CN113489711A - DDoS攻击的检测方法、***、电子设备和存储介质 - Google Patents
DDoS攻击的检测方法、***、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113489711A CN113489711A CN202110744256.3A CN202110744256A CN113489711A CN 113489711 A CN113489711 A CN 113489711A CN 202110744256 A CN202110744256 A CN 202110744256A CN 113489711 A CN113489711 A CN 113489711A
- Authority
- CN
- China
- Prior art keywords
- manager
- traffic
- target
- flow
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及无线通信技术领域,提供一种DDoS攻击的检测方法、***、电子设备和存储介质。所述DDoS攻击的检测方法包括:获取管理器集群中流量状态异常的目标管理器的目标流量;对所述目标流量进行基于机器学习的分析,筛选出所述目标流量中的拟似攻击流量,分流至所述管理器集群的一备选管理器中;在所述备选管理器中对所述拟似攻击流量进行所述基于机器学习的分析,判断所述拟似攻击流量中是否包含DDoS攻击流量;若是,将所述目标管理器切换至所述备选管理器,若否,使所述目标管理器和所述备选管理器分流管理用户流量。本发明针对管理流量,通过基于机器学习的初次攻击检测和再次取证分析,决策管理切换或分流,提高检测准确率和处置可靠性。
Description
技术领域
本发明涉及无线通信技术领域,具体地说,涉及一种DDoS攻击的检测方法、***、电子设备和存储介质。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是通过分布式的多个攻击者同时向服务提供者发起大量看似合法的请求,以消耗或长期占用服务提供者的大量资源,达到拒绝服务的目的。
DDoS攻击的检测难点在于,攻击流量的研判和对人工研判的依赖。目前对于DDoS攻击的研究,大多聚焦于数据层和控制层,对控制流量和数据流量进行检测,无法保护管理层网络。另外,目前的方法在一次基于机器学习的研判之后随即执行端口和主机的封堵、隔离等措施,而未对拟似攻击流量进行分析,造成检测准确率低,也无法给后续研判提供依据,无法形成主动防御。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本发明提供一种DDoS攻击的检测方法、***、电子设备和存储介质,针对管理流量,通过基于机器学习的初次攻击检测和再次取证分析,决策管理切换或分流,以提高检测准确率和处置可靠性,减少对于人工分析和处置的依赖,并能给后续研判类似攻击提供依据,形成主动防御。
本发明的一个方面提供一种DDoS攻击的检测方法,包括:获取管理器集群中流量状态异常的目标管理器的目标流量;对所述目标流量进行基于机器学习的分析,筛选出所述目标流量中的拟似攻击流量,分流至所述管理器集群的一备选管理器中;在所述备选管理器中对所述拟似攻击流量进行所述基于机器学习的分析,判断所述拟似攻击流量中是否包含DDoS攻击流量;若是,将所述目标管理器切换至所述备选管理器,若否,使所述目标管理器和所述备选管理器分流管理用户流量。
在一些实施例中,所述对所述目标流量进行基于机器学习的分析,包括:通过有监督的机器学习模型对所述目标流量进行分析,判断所述目标流量中是否包含第一正常流量和/或拟似攻击流量;若所述目标流量中包含所述第一正常流量,通过无监督的机器学习模型对所述第一正常流量进行分析,判断所述第一正常流量中是否包含第二正常流量和/或所述拟似攻击流量。
在一些实施例中,所述对所述目标流量进行基于机器学习的分析时,自规则数据库中分别获取所述有监督的机器学习模型和所述无监督的机器学习模型的判别规则;所述通过无监督的机器学习模型对所述第一正常流量进行分析后,若所述第一正常流量中包含所述第二正常流量,将分析获得的所述第二正常流量的流量特征更新至所述规则数据库。
在一些实施例中,所述在所述备选管理器中对所述拟似攻击流量进行所述基于机器学习的分析,包括:自更新后的规则数据库中分别获取所述有监督的机器学习模型和所述无监督的机器学习模型的判别规则;通过所述有监督的机器学习模型对所述拟似攻击流量进行分析,判断所述拟似攻击流量中是否包含第三正常流量和/或DDoS攻击流量;若所述拟似攻击流量中包含所述第三正常流量,通过所述无监督的机器学习模型对所述第三正常流量进行分析,并将分析获得的所述第三正常流量的流量特征更新至所述规则数据库;若所述拟似攻击流量中包含所述DDoS攻击流量,将分析获得的所述DDoS攻击流量的流量特征更新至所述规则数据库。
在一些实施例中,所述有监督的机器学习模型为逻辑回归模型,所述无监督的机器学习模型为自适应共振理论模型。
在一些实施例中,所述对所述目标流量进行基于机器学习的分析时,将所述目标流量按传输协议分类,并取分类后的一类目标流量进行所述基于机器学习的分析。
在一些实施例中,所述获取管理器集群中流量状态异常的目标管理器的目标流量,包括:通过所述管理器集群中的每个管理器监测各自的流量状态;当一目标管理器监测到其流量状态异常,向对应的边缘节点发送流表生成指令,使所述边缘节点生成上传流表,并根据所述上传流表经所述目标管理器上传对应的目标流量。
