一种DOS/DDOS攻击检测方法

摘要

本发明公开了一种DOS/DDOS攻击检测方法。本发明的方法首先从网络流数据中提取需要的流量特征参数，通过分析流量特征参数确定异常时间点并构建历史时间窗，然后找出异常时间点流量最大的前N个目的IP，通过分析历史时间窗内包含各选出目的IP的子流确定异常目的IP，最后确认攻击并识别出异常流。本发明的方法有别于传统的逐包分析的方法，适应了骨干网络流量巨大的特点，能满足骨干网络异常检测的实时性要求，能较为精确的检测出骨干网络中的DoS/DDoS攻击，能识别出骨干网络中的攻击流，从而使网络管理者能够及时地在路由器进行设置，过滤掉攻击者发送的流量，防止其对目的主机造成危害。

主权项

一种DOS/DDOS攻击检测方法，其特征在于，包括如下步骤：S1.从网络设备中获取网络中的流数据，从流数据中提取出流量特征参数；所述的流量特征参数具体为：流数量，包数量，字节数，源/目的IP，源/目的自治域，目的端口号和服务率；S2.对步骤S1提取的流量特征参数进行处理，确定异常时间点，根据异常时间点进行扩展，形成历史时间窗；S3.找出在异常时间点流量最大的前N个目的IP，对找出的每一目的IP，根据流量特征参数在异常时间点的变化与其在历史时间窗内的平均波动之比是否超过训练得到的阀值来判定该目的IP是否为异常目的IP；所述服务率用于反映节点响应用户访问的能力，具体定义为：某IP在某时刻t的服务率＝该IP在时刻t发送的数据包数/该IP在时刻t接收的数据包数；S4.找出异常目的IP在历史时间窗内对应的源IP地址并统计这些源IP到该目的IP的流量大小，若某个源IP到该目的IP的流量变化高于给定阀值Ω₁，则标记为疑似DoS攻击，若存在多个源IP到该目的IP的流量变化之和高于给定阀值Ω₂，则标记为疑似DDoS攻击；然后判断标记的疑似DoS攻击或疑似DDoS攻击是否为DoS攻击或DDoS攻击；步骤S3所述的判断目的IP是否为异常目的IP的具体过程如下：S31.设历史时间窗长度为k，获取该目的IP在历史时间窗内各时刻的流量参数值A_i,(i＝1,2,…k)；S32.计算该目的IP的各项流量参数在历史时间窗内的均值S33.计算该目的IP的各项流量参数在历史时间窗内的平均波动A_var，计算公式如下：$A_{\mathrm{var}}=\underset{i=1}{\overset{k}{\Sigma }}|A_i-\bar{A}|/k$S34.获取该目的IP在异常时刻的流量参数值A，计算当前波动与平均波动的比值rate，公式如下：$\mathrm{rate}=|A-\bar{A}|/A_{\mathrm{var}};$S35.将rate与预设定的门限值进行比较，若超过门限值，则判定为异常。