CN109617868B - 一种ddos攻击的检测方法、装置及检测服务器 - Google Patents

Abstract

本发明实施例提供了一种DDOS攻击的检测方法、装置及检测服务器，其中方法包括：获取当前时刻流入业务服务器的网络流量；对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据；获取所述第一分布数据与参考分布数据之间的偏差量，所述参考分布数据是根据预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据生成的；若所述偏差量达到偏差量阈值，则确定所述业务服务器受到DDOS攻击。通过本发明实施例可以准确、全面地对DDOS攻击进行检测。

Description

一种DDOS攻击的检测方法、装置及检测服务器

技术领域

本发明涉及网络安全技术领域，尤其涉及一种DDOS攻击的检测方法、装置及检测服务器。

背景技术

分布式拒绝服务(Distributed Denial of Service，DDOS)攻击是目前严重威胁网络安全和影响网站服务质量的一种攻击手段。DDOS攻击利用多个分布式攻击源向攻击对象发送超出攻击目标处理能力的海量数据包，来消耗可用***和带宽资源，从而导致网络服务瘫痪。

目前，主流的DDOS攻击检测方法是将当前流量大小与设定的流量阈值进行比较，如果当前流量大小大于流量阈值，则认为是DDOS攻击。然而，在实践中发现，流量阈值是根据人工经验设置的，准确度较低，并且流量突增不一定就是DDOS攻击，例如：商家搞促销活动，导致访问流量增大，使得这种检测方法不能正确区分突发的正常流量和DDOS攻击，误报率大。另外，对于最近新出的低速率分布式拒绝服务(Low-Rate Distributed Denial ofService，LDDOS)的攻击手法，由于攻击时产生的流量小，导致上述检测方法不能检测出LDDOS攻击，从而无法全面地进行DDOS攻击的检测。可见，如何准确而又全面地对DDOS攻击进行检测已成为亟待解决的问题。

发明内容

本发明实施例提供一种DDOS攻击的检测方法、装置及检测服务器，可以准确、全面地对DDOS攻击进行检测。

一方面，一种DDOS攻击的检测方法，包括：

获取当前时刻流入业务服务器的网络流量；

对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据；

获取所述第一分布数据与参考分布数据之间的偏差量，所述参考分布数据是根据预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据生成的；

若所述偏差量达到偏差量阈值，则确定所述业务服务器受到DDOS攻击。

另一方面，本发明实施例还提供了一种DDOS攻击的检测装置，包括：

获取模块，用于获取当前时刻流入业务服务器的网络流量；

分析模块，用于对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据；

所述获取模块，还用于获取所述第一分布数据与参考分布数据之间的偏差量，所述参考分布数据是根据预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据生成的；

确定模块，用于若所述偏差量达到偏差量阈值，则确定所述业务服务器受到DDOS攻击。

又一方面，本发明实施例还提供了一种检测服务器，包括处理器、网络接口和存储装置，所述处理器、所述网络接口和所述存储装置相互连接，其中，所述网络接口受所述处理器的控制用于收发数据，所述存储装置用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，用于执行上述的DDOS攻击的检测方法。

又一方面，本发明实施例还提供了一种计算机存储介质，该计算机存储介质中存储有程序指令，该程序指令被执行时，用于实现上述的DDOS攻击的检测方法。

本发明实施例中，获取当前时刻流入业务服务器的网络流量，对该网络流量进行特征分析，以得到该网络流量在多个特征维度上的第一分布数据，然后获取第一分布数据与参考分布数据之间的偏差量，该参考分布数据是根据预设时间段内在该当前时刻流入该业务服务器的网络流量在该多个特征维度上的第二分布数据生成的，如果上述偏差量达到偏差量阈值，则确定该业务服务器当前受到DDOS攻击，从而可以准确、全面地对DDOS攻击进行检测。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种DDOS攻击的检测***架构示意图；

图2是本发明实施例提供的一种DDOS攻击的检测框架示意图；

图3是本发明实施例提供的一种DDOS攻击的检测方法的流程示意图；

图4是本发明实施例提供的另一种DDOS攻击的检测方法的流程示意图；

图5a是本发明实施例提供的一种生成基线的示意图；

图5b是本发明实施例提供的一种基线的应用示意图；

图6是本发明实施例提供的一种DDOS攻击的检测装置的结构示意图；

图7是本发明实施例提供的一种检测服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，为本发明实施例提供的一种DDOS攻击的检测***架构示意图。本实施例中所描述的DDOS攻击的检测***，包括：检测服务器、流分平台、多个业务服务器，其中：

