所属的技术人员能够理解,本技术的各个方面可以实现为系统、方法或程序产品。因此,本技术的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。与上述方法实施例基于同一发明构思,本技术实施例中还提供了一种电子设备。在一种实施例中,该电子设备可以是服务器,如图1所示的服务器。在该实施例中,电子设备的结构可以如图5所示,包括存储器501,通讯模块503以及一个或多个处理器502。存储器501,用于存储处理器502执行的计算机程序。存储器501可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及运行即时通讯功能所需的程序等;存储数据区可存储各种即时通讯信息和操作指令集等。存储器501可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,ram);存储器501也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,hdd)或固态硬盘(solid-state drive,ssd);或者存储器501是能够用于携带或存储具有指令或数据结构形式的期望的计算机程序并能够由计算机存取的任何其他介质,但不限于此。存储器501可以是上述存储器的组合。处理器502,可以包括一个或多个中央处理单元(central processing unit,cpu)或者为数字处理单元等等。处理器502,用于调用存储器501中存储的计算机程序时实现上述攻击检测方法。通讯模块503用于与终端设备和其他服务器进行通信。本技术实施例中不限定上述存储器501、通讯模块503和处理器502之间的具体连接介质。本技术实施例在图5中以存储器501和处理器502之间通过总线504连接,总线504在图5中以粗线描述,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线504可以分为地址总线、数据总线、控制总线等。为便于描述,图5中仅用一条粗线描述,但并不描述仅有一根总线或一种类型的总线。存储器501中存储有计算机存储介质,计算机存储介质中存储有计算机可执行指令,计算机可执行指令用于实现本技术实施例的攻击检测方法。处理器502用于执行上述的攻击检测方法,如图2所示。在另一种实施例中,电子设备也可以是其他电子设备,如图1所示的终端设备。在该实施例中,电子设备的结构可以如图6所示,包括:通信组件610、存储器620、显示单元630、摄像头640、传感器650、音频电路660、蓝牙模块670、处理器680等部件。通信组件610用于与服务器进行通信。在一些实施例中,可以包括电路无线保真(wireless fidelity,wifi)模块,wifi模块属于短距离无线传输技术,电子设备通过wifi模块可以帮助用户收发信息。存储器620可用于存储软件程序及数据。处理器680通过运行存储在存储器620的软件程序或数据,从而执行终端设备的各种功能以及数据处理。存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。存储器620存储有使得终端设备能运行的操作系统。本技术中存储器620可以存储操作系统及各种应用程序,还可以存储执行本技术实施例攻击检测方法的计算机程序。显示单元630还可用于显示由用户输入的信息或提供给用户的信息以及终端设备的各种菜单的图形用户界面(graphical user interface,gui)。具体地,显示单元630可以包括设置在终端设备正面的显示屏632。其中,显示屏632可以采用液晶显示器、发光二极管等形式来配置。显示单元630可以用于显示本技术实施例中的攻击检测用户界面等。显示单元630还可用于接收输入的数字或字符信息,产生与终端设备的用户设置以及功能控制有关的信号输入,具体地,显示单元630可以包括设置在终端设备正面的触摸屏631,可收集用户在其上或附近的触摸操作,例如点击按钮,拖动滚动框等。其中,触摸屏631可以覆盖在显示屏632之上,也可以将触摸屏631与显示屏632集成而实现终端设备的输入和输出功能,集成后可以简称触摸显示屏。本技术中显示单元630可以显示应用程序以及对应的操作步骤。摄像头640可用于捕获静态图像,用户可以将摄像头640拍摄的图像通过应用发布评论。摄像头640可以是一个,也可以是多个。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device,ccd)或互补金属氧化物半导体(complementary metal-oxide-semiconductor,cmos)光电晶体管。感光元件把光信号转换成电信号,之后将电信号传递给处理器680转换成数字图像信号。终端设备还可以包括至少一种传感器650,比如加速度传感器651、距离传感器652、指纹传感器653、温度传感器654。终端设备还可配置有陀螺仪、气压计、湿度计、温度计、红外线传感器、光传感器、运动传感器等其他传感器。音频电路660、扬声器661、传声器662可提供用户与终端设备之间的音频接口。音频电路660可将接收到的音频数据转换后的电信号,传输到扬声器661,由扬声器661转换为声音信号输出。终端设备还可配置音量按钮,用于调节声音信号的音量。另一方面,传声器662将收集的声音信号转换为电信号,由音频电路660接收后转换为音频数据,再将音频数据输出至通信组件610以发送给比如另一终端设备,或者将音频数据输出至存储器620以便进一步处理。蓝牙模块670用于通过蓝牙协议来与其他具有蓝牙模块的蓝牙设备进行信息交互。例如,终端设备可以通过蓝牙模块670与同样具备蓝牙模块的可穿戴电子设备(例如智能手表)建立蓝牙连接,从而进行数据交互。处理器680是终端设备的控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器620内的软件程序,以及调用存储在存储器620内的数据,执行终端设备的各种功能和处理数据。在一些实施例中,处理器680可包括一个或多个处理单元;处理器680还可以集成应用处理器和基带处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,基带处理器主要处理无线通信。可以理解的是,上述基带处理器也可以不集成到处理器680中。本技术中处理器680可以运行操作系统、应用程序、用户界面显示及触控响应,以及本技术实施例的攻击检测方法。另外,处理器680与显示单元630耦接。在一些可能的实施方式中,本技术提供的攻击检测方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当程序产品在电子设备上运行时,计算机程序用于使电子设备执行本说明书上述描述的根据本技术各种示例性实施方式的攻击检测方法中的步骤,例如,电子设备可以执行如图2中所示的步骤。程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。本技术的实施方式的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括计算机程序,并可以在电子设备上运行。然而,本技术的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于无线、有线、光缆、rf等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本技术操作的计算机程序,程序设计语言包括面向对象的程序设计语言—诸如java、c++等,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。计算机程序可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中,远程电子设备可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户电子设备,或者,可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本技术的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。此外,尽管在附图中以特定顺序描述了本技术方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。本领域内的技术人员应明白,本技术的实施例可提供为方法、系统、或计算机程序产品。因此,本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用计算机程序的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序命令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序命令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的命令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序命令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的命令产生包括命令装置的制造品,该命令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序命令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的命令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本技术的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。显然,本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样,倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内,则本技术也意图包含这些改动和变型在内。
背景技术:
1、分布式拒绝服务(distributed denial of service,ddos)攻击,是一种网络攻击手段。其目的是通过大量的网络流量或请求,使目标服务器或网络资源超负荷运行,从而导致正常用户无法访问或使用这些资源。
2、现有的ddos攻击检测主要针对传统的高速ddos攻击,通过设定总流量阈值的方式,在当前的流量超过流量阈值时,判定存在ddos攻击。
3、但是,随着攻击手段的不断发展,目前,已经出现了低速ddos攻击的攻击形式,即采用低速率发送数据包,由于这种类型的攻击不依赖于巨大的流量洪泛,从而能够避免触发流量阈值,基于流量阈值的方式难以检测出低速ddos攻击。
4、综上,如何提高ddos攻击检测的准确率,成为目前亟待解决的问题。
技术实现思路
1、本技术实施例提供一种攻击检测方法、装置、电子设备和存储介质,用以提高攻击检测准确率。
2、本技术实施例提供的一种攻击检测方法,包括:
3、按照预设的时间周期,对网络中的数据包的特征信息进行采样,获得每个时间周期内采样到的特征信息集合,所述特征信息包含:相应数据包的子流量数据,以及使用的网络协议;
4、针对每个特征信息集合,分别执行以下操作:
5、基于一个特征信息集合中,使用各网络协议的数据包的子流量数据,获得所述一个特征信息集合对应的时间周期内,所述各网络协议各自的综合流量数据,所述综合流量数据用于表征:使用相应网络协议的数据包的流量情况;
6、基于所述各网络协议各自的参考流量数据,与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度;
7、基于各特征信息集合各自对应的流量差异度,获得攻击检测结果。
8、可选的,所述参考流量数据是基于相应网络协议,分别在各历史时间周期内的历史流量数据获得的;
9、则所述基于所述各网络协议各自的参考流量数据,与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度,包括:
10、分别基于所述各网络协议各自的历史流量数据集,获得所述各网络协议之间的流量相关性特征;
11、基于所述流量相关性特征,以及所述各网络协议各自的参考流量数据与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度。
12、可选的,所述分别基于所述各网络协议各自的历史流量数据集,获得所述各网络协议之间的流量相关性特征,包括:
13、分别基于各历史流量数据集,获得各历史流量向量,所述历史流量向量中的元素为相应历史流量数据集中的历史流量数据;
14、基于所述各历史流量向量之间的相关性,获得所述流量相关性特征。
15、可选的,所述基于所述流量相关性特征,以及所述各网络协议各自的参考流量数据与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度,包括:
16、基于各综合流量数据获得综合流量向量,并基于各参考流量数据获得参考流量向量,其中,同一网络协议对应的综合流量数据在所述综合流量向量中的位置,与参考流量数据在所述参考流量向量中的位置相同;
17、基于所述综合流量向量与所述参考流量向量的差向量,以及所述流量相关性特征,获得所述一个特征信息集合对应的流量差异度。
18、可选的,在基于所述各网络协议各自的参考流量数据,与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度之前,还包括:
19、针对每个网络协议,基于所述网络协议在各历史时间周期内的历史流量数据,对所述网络协议的综合流量数据进行调整,获得调整后的综合流量数据。
20、可选的,所述基于所述各网络协议各自的参考流量数据,与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度,包括:
21、基于所述各网络协议各自的参考流量数据,与对应的调整后的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度。
22、可选的,所述基于各特征信息集合各自对应的流量差异度,获得攻击检测结果,包括:
23、基于各流量差异度,确定差异度均值;
24、分别确定所述各流量差异度与所述差异度均值之间的比值,并在获得的各第一比值中,存在大于第一数值的第一比值时,确定所述攻击检测结果为存在攻击。
25、可选的,确定所述攻击检测结果为存在攻击之后,所述方法还包括:
26、针对每个网络协议,分别确定所述网络协议的参考流量数据,与所述网络协议在所述每个时间周期内的综合流量数据的差值,并确定各差值与参考差值之间的第二比值;基于各第二比值,确定所述网络协议的目标比值;
27、基于所述各网络协议各自的目标比值,筛选出对应的目标比值大于第二数值的网络协议,并根据筛选出的网络协议执行攻击防护措施。
28、本技术实施例提供的一种攻击检测装置,包括:
29、采样单元,用于按照预设的时间周期,对网络中的数据包的特征信息进行采样,获得每个时间周期内采样到的特征信息集合,所述特征信息包含:相应数据包的子流量数据,以及使用的网络协议;
30、统计单元,用于针对每个特征信息集合,分别执行以下操作:
31、基于一个特征信息集合中,使用各网络协议的数据包的子流量数据,获得所述一个特征信息集合对应的时间周期内,所述各网络协议各自的综合流量数据,所述综合流量数据用于表征:使用相应网络协议的数据包的流量情况;
32、基于所述各网络协议各自的参考流量数据,与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度;
33、检测单元,用于基于各特征信息集合各自对应的流量差异度,获得攻击检测结果。
34、可选的,所述参考流量数据是基于相应网络协议,分别在各历史时间周期内的历史流量数据获得的;
35、则所述统计单元具体用于:
36、分别基于所述各网络协议各自的历史流量数据集,获得所述各网络协议之间的流量相关性特征;
37、基于所述流量相关性特征,以及所述各网络协议各自的参考流量数据与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度。
38、可选的,所述统计单元具体用于:
39、分别基于各历史流量数据集,获得各历史流量向量,所述历史流量向量中的元素为相应历史流量数据集中的历史流量数据;
40、基于所述各历史流量向量之间的相关性,获得所述流量相关性特征。
41、可选的,所述统计单元具体用于:
42、基于各综合流量数据获得综合流量向量,并基于各参考流量数据获得参考流量向量,其中,同一网络协议对应的综合流量数据在所述综合流量向量中的位置,与参考流量数据在所述参考流量向量中的位置相同;
43、基于所述综合流量向量与所述参考流量向量的差向量,以及所述流量相关性特征,获得所述一个特征信息集合对应的流量差异度。
44、可选的,所述装置还包括调整单元,用于:
45、针对每个网络协议,基于所述网络协议在各历史时间周期内的历史流量数据,对所述网络协议的综合流量数据进行调整,获得调整后的综合流量数据。
46、可选的,所述统计单元具体用于:
47、基于所述各网络协议各自的参考流量数据,与对应的调整后的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度。
48、可选的,所述检测单元具体用于:
49、基于各流量差异度,确定差异度均值;
50、分别确定所述各流量差异度与所述差异度均值之间的比值,并在获得的各第一比值中,存在大于第一数值的第一比值时,确定所述攻击检测结果为存在攻击。
51、可选的,所述装置还包括筛选单元,用于:
52、针对每个网络协议,分别确定所述网络协议的参考流量数据,与所述网络协议在所述每个时间周期内的综合流量数据的差值,并确定各差值与参考差值之间的第二比值;基于各第二比值,确定所述网络协议的目标比值;
53、基于所述各网络协议各自的目标比值,筛选出对应的目标比值大于第二数值的网络协议,并根据筛选出的网络协议执行攻击防护措施。
54、本技术实施例提供的一种电子设备,包括处理器和存储器,其中,所述存储器存储有计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器执行上述任意一种攻击检测方法的步骤。
55、本技术实施例提供一种计算机可读存储介质,其包括计算机程序,当所述计算机程序在电子设备上运行时,所述计算机程序用于使所述电子设备执行上述任意一种攻击检测方法的步骤。
56、本技术实施例提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中;当电子设备的处理器从计算机可读存储介质读取所述计算机程序时,所述处理器执行所述计算机程序,使得所述电子设备执行上述任意一种攻击检测方法的步骤。
57、本技术有益效果如下:
58、本技术实施例提供了一种攻击检测方法、装置、电子设备和存储介质,通过对网络中的数据包的特征信息进行采样,获得每个时间周期内各网络协议各自的综合流量数据,基于各网络协议各自的参考流量数据,与对应的综合流量数据之间的差异,能够获得各特征信息集合各自对应的流量差异度,进而获得攻击检测结果。基于上述方式,利用相同的网络协议下的流量相关性,通过对比同一网络协议下的综合流量数据与参考流量数据之间的差异,更加灵活的识别攻击,提高攻击检测的准确率,不局限于识别特定的攻击协议类型,能够对多种网络协议的攻击进行识别,具有更高的适用范围,并且不需要使用整体的数据包,仅采样数据包的特征信息进行检测,降低检测的复杂度和系统开销。
59、本技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
1.一种攻击检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述参考流量数据是基于相应网络协议,分别在各历史时间周期内的历史流量数据获得的;
3.如权利要求2所述的方法,其特征在于,所述分别基于所述各网络协议各自的历史流量数据集,获得所述各网络协议之间的流量相关性特征,包括:
4.如权利要求2所述的方法,其特征在于,所述基于所述流量相关性特征,以及所述各网络协议各自的参考流量数据与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度,包括:
5.如权利要求1所述的方法,其特征在于,在基于所述各网络协议各自的参考流量数据,与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度之前,还包括:
6.如权利要求5所述的方法,其特征在于,所述基于所述各网络协议各自的参考流量数据,与对应的综合流量数据之间的差异,获得所述一个特征信息集合对应的流量差异度,包括:
7.如权利要求1~6任一项所述的方法,其特征在于,所述基于各特征信息集合各自对应的流量差异度,获得攻击检测结果,包括:
8.如权利要求7所述的方法,其特征在于,确定所述攻击检测结果为存在攻击之后,所述方法还包括:
9.一种攻击检测装置,其特征在于,包括:
10.一种电子设备,其特征在于,其包括处理器和存储器,其中,所述存储器存储有计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1~8中任一所述方法的步骤。
