收藏
下载资源 加入会员免费下载

一种动态阈值DDOS被攻击地址检测方法.pdf

上传人:00062****4422 文档编号:4306914 上传时间:2018-09-13 格式:PDF 页数:7 大小:462.95KB
返回 下载 相关 举报
摘要
申请专利号:

CN201110309008.2

 申请日:

2011.10.12
公开号:

CN102394868A

 公开日:

2012.03.28
当前法律状态:

授权

 有效性:

有权
法律详情:

授权|||实质审查的生效IPC(主分类):H04L 29/06申请日:20111012|||公开
IPC分类号:

H04L29/06; H04L12/26

 主分类号:

H04L29/06
申请人:

镇江金钛软件有限公司
发明人:

丁力; 孙知信; 金易琛; 宫婧
地址:

212003 江苏省镇江市学府路118号
优先权:

专利代理机构:

南京经纬专利商标代理有限公司 32200

 代理人:

许方
PDF下载: PDF下载
内容摘要

本发明涉及一种动态阈值DDoS被攻击地址检测方法,属于通信技术领域。本方法采集周期内采集到的数据流地址计算溢出积累变量。在实时数据流量大于阈值时,累计增加溢出积累变量的值直到溢出积累变量的值小于等于零,而实时数据流量小于阈值时的溢出积累变量的值置零。本方法根据数据溢出积累变量的值判断IP地址是否被攻击,并实时更新阈值,进而跟新数据信息,实时监测网络IP地址被攻击的状况。

权利要求书

1: 一种动态阈值 DDoS 被攻击地址检测方法, 其特征在于包括如下步骤 : 步骤 1, 分析历史数据表得到阈值 THn 以及阈值数据表, 其中 : THn 为第 n 次更新时所预 测的阈值, n 为大于等于 1 的自然数 ; 步骤 2, 在数据采集周期内采集数据包, 对采集的数据包提取 IP 地址, 统计实时数据流 量 TFn, TFn 为第 n 次更新时实时数据流量 ; 步骤 3, 对比实时数据流量 TFn 与阈值 THn, 计算各个数据在第 n 次更新时溢出积累变量 Sn 的值, 并更新溢出积累变量 Sn 值的存储表, 溢出积累变量 Sn 值的具体算法如下 : 当 TFn > THn 时, 进入步骤 3-1 ; 当 TFn ≤ THn 时, 进入步骤 3-2 ; 步骤 3-1, 利用公式 Sn = Sn-1+TFn-THn 计算第 n 次更新时溢出积累变量 Sn 的值 ; 步骤 3-2, 当 Sn-1 > 0 时, 利用如下公式计算第 n 次更新时溢出积累变量 Sn 的值 ; 其中, S1 = 0 ; 当 Sn-1 ≤ 0, Sn = 0 ; 步骤 4, 设置溢出积累变量的最大值为 Smax, 比较第 n 次更新时溢出积累变量 Sn 的值与 溢出积累变量的最大值 Smax, 仅当 Sn > Smax 时, Sn = Smax ; 步骤 5, 检查各 IP 地址第 n 次更新时溢出积累变量 Sn 的值是否为 0, 当 Sn < 0 时, 表示该 IP 地址已经被攻击结束 ; 当 Sn > 0 时, 将该 IP 地址列为遭到 DDoS 攻击的目标地址 ; 当 Sn = 0 时, 利用如下公式计算该 IP 地址阈值, 更新阈值数据表, 用 IP 地址未被攻击 的流量数据覆盖历史数据表 : 其中, α 为数据更新系数, BT 为缓冲流量, 0 ≤ α ≤ 1, m∈n; 步骤 6, 进入下一数据采集周期, 返回步骤 2。2: 根据权利要求 1 所述的动态阈值 DDoS 被攻击地址检测方法, 其特征在于步骤 5 中所 述的公式中, 正负号的选取依据如下原则 : 计算第 n 次阈值时, 若第 n-1 次的数据流量大于第 n-2 次的数据流量则取正, 反之取 负。

说明书


一种动态阈值 DDoS 被攻击地址检测方法

    【技术领域】
     本发明涉及一种动态阈值 DDoS 被攻击地址检测方法, 属于通信技术领域。背景技术 针对可能存在的 DDoS 攻击进行防御是对数据流量进行监控。现有技术中有静态 固定阈值 DDoS 被攻击地址检测技术和动态阈值 DDoS 检测技术。
     静态固定阈值 DDoS 被攻击地址检测技术操作简单, 易于部署, 算法效率高, 但是 不适于流量较大的网络环境且缺乏灵活性, 同时静态阈值不易确定, 设置不当会导致检测 效率和检测效果的降低。
     动态阈值 DDoS 检测技术中阈值的计算有两种方法 : 区间均值阈值算法和 EWMA 算 法。 区间均值阈值算法将所有流量值度阈值的影响同等看待, 赋以相同的权值, 实际上这种 作用是有差别的, 一般近期的数值影响较远期的数值影响更大一些, 在网络流量变化剧烈 的环境中, 按此方法产生的阈值与实际流量差距会很大, 往往起不到检测作用。
     现有的基于 EWMA 算法的阈值生成算法缺点是当网络长时间处于较低负荷状态下 所计算的阈值较小, 如果突然负荷变大会导致由于低阈值而产生误报。
     另外, 区间均值阈值算法和 EWMA 算法阈值的设定都只基于当前的网络流量, 未对 阈值留有增大的缓冲区间和防抖动算法以适应正常通信时的通信量猝发性增长, 也未设定 阈值的上限值。
     发明内容 本发明所要解决的技术问题是针对上述背景技术的不足, 提供了一种动态阈值 DDoS 被攻击地址检测方法。
     本发明为实现上述发明目的采用如下技术方案 :
     一种动态阈值 DDoS 被攻击地址检测方法包括如下步骤 :
     步骤 1, 分析历史数据表得到阈值 THn 以及阈值数据表, 其中 : THn 为第 n 次更新时 所预测的阈值, n 为大于等于 1 的自然数 ;
     步骤 2, 在数据采集周期内采集数据包, 对采集的数据包提取 IP 地址, 统计实时数 据流量 TFn, TFn 为第 n 次更新时实时数据流量 ;
     步骤 3, 对比实时数据流量 TFn 与阈值 THn, 计算各个数据在第 n 次更新时溢出积累 变量 Sn 的值, 并更新溢出积累变量 Sn 值的存储表, 溢出积累变量 Sn 值的具体算法如下 :
     当 TFn > THn 时, 进入步骤 3-1 ;
     当 TFn ≤ THn 时, 进入步骤 3-2 ;
     步骤 3-1, 利用公式 Sn = Sn-1+TFn-THn 计算第 n 次更新时溢出积累变量 Sn 的值 ;
     步骤 3-2, 当 Sn-1 > 0 时, 利用如下公式计算第 n 次更新时溢出积累变量 Sn 的值 ;
     其中, S1 = 0 ;
     当 Sn-1 ≤ 0, Sn = 0 ;
     步骤 4, 设置溢出积累变量的最大值为 Smax, 比较第 n 次更新时溢出积累变量 Sn 的 值与溢出积累变量的最大值 Smax, 仅当 Sn > Smax 时, Sn = Smax ;
     步骤 5, 检查各 IP 地址第 n 次更新时溢出积累变量 Sn 的值是否为 0,
     当 Sn < 0 时, 表示该 IP 地址已经被攻击结束 ;
     当 Sn > 0 时, 将该 IP 地址列为遭到 DDoS 攻击的目标地址 ;
     当 Sn = 0 时, 利用如下公式计算该 IP 地址阈值, 更新阈值数据表, 用 IP 地址未被 攻击的流量数据覆盖历史数据表 :
     其中, α 为数据更新系数, BT 为缓冲流量, 0 ≤ α ≤ 1, m∈n; 步骤 6, 进入下一数据采集周期, 返回步骤 2。 所述动态阈值 DDoS 被攻击地址检测方法中, 步骤 5 中正负号的选取依据如下原 计算第 n 次阈值时, 若第 n-1 次的数据流量大于第 n-2 次的数据流量则取正, 反之则:
     取负。
     本发明采用上述技术方案, 具有以下有益效果 : 动态更新阈值, 实施监测网络 IP 地址被攻击的状况。附图说明
     图 1 为动态阈值 DDoS 被攻击地址检测方法的流程图。
     图 2 为 BloomFilter 算法地址映射的示意图。 具体实施方式
     下面结合附图对发明的技术方案进行详细说明 :
     如图 1 所示, 一种动态阈值 DDoS 被攻击地址检测方法, 包括如下步骤 :
     步骤 1, 历史数据表存储 m 个历史数据, 阈值数据表存储根据 m 个历史数据地址得 到的阈值 THn, THn 为第 n 次更新时所预测的阈值, m 为任意自然数, n 为大于等于 1 的自然 数。
     步骤 2, 在数据收集周期 t 内采集数据包, 按数据包 IP 地址映射到 IP 地址数据表, 针对各个 IP 地址统计出实时数据流量为 TFn, TFn 为第 n 次更新时实时数据流量。
     如图 2 所示 : 采用 BloomFilter 算法映射地址。在 IPv4 地址体系中, IP 地址被 分为 4 段, 每段的值可取十进制的 1 到 255。依照 Bloom Filter 算法设置一个由 4 个独立 hash 函数组成的 4×256 的表结构来跟踪时间段 t 内通过路由器到达不同目的地址的 IP 包 数。当一个 IP 包进入路由器后, 其目的地址被 4 个独立的 hash 函数 ( 针对 IP 地址的 4 段 分别映射 ) 分别映射到各自不同的 256 个域中的某一个 ( 对每一段的值进行映射 ), 此时 1 ≤ j ≤ 4) 加 保存在被映射域 ( 共 4 个, 每个 hash 对应一个 ) 中的变量 aij(1 ≤ i ≤ 256, 1。步骤 3, 对比实时数据流量 TFn 与阈值 THn, 计算各个数据在第 n 次更新时溢出积累 变量 Sn 的值, 并更新溢出积累变量 Sn 值的存储表, 溢出积累变量 Sn 值的具体算法如下 :
     当 TFn > THn 时, 进入步骤 3-1 ;
     当 TFn ≤ THn 时, 进入步骤 3-2 ;
     步骤 3-1, 利用公式 Sn = Sn-1+TFn-THn 计算第 n 次更新时溢出积累变量 Sn 的值 ;
     步骤 3-2, 当 Sn-1 > 0 时, 利用如下公式计算第 n 次更新时溢出积累变量 Sn 的值 ;
     其中, S1 = 0 ;
     当 Sn-1 ≤ 0, Sn = 0 ;
     步骤 4, 设置溢出积累变量的最大值为 Smax, 比较第 n 次更新时溢出积累变量 Sn 的 值与溢出积累变量的最大值 Smax, 仅当 Sn > Smax 时, Sn = Smax ;
     步骤 5, 检查各 IP 地址第 n 次更新时溢出积累变量 Sn 的值是否为 0,
     当 Sn < 0 时, 表示该 IP 地址已经被攻击结束 ;
     当 Sn > 0 时, 将该 IP 地址列为遭到 DDoS 攻击的目标地址 ;
     当 Sn = 0 时, 利用如下公式计算 Sn 值等于 0 时所对应的 IP 地址阈值, 更新阈值数 据表, 用 IP 地址未被攻击的流量数据覆盖历史数据表 :
     其中, α 为数据更新系数, BT 为缓冲流量, 公式中正负号的选取依据如下原则 : 计 算第 n 次阈值时, 若第 n-1 次的数据流量大于第 n-2 次的数据流量则取正, 反之取负。
     步骤 6, 进入下一数据采集周期, 返回步骤 2。
    

一种动态阈值DDOS被攻击地址检测方法.pdf_第1页
第1页 / 共7页
一种动态阈值DDOS被攻击地址检测方法.pdf_第2页
第2页 / 共7页
一种动态阈值DDOS被攻击地址检测方法.pdf_第3页
第3页 / 共7页
点击查看更多>>
资源描述

《一种动态阈值DDOS被攻击地址检测方法.pdf》由会员分享,可在线阅读,更多相关《一种动态阈值DDOS被攻击地址检测方法.pdf(7页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 102394868 A (43)申请公布日 2012.03.28 C N 1 0 2 3 9 4 8 6 8 A *CN102394868A* (21)申请号 201110309008.2 (22)申请日 2011.10.12 H04L 29/06(2006.01) H04L 12/26(2006.01) (71)申请人镇江金钛软件有限公司 地址 212003 江苏省镇江市学府路118号 (72)发明人丁力 孙知信 金易琛 宫婧 (74)专利代理机构南京经纬专利商标代理有限 公司 32200 代理人许方 (54) 发明名称 一种动态阈值DDoS被攻击地址检测方法 (5。

2、7) 摘要 本发明涉及一种动态阈值DDoS被攻击地址 检测方法,属于通信技术领域。本方法采集周期内 采集到的数据流地址计算溢出积累变量。在实时 数据流量大于阈值时,累计增加溢出积累变量的 值直到溢出积累变量的值小于等于零,而实时数 据流量小于阈值时的溢出积累变量的值置零。本 方法根据数据溢出积累变量的值判断IP地址是 否被攻击,并实时更新阈值,进而跟新数据信息, 实时监测网络IP地址被攻击的状况。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说明书 3 页 附图 2 页 CN 102394877 A 1/1页 2 1.一种动态阈值DD。

3、oS被攻击地址检测方法,其特征在于包括如下步骤: 步骤1,分析历史数据表得到阈值TH n 以及阈值数据表,其中:TH n 为第n次更新时所预 测的阈值,n为大于等于1的自然数; 步骤2,在数据采集周期内采集数据包,对采集的数据包提取IP地址,统计实时数据流 量TF n ,TF n 为第n次更新时实时数据流量; 步骤3,对比实时数据流量TF n 与阈值TH n ,计算各个数据在第n次更新时溢出积累变量 S n 的值,并更新溢出积累变量S n 值的存储表,溢出积累变量S n 值的具体算法如下: 当TF n TH n 时,进入步骤3-1; 当TF n TH n 时,进入步骤3-2; 步骤3-1,利用。

4、公式S n S n-1 +TF n -TH n 计算第n次更新时溢出积累变量S n 的值; 步骤3-2,当S n-1 0时,利用如下公式计算第n次更新时溢出积累变量S n 的值; 其中,S 1 0; 当S n-1 0,S n 0; 步骤4,设置溢出积累变量的最大值为S max ,比较第n次更新时溢出积累变量S n 的值与 溢出积累变量的最大值S max ,仅当S n S max 时,S n S max ; 步骤5,检查各IP地址第n次更新时溢出积累变量S n 的值是否为0, 当S n 0时,表示该IP地址已经被攻击结束; 当S n 0时,将该IP地址列为遭到DDoS攻击的目标地址; 当S n 。

5、0时,利用如下公式计算该IP地址阈值,更新阈值数据表,用IP地址未被攻击 的流量数据覆盖历史数据表: 其中,为数据更新系数,BT为缓冲流量,01,mn; 步骤6,进入下一数据采集周期,返回步骤2。 2.根据权利要求1所述的动态阈值DDoS被攻击地址检测方法,其特征在于步骤5中所 述的公式中,正负号的选取依据如下原则: 计算第n次阈值时,若第n-1次的数据流量大于第n-2次的数据流量则取正,反之取 负。 权 利 要 求 书CN 102394868 A CN 102394877 A 1/3页 3 一种动态阈值 DDoS 被攻击地址检测方法 技术领域 0001 本发明涉及一种动态阈值DDoS被攻击地。

6、址检测方法,属于通信技术领域。 背景技术 0002 针对可能存在的DDoS攻击进行防御是对数据流量进行监控。现有技术中有静态 固定阈值DDoS被攻击地址检测技术和动态阈值DDoS检测技术。 0003 静态固定阈值DDoS被攻击地址检测技术操作简单,易于部署,算法效率高,但是 不适于流量较大的网络环境且缺乏灵活性,同时静态阈值不易确定,设置不当会导致检测 效率和检测效果的降低。 0004 动态阈值DDoS检测技术中阈值的计算有两种方法:区间均值阈值算法和EWMA算 法。区间均值阈值算法将所有流量值度阈值的影响同等看待,赋以相同的权值,实际上这种 作用是有差别的,一般近期的数值影响较远期的数值影响。

7、更大一些,在网络流量变化剧烈 的环境中,按此方法产生的阈值与实际流量差距会很大,往往起不到检测作用。 0005 现有的基于EWMA算法的阈值生成算法缺点是当网络长时间处于较低负荷状态下 所计算的阈值较小,如果突然负荷变大会导致由于低阈值而产生误报。 0006 另外,区间均值阈值算法和EWMA算法阈值的设定都只基于当前的网络流量,未对 阈值留有增大的缓冲区间和防抖动算法以适应正常通信时的通信量猝发性增长,也未设定 阈值的上限值。 发明内容 0007 本发明所要解决的技术问题是针对上述背景技术的不足,提供了一种动态阈值 DDoS被攻击地址检测方法。 0008 本发明为实现上述发明目的采用如下技术方。

8、案: 0009 一种动态阈值DDoS被攻击地址检测方法包括如下步骤: 0010 步骤1,分析历史数据表得到阈值TH n 以及阈值数据表,其中:TH n 为第n次更新时 所预测的阈值,n为大于等于1的自然数; 0011 步骤2,在数据采集周期内采集数据包,对采集的数据包提取IP地址,统计实时数 据流量TF n ,TF n 为第n次更新时实时数据流量; 0012 步骤3,对比实时数据流量TF n 与阈值TH n ,计算各个数据在第n次更新时溢出积累 变量S n 的值,并更新溢出积累变量S n 值的存储表,溢出积累变量S n 值的具体算法如下: 0013 当TF n TH n 时,进入步骤3-1; 。

9、0014 当TF n TH n 时,进入步骤3-2; 0015 步骤3-1,利用公式S n S n-1 +TF n -TH n 计算第n次更新时溢出积累变量S n 的值; 0016 步骤3-2,当S n-1 0时,利用如下公式计算第n次更新时溢出积累变量S n 的值; 0017 说 明 书CN 102394868 A CN 102394877 A 2/3页 4 0018 其中,S 1 0; 0019 当S n-1 0,S n 0; 0020 步骤4,设置溢出积累变量的最大值为S max ,比较第n次更新时溢出积累变量S n 的 值与溢出积累变量的最大值S max ,仅当S n S max 时,。

10、S n S max ; 0021 步骤5,检查各IP地址第n次更新时溢出积累变量S n 的值是否为0, 0022 当S n 0时,表示该IP地址已经被攻击结束; 0023 当S n 0时,将该IP地址列为遭到DDoS攻击的目标地址; 0024 当S n 0时,利用如下公式计算该IP地址阈值,更新阈值数据表,用IP地址未被 攻击的流量数据覆盖历史数据表: 0025 0026 其中,为数据更新系数,BT为缓冲流量,01,mn; 0027 步骤6,进入下一数据采集周期,返回步骤2。 0028 所述动态阈值DDoS被攻击地址检测方法中,步骤5中正负号的选取依据如下原 则: 0029 计算第n次阈值时,。

11、若第n-1次的数据流量大于第n-2次的数据流量则取正,反之 取负。 0030 本发明采用上述技术方案,具有以下有益效果:动态更新阈值,实施监测网络IP 地址被攻击的状况。 附图说明 0031 图1为动态阈值DDoS被攻击地址检测方法的流程图。 0032 图2为BloomFilter算法地址映射的示意图。 具体实施方式 0033 下面结合附图对发明的技术方案进行详细说明: 0034 如图1所示,一种动态阈值DDoS被攻击地址检测方法,包括如下步骤: 0035 步骤1,历史数据表存储m个历史数据,阈值数据表存储根据m个历史数据地址得 到的阈值TH n ,TH n 为第n次更新时所预测的阈值,m为任。

12、意自然数,n为大于等于1的自然 数。 0036 步骤2,在数据收集周期t内采集数据包,按数据包IP地址映射到IP地址数据表, 针对各个IP地址统计出实时数据流量为TF n ,TF n 为第n次更新时实时数据流量。 0037 如图2所示:采用BloomFilter算法映射地址。在IPv4地址体系中,IP地址被 分为4段,每段的值可取十进制的1到255。依照Bloom Filter算法设置一个由4个独立 hash函数组成的4256的表结构来跟踪时间段t内通过路由器到达不同目的地址的IP包 数。当一个IP包进入路由器后,其目的地址被4个独立的hash函数(针对IP地址的4段 分别映射)分别映射到各自。

13、不同的256个域中的某一个(对每一段的值进行映射),此时 保存在被映射域(共4个,每个hash对应一个)中的变量a ij (1i256,1j4)加 1。 说 明 书CN 102394868 A CN 102394877 A 3/3页 5 0038 步骤3,对比实时数据流量TF n 与阈值TH n ,计算各个数据在第n次更新时溢出积累 变量S n 的值,并更新溢出积累变量S n 值的存储表,溢出积累变量S n 值的具体算法如下: 0039 当TF n TH n 时,进入步骤3-1; 0040 当TF n TH n 时,进入步骤3-2; 0041 步骤3-1,利用公式S n S n-1 +TF n。

14、 -TH n 计算第n次更新时溢出积累变量S n 的值; 0042 步骤3-2,当S n-1 0时,利用如下公式计算第n次更新时溢出积累变量S n 的值; 0043 0044 其中,S 1 0; 0045 当S n-1 0,S n 0; 0046 步骤4,设置溢出积累变量的最大值为S max ,比较第n次更新时溢出积累变量S n 的 值与溢出积累变量的最大值S max ,仅当S n S max 时,S n S max ; 0047 步骤5,检查各IP地址第n次更新时溢出积累变量S n 的值是否为0, 0048 当S n 0时,表示该IP地址已经被攻击结束; 0049 当S n 0时,将该IP地。

15、址列为遭到DDoS攻击的目标地址; 0050 当S n 0时,利用如下公式计算S n 值等于0时所对应的IP地址阈值,更新阈值数 据表,用IP地址未被攻击的流量数据覆盖历史数据表: 0051 0052 其中,为数据更新系数,BT为缓冲流量,公式中正负号的选取依据如下原则:计 算第n次阈值时,若第n-1次的数据流量大于第n-2次的数据流量则取正,反之取负。 0053 步骤6,进入下一数据采集周期,返回步骤2。 说 明 书CN 102394868 A CN 102394877 A 1/2页 6 图1 说 明 书 附 图CN 102394868 A CN 102394877 A 2/2页 7 图2 说 明 书 附 图CN 102394868 A 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1