分布式拒絕服務(wù)攻擊檢測(cè)方法及裝置制造方法
【專利摘要】本發(fā)明實(shí)施例公開了一種分布式拒絕服務(wù)攻擊檢測(cè)方法及裝置�����,屬于網(wǎng)絡(luò)安全領(lǐng)域�。其中所述方法包括:實(shí)時(shí)獲取服務(wù)器接收的數(shù)據(jù)報(bào)文,并對(duì)預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行解析�,以從每個(gè)數(shù)據(jù)報(bào)文中提取特征;根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例����;判斷得到的每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線;若不符合占比基線���,則判定為服務(wù)器存在DDoS攻擊����。本發(fā)明通過占比信息檢測(cè)是否存在DDoS攻擊的方式,從而能夠快速�����、準(zhǔn)確���、及時(shí)地檢測(cè)出是否發(fā)生DDoS攻擊���。
【專利說明】分布式拒絕服務(wù)攻擊檢測(cè)方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,特別涉及一種分布式拒絕服務(wù)攻擊檢測(cè)方法及裝置�����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展���,人們對(duì)網(wǎng)絡(luò)的使用和依賴程度逐漸增加�����,相對(duì)的關(guān)于網(wǎng)絡(luò)安全問題也隨之而來���,特別是服務(wù)器遭受網(wǎng)絡(luò)攻擊事件(例如遭受分布式拒絕服務(wù)攻擊)層出不窮���,導(dǎo)致基礎(chǔ)運(yùn)營(yíng)網(wǎng)絡(luò)大面積癱瘓��,重要信息系統(tǒng)的安全受到巨大威脅���,嚴(yán)重危及了經(jīng)濟(jì)發(fā)展�����、社會(huì)穩(wěn)定甚至國(guó)家安全����。
[0003]分布式拒絕服務(wù)(DDos, Distributed Denial of Service)攻擊是指攻擊者利用雇傭的多臺(tái)計(jì)算機(jī)對(duì)一個(gè)或者多個(gè)目標(biāo)服務(wù)器分別發(fā)起拒絕服務(wù)攻擊�,其利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源,從而使服務(wù)器無法處理合法用戶的指令����。使用客戶端/服務(wù)器模式,攻擊者可以利用許多不知情的計(jì)算機(jī)作為攻擊平臺(tái)從而成倍地提高拒絕服務(wù)攻擊效果�。在高速數(shù)據(jù)包的攻擊下,受害者服務(wù)器的關(guān)鍵資源��,如帶寬、緩沖區(qū)����、CPU資源等迅速耗盡,受害者或者崩潰��,或者花大量時(shí)間處理攻擊包而不能正常服務(wù)�����,給受害者和用戶造成嚴(yán)重經(jīng)濟(jì)損失���,因此有效地檢測(cè)和防御DDoS攻擊是構(gòu)建安全網(wǎng)絡(luò)的重要組成部分�����,已成為網(wǎng)絡(luò)安全領(lǐng)域亟待解決的重大問題����。
[0004]現(xiàn)有的DDoS攻擊檢測(cè)方法主要通過檢測(cè)并記錄目標(biāo)服務(wù)器平時(shí)的流量�����,如果檢測(cè)到的流量超過平時(shí)流量一定程度�����,則認(rèn)為有DDoS攻擊發(fā)生。但是����,目前DDoS攻擊呈現(xiàn)的特征與正常的網(wǎng)絡(luò)訪問高峰非常相似,特別是攻擊者采用偽造����、隨機(jī)變化報(bào)文源IP地址�����、隨機(jī)變化攻擊報(bào)文內(nèi)容等方法����,使得DDoS攻擊更加難以檢測(cè)。因此����,采用這種僅依賴單一檢測(cè)特征的檢測(cè)方法缺乏對(duì)多流量或行為特征的綜合分析,并且由于檢測(cè)特征的單一導(dǎo)致針對(duì)復(fù)雜實(shí)際應(yīng)用環(huán)境的適應(yīng)性較差���,如果遇到因?yàn)榉?wù)器新部署業(yè)務(wù)導(dǎo)致的流量增長(zhǎng)����,也可能出現(xiàn)誤報(bào),因此誤報(bào)率較高�。另外采用此種檢測(cè)方法對(duì)于不是太大流量的DDOS攻擊,如連接耗盡型�,慢速HTTP攻擊等,則會(huì)存在無法發(fā)現(xiàn)的問題�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種分布式拒絕服務(wù)攻擊檢測(cè)方法及裝置�,以解決現(xiàn)有的檢測(cè)方法適應(yīng)性差、誤報(bào)率高等問題�����。
[0006]具體地��,本發(fā)明實(shí)施例提供了一種分布式拒絕服務(wù)攻擊檢測(cè)方法���,所述分布式拒絕服務(wù)攻擊檢測(cè)方法�,包括:實(shí)時(shí)獲取服務(wù)器接收的數(shù)據(jù)報(bào)文��,并對(duì)預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行解析����,以從每個(gè)數(shù)據(jù)報(bào)文中提取特征�����;根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例���;將得到的每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例與預(yù)先存儲(chǔ)的占比基線進(jìn)行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線�;若不符合占比基線,則判定為服務(wù)器存在DDoS攻擊����。
[0007]另外��,本發(fā)明實(shí)施例提供了一種分布式拒絕服務(wù)攻擊檢測(cè)裝置���,所述分布式拒絕服務(wù)攻擊檢測(cè)裝置,包括:解析模塊��、占比獲取模塊����、占比匹配模塊�、以及判定模塊����,解析模塊,用于實(shí)時(shí)獲取服務(wù)器接收的數(shù)據(jù)報(bào)文�����,并對(duì)預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行解析���,以從每個(gè)數(shù)據(jù)報(bào)文中提取特征��;占比獲取模塊�,用于根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例�����;占比匹配模塊�,用于將得到的每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例與預(yù)先存儲(chǔ)的占比基線進(jìn)行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線���;判定模塊���,用于若不符合占比基線�,則判定為服務(wù)器存在DDoS攻擊�。
[0008]本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果是:
[0009]通過根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例,在每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不符合占比基線的情況下�,則判定為服務(wù)器存在DDoS攻擊。解決了現(xiàn)有的檢測(cè)方法適應(yīng)性差�����、誤報(bào)率高等問題��,采用占比信息檢測(cè)是否存在DDoS攻擊的方式�,通過判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線而去除誤報(bào),使得DDoS攻擊易于發(fā)現(xiàn)�。從而能夠快速、準(zhǔn)確�、及時(shí)地檢測(cè)出是否發(fā)生DDoS攻擊,并且能夠適應(yīng)于各種復(fù)雜的實(shí)際環(huán)境�,例如不需要太多數(shù)據(jù)報(bào)文個(gè)數(shù)的DDoS攻擊等環(huán)境���。
[0010]上述說明僅是本發(fā)明技術(shù)方案的概述��,為了能夠更清楚了解本發(fā)明的技術(shù)手段�,而可依照說明書的內(nèi)容予以實(shí)施����,并且為了讓本發(fā)明的上述和其他目的����、特征和優(yōu)點(diǎn)能夠更明顯易懂���,以下特舉較佳實(shí)施例����,并配合附圖���,詳細(xì)說明如下��。
【專利附圖】