流分平台，用于将接收到的网络流量分流后分别送入对应的业务服务器。

业务服务器，可以是电商、社交平台、政府机构等部署的处理具体事务的服务器，用于对流分平台发来的网络流量进行处理。

检测服务器，用于分别对流入各个业务服务器的网络流量在多个特征维度上进行DDOS攻击的检测，以确定各个业务服务器当前是否受到DDOS攻击。

具体实现中，如图2所示的DDOS攻击的检测框架示意图，其中，网络流量采集模块部署在流分平台上，网络流量的分布分析模块、网络流量基线模块、DDOS攻击检测模块、告警模块部署在检测服务器上。其中：

网络流量采集模块对流向各个业务服务器的网络流量进行采集，并上报给检测服务器。

网络流量的分布统计模块实时分析流入各个业务服务器的网络流量中每个流量包的特征，包括：协议类型、流量速度、包量速度、包长、生存时间值(Time To Live，TTL)、源端口、目的端口和源互联网协议(Internet Protocol，IP)数等不同维度的特征，然后生成当前流入每个业务服务器的网络流量在协议类型、流量速度、包量速度、包长、TTL、源端口、目的端口和源IP数等多个特征维度上的分布数据。

其中，协议类型可以包括传输控制协议(transmission control protocol，tcp)、用户数据报协议(user datagram protocol，udp)和控制报文协议(internet controlmessage protocol，icmp)，由于针对tcp流量的攻击类型较多，为便于对DDOS攻击类型的精细化定位，可以对tcp这一协议类型做进一步拆分，包括：tcp-syn(建立连接)、tcp-ack(响应)、tcp-psh(数据传输)、tcp-fin(响应)、tcp-rst(连接重置)，从而本发明实施例中的协议类型具体可以包括：tcp-syn、tcp-ack、tcp-psh、tcp-fin、tcp-rst、udp和icmp等。

网络流量的基线模块综合过去最近一段时间(例如过去的7天)内流入业务服务器的网络流量的分布数据，得到各个业务服务器在上述多个特征维度上的参考分布数据，参考分布数据包括：不同时刻、不同协议类型下的网络流量的分布均值，将参考分布数据作为流量分布的基线，即判断标准，每一个业务服务器对应有自己的参考分布数据。

DDOS攻击检测模块针对每一个业务服务器，将当前采集到的网络流量的分布数据与当前时刻对应的基线做对比，如果差异较大，则判断为DDOS攻击。其中，当前采集到的网络流量的分布数据与对应的基线之间的差异可以用累积和cusum、余弦相似度cosine、欧式距离等进行度量。

告警模块在DDOS攻击检测模块检测出有业务服务器受到DDOS攻击时，对检测到的DDOS攻击进行告警，例如可以利用电话、短信、即时通讯应用等方式告知相关负责人(如受攻击的业务服务器的运维人员等)，还可以针对受攻击的业务服务器进行***修复。

请参阅图3，为本发明实施例提供的一种DDOS攻击的检测方法的流程示意图。本实施例中所描述的DDOS攻击的检测方法，包括：

301、检测服务器获取当前时刻流入业务服务器的网络流量。

具体实现中，检测服务器可以从流分平台处获取当前时刻流入各个业务服务器的网络流量。

302、所述检测服务器对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据。

其中，该多个特征维度可以包括协议类型、流量速度、包量速度、包长、TTL、源端口、目的端口和源IP数中的至少两种。

具体实现中，针对任意一个业务服务器，检测服务器从上述多个特征维度对当前时刻流入该业务服务器的网络流量进行特征分析，获取如表1所示的网络流量的协议类型、流量速度、包量速度、各个包长区间的流量分布、各个TTL区间的流量分布、各个源端口编号区间的流量分布、各个目的端口编号区间的流量分布和源IP数等，作为网络流量在上述多个特征维度上的第一分布数据。其中，对于协议类型为icmp的流量，其第一分布数据中不包括源端口编号区间的流量分布和目的端口编号区间的流量分布。