在一些实施例中,所述分流至所述管理器集群的一备选管理器中,包括:向所述目标管理器和所述备选管理器下发第一分流策略,使所述目标管理器将所述拟似攻击流量分流至所述备选管理器中。
在一些实施例中,所述使所述目标管理器和所述备选管理器分流管理用户流量,包括:向所述目标管理器和所述备选管理器下发第二分流策略,使所述目标管理器和所述备选管理器各自管理来自对应于所述目标管理器的边缘节点的不同转发路径的用户流量。
在一些实施例中,所述将所述目标管理器切换至所述备选管理器,包括:向所述备选管理器下发接管策略,使所述备选管理器管理来自对应于所述目标管理器的边缘节点的全部用户流量。
在一些实施例中,所述管理器集群包含多个部署于管理层的SDWAN管理器;所述边缘节点部署于数据层;所述边缘节点与所述SDWAN管理器之间还包括部署于控制层的SDN控制器,所述SDWAN管理器经所述SDN控制器管理来自所述边缘节点的用户流量。
本发明的另一个方面提供一种DDoS攻击的检测***,包括:流量获取模块,配置为获取管理器集群中流量状态异常的目标管理器的目标流量;初次分析模块,配置为对所述目标流量进行基于机器学习的分析,筛选出所述目标流量中的拟似攻击流量,分流至所述管理器集群的一备选管理器中;再次分析模块,配置为在所述备选管理器中对所述拟似攻击流量进行所述基于机器学习的分析,判断所述拟似攻击流量中是否包含DDoS攻击流量;切换控制模块,配置为当所述拟似攻击流量中包含所述DDoS攻击流量,将所述目标管理器切换至所述备选管理器;分流控制模块,配置为当所述拟似攻击流量中不包含所述DDoS攻击流量,使所述目标管理器和所述备选管理器分流管理用户流量。
本发明的再一个方面提供一种电子设备,包括:一处理器;一存储器,所述存储器中存储有可执行指令;其中,所述可执行指令被所述处理器执行时,实现上述任意实施例所述的DDoS攻击的检测方法。
本发明的又一个方面提供一种计算机可读的存储介质,用于存储程序,所述程序被处理器执行时实现上述任意实施例所述的DDoS攻击的检测方法。
本发明与现有技术相比的有益效果至少包括:
本发明针对管理流量,通过基于机器学习的两轮检测分析,进行初次攻击检测和再次取证分析,以决策管理切换或分流,能够提高检测准确率和处置可靠性,减少对于人工分析和处置的依赖;并且,通过再次取证分析,能够获得当前DDoS攻击的准确特征,给后续研判类似攻击提供依据,减少类似攻击再次发生时的响应时间,形成主动防御。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明一实施例中DDoS攻击的检测方法的实施架构示意图;
图2示出本发明一实施例中DDoS攻击的检测方法的步骤示意图;
图3示出本发明一实施例中初次攻击检测的步骤示意图;
图4示出本发明一实施例中再次取证分析的步骤示意图;
图5示出本发明一实施例中DDoS攻击的检测方法的流程示意图;
图6示出本发明又一实施例中DDoS攻击的检测方法的实施架构示意图;
图7示出本发明一实施例中DDoS攻击的检测***的模块示意图;
图8示出本发明一实施例中电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使本发明全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
此外,附图中所示的流程仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤可以分解,有的步骤可以合并或部分合并,且实际执行的顺序有可能根据实际情况改变。具体描述时使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。需要说明的是,在不冲突的情况下,本发明的实施例及不同实施例中的特征可以相互组合。
本发明的DDoS攻击的检测方法,主要由部署于管理层的设备控制实现,对管理层的管理流量进行DDoS攻击检测。
图1示出一实施例中DDoS攻击的检测方法的实施架构,参照图1所示,DDoS攻击的检测方法主要由部署于管理层的DDoS攻击检测主体133实现,对部署于管理层的管理器集群中各个管理器(包括管理器130a、管理器130b以及其余未示出的管理器)的管理流量进行DDoS攻击检测。管理器集群通过部署于控制层的控制器120管理来自各个边缘节点(包括边缘节点110a、边缘节点110b以及其余未示出的边缘节点)的用户流量。所称的管理包括:控制流量的转发、上传等等,属于已有的技术,本发明对此不作限制。
本实施例中,管理器为SDWAN(Software-Defined Wide Area Network,软件定义广域网)管理器,控制器120为SDN(Software Defined Network,软件定义网络)控制器,边缘节点部署于数据层,为CPE(Customer Premise Equipment,客户前置设备)边缘节点。参照图1中的双向箭头,管理器与控制器120之间,可通过REST北向协议进行通信;控制器120与边缘节点之间,可通过MP-BGP协议进行通信;边缘节点之间,可通过IPSEC协议进行通信。
需要说明的是,图1示出的仅是本发明的一个示例实施方式的实施架构,但不作为本发明的限制。在其他实施例中,DDoS攻击检测主体133可以包含多个设备,管理器/控制器120/边缘节点可以基于其他技术构建,设备间通信可以采用其他可行的通信协议,等等,均包含在本发明的范围内。
