一种防御ddos流量攻击检测的方法技术

本发明专利技术涉及计算机网络技术领域，且公开了一种防御ddos流量攻击检测的方法，包括以下步骤：S101：接收应用流量请求，并监视来访IP的访问请求；S102：判断IP地址是否在系统白名单中，如果是，则进入步骤S109直接转发请求,如果否，则进入步骤S103；本发明专利技术还提出了一种异常流量攻击检测处置的装置，包括依次连接的流量接收单元、静态过滤单元、动态监测过滤单元和处理单元。本发明专利技术通过对异常流量进行动态过滤，通过查表的动态过滤方式能够快速甄别出异常流量，而通过流量数值与流量TOP N动态过滤表中相应的流量模板数值的比较运算判定异常的方法提高了检测异常流量的准确率，确保将异常攻击从正常访问行为中甄别出来。击从正常访问行为中甄别出来。击从正常访问行为中甄别出来。

【技术实现步骤摘要】
一种防御ddos流量攻击检测的方法


[0001]本专利技术涉及计算机网络
，具体为一种防御ddos流量攻击检测的方法。

技术介绍

[0002]随着互联网技术的快速发展，利用互联网进行攻击的行为也越来越多，其中，分布式拒绝服务(ddos)攻击就是一种常见的攻击手段，其共同的特征就是利用协议漏洞，并通过很多伪造的“僵尸主机”向受害目标主机发送大量看似合法的网络包，从而导致网络阻塞或目标服务器资源耗尽而导致服务不可用，分布式拒绝服务(ddos)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动ddos攻击，从而成倍地提高拒绝服务攻击的威力。
[0003]分布式拒绝服务攻击采取的攻击手段就是分布式的，其攻击的模式改变了传统的点对点的攻击模式，使攻击方式出现了没有规律的情况，而且在进行攻击的时候，通常使用的也是常见的协议和服务，这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候，攻击数据包都是经过伪装的，在源IP地址上也是进行伪造的，这样就很难对攻击进行地址的确定，在查找方面也是很难的，这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的，而且现有的检测方法检测异常流量的准确率低，识别精度不够好、处理速度慢，而且复杂度较高，不能满足人们的要求。

