獲取當(dāng)前時刻的異常累加和,當(dāng)前時刻的異常累加和為當(dāng)前時刻的真實流量值與當(dāng)前時刻的流量閾值的差值;
當(dāng)當(dāng)前時刻不為初始時刻時,獲取初始時刻到當(dāng)前時刻的時間段內(nèi)的異常累加和,時間段內(nèi)的異常累加和為時間段內(nèi)每個時刻的真實流量值與相應(yīng)流量閾值的差值的和;
將獲取的異常累加和與異常累加和閾值進行比較;若當(dāng)前時刻的異常累加和大于異常累加和閾值,則確定當(dāng)前時刻的真實流量值存在異常,異常累加和閾值是由流量值誤差系數(shù)和第一預(yù)設(shè)常數(shù)確定的。
可見,該方法通過獲取當(dāng)前時刻之前一段時間內(nèi)的真實流量值與流量閾值的差值累加和流量值的異常累加和來判斷當(dāng)前時刻的真實流量值當(dāng)前網(wǎng)絡(luò)是否被攻擊,從而降低了誤報率。
在一個可選的實現(xiàn)中,確定流量值誤差系數(shù)之前,該方法還包括:
對第一時間段內(nèi)第一時刻的真實流量值和第一時刻的預(yù)測流量值,采用預(yù)設(shè)的加權(quán)平均算法,得到第二時刻的預(yù)測流量值,其中,在第一時刻為初始時刻時,初始時刻的預(yù)測流量值與初始時刻的真實流量值相等,第一時刻為第二時刻的前一時刻;
第二時刻的預(yù)測流量值采用如下表達式得到:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中移(杭州)信息技術(shù)有限公司;中國移動通信集團有限公司,未經(jīng)中移(杭州)信息技術(shù)有限公司;中國移動通信集團有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811245531.1/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
