一种DDoS攻击检测方法及装置

本发明涉及网络处理，尤其涉及一种ddos攻击检测方法及装置。

背景技术：

1、ddos攻击由于攻击范围广、简单有效、破坏性大、隐蔽性强和难以防御而成为网络攻击手段之一，极大影响了网络和主机系统的有效服务，对互联网的正常运行造成了严重威胁。因此，如何有效地防御ddos攻击对于提高互联网的可靠性和可用性有着非常重要的意义。因此，提供一种ddos攻击检测方法及装置，以提高ddos攻击检测准确率和检测实时性，进而提高防御ddos攻击能力。

技术实现思路

1、本发明所要解决的技术问题在于，提供一种ddos攻击检测方法及装置有利于提高ddos攻击检测准确率和检测实时性，进而提高防御ddos攻击能力。

2、为了解决上述技术问题，本发明实施例第一方面公开了一种ddos攻击检测方法，所述方法包括：

3、获取待检测窗口信息；所述待检测窗口信息包括m个检测窗口数据信息；

4、对所述待检测窗口信息进行ip检测处理，得到ip检测序列信息；所述ip检测序列信息包括所述m个ip检测结果信息；所述ip检测结果信息包括ip检测熵值和ip结点值；

5、对所述ip检测序列信息进行ddos攻击检测，得到ddos攻击检测结果信息。

6、作为一种可选的实施方式，在本发明实施例第一方面中，对所述待检测窗口信息进行ip检测处理，得到ip检测序列信息，包括：

7、对于任一所述检测窗口数据信息，读取该检测窗口数据信息对应的tcp报文信息；所述tcp报文信息包括n个报文段信息；

8、对所述tcp报文信息进行ip检测处理，得到该检测窗口数据信息对应的ip检测结果信息。

9、作为一种可选的实施方式，在本发明实施例第一方面中，对所述tcp报文信息进行ip检测处理，得到该检测窗口数据信息对应的ip检测结果信息，包括：

10、对所述tcp报文信息进行信息熵修正计算处理，得到该检测窗口数据信息对应的ip检测熵值；

11、对所述tcp报文信息进行检测分析处理，得到该检测窗口数据信息对应的ip结点值。

12、作为一种可选的实施方式，在本发明实施例第一方面中，所述对所述tcp报文信息进行信息熵修正计算处理，得到该检测窗口数据信息对应的ip检测熵值，包括：

13、对于所述tcp报文信息中的任一报文段tcp_j，读取该报文段tcp_j所在ip分组的源ip地址；所述j满足：1<＝j<＝n；

14、用哈希函数对所述源ip地址进行处理，得到地址哈希值；

15、将所述地址哈希值存入存储空间的存储单元src_addr_hash[i][j]；所述i为所述检测窗口数据信息在所述待检测窗口信息中的序列号；所述存储空间包括所述m个存储数组；每个所述存储数组包括所述n个所述存储单元src_addr_hash[i][j]；

16、判断所述i是否大于1，得到第一数值判断结果；

17、当所述第一数值判断结果为是时，判断所述上一检测窗口存储空间的所有历史地址哈希值是否存在与所述地址哈希值相等的所述历史地址哈希值，得到第一哈希值判断结果；

18、当所述第一哈希值判断结果为是时，将所述地址哈希值从所述存储单元src_addr_hash[i][j]中删除；

19、当所述第一哈希值判断结果为否时，结束所述第一哈希值判断结果对应的判断流程；

20、当所述第一数值判断结果为否时，结束所述第一数值判断结果对应的判断流程；

21、统计存储数组src_addr_hash[i][n]中各ip地址哈希值出现的概率，得到ip地址概率值信息；

22、对所述ip地址概率值信息进行熵值计算，得到该检测窗口数据信息对应的ip检测熵值x[i]。

23、作为一种可选的实施方式，在本发明实施例第一方面中，所述对所述tcp报文信息进行检测分析处理，得到该检测窗口数据信息对应的ip结点值，包括：

24、对于所述tcp报文信息中的任一报文段tcp_j，读取该报文段tcp_j所在ip分组的包长度p_len[j]；

25、获取开散列表src_addr_len[i][n]；所述开散列表src_addr_len[i][n]的头结点最多包含n个列表包长度；

26、判断所述开散列表src_addr_len[i][n]中是否包含与所述包长度p_len[j]相一致的所述链表src_addr_len[a][b]的头结点，得到长度判断结果；所述b不大于所述n；所述a不大于所述i；