技术实现思路

[0004]（一）解决的技术问题针对现有技术的不足，本专利技术提供了一种防御ddos流量攻击检测的方法，解决了现有的检测方法检测异常流量的准确率低，识别精度不够好、处理速度慢，而且复杂度较高，不能满足人们的要求的问题。
[0005]（二）技术方案为实现上述目的，本专利技术提供如下技术方案：一种防御ddos流量攻击检测的方法，包括以下步骤：S101：接收应用流量请求，并监视来访IP的访问请求；S102：判断IP地址是否在系统白名单中，如果是，则进入步骤S109直接转发请求,如果否，则进入步骤S103；S103：判断IP地址是否在系统黑名单中，如果是，则进入步骤S108直接丢弃该流量,如果否，则进入步骤S104；S104：判断源地址IP是否在流量TOP N动态过滤表的TOP N排序中,S4中首先根据预设的时间分段模式获得当前时间所属时间节点，采用24*m小时作为当前的周期，计算当前时间所属时间段，根据实际应用场景需要变换m的数值加大这个周期长度，采用当前时间/24*m来获得来访IP所属时间节点k，然后自动加载当前流量TOP N动态过滤表，流量TOP N动态过滤表可以通过链表来实现；
S105：如果IP地址在流量TOP N动态过滤表排序中，则根据预先设定的时间窗口周期，根据当前流量采集的时间节点，检索到该地址该时间点对应编号的流量模板数值，将当前流量数值与流量模板数值作比较运算，根据是否超出了预设的阀值来判定该流量是否为异常流量，如果超出阀值，则进入步骤S108，如果未超过阀值，则进入步骤S107；S106：如果IP地址不在流量TOP N动态过滤表的排序中，则根据预先设定的时间窗口周期，根据该地址当前流量采集的时间点，从表中的流量平均模板EQ中检索到该时间点对应编号的流量模板数值，将当前流量数值与该流量模板数值作比较运算，根据是否超出了预设阀值β来判定该流量是否为异常流量，如果超出预设阀值β，则进入步骤S108，如果未超过，则进入步骤S107；S107：通过自学习算法更新该IP地址对应该时间节点的流量模板数值，并判定其流量为正常流量，转入步骤S109，通过自学习算法更新该IP地址对应该时间节点的流量模板数值的具体实现方法如下，第一步：模板初始化，流量模板数值通过类似极大似然估计的快速自学习得到，在每个固定的流量周期时间窗口内，对首个访问的正常流量根据各个对应的时间采样，其采样值作为一个初始化的流量模板，第二步：模板自学习，流量模板数值Mn(k)通过流量自适应反馈式极大似然估计算法得到，通过快速检索获得上一个时间周期当前时间点的流量模板数值Mn
‑
1(k)与前一个时间窗口周期获得的未经过处理的流量数值Xn
‑
1(k)，后者乘以异常判决结果因子b(k)(0/1)，再与前者作平均运算，运算结果作为新的流量模板数值，第三步：模板锁定，经过一段时间自学习后，可以由人为的参与锁定流量模型，不再进行学习；S108：若检测到属于异常流量，则判定当前为ddos攻击行为，过滤来访IP请求；S109：若检测到不属于异常流量，则转发来访IP请求。
[0006]作为本专利技术再进一步的方案，所述S104中流量TOP N动态过滤表内容包含了从1
……
N+M个有记录的流量排序最靠前的IP信息链表，按照历史流量从大到小依次排序，其中排序为n的一个链表的内容包括：IP地址xxx.xxx.xxx.xxx、历史访问流量统计xx、流量模板Rn＝(Mn(1)、Mn(2)、Mn(3)
……
Mn(k),流量模板为该表项的主要内容，如果将一个特定流量周期的时间分成K份，则Mn(k)表示时间点k上该IP地址在该时间段里历史流量的特征值，称作流量模板数值，这个值是由周期统计特性的历史流量最大期望值，计算方法由自学习算法来不断的动态更新,在实际应用中，应用流量的访问行为通常具有很强的周期性(天/周)，这是采用该算法的关键所在,此外，流量TOP N动态过滤表内容还包含了链表E，它的IP地址和历史访问累计数为空，其流量平均模板EQ＝(E(1)、E(2)、E(3)
……
E(k))中的每个节点的流量模板数值是所有非TOPN历史访问流量在该时间点的统计平均值，例如将一个特定流量周期的时间分成K份，则Ek表示时间点k内所有正常流量在该时间段的特征值，实际就是历史流量的求和平均值，这也是很多其它流量检测方法采用的最常见的方式,流量TOP N动态过滤表由自学习得到，也允许人工调整和修正流量TOP N动态过滤表，具备较大的人工操作空间。
[0007]进一步的，所述S104中自动加载当前流量TOP N动态过滤表，根据历史流量统计实时更新排列顺序，其中排列顺序的更新依据是IP地址的历史访问流量统计，前N个IP信息链表的具体排序说明如下：参考所有的IP地址历史访问流量统计，如果当前IP地址的历史访问流量统计数超过排序第N个的IP地址时，则将该IP地址的相关信息替换第N个IP信息链表