其中，流量速度(单位：兆比特每秒(million bits per second，mbps))：指一定时间(以一秒为例)内接收到的数据字节总数。

包量速度(单位：包每秒(packets per second，pps))：一秒内接收到的数据包总数。

源IP数：一秒内接收到的发送数据包的不同的源IP的数量。

各个包长区间的流量分布：将最大包长设为65535，将0到65535分成20个区间，即0：3276，3277：6554，……，62258：65535，然后统计每秒中接收到的包长位于各个区间的数据字节总数，得到一个20维分布向量[1000，200000，……，40000]。

各个TTL区间的流量分布：类似于各个包长区间的流量分布，TTL最大为255，划分为16个区间，然后统计每秒中接收到的TTL位于各个区间的数据字节总数。

各个源端口编号区间的流量分布：类似于各个包长区间的流量分布，将最大源端口编号设为65535，将0到65535，分成20个区间，然后统计每秒中接收到的源端口编号位于各个区间的数据字节总数。

各个目的端口编号区间的流量分布：类似于各个包长区间的流量分布，将最大目的端口编号设为65535，将0到65535，分成20个区间，然后统计每秒中接收到的目的端口编号位于各个区间的数据字节总数。

需要说明的是，上述划分的区间的数量越多时，检测的精细度高，耗时相对较长；划分的区间的数量越少时，检测的精细度相对较低，耗时短，因此对于划分的区间的数量可以根据实际需求灵活调整，本发明实施例不做限定。

表1

303、所述检测服务器获取所述第一分布数据与参考分布数据之间的偏差量，所述参考分布数据是根据预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据生成的。

具体实现中，检测服务器获取当前时刻的第一分布数据与参考分布数据之间的偏差量，参考分布数据也可以称作基线，反映了预设时间段(如过去7天)内在该当前时刻(如23：00：00)流入业务服务器的网络流量正常的特征分布，可以作为当前时刻的网络流量的分布数据是否异常的判断依据。

304、若所述偏差量达到偏差量阈值，则所述检测服务器确定所述业务服务器受到DDOS攻击。

具体实现中，检测服务器如果确定第一分布数据与参考分布数据之间的偏差量达到了偏差量阈值，表明当前的网络流量的特征分布与正常的特征分布偏差较大，则可以判定该业务服务器当前正受到DDOS攻击。

本发明实施例中，检测服务器可以获取当前时刻流入业务服务器的网络流量，对该网络流量进行特征分析，以得到该网络流量在多个特征维度上的第一分布数据，然后获取第一分布数据与参考分布数据之间的偏差量，该参考分布数据是根据预设时间段内在该当前时刻流入该业务服务器的网络流量在该多个特征维度上的第二分布数据生成的，如果上述偏差量达到偏差量阈值，则确定该业务服务器当前受到DDOS攻击，从而可以准确、全面地对DDOS攻击进行检测。

请参阅图4，为本发明实施例提供的另一种DDOS攻击的检测方法的流程示意图。本实施例中所描述的DDOS攻击的检测方法，包括：

401、检测服务器获取当前时刻流入业务服务器的网络流量。

402、所述检测服务器对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据。

其中，步骤401、402的具体实现方式可以参见步骤301、302中的相关描述，此处不再赘述。

403、所述检测服务器获取预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据。

具体实现中，检测服务器可以利用步骤402或302中所描述的方式获取预设时间段内在该当前时刻流入业务服务器的网络流量在上述多个特征维度上的第二分布数据，例如，预设时间段为过去的7天，当前时刻为23:00:00，则检测服务器获取过去7天中的每一天在23:00:00时，流入该业务服务器的网络流量在上述多个特征维度上的第二分布数据。

404、所述检测服务器根据所述第二分布数据确定所述业务服务器的网络流量在所述当前时刻对应的参考分布数据。

具体实现中，检测服务器可以去除第二分布数据中的最大值和最小值，然后计算去除最大值和最小值后的第二分布数据包括的数据的平均值，并将该平均值作为业务服务器的网络流量在该当前时刻对应的参考分布数据。

举例来说，如图5a所示，以获取流量速度(mbps)这一特征维度的参考分布数据为例，假设预设时间段为过去的7天，为了预测当前时刻23：00：00的流量速度的基线(即参考分布数据)，可以获取过去7天中每一天的23：00：00这一时刻的流量速度这7个数据，将这7个数据中的最大值和最小值去除，然后求剩余数据的平均值，将平均值作为当前时刻23：00：00的流量速度的基线，通过去除最大值和最小值能够降低异常数据的影响，并且考虑到同一天的流量会随着不同业务特性在不同时间有不一样的表现，从而能够自适应地预测不同时段的流量。

