多媒体网络泛洪攻击检测方法和系统与流程

1.本技术涉及网络安全技术领域，尤其涉及一种多媒体网络泛洪攻击检测方法和系统。


背景技术：

2.随着网络技术的飞速发展，传统的分布式拒绝攻击在网络中出现了新的表现形式，泛洪攻击就是其中一种。在多媒体网络中，常见的业务过程是用户发送请求获取相应的数据，该请求通过路由达到业务服务器，相应的数据反向返回至用户。但是泛洪攻击会通过发送恶意请求，耗尽路由查询待定请求表中的资源，破坏正常的路由。同时，还需要尽可能降低网络开销，提高检测效率。
3.因此，急需一种针对性的多媒体网络泛洪攻击检测方法和系统。


技术实现要素：

4.本发明的目的在于提供一种多媒体网络泛洪攻击检测方法和系统，通过少量的路由器来监测网络流量和请求的转发状态，监测路由器可以监测泛洪攻击，控制中心可以通过收集监测路由器的信息进行攻击检测。
5.第一方面，本技术提供一种多媒体网络泛洪攻击检测方法，所述方法包括：
6.在多个用户与指定的内容服务器之间部署多个路由器，所述部署满足单个用户向所述内容服务器请求业务所需的时延要求；
7.根据多个路由器与单个用户的距离，以及多个用户路由访问所述内容服务器的所有路径，选择靠近用户一侧的必经点位上的若干路由器作为监测路由器；
8.所述监测路由器收集用户发送的请求数据，从中提取出多媒体特征，将所述多媒体特征按照预设的模板生成监视信息；将所述监视信息输入到状态链模型，根据预设的概率密度函数，确定对应的特征分布区域，得出可能的转发状态；
9.所述监测路由器将所述监视信息和可能的转发状态上传控制中心，所述控制中心连接着所有部署的多个路由器；
10.所述控制中心根据收到的监视信息和可能的转发状态，分析其中的特征语义含义、转发频次、延迟参数，判断所属域内是否受到泛洪攻击；
11.如果判断结果为受到泛洪攻击，则将对应转发状态生成转发信息和路径发送给相关的监测路由器，并向该监测路由器下发拦截策略。
12.第二方面，本技术提供一种多媒体网络泛洪攻击检测系统，所述系统包括：
13.部署单元，用于在多个用户与指定的内容服务器之间部署多个路由器，所述部署满足单个用户向所述内容服务器请求业务所需的时延要求；
14.确定单元，用于根据多个路由器与单个用户的距离，以及多个用户路由访问所述内容服务器的所有路径，选择靠近用户一侧的必经点位上的若干路由器作为监测路由器；
15.监测路由器，用于收集用户发送的请求数据，从中提取出多媒体特征，将所述多媒
体特征按照预设的模板生成监视信息；将所述监视信息输入到状态链模型，根据预设的概率密度函数，确定对应的特征分布区域，得出可能的转发状态；所述监测路由器将所述监视信息和可能的转发状态上传控制中心，所述控制中心连接着所有部署的多个路由器；
16.控制中心，用于根据收到的监视信息和可能的转发状态，分析其中的特征语义含义、转发频次、延迟参数，判断所属域内是否受到泛洪攻击；如果判断结果为受到泛洪攻击，则将对应转发状态生成转发信息和路径发送给相关的监测路由器，并向该监测路由器下发拦截策略。
17.第三方面，本技术提供一种多媒体网络泛洪攻击检测系统，所述系统包括处理器以及存储器：
18.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
19.所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
20.第四方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面四种可能中任一项所述的方法。
21.有益效果
22.本发明提供一种多媒体网络泛洪攻击检测方法和系统，通过少量的路由器来监测网络流量和请求的转发状态，监测路由器可以监测泛洪攻击，收集提取的多媒体特征生成监视信息并得到可能的转发状态，将这些信息上传控制中心，该控制中心可以利用这些信息分析其语义含义、转发和延迟，进行攻击检测，从而动态部署拦截策略，达到降低网络开销、提高检测效率的效果。
附图说明
23.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
24.图1为本发明多媒体网络泛洪攻击检测方法的大致流程图；
25.图2为本发明多媒体网络泛洪攻击检测系统的架构图。
具体实施方式
26.下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。