中，对应的第k个流量模板数值直接取流量平均模板EQ中第k个值Mn(k)＝E(k)，此外将第N个排序的原IP信息链表往下移一列，进入到由M个缓冲记录组成的潜在IP信息链表中，更新流量TOP N动态过滤表中链表对应的流量模板数值，具体说明如下：对每个来访的IP地址，当IP地址在流量排序前N+M个表中第n行，而且已经判定了该流量数值为正常流量，则将该流量数值R作为一个输入更新第n行对应时间点k的流量模板数值Mn(k)，方法由自学习算法来更新，当地址不在流量排序前N+M个表中，而且判定一条流量为普通正常流量，则将该流量作为一个输入值X(k)与流量平均模板对应时间点k的流量模板数值E(k)做平均运算，得到新的流量模板数值E本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防御ddos流量攻击检测的方法，其特征在于，包括以下步骤：S101：接收应用流量请求，并监视来访IP的访问请求；S102：判断IP地址是否在系统白名单中，如果是，则进入步骤S109直接转发请求,如果否，则进入步骤S103；S103：判断IP地址是否在系统黑名单中，如果是，则进入步骤S108直接丢弃该流量,如果否，则进入步骤S104；S104：判断源地址IP是否在流量TOP N动态过滤表的TOP N排序中,S4中首先根据预设的时间分段模式获得当前时间所属时间节点，采用24*m小时作为当前的周期，计算当前时间所属时间段，根据实际应用场景需要变换m的数值加大这个周期长度，采用当前时间/24*m来获得来访IP所属时间节点k，然后自动加载当前流量TOP N动态过滤表，流量TOP N动态过滤表可以通过链表来实现；S105：如果IP地址在流量TOP N动态过滤表排序中，则根据预先设定的时间窗口周期，根据当前流量采集的时间节点，检索到该地址该时间点对应编号的流量模板数值，将当前流量数值与流量模板数值作比较运算，根据是否超出了预设的阀值来判定该流量是否为异常流量，如果超出阀值，则进入步骤S108，如果未超过阀值，则进入步骤S107；S106：如果IP地址不在流量TOP N动态过滤表的排序中，则根据预先设定的时间窗口周期，根据该地址当前流量采集的时间点，从表中的流量平均模板EQ中检索到该时间点对应编号的流量模板数值，将当前流量数值与该流量模板数值作比较运算，根据是否超出了预设阀值β来判定该流量是否为异常流量，如果超出预设阀值β，则进入步骤S108，如果未超过，则进入步骤S107；S107：通过自学习算法更新该IP地址对应该时间节点的流量模板数值，并判定其流量为正常流量，转入步骤S109，通过自学习算法更新该IP地址对应该时间节点的流量模板数值的具体实现方法如下，第一步：模板初始化，流量模板数值通过类似极大似然估计的快速自学习得到，在每个固定的流量周期时间窗口内，对首个访问的正常流量根据各个对应的时间采样，其采样值作为一个初始化的流量模板，第二步：模板自学习，流量模板数值Mn(k)通过流量自适应反馈式极大似然估计算法得到，通过快速检索获得上一个时间周期当前时间点的流量模板数值Mn
‑
1(k)与前一个时间窗口周期获得的未经过处理的流量数值Xn
‑
1(k)，后者乘以异常判决结果因子b(k)(0/1)，再与前者作平均运算，运算结果作为新的流量模板数值，第三步：模板锁定，经过一段时间自学习后，可以由人为的参与锁定流量模型，不再进行学习；S108：若检测到属于异常流量，则判定当前为ddos攻击行为，过滤来访IP请求；S109：若检测到不属于异常流量，则转发来访IP请求。2.根据权利要求1所述的一种防御ddos流量攻击检测的方法，其特征在于，所述S104中流量TOP N动态过滤表内容包含了从1
……
N+M个有记录的流量排序最靠前的IP信息链表，按照历史流量从大到小依次排序，其中排序为n的一个链表的内容包括：IP地址xxx.xxx.xxx.xxx、历史访问流量统计xx、流量模板Rn＝(Mn(1)、Mn(2)、Mn(3)
……
Mn(k),流量模板为该表项的主要内容，如果将一个特定流量周期的时间分成K份，则Mn(k)表示时间点k上该IP地址在该时间段里历史流量的特征值，称作流量模板数值，这个值是由周期统计特性的历史流量最大期望值，计算方法由自学习算法来不断的动态更新,在实际应用中，应
用流量的访问行为通常具有很强的周期性(天/周)，这是采用该算法的关键所在,此外，流量TOP N动态过滤表内容还包含了链表E，它的IP地址和历史访问累计数为空，其流量平均模板EQ＝(E(1)、E(2)、E(3)
……
E(k))中的每个节点的流量模板数值是所有非TOPN历史访问流量在该时间点的统计平均值，例如将一个特定流量周期的时间分成K份，则Ek表示时间点k内所有正常流量在该时间段的特征值，实际就是历史流量的求和平均值，这也是很多其它流量检测方法采用的最常见的方式,流...

【专利技术属性】
技术研发人员：彭勇，
申请(专利权)人：江苏网擎信息技术有限公司，
类型：发明
国别省市：