(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111667159.5 (22)申请日 2021.12.31 (71)申请人 曙光网络科技有限公司 地址 430415 湖北省武汉市武汉临 空港经 济技术开发区五环大道6 66号 （10） (72)发明人 王继五　梅颖　李锋伟　刘长鑫　 (74)专利代理 机构 北京清亦华知识产权代理事 务所(普通 合伙) 11201 代理人 黄德海 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 DDOS攻击检测方法、 装置、 设备以及存储介 质 (57)摘要 本发明公开了一种DDOS攻击检测方法、 装 置、 设备以及可存储介质， 所述方法包括： 获取目 标网络流量； 对所述目标网络流量进行特征提 取， 获取目标特征向量； 所述目标特征向量包括 源IP的熵、 源IP的变化率以及包速率； 通过所述 目标特征向量与正常流量画 像， 获取目标关联度 值； 根据所述关联度值与攻击检测的阈值， 获取 目标网路流量的DDOS攻击检测结果。 本发明的技 术方案， 通过获取网络流量的三维特征， 实现了 对网络异常流量的精准检测， 使得攻击检测的成 功率远远高于传统的基 于阈值的检测方法。 权利要求书2页 说明书9页 附图4页 CN 114338206 A 2022.04.12 CN 114338206 A 1.一种DDOS攻击检测方法， 其特 征在于， 包括： 获取目标网络流 量； 对所述目标网络流量进行特征提取， 获取目标特征向量， 其中， 所述目标特征向量包括 源IP的熵、 源IP的变化 率以及包速率； 计算所述目标 特征向量与正常流 量画像的关联情况， 得到目标关联度值； 比较所述目标关联度值与攻击检测的阈值， 生成目标网络流 量的DDOS攻击检测结果。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取所述正常流量画像。 3.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 根据所述 正常流量画像获取 所述攻击检测的阈值。 4.根据权利要求2所述的方法， 其特 征在于， 所述获取 所述正常流量画像， 包括： 获取参考网络流 量； 对所述参考网络流量依据时刻进行划分， 获取B个时刻参考网络流量； 其中， B为正整 数； 根据所述时刻参 考网络流 量， 获取B个时刻特 征向量； 对所述B个时刻特 征向量取均值， 获取 所述正常流量画像。 5.根据权利要求3所述的方法， 其特 征在于， 所述获取攻击检测的阈值， 包括： 根据所述B个时刻特 征向量以及所述 正常流量画像， 获取B个参 考关联度值； 对所述B个参 考关联度值取均值， 获取 所述攻击检测的阈值。 6.根据权利要求1所述的方法， 其特 征在于， 所述获取 所述源IP的熵， 包括： 预设所述目标网络流 量的统计时间； 统计在统计时间内获取的所有报文中不同源IP的个数以及每 个源IP的报文的个数； 根据所述源IP个数以及每个所述源IP的报文的个数， 计算每个所述源IP的报文出现的 概率； 根据所述 概率， 获取所述统计时间内所述目标 特征向量中源IP的熵。 7.根据权利要求1所述的方法， 其特 征在于， 所述获取 所述源IP的变化 率， 包括： 分别统计连续两个统计时间内的所述源IP 的个数Nt以及Nt‑1； 其中， Nt以及Nt‑1为正整 数； 根据所述 Nt以及Nt‑1， 获取所述源IP在两个所述统计时间内的变化数以及总数； 其中： 所述源IP的变化数： σ ＝ Nt‑Nt‑1； 所述源IP的总数： N ＝Nt+Nt‑1； 根据所述变化数以及总数， 获取 所述源IP的变化 率； 其中， 所述源IP的变化 率： V＝σ /N。 8.一种DDOS攻击检测装置， 其特 征在于， 包括： 获取模块， 用于获取目标网络流 量； 特征提取模块， 用于对所述目标网络流量进行特征提取， 获取目标特征向量； 所述特征 向量包括源IP的熵、 源IP的变化 率以及包速率； 流量获取模块， 用于通过 所述目标 特征向量与正常流 量画像， 获取目标关联度值； 攻击检测模块， 用于根据所述关联度值与攻击检测的阈值， 获取目标网路流量的DDOS 攻击检测结果。权　利　要　求　书 1/2 页 2 CN 114338206 A 29.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求1至7任一项所 述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1至7任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114338206 A 3