本發(fā)明涉及一種基于多層次流量分析的ddos攻擊檢測方法及裝置。

背景技術(shù)：

1、ddos攻擊(distributed?denial?of?service?attack)，即分布式拒絕服務(wù)攻擊，是一種常見的網(wǎng)絡(luò)攻擊手段。攻擊者通過控制大量的網(wǎng)絡(luò)設(shè)備向目標(biāo)服務(wù)器或網(wǎng)絡(luò)發(fā)送大量的請求，導(dǎo)致目標(biāo)服務(wù)器無法處理合法用戶的請求，從而無法提供正常的服務(wù)。ddos攻擊的目的是使目標(biāo)服務(wù)器過載、崩潰或者占據(jù)鏈路帶寬，影響正常用戶的訪問。

2、http?cc攻擊(http?challenge?collapsar?attack)，也稱為http洪水攻擊，是一種針對web應(yīng)用的ddos攻擊方式。其目的是耗盡服務(wù)器資源，從而導(dǎo)致正常用戶無法訪問網(wǎng)站或應(yīng)用。由于http?cc攻擊模擬正常用戶的請求，因此具有較強(qiáng)的隱蔽性，使得識別和防御更加困難。

3、攻擊者通常會針對特定的頁面或接口，或者利用網(wǎng)站的漏洞，如搜索功能，用以生成大量復(fù)雜的查詢和http請求，如get或post請求，來增加目標(biāo)網(wǎng)站的web服務(wù)器或后端應(yīng)用服務(wù)器的負(fù)載。例如，利用腳本攻擊工具批量生成隨機(jī)的客戶端ip，正常客戶端的get訪問請求通常會請求攜帶資源的子路徑，如圖片、插件、控件等，而異常訪問只請求根路徑，并且僅發(fā)送少量數(shù)據(jù)，但服務(wù)器需要返回大量數(shù)據(jù)，從而形成類似于流量放大攻擊(amplification?attack)的效果。這些異常訪問請求的流量大小和數(shù)據(jù)包量與正常請求相似，但鏈路流量會出現(xiàn)規(guī)律性的突發(fā)性，且攻擊常通過分散且無規(guī)律的ip地址進(jìn)行，以小流量引發(fā)間歇性、短時(shí)突發(fā)的隱蔽式攻擊。

技術(shù)實(shí)現(xiàn)思路

1、為了更準(zhǔn)確地檢測攻擊請求，本發(fā)明實(shí)施例中提供了一種基于多層次流量分析的ddos攻擊檢測方法及裝置。

2、第一方面，本發(fā)明實(shí)施例提供了一種基于多層次流量分析的ddos攻擊檢測方法，可以包括：

3、實(shí)時(shí)采集待監(jiān)控系統(tǒng)接收的網(wǎng)絡(luò)請求，并提取所述網(wǎng)絡(luò)請求的網(wǎng)絡(luò)層請求特征；

4、基于所述網(wǎng)絡(luò)層請求特征更新預(yù)設(shè)的多個(gè)不同層次時(shí)間窗口的計(jì)數(shù)器中的計(jì)數(shù)值；

5、實(shí)時(shí)監(jiān)控每一網(wǎng)絡(luò)層請求特征在所述多個(gè)不同層次時(shí)間窗口的計(jì)數(shù)器中對應(yīng)的計(jì)數(shù)值，確定潛在攻擊請求；

6、根據(jù)潛在攻擊請求在預(yù)設(shè)時(shí)間范圍內(nèi)所有網(wǎng)絡(luò)請求中的占比，確定攻擊請求。

7、本技術(shù)實(shí)施例的一個(gè)或一些可選的實(shí)施方式中，所述多個(gè)不同層次時(shí)間窗口的計(jì)數(shù)器按照時(shí)間窗口的長度排列；

8、所述基于所述網(wǎng)絡(luò)層請求特征更新預(yù)設(shè)的多個(gè)不同層次時(shí)間窗口的計(jì)數(shù)器中的計(jì)數(shù)值，包括：