405、所述检测服务器计算所述第一分布数据与所述参考分布数据之间的累积和、余弦相似度和欧氏距离。

406、所述检测服务器将所述累积和、所述余弦相似度和所述欧氏距离作为所述第一分布数据与参考分布数据之间的偏差量。

具体实现中，如图5b所示，偏差量可以利用累积和cusum、余弦相似度cosine和欧氏距离来度量，即检测服务器可以计算第一分布数据与参考分布数据之间的累积和、余弦相似度和欧氏距离，将计算得到的累积和、余弦相似度和欧氏距离作为第一分布数据与参考分布数据之间的偏差量。

其中，可以计算累积和cusum的分布数据包括：流量速度、包量速度和源IP数，如表2所示。可以对传统的cusum计算方式进行优化，计算一个分布数据的cusum通常使用这个分布的均值u代入公式计算，而本发明实施例中的u是基线(即参考分布数据)的均值，从而更加贴近正常流量的均值。以计算流量速度的cusum为例：对于当前采集到的前n秒的流量速度，x1，x2，……，xn，对应到相同时间的基线的流量速度为y1，y2，……，yn，u为y1，y2，……，yn这n个值的均值，则cusum值为：

S＝Σ(xi-u)，其中，i∈(1，n)，n可以取10

当S>30％*u时，可以判断流量速度异常，30％只是示例性的数值，具体可以灵活调节。

表2

其中，可以计算余弦相似度cosine的分布数据包括：包长区间的流量分布、TTL区间的流量分布、源端口编号区间的流量分布和目的端口编号区间的流量分布，如表3所示。以计算目的端口编号区间的流量分布的cosine为例：对于当前这一秒采集到的目的端口编号区间的流量分布为A＝(A1，A2，……，A20)，对应基线上相同时刻的目的端口编号区间的流量分布B＝(B1，B2，……，B20)，则cosine值为：

由于流量数值都大于0，余弦值的范围在[0，1]之间，值越趋近于1，代表两个向量的方向越接近；接近于0，表示两个向量近乎于正交。当cosθ<0.7时，可以判断目的端口编号区间的流量分布异常，0.7只是示例性的数值，具体可以灵活调节。

表3

其中，可以计算欧式距离的分布数据包括：包长区间的流量分布、TTL区间的流量分布、源端口编号区间的流量分布和目的端口编号区间的流量分布，如表4所示。以计算目的端口编号区间的流量分布的欧式距离为例：对于当前这一秒采集到的目的端口编号区间的流量分布为A＝(A1，A2，……，A20)，对应基线上相同时刻的目的端口编号区间的流量分布B＝(B1，B2，……，B20)，则欧式距离为：

当

时，可以判断目的端口编号区间的流量分布异常。

表4

407、若所述累积和大于或等于所述参考分布数据的预设百分比，所述余弦相似度小于或等于预设数值，且所述欧氏距离大于或等于所述第一分布数据的平方和的算术平方根，则所述检测服务器确定所述偏差量达到偏差量阈值，并确定所述业务服务器受到DDOS攻击。

具体实现中，若累积和大于或等于参考分布数据的预设百分比(如30％)，余弦相似度小于或等于预设数值(如0.7)，且欧氏距离大于或等于第一分布数据的平方和的算术平方根，由于累积和是针对流量速度、包量速度和源IP数这三个特征维度而言，余弦相似度、欧氏距离是针对包长区间的流量分布、TTL区间的流量分布、源端口编号区间的流量分布和目的端口编号区间的流量分布而言，意味着只有多个特征维度上的分布数据被判定为异常时，检测服务器才可以确定偏差量达到偏差量阈值，并确定业务服务器受到DDOS攻击，避免根据单一的特征维度(例如流量大小)来判断DDOS攻击而导致的误判，从而保证了检测结果的准确度。

需要说明的是，由于对包长、TTL、源端口编号、目的端口编号进行了区间的划分，并统计属于每个区间的流量，如果是突发的正常流量，例如商家搞促销活动，则采集的网络流量在各个区间的数据字节总数是近似于等比例增加的，对于这种情况，计算出的余弦相似度、欧氏距离的波动很小，不会被判定为异常。而对于DDOS攻击或者LDDOS攻击导致的突发流量，其数据大部分集中在某几个区间，会导致采集的网络流量在各个区间的数据字节总数不是等比例增加的，表现为某几个区间的数据字节总数的增加幅度较大，对于这种情况，计算出的余弦相似度、欧氏距离的波动较大，会被判定为异常，从而能够有效地检测出由于DDOS攻击或者LDDOS攻击而导致的突发流量，并且不会将突发的正常流量误判为DDOS攻击。

进一步的，检测服务器还可以根据第一分布数据确定DDOS攻击的类型，并利用指定通讯方式(如电话、短信、即时通讯应用等)向运维人员发送告警信息，告警信息指示相应的业务服务器受到DDOS攻击和DDOS攻击的类型。例如，对于tcp-ack协议类型下的网络流量，如果确定流量速度的cusum值异常，目的端口编号区间的流量分布的cosine值异常，源端口编号区间的流量分布的欧式距离值异常，那么可以判定当前的DDOS攻击为tcp-ack协议下的DDOS攻击，一般为ack_flood攻击，从而可以直接通知运维人员具体的DDOS攻击类型，便于运维人员快速采取措施应对相应的DDOS攻击。

本发明实施例中，检测服务器可以获取当前时刻流入业务服务器的网络流量，对该网络流量进行特征分析，以得到该网络流量在多个特征维度上的第一分布数据，利用过去一段时间内在该当前时刻的网络流量在该多个特征维度上的第二分布数据确定业务服务器的网络流量在该当前时刻对应的参考分布数据，然后获取第一分布数据与参考分布数据之间的偏差量，偏差量通过累积和、余弦相似度和欧氏距离进行度量，如果累积和大于或等于参考分布数据的预设百分比，余弦相似度小于或等于预设数值，且欧氏距离大于或等于第一分布数据的平方和的算术平方根，则检测服务器确定该业务服务器受到DDOS攻击，通过对包长、TTL、源端口编号、目的端口编号等特征维度进行区间的划分，并统计属于每个区间的流量可以正确区分由于DDOS攻击导致的突发流量和突发的正常流量，对于LDDOS攻击也可以进行有效地检测，并且对于各种类型的DDOS攻击都可以做到实时检测，从而可以准确、全面、实时地对DDOS攻击进行检测。

请参阅图6，为本发明实施例提供的一种DDOS攻击的检测装置的结构示意图。本实施例中所描述的DDOS攻击的检测装置，包括：

获取模块601，用于获取当前时刻流入业务服务器的网络流量；

分析模块602，用于对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据；

所述获取模块601，还用于获取所述第一分布数据与参考分布数据之间的偏差量，所述参考分布数据是根据预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据生成的；

确定模块603，用于若所述偏差量达到偏差量阈值，则确定所述业务服务器受到DDOS攻击。

可选的，所述多个特征维度包括协议类型、流量速度、包量速度、包长、生存时间值TTL、源端口、目的端口和源互联网协议IP数中的至少两种。

可选的，所述第一分布数据包括协议类型、流量速度、包量速度、各个包长区间的流量分布、各个TTL区间的流量分布、各个源端口编号区间的流量分布、各个目的端口编号区间的流量分布和源IP数中的至少两种。

可选的，所述获取模块601，还用于获取预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据；

所述确定模块603，还用于根据所述第二分布数据确定所述业务服务器的网络流量在所述当前时刻对应的参考分布数据。

可选的，所述确定模块603根据所述第二分布数据确定所述业务服务器的网络流量在所述当前时刻对应的参考分布数据的具体方式为：

去除所述第二分布数据中的最大值和最小值；

计算去除最大值和最小值后的第二分布数据包括的数据的平均值；

将所述平均值作为所述业务服务器的网络流量在所述当前时刻对应的参考分布数据。

可选的，所述获取模块601获取所述第一分布数据与参考分布数据之间的偏差量的具体方式为：

计算所述第一分布数据与参考分布数据之间的累积和、余弦相似度和欧氏距离；

将所述累积和、所述余弦相似度和所述欧氏距离作为所述第一分布数据与所述参考分布数据之间的偏差量。

可选的，所述确定模块603，还用于若所述累积和大于或等于所述参考分布数据的预设百分比，所述余弦相似度小于或等于预设数值，且所述欧氏距离大于或等于所述第一分布数据的平方和的算术平方根，则确定所述偏差量达到偏差量阈值。

