CN114629694B - 一种分布式拒绝服务DDoS的检测方法及相关装置 - Google Patents
一种分布式拒绝服务DDoS的检测方法及相关装置 Download PDFInfo
- Publication number
- CN114629694B CN114629694B CN202210187749.6A CN202210187749A CN114629694B CN 114629694 B CN114629694 B CN 114629694B CN 202210187749 A CN202210187749 A CN 202210187749A CN 114629694 B CN114629694 B CN 114629694B
- Authority
- CN
- China
- Prior art keywords
- ddos
- flow
- service flow
- processing unit
- central processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 64
- 238000012545 processing Methods 0.000 claims abstract description 109
- 230000007123 defense Effects 0.000 claims abstract description 65
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012546 transfer Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种分布式拒绝服务DDoS的检测方法及相关装置。该方法应用于DDoS防御设备,该DDoS防御设备包括一个第一中央处理器和至少一个第二中央处理器,该方法包括:每隔第一预设时间段,第一中央处理器接收各第二中央处理器上报的业务流量,并根据预设DDoS检测方式对汇总业务流量进行DDos检测;其中,第二中央处理器上报的业务流量为流经第二中央处理器的业务流量;汇总业务流量为流经第一中央处理器和第二中央处理器的业务流量;上述流程通过将各中央处理器的业务流量进行汇总,统一进行DDoS检测。并在检测到存在DDoS攻击时,为设备中的每一中央处理器启用DDoS防御,以降低受到DDoS攻击的风险。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种分布式拒绝服务DDoS的检测方法及相关装置。
背景技术
分布式***中多存在多个中央处理器(central processing unit,CPU)CPU,业务流量进入分布式***后会基于预先设定的规则分流到各中央处理器中。相关技术中,多控制***中的每一中央处理器对流经自身的业务流量进行阈值检测,并根据业务流量与预设阈值的比对结果确定该中央处理器是否遭受分布式拒绝服务(Distributed Denial ofService,DDoS)攻击,在DDoS检测后,仅会为检测到存在DDoS攻击的中央处理器开启DDoS防御。
分布式***中的业务流量会被分流,故存在分流后的业务流量具备DDoS攻击但未超过阈值的情况。由于上述检测方式仅会为检测到存在DDoS攻击的中央处理器开启DDoS防御,该情况下若存在具备DDoS攻击且未超过阈值的业务流量经过CPU,则不会启用DDoS防御,造成安全隐患。
发明内容
本发明提供一种分布式拒绝服务DDoS的检测方法及相关装置,用于将各中央处理器的业务流量汇总后统一进行DDoS检测,并在检测到存在DDoS攻击时,为全部中央处理器启用DDoS防御,以降低受到DDoS攻击的风险。
第一方面,本发明实施例提供一种分布式拒绝服务DDoS的检测方法,应用于DDoS防御设备,所述DDoS防御设备中至少包括一个第一中央处理器和至少一个第二中央处理器,所述方法包括:
每隔第一预设时间段,所述第一中央处理器接收各所述第二中央处理器上报的业务流量,并根据预设DDoS检测方式对汇总业务流量进行DDos检测;其中,所述第二中央处理器上报的业务流量为流经所述第二中央处理器的业务流量;所述汇总业务流量为流经所述第一中央处理器和所述第二中央处理器的业务流量;
若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御。
本申请实施例的DDoS防御设备中包括一个第一中央处理器和至少一个第二中央处理器。每隔第一预设时间段,第一中央处理器会接收第二中央处理器上报的业务流量,并根据预设DDoS检测方式对汇总业务流量进行DDoS检测,该汇总业务流量为流经第一中央处理器和第二中央处理器的业务流量。若检测到汇总业务流量存在DDoS攻击,则为第一中央处理器和每一第二中央处理器启用DDoS防御。上述流程中,将各中央处理器的业务流量进行汇总,统一进行DDoS检测。并在检测到存在DDoS攻击时,为设备中的每一中央处理器启用DDoS防御,以降低受到DDoS攻击的风险。
在一些可能的实施例中,所述第一中央处理器和所述第二中央处理器是基于中央处理器的标识信息确定。
本申请实施例基于中央处理器的标识信息规定第一中央处理器和第二中央处理器,以明确各第二中央处理器的业务流量向第一中央处理器汇总。
在一些可能的实施例中,根据预设DDoS检测方式对汇总业务流量进行DDos检测,包括:
确定所述汇总业务流量中各目标流量的数据量;
针对每一目标流量的数据量,根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击。
本申请实施例根据汇总业务流量中各目标流量的数据量确定该汇总业务流量是否存在DDoS攻击,以提高DDoS检测的精度。
