专利名称:一种动态阈值DDoS被攻击地址检测方法
技术领域:
本发明涉及一种动态阈值DDoS被攻击地址检测方法,属于通信技术领域。
背景技术:
针对可能存在的DDoS攻击进行防御是对数据流量进行监控。现有技术中有静态固定阈值DDoS被攻击地址检测技术和动态阈值DDoS检测技术。静态固定阈值DDoS被攻击地址检测技术操作简单,易于部署,算法效率高,但是不适于流量较大的网络环境且缺乏灵活性,同时静态阈值不易确定,设置不当会导致检测效率和检测效果的降低。动态阈值DDoS检测技术中阈值的计算有两种方法区间均值阈值算法和EWMA算法。区间均值阈值算法将所有流量值度阈值的影响同等看待,赋以相同的权值,实际上这种作用是有差别的,一般近期的数值影响较远期的数值影响更大一些,在网络流量变化剧烈的环境中,按此方法产生的阈值与实际流量差距会很大,往往起不到检测作用。现有的基于EWMA算法的阈值生成算法缺点是当网络长时间处于较低负荷状态下所计算的阈值较小,如果突然负荷变大会导致由于低阈值而产生误报。另外,区间均值阈值算法和EWMA算法阈值的设定都只基于当前的网络流量,未对阈值留有增大的缓冲区间和防抖动算法以适应正常通信时的通信量猝发性增长,也未设定阈值的上限值。
发明内容
本发明所要解决的技术问题是针对上述背景技术的不足,提供了一种动态阈值 DDoS被攻击地址检测方法。本发明为实现上述发明目的采用如下技术方案一种动态阈值DDoS被攻击地址检测方法包括如下步骤步骤1,分析历史数据表得到阈值THn以及阈值数据表,其中THn为第η次更新时所预测的阈值,η为大于等于1的自然数;步骤2,在数据采集周期内采集数据包,对采集的数据包提取IP地址,统计实时数据流量TFn,TFn为第η次更新时实时数据流量;步骤3,对比实时数据流量TFn与阈值ΤΗη,计算各个数据在第η次更新时溢出积累变量&的值,并更新溢出积累变量&值的存储表,溢出积累变量&值的具体算法如下当TFn > THn时,进入步骤3-1 ;当TFn彡THn时,进入步骤3-2 ;步骤3-1,利用公式& = Sn-JTFn-THn计算第η次更新时溢出积累变量&的值;步骤3-2,当Slri > O时,利用如下公式计算第η次更新时溢出积累变量&的值;Sn= η—1η / “1、, 、
ISn^TFn-THn ,(THn-TFn)>(Sn,^2)
其中,S1= O;当SlriSO, & =步骤4,设置溢出积累变量的最大值为^liax,比较第η次更新时溢出积累变量&的值与溢出积累变量的最大值^iax,仅当& > Smax时,Sn = Smax ;步骤5,检查各IP地址第η次更新时溢出积累变量&的值是否为0,当& < 0时,表示该IP地址已经被攻击结束;当& > 0时,将该IP地址列为遭到DDoS攻击的目标地址;当& = 0时,利用如下公式计算该IP地址阈值,更新阈值数据表,用IP地址未被攻击的流量数据覆盖历史数据表THn = αΤΗη +(1-(X)TFn 士宏(TH1 -THm)2 + BT;
V i=n-m+l其中,α为数据更新系数,BT为缓冲流量,0彡α ^ l,me η;步骤6,进入下一数据采集周期,返回步骤2。所述动态阈值DDoS被攻击地址检测方法中,步骤5中正负号的选取依据如下原则计算第η次阈值时,若第η-1次的数据流量大于第η_2次的数据流量则取正,反之取负。本发明采用上述技术方案,具有以下有益效果动态更新阈值,实施监测网络IP 地址被攻击的状况。
图1为动态阈值DDoS被攻击地址检测方法的流程图。图2为BloomFilter算法地址映射的示意图。
具体实施例方式下面结合附图对发明的技术方案进行详细说明如图1所示,一种动态阈值DDoS被攻击地址检测方法,包括如下步骤步骤1,历史数据表存储m个历史数据,阈值数据表存储根据m个历史数据地址得到的阈值THn,THn为第η次更新时所预测的阈值,m为任意自然数,η为大于等于1的自然数。步骤2,在数据收集周期t内采集数据包,按数据包IP地址映射到IP地址数据表, 针对各个IP地址统计出实时数据流量为TFn,TFn为第η次更新时实时数据流量。如图2所示采用BloomFilter算法映射地址。在IPv4地址体系中,IP地址被分为4段,每段的值可取十进制的1到255。依照Bloom Filter算法设置一个由4个独立 hash函数组成的4X 256的表结构来跟踪时间段t内通过路由器到达不同目的地址的IP包数。当一个IP包进入路由器后,其目的地址被4个独立的hash函数(针对IP地址的4段分别映射)分别映射到各自不同的256个域中的某一个(对每一段的值进行映射),此时保存在被映射域(共4个,每个hash对应一个)中的变量aij (1彡i彡256,1彡j彡4)加 1。
步骤3,对比实时数据流量TFn与阈值THn,计算各个数据在第η次更新时溢出积累变量&的值,并更新溢出积累变量&值的存储表,溢出积累变量&值的具体算法如下当TFn > THn时,进入步骤3-1 ;当TFn彡THn时,进入步骤3-2 ;步骤3-1,利用公式& = Sn-JTFn-THn计算第η次更新时溢出积累变量&的值;步骤3-2,当Slri > 0时,利用如下公式计算第η次更新时溢出积累变量&的值;
权利要求
1.一种动态阈值DDoS被攻击地址检测方法,其特征在于包括如下步骤步骤1,分析历史数据表得到阈值THn以及阈值数据表,其中THn为第η次更新时所预测的阈值,η为大于等于1的自然数;步骤2,在数据采集周期内采集数据包,对采集的数据包提取IP地址,统计实时数据流量TFn,TFn为第η次更新时实时数据流量;步骤3,对比实时数据流量TFn与阈值ΤΗη,计算各个数据在第η次更新时溢出积累变量 Sn的值,并更新溢出积累变量&值的存储表,溢出积累变量&值的具体算法如下 当TFn > THn时,进入步骤3-1 ; 当TFn彡THn时,进入步骤3-2 ;步骤3-1,利用公式& = Slri-TFn-THn计算第η次更新时溢出积累变量&的值; 步骤3-2,当Slri > O时,利用如下公式计算第η次更新时溢出积累变量&的值;
2.根据权利要求1所述的动态阈值DDoS被攻击地址检测方法,其特征在于步骤5中所述的公式中,正负号的选取依据如下原则计算第η次阈值时,若第η-1次的数据流量大于第η-2次的数据流量则取正,反之取负。
全文摘要
本发明涉及一种动态阈值DDoS被攻击地址检测方法,属于通信技术领域。本方法采集周期内采集到的数据流地址计算溢出积累变量。在实时数据流量大于阈值时,累计增加溢出积累变量的值直到溢出积累变量的值小于等于零,而实时数据流量小于阈值时的溢出积累变量的值置零。本方法根据数据溢出积累变量的值判断IP地址是否被攻击,并实时更新阈值,进而跟新数据信息,实时监测网络IP地址被攻击的状况。
文档编号H04L12/26GK102394868SQ201110309008
公开日2012年3月28日 申请日期2011年10月12日 优先权日2011年10月12日
发明者丁力, 孙知信, 宫婧, 金易琛 申请人:镇江金钛软件有限公司