一种DDoS攻击检测的方法与系统与流程

一种ddos攻击检测的方法与系统
技术领域
1.本发明涉及计算机ddos攻击领域，更具体地说，涉及一种ddos攻击检测的方法与系统。


背景技术：

2.分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的；
3.在计算机网络ddos攻击时现有的一般通过流量监控的或ip地址查询的方式对数据包进行检测，确定攻击后通过防火墙进行拦截，但防火墙拦截存在一定的拦截失败概率，若ddos攻击模式通过漏洞持续攻击，主机很容易被攻击到造成一定的安全和财产损失，此时主机一般通过备份文件的方法对文件进行备份同时对原文件进行删除，但无论是备份文件还删除原文件都需要时间，而现有技术是无法进行时间支持的。


技术实现要素：

4.1.要解决的技术问题
5.针对现有技术中存在的问题，本发明的目的在于提供一种ddos攻击检测的方法与系统，它可以实现，一种ddos攻击检测的方法与系统通过设置的云端虚拟机对主机的ip地址进行模拟的同时让主机的ip地址进行修改，达到转移攻击的效果，这样主机便有时间对文件进行备份或者查找攻击源，避免了数据的损失。
6.2.技术方案
7.为解决上述问题，本发明采用如下的技术方案。
8.一种ddos攻击检测的系统，包括主机控制模块，所述主机控制模块的接收端电性连接有攻击检测模块，所述攻击检测模块的接收端电性连接有数据接收模块，所述主机控制模块通过无线网络连接有攻击转移模块，所述主机控制模块的输出端通过m.2接口或5g连接有数据备份模块，所述主机控制模块内置防火墙模块，所述攻击转移模块是云端虚拟机模块。
9.一种ddos攻击检测的方法，包括以下步骤：s1：通过所述数据接收模块对网络上的数据包进行接收以及对接收到的数据通过所述攻击检测模块进行检测；
10.s2：经过所述攻击检测模块检测以确定接收到的数据包是否为ddos攻击模式，所述攻击检测模块包括流量检测模块和数据包检测模块对数据包和流量进行检测；
11.若确定为ddos攻击模式，则启动所述防火墙模块，对攻击进行拦截；
12.若时间段检测不确定是ddos攻击模式，则正常使用主机，但通过所述攻击检测模块当中的所述时间检测模块进行时间监控，在该监测时间段若发现数据包按照一定的节奏和频率进行发送，则启动所述攻击检测模块当中的ip地址检测模块，对数据发送端的ip地
址进行检测；
13.若在时间段检测中检测到数据包具有一定的节奏和频率进行发送数据包，且使用不同的ip地址进行同时发送，则确定为ddos攻击；
14.s3：确定攻击后启动所述防火墙模块对数据流量进行调节；
15.s4：所述攻击转移模块启动后，通过云端虚拟机模块模拟主机的ip地址和mac地址，并对主机的ip地址、mac地址和时间进行临时修改，如此ddos攻击无法搜索到主机改为攻击云端虚拟机模块；
16.s5：所述云端虚拟机模块受到攻击后，启动云端虚拟机模块内置的特征收集模块、收集流量模块和反向攻击模块，对ddos攻击特征进行收集，并对数据流量名称进行记录收集，形成预攻击数据库。
17.s6：通过收集到的预攻击数据库形成攻击数据包，然后视情况启动反向攻击模块对攻击的ip地址进行反向攻击。
18.进一步的，所述数据包的检测方法包括：数据包名称记录和数据包数量记录，通过对数据包数量是否正常，和数据包名称是否重复进行一段简单筛查。
19.进一步的，所述时间检测方法包括：总传输时间表和单数据包时间表，对单个数据包和总数据包的开始时间和结束时间进行记录，并对单数据包的传送时间频率进行记录。
20.进一步的，所述流量检测的方法包括：根据对数据包数据库当中的数据与攻击数据进行名称和流量对比以确定是否为攻击行为。
21.所述数据包数据库方式可通过腾讯安全管家、360安全卫士等网络杀毒软件的网络安全数据库获取。
22.进一步的，所述数据资料进行备份的方法包括：云端数据备份和高速固态硬盘备份。