图2示出一实施例中DDoS攻击的检测方法的主要步骤,参照图2所示,本实施例中DDoS攻击的检测方法包括:步骤S210,获取管理器集群中流量状态异常的目标管理器的目标流量;步骤S220,对目标流量进行基于机器学习的分析,筛选出目标流量中的拟似攻击流量,分流至管理器集群的一备选管理器中;步骤S230在备选管理器中对拟似攻击流量进行基于机器学习的分析,判断拟似攻击流量中是否包含DDoS攻击流量;若是执行步骤S240,将目标管理器切换至备选管理器,若否执行步骤S250,使目标管理器和备选管理器分流管理用户流量。
结合图1中带有步骤标号的加粗箭头所示,流量状态异常的目标管理器是受到疑似DDoS攻击行为的管理器(例如管理器130a),疑似DDoS攻击行为例如大量用户注册请求,可通过已有的技术监测。当监测到管理器130a受到疑似DDoS攻击行为,将其作为流量状态异常的目标管理器,对其目标流量进行DDoS攻击检测。目标流量即造成疑似DDoS攻击行为的用户流量,由管理器130a对应的边缘节点110a流向管理器130a。所称的对应是指,初始配置状态下,每个管理器管理其对应的一个或多个边缘节点。DDoS攻击检测主体133获取到管理器130a对应的目标流量后,对目标流量进行初次攻击检测,筛选出其中的拟似攻击流量分流至与目标管理器处于不同网络中的备选管理器(管理器集群中的一相对空闲的管理器,例如管理器130b)。
进一步地,在管理器130b中对拟似攻击流量进行再次取证分析,判断疑似DDoS攻击行为是否为DDoS攻击。若是则将目标管理器切换至备选管理器,使备选管理器接管目标管理器,对来自边缘节点110a的用户流量(不包含判断出的DDoS攻击流量)进行管理,以保护目标管理器并实现对来自边缘节点110a的用户流量的正常响应。管理器切换过程中,客观上最多丢失10个数据包,不影响用户体验。对于判断出的DDoS攻击流量,可采用丢弃等传统方式处理。若否则使目标管理器和备选管理器分流管理来自边缘节点110a的用户流量,以减轻用户流量过大对目标管理器造成的冲击,并加快对大量用户流量的响应速度。管理器通过控制器120管理用户流量,各步骤涉及到的设备将在下文中结合图6具体说明。
通过上述的DDoS攻击的检测方法,能够实现针对SDWAN管理流量的分析和防护。采用两轮检测分析,通过初次攻击检测筛选出拟似攻击流量分流到新的SDWAN管理器中,在新的SDWAN管理器中进行再次取证分析,再决策管理切换或分流,能够提高检测准确率和处置可靠性,减少对于人工分析和处置的依赖;并且,通过再次取证分析,能够提取到当前DDoS攻击的准确特征,给后续研判类似攻击提供依据,减少类似攻击再次发生时的响应时间,形成主动防御。
图3示出一实施例中初次攻击检测的主要步骤,参照图3所示,对目标流量进行基于机器学习的分析,包括:步骤S310,通过有监督的机器学习模型对目标流量进行分析,判断目标流量中是否包含第一正常流量和/或拟似攻击流量;步骤S320,若目标流量中包含第一正常流量,通过无监督的机器学习模型对第一正常流量进行分析,判断第一正常流量中是否包含第二正常流量和/或拟似攻击流量;步骤S330,若目标流量中包含拟似攻击流量,则将拟似攻击流量分流至备选管理器中,等待进一步取证。
有监督的机器学习模型具体采用逻辑回归(Logistic Regression,简称LR)模型,无监督的机器学习模型具体采用自适应共振理论(Adaptive Resonance Theory,简称ART)模型。对目标流量进行初次攻击检测时,先自规则数据库中分别获取LR模型和ART模型的判别规则;再利用获取到的判别规则,通过LR模型对目标流量进行LR分析,识别出目标流量中的已知DDoS攻击,分流至其他网络中的备选管理器中等待后续取证;并通过ART模型对第一正常流量,即经LR分析后标记为正常的目标流量进行ART分析,识别出第一正常流量中的异常用户行为,分流至备选管理器中等待后续取证。LR分析和ART分析的具体原理是已有的技术,不再展开说明。通过第一轮的LR-ART分析,能够自目标流量中准确筛选出拟似攻击流量。
进一步地,通过无监督的机器学习模型对第一正常流量进行分析后,若判断第一正常流量中包含第二正常流量,将分析获得的第二正常流量的流量特征,即经ART分析后标记为正常的目标流量的流量特征更新至规则数据库,实现规则数据库的及时反哺,提升后续LR-ART分析的准确性。
在一个实施例中,对目标流量进行基于机器学习的分析时,可以先将目标流量按传输协议分类,例如分为基于MPLS协议的第一类目标流量、基于TCP协议的第二类目标流量和基于UDP协议的第三类目标流量,并取分类后的一类目标流量,例如取第三类目标流量进行初次攻击检测,能够减少初次攻击检测的数据量,提升响应速度。
图4示出一实施例中再次取证分析的主要步骤,参照图4所示,在备选管理器中对拟似攻击流量进行基于机器学习的分析,包括:步骤S410,自更新后的规则数据库中分别获取有监督的机器学习模型和无监督的机器学习模型的判别规则;步骤S420,通过有监督的机器学习模型对拟似攻击流量进行分析,判断拟似攻击流量中是否包含第三正常流量和/或DDoS攻击流量;步骤S430,若拟似攻击流量中包含第三正常流量,通过无监督的机器学习模型对第三正常流量进行分析,并将分析获得的第三正常流量的流量特征更新至规则数据库;步骤S440,若拟似攻击流量中包含DDoS攻击流量,将分析获得的DDoS攻击流量的流量特征更新至规则数据库。
