[发明专利]一种DDoS攻击检测方法、装置及电子设备

说明书

本发明实施例提供了一种DDoS攻击检测方法、装置及电子设备，所述方法包括：获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息；针对所述多个内核中的每个内核，基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从所述各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中，充分利用了CPU的所有内核，资源利用率高，相应地，检测效率也会提高。

技术领域

本发明涉及网络通信技术领域，特别是涉及一种DDoS(Distributed Denial ofService，分布式拒绝服务)攻击检测方法及装置。

背景技术

DDoS攻击指将多个计算机联合起来作为攻击平台，对网络设备发动攻击，使其无法提供正常的服务或资源访问，更有甚者还会使其服务系统停止响应甚至崩溃。随着互联网技术不断融入公众的日常生活，DDoS攻击所带来的危害也越来越严重，因此，进行DDoS攻击检测非常必要。

目前，现有的DDoS攻击检测方法主要是：从网络设备的CPU(Central ProcessingUnit，中央处理器)内核中指定一个内核，使用该内核对整个CPU在单位时间内接收到的不同终端设备发送的网络数据包数量分别进行统计，当某一终端设备发送的网络数据包数量超过预设数值时，则认为该网络设备受到DDoS攻击。

采用上述方法进行DDoS攻击检测时，对资源的利用率较低，检测效率也较低。

发明内容

本发明实施例的目的在于提供一种DDoS攻击检测方法及装置，以解决现有技术中存在的资源利用率低及检测效率低的问题。具体技术方案如下：

第一方面，本发明实施例提供了一种DDoS攻击检测方法，包括：

获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息，一个内核针对一个终端设备的所述统计信息为，该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息；

针对所述多个内核中的每个内核，基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；

针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；

基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从所述各待确认攻击终端中确定出攻击终端。

进一步的，所述统计信息包括网络数据包的数量和/或网络数据包的数据量。

进一步的，所述基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端，包括：

针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系；

当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时，将该终端设备确定为待确认攻击终端。

进一步的，所述基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端，包括：

针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系；

当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时，将该终端设备确定为候选待确认攻击终端；