23.进一步的，所述云端数据备份包括：通过5g或万兆光纤进行数据传输；
24.进一步的，所述高速固态硬盘备份包括：通过m.2接口走pci-e3.0x4通道进行高速传输。
25.进一步的，所述数据流量调节的方法包括：对发送的数据流量包流量进行限制或对发送的数据流量包进行断流，如此对确定攻击数据进行阻止；
26.若拦截成功，则对攻击数据进行清除，并记录该攻击ip地址和数据包数据形成拦截日志；
27.若拦截失败，则立即通过所述主机控制模块将控制所述攻击转移模块进行启动，并同时对所述主机控制模块当中的数据资料进行备份。
28.3.有益效果
29.相比于现有技术，本发明的优点在于：
30.(1)、本方案通过云端虚拟机的可对主机的地址进行转移，从而让攻击数据对云端虚拟机进行攻击为主机的反应备份提供时间支持，达到提高安全效果，通过云端虚拟机当中的反向攻击能够对攻击方进行反向攻击，利用云端计算机强大的计算能力，对攻击方进行饱和式攻击，达到以攻代守的效果。
31.(2)、本方案通过高速固态硬盘进行电性连接储存，方便拿取，通过高速接口能够快速进行备份节约了备份的时间，通过设置的5g能够进行高速五无线云端备份，方便快捷。
32.(3)、本方案通过防火墙对流量进行控制调节，达到阻隔数据攻击的效果，避免再次攻击。
33.(4)、本方案通过该系统模块之间的连接配合，能够在预设攻击很强且无法抵挡的时候让攻击进行转移，给主角备份文件和删除文件的时间，给主机上最后一道保险。
附图说明
34.图1为本发明总方法结构示意图；
35.图2为本发明系统整体结构示意图；
36.图3为本发明攻击检测模块运行示意图；
37.图4为本发明流量检测模块运行示意图；
38.图5为本发明数据包检测模块运行示意图；
39.图6为本发明时间检测模块运行示意图；
40.图7为本发明防火墙模块运行示意图；
41.图8为本发明攻击转移模块运行示意图；
42.图中标号说明：
43.1、主机控制模块；2、攻击检测模块；3、数据接收模块；4、数据备份模块/5、防火墙模块；6、攻击转移模块。
具体实施方式
44.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述；显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
45.实施例：
46.请参阅图2，一种ddos攻击检测的系统，包括：主机控制模块1，主机控制模块1的接收端电性连接有攻击检测模块2，攻击检测模块2的接收端电性连接有数据接收模块3，主机控制模块1通过无线网络连接有攻击转移模块6，主机控制模块1的输出端通过m.2接口或5g连接有数据备份模块4，主机控制模块1内置防火墙模块5，攻击转移模块6是云端虚拟机模块；通过该系统模块之间的连接配合，能够在预设攻击很强且无法抵挡的时候让攻击进行转移，给主角备份文件和删除文件的时间，给主机上最后一道保险。
47.具体的，当进行系统进行工作时，当进行数据传输时，网络上的数据包通过无线或者有线的方式传输到主机控制模块1之前会通过数据接收模块3的接口进行事先接收，数据接收模块3接收通过导线将信息传送到攻击检测模块2当中，攻击检测模块2通过包含的流量检测模块和数据包检测模块对数据进行第一步的检测，当确实是攻击数据后启动防火墙模块5，防火墙模块5通过对数据包流量的调节限制或断流对接收的数据包进行阻隔避免数据包继续攻击，若第一步检测的不是攻击，则进一步的通过ip地址检测模块和时间检测模块对数据包的ip地址和时间进行监控检测，若检测到不同的ip同时发送多个相同的数据包，则进行警报，或在同一个时间频率内发送节奏的传送相同的数据包，则也进行报警，若不是则不报警，当检测到并启动防火墙模块5后，攻击并没有减少反而加大，且无法挽回时
