技術(shù)特征:1.一種DDOS攻擊的檢測方法���,其特征在于,包括:
采集各待檢測數(shù)據(jù)中心的核心交換機的流量數(shù)據(jù)并傳輸所述流量數(shù)據(jù)��;
接收所述流量數(shù)據(jù)�����,并按照隊列的形式周期性地輸出至流式計算結(jié)點��;
為所述流式計算結(jié)點分配任務(wù)��;
根據(jù)流式計算模型計算以列隊形式輸出的流量數(shù)據(jù)以得到計算結(jié)果����;
對所述計算結(jié)果處理匯總得到檢測結(jié)果��;
當(dāng)所述檢測結(jié)果表征出現(xiàn)DDOS攻擊現(xiàn)象時報警提示�。
2.根據(jù)權(quán)利要求1所述的DDOS攻擊的檢測方法���,其特征在于�����,通過sFlow協(xié)議采集各待檢測數(shù)據(jù)中心的流量數(shù)據(jù)�。
3.根據(jù)權(quán)利要求1所述的DDOS攻擊的檢測方法�,其特征在于,通過NetFlow協(xié)議采集各待檢測數(shù)據(jù)中心的流量數(shù)據(jù)���。
4.根據(jù)權(quán)利要求1所述的DDOS攻擊的檢測方法����,其特征在于���,通過因特網(wǎng)傳輸所述流量數(shù)據(jù)����。
5.根據(jù)權(quán)利要求1所述的DDOS攻擊的檢測方法���,其特征在于�,通過隧道協(xié)議傳輸所述流量數(shù)據(jù)。
6.根據(jù)權(quán)利要求1所述的DDOS攻擊的檢測方法�,其特征在于,所述周期性地輸出至流式計算結(jié)點中的周期為500毫秒-3秒范圍內(nèi)的任意值��。
7.根據(jù)權(quán)利要求6所述的DDOS攻擊的檢測方法�����,其特征在于����,所述流式計算結(jié)點根據(jù)流式計算模型計算以列隊形式輸出的流量數(shù)據(jù)以得到計算結(jié)果具體包括:
在所述周期內(nèi),根據(jù)客戶IP地址匯聚流量數(shù)據(jù)���,同時對源IP地址數(shù)進行累加并緩存;
根據(jù)所述核心交換機的IP地址�����、端口匹配到對應(yīng)的待檢測數(shù)據(jù)中心����;
統(tǒng)計當(dāng)前所述核心交換機的總流量����、當(dāng)前IP流量及占比��、當(dāng)前流 量占總出口帶寬的占比�。
8.根據(jù)權(quán)利要求7所述的DDOS攻擊的檢測方法,其特征在于��,所述對所述計算結(jié)果處理匯總得到檢測結(jié)果具體包括:
根據(jù)時間序列算法�����,對所述客戶IP地址訪問的請求進行計算以判斷是否存在DDOS攻擊現(xiàn)象��,如果是得到第一檢測結(jié)果��;
判斷所述計算結(jié)果是否超出對應(yīng)的待檢測數(shù)據(jù)中心設(shè)定的閾值���,如果是得到第二檢測結(jié)果�;
根據(jù)所述源IP地址數(shù)的變化判斷是否存在IP地址異常�����,如果是得到第三檢測結(jié)果�;
所述當(dāng)所述檢測結(jié)果表征出現(xiàn)DDOS攻擊現(xiàn)象時報警提示具體包括:
當(dāng)同時出現(xiàn)所述第一檢測結(jié)果�����、所述第二檢測結(jié)果和所述第三檢測結(jié)果時����,表征出現(xiàn)DDOS攻擊現(xiàn)象��,則報警提示�;
當(dāng)出現(xiàn)所述第一檢測結(jié)果、所述第二檢測結(jié)果和所述第三檢測結(jié)果中的任意一種時��,則進行計數(shù)��,并進入下一個檢測周期���;
如果連續(xù)三個周期均出現(xiàn)計數(shù)���,表征出現(xiàn)DDOS攻擊現(xiàn)象�,則報警提示。
9.一種DDOS攻擊的檢測系統(tǒng)�����,其特征在于,包括:計算節(jié)點�����,其中��,所述計算節(jié)點具體包括:
采集單元����,用于采集各待檢測數(shù)據(jù)中心的核心交換機的流量數(shù)據(jù)并傳輸所述流量數(shù)據(jù);
數(shù)據(jù)緩存單元�����,用于接收所述流量數(shù)據(jù)��,并按照隊列的形式周期性地輸出至流式計算結(jié)點�;
調(diào)度單元,用于為所述流式計算結(jié)點分配任務(wù)�����;
流式計算節(jié)點���,用于根據(jù)流式計算模型計算以列隊形式輸出的流量數(shù)據(jù)以得到計算結(jié)果���;
所述調(diào)度單元�,還用于對所述計算結(jié)果處理匯總得到檢測結(jié)果����;
報警單元,用于當(dāng)所述檢測結(jié)果表征出現(xiàn)DDOS攻擊現(xiàn)象時報警提示����。
10.根據(jù)權(quán)利要求9所述的DDOS攻擊的檢測系統(tǒng),其特征在于��,還包括:備用計算節(jié)點��,用于在所述計算節(jié)點出現(xiàn)故障時代替所述計算節(jié)點執(zhí)行DDOS攻擊的檢測�。