CN107528859B - 一种DDoS攻击的防御方法及设备 - Google Patents

一种DDoS攻击的防御方法及设备 Download PDF

Info

Publication number
CN107528859B
CN107528859B CN201710908810.0A CN201710908810A CN107528859B CN 107528859 B CN107528859 B CN 107528859B CN 201710908810 A CN201710908810 A CN 201710908810A CN 107528859 B CN107528859 B CN 107528859B
Authority
CN
China
Prior art keywords
behavior
user
correlation degree
relevancy
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710908810.0A
Other languages
English (en)
Other versions
CN107528859A (zh
Inventor
刘文辉
陈裕涛
何坤
张磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Nsfocus Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Nsfocus Technologies Inc filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201710908810.0A priority Critical patent/CN107528859B/zh
Publication of CN107528859A publication Critical patent/CN107528859A/zh
Application granted granted Critical
Publication of CN107528859B publication Critical patent/CN107528859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DDoS攻击的防御方法及设备,用于提高从用户群中区别出肉鸡用户的准确度,进而制定出有效的防护策略。其中的DDoS攻击的防御方法包括:确定每个用户的至少一个行为相关度集合,其中,一个行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度,行为相关度用于指示一种行为分别与其他种行为中的任意一种行为之间的关联程度;根据至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围,一个行为相关度集合对应一个区间范围;在预设时间段内,若确定第一用户的所有行为相关度中的每个行为相关度均不在每个行为相关度所在行为相关度集合对应的区间范围内,则封禁第一用户的IP地址。