则启动最后一道保险应急预案，启动攻击转移模块6，通过云端虚拟机对主机的ip地址、mac地址、以及用户名称、使用行为等进行模拟，并修改主机相应的配置表，如时间日期、ip地址、mac地址、用户名称等，如此让攻击者转移攻击方向，趁此时间主机对数据进行备份，并对原数据进行删除，此时云端虚拟机对攻击的数据特征进行收集，并对数据流量信息进行收集形成反击数据库开始ai学习，如此进行学习后进行反击预案，此时可视情况对攻击者予以反击。
48.请参阅图1和图3-图7，一种ddos攻击检测的方法，包括；s1：通过数据接收模块3对网络上的数据包进行接收以及对接收到的数据通过攻击检测模块2进行检测；
49.s2：经过攻击检测模块2检测以确定接收到的数据包是否为ddos攻击模式，攻击检测模块2包括流量检测模块和数据包检测模块对数据包和流量进行检测；
50.若确定为ddos攻击模式，则启动防火墙模块5，对攻击进行拦截；
51.若时间段检测不确定是ddos攻击模式，则正常使用主机，但通过攻击检测模块2当中的时间检测模块进行时间监控，在该监测时间段若发现数据包按照一定的节奏和频率进行发送，则启动攻击检测模块2当中的ip地址检测模块，对数据发送端的ip地址进行检测；
52.若在时间段检测中检测到数据包具有一定的节奏和频率进行发送数据包，且使用不同的ip地址进行同时发送，则确定为ddos攻击；
53.s3：确定攻击后启动防火墙模块5对数据流量进行调节，通过防火墙对流量进行控制调节，达到阻隔数据攻击的效果，避免再次攻击；
54.s4：攻击转移模块6启动后，通过云端虚拟机模块模拟主机的ip地址和mac地址，并对主机的ip地址、mac地址和时间进行临时修改，如此ddos攻击无法搜索到主机改为攻击云端虚拟机模块；
55.s5：云端虚拟机模块受到攻击后，启动云端虚拟机模块内置的特征收集模块、收集流量模块和反向攻击模块，对ddos攻击特征进行收集，并对数据流量名称进行记录收集，形成预攻击数据库。
56.s6：通过收集到的预攻击数据库形成攻击数据包，然后视情况启动反向攻击模块对攻击的ip地址进行反向攻击。
57.请参阅图5，数据包的检测方法包括：数据包名称记录和数据包数量记录，通过对数据包数量是否正常，和数据包名称是否重复进行一段简单筛查。
58.请参阅图6，时间检测方法包括：总传输时间表和单数据包时间表，对单个数据包和总数据包的开始时间和结束时间进行记录，并对单数据包的传送时间频率进行记录。
59.请参阅图4，流量检测的方法包括：根据对数据包数据库当中的数据与攻击数据进行名称和流量对比以确定是否为攻击行为；数据包数据库方式可通过腾讯安全管家、360安全卫士等网络杀毒软件的网络安全数据库获取。
60.请参阅图2，数据资料进行备份的方法包括：云端数据备份和高速固态硬盘备份；云端数据备份包括：通过5g或万兆光纤进行数据传输；高速固态硬盘备份包括：通过m.2接口走pci-e3.0x4通道进行高速传输；通过高速固态硬盘进行电性连接储存，方便拿取，通过高速接口能够快速进行备份节约了备份的时间，通过设置的5g能够进行高速五无线云端备份，方便快捷。
61.请参阅图7，数据流量调节的方法包括：对发送的数据流量包流量进行限制或对发
送的数据流量包进行断流，如此对确定攻击数据进行阻止；若拦截成功，则对攻击数据进行清除，并记录该攻击ip地址和数据包数据形成拦截日志；若拦截失败，则立即通过主机控制模块1将控制攻击转移模块6进行启动，并同时对主机控制模块1当中的数据资料进行备份；通过云端虚拟机的可对主机的地址进行转移，从而让攻击数据对云端虚拟机进行攻击为主机的反应备份提供时间支持，达到提高安全效果，通过云端虚拟机当中的反向攻击能够对攻击方进行反向攻击，利用云端计算机强大的计算能力，对攻击方进行饱和式攻击，达到以攻代守的效果。
62.以上，仅为本发明较佳的具体实施方式；但本发明的保护范围并不局限于此。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其改进构思加以等同替换或改变，都应涵盖在本发明的保护范围内。

技术特征：
1.一种ddos攻击检测的系统，包括主机控制模块(1)，其特征在于：所述主机控制模块(1)的接收端电性连接有攻击检测模块(2)，所述攻击检测模块(2)的接收端电性连接有数据接收模块(3)，所述主机控制模块(1)通过无线网络连接有攻击转移模块(6)，所述主机控制模块(1)的输出端通过m.2接口或5g连接有数据备份模块(4)，所述主机控制模块(1)内置防火墙模块(5)，所述攻击转移模块(6)是云端虚拟机模块。2.一种ddos攻击检测的方法，使用权利要求1所述的系统，其特征在于，包括以下步骤：s1：通过所述数据接收模块(3)对网络上的数据包进行接收以及对接收到的数据通过所述攻击检测模块(2)进行检测；s2：经过所述攻击检测模块(2)检测以确定接收到的数据包是否为ddos攻击模式，所述攻击检测模块(2)包括流量检测模块和数据包检测模块对数据包和流量进行检测；若确定为ddos攻击模式，则启动所述防火墙模块(5)，对攻击进行拦截；若时间段检测不确定是ddos攻击模式，则正常使用主机，但通过所述攻击检测模块(2)当中的所述时间检测模块进行时间监控，在该监测时间段若发现数据包按照一定的节奏和频率进行发送，则启动所述攻击检测模块(2)当中的ip地址检测模块，对数据发送端的ip地址进行检测；若在时间段检测中检测到数据包具有一定的节奏和频率进行发送数据包，且使用不同的ip地址进行同时发送，则确定为ddos攻击；s3：确定攻击后启动所述防火墙模块(5)对数据流量进行调节；s4：所述攻击转移模块(6)启动后，通过云端虚拟机模块模拟主机的ip地址和mac地址，并对主机的ip地址、mac地址和时间进行临时修改，如此ddos攻击无法搜索到主机改为攻击云端虚拟机模块；s5：所述云端虚拟机模块受到攻击后，启动云端虚拟机模块内置的特征收集模块、收集流量模块和反向攻击模块，对ddos攻击特征进行收集，并对数据流量名称进行记录收集，形成预攻击数据库。s6：通过收集到的预攻击数据库形成攻击数据包，然后视情况启动反向攻击模块对攻击的ip地址进行反向攻击。3.根据权利要求1所述的一种ddos攻击检测的方法，其特征在于：所述数据包的检测方法包括：数据包名称记录和数据包数量记录，通过对数据包数量是否正常，和数据包名称是否重复进行一段简单筛查。4.根据权利要求1所述的一种ddos攻击检测的方法，其特征在于：所述时间检测方法包括：总传输时间表和单数据包时间表，对单个数据包和总数据包的开始时间和结束时间进行记录，并对单数据包的传送时间频率进行记录。5.根据权利要求1所述的一种ddos攻击检测的方法，其特征在于：所述流量检测的方法包括：根据对数据包数据库当中的数据与攻击数据进行名称和流量对比以确定是否为攻击行为。6.根据权利要求4所述的一种ddos攻击检测的方法，其特征在于：所述数据包数据库方式可通过腾讯安全管家、360安全卫士等网络杀毒软件的网络安全数据库获取。7.根据权利要求1所述的一种ddos攻击检测的方法，其特征在于：所述数据资料进行备份的方法包括：云端数据备份和高速固态硬盘备份。
8.根据权利要求6所述的一种ddos攻击检测的方法，其特征在于：所述云端数据备份包括：通过5g或万兆光纤进行数据传输；所述高速固态硬盘备份包括：通过m.2接口走pci-e3.0x4通道进行高速传输。9.根据权利要求1所述的一种ddos攻击检测的方法，其特征在于：所述数据流量调节的方法包括：对发送的数据流量包流量进行限制或对发送的数据流量包进行断流，如此对确定攻击数据进行阻止；若拦截成功，则对攻击数据进行清除，并记录该攻击ip地址和数据包数据形成拦截日志；若拦截失败，则立即通过所述主机控制模块(1)将控制所述攻击转移模块(6)进行启动，并同时对所述主机控制模块(1)当中的数据资料进行备份。

技术总结
本发明公开了一种DDoS攻击检测的方法与系统，计算机领域，一种DDoS攻击检测的方法与系统，包括通过所述数据接收模块对网络上的数据包进行接收以及对接收到的数据通过所述攻击检测模块进行检测；所述攻击检测模块包括流量检测模块和数据包检测模块对数据包和流量进行检测；若确定为DDoS攻击模式，对DDoS攻击特征进行收集，并对数据流量名称进行记录收集，形成预攻击数据库；通过收集到的预攻击数据库形成攻击数据包，然后视情况启动反向攻击模块对攻击的ip地址进行反向攻击，本方案通过设置的云端虚拟机对主机的ip地址进行模拟的同时让主机的ip地址进行修改，达到转移攻击的效果，这样主机便有时间对文件进行备份或者查找攻击源，避免了数据的损失。避免了数据的损失。避免了数据的损失。


技术研发人员：胡蝶 谢濛濛
受保护的技术使用者：南京合宜信息技术有限公司
技术研发日：2023.05.09
技术公布日：2023/8/4