9、基于所述網(wǎng)絡(luò)層請求特征，更新首個(gè)計(jì)數(shù)器中對應(yīng)網(wǎng)絡(luò)層請求特征的計(jì)數(shù)值；

10、每當(dāng)任一在前的計(jì)數(shù)器的窗口周期結(jié)束，則將所述在前的計(jì)數(shù)器中的數(shù)據(jù)累積到在后的計(jì)數(shù)器中，并重置所述在前的計(jì)數(shù)器中的數(shù)據(jù)。

11、本技術(shù)實(shí)施例的一個(gè)或一些可選的實(shí)施方式中，還包括：

12、每經(jīng)過預(yù)設(shè)時(shí)間間隔，基于預(yù)設(shè)衰減因子減少最后一個(gè)計(jì)數(shù)器中的計(jì)數(shù)值。

13、本技術(shù)實(shí)施例的一個(gè)或一些可選的實(shí)施方式中，所述基于所述網(wǎng)絡(luò)層請求特征，更新首個(gè)計(jì)數(shù)器中對應(yīng)網(wǎng)絡(luò)層請求特征的計(jì)數(shù)值，包括：

14、將所述網(wǎng)絡(luò)層請求特征進(jìn)行哈希映射，得到所述網(wǎng)絡(luò)層請求特征對應(yīng)的哈希值；

15、更新所述首個(gè)計(jì)數(shù)器中所述哈希值的計(jì)數(shù)值。

16、本技術(shù)實(shí)施例的一個(gè)或一些可選的實(shí)施方式中，所述根據(jù)潛在攻擊請求在預(yù)設(shè)時(shí)間范圍內(nèi)所有網(wǎng)絡(luò)請求中的占比，確定攻擊請求，包括：

17、提取所述潛在攻擊請求和預(yù)設(shè)時(shí)間范圍內(nèi)所有網(wǎng)絡(luò)請求的應(yīng)用層請求特征，得到潛在攻擊請求特征和多個(gè)基礎(chǔ)請求特征；

18、將所述潛在攻擊請求特征記錄到預(yù)設(shè)的潛在攻擊特征計(jì)數(shù)器中；

19、將所述基礎(chǔ)請求特征記錄到預(yù)設(shè)的總請求特征計(jì)數(shù)器中；

20、基于所述潛在攻擊特征計(jì)數(shù)器和所述總請求特征計(jì)數(shù)器中的計(jì)數(shù)值，計(jì)算所述潛在攻擊請求特征在所述基礎(chǔ)請求特征中的占比；

21、當(dāng)所述潛在攻擊請求特征在所述基礎(chǔ)請求特征中的占比在預(yù)設(shè)短時(shí)間內(nèi)的增長超過第一預(yù)設(shè)閾值時(shí)，將所述潛在攻擊請求特征對應(yīng)的潛在攻擊請求標(biāo)記為疑似攻擊請求；

22、當(dāng)請求特征相同的疑似攻擊請求的數(shù)量超過第二預(yù)設(shè)閾值，將所述疑似攻擊請求作為攻擊請求。

23、本技術(shù)實(shí)施例的一個(gè)或一些可選的實(shí)施方式中，所述實(shí)時(shí)監(jiān)控每一網(wǎng)絡(luò)層請求特征在所述多個(gè)不同層次時(shí)間窗口的計(jì)數(shù)器中對應(yīng)的計(jì)數(shù)值，確定潛在攻擊請求，包括：

24、實(shí)時(shí)監(jiān)控每一網(wǎng)絡(luò)層請求特征在每一計(jì)數(shù)器中對應(yīng)的計(jì)數(shù)值，若計(jì)數(shù)值超過所述計(jì)數(shù)器對應(yīng)的預(yù)設(shè)閾值，則將所述網(wǎng)絡(luò)層請求特征對應(yīng)的網(wǎng)絡(luò)請求標(biāo)記為可疑請求；