在一些可能的实施例中,所述目标流量至少包括传输控制协议、用户数据报协议、超文本传输协议以及域名***报文的流量;
所述根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击,包括:
若所述传输控制协议的数据量大于第一流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述用户数据报协议的数据量大于第二流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述超文本传输协议的数据量大于第三流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述域名***报文的数据量大于第四流量阈值,则确定所述汇总业务流量存在DDoS攻击。
本申请实施例的目标流量至少包括传输控制协议、用户数据报协议、超文本传输协议以及域名***报文的流量,并针对每一目标流量设有对应的阈值,执行DDoS检测时,通过检测每一目标流量的数据量是否满足对应的流量阈值来确定汇总业务流量是否存在DDoS攻击,以此提高DDoS检测的精度。
在一些可能的实施例中,所述方法还包括:
对所述目标流量进行DDoS检测时,若确定所述目标流量为传输控制协议,则分别检测所述目标流量中各目标消息的数据量;所述目标消息至少包括SYN、ACK以及SYN-ACK;
若所述SYN的数据量大于第五流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述ACK的数据量大于第六流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述SYN-ACK的数据量大于第七阈值,则确定所述汇总业务流量存在DDoS攻击。
本申请实施例对传输控制协议进行DDoS检测时,需对传输控制歇息中各目标消息的数据量进行阈值检测,以提高DDoS检测的精度。
在一些可能的实施例中,若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御,包括:
确定所述汇总业务流量中的待处理流量;所述待处理流量为各目标流量中,数据量大于所述目标流量对应流量阈值的目标流量;
为所述第一中央处理器以及各所述第二中央处理器启用所述目标流量对应的DDoS防御。
本申请实施例在检测到汇总业务流量中存在DDoS攻击时,为第一中央处理器以及各所述第二中央处理器启用该目标流量对应的DDoS防御,以降低受到DDoS攻击的风险。
第二方面,本申请实施例提供了一种DDoS防御装置,所述设备包括:
DDoS检测模块,被配置为每隔第一预设时间段,控制第一中央处理器接收各第二中央处理器上报的业务流量,并根据预设DDoS检测方式对汇总业务流量进行DDos检测;其中,所述第二中央处理器上报的业务流量为流经所述第二中央处理器的业务流量;所述汇总业务流量为流经所述第一中央处理器和所述第二中央处理器的业务流量;
DDoS防御模块,被配置为执行若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御。
在一些可能的实施例中,所述第一中央处理器和所述第二中央处理器基于中央处理器的标识信息确定。
在一些可能的实施例中,执行所述根据预设DDoS检测方式对汇总业务流量进行DDos检测,所述DDoS检测模块被配置为:
确定所述汇总业务流量中各目标流量的数据量;
针对每一目标流量的数据量,根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击。
在一些可能的实施例中,所述目标流量至少包括传输控制协议、用户数据报协议、超文本传输协议以及域名***报文的流量;
执行所述根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击,所述DDoS检测模块被配置为:
若所述传输控制协议的数据量大于第一流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述用户数据报协议的数据量大于第二流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述超文本传输协议的数据量大于第三流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述域名***报文的数据量大于第四流量阈值,则确定所述汇总业务流量存在DDoS攻击。
在一些可能的实施例中,所述DDoS检测模块还被配置为:
对所述目标流量进行DDoS检测时,若确定所述目标流量为传输控制协议,则分别检测所述目标流量中各目标消息的数据量;所述目标消息至少包括SYN、ACK以及SYN-ACK;
若所述SYN的数据量大于第五流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述ACK的数据量大于第六流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述SYN-ACK的数据量大于第七阈值,则确定所述汇总业务流量存在DDoS攻击。
在一些可能的实施例中,执行所述若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御,所述DDoS防御模块被配置为:
确定所述汇总业务流量中的待处理流量;所述待处理流量为各目标流量中,数据量大于所述目标流量对应流量阈值的目标流量;
为所述第一中央处理器以及各所述第二中央处理器启用所述目标流量对应的DDoS防御。
第三方面,本申请实施例还提供了一种DDoS防御设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如本申请第一方面中提供的任一方法。