27、当所述长度判断结果为是时，将与所述包长度p_len[j]相一致的链表src_addr_len[a][b]对应的头节点计数值加1，得到所述包长度p_len[j]对应的链表src_addr_len[i][j]对应的头节点计数值；

28、当所述长度判断结果为否时，建立src_addr_len[i][j]的头结点，把p_len[j]添加至头节点数据域中，并将该头节点计数值加1，得到所述包长度p_len[j]对应的链表src_addr_len[i][j]的头节点计数值。

29、作为一种可选的实施方式，在本发明实施例第一方面中，所述对所述ip检测序列信息进行ddos攻击检测，得到ddos攻击检测结果信息，包括：

30、对于任一所述ip检测结果信息，利用统计计算模型和检测计算模型对该ip检测结果信息进行计算处理，得到该ip检测结果信息对应的ip统计值和ddos攻击检测值；

31、其中，所述统计计算模型为：

32、

33、式中，si为第i个所述ip检测结果信息对应的ip统计值；x[t]为第t个所述ip检测结果信息对应的ip检测熵值；d为常数；

34、所述检测计算模型为：

35、

36、式中，jci为第i个所述ip检测结果信息对应的ddos攻击检测值；m＝max{j：j<n，sj＝0}，s0＝0，max为求最大值函数；h为自适应阈值，h设置如下：以2ρ为动态阈值的上界，即

37、基于所述ip统计值、所述ddos攻击检测值和所述ip结点值，确定出ddos攻击检测结果信息。

38、作为一种可选的实施方式，在本发明实施例第一方面中，所述基于所述ip统计值、所述ddos攻击检测值和所述ip结点值，确定出ddos攻击检测结果信息，包括：

39、判读所述ip统计值和所述ddos攻击检测值是否满足第一攻击条件，得到第一攻击判断结果；

40、当所述第一攻击判断结果为是，判断所述ip结点值中的最大值是否大于节点阈值，得到阈值判断结果；

41、当所述阈值判断结果为是，确定ddos攻击检测结果信息为存在ddos攻击；

42、当所述阈值判断结果为否时，确定所述ddos攻击检测结果信息为不存在ddos攻击；

43、当所述第一攻击判断结果为否时，确定所述ddos攻击检测结果信息为不存在ddos攻击。

44、本发明实施例第二方面公开了一种ddos攻击检测装置，装置包括：

45、获取模块，用于获取待检测窗口信息；所述待检测窗口信息包括m个检测窗口数据信息；

46、处理模块，用于对所述待检测窗口信息进行ip检测处理，得到ip检测序列信息；所述ip检测序列信息包括所述m个ip检测结果信息；所述ip检测结果信息包括ip检测熵值和ip结点值；

47、检测模块，用于对所述ip检测序列信息进行ddos攻击检测，得到ddos攻击检测结果信息。

48、本发明第三方面公开了另一种ddos攻击检测装置，所述装置包括：

49、存储有可执行程序代码的存储器；

50、与所述存储器耦合的处理器；

51、所述处理器调用所述存储器中存储的所述可执行程序代码，执行本发明实施例第一方面公开的ddos攻击检测方法中的部分或全部步骤。

52、本发明第四方面公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令被调用时，用于执行本发明实施例第一方面公开的ddos攻击检测方法中的部分或全部步骤。

53、与现有技术相比，本发明实施例具有以下有益效果：

54、本发明实施例中，获取待检测窗口信息；待检测窗口信息包括m个检测窗口数据信息；对待检测窗口信息进行ip检测处理，得到ip检测序列信息；ip检测序列信息包括m个ip检测结果信息；ip检测结果信息包括ip检测熵值和ip结点值；对ip检测序列信息进行ddos攻击检测，得到ddos攻击检测结果信息。可见，本技术有利于提高ddos攻击检测准确率和检测实时性，提高防御ddos攻击能力。