对拟似攻击流量进行再次取证分析时,先自更新后的规则数据库中分别获取LR模型和ART模型的判别规则;再利用获取到的判别规则,通过LR模型对拟似攻击流量进行LR分析和取证,确定拟似攻击流量中的DDoS攻击流量,将DDoS攻击流量的流量特征更新至规则数据库;并通过ART模型对第三正常流量,即经两轮LR分析后标记为正常的目标流量进行ART分析和取证,将第三正常流量的流量特征更新至规则数据库。从而,经第二轮的LR-ART分析,能够准确区分DDoS攻击流量和正常的流量过大,并将DDoS攻击流量和正常流量的流量特征,包括用户特征、行为特征等扩充至规则数据库中,给后续研判类似攻击提供依据,减少类似攻击再次发生时的响应时间,形成主动防御。
图5示出一实施例中DDoS攻击的检测方法的流程,主要是两轮LR-ART分析的流程,参照图5所示,基于上述对初次攻击检测和再次取证分析的说明,两轮LR-ART分析过程包括:初次攻击检测过程S500a,包括:S510,目标流量分类,即按传输协议将目标流量分成不同的类;S520,取一类目标流量,基于规则数据库中的判别规则进行LR分析,输出对应的流量标记;S530,对经LR分析后携带正常流量标记的目标流量进行ART分析,输出对应的流量标记;S540,将经LR分析和ART分析后携带拟似攻击流量标记的目标流量分流至其他网络中的SDWAN管理器,等待进一步取证;S550,将经ART分析后携带正常流量标记的目标流量的流量特征更新至规则数据库。再次取证分析过程S500b,包括:S560,在分流后的SDWAN管理器中,基于更新后的规则数据库,对携带拟似攻击流量标记的目标流量进行LR分析,输出对应的流量标记;S570,将经再次LR分析后携带DDoS攻击流量标记的DDoS攻击流量的流量特征更新至规则数据库;S580,对经再次LR分析后携带正常流量标记的目标流量进行ART分析,输出流量过大标记,并将携带流量过大标记的目标流量的流量特征更新至规则数据库。至此,规则数据库中扩充了DDoS攻击流量和正常流量的流量特征,能够在后续研判类似攻击时作为判别依据,提升响应速度,形成主动防御。S590,根据两轮LR-ART分析的研判结果,采取完全切换至新的SDWAN管理器或维持多个SDWAN管理器分流用户流量的处置措施,具有极强的可靠性。
图6示出一实施例中DDoS攻击的检测方法的详细实施架构,图6所示的实施架构可基于图2所示的实施架构实现,对于图2中已经阐明的关于各个设备的原理不再重复说明。
获取管理器集群中流量状态异常的目标管理器的目标流量,包括:通过管理器集群中的每个管理器监测各自的流量状态;当一目标管理器630a监测到其流量状态异常,向对应的边缘节点610a发送流表生成指令,使边缘节点610a生成上传流表,并根据上传流表经目标管理器630a上传对应的目标流量。
分流至管理器集群的一备选管理器中,包括:向目标管理器630a和备选管理器630b下发第一分流策略,使目标管理器630a将拟似攻击流量分流至备选管理器630b中。
使目标管理器和备选管理器分流管理用户流量,包括:向目标管理器630a和备选管理器630b下发第二分流策略,使目标管理器630a和备选管理器630b各自管理来自对应于目标管理器630a的边缘节点610a的不同转发路径的用户流量。
将目标管理器切换至备选管理器,包括:向备选管理器630b下发接管策略,使备选管理器630b管理来自对应于目标管理器630a的边缘节点610a的全部用户流量。
在一个具体场景中,参照图6所示,边缘节点610a可通过用户注册、认证进程来处理用户注册、认证请求等用户流量,目标管理器630a可通过管理进程管理来自边缘节点610a的用户流量。当目标管理器630a监测到大量由边缘节点610a流向其管理进程的用户流量,判定其流量状态异常,向边缘节点610a发送流表生成指令。边缘节点610a根据流表生成指令,生成OpenFlow上传流表,并根据OpenFlow上传流表上传目标流量。目标流量具体经目标管理器630a的流收集器收集和格式转换处理,上传至分析器660。分析器660为SDWAN分析器,用于进行DDoS攻击检测。分析器660对目标流量进行特征提取和流量分类,并取一类目标流量进行LR-ART第一轮研判。具体分析研判过程可参照上述实施例的说明。
分析器660进行LR-ART第一轮研判时,会自规则数据库中获取判别规则,并将研判结果反哺至规则数据库。规则数据库具体配置于编排器670中,编排器670为SDWAN编排器。编排器670可通过DDoS攻击防御进程,根据研判结果下发对应策略。当LR-ART第一轮研判结果为存在拟似攻击流量,则编排器670通过DDoS攻击防御进程向目标管理器630a和备选管理器630b下发第一分流策略,使目标管理器630a将拟似攻击流量分流至备选管理器630b中,由备选管理器630b负责处理来自边缘节点610a的拟似攻击流量。备选管理器630b同样可通过管理进程管理流量,图6中未具体示出。
进一步地,由备选管理器630b对分流到的拟似攻击流量进行LR-ART第二轮研判,具体分析研判过程同样可参照上述实施例的说明。第二轮研判过程结束后备选管理器630b将研判结果上传至规则数据库,并由编排器670通过DDoS攻击防御进程下发对应策略。当LR-ART第二轮研判结果为不存在DDoS攻击,即管理层的用户流量符合正常用户行为,为正常的流量过大,则编排器670向目标管理器630a和备选管理器630b下发第二分流策略,使目标管理器630a和备选管理器630b根据用户流量的不同转发路径,通过控制器620分流管理来自边缘节点610a的用户流量,共同处理用户的认证和注册等请求流量。目标管理器630a和备选管理器630b可分别向控制器620下发管理策略,使控制器620根据管理策略控制边缘节点610a的OpenFlow转发流表,OpenFlow转发流表用于控制用户流量的转发。控制器620可通过控制进程控制OpenFlow转发流表。