Description

一种DDoS攻击的防御方法及设备
技术领域
本发明涉及网络安全技术领域,特别涉及一种DDoS攻击的防御方法及设备。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是一种网络攻击方式,通常利用肉鸡群作为攻击平台或利用专门的攻击软件工具向受害主机发送看似合理的服务请求来占用服务器的大量资源,从而造成网络阻塞或服务器资源耗尽而导致服务器拒绝服务合法用户。肉鸡可以认为是中了木马病毒,可以被远程操控的计算机设备。
由于肉鸡群DDoS攻击,与正常用户的行为存在一定相似性,导致常规的DDoS防御方法,例如分析验证攻击者协议栈行为、水印算法等不能将肉鸡用户从正常用户中剥离出来,从而导致防护算法的防护效果不理想,甚至失效,对服务商造成巨大的经济损失。
因此,如何区别肉鸡用户与正常用户,从用户群中及时准确地提取出肉鸡用户并及时的对其进行防护是一件十分紧急和迫切的事情。。
发明内容
本发明实施例提供一种DDoS攻击的防御方法及设备,用于提高从用户群中区别出肉鸡用户的准确度,进而制定出有效的防护策略。
第一方面,本发明一实施例提供了一种DDoS攻击的防御方法,所述防御方法包括:
确定每个用户的至少一个行为相关度集合;其中,一个所述行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度,所述行为相关度用于指示所述一种行为分别与所述其他种行为中的任意一种行为之间的关联程度;
根据所述至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围;其中,一个行为相关度集合对应一个区间范围,所述区间范围用于指示用户与所述服务器交互的一种行为分别与其他种行为之间的行为相关度的预设波动范围;
在预设时间段内,若确定第一用户的所有行为相关度中的每个行为相关度均不在所述每个行为相关度所在行为相关度集合对应的区间范围内,则封禁所述第一用户的网际协议IP地址。
可选的,确定每个用户的至少一个行为相关度集合,包括:
获取与所述服务器交互的每个用户的至少一种行为特征参数;其中,所述行为特征参数用于指示用户与所述服务器交互的行为;
将所述至少一种行为特征参数中的每种行为特征参数进行归一化处理;
根据归一化后的所述每种行为特征参数,通过如下公式确定所述每个用户的至少一个行为相关度:
Figure BDA0001424488720000021
其中,cov(x,y)为两种行为之间的行为相关度,x为一种行为特征参数的值,y为另一种行为特征参数的值,
Figure BDA0001424488720000022
为预设时间段内x的平均值,
Figure BDA0001424488720000023
为预设时间段内y的平均值,n为用户的行为的种类的数量,其中sx为x的标准差,sy为y的标准差。
可选的,根据所述至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围,包括:
依次获取所述至少一个行为相关度集合中的每个行为相关度集合中的行为相关度的最大值和最小值;
将所述每个行为相关度集合中的所述最大值和所述最小值形成的范围确定为所述每个行为相关度集合的区间范围。
可选的,封禁所述第一用户的网际协议IP地址,包括:
若确定第一用户的所有行为相关度中的每个行为相关度均不在所述每个行为相关度所在行为相关度集合对应的区间范围内,则根据所述第一用户的行为相关度确定封禁所述第一用户的IP地址的多个时长,所述第一用户的每个行为相关度对应一个时长;
根据所述多个时长确定第一时长,并在所述第一时长内封禁所述第一用户的IP地址;
其中,每个时长通过以下公式确定:
Figure BDA0001424488720000031
其中,Time为第一时长,e为常数,n为至少一个行为相关度集合的数量,xi为所述第一用户的第i个行为相关度与对应区间范围的差值,所述差值为第i个行为相关度与所述对应区间范围的最大值或最小值的差值。
可选的,根据所述多个时长确定第一时长,包括:
将所述多个时长中的任意一个时长确定为所述第一时长;
或,将所述多个时长中的最长时长确定为所述第一时长。
可选的,所述防御方法还包括:
在所述预设时间段内,若所述第一用户的所有行为相关度中的每个行为相关度均在所在行为相关度集合对应的区间范围内,则记录所述第一用户的所述至少一种行为特征参数;
根据记录的所述至少一种行为特征参数重新确定所述第一用户的至少一个行为相关度;
将重新确定的所述至少一个行为相关度更新至所述至少一个行为相关度集合。
可选的,所述行为特征参数包括用户访问所述服务器的时长、用户与所述服务器交互的预设行为的频率和用户输入信息的频率。
第二方面,本发明一实施例提供了一种DDoS攻击的防御设备,所述防御设备包括:
第一确定模块,用于确定每个用户的至少一个行为相关度集合;其中,一个所述行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度,所述行为相关度用于指示所述一种行为分别与所述其他种行为中的任意一种行为之间的关联程度;
第二确定模块,用于根据所述至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围;其中,一个行为相关度集合对应一个区间范围,所述区间范围用于指示用户与所述服务器交互的一种行为分别与其他种行为之间的行为相关度的预设波动范围;
封禁模块,用于在预设时间段内,若确定第一用户的所有行为相关度中的每个行为相关度均不在所述每个行为相关度所在行为相关度集合对应的区间范围内,则封禁所述第一用户的网际协议IP地址。
可选的,所述第一确定模块具体用于:
获取与所述服务器交互的每个用户的至少一种行为特征参数;其中,所述行为特征参数用于指示用户与所述服务器交互的行为;
将所述至少一种行为特征参数中的每种行为特征参数进行归一化处理;
根据归一化后的所述每种行为特征参数,通过如下公式确定所述每个用户的至少一个行为相关度:
Figure BDA0001424488720000041
其中,cov(x,y)为两种行为之间的行为相关度,x为一种行为特征参数的值,y为另一种行为特征参数的值,
Figure BDA0001424488720000042
为预设时间段内x的平均值,
Figure BDA0001424488720000043
为预设时间段内y的平均值,n为用户的行为的种类的数量,其中sx为x的标准差,sy为y的标准差。
可选的,所述第二确定模块具体用于:
依次获取所述至少一个行为相关度集合中的每个行为相关度集合中的行为相关度的最大值和最小值;
将所述每个行为相关度集合中的所述最大值和所述最小值形成的范围确定为所述每个行为相关度集合的区间范围。
可选的,所述封禁模块具体用于:
若确定第一用户的所有行为相关度中的每个行为相关度均不在所述每个行为相关度所在行为相关度集合对应的区间范围内,则根据所述第一用户的行为相关度确定封禁所述第一用户的IP地址的多个时长,所述第一用户的每个行为相关度对应一个时长;
根据所述多个时长确定第一时长,并在所述第一时长内封禁所述第一用户的IP地址;
其中,每个时长通过以下公式确定:
Figure BDA0001424488720000051
其中,Time为第一时长,e为常数,n为至少一个行为相关度集合的数量,xi为所述第一用户的第i个行为相关度与对应区间范围的差值,所述差值为第i个行为相关度与所述对应区间范围的最大值或最小值的差值。
可选的,所述封禁模块还用于:
将所述多个时长中的任意一个时长确定为所述第一时长;
或,将所述多个时长中的最长时长确定为所述第一时长。
可选的,所述防御设备还包括更新模块,所述更新模块用于:
在所述预设时间段内,若所述第一用户的所有行为相关度中的每个行为相关度均在所在行为相关度集合对应的区间范围内,则记录所述第一用户的所述至少一种行为特征参数;
根据记录的所述至少一种行为特征参数重新确定所述第一用户的至少一个行为相关度;
将重新确定的所述至少一个行为相关度更新至所述至少一个行为相关度集合。
可选的,所述行为特征参数包括用户访问所述服务器的时长、用户与所述服务器交互的预设行为的频率和用户输入信息的频率。
第三方面,本发明一实施例还提供一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面提供的防御方法中任一项所述方法的步骤。
第四方面,本发明一实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面提供的防御方法中任一项所述方法的步骤。
本发明实施例提供了一种新的DDoS攻击的防御方法,通过确定一个用户与服务器交互的一种行为与其他行为之间的行为相关度,进而确定该用户与服务器交互的一种行为分别与其他种行为之间的行为相关度的预设波动范围,也就是用户的日常行为***时行为***常行为***常行为,可以认为是非法用户利用该用户的账户对服务器进行DDoS攻击。这样就可以确定肉鸡用户,即提高了确定DDoS攻击的准确率,此时可以制定出有效的防护策略,例如封禁该用户的IP地址。
附图说明
图1是本发明实施例提供的DDoS攻击的防御方法的流程图;
图2为本发明实施例提供的DDoS攻击的防御设备的一种结构示意图;
图3为本发明实施例提供的计算机装置的一种结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
由于肉鸡群与正常用户存在一定相似性或者就是被感染的正常用户,导致其发送的数据包与正常流量没有区别,从而致使一般的防御方法无法识别出DDoS攻击,进而不能及时针对DDoS攻击进行防御
鉴于此,本发明实施例提供了一种新的DDoS攻击的防御方法,该防御方法通过确定一个用户与服务器交互的一种行为与其他行为之间的行为相关度,如果用户的某种行为相关度在对应的预设波动范围,则可以认为该用户的平时行为***常行为习惯不同,那么该用户可能被感染成肉鸡。即依据用户的日常行为习惯,从用户群中区别出被感染的用户,然后针对这些被感染用户采用IP封禁手段,对其进行封禁。
下面结合说明书附图对本发明实施例提供的技术方案进行详细的说明。
请参见图1,本发明一实施例提供了一种DDoS攻击的防御方法,该防御方法可以通过任何电子设备执行。所述防御方法的流程描述如下:
S101:确定每个用户的至少一个行为相关度集合,其中,一个行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度,行为相关度用于指示一种行为分别与其他种行为中的任意一种行为之间的关联程度;
S102:根据至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围,其中,一个行为相关度集合对应一个区间范围,区间范围用于指示用户与服务器交互的一种行为分别与其他种行为之间的行为相关度的预设波动范围;
S103:在预设时间段内,若确定第一用户的所有行为相关度中的每个行为相关度均不在每个行为相关度所在行为相关度集合对应的区间范围内,则封禁第一用户的IP地址。
行为相关度是指用户与服务器交互的两个行为之间的关联程度,可以理解为用户与服务器交互的一种行为分别与其他种行为中的任意一种行为之间的关联程度。当然,服务器所支持的应用不同,用户与服务器交互的行为也有所不同。例如,如果服务器所支持的应用是棋牌类游戏,那么用户与服务器交互的行为可能有用户输入聊天信息的行为、用户出牌的行为或者用户切换房间的行为。如果服务器所支持的应用是角色扮演游戏(Role-playing game,RPG),那么用户与服务器交互的行为可能有选择英雄的行为、释放技能的速度的行为等。
下面以服务器支撑的应用为玩棋牌类游戏为例介绍行为相关度。例如,一个用户在玩棋牌类游戏,那么这个用户与服务器交互的行为可能有用户输入聊天信息的行为、用户切换房间的行为、用户出牌的行为,如果用户输入聊天信息的频率较高,那么该用户可能玩得很高兴,出牌的次数可能较多,切换房间的可能性就较小。那么可以认为用户包括的行为相关度有用户输入聊天信息的行为与用户切换房间的行为的相关联程度、用户输入聊天信息的行为与用户出牌的行为的相关联程度,用户出牌的行为与用户切换房间的行为的相关联程度。
由于用户与服务器交互的一种行为分别与多种行为都存在相关联程度,本发明实施例可以将一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度划分为一个集合,即行为相关度集合。一般情况下,针对服务器所支持的同一种应用,一个用户与服务器交互的行为***时行为习惯不同,那么该用户可能被感染,因此一旦检测到该用户的多个行为相关度中的每个相关度均不在对应的预设波动,那么可能是服务器受到了DDoS攻击,此时就可以对DDoS攻击进行防御。
本发明实施例所提供的DDoS攻击的防御方法就是通过将一个用户的多个行为相关度与该用户之前的多个行为相关度进行比较,根据比较结果判断这个用户是否对服务器进行了DDoS攻击,以及时防御DDoS攻击。
本发明实施例可以确定合法用户在一段时间内的各个行为相关度,从而确定至少一个行为相关度集合,每个行为相关度集合对应一个区间范围。本发明实施例可以获取与服务器交互的每个用户的至少一种行为特征参数,根据获取的至少一种行为特征参数确定每个行为相关度。行为特征参数可以用于指示用户与服务器交互的行为,一个用户对应至少一种行为特征参数。例如,如果服务器所支持的应用为棋牌类游戏,那么用户与服务器交互的行为可以包括用户出一张牌或者下一步棋的行为、用户切换房间的行为、用户输入聊天信息的行为等。行为特征参数可以包括用户访问服务器的时长、用户与服务器交互的预设行为的频率和用户输入信息的频率。本发明实施例中的用户与服务器交互的预设行为可以根据服务器所支持的应用的种类对应设置,例如,如果服务器所支持的应用为棋牌类游戏,那么预设行为可以包括用户出一张牌或者下一步棋的行为、用户切换房间的行为等。
下面介绍本发明实施例如何获取用户的至少一种行为特征参数。
由于用户与服务器交互的行为具有时间特性,例如,如果服务器所支持的应用为游戏类应用,那么可能用户在晚上与服务器进行交互的次数较多,行为也较多,可能在早上与服务器进行交互的次数较少,行为也较少。如果通过获取某一时间段内一个用户与服务器交互的行为来确定该用户的两两行为之间的行为相关度,显然准确率较低。
鉴于此,本发明实施例可以根据用户行为与时间的相关性获取与服务器交互的至少一个用户的至少一种行为特征参数,并通过获取的至少一种行为特征参数确定两两行为之间的行为相关度。可能的实施方式中,本发明实施例可以在预设时间段T内获取与服务器交互的至少一个用户的至少一种行为特征参数。其中,预设时间段可以是事先设置的一个时间段,尽可能包括至少一个用户在各个时间段与服务器交互的各种行为至少出现一次。例如,通常,在晚上用户与服务器进行交互的次数较多,行为也较多,在早上用户与服务器进行交互的次数较少,行为也较少,在凌晨用户与服务器可能也没有交互。那么预设时间段T可以为1天,只要能够尽量包括至少一个用户在各个时间段与服务器交互的各种行为至少出现一次即可,以尽量避免由于时间带来的误差。当然,预设时间段T也可以是其他可能的值,这里就不一一举例了。在具体实施时,本发明实施例可以采用流镜像的方式,即对用户与服务器交互时产生的数据流进行镜像的方式获取流向服务器的数据流,该数据流通常包括用户的网际协议(Internet Protocol,IP)地址、用户访问服务器时长,用户与服务器交互的预设行为的次数和用户输入信息的次数。本发明实施例可以将所获取的用户与服务器交互的预设行为的次数和用户输入信息的次数作为行为特征参数,也可以将所获取的用户与服务器交互的预设行为的次数和用户输入信息的次数转化为对应的频率作为行为特征参数。
由于在预设时间段内的不同的时间段内用户与服务器交互的行为的数量有所差异。例如,通常,在晚上用户与服务器进行交互的次数较多,行为也较多,在早上用户与服务器进行交互的次数较少,行为也较少,在凌晨用户与服务器可能也没有交互。那么如果获取预设时间段内与服务器交互的用户的至少一个行为特征参数,显然获取流向服务器的数据流较大,提取数据流中的至少一个行为特征参数的计算量也较大,增加了电子设备的负担。
鉴于此,本发明实施例可以将预设时间段划分为多个时间段,例如划分为上午时段、中午时段、下午时段、晚上时段、凌晨时段,从这多个时段内中选取某些时段,只获取在某些时段内与服务器交互的至少一个用户的至少一种行为特征参数。例如,通常在中午时段、晚上时段用户与服务器交互的次数较多,那么用户与服务器交互的行为也较多。因此可以通过这两个时间段内一个用户与服务器交互的行为来确定该用户的两两行为之间的行为相关度。这样只需要获取中午时段、晚上时段流向服务器的数据流,从获取的数据流中提取至少一个行为特征参数的计算量就较小,可以减轻电子设备的负担。本发明实施例中,对预设时间段的划分仅是举例,至于划分为几个时间段,每个时间段的时长可以根据实际情况设置,本发明实施例对此不作限制。
本发明实施例获取了至少一种行为特征参数之后可以确定用户的至少一个行为相关度,具体可以将至少一种行为特征参数中的每种行为特征参数进行归一化处理,以将至少一种行为特征参数统一到同一个参考系下,这样每种行为特征参数与其他行为特征参数彼此不影响。然后根据归一化后的每种行为特征参数,通过公式(1)确定每个用户的至少一个行为相关度。
Figure BDA0001424488720000111
在公式(1)中,cov(x,y)为两种行为之间的行为相关度,n为用户的至少一种行为的种类的数量,用户与服务器交互的行为有用户访问服务器、用户与服务器交互预设行为,例如出牌和切换房间、用户输入信息,那么用户与服务器交互的行为包括4种,n就是4。x为一种行为特征参数的值,y为另一种行为特征参数的值,例如,一个用户的一种行为是出牌,另一种行为是切换房间,且该用户出牌的频率为10次/分钟,切换房间的频率为3次/时,那么x为10次/分钟,y为3次/时。
Figure BDA0001424488720000112
为预设时间段内x的平均值,
Figure BDA0001424488720000113
为预设时间段内y的平均值,其中sx为x的标准差,sy为y的标准差。
通过公式(1)可以计算出一个用户的任意两个行为之间的行为相关度。本发明实施例可以通过公式(1)可以确定用户的第一种行为分别与其他种行为的每种行为的行为相关度,依次类推,本发明实施例可以确定用户的所有行为中的任意一种行为分别与其他种行为中的每种行为的行为相关度等。
本发明实施例确定了每个用户的所有行为中的任意一种行为分别与其他种行为中的每种行为的行为相关度之后,可以按照行为的种类,确定每个用户的至少一个行为相关度集合,进而根据每个用户的至少一个行为相关度集合中的每个行为相关度集合包括的多个行为相关度确定每个行为相关度集合对应的区间范围。
针对一个行为相关度集合,本发明实施例可以获取该行为相关度集合包括的多个行为相关度的最大值和最小值,也就是用户的某一种行为分别与其他种行为之间的行为相关度的最大值和最小值,可以将获取的最大值和最小值形成的范围确定为该行为相关度集合的区间范围。通常来说,用户的习惯变换幅度较小,因此,本发明实施例可以将获取的最大值和最小值近似作为区间范围的两个端值。但是用户的习惯并不是一成不变的,即使是最大值和最小值也是会有波动的。考虑到这种情况,本发明实施例中的区间范围的一个端值可以是最大值与最大值的标准差之和,另一个端值可以是最小值与最小值的标准差之差。标准差可以用于表征一个行为相关度的误差。其中,最大值的标准差可以通过公式(2)计算所得。
Figure BDA0001424488720000121
其中,σ为标准差,S为第一行为特征参数的值,μ为预设时间段内S的平均值,N为用户的行为的种类的数量。
本发明实施例按照上述方法,遍历至少一个行为相关度集合中的每个行为相关度集合就可以确定每个行为相关度集合对应的区间范围,即至少一个区间范围。每个区间范围可以表示用户与服务器交互的一种行为习惯,那么从至少一个区间范围可以确定该用户与服务器交互的行为习惯,如果该用户被感染,然后用来对服务器进行DDoS攻击,那么被感染后的的用户给与服务器交互的行为习惯与该正常用户的行为习惯会有所差异,即用户的部分或全部行为相关度中的每个行为相关度可能不在对应的区间范围内。因此,本发明实施例可以在预设时间段内,监控任意一个用户的所有行为相关度来确定该用户是否是非法用户,即服务器是否受到DDoS攻击,以及时防御DDoS攻击。下面以一个用户为例进行介绍本发明实施例如何防御DDoS攻击。
监控第一用户的所有行为相关度,针对所有行为相关度中的任意一个行为相关度检测其是否在该行为相关度所在行为相关度集合对应的区间范围,如果在对应的区间范围,那么可以认为第一用户的该行为可能是正常的。如果不在对应的区间范围,那么可以认为第一用户的该行为可能是不正常的,第一用户有可能被被感染了。因此,本发明实施例若监控到第一用户的所有行为相关度中的每个行为相关度均不在每个行为相关度所在行为相关度集合对应的区间范围内。或者,第一用户的所有行为相关度中的预设的一个或多个行为相关度不在每个行为相关度所在行为相关度集合对应的区间范围内,那么可以认为第一用户与服务器交互的行为发生异常,很可能被感染了,那么此时可以封禁该感染用户的IP地址,以禁止第一用户访问服务器,达到防御DDoS攻击的目的。
本发明实施例可以在第一时长内封禁第一用户的IP地址。其中第一时长可以根据第一用户的所有行为相关度中的部分或全部行为相关度及部分或全部行为相关度中的每个行为相关度所在行为相关度集合对应的区间范围确定。第一用户的所有行为相关度中的任意一个行为相关度都可以获得一个时长,针对任意一个行为相关度,可以通过公式(3)计算得到一个时长。
Figure BDA0001424488720000131
公式(3)中,Time为时长,e为常数,也就是自然底数的对数,n为至少一个行为相关度集合的数量,xi为第一用户的第i个行为相关度与对应区间范围的差值,该差值为第i个行为相关度与对应区间范围的最大值或最小值的差值。例如,如果第一用户的第i个行为相关度小于对应区间范围的最小值,那么该差值就是第一用户的第i个行为相关度与对应区间范围的最小值的差值的绝对值。如果第一用户的第i个行为相关度大于对应区间范围的最大值,那么该差值就是第一用户的第i个行为相关度与对应区间范围的最大值的差值。
通过公式(3)就可以获得第一用户的所有行为相关度中每个行为相关度分别对应的时长,即多个时长。第一时长可以确定为这多个时长中的任意一个时长。或者,第一时长也可以确定为多个时长中的最长时长,以尽量将非法用户的IP封禁的时间长点,能够彻底防御DDoS攻击。
本发明实施例的电子设备计算第一用户的所有行为相关度对应的多个时长,计算量显然较大,电子设备的负担可能较重。因此,可能的实施方式中,本发明实施例可以只计算所有行为相关度中部分行为相关度对应的多个时长,以减轻电子设备的负担。其中,部分行为相关度可以是预设的行为相关度,例如,第一用户的第一种行为与第二种行为的行为相关度明显可以表征第一用户的行为习惯,那么此时预设的行为相关度可以是第一用户的第一种行为与第二种行为的行为相关度。又例如,第一用户的第一种行为与第二种行为的行为相关度结合第一用户的第三种行为与第四种行为的行为相关度才可以明显表征第一用户的行为习惯,那么此时预设的行为相关度可以是第一用户的第一种行为与第二种行为的行为相关度,和第一用户的第三种行为与第四种行为的行为相关度。
如果在预设时间段内,本发明实施例若确定第一用户的所有行为相关度中的每个行为相关度均在所在行为相关度集合对应的区间范围内,也就是第一用户是合法用户,并没有被感染。那么一个用户与服务器交互的行为习惯可能会发生改变,此时就可以记录第一用户的至少一种行为特征参数,以通过记录的至少一种行为特征参数重新确定第一用户的至少一个行为相关度,重新确定的至少一个行为相关度更新到至少一个行为相关度集合,也就是重新确定第一用户与服务器交互的行为习惯,后续对非法用户的检测就可以更新后的第一用户的至少一个行为相关度集合为标准,以提高检测的准确度。
本发明实施例提供了一种新的DDoS攻击的防御方法,通过确定一个用户与服务器交互的一种行为与其他行为之间的行为相关度,进而确定该用户平时与服务器交互的行为***常行为习惯不同,那么该用户可能被感染。即可以认为是正常用户被感染后进行DDoS攻击,提高了确定DDoS攻击的准确率,此时可以封禁该用户的IP地址,以及时防御DDoS攻击。
下面结合附图介绍本发明实施例提供的设备。
请参见图2,基于同一发明构思,本发明一实施例提供一种DDoS攻击的防御设备,该防御设备包括第一确定模块201、第二确定模块202和封禁模块203。其中,第一确定模块201可以用于确定每个用户的至少一个行为相关度集合,一个行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度,行为相关度用于指示一种行为分别与其他种行为中的任意一种行为之间的关联程度。第二确定模块202可以用于根据至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围,一个行为相关度集合对应一个区间范围,区间范围用于指示用户与服务器交互的一种行为分别与其他种行为之间的行为相关度的预设波动范围。封禁模块203可以用于在预设时间段内,若确定第一用户的所有行为相关度中的每个行为相关度均不在每个行为相关度所在行为相关度集合对应的区间范围内,则封禁第一用户的IP地址。
可选的,第一确定模块201具体可以用于:
获取与服务器交互的每个用户的至少一种行为特征参数,其中,行为特征参数用于指示用户与服务器交互的行为;
将至少一种行为特征参数中的每种行为特征参数进行归一化处理;
根据归一化后的每种行为特征参数,通过如下公式确定每个用户的至少一个行为相关度:
Figure BDA0001424488720000161
其中,cov(x,y)为两种行为之间的行为相关度,x为一种行为特征参数的值,y为另一种行为特征参数的值,
Figure BDA0001424488720000162
为预设时间段内x的平均值,
Figure BDA0001424488720000163
为预设时间段内y的平均值,n为用户的行为的种类的数量,其中sx为x的标准差,sy为y的标准差。
可选的,第二确定模块202具体可以用于:
依次获取至少一个行为相关度集合中的每个行为相关度集合中的行为相关度的最大值和最小值;
将每个行为相关度集合中的最大值和最小值形成的范围确定为每个行为相关度集合的区间范围。
可选的,封禁模块203具体可以用于:
若确定第一用户的所有行为相关度中的每个行为相关度均不在每个行为相关度所在行为相关度集合对应的区间范围内,则根据第一用户的行为相关度确定封禁第一用户的IP地址的多个时长,第一用户的每个行为相关度对应一个时长;
根据多个时长确定第一时长,并在第一时长内封禁第一用户的IP地址;
其中,每个时长通过以下公式确定:
Figure BDA0001424488720000164
其中,Time为第一时长,e为常数,n为至少一个行为相关度集合的数量,xi为所述第一用户的第i个行为相关度与对应区间范围的差值,差值为第i个行为相关度与对应区间范围的最大值或最小值的差值。
可选的,封禁模块203还可以用于:
将多个时长中的任意一个时长确定为第一时长;
或,将多个时长中的最长时长确定为第一时长。
可选的,所述防御设备还包括更新模块204,更新模块204可以用于:
在预设时间段内,若第一用户的所有行为相关度中的每个行为相关度均在所在行为相关度集合对应的区间范围内,则记录第一用户的至少一种行为特征参数;
根据记录的至少一种行为特征参数重新确定第一用户的至少一个行为相关度;
将重新确定的至少一个行为相关度更新至至少一个行为相关度集合。
可选的,行为特征参数包括用户访问所述服务器的时长、用户与所述服务器交互的预设行为的频率和用户输入信息的频率。
该设备可以用于执行图1所示的实施例所提供的方法。因此,对于该设备的各功能模块所能够实现的功能等可参考图1所示的实施例的描述,不多赘述。
请参见图3,本发明一实施例还提供一种计算机装置,该计算机装置包括处理器301,处理器301用于执行存储器中存储的计算机程序时实现本发明实施例提供的如图1所示的DDoS攻击的防御方法的步骤。
可选的,处理器301具体可以是中央处理器、特定应用集成电路(英文:Application Specific Integrated Circuit,简称:ASIC),可以是一个或多个用于控制程序执行的集成电路,可以是使用现场可编程门阵列(英文:Field Programmable GateArray,简称:FPGA)开发的硬件电路,可以是基带处理器。
可选的,处理器301可以包括至少一个处理核心。
可选的,该计算机装置还包括存储器302,存储器302可以包括只读存储器(英文:Read Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)和磁盘存储器。存储器302用于存储处理器301运行时所需的数据。存储器302的数量为一个或多个。其中,存储器302在图3中一并示出,但需要知道的是存储器302不是必选的功能模块,因此在图3中以虚线示出。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus flash disk)、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (16)

1.一种分布式拒绝服务DDoS攻击的防御方法,其特征在于,包括:
确定每个用户的至少一个行为相关度集合;其中,一个所述行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度,所述行为相关度用于指示所述一种行为分别与所述其他种行为中的任意一种行为之间的关联程度;
根据所述至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围;其中,一个行为相关度集合对应一个区间范围,所述区间范围用于指示用户与所述服务器交互的一种行为分别与其他种行为之间的行为相关度的预设波动范围;
在预设时间段内,若确定第一用户的所有行为相关度中的每个行为相关度均不在所述每个行为相关度所在行为相关度集合对应的区间范围内,则封禁所述第一用户的网际协议IP地址。
2.如权利要求1所述的防御方法,其特征在于,确定每个用户的至少一个行为相关度集合,包括:
获取与所述服务器交互的每个用户的至少一种行为特征参数;其中,所述行为特征参数用于指示用户与所述服务器交互的行为;
将所述至少一种行为特征参数中的每种行为特征参数进行归一化处理;
根据归一化后的所述每种行为特征参数确定所述每个用户的至少一个行为相关度。
3.如权利要求1所述的防御方法,其特征在于,根据所述至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围,包括:
依次获取所述至少一个行为相关度集合中的每个行为相关度集合中的行为相关度的最大值和最小值;
将所述每个行为相关度集合中的所述最大值与标准差之和和所述最小值与标准差之和形成的范围确定为所述每个行为相关度集合的区间范围。
4.如权利要求1-3任一所述的防御方法,其特征在于,封禁所述第一用户的网际协议IP地址,包括:
若确定第一用户的所有行为相关度中的每个行为相关度均不在所述每个行为相关度所在行为相关度集合对应的区间范围内,则根据所述第一用户的行为相关度确定封禁所述第一用户的IP地址的多个时长,所述第一用户的每个行为相关度对应一个时长;
根据所述多个时长确定第一时长,并在所述第一时长内封禁所述第一用户的IP地址。
5.如权利要求4所述的防御方法,其特征在于,根据所述多个时长确定第一时长,包括:
将所述多个时长中的任意一个时长确定为所述第一时长;
或,将所述多个时长中的最长时长确定为所述第一时长。
6.如权利要求5所述的防御方法,其特征在于,所述防御方法还包括:
在所述预设时间段内,若所述第一用户的所有行为相关度中的每个行为相关度均在所在行为相关度集合对应的区间范围内,则记录所述第一用户的所述至少一种行为特征参数;
根据记录的所述至少一种行为特征参数重新确定所述第一用户的至少一个行为相关度;
将重新确定的所述至少一个行为相关度更新至所述至少一个行为相关度集合。
7.如权利要求6所述的防御方法,其特征在于,所述行为特征参数包括用户访问所述服务器的时长、用户与所述服务器交互的预设行为的频率和用户输入信息的频率。
8.一种分布式拒绝服务DDoS攻击的防御设备,其特征在于,包括:
第一确定模块,用于确定每个用户的至少一个行为相关度集合;其中,一个所述行为相关度集合包括一个用户与服务器交互的一种行为分别与其他种行为之间的行为相关度,所述行为相关度用于指示所述一种行为分别与所述其他种行为中的任意一种行为之间的关联程度;
第二确定模块,用于根据所述至少一个行为相关度集合包括的多个行为相关度确定至少一个区间范围;其中,一个行为相关度集合对应一个区间范围,所述区间范围用于指示用户与所述服务器交互的一种行为分别与其他种行为之间的行为相关度的预设波动范围;
封禁模块,用于在预设时间段内,若确定第一用户的所有行为相关度中的每个行为相关度均不在所述每个行为相关度所在行为相关度集合对应的区间范围内,则封禁所述第一用户的网际协议IP地址。
9.如权利要求8所述的防御设备,其特征在于,所述第一确定模块具体用于:
获取与所述服务器交互的每个用户的至少一种行为特征参数;其中,所述行为特征参数用于指示用户与所述服务器交互的行为;
将所述至少一种行为特征参数中的每种行为特征参数进行归一化处理;
根据归一化后的所述每种行为特征参数确定所述每个用户的至少一个行为相关度。
10.如权利要求8所述的防御设备,其特征在于,所述第二确定模块具体用于:
依次获取所述至少一个行为相关度集合中的每个行为相关度集合中的行为相关度的最大值和最小值;
将所述每个行为相关度集合中的所述最大值和所述最小值形成的范围确定为所述每个行为相关度集合的区间范围。
11.如权利要求8-10任一所述的防御设备,其特征在于,所述封禁模块具体用于:
若确定第一用户的所有行为相关度中的每个行为相关度均不在所述每个行为相关度所在行为相关度集合对应的区间范围内,则根据所述第一用户的行为相关度确定封禁所述第一用户的IP地址的多个时长,所述第一用户的每个行为相关度对应一个时长;
根据所述多个时长确定第一时长,并在所述第一时长内封禁所述第一用户的IP地址。
12.如权利要求11所述的防御设备,其特征在于,所述封禁模块还用于:
将所述多个时长中的任意一个时长确定为所述第一时长;
或,将所述多个时长中的最长时长确定为所述第一时长。
13.如权利要求12所述的防御设备,其特征在于,所述防御设备还包括更新模块,所述更新模块用于:
在所述预设时间段内,若所述第一用户的所有行为相关度中的每个行为相关度均在所在行为相关度集合对应的区间范围内,则记录所述第一用户的所述至少一种行为特征参数;
根据记录的所述至少一种行为特征参数重新确定所述第一用户的至少一个行为相关度;
将重新确定的所述至少一个行为相关度更新至所述至少一个行为相关度集合。
14.如权利要求13所述的防御设备,其特征在于,所述行为特征参数包括用户访问所述服务器的时长、用户与所述服务器交互的预设行为的频率和用户输入信息的频率。
15.一种计算机装置,其特征在于,所述装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-7中任一项所述方法的步骤。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述方法的步骤。
CN201710908810.0A 2017-09-29 2017-09-29 一种DDoS攻击的防御方法及设备 Active CN107528859B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710908810.0A CN107528859B (zh) 2017-09-29 2017-09-29 一种DDoS攻击的防御方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710908810.0A CN107528859B (zh) 2017-09-29 2017-09-29 一种DDoS攻击的防御方法及设备

Publications (2)

Publication Number Publication Date
CN107528859A CN107528859A (zh) 2017-12-29
CN107528859B true CN107528859B (zh) 2020-07-10

Family

ID=60683953

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710908810.0A Active CN107528859B (zh) 2017-09-29 2017-09-29 一种DDoS攻击的防御方法及设备

Country Status (1)

Country Link
CN (1) CN107528859B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111241543B (zh) * 2020-01-07 2021-03-02 中国搜索信息科技股份有限公司 一种应用层智能抵御DDoS攻击的方法及***
CN112003873B (zh) * 2020-08-31 2022-04-19 成都安恒信息技术有限公司 一种抗DDoS攻击的http流量防御方法及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916365A (zh) * 2012-12-31 2014-07-09 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置
CN103944919A (zh) * 2014-05-06 2014-07-23 浙江大学城市学院 一种面向wlan的无线多步攻击模式挖掘方法
CN104519031A (zh) * 2013-09-30 2015-04-15 西门子公司 一种用于恶意网络行为检测的方法和装置
CN105208040A (zh) * 2015-10-12 2015-12-30 北京神州绿盟信息安全科技股份有限公司 一种网络攻击检测方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7848271B2 (en) * 2007-06-26 2010-12-07 Research In Motion Limited System and method for conserving power for a wireless device while maintaining a connection to a network
BR112015023341A2 (pt) * 2013-03-14 2017-07-18 Bandura Llc método implementado por computador, e, sistema para determinar o risco para uma pluralidade de endereços de protocolo de internet

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916365A (zh) * 2012-12-31 2014-07-09 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置
CN104519031A (zh) * 2013-09-30 2015-04-15 西门子公司 一种用于恶意网络行为检测的方法和装置
CN103944919A (zh) * 2014-05-06 2014-07-23 浙江大学城市学院 一种面向wlan的无线多步攻击模式挖掘方法
CN105208040A (zh) * 2015-10-12 2015-12-30 北京神州绿盟信息安全科技股份有限公司 一种网络攻击检测方法及装置

Also Published As

Publication number Publication date
CN107528859A (zh) 2017-12-29

Similar Documents

Publication Publication Date Title
JP6432210B2 (ja) セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
CN107465651B (zh) 网络攻击检测方法及装置
US10289838B2 (en) Scoring for threat observables
CN105577608B (zh) 网络攻击行为检测方法和装置
US8370389B1 (en) Techniques for authenticating users of massive multiplayer online role playing games using adaptive authentication
US20140157415A1 (en) Information security analysis using game theory and simulation
CN104836781B (zh) 区分访问用户身份的方法及装置
EP2863611B1 (en) Device for detecting cyber attack based on event analysis and method thereof
JP6528448B2 (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
CN110071941B (zh) 一种网络攻击检测方法、设备、存储介质及计算机设备
US20130318615A1 (en) Predicting attacks based on probabilistic game-theory
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
CN106603555A (zh) 一种防护撞库攻击的方法及装置
CN102291390A (zh) 一种基于云计算平台的防御拒绝服务攻击的方法
CN107517200B (zh) 一种Web服务器的恶意爬虫防御策略选择方法
EP3270317A1 (en) Dynamic security module server device and operating method thereof
CN113329029A (zh) 一种针对apt攻击的态势感知节点防御方法及***
CN110959158A (zh) 信息处理装置、信息处理方法和信息处理程序
CN107528859B (zh) 一种DDoS攻击的防御方法及设备
JP2018073140A (ja) ネットワーク監視装置、プログラム及び方法
EP3331210B1 (en) Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination
JP6392985B2 (ja) 検知システム、検知装置、検知方法及び検知プログラム
CN111478860A (zh) 一种网络控制方法、装置、设备及机器可读存储介质
Mezzour et al. Global mapping of cyber attacks
CN113765914B (zh) Cc攻击防护方法、***、计算机设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.