27.为了成功检测攻击，监测路由器需要覆盖尽可能多的网络流量。在放置监测路由器时，要考虑监测路由器与用户的距离，将监测路由器放置在用户的附近。监测路由器放置在更靠近攻击源的位置会增加检测到攻击的概率。
28.图1为本技术提供的多媒体网络泛洪攻击检测方法的大致流程图，所述方法包括：
29.在多个用户与指定的内容服务器之间部署多个路由器，所述部署满足单个用户向所述内容服务器请求业务所需的时延要求；
30.根据多个路由器与单个用户的距离，以及多个用户路由访问所述内容服务器的所有路径，选择靠近用户一侧的必经点位上的若干路由器作为监测路由器；
31.所述监测路由器收集用户发送的请求数据，从中提取出多媒体特征，将所述多媒体特征按照预设的模板生成监视信息；将所述监视信息输入到状态链模型，根据预设的概率密度函数，确定对应的特征分布区域，得出可能的转发状态；
32.所述监测路由器将所述监视信息和可能的转发状态上传控制中心，所述控制中心连接着所有部署的多个路由器；
33.所述控制中心根据收到的监视信息和可能的转发状态，分析其中的特征语义含义、转发频次、延迟参数，判断所属域内是否受到泛洪攻击；
34.如果判断结果为受到泛洪攻击，则将对应转发状态生成转发信息和路径发送给相关的监测路由器，并向该监测路由器下发拦截策略。
35.上述过程中，在得出可能的转发状态后，可以将其与请求表项进行匹配，判断该转发状态中是否存在请求不应该出现的转发状态，如果是，则判断此次请求访问为恶意访问。
36.所述将对应转发状态生成转发信息和路径发送给相关的监测路由器后，所述监测路由器将会执行其拦截攻击的作用，执行控制中心下发的拦截策略。如果控制中心还没有来得及下发拦截策略，该监测路由器将会根据默认的拦截策略进行阻断拦截。
37.在一些优选实施例中，所述监测路由器还包括持续监测路由表的利用率和到达的请求表项，将上述利用率和请求表项作为监视信息的一部分，输入到预设的模板中。
38.在一些优选实施例中，选择若干路由器作为监测路由器的过程中还包括获取多个用户路由访问所述内容服务器的所有路径，以及所有路径的业务等级信息，将所述业务等级信息作为权重值，将该权重值与路径长度一起使用，确定出监测路由器。
39.在一些优选实施例中，所述控制中心为一个域内专属的控制平台，所述域由多个路由器和控制中心组成。
40.图2为本技术提供的多媒体网络泛洪攻击检测系统的架构图，所述系统包括：
41.部署单元，用于在多个用户与指定的内容服务器之间部署多个路由器，所述部署满足单个用户向所述内容服务器请求业务所需的时延要求；
42.确定单元，用于根据多个路由器与单个用户的距离，以及多个用户路由访问所述内容服务器的所有路径，选择靠近用户一侧的必经点位上的若干路由器作为监测路由器；
43.监测路由器，用于收集用户发送的请求数据，从中提取出多媒体特征，将所述多媒体特征按照预设的模板生成监视信息；将所述监视信息输入到状态链模型，根据预设的概率密度函数，确定对应的特征分布区域，得出可能的转发状态；所述监测路由器将所述监视信息和可能的转发状态上传控制中心，所述控制中心连接着所有部署的多个路由器；
44.控制中心，用于根据收到的监视信息和可能的转发状态，分析其中的特征语义含义、转发频次、延迟参数，判断所属域内是否受到泛洪攻击；如果判断结果为受到泛洪攻击，则将对应转发状态生成转发信息和路径发送给相关的监测路由器，并向该监测路由器下发拦截策略。
45.本技术提供一种多媒体网络泛洪攻击检测系统，所述系统包括：所述系统包括处理器以及存储器：
46.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
47.所述处理器用于根据所述程序代码中的指令执行第一方面所有实施例中任一项所述的方法。
48.本技术提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面所有实施例中任一项所述的方法。
49.具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：rom)或随机存储记忆体(简称：ram)等。
50.本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
51.本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。
52.以上所述的本发明实施方式并不构成对本发明保护范围的限定。