第四方面,本申请实施例还提供了一种存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行如本申请第一方面中提供的任一方法。
第五方面,本申请一实施例提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如本申请第一方面中提供的任一方法。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例示出的相关技术中DDoS的检测方式示意图;
图2a为本申请实施例示出的分布式拒绝服务DDoS的检测方法流程图;
图2b为本申请实施例示出的汇总业务流量示意图;
图2c为本申请实施例示出的对目标流量进行DDoS检测示意图;
图2d为本申请实施例示出的对传输控制协议进行DDoS检测示意图;
图3为本申请实施例示出的DDoS防御装置300的结构图;
图4为本申请实施例示出的DDoS防御设备130的结构图。
具体实施方式
下面将结合附图对本申请实施例中的技术方案进行清楚、详尽地描述。在本申请实施例的描述中,除非另有说明,“面将表示或的意思,例如,A/B可以表示A或B;文本中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,另外,在本申请实施例的描述中,“多个”是指两个或多于两个。
在本申请实施例的描述中,除非另有说明,术语“多个”是指两个或两个以上,其它量词与之类似应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。方法在实际的处理过程中或者控制设备执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行。
相关技术中,对DDoS的检测方式具体如图1所示,例如共有3个CPU,分别为CPU1、CPU2和CPU3。分布式***首先将业务流量分流给各CPU,即图1示出的业务流量1~3。然后每一CPU以阈值比对的方式对流经自身的业务流量进行DDoS检测。例如仅检测到流经CPU2的业务流量存在DDoS攻击,则仅会为CPU2启用DDoS防御,而针对CPU1和CPU3则不会启用防御。
由于分布式***中的业务流量会被分流,故存在分流后的业务流量具备DDoS攻击但未超过阈值的情况。仍以上述图1为例,假设分流前的业务流量存在DDoS攻击的流量数据,分流前的业务流量为3000pps(每秒报文个数)。若分给CPU1的业务流量为1000pps,分给CPU2的业务流量为1500pps,而分给CPU3的业务流量为500pps。假设每一CPU的检测阈值均为1500pps,则仅会检测到流经CPU2的业务流量存在DDoS攻击。即,仅会为CPU2启用DDoS防御。此时流经CUP1和CPU3的业务流量也可能具备DDoS攻击,但由于小于检测阈值而未被检测到,进而造成安全隐患。
为解决上述问题,本申请的发明构思为:每隔第一预设时间段,第一中央处理器接收第二中央处理器上报的业务流量,并根据预设DDoS检测方式对汇总业务流量进行DDoS检测,该汇总业务流量为流经第一中央处理器和第二中央处理器的业务流量。若检测到汇总业务流量存在DDoS攻击,则为设备中的第一中央处理器和每一第二中央处理器启用DDoS防御。上述流程中,将各中央处理器的业务流量进行汇总,统一进行DDoS检测。并在检测到存在DDoS攻击时,为设备中的每一中央处理器启用DDoS防御,以降低受到DDoS攻击的风险。
下面结合附图对本申请实施例提供的一种分布式拒绝服务DDoS方法进行详细说明,具体如图2a所示,包括以下步骤:
步骤201:每隔第一预设时间段,所述第一中央处理器接收各所述第二中央处理器上报的业务流量,并根据预设DDoS检测方式对汇总业务流量进行DDos检测;其中,所述第二中央处理器上报的业务流量为流经所述第二中央处理器的业务流量;所述汇总业务流量为流经所述第一中央处理器和所述第二中央处理器的业务流量;
本申请实施例针对DDoS防御设备内的多个中央处理器,预先设置一个第一中央处理器,并将余下中央处理器作为第二处理器。实施时,可根据中央处理器的标识信息确定第一中央处理器和第二中央处理器。
在确定第一中央处理器和第二中央处理器后,具体如图2b所示,每隔第一预设时间段,控制每一第二中央处理器将流经自身的业务流量发送给第一中央处理器,此时第一中央处理器得到了包含自身的业务流量1和每一第二中央处理器的业务流量(即业务流量2和业务流量3)的汇总业务流量。然后,第一中央处理器对汇总业务流量进行DDoS检测。
实施时,首先确定汇总业务流量中各目标流量的数据量,然后针对每一目标流量的数据量,根据该数据量与流量阈值的比对结果确定汇总业务流量是否存在DDoS攻击。具体的,每个中央处理器可对流经自身的业务流量进行目标流量的统计,然后第二中央处理器将自身统计结果发给第一中央处理器,第一中央处理器将自身统计结果和每一第二中央处理器的统计结果按照目标流量进行分类统计。
具体如图2c所示,目标流量至少包括传输控制协议(Transmission ControlProtocol,TCP)、用户数据报协议(User Datagram Protocol,UDP)、超文本传输协议(HyperText Transfer Protocol,HTTP)以及域名***报文(Domain Name System,DNS)的流量。
若传输控制协议的数据量大于第一流量阈值,则确定汇总业务流量存在DDoS攻击;若用户数据报协议的数据量大于第二流量阈值,则确定汇总业务流量存在DDoS攻击;若超文本传输协议的数据量大于第三流量阈值,则确定汇总业务流量存在DDoS攻击;若域名***报文的数据量大于第四流量阈值,则确定汇总业务流量存在DDoS攻击。
在一些可能的实施例中,为提高DDoS检测的精度,对传输控制协议目标流量进行DDoS检测时,需分别检测传输控制协议中各目标消息的数据量。具体如图2d所示,目标消息即为传输控制协议中的消息名称,包括SYN、ACK以及SYN-ACK。对传输控制协议进行DDoS检测时,若传输控制协议中SYN的数据量大于第五流量阈值,则确定汇总业务流量存在DDoS攻击;若ACK的数据量大于第六流量阈值,则确定汇总业务流量存在DDoS攻击;若SYN-ACK的数据量大于第七阈值,则确定汇总业务流量存在DDoS攻击。
步骤202:若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器开启DDoS防御。
实施时,确定汇总业务流量中的待处理流量,待处理流量即为各目标流量中,数据量大于目标流量对应流量阈值的目标流量。然后控制第一中央处理器以及各第二中央处理器开启目标流量对应的DDoS防御。例如有1,2,3号CPU,单位时间内流经自身的SYN数据量分别为300pps、600pps和600pps,3号CPU为第一CPU,那么1号和2号CPU会将流量数据发送到3号CPU进行汇总,得到1500pps的汇总业务流量。3号CPU汇总完流量后,需判断每一类型的目标流量是否超过检测阈值,如果超过,则触发对应类型流量的防御处理流程。比如SYN对应的第五流量阈值为1000pps。假设流量汇总后,汇总业务流量中的SYN数据量为1500pps,那么3号CPU会判定受到SYN攻击,DDoS设备为每一CPU启用针对SYN的防御。
上述流程中,将各中央处理器的业务流量进行汇总,统一进行DDoS检测。并在检测到存在DDoS攻击时,为设备中的每一中央处理器启用DDoS防御,以降低受到DDoS攻击的风险。
基于相同的发明构思,本申请实施例还提供了一种DDoS防御装置300,具体如图3所示,该装置包括:
DDoS检测模块301,被配置为每隔第一预设时间段,控制第一中央处理器接收各第二中央处理器上报的业务流量,并根据预设DDoS检测方式对汇总业务流量进行DDos检测;其中,所述第二中央处理器上报的业务流量为流经所述第二中央处理器的业务流量;所述汇总业务流量为流经所述第一中央处理器和所述第二中央处理器的业务流量;
DDoS防御模块302,被配置为执行若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御。
在一些可能的实施例中,所述第一中央处理器和所述第二中央处理器基于中央处理器的标识信息确定。
在一些可能的实施例中,执行所述根据预设DDoS检测方式对汇总业务流量进行DDos检测,所述DDoS检测模块301被配置为:
确定所述汇总业务流量中各目标流量的数据量;
针对每一目标流量的数据量,根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击。
在一些可能的实施例中,所述目标流量至少包括传输控制协议、用户数据报协议、超文本传输协议以及域名***报文的流量;
执行所述根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击,所述DDoS检测模块301被配置为:
若所述传输控制协议的数据量大于第一流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述用户数据报协议的数据量大于第二流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述超文本传输协议的数据量大于第三流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述域名***报文的数据量大于第四流量阈值,则确定所述汇总业务流量存在DDoS攻击。
在一些可能的实施例中,所述DDoS检测模块301还被配置为:
对所述目标流量进行DDoS检测时,若确定所述目标流量为传输控制协议,则分别检测所述目标流量中各目标消息的数据量;所述目标消息至少包括SYN、ACK以及SYN-ACK;
若所述SYN的数据量大于第五流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述ACK的数据量大于第六流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述SYN-ACK的数据量大于第七阈值,则确定所述汇总业务流量存在DDoS攻击。
在一些可能的实施例中,执行所述若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御,所述DDoS防御模块302被配置为:
确定所述汇总业务流量中的待处理流量;所述待处理流量为各目标流量中,数据量大于所述目标流量对应流量阈值的目标流量;
为所述第一中央处理器以及各所述第二中央处理器启用所述目标流量对应的DDoS防御。
下面参照图4来描述根据本申请的这种实施方式的DDoS防御设备130。图4显示的DDoS防御设备130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,DDoS防御设备130以通用DDoS防御设备的形式表现。DDoS防御设备130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同***组件(包括存储器132和处理器131)的总线133。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、***总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。
存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
DDoS防御设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与DDoS防御设备130交互的设备通信,和/或与使得该DDoS防御设备130能与一个或多个其它DDoS防御设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,DDoS防御设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于DDoS防御设备130的其它模块通信。应当理解,尽管图中未示出,可以结合DDoS防御设备130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
在示例性实施例中,还提供了一种包括指令的计算机可读存储介质,例如包括指令的存储器132,上述指令可由装置400的处理器131执行以完成上述方法。可选地,计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器131执行时实现如本申请提供的一种分布式拒绝服务DDoS的检测方法。
在示例性实施例中,本申请提供的一种分布式拒绝服务DDoS的检测方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种分布式拒绝服务DDoS的检测方法中的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的用于一种分布式拒绝服务DDoS的检测的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在DDoS防御设备上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“如“语言或类似的程序设计语言。程序代码可以完全地在用户DDoS防御设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户DDoS防御设备上部分在远程DDoS防御设备上执行、或者完全在远程DDoS防御设备或服务端上执行。在涉及远程DDoS防御设备的情形中,远程DDoS防御设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户DDoS防御设备,或者,可以连接到外部DDoS防御设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程图像缩放设备的处理器以产生一个机器,使得通过计算机或其他可编程图像缩放设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程图像缩放设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程图像缩放设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (8)
1.一种分布式拒绝服务DDoS的检测方法,其特征在于,应用于DDoS防御设备,所述DDoS防御设备中至少包括一个第一中央处理器和至少一个第二中央处理器,所述方法包括:
每隔第一预设时间段,所述第一中央处理器接收各所述第二中央处理器上报的业务流量,并确定汇总业务流量中各目标流量的数据量;
针对每一目标流量的数据量,根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击;其中,所述第二中央处理器上报的业务流量为流经所述第二中央处理器的业务流量;所述汇总业务流量是对所述第一预设时间段内,流经所述第一中央处理器和各所述第二中央处理器的业务流量的汇总结果;
若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御。
2.根据权利要求1所述的方法,其特征在于,所述第一中央处理器和所述第二中央处理器基于中央处理器的标识信息确定。
3.根据权利要求1所述的方法,其特征在于,所述目标流量至少包括传输控制协议、用户数据报协议、超文本传输协议以及域名***报文的流量;
所述根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击,包括:
若所述传输控制协议的数据量大于第一流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述用户数据报协议的数据量大于第二流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述超文本传输协议的数据量大于第三流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述域名***报文的数据量大于第四流量阈值,则确定所述汇总业务流量存在DDoS攻击。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
对所述目标流量进行DDoS检测时,若确定所述目标流量为传输控制协议,则分别检测所述目标流量中各目标消息的数据量;所述目标消息至少包括SYN、ACK以及SYN-ACK;
若所述SYN的数据量大于第五流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述ACK的数据量大于第六流量阈值,则确定所述汇总业务流量存在DDoS攻击;
若所述SYN-ACK的数据量大于第七阈值,则确定所述汇总业务流量存在DDoS攻击。
