DDoS攻击的检测方法、系统、设备及介质

本申请涉及网络安全，尤其涉及ddos攻击的检测方法、系统、设备及介质。

背景技术：

1、由于边缘服务器有限的计算能力和不完善的安全系统，边缘计算容易受到网络攻击，特别是分布式拒绝服务(ddos)攻击。在ddos攻击期间，黑客操作被恶意软件感染的设备作为ddos攻击者，通过发送过多恶意请求来耗尽目标服务器的计算和通信资源，遭遇ddos攻击的边缘服务器会失去服务能力。为了预防ddos攻击，边缘服务器针对ddos攻击者的行为特征引入一套检测指标，然后监控访问自己的用户们的检测指标，并设置检测阈值来检测其中的ddos攻击者。在这种情况下，边缘服务器可以识别并拒绝来自检测到的ddos攻击者的请求。

2、针对上述状况，常见的做法一是在仿真实验中比较不同检测阈值设置下的检测性能，选取检测性能最优时的一组检测阈值作为边缘服务器设置的固定检测阈值；二是边缘服务器周期性地统计所有访问用户的检测指标的均值和方差，并定期计算和更新检测阈值。然而，阈值设置方法依赖于仿真或统计结果，当系统设置发生变化时，这些方法很难及时更新检测阈值以保证检测性能。

技术实现思路

1、基于上述技术问题，本申请旨在提供ddos攻击的检测方法、系统、设备及介质，以至少解决上述问题之一。

2、本申请第一方面提供了一种ddos攻击的检测方法，应用于边缘服务器系统，所述边缘服务器系统包括服务器层和用户层，所述服务器层包括多个边缘服务器，所述用户层包括多个用户；

3、所述方法包括：

4、响应于所述多个用户的请求，统计所述多个用户的检测指标；

5、获取历史ddos攻击记录，统计所述历史ddos攻击记录所满足的概率分布，并计算与所述概率分布对应的系统参数；

6、基于所述系统参数构建目标函数，并基于所述目标函数计算检测阈值；

7、针对每一个用户，将所述每一个用户的检测指标逐个与其对应的检测阈值进行比较，若某一用户的检测指标均大于所述检测指标对应的检测阈值，则确定该用户为ddos攻击者。

8、在本申请的一些实施例中，所述统计所述多个用户的检测指标，包括：

9、统计所述多个用户中每一个用户在预设时间内产生并发送至同一边缘服务器的所有请求数作为第一检测指标，并统计所述同一边缘服务器处理n个请求所用的时间作为第三检测指标，其中，n大于等于1且小于等于所述所有请求数；

10、统计所述多个用户中每一个用户在预设时间内产生的总请求数，并计算所述第一检测指标与所述总请求数的比值作为第二检测指标。

11、在本申请的一些实施例中，所述基于所述系统参数构建目标函数，包括：

12、根据所述系统参数分别求解漏警概率和虚警概率；

13、基于所述漏警概率和所述虚警概率构建目标函数。

14、在本申请的一些实施例中，所述基于所述目标函数计算检测阈值，包括：

15、计算与所述第三检测指标对应的检测阈值；

16、计算与所述第一检测指标对应的检测阈值；

17、将与所述第三检测指标对应的检测阈值和与所述第一检测指标对应的检测阈值代入所述目标函数计算与所述第二检测指标对应的检测阈值。

18、在本申请的一些实施例中，所述计算与所述第三检测指标对应的检测阈值，包括：

19、根据同一边缘服务器处理所述正常用户和所述ddos攻击者发送请求的平均速率，及第二预设闭式解公式计算与所述第三检测指标对应的检测阈值。

20、在本申请的一些实施例中，所述计算与所述第一检测指标对应的检测阈值，包括：

21、根据所述正常用户和所述ddos攻击者在预设时间内产生的平均请求数，所述正常用户和所述ddos攻击者在预设时间内产生的总请求数发送至同一边缘服务器的概率，及第一预设闭式解公式计算与所述第一检测指标对应的检测阈值。

22、在本申请的一些实施例中，所述将与所述第三检测指标对应的检测阈值和与所述第一检测指标对应的检测阈值代入所述目标函数计算与所述第二检测指标对应的检测阈值，包括：

23、将与所述第三检测指标对应的检测阈值和与所述第一检测指标对应的检测阈值代入所述目标函数，且最小化目标函数；

24、使用模拟退火法在最小化目标函数过程中更新变量值，以得到最优解，作为与所述第二检测指标对应的检测阈值。

25、在本申请的一些实施例中，在所述确定该用户为ddos攻击者之后，还包括：

26、封锁所述ddos攻击者的ip地址，或限制所述ddos攻击者的ip地址的最大连接数，和/或进行系统升级。

27、本申请第二方面提供了一种边缘服务器系统，所述系统包括：

28、统计模块，被配置为响应于所述多个用户的请求，统计所述多个用户的检测指标；

29、计算模块，被配置为获取历史ddos攻击记录，统计所述历史ddos攻击记录所满足的概率分布，并计算与所述概率分布对应的系统参数；

30、构建模块，被配置为基于所述系统参数构建目标函数，并基于所述目标函数计算检测阈值；

31、确定模块，被配置为针对每一个用户，将所述每一个用户的检测指标逐个与其对应的检测阈值进行比较，若某一用户的检测指标均大于所述检测指标对应的检测阈值，则确定该用户为ddos攻击者。

32、本申请第三方面提供了一种电子设备，包括存储器和处理器，存储器中存储有计算机可读指令，计算机可读指令被处理器执行时，使得处理器执行本申请各实施例中所述的ddos攻击的检测方法。

33、本申请第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现本申请各实施例中所述的ddos攻击的检测方法。

34、本申请实施例中提供的技术方案，至少具有如下技术效果或优点：

35、本申请各实施例中的所述ddos攻击的检测方法通过使用漏警概率和虚警概率表示ddos攻击的检测性能并得出漏警概率、虚警概率、检测阈值的函数表达式，从而揭示了检测阈值和检测性能之间的数学关系；通过求解最小化漏警概率和最小化虚警概率的最优检测阈值的闭式解，提升了边缘计算中ddos检测的准确性和鲁棒性。

36、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

技术特征：

1.一种ddos攻击的检测方法，其特征在于，应用于边缘服务器系统，所述边缘服务器系统包括服务器层和用户层，所述服务器层包括多个边缘服务器，所述用户层包括多个用户；

2.根据权利要求1所述的ddos攻击的检测方法，其特征在于，所述统计所述多个用户的检测指标，包括：

3.根据权利要求1所述的ddos攻击的检测方法，其特征在于，所述基于所述系统参数构建目标函数，包括：

4.根据权利要求2所述的ddos攻击的检测方法，其特征在于，所述基于所述目标函数计算检测阈值，包括：

5.根据权利要求4所述的ddos攻击的检测方法，其特征在于，所述计算与所述第三检测指标对应的检测阈值，包括：

6.根据权利要求5所述的ddos攻击的检测方法，其特征在于，所述计算与所述第一检测指标对应的检测阈值，包括：

7.根据权利要求4所述的ddos攻击的检测方法，其特征在于，所述将与所述第三检测指标对应的检测阈值和与所述第一检测指标对应的检测阈值代入所述目标函数计算与所述第二检测指标对应的检测阈值，包括：

8.根据权利要求1-7任意一项所述的ddos攻击的检测方法，其特征在于，在所述确定该用户为ddos攻击者之后，还包括：

9.一种边缘服务器系统，其特征在于，所述系统包括：

10.一种电子设备，包括存储器和处理器，其特征在于，存储器中存储有计算机可读指令，计算机可读指令被处理器执行时，使得处理器执行如权利要求1-8任意一项所述的ddos攻击的检测方法。

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1-8任意一项所述的ddos攻击的检测方法。

技术总结
本申请涉及DDoS攻击的检测方法、系统、设备及介质。应用于边缘服务器系统，边缘服务器系统包括服务器层和用户层；所述方法包括：响应于用户层中多个用户的请求，统计多个用户的检测指标，获取历史DDoS攻击记录，统计历史DDoS攻击记录所满足的概率分布，并计算与概率分布对应的系统参数；基于系统参数构建目标函数，并基于目标函数计算检测阈值；针对每一个用户，将每一个用户的检测指标逐个与其对应的检测阈值进行比较，若某一用户的检测指标均大于检测指标对应的检测阈值，则确定该用户为DDoS攻击者。本申请通过求解最小化漏警概率和最小化虚警概率的最优检测阈值的闭式解，提升了边缘计算中DDoS检测的准确性和鲁棒性。

技术研发人员：宋令阳,徐卓成,邸博雅
受保护的技术使用者：北京大学深圳研究生院
技术研发日：
技术公布日：2024/4/17