当LR-ART第二轮研判结果为存在DDoS攻击,则编排器670仅向备选管理器630b下发接管策略,使备选管理器630b完全接管来自边缘节点610a的全部用户流量。
当下次类似流量通过同一边缘节点610a发起用户注册、认证请求,则分析器660和编排器670能够根据规则数据库中的历史研判结果,快速做出响应,维持用户流量分流管理或完全切换的处置方式,实现对管理层网络的及时防护。并且,边缘节点610a支持多发选收的功能,在部分端口受到攻击的同时,能够维持流表信息的畅通,为第二轮研判的取证分析提供条件。
本发明实施例还提供一种DDoS攻击的检测***,可用于实现上述任意实施例描述的DDoS攻击的检测方法。上述任意实施例描述的DDoS攻击检测的特征和原理均可应用至下面的检测***实施例。在下面的检测***实施例中,对已经阐明的关于DDoS攻击检测的特征和原理不再重复说明。
图7示出一实施例中DDoS攻击的检测***的主要模块,参照图7所示,DDoS攻击的检测***700包括:流量获取模块710,配置为获取管理器集群中流量状态异常的目标管理器的目标流量;初次分析模块720,配置为对目标流量进行基于机器学习的分析,筛选出目标流量中的拟似攻击流量,分流至管理器集群的一备选管理器中;再次分析模块730,配置为在备选管理器中对拟似攻击流量进行基于机器学习的分析,判断拟似攻击流量中是否包含DDoS攻击流量;切换控制模块740,配置为当拟似攻击流量中包含DDoS攻击流量,将目标管理器切换至备选管理器;分流控制模块750,配置为当拟似攻击流量中不包含DDoS攻击流量,使目标管理器和备选管理器分流管理用户流量。
进一步地,DDoS攻击的检测***700还可包括实现上述DDoS攻击的检测方法实施例的其他流程步骤的模块,各个模块的具体原理可参照上述各DDoS攻击的检测方法实施例的描述,例如,DDoS攻击检测***的具体实施架构可采用图6所示的实施架构,此处不再重复说明。
本发明的DDoS攻击的检测***,能够针对管理流量,通过基于机器学习的两轮检测分析,进行初次攻击检测和再次取证分析,以决策管理切换或分流,提高检测准确率和处置可靠性,减少对于人工分析和处置的依赖;并且,通过再次取证分析,能够获得当前DDoS攻击的准确特征,给后续研判类似攻击提供依据,减少类似攻击再次发生时的响应时间,形成主动防御。
本发明实施例还提供一种电子设备,包括处理器和存储器,存储器中存储有可执行指令,可执行指令被处理器执行时,实现上述任意实施例描述的DDoS攻击的检测方法。
本发明的电子设备能够针对管理流量,通过基于机器学习的两轮检测分析,进行初次攻击检测和再次取证分析,以决策管理切换或分流,提高检测准确率和处置可靠性,减少对于人工分析和处置的依赖;并且,通过再次取证分析,能够获得当前DDoS攻击的准确特征,给后续研判类似攻击提供依据,减少类似攻击再次发生时的响应时间,形成主动防御。
图8是本发明实施例中电子设备的结构示意图,应当理解的是,图8仅仅是示意性地示出各个模块,这些模块可以是虚拟的软件模块或实际的硬件模块,这些模块的合并、拆分及其余模块的增加都在本发明的保护范围之内。
如图8所示,电子设备800以通用计算设备的形式表现。电子设备800的组件包括但不限于:至少一个处理单元810、至少一个存储单元820、连接不同平台组件(包括存储单元820和处理单元810)的总线830、显示单元840等。
其中,存储单元存储有程序代码,程序代码可以被处理单元810执行,使得处理单元810实现上述任意实施例描述的DDoS攻击的检测方法。
存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202,还可以进一步包括只读存储单元(ROM)8203。
存储单元820还可以包括具有一个或多个程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备900通信,外部设备900可以是键盘、指向设备、蓝牙设备等设备中的一种或多种。这些外部设备900使得用户能与该电子设备800进行交互通信。电子设备800也能与一个或多个其它计算设备进行通信,所示计算机设备包括路由器、调制解调器。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器860可以通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读的存储介质,用于存储程序,程序被执行时实现上述任意实施例描述的DDoS攻击的检测方法。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行上述任意实施例描述的DDoS攻击的检测方法。
本发明的计算机可读的存储介质能够针对管理流量,通过基于机器学习的两轮检测分析,进行初次攻击检测和再次取证分析,以决策管理切换或分流,提高检测准确率和处置可靠性,减少对于人工分析和处置的依赖;并且,通过再次取证分析,能够获得当前DDoS攻击的准确特征,给后续研判类似攻击提供依据,减少类似攻击再次发生时的响应时间,形成主动防御。
