本发明实施例涉及it应用技术领域,特别涉及一种ddos攻击检测的方法、装置、电子设备及存储介质。
背景技术:
当前的抗分布式拒绝服务(distributeddenialofservice,ddos)系统技术方案,对于来自物联网的ddos攻击检测,重点分析的是被攻击目标的网络态势。所需的数据来自于路由器吐出的netflow日志。该日志是被集中收集后再送入检测系统分析,属于dfi(深度流量分析)范畴。检测技术方案为对流进某个ip的报文包数或者报文流量,按照每一分钟为单位建立一个阈值,当发现某一类包数或者流量异常增大,超过阈值,则认为受到了来自物联网的ddos攻击。当检测到攻击后,需要联动对应的清洗设备,进行引流等方式清洗攻击流量。发明人发现,现有技术方案中阈值的生成方式来自经验,实践证明来自经验生成的阈值存在大量误报和漏报的情况而且不能反映网络流量的时序特性;需要3分钟才能判断是否存在ddos攻击检测,实时性不强;对低速攻击检测能力低下;需要流量清洗设备,清洗过程会严重影响正常业务;netflow日志的采样比过高,会导致数据严重失真。
技术实现要素:
本发明实施方式的目的在于提供一种ddos攻击检测方法、电子设备、装置及计算机可读存储介质,能够直接在近源端部署计算节点进行检测,而且利用区块链技术实现众计算节点安全可信的通信,对初步检测果进行综合的二次分析形成可靠的最终检测结果,提高检测的可靠性。
为解决上述技术问题,本发明的实施方式提供了一种ddos攻击检测方法,所述方法包括:
实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;
获取所述目标ip对应的流量基线模型;
根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警;
在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;
根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果。
优选地,所述获取所述目标ip对应的流量基线模型包括:
在第一目标时间段内每隔单位时间获取流经所述目标ip的多组流量数据;
归一化所述多组流量数据;
对归一化的多组流量数据进行聚类,得到所述流量基线模型。
优选地,所述根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警包括:
在获取的流量数据能与所述目标ip对应的流量基线模型聚成一类时,则确定单位时间内所述目标ip没有出现疑似告警;
在获取的流量数据不能与所述目标ip对应的流量基线模型聚成一类时,则确定单位时间内所述目标ip出现了疑似告警。
优选地,所述在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合包括:
广播添加疑似告警请求到所述区块链网络中以使区块链网络中的其他计算节点在其维护的疑似告警集合中添加所述目标ip出现的疑似告警。
优选地,所述根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果包括:
从所述更新后的所述计算节点维护的疑似告警集合中,获取第二目标时间段内所述目标ip的目标疑似告警集合;
计算所述目标疑似告警集合中出现目标协议的次数;
在计算的次数大于次数阈值时,确定所述目标ip受到ddos攻击。
优选地,所述方法还包括:
在确定所述目标ip受到ddos攻击时,获取发起攻击的源ip;
根据所述源ip确定所述源ip对应的智能设备是否在所述边缘路由器的管辖范围内;
在所述源ip对应的智能设备在所述边缘路由器的管辖范围内时,向所述边缘路由器发送过滤包含所述源ip及/目标协议的过滤指令。
优选地,所述方法还包括:
在所述区块链网络中的其他计算节点中的任一计算节点出现疑似告警时,接收所述任一计算节点发送的添加疑似告警请求的广播;
验证接收的广播中的添加疑似告警请求;
在验证通过后,将接收的广播中的疑似告警添加至所述计算节点维护的疑似告警集合。
为了解决上述问题,本发明还提供一种ddos攻击检测装置,其特征在于,所述装置包括:
流量获取模块,用于实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;
模型获取模块,用于获取所述目标ip对应的流量基线模型;
告警确定模块,用于根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警;
更新模块,用于在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;
所述告警确定模块还用于根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现上述所述的ddos攻击检测方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的ddos攻击检测方法。
本发明实施例利用实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;将获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip初次检测结果,再利用区块链技术实现众计算节点安全可信的通信、在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果,从而实现检测结果共享,对初步检测结果进行综合的二次分析形成可靠的最终检测结果,提高检测的可靠性。
进一步地,单个计算节点得到了正式的告警,同时可以获得发起攻击的智能设备地址以及产生告警流量对应的协议。计算节点判断发起攻击的智能设备是否在自己所连接的边缘路由器的管辖范围内,如果是,则向连接的边缘路由器发出过滤指令。本实施例在近源检测和近源处置恶意流量,无需专有的处置设备,也无需对正常业务造成影响,成本低、影响小。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1为本发明实施例提供的ddos攻击检测方法的较佳实施例的应用环境图。
图2为本发明实施例提供的ddos攻击检测方法的第一较佳实施例的流程示意图;
图3为本发明实施例提供的图2中s2的细化流程图。
图3a为本发明实施例提供流量基线模型示意图。
图3b为本发明实施例提供流量数据能与流量基线模型聚成一类示意图。
图3c为本发明实施例提供流量数据不能与流量基线模型聚成一类型示意图。
图4为本发明实施例提供的图2中s5的细化流程图。
图5为实施例提供的ddos攻击检测方法的第二较佳实施例的流程示意图。
图6为本发明实施例提供的ddos攻击检测装置的模块示意图;
图7为本发明实施例提供的实现ddos攻击检测方法的电子设备的内部结构示意图;
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明的实施方式涉及一种分布式拒绝服务(distributeddenialofservice,ddos)攻击检测方法,本实施方式的核心在于利用实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;将获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip初次检测结果,再利用区块链技术实现众计算节点安全可信的通信、在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果,从而实现检测结果共享,对初步检测结果进行综合的二次分析形成可靠的最终检测结果,提高检测的可靠性。下面对本实施方式的ddos攻击检测实现细节进行具体的说明,以下内容仅为方便理解提供的实现细节,并非实施本方案的必须。
参阅图1所示,是本发明ddos攻击检测方法的第一较佳实施例的应用环境示意图。本发明所述ddos攻击检测方法应用在包括计算节点、边缘路由器、智能设备群的网络架构中。所述计算节点、边缘路由、智能设备群之间通过网络进行通信。
一个计算节点对应一个边缘路由器,一个边缘路由器对应一组智能设备群,智能设备群包括多个智能设备。
计算节点包括但不限于:服务器、计算机等设备。
智能设备包括但不限于:手机、电脑、穿戴式设备、相机、车载电子设备、摄像机等等接入物联网的电子设备。
每一个接入物联网智能设备群的边缘路由器,会接上一个监测计算节点。每一个计算节点从对应的边缘路由器分得一个流过该路由器的流量的镜像。如此,每个计算节点可以统计路由器所管辖的所有智能设备产生的流量。
物联网设备由于业务单一,具有其独特的流量特征。如家用摄像头,除了少量的传输控制协议(transmissioncontrolprotocoltcp)流量(管理信息)外,大多是用户数据报协议(userdatagramprotocoludp)流量。所以根据数据包中的传输内容,可归纳出数据特征集合的大小是一定的。同时,物联网设备连接到互联网的ip数都很少,一般不超过10个,这使得使用单个计算节点来统计和分析单个智能设备流向某个目标主机的流量以确定目标ip是否受到ddos攻击。
参阅图2所示,图2是本发明为本发明实施例提供的ddos攻击检测方法的第一较佳实施例的流程示意图,该流程示意图应用于计算节点中,根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。
以下结合图2,详细阐述所述ddos攻击检测方法,包括:
s1、实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据。
在本发明实施例中,每一个计算节点从对应的边缘路由器分得一个流过该路由器的流量的镜像。因此每个计算节点可以统计路由器所管辖的所有智能设备产生的流量。
具体地,计算节点获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的数据包,计算节点以“目的ip和三、四层协议”为单位,从获取的数据包中获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据。
进一步地,单位时间是统计流量数据的一个时间单位,例如以30秒为一个时间单位等等。在实时获取流量数据时,即每隔一个单位时间就可获取一次数据,从而便于后续能可以实时检测出ddos攻击,从而提高了时效性。
进一步地,获取的数据包包括,但不限于源ip、流量、包速。获取的流量数据是一个包括流量和包速的二维向量。
例如某个ip为“23.24.198.22”、协议为“tcp”,得到了一段时间内的每30秒统计一次的特征值,即多个2维向量[流量,包速]。
在该实施例中,直接使用未采样的网络数据包分析,从而提高后续检测的可靠性。
s2、获取所述目标ip对应的流量基线模型。
在本发明实施例中,图3为本发明实施例提供的图2中s2的细化流程图。
具体包括:
s21、在第一目标时间段内每隔单位时间获取流经所述目标ip的多组流量数据。
在本发明实施例中,每组流量数据是一个包括流量和包速的二维向量。在第一目标时间段(如2小时)内,获取多组流量数据。
s22、归一化所述多组流量数据。
在本发明实施例中,由于每组流量数据的2个维度单位不一样,需要用归一化处理无量纲的二维向量以便于后续的检测计算。
s23、对归一化的多组流量数据进行聚类,得到所述流量基线模型。
在本发明实施例中,对归一化的多组流量数据进行聚类得到至少一个类别,将包含最多样本数据的类别作为流量基线模型。也就是说包含少数孤立样本的类别。
如图3a为本发明实施例提供流量基线模型示意图,为排除图3a的右上角的孤立样本类别后的目标ip为“23.24.198.22”的正常态势的流量基线模型。
s3、根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警。
在本发明实施例中,所述根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警包括:
在获取的流量数据能与所述目标ip对应的流量基线模型聚成一类时,则确定单位时间内所述目标ip没有出现疑似告警;
在获取的流量数据不能与所述目标ip对应的流量基线模型聚成一类时,则确定单位时间内所述目标ip出现了疑似告警。
例如,如图3b为本发明实施例提供流量数据能与流量基线模型聚成一类示意图。将获取的流量数据表示为样本点a,在图3b中样本点a没有被孤立,则表示样本点a表示的流量属于正常流量数据,没有出现疑似告警。
在本发明实施例中,使用了聚类算法进行ddos攻击的初次检测,可以极大地减少人为经验的干预,提高检测的准确性。
图3c为本发明实施例提供流量数据不能与流量基线模型聚成一类型示意图。将获取的流量数据表示为样本点a,在图3c中样本点a被孤立,样本点a不能与流量基线模型聚成一类型,则表示样本点a表示的流量不属于正常流量数据,出现疑似告警。
s4、在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合。
在本发明实施例中,区块链网络中包括多个计算节点,利用区块链共识机制和智能合约实现分布式节点之间安全可信的数据共享分析。单个计算节点发现某个ip有来自智能设备的ddos攻击告警,只是疑似告警,需要将所有计算节点的初步检测结果整合分析,才能得到最后的检测结果。即单个节点需要共享其他节点的检测结果,才能实现自治。
在区块链网络中的智能合约中定义了以ip为单位的疑似告警集合aip={vt1,vt2,vtn}。其中下标tn是时间戳的含义,vtn={时间戳,源ip,协议族,30秒内流量总和,30秒内包速总和}。例如,目标ip为“23.24.198.22”的疑似告警集合如:
a23.24.198.22={
[1565675160,23.34.56.9,tcp,43254525,3424],
[1565675190,23.34.56.9,icmp,27534,563],
[1565675220,23.34.56.1,udp,768536,24579]
}
在区块链网络中单个计算节点在本地维护一份疑似告警集合aip。
优选地,在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合包括:
广播添加疑似告警请求到所述区块链网络中以使区块链网络中的其他计算节点在其维护的疑似告警集合中添加所述目标ip出现的疑似告警。
具体地,当单个计算节点x通过聚类算法获得疑似告警后,触发智能合约中的添加疑似告警到集合的规则,并广播到全网。在其他节点收到广播后,对添加请求进行验证,验证添加者的数字签名和数据格式。若验证通过,则计算节点x添加该疑似告警到计算节点x在本地维护的集合aip,同时其他节点也更新其本地集合;若验证不通过,则计算节点x不进行任何更新操作。
优选地,在其他所述方法还包括:
在所述其他计算节点中的任一计算节点出现疑似告警时,接收所述任一计算节点发送的添加疑似告警请求的广播;
验证接收的广播中的添加疑似告警请求;
在验证通过后,将接收的广播中的疑似告警添加至所述计算节点维护的疑似告警集合。
同理,在计算计节点在验证所述任一计算节点发送的请求时,也是验证所述任一计算节点数字签名和数据格式。
在上述实施例中,在区块链网络中的单个计算节点受到疑似攻击时,需要将区块链网络中所有计算节点的初步检测结果整合分析,才能得到更新后的疑似告警集合。即单个节点需要共享其他节点的检测结果,才能实现自治,从而提高检测的可靠性。
s5、根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果。
在本发明实施例中,在智能合约中定义分析疑似告警集合得到ddos告警的规则。该规则:以某个目标ip的某个协议族为颗粒度,统计在一个时间段里发生异常的次数,该次数超过预先设定的阈值,则认为发生告警。如图4所示,图4为本发明实施例提供的图2中s5的细化流程图。步骤s5具体包括:
s51、从所述更新后的所述计算节点维护的疑似告警集合中,获取第二目标时间段内所述目标ip的目标疑似告警集合。
s52、计算所述目标疑似告警集合中出现目标协议的次数。
在本发明实施例中,所述目标协议包括icmp协议。
s53、在计算的次数大于次数阈值时,确定所述目标ip受到ddos攻击。
例如,更新后23.24.198.22的目标疑似告警集合如下:
[1565675160,23.34.57.1,icmp,91316521,199931],
[1565675160,23.34.56.2,icmp,92012211,208706],
[1565675160,164.34.76.88,tcp,43225,324],
[1565675160,23.34.26.9,icmp,91547018,179915],
[1565675160,23.34.36.11,icmp,89567899,198706],
[1565675160,23.34.36.12,icmp,90612733,181538],
[1565675130,164.33.76.18,tcp,23479,132],
[1565675100,165.34.56.92,tcp,45279,235]
在“1565675130-1565675160”的30秒内,出现了5次基于icmp协议对“23.24.198.22”的疑似ddos攻击,超过了设定的阈值3次,所以判定产生了正式的ddos告警。
在本实施例中,如图5所示,图5为实施例提供的ddos攻击检测方法的第二较佳实施例的流程示意图。在s5之后,所述方法还包括:
s6、在确定所述目标ip受到ddos攻击时,获取发起攻击的源ip。
在本发明实施例中,从目标疑似告警集合中获取发起攻击的源ip。
s7、根据所述源ip确定所述源ip对应的智能设备是否在所述边缘路由器的管辖范围内。
s8、在所述源ip对应的智能设备在所述边缘路由器的管辖范围内时,向所述边缘路由器发送过滤包含所述源ip及/目标协议的过滤指令。
在该实施例中,单个计算节点得到了正式的告警,同时可以获得发起攻击的智能设备地址以及产生告警流量对应的协议。计算节点判断发起攻击的智能设备是否在自己所连接的边缘路由器的管辖范围内,如果是,则向连接的边缘路由器发出过滤指令。本发明实施例在近源检测和近源处置恶意流量,无需专有的处置设备,也无需对正常业务造成影响,成本低、影响小。
在本发明实施例中,在开始获取数据时,不使用netflow日志进行分析,直接使用未采样的网络数据包分析,利用众多的分布式节点的计算能力进行精准计算,从而提高了检测的可靠性。
如图6所示,是本发明ddos攻击检测装置的功能模块图。
本发明所述ddos攻击检测装置100可以安装于电子设备中。根据实现的功能,所述ddos攻击检测装置可以包括流量获取模块101、模型获取模块102、告警确定模块103及更新模块104。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
流量获取模块101,用于实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;
模型获取模块102,用于获取所述目标ip对应的流量基线模型;
告警确定模块103,用于根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警;
更新模块104,用于在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;
所述告警确定模块103还用于根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果。
本申请所提供的装置中的模块能够本发明实施例利用实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;将获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip初次检测结果,再利用区块链技术实现众计算节点安全可信的通信、在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果,从而实现检测结果共享,对初步检测结果进行综合的二次分析形成可靠的最终检测结果,提高检测的可靠性。其在具体运行时可以取得上述的方法实施例一样的技术效果。
如图7所示,是本发明实现ddos攻击检测方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11和总线,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如ddos攻击检测程序12。所述电子设备1中安装有web应用的web防火墙。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:sd或dx存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(smartmediacard,smc)、安全数字(securedigital,sd)卡、闪存卡(flashcard)等。进一步地,所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如ddos攻击检测程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(centralprocessingunit,cpu)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(controlunit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行ddos攻击检测程序等),以及调用存储在所述存储器11内的数据,以执行电子设备1的各种功能和处理数据。
所述总线可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
图7仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图7示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、wi-fi模块等,在此不再赘述。
进一步地,所述电子设备1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如wi-fi接口、蓝牙接口等),通常用于在该电子设备1与其他电子设备之间建立通信连接。
可选地,该电子设备1还可以包括用户接口,用户接口可以是显示器(display)、输入单元(比如键盘(keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organiclight-emittingdiode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的请求ddos攻击检测程序12是多个指令的组合,在所述处理器10中运行时,可以实现:
实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;
获取所述目标ip对应的流量基线模型;
根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警;
在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;
根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果。
具体地,所述处理器11对上述指令的具体实现方法对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom,read-onlymemory)。
所述计算机可读存储介质上存储有请求ddos攻击检测程序,所述请求ddos攻击检测程序可被一个或多个处理器执行,以实现如下操作:
实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;
获取所述目标ip对应的流量基线模型;
根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警;
在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;
根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
1.一种ddos攻击检测方法,其特征在于,该方法应用于区块链网络的计算节点中,所述方法包括:
实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;
获取所述目标ip对应的流量基线模型;
根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警;
在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;
根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果。
2.根据权利要求1所述的ddos攻击检测方法,其特征在于,所述获取所述目标ip对应的流量基线模型包括:
在第一目标时间段内每隔单位时间获取流经所述目标ip的多组流量数据;
归一化所述多组流量数据;
对归一化的多组流量数据进行聚类,得到所述流量基线模型。
3.根据权利要求1所述的ddos攻击检测方法,其特征在于,所述根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警包括:
在获取的流量数据能与所述目标ip对应的流量基线模型聚成一类时,则确定单位时间内所述目标ip没有出现疑似告警;
在获取的流量数据不能与所述目标ip对应的流量基线模型聚成一类时,则确定单位时间内所述目标ip出现了疑似告警。
4.根据权利要求1所述的ddos攻击检测方法,其特征在于,所述在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合包括:
广播添加疑似告警请求到所述区块链网络中以使区块链网络中的其他计算节点在其维护的疑似告警集合中添加所述目标ip出现的疑似告警。
5.根据权利要求1所述的ddos攻击检测方法,其特征在于,所述根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果包括:
从所述更新后的所述计算节点维护的疑似告警集合中,获取第二目标时间段内所述目标ip的目标疑似告警集合;
计算所述目标疑似告警集合中出现目标协议的次数;
在计算的次数大于次数阈值时,确定所述目标ip受到ddos攻击。
6.根据权利要求1至5中任一项所述的ddos攻击检测方法,其特征在于,所述方法还包括:
在确定所述目标ip受到ddos攻击时,获取发起攻击的源ip;
根据所述源ip确定所述源ip对应的智能设备是否在所述边缘路由器的管辖范围内;
在所述源ip对应的智能设备在所述边缘路由器的管辖范围内时,向所述边缘路由器发送过滤包含所述源ip及/目标协议的过滤指令。
7.根据权利要求1至5中任一项所述的ddos攻击检测方法,其特征在于,所述方法还包括:
在所述区块链网络的其他计算节点中的任一计算节点出现疑似告警时,接收所述任一计算节点发送的添加疑似告警请求的广播;
验证接收的广播中的添加疑似告警请求;
在验证通过后,将接收的广播中的疑似告警添加至所述计算节点维护的疑似告警集合。
8.一种ddos攻击检测装置,其特征在于,所述装置包括:
流量获取模块,用于实时获取单位时间内流经所述计算节点对应的边缘路由器的目标ip的流量数据;
模型获取模块,用于获取所述目标ip对应的流量基线模型;
告警确定模块,用于根据获取的流量数据及所述目标ip对应的流量基线模型,确定单位时间内所述目标ip是否出现疑似ddos攻击的疑似告警;
更新模块,用于在确定单位时间内所述目标ip出现疑似告警时,利用所述区块链网络的多个计算节点共享机制,更新所述计算节点维护的疑似告警集合;
所述告警确定模块还用于根据更新后的所述计算节点维护的疑似告警集合,利用预设规则确定所述目标ip的最终ddos攻击检测结果。
9.一种电子设备,其特征在于,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现如权利要求1至7中任意一项所述的ddos攻击检测方法。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现如权利要求1至7中任意一项所述的ddos攻击检测方法。
技术总结