本發(fā)明提供了一種準(zhǔn)確性更高的DDoS攻擊識(shí)別方法、裝置及存儲(chǔ)介質(zhì)，所述DDoS攻擊識(shí)別方法包括以下步驟：接收原數(shù)據(jù)；解析原數(shù)據(jù)，獲得第一處理數(shù)據(jù)；分組，根據(jù)第一處理數(shù)據(jù)，將接收的數(shù)據(jù)分組并匯聚；分析數(shù)據(jù)，獲得第二處理數(shù)據(jù)；預(yù)判斷，根據(jù)第二處理數(shù)據(jù)，判斷是否發(fā)生攻擊；預(yù)結(jié)果，根據(jù)預(yù)判斷結(jié)果，生成預(yù)結(jié)果；二次判斷，根據(jù)僵木蠕模塊及預(yù)結(jié)果，判斷攻擊是否發(fā)生。本發(fā)明通過設(shè)備流記錄檢測(cè)技術(shù)和僵木蠕檢測(cè)技術(shù)相結(jié)合的方法提升DDoS攻擊檢測(cè)的準(zhǔn)確率，降低誤報(bào)率，并降低檢測(cè)系統(tǒng)的性能要求，有效的改善了傳統(tǒng)的基于原始流量的檢測(cè)方法中，對(duì)硬件的性能要求過高的問題，使得DDoS檢測(cè)系統(tǒng)適合在各種骨干大帶寬網(wǎng)絡(luò)上進(jìn)行部署。

技術(shù)領(lǐng)域：

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種DDoS攻擊識(shí)別方法、裝置及存儲(chǔ)介質(zhì)。

背景技術(shù)：

分布式拒絕服務(wù)(Distributed?Denial?of?Service，簡(jiǎn)稱DDoS)攻擊指借于客戶/服務(wù)器技術(shù)，使用大量計(jì)算機(jī)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)主機(jī)發(fā)動(dòng)流量攻擊，占用主機(jī)資源，使攻擊的目標(biāo)無(wú)法正常使用，其特征表現(xiàn)為攻擊的發(fā)出點(diǎn)是分布在不同地方，故針對(duì)DDoS?攻擊，檢測(cè)方通常具有識(shí)別困難、溯源困難等問題。目前針對(duì)DDoS攻擊的識(shí)別方法，是采用接入NetFlow/sFlow/cFlow等設(shè)備流記錄或者原始業(yè)務(wù)流量，根據(jù)單位時(shí)間內(nèi)被防護(hù)對(duì)象的入方向流量是否超出設(shè)置的閾值來(lái)判斷主機(jī)是否發(fā)生DDoS攻擊，但是基于NetFlow/sFlow/cFlow等設(shè)備流記錄的檢測(cè)技術(shù)，由于設(shè)備流記錄本身只包含五元組和流量的統(tǒng)計(jì)信息，缺少了原始流量中的流量特征，會(huì)造成檢測(cè)的準(zhǔn)確性相對(duì)不高，誤報(bào)率比較高，而基于原始流量的檢測(cè)方法，由于需要實(shí)時(shí)的對(duì)原始流量做處理，所以對(duì)硬件的性能要求非常高，不適合在運(yùn)營(yíng)商骨干網(wǎng)絡(luò)等大帶寬網(wǎng)絡(luò)上部署。

因此，本領(lǐng)域亟需一種DDoS攻擊識(shí)別方法、裝置及存儲(chǔ)介質(zhì)。

有鑒于此，提出本發(fā)明。

發(fā)明內(nèi)容：

本發(fā)明的目的在于提供一種準(zhǔn)確性更高的DDoS攻擊識(shí)別方法、裝置及存儲(chǔ)介質(zhì)，以解決現(xiàn)有技術(shù)中的至少一項(xiàng)技術(shù)問題。

在本發(fā)明的第一方面，提供了一種準(zhǔn)確性更高的DDoS攻擊識(shí)別方法。

具體的，所述DDoS攻擊識(shí)別方法包括以下步驟：

接收原數(shù)據(jù)；

解析原數(shù)據(jù)，獲得第一處理數(shù)據(jù)；

分組，根據(jù)第一處理數(shù)據(jù)，將接收的數(shù)據(jù)分組并匯聚；

分析數(shù)據(jù)，獲得第二處理數(shù)據(jù)；

預(yù)判斷，根據(jù)第二處理數(shù)據(jù)，判斷是否發(fā)生攻擊；

預(yù)結(jié)果，根據(jù)預(yù)判斷結(jié)果，生成預(yù)結(jié)果；

二次判斷，根據(jù)僵木蠕模塊及預(yù)結(jié)果，判斷攻擊是否發(fā)生。

采用上述方案，通過設(shè)備流記錄檢測(cè)技術(shù)和僵木蠕檢測(cè)技術(shù)相結(jié)合的方法提升DDoS攻擊檢測(cè)的準(zhǔn)確率，降低誤報(bào)率，并降低檢測(cè)系統(tǒng)的性能要求，有效的改善了傳統(tǒng)的基于原始流量的檢測(cè)方法中，對(duì)硬件的性能要求過高的問題，使得DDoS檢測(cè)系統(tǒng)適合在各種骨干大帶寬網(wǎng)絡(luò)上進(jìn)行部署，顯著的提升了對(duì)DDoS攻擊的檢測(cè)效率。

優(yōu)選地，所述接收原數(shù)據(jù)步驟中，所述原數(shù)據(jù)為NetFlow/sFlow/cFlow的設(shè)備流記錄數(shù)據(jù)。

進(jìn)一步地，所述解析原數(shù)據(jù)，獲得第一處理數(shù)據(jù)步驟中，包括：解析每條設(shè)備流記錄的五元組、協(xié)議、流量、包數(shù)、字節(jié)數(shù)。

進(jìn)一步地，所述第一處理數(shù)據(jù)為每條設(shè)備流記錄的五元組、協(xié)議、流量、包數(shù)、字節(jié)數(shù)。

采用上述方案，能夠有效獲得各個(gè)設(shè)備流中所記錄的信息，便于對(duì)各個(gè)IP進(jìn)行處理。