在一些实施方式中,计算机可读的存储介质可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子包括但不限于:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读的存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备,例如利用因特网服务提供商来通过因特网连接。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (14)
1.一种DDoS攻击的检测方法,其特征在于,包括:
获取管理器集群中流量状态异常的目标管理器的目标流量;
对所述目标流量进行基于机器学习的分析,筛选出所述目标流量中的拟似攻击流量,分流至所述管理器集群的一备选管理器中;
在所述备选管理器中对所述拟似攻击流量进行所述基于机器学习的分析,判断所述拟似攻击流量中是否包含DDoS攻击流量;
若是,将所述目标管理器切换至所述备选管理器,若否,使所述目标管理器和所述备选管理器分流管理用户流量。
2.如权利要求1所述的检测方法,其特征在于,所述对所述目标流量进行基于机器学习的分析,包括:
通过有监督的机器学习模型对所述目标流量进行分析,判断所述目标流量中是否包含第一正常流量和/或拟似攻击流量;
若所述目标流量中包含所述第一正常流量,通过无监督的机器学习模型对所述第一正常流量进行分析,判断所述第一正常流量中是否包含第二正常流量和/或所述拟似攻击流量。
3.如权利要求2所述的检测方法,其特征在于,所述对所述目标流量进行基于机器学习的分析时,自规则数据库中分别获取所述有监督的机器学习模型和所述无监督的机器学习模型的判别规则;
所述通过无监督的机器学习模型对所述第一正常流量进行分析后,若所述第一正常流量中包含所述第二正常流量,将分析获得的所述第二正常流量的流量特征更新至所述规则数据库。
4.如权利要求3所述的检测方法,其特征在于,所述在所述备选管理器中对所述拟似攻击流量进行所述基于机器学习的分析,包括:
自更新后的规则数据库中分别获取所述有监督的机器学习模型和所述无监督的机器学习模型的判别规则;
通过所述有监督的机器学习模型对所述拟似攻击流量进行分析,判断所述拟似攻击流量中是否包含第三正常流量和/或DDoS攻击流量;
若所述拟似攻击流量中包含所述第三正常流量,通过所述无监督的机器学习模型对所述第三正常流量进行分析,并将分析获得的所述第三正常流量的流量特征更新至所述规则数据库;
若所述拟似攻击流量中包含所述DDoS攻击流量,将分析获得的所述DDoS攻击流量的流量特征更新至所述规则数据库。
5.如权利要求2-4任一项所述的检测方法,其特征在于,所述有监督的机器学习模型为逻辑回归模型,所述无监督的机器学习模型为自适应共振理论模型。
6.如权利要求1所述的检测方法,其特征在于,所述对所述目标流量进行基于机器学习的分析时,将所述目标流量按传输协议分类,并取分类后的一类目标流量进行所述基于机器学习的分析。
7.如权利要求1所述的检测方法,其特征在于,所述获取管理器集群中流量状态异常的目标管理器的目标流量,包括:
通过所述管理器集群中的每个管理器监测各自的流量状态;
当一目标管理器监测到其流量状态异常,向对应的边缘节点发送流表生成指令,使所述边缘节点生成上传流表,并根据所述上传流表经所述目标管理器上传对应的目标流量。
8.如权利要求1所述的检测方法,其特征在于,所述分流至所述管理器集群的一备选管理器中,包括:
向所述目标管理器和所述备选管理器下发第一分流策略,使所述目标管理器将所述拟似攻击流量分流至所述备选管理器中。
9.如权利要求1所述的检测方法,其特征在于,所述使所述目标管理器和所述备选管理器分流管理用户流量,包括:
向所述目标管理器和所述备选管理器下发第二分流策略,使所述目标管理器和所述备选管理器各自管理来自对应于所述目标管理器的边缘节点的不同转发路径的用户流量。
10.如权利要求1所述的检测方法,其特征在于,所述将所述目标管理器切换至所述备选管理器,包括:
向所述备选管理器下发接管策略,使所述备选管理器管理来自对应于所述目标管理器的边缘节点的全部用户流量。
11.如权利要求9或10所述的检测方法,其特征在于,所述管理器集群包含多个部署于管理层的SDWAN管理器;
所述边缘节点部署于数据层;
所述边缘节点与所述SDWAN管理器之间还包括部署于控制层的SDN控制器,所述SDWAN管理器经所述SDN控制器管理来自所述边缘节点的用户流量。
12.一种DDoS攻击的检测***,其特征在于,包括:
流量获取模块,配置为获取管理器集群中流量状态异常的目标管理器的目标流量;
初次分析模块,配置为对所述目标流量进行基于机器学习的分析,筛选出所述目标流量中的拟似攻击流量,分流至所述管理器集群的一备选管理器中;
再次分析模块,配置为在所述备选管理器中对所述拟似攻击流量进行所述基于机器学习的分析,判断所述拟似攻击流量中是否包含DDoS攻击流量;
切换控制模块,配置为当所述拟似攻击流量中包含所述DDoS攻击流量,将所述目标管理器切换至所述备选管理器;
分流控制模块,配置为当所述拟似攻击流量中不包含所述DDoS攻击流量,使所述目标管理器和所述备选管理器分流管理用户流量。
13.一种电子设备,其特征在于,包括:
一处理器;
一存储器,所述存储器中存储有可执行指令;
其中,所述可执行指令被所述处理器执行时,实现如权利要求1-11任一项所述的DDoS攻击的检测方法。
