技术特征:
1.一种分布式拒绝服务ddos攻击检测方法,其特征在于,所述方法包括:获取待监控ip的流量序列;根据所述流量序列获取所述待监控ip的流量矩阵,并根据所述流量矩阵计算待监控ip的源ip信息熵;确定所述待监控ip的源ip对应的动态基线,其中,所述动态基线是采用sg滤波器和指数加权移动平均方法对所述流量矩阵中的源ip信息熵进行拟合获得的;将待监控ip的源ip信息熵和所述动态基线进行比较,判断是否存在ddos攻击。2.根据权利要求1所述的方法,其特征在于,所述获取待监控ip的流量序列包括:对于预设周期内的每一天,按照固定时间间隔获取待监控ip的流量序列。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:将所述流量矩阵每列中的异常数据替换为所述异常数据所在列的平均值,所述异常数据包括不合理值和/或空数据。4.根据权利要求2所述的方法,其特征在于,所述根据所述流量矩阵计算待监控ip的源ip信息熵包括:计算所述流量矩阵中,每个滑动时间窗口所在纵列内待监控ip的目标源ip的出现的概率;所述滑动时间窗口的长度为所述固定时间间隔的整数倍。5.根据权利要求4所述的方法,其特征在于,所述根据所述流量矩阵计算待监控ip的源ip信息熵还包括:根据待监控ip中所有源ip在其对应的滑动时间窗口内出现的概率,生成所述待监控ip中的源ip在每个滑动窗口的信息熵时间序列。6.根据权利要求1所述的方法,其特征在于,所述确定所述待监控ip的源ip对应的动态基线包括:通过sg滤波器的局域多项式最小二乘法拟合,对所述待监控ip的源ip的信息熵时间序列进行第一次平滑,得到第一数列;通过指数加权移动平均对所述第一数列进行第二次平滑,获取各时间点的所述待监控ip的源ip信息熵基线值;根据所述源ip信息熵基线值,生成所述待监控ip的源ip对应的动态基线。7.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据所述动态基线,确定ddos攻击识别阈值,包括:计算所述流量矩阵中的元素到所述动态基线的方差;根据所述方差,按照以下公式确定所述ddos攻击识别阈值:其中,t∈(1,t),t为滑动时间窗口的总数,α为控制参数,为第t个时间窗口下流量矩阵中的元素到所述动态基线的方差。8.根据权利要求7所述的方法,其特征在于,所述将待监控ip的源ip信息熵和所述动态基线进行比较,判断是否存在ddos攻击包括:若待监控ip的源ip的熵值在第一时间点大于第一阈值,则确定存在ddos攻击的概率大
于预设值;若待监控ip的源ip的熵值在第二时间点小于所述第一阈值,则确定不存在ddos攻击的概率大于预设值。9.一种ddos攻击检测装置,其特征在于,包括:第一接收模块,用于获取待监控ip的流量序列;第一处理模块,用于根据所述流量序列获取所述待监控ip的流量矩阵,并根据所述流量矩阵计算待监控ip的源ip信息熵;第二处理模块,用于确定所述待监控ip的源ip对应的动态基线,其中,所述动态基线是采用sg滤波器和指数加权移动平均方法对所述流量矩阵中的源ip信息熵进行拟合获得的;第三处理模块,将待监控ip的源ip信息熵和所述动态基线进行比较,判断是否存在ddos攻击。10.一种ddos攻击检测装置,包括处理器和收发器,其特征在于:所述收发器,用于获取待监控ip的流量序列;所述处理器,用于根据所述流量序列获取所述待监控ip的流量矩阵,并根据所述流量矩阵计算待监控ip的源ip信息熵;所述处理器,还用于确定所述待监控ip的源ip对应的动态基线,其中,所述动态基线是采用sg滤波器和指数加权移动平均方法对所述流量矩阵中的源ip信息熵进行拟合获得的;所述处理器,还用于将待监控ip的源ip信息熵和所述动态基线进行比较,判断是否存在ddos攻击。11.一种网络设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至8中任一项所述的ddos攻击检测方法的步骤。12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的ddos攻击检测方法的步骤。
技术总结
本发明提供一种DDoS攻击检测方法、装置、设备和可读存储介质,属于网络安全技术领域,实现对DDoS攻击的快速检测和判断。本发明提供的DDoS攻击检测方法,通过获取待监控IP的流量序列获取流量矩阵,根据所述流量矩阵计算待监控IP的源IP信息熵,从而确定所述待监控IP的源IP对应的动态基线,之后将待监控IP的源IP信息熵和所述动态基线进行比较,判断是否存在DDoS攻击,本申请提供的上述方法能够通过构建待监控IP的源IP信息熵动态基线,实现对待监控IP是否存在DDoS攻击实时而快速的判断,既提高DDoS检测效率及准确度,也能够适应实时变化的网络环境。环境。环境。
技术研发人员:孙洋 粟栗 张星 杜海涛 王峰生 安宁宇
受保护的技术使用者:中国移动通信集团有限公司
技术研发日:2020.10.20
技术公布日:2022/4/22