可选的，所述装置还包括发送模块604，其中：

所述确定模块603，还用于根据所述第一分布数据确定所述DDOS攻击的类型；

所述发送模块604，用于利用指定通讯方式向运维人员发送告警信息，所述告警信息用于指示所述业务服务器受到DDOS攻击和所述DDOS攻击的类型。

可以理解的是，本实施例的DDOS攻击的检测装置的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

本发明实施例中，获取模块601获取当前时刻流入业务服务器的网络流量，分析模块602对网络流量进行特征分析，以得到网络流量在多个特征维度上的第一分布数据，获取模块601获取第一分布数据与参考分布数据之间的偏差量，参考分布数据是根据预设时间段内在该当前时刻流入业务服务器的网络流量在多个特征维度上的第二分布数据生成的，若偏差量达到偏差量阈值，则确定模块603确定业务服务器受到DDOS攻击，从而可以准确、全面地对DDOS攻击进行检测。

请参阅图7，为本发明实施例提供的一种检测服务器的结构示意图。本实施例中所描述的检测服务器，包括：处理器701、网络接口702及存储器703。其中，处理器701、网络接口702及存储器703可通过总线或其他方式连接，本发明实施例以通过总线连接为例。

其中，处理器701(或称中央处理器(Central Processing Unit，CPU))是检测服务器的计算核心以及控制核心。网络接口702可选的可以包括标准的有线接口、无线接口(如WI-FI、移动通信接口等)，受处理器701的控制用于收发数据。存储器703(Memory)是检测服务器的记忆设备，用于存放程序和数据。可以理解的是，此处的存储器703可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器；可选的还可以是至少一个位于远离前述处理器701的存储装置。存储器703提供存储空间，该存储空间存储了检测服务器的操作***和可执行程序代码，可包括但不限于：Windows***(一种操作***)、Linux(一种操作***)***等等，本发明对此并不作限定。

在本发明实施例中，处理器701通过运行存储器703中的可执行程序代码，执行如下操作：

处理器701，用于获取当前时刻流入业务服务器的网络流量；

所述处理器701，还用于对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据；

所述处理器701，还用于获取所述第一分布数据与参考分布数据之间的偏差量，所述参考分布数据是根据预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据生成的；

所述处理器701，还用于若所述偏差量达到偏差量阈值，则确定所述业务服务器受到DDOS攻击。

可选的，所述多个特征维度包括协议类型、流量速度、包量速度、包长、生存时间值TTL、源端口、目的端口和源互联网协议IP数中的至少两种。

可选的，所述第一分布数据包括协议类型、流量速度、包量速度、各个包长区间的流量分布、各个TTL区间的流量分布、各个源端口编号区间的流量分布、各个目的端口编号区间的流量分布和源IP数中的至少两种。

可选的，所述处理器701，还用于获取预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据；

所述处理器701，还用于根据所述第二分布数据确定所述业务服务器的网络流量在所述当前时刻对应的参考分布数据。

可选的，所述处理器701根据所述第二分布数据确定所述业务服务器的网络流量在所述当前时刻对应的参考分布数据的具体方式为：

去除所述第二分布数据中的最大值和最小值；

计算去除最大值和最小值后的第二分布数据包括的数据的平均值；

将所述平均值作为所述业务服务器的网络流量在所述当前时刻对应的参考分布数据。

可选的，所述处理器701获取所述第一分布数据与参考分布数据之间的偏差量的具体方式为：

计算所述第一分布数据与参考分布数据之间的累积和、余弦相似度和欧氏距离；

将所述累积和、所述余弦相似度和所述欧氏距离作为所述第一分布数据与所述参考分布数据之间的偏差量。

可选的，所述处理器701，还用于若所述累积和大于或等于所述参考分布数据的预设百分比，所述余弦相似度小于或等于预设数值，且所述欧氏距离大于或等于所述第一分布数据的平方和的算术平方根，则确定所述偏差量达到偏差量阈值。

可选的，所述处理器701，还用于根据所述第一分布数据确定所述DDOS攻击的类型；

所述网络接口702，用于利用指定通讯方式向运维人员发送告警信息，所述告警信息用于指示所述业务服务器受到DDOS攻击和所述DDOS攻击的类型。

具体实现中，本发明实施例中所描述的处理器701、网络接口702及存储器703可执行本发明实施例提供的一种DDOS攻击的检测方法的流程中所描述的实现方式，也可执行本发明实施例提供的一种DDOS攻击的检测装置中所描述的实现方式，在此不再赘述。