5.根据权利要求1-4中任一所述的方法,其特征在于,所述若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御,包括:
确定所述汇总业务流量中的待处理流量;所述待处理流量为各目标流量中,数据量大于所述目标流量对应流量阈值的目标流量;
为所述第一中央处理器以及各所述第二中央处理器启用所述目标流量对应的DDoS防御。
6.一种DDoS防御装置,其特征在于,应用于DDoS防御设备,所述DDoS防御设备中至少包括一个第一中央处理器和至少一个第二中央处理器,所述装置包括:
DDoS检测模块,被配置为每隔第一预设时间段,控制第一中央处理器接收各第二中央处理器上报的业务流量,并确定汇总业务流量中各目标流量的数据量;
针对每一目标流量的数据量,根据所述数据量与流量阈值的比对结果确定所述汇总业务流量是否存在DDoS攻击;其中,所述第二中央处理器上报的业务流量为流经所述第二中央处理器的业务流量;所述汇总业务流量是对所述第一预设时间段内,流经所述第一中央处理器和各所述第二中央处理器的业务流量的汇总结果;
DDoS防御模块,被配置为执行若检测到所述汇总业务流量存在DDoS攻击,则为所述第一中央处理器以及各所述第二中央处理器启用DDoS防御。
7.一种DDoS防御设备,其特征在于,所述设备包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行权利要求1-5中任一项所述的方法包括的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时,使所述计算机执行如权利要求1-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210187749.6A CN114629694B (zh) | 2022-02-28 | 2022-02-28 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210187749.6A CN114629694B (zh) | 2022-02-28 | 2022-02-28 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114629694A CN114629694A (zh) | 2022-06-14 |
| CN114629694B true CN114629694B (zh) | 2024-01-19 |
Family
ID=81900843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210187749.6A Active CN114629694B (zh) | 2022-02-28 | 2022-02-28 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114629694B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006050442A (ja) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック監視方法及びシステム |
| CN102932281A (zh) * | 2012-10-31 | 2013-02-13 | 华为技术有限公司 | 一种资源的动态分配方法及设备 |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机***有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
| CN108390856A (zh) * | 2018-01-12 | 2018-08-10 | 北京奇艺世纪科技有限公司 | 一种DDoS攻击检测方法、装置及电子设备 |
| US10116671B1 (en) * | 2017-09-28 | 2018-10-30 | International Business Machines Corporation | Distributed denial-of-service attack detection based on shared network flow information |
| CN109495447A (zh) * | 2018-10-10 | 2019-03-19 | 光通天下网络科技股份有限公司 | 分布式DDoS防御***的流量数据整合方法、整合装置和电子设备 |
| US10516695B1 (en) * | 2017-09-26 | 2019-12-24 | Amazon Technologies, Inc. | Distributed denial of service attack mitigation in service provider systems |
| CN112615818A (zh) * | 2015-03-24 | 2021-04-06 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及*** |
| CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
| KR101377462B1 (ko) * | 2010-08-24 | 2014-03-25 | 한국전자통신연구원 | CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 |
| US20210226988A1 (en) * | 2019-12-31 | 2021-07-22 | Radware, Ltd. | Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks |
-
2022
- 2022-02-28 CN CN202210187749.6A patent/CN114629694B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006050442A (ja) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック監視方法及びシステム |
| CN102932281A (zh) * | 2012-10-31 | 2013-02-13 | 华为技术有限公司 | 一种资源的动态分配方法及设备 |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机***有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN112615818A (zh) * | 2015-03-24 | 2021-04-06 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及*** |
| CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
| US10516695B1 (en) * | 2017-09-26 | 2019-12-24 | Amazon Technologies, Inc. | Distributed denial of service attack mitigation in service provider systems |
| US10116671B1 (en) * | 2017-09-28 | 2018-10-30 | International Business Machines Corporation | Distributed denial-of-service attack detection based on shared network flow information |
| CN108390856A (zh) * | 2018-01-12 | 2018-08-10 | 北京奇艺世纪科技有限公司 | 一种DDoS攻击检测方法、装置及电子设备 |
| CN109495447A (zh) * | 2018-10-10 | 2019-03-19 | 光通天下网络科技股份有限公司 | 分布式DDoS防御***的流量数据整合方法、整合装置和电子设备 |
| CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114629694A (zh) | 2022-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| EP3215955B1 (en) | Identifying a potential ddos attack using statistical analysis | |
| CN109766694B (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| US8407789B1 (en) | Method and system for dynamically optimizing multiple filter/stage security systems | |
| CA3021285C (en) | Methods and systems for network security | |
| CN106899549B (zh) | 一种网络安全检测方法及装置 | |
| CN110069929B (zh) | 漏洞处置分析方法及其分析模型的构建方法和装置 | |
| CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
| CN111277561B (zh) | 网络攻击路径预测方法、装置及安全管理平台 | |
| CN106576051A (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| CN113259429A (zh) | 会话保持管控方法、装置、计算机设备及介质 | |
| CN113645233B (zh) | 流量数据的风控智能决策方法、装置、电子设备和介质 | |
| KR101657180B1 (ko) | 프로세스 접근 제어 시스템 및 방법 | |
| US20190327263A1 (en) | Distributed client protection | |
| KR101917996B1 (ko) | 악성 스크립트 탐지 방법 및 장치 | |
| CN114629694B (zh) | 一种分布式拒绝服务DDoS的检测方法及相关装置 | |
| CN111131166A (zh) | 一种用户行为预判方法及相关设备 | |
| CN114884748A (zh) | 网络攻击的监控方法、装置、电子设备及存储介质 | |
| CN109150871A (zh) | 安全检测方法、装置、电子设备及计算机可读存储介质 | |
| CN116827694B (zh) | 一种数据安全性检测方法及*** | |
| CN113127855A (zh) | 安全防护***及方法 | |
| CN114389855B (zh) | 异常网际互联协议ip地址的确定方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |