一種ddos攻擊動態閾值異常流量檢測方法及裝置制造方法
【專利摘要】本發明公開了一種DDOS攻擊動態閾值異常流量檢測方法及裝置，其中，該方法包括：獲得異常流量檢測歷史數據，根據異常流量檢測歷史數據生成異常流量檢測的容忍線上下流量閾值；將檢測得到的流量值與所述異常流量檢測的容忍線上下流量閾值進行比較；如果流量值大于容忍線上流量閾值或小于容忍線下流量閾值，發出異常流量檢測告警。本發明的DDOS攻擊動態閾值異常流量檢測方法及裝置，能夠有效的利用歷史數據生成容忍線上下流量閾值，彌補了現有技術中針對DDOS攻擊的異常流量檢測過程中閾值確定難度大的問題，基于統計學的閾值確定方法使DDOS異常流量檢測的準確性得到較大幅度提升，降低了異常流量檢測告警的誤報率。
【專利說明】一種DDOS攻擊動態閾值異常流量檢測方法及裝置
【技術領域】
[0001]本發明涉及通信領域中網絡安全【技術領域】，具體地，涉及一種DDOS攻擊動態閾值異常流量檢測方法及裝置。
【背景技術】
[0002]DDOS 是Distributed Denial of Service 的縮寫，即分布式拒絕服務。DDOS 攻擊，即分布式拒絕服務攻擊，是指通過主控機控制網絡上的大量傀儡主機同時向攻擊目標發動拒絕服務攻擊，以達到耗盡服務器資源的目的。目前針對DDOS攻擊的檢測通常有異常檢測和誤用檢測兩種方式。
[0003]使用誤用檢測方式時，需要為每一種攻擊提取其特征，然后將當前流量特征和攻擊知識庫中的每個攻擊的特征簽名進行比較，如果符合，則可判定發生此種類型的攻擊。
[0004]使用異常檢測方式時，需要為正常的網絡流量建立模型，然后將當前的流量特征和模型進行比較，如果存在較大偏差，則說明流量異常。
[0005]目前通常采用誤用檢測方式進行DDOS攻擊檢測，現有檢測方式存在諸多缺點，主要問題在于:
[0006]I)基于誤用檢測方式的攻擊知識庫不完備
[0007]基于誤用檢測方式中，攻擊知識庫的定義是其中的關鍵。由于攻擊方式的多種多樣，攻擊知識庫中的攻擊種類也多種多樣，使得收集到完備的攻擊種類變得異常困難。由于攻擊知識庫的不完備性，導致安全事件的檢查能力存在不足，容易出現安全事件的漏報。
[0008]2)基于誤用檢測方式的滯后性
[0009]基于誤用檢測方式中，其數據源是部署到網絡中的安全設備，通過對其分析發現網絡中發生的安全事件。由于在一個完整的多步攻擊中，攻擊可能持續多天，使得誤用檢測方式不能實時地檢查到系統遭到攻擊。由于安全事件檢測的不及時，使得安全事件響應不及時，進而降低企業安全掌控力度。
[0010]如圖1所示，現有技術中采用靜態流量閾值進行異常檢測的方法，通過在一定時間內的檢測得到的流量值與流量檢測的參考值(不隨時間變化)進行比較來決定是否發生
流量異常。

【發明內容】

[0011]本發明是為了克服現有技術中DDOS攻擊動態閾值異常流量檢測發出的檢測告警準確率不高的缺陷，根據本發明的一個方面，提出一種DDOS攻擊動態閾值異常流量檢測方法。
[0012]根據本發明實施例的DDOS攻擊動態閾值異常流量檢測方法，包括:
[0013]獲得異常流量檢測歷史數據，根據異常流量檢測歷史數據生成異常流量檢測的容忍線上下流量閾值；
[0014]將檢測得到的流量值與所述異常流量檢測的容忍線上下流量閾值進行比較；[0015]如果流量值大于容忍線上流量閾值或小于容忍線下流量閾值，發出異常流量檢測告警。[0016]本發明是為了克服現有技術中DDOS攻擊動態閾值異常流量檢測發出的檢測告警準確率不高的缺陷，根據本發明的另一個方面，提出一種DDOS攻擊動態閾值異常流量檢測
>j-U ρ?α裝直。
[0017]根據本發明實施例的DDOS攻擊動態閾值異常流量檢測裝置，包括:
[0018]閾值生成模塊，用于獲得異常流量檢測歷史數據，根據異常流量檢測歷史數據生成異常流量檢測的容忍線上下流量閾值；
[0019]流量比較模塊，用于將檢測得到的流量值與異常流量檢測的容忍線上下流量閾值進行比較，將比較結果向告警發出模塊發送；
[0020]告警發出模塊，用于如果流量值大于容忍線上流量閾值或小于容忍線下流量閾值，發出異常流量檢測告警。
[0021]本發明的DDOS攻擊動態閾值異常流量檢測方法及裝置，能夠有效的利用歷史數據生成容忍線上下流量閾值，并將檢測得到的流量值與容忍線上下流量閾值進行比較，發出異常流量檢測告警，彌補了現有技術中針對DDOS攻擊的異常流量檢測過程中閾值確定難度大的問題，基于統計學的閾值確定方法使DDOS異常流量檢測的準確性得到較大幅度提升，降低了異常流量檢測告警的誤報率。
[0022]本發明的DDOS攻擊動態閾值異常流量檢測方法及裝置，在確定容忍線上下流量閾值的過程中，根據異常流量檢測歷史數據獲得異常流量檢測的上下基線值，根據上下基線值和獲得的閾值容忍度，得到異常流量檢測的容忍線上下流量閾值，進一步保證了異常流量檢測過程中容忍線上下流量閾值確定的準確性和針對性，提高了 DDOS異常流量檢測告警的準確性，降低了異常流量檢測告警的誤報率。
[0023]本發明的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。
[0024]下面通過附圖和實施例，對本發明的技術方案做進一步的詳細描述。
【專利附圖】

【附圖說明】
[0025]附圖用來提供對本發明的進一步理解，并且構成說明書的一部分，與本發明的實施例一起用于解釋本發明，并不構成對本發明的限制。在附圖中:
[0026]圖1為現有技術中靜態閾值異常流量檢測方法的示意圖；
[0027]圖2為本發明動態閾值異常流量檢測方法的示意圖；
[0028]圖3為本發明動態閾值異常流量檢測方法的流程圖；
[0029]圖4為本發明步驟108的觸發異常流量檢測告警的具體流程示意圖；
[0030]圖5為本發明DDOS攻擊動態閾值異常流量檢測裝置結構示意圖。
【具體實施方式】
[0031]下面結合附圖，對本發明的【具體實施方式】進行詳細描述，但應當理解本發明的保護范圍并不受【具體實施方式】的限制。[0032]本發明提供了一種DDOS攻擊動態閾值異常流量檢測方法，其動態閥值的確定基于統計學原理。能夠在不用事先預定義攻擊知識的情況下，通過對周期內(如一個星期)的正常流量建立曲線統計模型，結合統計學原理生成動態流量閥值。如果檢測得到的流量值超過動態流量閥值，則認為網絡流量出現異常，進而生成告警。本發明的異常流量檢測方法，可及時發現網絡中的安全問題，有效提高了異常流量檢測的準確性。
[0033]本發明的異常流量檢測方法，能夠依據業務系統及設備重要性不同設置多級安全級別和不同安全標準，彌補了現有安全檢測標準設置死板，不靈活的缺點。
[0034]本發明的異常流量檢測方法，當檢測的流量波動范圍不大時，根據不同時段的流量情況設定不同的變化閥值進行異常流量檢測，閥值隨時段變化是動態閥值檢測方法與靜態閥值檢測方法的根本不同。
[0035]動態閥值計算依賴的統計學原理為小概率事件原理。即正態分布在(μ +3 σ , μ -3 σ )以外的取值概率不到0.3%，幾乎不可能發生，稱為小概率事件。小概率事件在一次試驗中發生的可能性很小，如果真的發生了，統計學則懷疑其真實性。因此當網絡流量超出基于統計原理的流量閥值時，我們認為該網絡流量為異常流量，有可能由DDOS攻擊引起。 [0036]如圖2所示，流量檢測的上基線表示各個時段正常值最大值連成的曲線，流量檢測的下基線表示各個時段正常值最小值連成的曲線，二者確定了各個時段的正常波動范圍，體現了正常情況下該性能指標在一個周期之內的變化趨勢。當檢測得到的流量值超出容忍線上下流量閾值時，將觸發相應告警。
[0037]如圖3所示，為本發明動態閾值異常流量檢測方法的流程圖，包括:
[0038]步驟102:根據流量采集時間粒度和流量采集周期獲得異常流量檢測歷史數據；
[0039]I)選取流量采集時間粒度
[0040]流量采集時間粒度是網絡流量等屬性采集提取的最小周期，設定值應與檢測的需求相適應，設定值過小會導致系統負荷壓力過大，沒有實際價值；設定值過大，可能導致失去檢測的意義。例如，流量采集周期可以設定為I分鐘、5分鐘、15分鐘、I小時等不同時間粒度。
[0041]2)選取流量采集周期
[0042]選取網絡流量的采集周期，可以選取一周或一月為采集周期。
[0043]在一流量采集周期內，根據流量采集時間粒度獲得異常流量檢測歷史數據，該異常流量檢測歷史數據為一流量采集周期內的正常流量的歷史有效檢測數據集合，由該異常流量檢測歷史數據建立檢測模型進行DDOS攻擊動態閾值異常流量檢測。
[0044]步驟104:根據異常流量檢測歷史數據獲得異常流量檢測的上下基線值；
[0045]首先對獲得的一流量采集周期內的異常流量檢測歷史數據進行排序，假設共有N*個檢測數據，分別記為X1~X/ ;假設有效數據的y% (在實踐中可以根據省公司、業務系統、管理要求等因素設定，建議取95%)為檢測容忍值，計算該N*個檢測數據中樣本點數據的均方差。
[0046]其中，所述的檢測容忍值為可以接受而不用產生告警的指標值。
[0047]1)計算每流量采集周期內的樣本點數據的平均值作為期望值E(X)；
[0048]2)計算各個樣本點數據對于上述期望值E(X)的偏離程度，單個偏離是X-E(X)。為消除符號影響，一般取(X-E(X))2。
[0049]3)求方差，即一流量采集周期內所有樣本點數據偏離平方的均值，記為D(X)，D ⑴=E [(X-E (X))2]。
[0050]4)求標準差或均方差
【權利要求】
1.一種DDOS攻擊動態閾值異常流量檢測方法，其特征在于，包括: 獲得異常流量檢測歷史數據，根據所述異常流量檢測歷史數據生成異常流量檢測的容忍線上下流量閾值； 將檢測得到的流量值與所述異常流量檢測的容忍線上下流量閾值進行比較； 如果所述流量值大于容忍線上流量閾值或小于容忍線下流量閾值，發出異常流量檢測告警.
2.根據權利要求1所述的方法，其特征在于，所述獲得異常流量檢測歷史數據包括: 確定異常流量檢測的流量采集時間粒度和流量采集周期，根據所述流量采集時間粒度和流量采集周期獲得異常流量檢測歷史數據。
3.根據權利要求1或2所述的方法，其特征在于，所述根據異常流量檢測歷史數據生成異常流量檢測的容忍線上下流量閾值包括: 根據所述異常流量檢測歷史數據獲得異常流量檢測的上下基線值； 根據所述上下基線值和獲得的閾值容忍度，得到異常流量檢測的容忍線上下流量閾值。
4.根據權利要求3所述的方法，其特征在于，所述容忍線上下流量閾值包括: 容忍線上流量閾值=(1+閾值容忍度)*上基線值， 容忍線下流量閾值=(1-閾值容忍度)*下基線值。
5.根據權利要求3所述的方法，其特征在于，所述根據異常流量檢測歷史數據獲得異常流量檢測的上下基線值包括: 獲得異常流量檢測歷史數據中的樣本點數據S和樣本點數據的均方差.； 根據所述樣本點數據s和均方差，獲得異常流量檢測的上下基線值。
6.根據權利要求3所述的方法，其特征在于，如果所述異常流量檢測歷史數據中的95%為檢測容忍值，所述上下基線值分別為s+和S- 如果所述異常流量檢測歷史數據中的99.7%為檢測容忍值，所述上下基線值分別為S+3 和S-3 機Y)。
7.根據權利要求5所述的方法，其特征在于，所述獲得異常流量檢測歷史數據中的樣本點數據的均方差^/z^Cr)包括: 將所述流量采集周期中樣本點數據的平均值作為期望值E (X)，計算各樣本點數據對于所述期望值E (X)的偏離平方值； 根據所述期望值E (X)的偏離平方值，獲得所述偏離平方值的均值； 計算所述偏離平方值的均值的均方差。
8.根據權利要求1或2所述的方法，其特征在于，所述如果流量值大于容忍線上流量閾值或小于容忍線下流量閾值，發出異常流量檢測告警包括: 根據系統的安全級別和檢測時段，確定與所述安全級別和檢測時段對應的不同容忍線上下流量閾值；和/或， 根據不同的告警級別，確定與所述告警級別對應的多級容忍線上下流量閾值； 如果檢測得到的流量值大于所述不同容忍線上流量閾值和/或多級容忍線上流量閾值，或者小于所述不同容忍線下流量閾值和/或多級容忍線下流量閾值，發出對應的異常流量檢測告警。
9.一種DDOS攻擊動態閾值異常流量檢測裝置，其特征在于，包括: 閾值生成模塊，用于獲得異常流量檢測歷史數據，根據所述異常流量檢測歷史數據生成異常流量檢測的容忍線上下流量閾值； 流量比較模塊，用于將檢測得到的流量值與所述異常流量檢測的容忍線上下流量閾值進行比較，將比較結果向告警發出模塊發送； 告警發出模塊，用于如果所述流量值大于容忍線上流量閾值或小于容忍線下流量閾值，發出異常流量檢測告警。
10.根據權利要求9所述的裝置，其特征在于，所述閾值生成模塊包括: 數據獲得子模塊，用于確定異常流量檢測的流量采集時間粒度和流量采集周期，根據所述流量采集時間粒度和流量采集周期獲得異常流量檢測歷史數據。
11.根據權利要求9或10所述的裝置，其特征在于，所述閾值生成模塊包括: 基線值獲得子模塊，用于根據所述異常流量檢測歷史數據獲得異常流量檢測的上下基線值； 閾值得到子模塊，用 于根據所述上下基線值和獲得的閾值容忍度，得到異常流量檢測的容忍線上下流量閾值。
12.根據權利要求11所述的裝置，其特征在于，所述容忍線上下流量閾值包括: 容忍線上流量閾值=(1+閾值容忍度)*上基線值， 容忍線下流量閾值=(1-閾值容忍度)*下基線值。
13.根據權利要求11所述的裝置，其特征在于，所述基線值獲得子模塊包括: 數據獲得單元，用于獲得異常流量檢測歷史數據中的樣本點數據S和樣本點數據的均方差; 基線值得到單元，用于根據所述樣本點數據s和均方差，獲得異常流量檢測的上下基線值。
14.根據權利要求13所述的裝置，其特征在于，所述數據獲得單元包括: 偏離計算子單元，用于將所述流量采集周期中樣本點數據的平均值作為期望值E (X)，計算各樣本點數據對于所述期望值E (X)的偏離平方值； 均值獲得子單元，用于根據所述期望值E (X)的偏離平方值，獲得所述偏離平方值的均值； 均方差計算子單元，用于計算所述偏離平方值的均值的均方差。
15.根據權利要求9所述的裝置，其特征在于，所述告警發出模塊包括: 閾值確定子模塊，用于根據系統的安全級別和檢測時段，確定與所述安全級別和檢測時段對應的不同容忍線上下流量閾值；和/或， 根據不同的告警級別，確定與所述告警級別對應的多級容忍線上下流量閾值； 告警發送子模塊，用于如果檢測得到的流量值大于所述不同容忍線上流量閾值和/或多級容忍線上流量閾值，或者小于所述不同容忍線下流量閾值和/或多級容忍線下流量閾值，發出對應的異常流量檢測告警。
【文檔編號】H04L29/06GK103973663SQ201310058519
【公開日】2014年8月6日 申請日期:2013年2月1日 優先權日:2013年2月1日
【發明者】王立川, 劉艷青, 湯云峰, 趙洪峰, 陳平, 李紹輝, 魏春來, 李京紅, 趙志偉, 耿志剛, 田毅, 馬學冉 申請人:中國移動通信集團河北有限公司