本发明实施例中，处理器701获取当前时刻流入业务服务器的网络流量，对网络流量进行特征分析，以得到网络流量在多个特征维度上的第一分布数据，并获取第一分布数据与参考分布数据之间的偏差量，参考分布数据是根据预设时间段内在该当前时刻流入业务服务器的网络流量在多个特征维度上的第二分布数据生成的，若偏差量达到偏差量阈值，则确定业务服务器受到DDOS攻击，从而可以准确、全面地对DDOS攻击进行检测。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。

Claims (10)

1.一种分布式拒绝服务DDOS攻击的检测方法，其特征在于，所述方法包括：

获取当前时刻流入业务服务器的网络流量；

对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据，所述第一分布数据包括协议类型、流量速度、包量速度、各个包长区间的流量分布、各个TTL区间的流量分布、各个源端口编号区间的流量分布、各个目的端口编号区间的流量分布和源IP数中的至少两种；

获取所述第一分布数据与参考分布数据之间的偏差量，所述参考分布数据是根据预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据生成的；

若所述偏差量达到偏差量阈值，则确定所述业务服务器受到DDOS攻击。

2.根据权利要求1所述的方法，其特征在于，所述多个特征维度包括协议类型、流量速度、包量速度、包长、生存时间值TTL、源端口、目的端口和源互联网协议IP数中的至少两种。

3.根据权利要求1或2所述的方法，其特征在于，所述获取所述第一分布数据与参考分布数据之间的偏差量之前，所述方法还包括：

获取预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据；

根据所述第二分布数据确定所述业务服务器的网络流量在所述当前时刻对应的参考分布数据。

4.根据权利要求3所述的方法，其特征在于，所述根据所述第二分布数据确定所述业务服务器的网络流量在所述当前时刻对应的参考分布数据，包括：

去除所述第二分布数据中的最大值和最小值；

计算去除最大值和最小值后的第二分布数据包括的数据的平均值；

将所述平均值作为所述业务服务器的网络流量在所述当前时刻对应的参考分布数据。

5.根据权利要求1所述的方法，其特征在于，所述获取所述第一分布数据与参考分布数据之间的偏差量，包括：

计算所述第一分布数据与参考分布数据之间的累积和、余弦相似度和欧氏距离；

将所述累积和、所述余弦相似度和所述欧氏距离作为所述第一分布数据与所述参考分布数据之间的偏差量。

6.根据权利要求5所述的方法，其特征在于，所述获取所述第一分布数据与参考分布数据之间的偏差量之后，所述若所述偏差量达到偏差量阈值，则确定所述业务服务器受到DDOS攻击之前，所述方法还包括：

若所述累积和大于或等于所述参考分布数据的预设百分比，所述余弦相似度小于或等于预设数值，且所述欧氏距离大于或等于所述第一分布数据的平方和的算术平方根，则确定所述偏差量达到偏差量阈值。

7.根据权利要求1所述的方法，其特征在于，所述确定所述业务服务器受到DDOS攻击之后，所述方法还包括：

根据所述第一分布数据确定所述DDOS攻击的类型；

利用指定通讯方式向运维人员发送告警信息，所述告警信息用于指示所述业务服务器受到DDOS攻击和所述DDOS攻击的类型。

8.一种DDOS攻击的检测装置，其特征在于，包括：

获取模块，用于获取当前时刻流入业务服务器的网络流量；

分析模块，用于对所述网络流量进行特征分析，以得到所述网络流量在多个特征维度上的第一分布数据，所述第一分布数据包括协议类型、流量速度、包量速度、各个包长区间的流量分布、各个TTL区间的流量分布、各个源端口编号区间的流量分布、各个目的端口编号区间的流量分布和源IP数中的至少两种；

所述获取模块，还用于获取所述第一分布数据与参考分布数据之间的偏差量，所述参考分布数据是根据预设时间段内在所述当前时刻流入所述业务服务器的网络流量在所述多个特征维度上的第二分布数据生成的；

确定模块，用于若所述偏差量达到偏差量阈值，则确定所述业务服务器受到DDOS攻击。

9.一种检测服务器，其特征在于，包括处理器、网络接口和存储装置，所述处理器、所述网络接口和所述存储装置相互连接，其中，所述网络接口受所述处理器的控制用于收发数据，所述存储装置用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如权利要求1-7中任一项所述的DDOS攻击的检测方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有多条指令，所述指令适于由处理器加载并执行如权利要求1-7中任一项所述的DDOS攻击的检测方法。

Images