【技术实现步骤摘要】
一种防御ddos流量攻击检测的方法
[0001]本专利技术涉及计算机网络
,具体为一种防御ddos流量攻击检测的方法。
技术介绍
[0002]随着互联网技术的快速发展,利用互联网进行攻击的行为也越来越多,其中,分布式拒绝服务(ddos)攻击就是一种常见的攻击手段,其共同的特征就是利用协议漏洞,并通过很多伪造的“僵尸主机”向受害目标主机发送大量看似合法的网络包,从而导致网络阻塞或目标服务器资源耗尽而导致服务不可用,分布式拒绝服务(ddos)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动ddos攻击,从而成倍地提高拒绝服务攻击的威力。
[0003]分布式拒绝服务攻击采取的攻击手段就是分布式的,其攻击的模式改变了传统的点对点的攻击模式,使攻击方式出现了没有规律的情况,而且在进行攻击的时候,通常使用的也是常见的协议和服务,这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候,攻击数据包都是经过伪装的,在源IP地址上也是进行伪造的,这样就很难对攻击进行地址的确定,在查找方面也是很难的,这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的,而且现有的检测方法检测异常流量的准确率低,识别精度不够好、处理速度慢,而且复杂度较高,不能满足人们的要求。
技术实现思路
[0004](一)解决的技术问题针对现有技术的不足,本专利技术提供了一种防御ddos流量攻击检测的方法,解决了现有的检测方法检测异常流量的准确率低,识别精度不够好、处理速度慢,而且复杂度较 ...
【技术保护点】
【技术特征摘要】
1.一种防御ddos流量攻击检测的方法,其特征在于,包括以下步骤:S101:接收应用流量请求,并监视来访IP的访问请求;S102:判断IP地址是否在系统白名单中,如果是,则进入步骤S109直接转发请求,如果否,则进入步骤S103;S103:判断IP地址是否在系统黑名单中,如果是,则进入步骤S108直接丢弃该流量,如果否,则进入步骤S104;S104:判断源地址IP是否在流量TOP N动态过滤表的TOP N排序中,S4中首先根据预设的时间分段模式获得当前时间所属时间节点,采用24*m小时作为当前的周期,计算当前时间所属时间段,根据实际应用场景需要变换m的数值加大这个周期长度,采用当前时间/24*m来获得来访IP所属时间节点k,然后自动加载当前流量TOP N动态过滤表,流量TOP N动态过滤表可以通过链表来实现;S105:如果IP地址在流量TOP N动态过滤表排序中,则根据预先设定的时间窗口周期,根据当前流量采集的时间节点,检索到该地址该时间点对应编号的流量模板数值,将当前流量数值与流量模板数值作比较运算,根据是否超出了预设的阀值来判定该流量是否为异常流量,如果超出阀值,则进入步骤S108,如果未超过阀值,则进入步骤S107;S106:如果IP地址不在流量TOP N动态过滤表的排序中,则根据预先设定的时间窗口周期,根据该地址当前流量采集的时间点,从表中的流量平均模板EQ中检索到该时间点对应编号的流量模板数值,将当前流量数值与该流量模板数值作比较运算,根据是否超出了预设阀值β来判定该流量是否为异常流量,如果超出预设阀值β,则进入步骤S108,如果未超过,则进入步骤S107;S107:通过自学习算法更新该IP地址对应该时间节点的流量模板数值,并判定其流量为正常流量,转入步骤S109,通过自学习算法更新该IP地址对应该时间节点的流量模板数值的具体实现方法如下,第一步:模板初始化,流量模板数值通过类似极大似然估计的快速自学习得到,在每个固定的流量周期时间窗口内,对首个访问的正常流量根据各个对应的时间采样,其采样值作为一个初始化的流量模板,第二步:模板自学习,流量模板数值Mn(k)通过流量自适应反馈式极大似然估计算法得到,通过快速检索获得上一个时间周期当前时间点的流量模板数值Mn
‑
1(k)与前一个时间窗口周期获得的未经过处理的流量数值Xn
‑
1(k),后者乘以异常判决结果因子b(k)(0/1),再与前者作平均运算,运算结果作为新的流量模板数值,第三步:模板锁定,经过一段时间自学习后,可以由人为的参与锁定流量模型,不再进行学习;S108:若检测到属于异常流量,则判定当前为ddos攻击行为,过滤来访IP请求;S109:若检测到不属于异常流量,则转发来访IP请求。2.根据权利要求1所述的一种防御ddos流量攻击检测的方法,其特征在于,所述S104中流量TOP N动态过滤表内容包含了从1
……
N+M个有记录的流量排序最靠前的IP信息链表,按照历史流量从大到小依次排序,其中排序为n的一个链表的内容包括:IP地址xxx.xxx.xxx.xxx、历史访问流量统计xx、流量模板Rn=(Mn(1)、Mn(2)、Mn(3)
……
Mn(k),流量模板为该表项的主要内容,如果将一个特定流量周期的时间分成K份,则Mn(k)表示时间点k上该IP地址在该时间段里历史流量的特征值,称作流量模板数值,这个值是由周期统计特性的历史流量最大期望值,计算方法由自学习算法来不断的动态更新,在实际应用中,应
用流量的访问行为通常具有很强的周期性(天/周),这是采用该算法的关键所在,此外,流量TOP N动态过滤表内容还包含了链表E,它的IP地址和历史访问累计数为空,其流量平均模板EQ=(E(1)、E(2)、E(3)
……
E(k))中的每个节点的流量模板数值是所有非TOPN历史访问流量在该时间点的统计平均值,例如将一个特定流量周期的时间分成K份,则Ek表示时间点k内所有正常流量在该时间段的特征值,实际就是历史流量的求和平均值,这也是很多其它流量检测方法采用的最常见的方式,流...
【专利技术属性】
技术研发人员:彭勇,
申请(专利权)人:江苏网擎信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。