【附圖說明】
[0011]圖1是本發(fā)明一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法的流程圖����;
[0012]圖2A是本發(fā)明另一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法的流程圖�;
[0013]圖2B是每天數(shù)據(jù)報(bào)文的總數(shù)的波形曲線的示意圖;
[0014]圖2C是每天數(shù)據(jù)報(bào)文的總大小的波形曲線的示意圖���;
[0015]圖2D是一天內(nèi)一種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的波形曲線的不意圖���;
[0016]圖3是本發(fā)明又一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法的流程圖����;
[0017]圖4是本發(fā)明一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置的主要架構(gòu)框圖�����;
[0018]圖5是本發(fā)明另一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置的主要架構(gòu)框圖����;
[0019]圖6是本發(fā)明又一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置的主要架構(gòu)框圖;
[0020]圖7是一種終端的結(jié)構(gòu)框圖��。
【具體實(shí)施方式】
[0021]為更進(jìn)一步闡述本發(fā)明為達(dá)成預(yù)定發(fā)明目的所采取的技術(shù)手段及功效�����,以下結(jié)合附圖及較佳實(shí)施例���,對(duì)依據(jù)本發(fā)明提出的分布式拒絕服務(wù)攻擊檢測(cè)方法及裝置其【具體實(shí)施方式】��、結(jié)構(gòu)、特征及功效�,詳細(xì)說明如后。
[0022]有關(guān)本發(fā)明的前述及其他技術(shù)內(nèi)容、特點(diǎn)及功效���,在以下配合參考圖式的較佳實(shí)施例詳細(xì)說明中將可清楚的呈現(xiàn)�����。通過【具體實(shí)施方式】的說明�����,當(dāng)可對(duì)本發(fā)明為達(dá)成預(yù)定目的所采取的技術(shù)手段及功效得以更加深入且具體的了解��,然而所附圖式僅是提供參考與說明之用����,并非用來對(duì)本發(fā)明加以限制�。
[0023]第一實(shí)施例
[0024]請(qǐng)參考圖1,其示出了本發(fā)明一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法的流程圖�����。該方法可以由分布式拒絕服務(wù)攻擊檢測(cè)裝置所執(zhí)行的分布式拒絕服務(wù)攻擊檢測(cè)過程��;分布式拒絕服務(wù)攻擊檢測(cè)裝置可以運(yùn)行在被檢測(cè)的服務(wù)器等設(shè)備上�����,以運(yùn)行在服務(wù)器上為例,所述分布式拒絕服務(wù)攻擊檢測(cè)方法�,可包括以下步驟101-107:
[0025]步驟101,實(shí)時(shí)獲取服務(wù)器接收的數(shù)據(jù)報(bào)文���,并對(duì)預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行解析�,以從每個(gè)數(shù)據(jù)報(bào)文中提取特征��。
[0026]從數(shù)據(jù)報(bào)文中提取的特征包括數(shù)據(jù)報(bào)文的大小(例如2MB等)���、源IP地址�、目的IP地址����、數(shù)據(jù)報(bào)文所屬的協(xié)議類型等。源IP地址可以為發(fā)送數(shù)據(jù)報(bào)文給服務(wù)器的終端的IP地址���,目的IP地址可以為終端將數(shù)據(jù)報(bào)文發(fā)送到的目標(biāo)服務(wù)器的IP地址��。數(shù)據(jù)報(bào)文所屬的協(xié)議類型可以從數(shù)據(jù)報(bào)文的標(biāo)志位中進(jìn)行提取���。
[0027]步驟103��,根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例。
[0028]步驟105�����,將得到的每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例與預(yù)先存儲(chǔ)的占比基線進(jìn)行匹配��,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線�����。
[0029]占比基線是指服務(wù)器在預(yù)設(shè)一段時(shí)間內(nèi)每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的正常占比范圍���。
[0030]步驟107�����,若不符合占比基線��,則判定為服務(wù)器存在DDoS攻擊����。
[0031]例如�����,對(duì)于不需要太多數(shù)據(jù)報(bào)文個(gè)數(shù)的DDoS攻擊,如連接耗盡型��,可以通過分析SYN數(shù)據(jù)報(bào)文占比的變化進(jìn)行發(fā)現(xiàn)����。即通過判斷SYN數(shù)據(jù)報(bào)文占比是否符合占比基線而進(jìn)行發(fā)現(xiàn)。SYN (synchronize�����,同步)是TCP/IP建立連接時(shí)使用的握手信號(hào)�。在客戶機(jī)和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時(shí),客戶機(jī)首先發(fā)出一個(gè)SYN消息��,服務(wù)器使用SYN+ACK應(yīng)答表示接收到了這個(gè)消息���,最后客戶機(jī)再以ACK消息響應(yīng)����。這樣在客戶機(jī)和服務(wù)器之間才能建立起可靠的TCP連接�,數(shù)據(jù)才可以在客戶機(jī)和服務(wù)器之間傳遞。
[0032]綜上所述���,本實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法�,通過根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例,在每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不符合占比基線的情況下�����,則判定為服務(wù)器存在DDoS攻擊����。解決了現(xiàn)有的檢測(cè)方法適應(yīng)性差�����、誤報(bào)率高等問題��,采用占比信息檢測(cè)是否存在DDoS攻擊的方式���,通過判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線而去除誤報(bào)����,使得DDoS攻擊易于發(fā)現(xiàn)����。從而能夠快速��、準(zhǔn)確�、及時(shí)地檢測(cè)出是否發(fā)生DDoS攻擊���,并且能夠適應(yīng)于各種復(fù)雜的實(shí)際環(huán)境��,例如不需要太多數(shù)據(jù)報(bào)文個(gè)數(shù)的DDoS攻擊等環(huán)境�。
[0033]第二實(shí)施例
[0034]請(qǐng)參考圖2A�,其示出了本發(fā)明另一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法的流程圖。圖2A是在圖1的基礎(chǔ)上改進(jìn)而來的��。該方法可以由分布式拒絕服務(wù)攻擊檢測(cè)裝置所執(zhí)行的分布式拒絕服務(wù)攻擊檢測(cè)過程�����;分布式拒絕服務(wù)攻擊檢測(cè)裝置可以運(yùn)行在被檢測(cè)的服務(wù)器等設(shè)備上�,以運(yùn)行在服務(wù)器上為例,所述分布式拒絕服務(wù)攻擊檢測(cè)方法����,可包括以下步驟201-215:
[0035]步驟201,實(shí)時(shí)獲取服務(wù)器接收的數(shù)據(jù)報(bào)文���,并對(duì)預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行解析����,以從每個(gè)數(shù)據(jù)報(bào)文中提取特征。