25、若一個(gè)網(wǎng)絡(luò)請求在多個(gè)計(jì)數(shù)器中被標(biāo)記為可疑請求，則將所述網(wǎng)絡(luò)請求作為潛在攻擊請求。

26、本技術(shù)實(shí)施例的一個(gè)或一些可選的實(shí)施方式中，在確定攻擊請求之后，還包括：

27、對確定的多個(gè)攻擊請求進(jìn)行聚類分析，得到多個(gè)攻擊請求行為特征，組成攻擊請求行為特征表；

28、隔離所述攻擊請求；

29、若所述待監(jiān)控系統(tǒng)接收的新的網(wǎng)絡(luò)請求的請求特征，可與所述攻擊請求行為特征表匹配，則將所述新的網(wǎng)絡(luò)請求視為攻擊請求。

30、第二方面，本發(fā)明實(shí)施例提供了一種基于多層次流量分析的ddos攻擊檢測裝置，可以包括：

31、第一提取模塊，用于實(shí)時(shí)采集待監(jiān)控系統(tǒng)接收的網(wǎng)絡(luò)請求，并提取所述網(wǎng)絡(luò)請求的網(wǎng)絡(luò)層請求特征；

32、第一更新模塊，用于基于所述網(wǎng)絡(luò)層請求特征更新預(yù)設(shè)的多個(gè)不同層次時(shí)間窗口的計(jì)數(shù)器中的計(jì)數(shù)值；

33、第一確定模塊，用于實(shí)時(shí)監(jiān)控每一網(wǎng)絡(luò)層請求特征在所述多個(gè)不同層次時(shí)間窗口的計(jì)數(shù)器中對應(yīng)的計(jì)數(shù)值，確定潛在攻擊請求；

34、第二確定模塊，用于根據(jù)潛在攻擊請求在預(yù)設(shè)時(shí)間范圍內(nèi)所有網(wǎng)絡(luò)請求中的占比，確定攻擊請求。

35、第三方面，本發(fā)明實(shí)施例提供一種計(jì)算機(jī)可讀存儲介質(zhì)，其上存儲有計(jì)算機(jī)程序/指令，該計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述的基于多層次流量分析的ddos攻擊檢測方法。

36、第四方面，本發(fā)明實(shí)施例提供一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序/指令，該計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述的基于多層次流量分析的ddos攻擊檢測方法。

37、第五方面，本發(fā)明實(shí)施例提供一種計(jì)算機(jī)設(shè)備，包括存儲器、處理器及存儲在存儲器上的計(jì)算機(jī)程序，該處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如上述的基于多層次流量分析的ddos攻擊檢測方法。

38、本發(fā)明實(shí)施例提供的上述技術(shù)方案的有益效果至少包括：

39、本發(fā)明實(shí)施例提供了一種基于多層次流量分析的ddos攻擊檢測方法，該方法通過實(shí)時(shí)采集待監(jiān)控系統(tǒng)中接收的網(wǎng)絡(luò)請求，提取網(wǎng)絡(luò)請求的網(wǎng)絡(luò)層請求特征，并通過多個(gè)不同層次的時(shí)間窗口記錄所有網(wǎng)絡(luò)層請求特征的計(jì)數(shù)值，從而確定網(wǎng)絡(luò)請求中的潛在攻擊請求，再根據(jù)潛在攻擊請求在預(yù)設(shè)時(shí)間范圍內(nèi)的所有網(wǎng)絡(luò)請求中的比值，確定攻擊請求。本方法通過多個(gè)不同層次的時(shí)間窗口，能夠更敏銳地捕捉到異常流量的變化趨勢，對于持續(xù)的、低強(qiáng)度的攻擊，通過時(shí)間窗口的累積效應(yīng)，識別出攻擊請求逐步累積的異常行為，而不是依賴單一時(shí)刻的流量峰值，能有效檢測出規(guī)律的小流量攻擊，解決隱蔽式攻擊檢測難的問題。

40、本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。

41、下面通過附圖和實(shí)施例，對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。