[发明专利]一种DDoS攻击识别方法、装置及存储介质

说明书

本发明提供了一种准确性更高的DDoS攻击识别方法、装置及存储介质，所述DDoS攻击识别方法包括以下步骤：接收原数据；解析原数据，获得第一处理数据；分组，根据第一处理数据，将接收的数据分组并汇聚；分析数据，获得第二处理数据；预判断，根据第二处理数据，判断是否发生攻击；预结果，根据预判断结果，生成预结果；二次判断，根据僵木蠕模块及预结果，判断攻击是否发生。本发明通过设备流记录检测技术和僵木蠕检测技术相结合的方法提升DDoS攻击检测的准确率，降低误报率，并降低检测系统的性能要求，有效的改善了传统的基于原始流量的检测方法中，对硬件的性能要求过高的问题，使得DDoS检测系统适合在各种骨干大带宽网络上进行部署。

技术领域：

本发明涉及计算机网络安全技术领域，尤其涉及一种DDoS攻击识别方法、装置及存储介质。

背景技术：

分布式拒绝服务(Distributed Denial of Service，简称DDoS)攻击指借于客户/服务器技术，使用大量计算机作为攻击平台，对一个或多个目标主机发动流量攻击，占用主机资源，使攻击的目标无法正常使用，其特征表现为攻击的发出点是分布在不同地方，故针对DDoS 攻击，检测方通常具有识别困难、溯源困难等问题。目前针对DDoS攻击的识别方法，是采用接入NetFlow/sFlow/cFlow等设备流记录或者原始业务流量，根据单位时间内被防护对象的入方向流量是否超出设置的阈值来判断主机是否发生DDoS攻击，但是基于NetFlow/sFlow/cFlow等设备流记录的检测技术，由于设备流记录本身只包含五元组和流量的统计信息，缺少了原始流量中的流量特征，会造成检测的准确性相对不高，误报率比较高，而基于原始流量的检测方法，由于需要实时的对原始流量做处理，所以对硬件的性能要求非常高，不适合在运营商骨干网络等大带宽网络上部署。

因此，本领域亟需一种DDoS攻击识别方法、装置及存储介质。

有鉴于此，提出本发明。

发明内容：

本发明的目的在于提供一种准确性更高的DDoS攻击识别方法、装置及存储介质，以解决现有技术中的至少一项技术问题。

在本发明的第一方面，提供了一种准确性更高的DDoS攻击识别方法。

具体的，所述DDoS攻击识别方法包括以下步骤：

接收原数据；

解析原数据，获得第一处理数据；

分组，根据第一处理数据，将接收的数据分组并汇聚；

分析数据，获得第二处理数据；

预判断，根据第二处理数据，判断是否发生攻击；

预结果，根据预判断结果，生成预结果；

二次判断，根据僵木蠕模块及预结果，判断攻击是否发生。

采用上述方案，通过设备流记录检测技术和僵木蠕检测技术相结合的方法提升DDoS攻击检测的准确率，降低误报率，并降低检测系统的性能要求，有效的改善了传统的基于原始流量的检测方法中，对硬件的性能要求过高的问题，使得DDoS检测系统适合在各种骨干大带宽网络上进行部署，显著的提升了对DDoS攻击的检测效率。

优选地，所述接收原数据步骤中，所述原数据为NetFlow/sFlow/cFlow的设备流记录数据。

进一步地，所述解析原数据，获得第一处理数据步骤中，包括：解析每条设备流记录的五元组、协议、流量、包数、字节数。

进一步地，所述第一处理数据为每条设备流记录的五元组、协议、流量、包数、字节数。

采用上述方案，能够有效获得各个设备流中所记录的信息，便于对各个IP进行处理。