14.一种计算机可读的存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现如权利要求1-11任一项所述的DDoS攻击的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110744256.3A CN113489711B (zh) | 2021-07-01 | 2021-07-01 | DDoS攻击的检测方法、***、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110744256.3A CN113489711B (zh) | 2021-07-01 | 2021-07-01 | DDoS攻击的检测方法、***、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113489711A true CN113489711A (zh) | 2021-10-08 |
| CN113489711B CN113489711B (zh) | 2022-09-27 |
Family
ID=77937502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110744256.3A Active CN113489711B (zh) | 2021-07-01 | 2021-07-01 | DDoS攻击的检测方法、***、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113489711B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114567512A (zh) * | 2022-04-26 | 2022-05-31 | 深圳市永达电子信息股份有限公司 | 基于改进art2的网络入侵检测方法、装置及终端 |
| CN116055217A (zh) * | 2023-03-06 | 2023-05-02 | 广州启宁信息科技有限公司 | 基于sd-wan组网安全管理方法、***、设备及介质 |
| CN116405331A (zh) * | 2023-06-08 | 2023-07-07 | 北京安天网络安全技术有限公司 | 一种分段式数据获取方法、存储介质及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179136A (zh) * | 2013-04-22 | 2013-06-26 | 南京铱迅信息技术有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和*** |
| US20180007084A1 (en) * | 2016-06-29 | 2018-01-04 | Cisco Technology, Inc. | Automatic retraining of machine learning models to detect ddos attacks |
| CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
| CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与*** |
| CN110830469A (zh) * | 2019-11-05 | 2020-02-21 | 中国人民解放军战略支援部队信息工程大学 | 基于SDN和BGP流程规范的DDoS攻击防护***及方法 |
| CN112995202A (zh) * | 2021-04-08 | 2021-06-18 | 昆明理工大学 | 一种基于SDN的DDoS攻击检测方法 |
-
2021
- 2021-07-01 CN CN202110744256.3A patent/CN113489711B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179136A (zh) * | 2013-04-22 | 2013-06-26 | 南京铱迅信息技术有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和*** |
| US20180007084A1 (en) * | 2016-06-29 | 2018-01-04 | Cisco Technology, Inc. | Automatic retraining of machine learning models to detect ddos attacks |
| CN108123931A (zh) * | 2017-11-29 | 2018-06-05 | 浙江工商大学 | 一种软件定义网络中的DDoS攻击防御装置及方法 |
| CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与*** |
| CN110830469A (zh) * | 2019-11-05 | 2020-02-21 | 中国人民解放军战略支援部队信息工程大学 | 基于SDN和BGP流程规范的DDoS攻击防护***及方法 |
| CN112995202A (zh) * | 2021-04-08 | 2021-06-18 | 昆明理工大学 | 一种基于SDN的DDoS攻击检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| 刘振鹏等: "SDN环境下的DDoS攻击检测方案", 《武汉大学学报(理学版)》 * |
| 徐洋等: "SDN中DDoS检测及多层防御方法研究", 《信息网络安全》 * |