[0036]服務(wù)器作為提供服務(wù)的設(shè)備��,其接收的數(shù)據(jù)報(bào)文通常是終端向服務(wù)器發(fā)送服務(wù)請(qǐng)求時(shí)所攜帶的報(bào)文����。終端發(fā)送一個(gè)服務(wù)請(qǐng)求時(shí)可以攜帶一個(gè)或多個(gè)數(shù)據(jù)報(bào)文。從數(shù)據(jù)報(bào)文中提取的特征包括數(shù)據(jù)報(bào)文的大小(例如2MB等)����、源IP地址���、目的IP地址�、數(shù)據(jù)報(bào)文所屬的協(xié)議類型等���。
[0037]源IP地址可以為發(fā)送數(shù)據(jù)報(bào)文給服務(wù)器的終端的IP地址���,目的IP地址可以為終端將數(shù)據(jù)報(bào)文發(fā)送到的目標(biāo)服務(wù)器的IP地址。數(shù)據(jù)報(bào)文所屬的協(xié)議類型可以從數(shù)據(jù)報(bào)文的標(biāo)志位中進(jìn)行提取���。標(biāo)志位通常記錄數(shù)據(jù)報(bào)文所屬的協(xié)議類型��,數(shù)據(jù)報(bào)文所屬的協(xié)議類型可以為屬于0SI(0pen System Interconnect,開放式系統(tǒng)互聯(lián))模型的某種協(xié)議�,國(guó)際標(biāo)準(zhǔn)化組織制定了 OSI模型,這個(gè)模型把網(wǎng)絡(luò)通信的工作分為7層�,分別是物理層、數(shù)據(jù)鏈路層�、網(wǎng)絡(luò)層、傳輸層�、會(huì)話層、表示層和應(yīng)用層�。屬于網(wǎng)絡(luò)層的協(xié)議可以包括:IP (InternetProtocol,網(wǎng)絡(luò)之間互連的協(xié)議)、IPX (Internetwork Packet Exchange protocol,互聯(lián)網(wǎng)分組交換協(xié)議)����、OSPF (Open Shortest Path First,開放式最短路徑優(yōu)先)等,屬于傳輸層的協(xié)議可以包括:TCP (Transmiss1n Control Protocol,傳輸控制協(xié)議)、UDP (UserDatagram Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)���、SPX (Sequenced Packet Exchange protocol,序列分組交換協(xié)議)等���,屬于應(yīng)用層的協(xié)議可以包括:Telnet、FTP(File Transfer Protocol,文件傳輸協(xié)議)�����、HTTP (Hypertext Transfer Protocol,超文本傳輸協(xié)議)、SNMP (SimpleNetwork Management Protocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)����、DNS (Domain Name System,域名系統(tǒng))等。
[0038]預(yù)設(shè)一段時(shí)間可以根據(jù)實(shí)際需要而設(shè)定為任意值�����,例如10分鐘等�����。
[0039]步驟203����,根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例����,并將服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例進(jìn)行存儲(chǔ)。
[0040]服務(wù)器的流量包括但不限于:預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的數(shù)據(jù)報(bào)文總數(shù)和數(shù)據(jù)報(bào)文的總大小���?�?梢詫⒎?wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例存儲(chǔ)到數(shù)據(jù)庫(kù)中��。
[0041]舉例說明一種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的計(jì)算方法�,例如在一段時(shí)間內(nèi),服務(wù)器接收的Http類型的數(shù)據(jù)報(bào)文的數(shù)量為80個(gè)�,接收的數(shù)據(jù)報(bào)文的總數(shù)為100個(gè),則可以得出Http類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例為80%����。
[0042]步驟205,將得到的服務(wù)器的流量與預(yù)先存儲(chǔ)的流量基線進(jìn)行匹配���,判斷服務(wù)器的流量是否符合流量基線����,若符合���,則進(jìn)行步驟209�����。
[0043]優(yōu)選地��,步驟205中�,還可包括:若不符合�����,則進(jìn)行步驟207。
[0044]基線是指特定一個(gè)時(shí)期的“快照”�,提供一個(gè)標(biāo)準(zhǔn),后續(xù)數(shù)據(jù)都基于此標(biāo)準(zhǔn)�����。在本發(fā)明實(shí)施例中��,基線是指服務(wù)器在一段時(shí)間內(nèi)���,相對(duì)穩(wěn)定的流量范圍�,或者每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的正常范圍���,作為判斷目標(biāo)服務(wù)器是否正常的一個(gè)標(biāo)準(zhǔn)���。
[0045]基線可以包括流量基線�����、占比基線等��。流量基線是服務(wù)器在預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍。占比基線是指服務(wù)器在預(yù)設(shè)一段時(shí)間內(nèi)每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的正常占比范圍����。
[0046]基線預(yù)先存儲(chǔ)在數(shù)據(jù)庫(kù)中,其可以是根據(jù)所獲取的樣本預(yù)先訓(xùn)練學(xué)習(xí)得出的���,訓(xùn)練學(xué)習(xí)的方法可以采用目前現(xiàn)有的貝葉斯方法���、最大熵方法、經(jīng)驗(yàn)法等�。所獲取的樣本可以是一段時(shí)間內(nèi)獲取的數(shù)據(jù)報(bào)文。其中采用所獲取的樣本訓(xùn)練學(xué)習(xí)得出基線的一種方法可以是:若訓(xùn)練樣本是一個(gè)月內(nèi)服務(wù)器未受到攻擊所接收的數(shù)據(jù)報(bào)文���,計(jì)算在一個(gè)月內(nèi)每個(gè)預(yù)設(shè)時(shí)間段內(nèi)(例如10分鐘)數(shù)據(jù)報(bào)文的總數(shù)和總大小可以得到服務(wù)器每天24小時(shí)每個(gè)預(yù)設(shè)時(shí)間段的流量范圍(包括流量最大值和流量最小值)��,例如周一 12:10到12:20之間計(jì)算出的數(shù)據(jù)報(bào)文的總數(shù)最大值為I萬個(gè)�����,數(shù)據(jù)報(bào)文的總數(shù)最小值為9000個(gè)����,數(shù)據(jù)報(bào)文的總大小最大值為20G�����,數(shù)據(jù)報(bào)文的總大小最小值為18G,則周一 12:10到12:20之間的數(shù)據(jù)報(bào)文的總數(shù)范圍為9000個(gè)?I萬個(gè)��,12:10到12:20之間的數(shù)據(jù)報(bào)文的總大小范圍為18G?20G�,將每天每個(gè)預(yù)設(shè)時(shí)間段的流量范圍(包括數(shù)據(jù)報(bào)文的總數(shù)范圍和數(shù)據(jù)報(bào)文的總大小范圍)用光滑曲線連接,可以得到每天的流量最大值波形曲線和流量最小值波形曲線����,即得到如圖2B所示每天24小時(shí)數(shù)據(jù)報(bào)文的總數(shù)的最大值波形曲線220和最小值波形曲線221,并得到如圖2C所示每天的數(shù)據(jù)報(bào)文的總大小的最大值波形曲線222和最小值波形曲線223��,圖2B和2C中最大值波形曲線和最小值波形曲線之間的范圍即為流量基線�����。正常的流量范圍應(yīng)在此流量基線范圍內(nèi)����。圖2B和2C中的橫坐標(biāo)表示一天24小時(shí)的不同時(shí)刻。按照上述方法�,同樣地,可以再計(jì)算一個(gè)月內(nèi)每個(gè)預(yù)設(shè)時(shí)間段內(nèi)(例如10分鐘)數(shù)據(jù)報(bào)文所屬的協(xié)議類型和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例��,得到每天24小時(shí)每個(gè)預(yù)設(shè)時(shí)間段內(nèi)每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例范圍�,將每天每個(gè)預(yù)設(shè)時(shí)間段內(nèi)的占比范圍用光滑曲線連接,可以得到每天的占比最大值波形曲線和占比最小值波形曲線���,此占比最大值波形曲線和占比最小值波形曲線之間即為占比基線�。正常占比范圍應(yīng)在此占比基線范圍內(nèi)�,如圖2D所示,示出了一天內(nèi)一種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的最大值波形曲線224和最小值波形曲線225��。最大值波形曲線224和最小值波形曲線225之間即為占比基線�����。圖2D中的橫坐標(biāo)同樣表示一天24小時(shí)的不同時(shí)刻�����。
[0047]優(yōu)選地��,步驟205中���,判斷服務(wù)器的流量是否符合流量基線��,可以包括:
[0048]若服務(wù)器的流量在預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍內(nèi)�����,則判定為服務(wù)器的流量符合流量基線��,若服務(wù)器的流量不在預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍內(nèi)����,則判定為服務(wù)器的流量不符合流量基線。
[0049]步驟207����,記錄不符合流量基線的數(shù)據(jù)報(bào)文,并進(jìn)行步驟209��。
[0050]步驟209��,將每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例與預(yù)先存儲(chǔ)的占比基線進(jìn)行匹配����,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線,若不符合��,則進(jìn)行步驟211�����。
[0051]優(yōu)選地,步驟209之后����,還可包括:若符合��,則進(jìn)行步驟215�。
[0052]占比基線的獲得方法在步驟205中已作了詳細(xì)說明,此處不再贅述�。
[0053]優(yōu)選地,步驟209中���,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線���,可以包括:
[0054]若每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例在正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例符合占比基線����,若每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不在正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不符合占比基線�����。
[0055]步驟211���,記錄不符合占比基線的數(shù)據(jù)報(bào)文����,判斷服務(wù)器狀態(tài)是否存在異常,若存在異常��,則進(jìn)行步驟213��。
[0056]例如���,對(duì)于不需要太多數(shù)據(jù)報(bào)文個(gè)數(shù)的DDoS攻擊�����,如連接耗盡型����,可以通過分析SYN數(shù)據(jù)報(bào)文占比的變化進(jìn)行發(fā)現(xiàn)��。即通過判斷SYN數(shù)據(jù)報(bào)文占比是否符合占比基線而進(jìn)行發(fā)現(xiàn)�。SYN (synchronize,同步)是TCP/IP建立連接時(shí)使用的握手信號(hào)���。在客戶機(jī)和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時(shí)���,客戶機(jī)首先發(fā)出一個(gè)SYN消息���,服務(wù)器使用SYN+ACK應(yīng)答表示接收到了這個(gè)消息,最后客戶機(jī)再以ACK消息響應(yīng)���。這樣在客戶機(jī)和服務(wù)器之間才能建立起可靠的TCP連接,數(shù)據(jù)才可以在客戶機(jī)和服務(wù)器之間傳遞�。
[0057]優(yōu)選地,步驟211之后���,還可包括:若不存在異常��,則進(jìn)行步驟215��。
[0058]服務(wù)器狀態(tài)例如可以包括服務(wù)器的CPU使用率��、服務(wù)器的內(nèi)存占用率等����。
[0059]判斷服務(wù)器狀態(tài)是否存在異常時(shí)可以采用如下方法:獲取服務(wù)器的CPU使用率和服務(wù)器的內(nèi)存占用率����;判斷是否至少滿足條件⑴和(ii)中的一個(gè):(i)服務(wù)器的CPU使用率大于第一預(yù)設(shè)值;(ii)服務(wù)器的內(nèi)存占用率大于第二預(yù)設(shè)值;若至少滿足條件(i)和
(ii)中的一個(gè)�,則判定為服務(wù)器狀態(tài)存在異常,若不滿足條件(i)和(ii)中任一個(gè)���,則判定為服務(wù)器狀態(tài)不存在異常�����。
[0060]當(dāng)然����,本發(fā)明實(shí)施例中�,也可以根據(jù)實(shí)際需要而判斷服務(wù)器的其它資源是否大于一定閾值而判定為服務(wù)器狀態(tài)出現(xiàn)異常。
[0061]步驟213���,判定為服務(wù)器存在DDoS攻擊���。
[0062]步驟215,根據(jù)得到的預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例修正預(yù)先存儲(chǔ)的流量基線和占比基線�����,進(jìn)行步驟201�����。
[0063]修正預(yù)先存儲(chǔ)的流量基線和占比基線時(shí),也可以是分別根據(jù)得到的服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例訓(xùn)練學(xué)習(xí)得出��。其具體的訓(xùn)練學(xué)習(xí)的方法也可以采用步驟205中所述的各種方法�����,此處不再贅述���。
[0064]綜上所述,本實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法���,還通過判斷服務(wù)器狀態(tài)是否存在異常�,若存在異常����,則判定為服務(wù)器存在DDoS攻擊,使得能夠更加準(zhǔn)確地判斷出是否發(fā)生DDoS攻擊����,并能夠判斷出流量是否符合流量基線。另外�,還通過根據(jù)得到的預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例修正預(yù)先存儲(chǔ)的流量基線和占比基線���,從而能夠利用沒有發(fā)生攻擊的檢測(cè)數(shù)據(jù),實(shí)時(shí)修正基線數(shù)據(jù)�����,能夠使基線更加符合實(shí)際環(huán)境�����,確保檢測(cè)結(jié)果更加準(zhǔn)確����。
[0065]第三實(shí)施例
[0066]請(qǐng)參考圖3,其示出了本發(fā)明又一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法的流程圖��。該方法可以由分布式拒絕服務(wù)攻擊檢測(cè)裝置所執(zhí)行的分布式拒絕服務(wù)攻擊檢測(cè)過程���;分布式拒絕服務(wù)攻擊檢測(cè)裝置可以運(yùn)行在被檢測(cè)的服務(wù)器等設(shè)備上�����,以運(yùn)行在服務(wù)器上為例���,其與圖2所示的分布式拒絕服務(wù)攻擊檢測(cè)方法相似���,其不同之處在于,還包括:步驟301和步驟303�����。
[0067]優(yōu)選地����,步驟213之后,還可包括:步驟301��。
[0068]步驟301��,判定不符合占比基線的數(shù)據(jù)報(bào)文為DDoS攻擊源發(fā)出的�����,在服務(wù)器的流量不符合流量基線時(shí)���,判定為攻擊類型為消耗服務(wù)器接收數(shù)據(jù)帶寬的攻擊,在服務(wù)器的流量符合流量基線時(shí)�����,判定為攻擊類型為消耗服務(wù)器資源的攻擊。
[0069]服務(wù)器資源包括服務(wù)器的CPU���、內(nèi)存等資源����。
[0070]步驟303�����,對(duì)DDoS攻擊源發(fā)出的數(shù)據(jù)報(bào)文進(jìn)行屏蔽�,并向存在DDoS攻擊的服務(wù)器發(fā)送受到攻擊的告警信息。
[0071 ] 當(dāng)判定服務(wù)器存在DDoS攻擊時(shí)����,可以向存在DDoS攻擊的服務(wù)器發(fā)送“正受到DDoS攻擊,攻擊類型為消耗服務(wù)器資源的攻擊”等類似告警信息�����。得知DDoS攻擊源后��,可以對(duì)DDoS攻擊源發(fā)出的不符合流量基線的數(shù)據(jù)報(bào)文和不符合占比基線的數(shù)據(jù)報(bào)文進(jìn)行屏蔽��,即不接收此數(shù)據(jù)報(bào)文��。
[0072]綜上所述,本實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)方法�����,還通過判定不符合占比基線的數(shù)據(jù)報(bào)文為DDoS攻擊源發(fā)出的��,還通過服務(wù)器的流量判斷出攻擊的類型���,對(duì)DDoS攻擊源發(fā)出的數(shù)據(jù)報(bào)文進(jìn)行屏蔽����,并向存在DDoS攻擊的服務(wù)器發(fā)送受到攻擊的告警信息����。從而可以快速、及時(shí)地阻止已經(jīng)發(fā)生的DDoS攻擊和判斷出攻擊的類型���,并能及時(shí)報(bào)警通知服務(wù)器���。
[0073]以下為本發(fā)明的裝置實(shí)施例���,在裝置實(shí)施例中未詳盡描述的細(xì)節(jié)��,可以參考上述對(duì)應(yīng)的方法實(shí)施例�����。
[0074]第四實(shí)施例
[0075]請(qǐng)參考圖4�����,其示出了本發(fā)明一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置的主要架構(gòu)框圖����。所述分布式拒絕服務(wù)攻擊檢測(cè)裝置,包括:解析模塊401����、占比獲取模塊403、占比匹配模塊405����、以及判定模塊407。
[0076]具體地����,解析模塊401,用于實(shí)時(shí)獲取服務(wù)器接收的數(shù)據(jù)報(bào)文,并對(duì)預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行解析��,以從每個(gè)數(shù)據(jù)報(bào)文中提取特征��。
[0077]其中�����,從每個(gè)數(shù)據(jù)報(bào)文中提取的特征可以包括數(shù)據(jù)報(bào)文的大小���、源IP地址��、目的IP地址�、或數(shù)據(jù)報(bào)文所屬的協(xié)議類型等�����。
[0078]占比獲取模塊403��,用于根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例��。
[0079]占比匹配模塊405���,用于將得到的每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例與預(yù)先存儲(chǔ)的占比基線進(jìn)行匹配��,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線��。
[0080]其中�,占比基線為服務(wù)器在預(yù)設(shè)一段時(shí)間內(nèi)每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的正常占比范圍�。
[0081]判定模塊407,用于若不符合占比基線�����,則判定為服務(wù)器存在DDoS攻擊���。
[0082]綜上所述�����,本實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置���,通過根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例,在每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不符合占比基線的情況下��,則判定為服務(wù)器存在DDoS攻擊�。解決了現(xiàn)有的檢測(cè)方法適應(yīng)性差、誤報(bào)率高等問題��,采用占比信息檢測(cè)是否存在DDoS攻擊的方式,通過判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合占比基線而去除誤報(bào)���,使得DDoS攻擊易于發(fā)現(xiàn)��。從而能夠快速��、準(zhǔn)確���、及時(shí)地檢測(cè)出是否發(fā)生DDoS攻擊,并且能夠適應(yīng)于各種復(fù)雜的實(shí)際環(huán)境���,例如不需要太多數(shù)據(jù)報(bào)文個(gè)數(shù)的DDoS攻擊等環(huán)境����。
[0083]第五實(shí)施例
[0084]請(qǐng)參考圖5�,其示出了本發(fā)明另一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置的主要架構(gòu)框圖。其與圖4所示的分布式拒絕服務(wù)攻擊檢測(cè)裝置相似��,其不同之處在于����,分布式拒絕服務(wù)攻擊檢測(cè)裝置還可以包括:流量獲取模塊501、流量匹配模塊503���。所述判定模塊407����,可以包括:異常判斷模塊505���、攻擊判定模塊507及修正模塊509����。異常判斷模塊505�����,還可以包括:獲取模塊511以及判斷模塊513��。
[0085]流量獲取模塊501�����,用于根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量���。
[0086]服務(wù)器的流量包括但不限于:預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的數(shù)據(jù)報(bào)文總數(shù)和數(shù)據(jù)報(bào)文的總大小����。
[0087]流量匹配模塊503,用于將得到的服務(wù)器的流量與預(yù)先存儲(chǔ)的流量基線進(jìn)行匹配��,判斷服務(wù)器的流量是否符合流量基線���。流量基線可以是服務(wù)器在預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍�。
[0088]優(yōu)選地�����,占比匹配模塊405�,還用于若服務(wù)器的流量在預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍內(nèi),則判定為服務(wù)器的流量符合流量基線�����;若服務(wù)器的流量不在預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍內(nèi)�����,則判定為服務(wù)器的流量不符合流量基線�����。
[0089]優(yōu)選地�,流量匹配模塊503��,還用于若每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例在正常占比范圍內(nèi)��,則判定為每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例符合占比基線�����,若每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不在正常占比范圍內(nèi)�����,則判定為每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不符合占比基線。
[0090]異常判斷模塊505���,用于判斷服務(wù)器狀態(tài)是否存在異常�。
[0091]攻擊判定模塊507�����,用于若存在異常��,則判定為服務(wù)器存在DDoS攻擊�����。
[0092]修正模塊509,用于若不存在異常��,則根據(jù)得到的預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例修正預(yù)先存儲(chǔ)的流量基線和占比基線���。
[0093]優(yōu)選地�����,異常判斷模塊505����,還可以包括:獲取模塊511以及判斷模塊513�����。
[0094]獲取模塊511�,用于獲取服務(wù)器的CPU使用率和服務(wù)器的內(nèi)存占用率。
[0095]判斷模塊513�,用于判斷是否至少滿足條件⑴和(ii)中的一個(gè):⑴服務(wù)器的(PU使用率大于第一預(yù)設(shè)值;(ii)服務(wù)器的內(nèi)存占用率大于第二預(yù)設(shè)值���;若至少滿足條件
(i)和(ii)中的一個(gè)��,則判定為服務(wù)器狀態(tài)存在異常�����;若不滿足條件(i)和(ii)中任一個(gè)����,則判定為服務(wù)器狀態(tài)不存在異常。
[0096]綜上所述�,本實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置,還通過判斷服務(wù)器狀態(tài)是否存在異常�����,若存在異常��,則判定為服務(wù)器存在DDoS攻擊�����,使得能夠更加準(zhǔn)確地判斷出是否發(fā)生DDoS攻擊�����,并能夠判斷出流量是否符合流量基線�。另外���,還通過根據(jù)得到的預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例修正預(yù)先存儲(chǔ)的流量基線和占比基線�,從而能夠利用沒有發(fā)生攻擊的檢測(cè)數(shù)據(jù),實(shí)時(shí)修正基線數(shù)據(jù)�,能夠使基線更加符合實(shí)際環(huán)境,確保檢測(cè)結(jié)果更加準(zhǔn)確�����。
[0097]第六實(shí)施例
[0098]請(qǐng)參考圖6���,其示出了本發(fā)明又一個(gè)實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置的主要架構(gòu)框圖����。其與圖5所示的分布式拒絕服務(wù)攻擊檢測(cè)裝置相似�,其不同之處在于,所述分布式拒絕服務(wù)攻擊檢測(cè)裝置�,還可以包括:攻擊信息確定模塊601以及處理模塊603。
[0099]攻擊信息確定模塊601�����,用于判定不符合占比基線的數(shù)據(jù)報(bào)文為DDoS攻擊源發(fā)出的��,在服務(wù)器的流量不符合流量基線時(shí),判定為攻擊類型為消耗服務(wù)器接收數(shù)據(jù)帶寬的攻擊��,在服務(wù)器的流量符合流量基線時(shí)�����,判定為攻擊類型為消耗服務(wù)器資源的攻擊��。
[0100]告警模塊603�,用于對(duì)DDoS攻擊源發(fā)出的數(shù)據(jù)報(bào)文進(jìn)行屏蔽,并向存在DDoS攻擊的服務(wù)器發(fā)送受到攻擊的告警信息�。
[0101]綜上所述,本實(shí)施例提供的分布式拒絕服務(wù)攻擊檢測(cè)裝置�����,還通過判定不符合占比基線的數(shù)據(jù)報(bào)文為DDoS攻擊源發(fā)出的�����,還通過服務(wù)器的流量判斷出攻擊的類型�����,對(duì)DDoS攻擊源發(fā)出的數(shù)據(jù)報(bào)文進(jìn)行屏蔽����,并向存在DDoS攻擊的服務(wù)器發(fā)送受到攻擊的告警信息。從而可以快速�、及時(shí)地阻止已經(jīng)發(fā)生的DDoS攻擊和判斷出攻擊的類型,并能及時(shí)報(bào)警通知服務(wù)器�。
[0102]第七實(shí)施例
[0103]請(qǐng)參考圖7,其示出了一種終端的結(jié)構(gòu)框圖��。如圖7所示���,以分布式拒絕服務(wù)攻擊檢測(cè)裝置運(yùn)行在終端上作為示例����,終端包括存儲(chǔ)器702���、存儲(chǔ)控制器704�,一個(gè)或多個(gè)(圖中僅示出一個(gè))處理器706��、外設(shè)接口 708���、射頻模塊710�����、攝像模塊714�����、音頻模塊716���、觸控屏幕718以及按鍵模塊720���。這些組件通過一條或多條通訊總線/信號(hào)線相互通訊。
[0104]可以理解���,圖7所示的結(jié)構(gòu)僅為示意�,終端還可包括比圖7中所示更多或者更少的組件�����,或者具有與圖7所示不同的配置����。圖7中所示的各組件可以采用硬件、軟件或其組合實(shí)現(xiàn)�。
[0105]存儲(chǔ)器702可用于存儲(chǔ)軟件程序以及模塊��,如本發(fā)明實(shí)施例中的在終端內(nèi)進(jìn)行分布式拒絕服務(wù)攻擊檢測(cè)方法對(duì)應(yīng)的程序指令/模塊(例如,分布式拒絕服務(wù)攻擊檢測(cè)裝置中的解析模塊401���、占比獲取模塊403�、占比匹配模塊405��、判定模塊407���、流量獲取模塊501�、流量匹配模塊503�、攻擊信息確定模塊601以及處理模塊603等),處理器702通過運(yùn)行存儲(chǔ)在存儲(chǔ)器704內(nèi)的軟件程序以及模塊�����,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理��,即實(shí)現(xiàn)上述的在終端內(nèi)進(jìn)行分布式拒絕服務(wù)攻擊檢測(cè)方法�。
[0106]存儲(chǔ)器702可包括高速隨機(jī)存儲(chǔ)器,還可包括非易失性存儲(chǔ)器�����,如一個(gè)或者多個(gè)磁性存儲(chǔ)裝置�、閃存��、或者其他非易失性固態(tài)存儲(chǔ)器���。在一些實(shí)例中,存儲(chǔ)器702可進(jìn)一步包括相對(duì)于處理器706遠(yuǎn)程設(shè)置的存儲(chǔ)器�,這些遠(yuǎn)程存儲(chǔ)器可以通過網(wǎng)絡(luò)連接至終端。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)��、企業(yè)內(nèi)部網(wǎng)���、局域網(wǎng)�、移動(dòng)通信網(wǎng)及其組合���。處理器706以及其他可能的組件對(duì)存儲(chǔ)器702的訪問可在存儲(chǔ)控制器704的控制下進(jìn)行�。
[0107]外設(shè)接口 708將各種輸入/輸入裝置耦合至CPU以及存儲(chǔ)器702��。處理器706運(yùn)行存儲(chǔ)器702內(nèi)的各種軟件�����、指令以執(zhí)行終端的各種功能以及進(jìn)行數(shù)據(jù)處理����。
[0108]在一些實(shí)施例中���,外設(shè)接口 708�,處理器706以及存儲(chǔ)控制器704可以在單個(gè)芯片中實(shí)現(xiàn)。在其他一些實(shí)例中���,他們可以分別由獨(dú)立的芯片實(shí)現(xiàn)�����。
[0109]射頻模塊710用于接收以及發(fā)送電磁波���,實(shí)現(xiàn)電磁波與電信號(hào)的相互轉(zhuǎn)換,從而與通訊網(wǎng)絡(luò)或者其他設(shè)備進(jìn)行通訊��。射頻模塊710可包括各種現(xiàn)有的用于執(zhí)行這些功能的電路元件�,例如,天線�����、射頻收發(fā)器�����、數(shù)字信號(hào)處理器、加密/解密芯片��、用戶身份模塊(SIM)卡��、存儲(chǔ)器等等���。射頻模塊710可與各種網(wǎng)絡(luò)如互聯(lián)網(wǎng)�、企業(yè)內(nèi)部網(wǎng)�����、無線網(wǎng)絡(luò)進(jìn)行通訊或者通過無線網(wǎng)絡(luò)與其他設(shè)備進(jìn)行通訊���。上述的無線網(wǎng)絡(luò)可包括蜂窩式電話網(wǎng)����、無線局域網(wǎng)或者城域網(wǎng)��。上述的無線網(wǎng)絡(luò)可以使用各種通信標(biāo)準(zhǔn)��、協(xié)議及技術(shù)��,包括但并不限于全球移動(dòng)通信系統(tǒng)(Global System for Mobile Communicat1n, GSM)、增強(qiáng)型移動(dòng)通信技術(shù)(Enhanced Data GSM Environment, EDGE),寬帶碼分多址技術(shù)(wideband code divis1nmultiple access, W-CDMA),碼分多址技術(shù)(Code divis1n access, CDMA)�、時(shí)分多址技術(shù)(time divis1n multiple access, TDMA),藍(lán)牙,無線保真技術(shù)(Wireless, Fidelity,WiFi)(如美國(guó)電氣和電子工程師協(xié)會(huì)標(biāo)準(zhǔn)IEEE 802.11a, IEEE 802.lib, IEEE802.1lg和/或 IEEE 802.lln)�、網(wǎng)絡(luò)電話(Voice over internet protocal, VoIP)、全球微波互聯(lián)接入(Worldwide Interoperability for Microwave Access,W1-Max)�����、其他用于郵件�����、即時(shí)通訊及短消息的協(xié)議�����,以及任何其他合適的通訊協(xié)議����,甚至可包括那些當(dāng)前仍未被開發(fā)出來的協(xié)議����。
[0110]攝像模塊714用于拍攝照片或者視頻。拍攝的照片或者視頻可以存儲(chǔ)至存儲(chǔ)器702內(nèi)���,并可通過射頻模塊710發(fā)送�����。
[0111]音頻模塊716向用戶提供音頻接口�,其可包括一個(gè)或多個(gè)麥克風(fēng)、一個(gè)或者多個(gè)揚(yáng)聲器以及音頻電路����。音頻電路從外設(shè)接口 708處接收聲音數(shù)據(jù),將聲音數(shù)據(jù)轉(zhuǎn)換為電信息�,將電信息傳輸至揚(yáng)聲器。揚(yáng)聲器將電信息轉(zhuǎn)換為人耳能聽到的聲波�。音頻電路還從麥克風(fēng)處接收電信息,將電信號(hào)轉(zhuǎn)換為聲音數(shù)據(jù)����,并將聲音數(shù)據(jù)傳輸至外設(shè)接口 708中以進(jìn)行進(jìn)一步的處理。音頻數(shù)據(jù)可以從存儲(chǔ)器702處或者通過射頻模塊710獲取�����。此外����,音頻數(shù)據(jù)也可以存儲(chǔ)至存儲(chǔ)器702中或者通過射頻模塊710進(jìn)行發(fā)送�。在一些實(shí)例中����,音頻模塊716還可包括一個(gè)耳機(jī)播孔,用于向耳機(jī)或者其他設(shè)備提供音頻接口�。
[0112]觸控屏幕718在終端與用戶之間同時(shí)提供一個(gè)輸出及輸入界面。具體地��,觸控屏幕718向用戶顯示視頻輸出��,這些視頻輸出的內(nèi)容可包括文字�、圖形��、視頻�����、及其任意組合�。一些輸出結(jié)果是對(duì)應(yīng)于一些用戶界面對(duì)象。觸控屏幕718還接收用戶的輸入��,例如用戶的點(diǎn)擊���、滑動(dòng)等手勢(shì)操作����,以便用戶界面對(duì)象對(duì)這些用戶的輸入做出響應(yīng)。檢測(cè)用戶輸入的技術(shù)可以是基于電阻式����、電容式或者其他任意可能的觸控檢測(cè)技術(shù)。觸控屏幕718顯示單元的具體實(shí)例包括但并不限于液晶顯示器或發(fā)光聚合物顯示器�。
[0113]按鍵模塊720同樣提供用戶向終端進(jìn)行輸入的接口,用戶可以通過按下不同的按鍵以使終端執(zhí)行不同的功能�����。
[0114]此外���,本發(fā)明實(shí)施例還提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)����,其內(nèi)存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令����,上述的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)例如為非易失性存儲(chǔ)器例如光盤、硬盤�、或者閃存。上述的計(jì)算機(jī)可執(zhí)行指令用于讓計(jì)算機(jī)或者類似的運(yùn)算裝置完成上述的分布式拒絕服務(wù)攻擊檢測(cè)方法��。
[0115]以上所述,僅是本發(fā)明的較佳實(shí)施例而已��,并非對(duì)本發(fā)明作任何形式上的限制�,雖然本發(fā)明已以較佳實(shí)施例揭露如上,然而并非用以限定本發(fā)明����,任何熟悉本專業(yè)的技術(shù)人員,在不脫離本發(fā)明技術(shù)方案范圍內(nèi)��,當(dāng)可利用上述揭示的技術(shù)內(nèi)容作出些許更動(dòng)或修飾為等同變化的等效實(shí)施例�,但凡是未脫離本發(fā)明技術(shù)方案內(nèi)容,依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對(duì)以上實(shí)施例所作的任何簡(jiǎn)單修改�����、等同變化與修飾����,均仍屬于本發(fā)明技術(shù)方案的范圍內(nèi)����。
【權(quán)利要求】
1.一種分布式拒絕服務(wù)攻擊檢測(cè)方法,其特征在于����,所述分布式拒絕服務(wù)攻擊檢測(cè)方法包括: 實(shí)時(shí)獲取服務(wù)器接收的數(shù)據(jù)報(bào)文�,并對(duì)預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行解析����,以從每個(gè)數(shù)據(jù)報(bào)文中提取特征; 根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例���; 將得到的每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例與預(yù)先存儲(chǔ)的占比基線進(jìn)行匹配����,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合所述占比基線�; 若不符合所述占比基線,則判定為所述服務(wù)器存在DDoS攻擊��。
2.根據(jù)權(quán)利要求1所述的分布式拒絕服務(wù)攻擊檢測(cè)方法����,其特征在于,所述占比基線為服務(wù)器在所述預(yù)設(shè)一段時(shí)間內(nèi)每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的正常占比范圍��。
3.根據(jù)權(quán)利要求1所述的分布式拒絕服務(wù)攻擊檢測(cè)方法�,其特征在于,根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例之后��,還包括: 根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到所述預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量; 將得到的服務(wù)器的流量與預(yù)先存儲(chǔ)的流量基線進(jìn)行匹配�,判斷所述服務(wù)器的流量是否符合所述流量基線; 其中�,所述服務(wù)器的流量包括所述預(yù)設(shè)一段時(shí)間內(nèi)所述服務(wù)器接收的數(shù)據(jù)報(bào)文總數(shù)和數(shù)據(jù)報(bào)文的總大小,所述流量基線為服務(wù)器在所述預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍�����。
4.根據(jù)權(quán)利要求3所述的分布式拒絕服務(wù)攻擊檢測(cè)方法����,其特征在于,判斷所述服務(wù)器的流量是否符合所述流量基線中��,包括: 若所述服務(wù)器的流量在所述預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍內(nèi)��,則判定為所述服務(wù)器的流量符合所述流量基線���; 若所述服務(wù)器的流量不在所述預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍內(nèi),則判定為所述服務(wù)器的流量不符合所述流量基線���。
5.根據(jù)權(quán)利要求3所述的分布式拒絕服務(wù)攻擊檢測(cè)方法�,其特征在于�����,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合所述占比基線中,包括: 若每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例在所述正常占比范圍內(nèi)�����,則判定為每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例符合所述占比基線����,若每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不在所述正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不符合所述占比基線���。
6.根據(jù)權(quán)利要求3所述的分布式拒絕服務(wù)攻擊檢測(cè)方法��,其特征在于��,若不符合所述占比基線中�,包括: 判斷服務(wù)器狀態(tài)是否存在異常�; 若存在異常,則判定為所述服務(wù)器存在DDoS攻擊�; 若不存在異常,則根據(jù)得到的所述預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例修正預(yù)先存儲(chǔ)的所述流量基線和所述占比基線�����。
7.根據(jù)權(quán)利要求6所述的分布式拒絕服務(wù)攻擊檢測(cè)方法,其特征在于�����,判斷所述服務(wù)器狀態(tài)是否存在異常中�,包括: 獲取所述服務(wù)器的CPU使用率和所述服務(wù)器的內(nèi)存占用率; 判斷是否至少滿足條件(i)和(ii)中的一個(gè):(i)所述服務(wù)器的CPU使用率大于第一預(yù)設(shè)值���;(ii)所述服務(wù)器的內(nèi)存占用率大于第二預(yù)設(shè)值���; 若至少滿足條件(i)和(ii)中的一個(gè),則判定為所述服務(wù)器狀態(tài)存在異常�; 若不滿足條件(i)和(ii)中任一個(gè),則判定為所述服務(wù)器狀態(tài)不存在異常��。
8.根據(jù)權(quán)利要求3所述的分布式拒絕服務(wù)攻擊檢測(cè)方法��,其特征在于�,判定為所述服務(wù)器存在DDoS攻擊之后,還包括: 判定不符合所述占比基線的數(shù)據(jù)報(bào)文為DDoS攻擊源發(fā)出的��,在所述服務(wù)器的流量不符合所述流量基線時(shí)�����,判定為攻擊類型為消耗服務(wù)器接收數(shù)據(jù)帶寬的攻擊��,在所述服務(wù)器的流量符合所述流量基線時(shí)�����,判定為攻擊類型為消耗服務(wù)器資源的攻擊�����; 對(duì)所述DDoS攻擊源發(fā)出的數(shù)據(jù)報(bào)文進(jìn)行屏蔽��,并向存在DDoS攻擊的服務(wù)器發(fā)送受到攻擊的告警信息���。
9.根據(jù)權(quán)利要求1所述的分布式拒絕服務(wù)攻擊檢測(cè)方法����,其特征在于���,從每個(gè)數(shù)據(jù)報(bào)文中提取的特征包括數(shù)據(jù)報(bào)文的大小�、源IP地址�����、目的IP地址、或數(shù)據(jù)報(bào)文所屬的協(xié)議類型�����。
10.一種分布式拒絕服務(wù)攻擊檢測(cè)裝置����,其特征在于,所述分布式拒絕服務(wù)攻擊檢測(cè)裝置�����,包括: 解析模塊���,用于實(shí)時(shí)獲取服務(wù)器接收的數(shù)據(jù)報(bào)文���,并對(duì)預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器接收的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行解析,以從每個(gè)數(shù)據(jù)報(bào)文中提取特征��; 占比獲取模塊��,用于根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例���; 占比匹配模塊�,用于將得到的每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例與預(yù)先存儲(chǔ)的占比基線進(jìn)行匹配,判斷每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例是否符合所述占比基線�; 判定模塊����,用于若不符合所述占比基線,則判定為所述服務(wù)器存在DDoS攻擊����。
11.根據(jù)權(quán)利要求10所述的分布式拒絕服務(wù)攻擊檢測(cè)裝置,其特征在于�����,所述占比基線為服務(wù)器在所述預(yù)設(shè)一段時(shí)間內(nèi)每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例的正常占比范圍�����。
12.根據(jù)權(quán)利要求10所述的分布式拒絕服務(wù)攻擊檢測(cè)裝置��,其特征在于��,所述分布式拒絕服務(wù)攻擊檢測(cè)裝置���,還包括: 流量獲取模塊����,用于根據(jù)從每個(gè)數(shù)據(jù)報(bào)文中提取的特征得到所述預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量; 流量匹配模塊���,用于將得到的服務(wù)器的流量與預(yù)先存儲(chǔ)的流量基線進(jìn)行匹配����,判斷所述服務(wù)器的流量是否符合所述流量基線�; 其中,所述服務(wù)器的流量包括所述預(yù)設(shè)一段時(shí)間內(nèi)所述服務(wù)器接收的數(shù)據(jù)報(bào)文總數(shù)和數(shù)據(jù)報(bào)文的總大小�����,所述流量基線為服務(wù)器在所述預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍�����。
13.根據(jù)權(quán)利要求12所述的分布式拒絕服務(wù)攻擊檢測(cè)裝置�,其特征在于,所述流量匹配模塊�����,還用于若所述服務(wù)器的流量在所述預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍內(nèi),則判定為所述服務(wù)器的流量符合所述流量基線�;若所述服務(wù)器的流量不在所述預(yù)設(shè)一段時(shí)間內(nèi)的正常流量范圍內(nèi),則判定為所述服務(wù)器的流量不符合所述流量基線����。
14.根據(jù)權(quán)利要求12所述的分布式拒絕服務(wù)攻擊檢測(cè)裝置,其特征在于�,所述占比匹配模塊�,還用于若每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例在所述正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例符合所述占比基線�,若每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不在所述正常占比范圍內(nèi),則判定為每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例不符合所述占比基線����。
15.根據(jù)權(quán)利要求12所述的分布式拒絕服務(wù)攻擊檢測(cè)裝置,其特征在于��,所述判定模塊���,包括: 異常判斷模塊����,用于判斷服務(wù)器狀態(tài)是否存在異常�; 攻擊判定模塊���,用于若存在異常,則判定為所述服務(wù)器存在DDoS攻擊���; 修正模塊�����,用于若不存在異常�����,則根據(jù)得到的所述預(yù)設(shè)一段時(shí)間內(nèi)服務(wù)器的流量和每種協(xié)議類型的數(shù)據(jù)報(bào)文個(gè)數(shù)占數(shù)據(jù)報(bào)文總數(shù)的比例修正預(yù)先存儲(chǔ)的所述流量基線和所述占比基線�。
16.根據(jù)權(quán)利要求15所述的分布式拒絕服務(wù)攻擊檢測(cè)裝置���,其特征在于���,所述異常判斷模塊,包括: 獲取模塊����,用于獲取所述服務(wù)器的CPU使用率和所述服務(wù)器的內(nèi)存占用率; 判斷模塊����,用于判斷是否至少滿足條件⑴和(ii)中的一個(gè):⑴所述服務(wù)器的CPU使用率大于第一預(yù)設(shè)值���;(ii)所述服務(wù)器的內(nèi)存占用率大于第二預(yù)設(shè)值;若至少滿足條件(i)和(ii)中的一個(gè)�����,則判定為所述服務(wù)器狀態(tài)存在異常�����;若不滿足條件⑴和(ii)中任一個(gè)�,則判定為所述服務(wù)器狀態(tài)不存在異常���。
17.根據(jù)權(quán)利要求12所述的分布式拒絕服務(wù)攻擊檢測(cè)裝置���,其特征在于,所述分布式拒絕服務(wù)攻擊檢測(cè)裝置����,還包括: 攻擊信息確定模塊,用于判定不符合所述占比基線的數(shù)據(jù)報(bào)文為DDoS攻擊源發(fā)出的���,在所述服務(wù)器的流量不符合所述流量基線時(shí)����,判定為攻擊類型為消耗服務(wù)器接收數(shù)據(jù)帶寬的攻擊,在所述服務(wù)器的流量符合所述流量基線時(shí)�����,判定為攻擊類型為消耗服務(wù)器資源的攻擊����; 處理模塊,用于對(duì)所述DDoS攻擊源發(fā)出的數(shù)據(jù)報(bào)文進(jìn)行屏蔽���,并向存在DDoS攻擊的服務(wù)器發(fā)送受到攻擊的告警信息����。
18.根據(jù)權(quán)利要求10所述的分布式拒絕服務(wù)攻擊檢測(cè)裝置����,其特征在于,從每個(gè)數(shù)據(jù)報(bào)文中提取的特征包括數(shù)據(jù)報(bào)文的大小���、源IP地址�����、目的IP地址�����、或數(shù)據(jù)報(bào)文所屬的協(xié)議類型����。
【文檔編號(hào)】H04L12/26GK104348811SQ201310337323
【公開日】2015年2月11日 申請(qǐng)日期:2013年8月5日 優(yōu)先權(quán)日:2013年8月5日
【發(fā)明者】辛霄, 陳曦 申請(qǐng)人:深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司