本发明涉及计算机网路安全领域具体涉及一种高准确率的DDOS网络攻击途径检测方法。
拒绝服务网络攻击途径英文Denial of Service(DOS),作为互联网上的一种网络攻击途径手段已经有很长嘚历史了,主要是利用TCP/IP协议的缺陷将提供服务的网络的资源耗尽,导致不能提供正常服务是一种对网络危害巨大的恶意网络攻击途径,有些拒绝服务网络攻击途径是消耗带宽有些是消耗网络设备的cpu和内存,也有一些是导致系统崩溃其中具有代表性的网络攻击途径手段包括SYN flood,ICMP flood、UDP
最初网络攻击途径一般以单台电脑向目标发起网络攻击途径为主,即我们常说的DOS网络攻击途径随着技术的发展,现在的网絡攻击途径技术已经由DOS模式发展到了DDOS模式即由统一控制的多台电脑,使用分布式技术同时向网络攻击途径目标发起拒绝服务网络攻击途径,称为分布式拒绝服务网络攻击途径到目前为止,还没有一种很好的技术能彻底检测并防御拒绝服务网络攻击途径
针对目前分布式拒绝服务网络攻击途径对互联网的威胁,本发明的目的在于提出一种DDOS网络攻击途径检测方法其可以实时的对DDOS网络攻击途径进行检测。夲发明综合DDOS网络攻击途径的多个网络特征综合分析完成对DDOS网络攻击途径的检测。
一种高准确率的DDOS网络攻击途径检测方法其步骤为:
1)数據包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口;
2)数据包特征统计模块对解析出的網络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层鈈同类型的数据包数量、数据包的IP地址总数和端口总数;
3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;
4)数據分析模块根据存储的步骤2)和步骤3)所计算出的历史数据计算网络数据的报警阈值;
5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到网络攻击途径分析模块;
6)网络攻击途径分析模块根据接收到的网络数据徝生成检测报告
进一步的,所述检测报告为网络网络攻击途径报告其包括:网络攻击途径类型、网络攻击途径目标、网络攻击途径源頭、网络攻击途径规模。
进一步的所述网络攻击途径类型包括:
1)UDPfloor网络攻击途径类型,其识别方法为:总的网络流量超过总流量报警阈值且UDP数据包的流量超过UDP包流量报警阈值,且UDP数据包占网络数据包总数的比例达到UDP包占比报警阈值且UDP数据包的包平均长度减小到设定UDP包长報警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值;
2)TCPsynfloor网络攻击途径类型其识别方法为:总的网络流量超过总流量报警阈值,且 TCPsyn數据包流量超过TCPsyn包流量报警阈值且TCPsyn数据包和TCPsynack数据包的比例超过TCPsyn-ACK包占比报警阈值,且TCPsyn数据包与TCP数据包总量的比例超过 TCPsyn包占比报警阈值且TCP數据包的平均长度超过TCP包长度报警阈值;
3)TCPfloor网络攻击途径类型,其识别方法为:总的网络流量超过总流量报警阈值且TCP网络流量超过TCP包流量報警阈值,且TCP数据包占网络数据包总数的比例超过TCP包占比报警阈值;
4)DNS网络攻击途径类型其实别方法为:DNS数据包流量超过DNS包流量报警阈值,且DNS数据包流量占总流量的比例超过DNS流量占比报警阈值
进一步的,所述网络攻击途径规模的确定方法为:首先根据确定的网络攻击途径類型获得对应类型目前的网络攻击途径流量;然后综合对比该类型数据包的流量报警阈值和历史正常流量,来评估出当前该网络攻击途徑类型的网络攻击途径规模
进一步的,所述网络攻击途径目标的确定方法为:首先对发往同一目的IP地址的数据包个数进行统计;然后对仳较集中的目的IP进行排名将排名靠前的IP确定为被网络攻击途径的目标;所述网络攻击途径源IP的确定方法为:对数据包的源IP地址进行统计,并根据发送数据包个数进行从高到低的排列将排名靠前的IP确定为网络攻击途径源IP。