| 熊茂华等: "《无线传感器网络技术及应用》", 31 January 2014 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114567512A (zh) * | 2022-04-26 | 2022-05-31 | 深圳市永达电子信息股份有限公司 | 基于改进art2的网络入侵检测方法、装置及终端 |
| CN114567512B (zh) * | 2022-04-26 | 2022-08-23 | 深圳市永达电子信息股份有限公司 | 基于改进art2的网络入侵检测方法、装置及终端 |
| CN116055217A (zh) * | 2023-03-06 | 2023-05-02 | 广州启宁信息科技有限公司 | 基于sd-wan组网安全管理方法、***、设备及介质 |
| CN116405331A (zh) * | 2023-06-08 | 2023-07-07 | 北京安天网络安全技术有限公司 | 一种分段式数据获取方法、存储介质及电子设备 |
| CN116405331B (zh) * | 2023-06-08 | 2023-08-11 | 北京安天网络安全技术有限公司 | 一种分段式数据获取方法、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113489711B (zh) | 2022-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113489711B (zh) | DDoS攻击的检测方法、***、电子设备和存储介质 | |
| US11201882B2 (en) | Detection of malicious network activity | |
| AlEroud et al. | Identifying cyber-attacks on software defined networks: An inference-based intrusion detection approach | |
| JP5544006B2 (ja) | 情報通信処理システム | |
| US20060067240A1 (en) | Apparatus and method for detecting network traffic abnormality | |
| US20200314128A1 (en) | Detecting Anomalies In Networks | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| US20200195517A1 (en) | SYSTEM FOR IDENTIFYING AND ASSISTING IN THE CREATION AND IMPLEMENTATION OF A NETWORK SERVICE CONFIGURATION USING HIDDEN MARKOV MODELS (HMMs) | |
| US20210360406A1 (en) | Internet-of-things device classifier | |
| KR100439177B1 (ko) | 네트워크 보안 정책의 표현,저장 및 편집 방법 | |
| CN114448830A (zh) | 一种设备检测***及方法 | |
| CN113328985A (zh) | 一种被动物联网设备识别方法、***、介质及设备 | |
| Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
| Gómez et al. | Traffic classification in IP networks through Machine Learning techniques in final systems | |
| CN116723136B (zh) | 应用fcm聚类算法的网络检测数据的方法 | |
| CN117640335A (zh) | 一种智能建筑综合布线的动态调整和优化方法 | |
| KR102170743B1 (ko) | 비지도 학습 기법을 이용한 네트워크 정상상태 모델링 방법 및 장치 | |
| US20210135952A1 (en) | Device interface matching using an artificial neural network | |
| RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
| CN114978561A (zh) | 一种实时高速网络tcp协议旁路批量主机阻断方法及*** | |
| CN106027405B (zh) | 数据流的分流方法及装置 | |
| CN116094749B (zh) | 一种针对crossfire tcp流量攻击的检测防御方法及*** | |
| CN112738808B (zh) | 无线网络中DDoS攻击检测方法、云服务器及移动终端 | |
| JP4361570B2 (ja) | パケット制御命令管理方法 | |
| Mohammed et al. | Secure SDN Traffic based on Machine Learning Classifier |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |