(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109981533A(43)申请公布日2019.07.05(21)申请号201711451017.9(22)申请日2017.12.27(71)申请人中移（杭州）信息技术有限公司地址311100浙江省杭州市余杭区文一西路998号海创园18幢6层申请人中国移动通信集团公司(72)发明人刘书林(74)专利代理机构北京同达信恒知识产权代理有限公司11291代理人郭润湘(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)权利要求书2页说明书10页附图4页(54)发明名称一种DDoS攻击检测方法、装置、电子设备及存储介质(57)摘要本发明公开了一种DDoS攻击检测方法、装置、电子设备及存储介质，所述方法包括：在检测周期内，确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长，并根据每个访问时长，确定总访问时长；根据每个访问请求对应的访问时长，及所述总访问时长，确定每个访问请求对应的第一概率，根据每个所述第一概率及预设的信息熵公式，确定所述检测周期的停留时间熵；判断所述检测周期的停留时间熵是否位于预设的时间熵范围内；如果否，确定所述服务器在所述检测周期内受到DDoS攻击。提供了一种不受IP和流量影响的DDoS攻击检测方案，保证了DDoS攻击检测的准确性。CN109981533ACN109981533A权利要求书1/2页1.一种分布式拒绝服务DDoS攻击检测方法，其特征在于，所述方法包括：在检测周期内，确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长，并根据每个访问时长，确定总访问时长；根据每个访问请求对应的访问时长，及所述总访问时长，确定每个访问请求对应的第一概率，根据每个所述第一概率及预设的信息熵公式，确定所述检测周期的停留时间熵；判断所述检测周期的停留时间熵是否位于预设的时间熵范围内；如果否，确定所述服务器在所述检测周期内受到DDoS攻击。2.如权利要求1所述的方法，其特征在于，所述在检测周期内，确定服务器接收的每个访问请求访问对应的URL页面的访问时长之前，所述方法还包括：根据所述检测周期内，服务器中每个URL页面被访问的次数，服务器接收到访问请求的总次数，确定每个URL页面被访问的第二概率；根据每个所述第二概率及预设的信息熵公式，确定所述检测周期的请求熵；判断所述请求熵是否位于预设的请求熵范围内；如果否，进行后续步骤。3.如权利要求1所述的方法，其特征在于，所述在检测周期内，确定服务器接收的每个访问请求访问对应的URL页面的访问时长包括：获取检测周期内，所述每个访问请求的请求时间及对应的URL页面的跳转时间；针对每个访问请求，根据该访问请求对应的URL页面的跳转时间与接收到该访问请求的请求时间的差值，确定该访问请求访问对应的URL页面的访问时长。4.如权利要求1所述的方法，其特征在于，所述根据每个所述第一概率及预设的信息熵公式，确定所述检测周期的停留时间熵包括：根据公式确定所述检测周期的停留时间熵，其中H(U1)为所述检测周期的停留时间熵、n为第一概率的数量、Pi为第i个第一概率。5.如权利要求2所述的方法，其特征在于，所述根据每个所述第二概率及预设的信息熵公式，确定所述检测周期的请求熵包括：根据公式确定所述检测周期的请求熵，其中H(U2)为所述检测周期的请求熵、N为第二概率的数量、Pj为第j个第二概率。6.一种分布式拒绝服务DDoS攻击检测装置，其特征在于，所述装置包括：第一确定模块，用于在检测周期内，确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长，并根据每个访问时长，确定总访问时长；第二确定模块，用于根据每个访问请求对应的访问时长，及所述总访问时长，确定每个访问请求对应的第一概率，根据每个所述第一概率及预设的信息熵公式，确定所述检测周期的停留时间熵；第一判断模块，用于判断所述检测周期的停留时间熵是否位于预设的时间熵范围内，如果判断结果为否，触发第三确定模块；第三确定模块，用于确定所述服务器在所述检测周期内受到DDoS攻击。7.一种电子设备，其特征在于，包括：存储器和处理器；2CN109981533A权利要求书2/2页所述处理器，用于读取存储器中的程序，执行下列过程：在检测周期内，确定服务器接收的每个访问请求访问对应的统一资源定位符URL页面的访问时长，并根据每个访问时长，确定总访问时长；根据每个访问请求对应的访问时长，及所述总访问时长，确定每个访问请求对应的第一概率，根据每个所述第一概率及预设的信息熵公式，确定所述检测周期的停留时间熵；判断所述检测周期的停留时间熵是否位于预设的时间熵范围内；如果否，确定所述服务器在所述检测周期内受到DDoS攻