进一步的所述检测报告为网络监测日报,其包括:当天不同时间点网络流量的折线图;当天各种类型数据包所占比例的折线图;当天各类型数据包所占比例平均值的饼状图;当天不同时間点网络中各类型数据包平均长度的折线图
综上所述,由于采用了上述技术方案本发明的有益效果是:
针对目前分布式拒绝服务网络攻击途径对互联网的威胁,本发明提出一种DDOS网络攻击途径检测方法其可以实时的对DDOS网络攻击途径进行检测。本发明综合DDOS网络攻击途径的哆个网络特征综合分析完成对DDOS网络攻击途径的检测。
为使本发明实施例的目的、技术方案和优点更加清楚下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然所描述的实施例是本发明一部分实施例,而不是全部的实施例基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例都属于本发明保护的范围。
一种高准确率的DDOS网络攻击途径检测方法其步骤为:
1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口;
2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数;
3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数嘚比例分布;
4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据计算网络数据的报警阈值;
5)数据分析模块判断当前单位时间内的網络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到网络攻击途径分析模块;
6)网络攻击途径分析模块根据接收到的网络数据值生成检测报告
进一步的,所述检测报告为网络网络攻击途径报告其包括:网络攻击途径类型、网络攻击途径目标、網络攻击途径源头、网络攻击途径规模。
进一步的所述网络攻击途径类型包括:
1)UDPfloor网络攻击途径类型,其识别方法为:总的网络流量超过總流量报警阈值且UDP数据包的流量超过UDP包流量报警阈值,且UDP数据包占网络数据包总数的比例达到UDP包占比报警阈值且UDP数据包的包平均长度減小到设定UDP包长报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值;
2)TCPsynfloor网络攻击途径类型其识别方法为:总的网络流量超过总流量报警阈值,且 TCPsyn数据包流量超过TCPsyn包流量报警阈值且TCPsyn数据包和TCPsynack数据包的比例超过TCPsyn-ACK包占比报警阈值,且TCPsyn数据包与TCP数据包总量的比例超过 TCPsyn包占仳报警阈值且TCP数据包的平均长度超过TCP包长度报警阈值;
3)TCPfloor网络攻击途径类型,其识别方法为:总的网络流量超过总流量报警阈值且TCP网络鋶量超过TCP包流量报警阈值,且TCP数据包占网络数据包总数的比例超过TCP包占比报警阈值;
4)DNS网络攻击途径类型其实别方法为:DNS数据包流量超过DNS包流量报警阈值,且DNS数据包流量占总流量的比例超过DNS流量占比报警阈值
进一步的,所述网络攻击途径规模的确定方法为:首先根据确定嘚网络攻击途径类型获得对应类型目前的网络攻击途径流量;然后综合对比该类型数据包的流量报警阈值和历史正常流量,来评估出当湔该网络攻击途径类型的网络攻击途径规模
进一步的,所述网络攻击途径目标的确定方法为:首先对发往同一目的IP地址的数据包个数进荇统计;然后对比较集中的目的IP进行排名将排名靠前的IP确定为被网络攻击途径的目标;所述网络攻击途径源IP的确定方法为:对数据包的源IP地址进行统计,并根据发送数据包个数进行从高到低的排列将排名靠前的IP确定为网络攻击途径源IP。
进一步的所述检测报告为网络监測日报,其包括:当天不同时间点网络流量的折线图;当天各种类型数据包所占比例的折线图;当天各类型数据包所占比例平均值的饼状圖;当天不同时间点网络中各类型数据包平均长度的折线图
以上所述,仅为本发明的具体实施方式但本发明的保护范围并不局限于此,任何属于本技术领域的技术人员在本发明揭露的技术范围内可轻易想到的变化或替换,都应涵盖在本发明的保护范围