CN102394868B - 一种动态阈值DDoS被攻击地址检测方法 - Google Patents

Abstract

本发明涉及一种动态阈值DDoS被攻击地址检测方法，属于通信技术领域。本方法采集周期内采集到的数据流地址计算溢出积累变量。在实时数据流量大于阈值时，累计增加溢出积累变量的值直到溢出积累变量的值小于等于零，而实时数据流量小于阈值时的溢出积累变量的值置零。本方法根据数据溢出积累变量的值判断IP地址是否被攻击，并实时更新阈值，进而跟新数据信息，实时监测网络IP地址被攻击的状况。

Description

一种动态阈值DDoS被攻击地址检测方法

技术领域

本发明涉及一种动态阈值DDoS被攻击地址检测方法，属于通信技术领域。

背景技术

针对可能存在的DDoS攻击进行防御是对数据流量进行监控。现有技术中有静态固定阈值DDoS被攻击地址检测技术和动态阈值DDoS检测技术。

静态固定阈值DDoS被攻击地址检测技术操作简单，易于部署，算法效率高，但是不适于流量较大的网络环境且缺乏灵活性，同时静态阈值不易确定，设置不当会导致检测效率和检测效果的降低。

动态阈值DDoS检测技术中阈值的计算有两种方法：区间均值阈值算法和EWMA算法。区间均值阈值算法将所有流量值度阈值的影响同等看待，赋以相同的权值，实际上这种作用是有差别的，一般近期的数值影响较远期的数值影响更大一些，在网络流量变化剧烈的环境中，按此方法产生的阈值与实际流量差距会很大，往往起不到检测作用。

现有的基于EWMA算法的阈值生成算法缺点是当网络长时间处于较低负荷状态下所计算的阈值较小，如果突然负荷变大会导致由于低阈值而产生误报。

另外，区间均值阈值算法和EWMA算法阈值的设定都只基于当前的网络流量，未对阈值留有增大的缓冲区间和防抖动算法以适应正常通信时的通信量猝发性增长，也未设定阈值的上限值。

发明内容

本发明所要解决的技术问题是针对上述背景技术的不足，提供了一种动态阈值DDoS被攻击地址检测方法。

本发明为实现上述发明目的采用如下技术方案：

一种动态阈值DDoS被攻击地址检测方法包括如下步骤：

步骤1，分析历史数据表得到阈值TH_n以及阈值数据表，其中：TH_n为第n次更新时所预测的阈值，n为大于等于1的自然数；

步骤2，在数据采集周期内采集数据包，对采集的数据包提取IP地址，统计实时数据流量TF_n，TF_n为第n次更新时实时数据流量；

步骤3，对比实时数据流量TF_n与阈值TH_n，计算各个数据在第n次更新时溢出积累变量S_n的值，并更新溢出积累变量S_n值的存储表，溢出积累变量S_n值的具体算法如下：

当TF_n＞TH_n时，进入步骤3-1；

当TF_n≤TH_n时，进入步骤3-2；

步骤3-1，利用公式S_n＝S_n-1+TF_n-TH_n计算第n次更新时溢出积累变量S_n的值；

步骤3-2，当S_n-1＞0时，利用如下公式计算第n次更新时溢出积累变量S_n的值；

$S_n=\left\{\begin{array}{cc}{S}_{n-1}\&divide;2,& ({\mathrm{TH}}_n-{\mathrm{TF}}_n)<(S_{n-1}\&divide;2)\\ S_{n-1}+{\mathrm{TF}}_n-{\mathrm{TH}}_n,& ({\mathrm{TH}}_n-{\mathrm{TF}}_n)>(S_{n-1}\&divide;2)\end{array}\right.$

其中，S₁＝0；

当S_n-1≤0，S_n＝0；

步骤4，设置溢出积累变量的最大值为S_max，比较第n次更新时溢出积累变量S_n的值与溢出积累变量的最大值S_max，仅当S_n＞S_max时，S_n＝S_max；

步骤5，检查各IP地址第n次更新时溢出积累变量S_n的值是否为0，

当S_n＜0时，表示该IP地址已经被攻击结束；

当S_n＞0时，将该IP地址列为遭到DDoS攻击的目标地址；

当S_n＝0时，利用如下公式计算该IP地址阈值，更新阈值数据表，用IP地址未被攻击的流量数据覆盖历史数据表：

${\mathrm{TH}}_n=\mathrm{\&alpha;}{\mathrm{TH}}_n+(1-\mathrm{\&alpha;}){\mathrm{TF}}_n\&PlusMinus;\sqrt{\underset{i=n-m+1}{\overset{n-1}{\mathrm{\&Sigma;}}}{({\mathrm{TH}}_i-{\mathrm{TH}}_{i-1})}^2}+\mathrm{BT};$

其中，α为数据更新系数，BT为缓冲流量，0≤α≤1，m∈n；

步骤6，进入下一数据采集周期，返回步骤2。

所述动态阈值DDoS被攻击地址检测方法中，步骤5中正负号的选取依据如下原则：

计算第n次阈值时，若第n-1次的数据流量大于第n-2次的数据流量则取正，反之取负。

本发明采用上述技术方案，具有以下有益效果：动态更新阈值，实施监测网络IP地址被攻击的状况。

附图说明

图1为动态阈值DDoS被攻击地址检测方法的流程图。

图2为BloomFilter算法地址映射的示意图。

具体实施方式

下面结合附图对发明的技术方案进行详细说明：

如图1所示，一种动态阈值DDoS被攻击地址检测方法，包括如下步骤：

步骤1，历史数据表存储m个历史数据，阈值数据表存储根据m个历史数据地址得到的阈值TH_n，TH_n为第n次更新时所预测的阈值，m为任意自然数，n为大于等于1的自然数。

步骤2，在数据收集周期t内采集数据包，按数据包IP地址映射到IP地址数据表，针对各个IP地址统计出实时数据流量为TF_n，TF_n为第n次更新时实时数据流量。

如图2所示：采用BloomFilter算法映射地址。在IPv4地址体系中，IP地址被分为4段，每段的值可取十进制的1到255。依照Bloom Filter算法设置一个由4个独立hash函数组成的4×256的表结构来跟踪时间段t内通过路由器到达不同目的地址的IP包数。当一个IP包进入路由器后，其目的地址被4个独立的hash函数(针对IP地址的4段分别映射)分别映射到各自不同的256个域中的某一个(对每一段的值进行映射)，此时保存在被映射域(共4个，每个hash对应一个)中的变量a_ij(1≤i≤256，1≤j≤4)加1。

步骤3，对比实时数据流量TF_n与阈值TH_n，计算各个数据在第n次更新时溢出积累变量S_n的值，并更新溢出积累变量S_n值的存储表，溢出积累变量S_n值的具体算法如下：

当TF_n＞TH_n时，进入步骤3-1；

当TF_n≤TH_n时，进入步骤3-2；

步骤3-1，利用公式S_n＝S_n-1+TF_n-TH_n计算第n次更新时溢出积累变量S_n的值；

步骤3-2，当S_n-1＞0时，利用如下公式计算第n次更新时溢出积累变量S_n的值；

$S_n=\left\{\begin{array}{cc}{S}_{n-1}\&divide;2,& ({\mathrm{TH}}_n-{\mathrm{TF}}_n)<(S_{n-1}\&divide;2)\\ S_{n-1}+{\mathrm{TF}}_n-{\mathrm{TH}}_n,& ({\mathrm{TH}}_n-{\mathrm{TF}}_n)>(S_{n-1}\&divide;2)\end{array}\right.,$

其中，S₁＝0；

当S_n-1≤0，S_n＝0；

步骤4，设置溢出积累变量的最大值为S_max，比较第n次更新时溢出积累变量S_n的值与溢出积累变量的最大值S_max，仅当S_n＞S_max时，S_n＝S_max；

步骤5，检查各IP地址第n次更新时溢出积累变量S_n的值是否为0，

当S_n＜0时，表示该IP地址已经被攻击结束；

当S_n＞0时，将该IP地址列为遭到DDoS攻击的目标地址；

当S_n＝0时，利用如下公式计算S_n值等于0时所对应的IP地址阈值，更新阈值数据表，用IP地址未被攻击的流量数据覆盖历史数据表：

${\mathrm{TH}}_n=\mathrm{\&alpha;}{\mathrm{TH}}_n+(1-\mathrm{\&alpha;}){\mathrm{TF}}_n\&PlusMinus;\sqrt{\underset{i=n-m+1}{\overset{n-1}{\mathrm{\&Sigma;}}}{({\mathrm{TH}}_i-{\mathrm{TH}}_{i-1})}^2}+\mathrm{BT}(0\&le;\mathrm{\&alpha;}\&le;1,m\&Element;N);$

其中，α为数据更新系数，BT为缓冲流量，公式中正负号的选取依据如下原则：计算第n次阈值时，若第n-1次的数据流量大于第n-2次的数据流量则取正，反之取负。

步骤6，进入下一数据采集周期，返回步骤2。

Claims (2)

1.一种动态阈值DDoS被攻击地址检测方法，其特征在于包括如下步骤：

步骤1，分析历史数据表得到阈值TH_n以及阈值数据表，其中：TH_n为第n次更新时所预测的阈值，n为大于等于1的自然数；

步骤2，在数据采集周期内采集数据包，对采集的数据包提取IP地址，统计实时数据流量TF_n，TF_n为第n次更新时实时数据流量；

步骤3，对比实时数据流量TF_n与阈值TH_n，计算各个数据在第n次更新时溢出积累变量S_n的值，并更新溢出积累变量S_n值的存储表，溢出积累变量S_n值的具体算法如下：

当TF_n＞TH_n时，进入步骤3-1；

当TF_n≤TH_n时，进入步骤3-2；

步骤3-1，利用公式S_n＝S_n-1+TF_n-TH_n计算第n次更新时溢出积累变量S_n的值；

步骤3-2，当S_n-1＞0时，利用如下公式计算第n次更新时溢出积累变量S_n的值；

$S_n=\left\{\begin{array}{cc}{S}_{n-1}\&divide;2,& ({\mathrm{TH}}_n-{\mathrm{TF}}_n)<(S_{n-1}\&divide;2)\\ S_{n-1}+{\mathrm{TF}}_n-{\mathrm{TH}}_n,& ({\mathrm{TH}}_n-{\mathrm{TF}}_n)>(S_{n-1}\&divide;2)\end{array}\right.$

其中，S₁＝0；

当S_n-1≤0，S_n＝0；

步骤4，设置溢出积累变量的最大值为S_max，比较第n次更新时溢出积累变量S_n的值与溢出积累变量的最大值S_max，仅当S_n＞S_max时，S_n＝S_max；

步骤5，检查各IP地址第n次更新时溢出积累变量S_n的值是否为0，

当S_n＜0时，表示该IP地址已经被攻击结束；

当S_n＞0时，将该IP地址列为遭到DDoS攻击的目标地址；

当S_n＝0时，利用如下公式计算该IP地址阈值，更新阈值数据表，用IP地址未被攻击的流量数据覆盖历史数据表：

${\mathrm{TH}}_n=\mathrm{\&alpha;}{\mathrm{TH}}_n+(1-\mathrm{\&alpha;}){\mathrm{TF}}_n\&PlusMinus;\sqrt{\underset{i=n-m+1}{\overset{n-1}{\mathrm{\&Sigma;}}}{({\mathrm{TH}}_i-{\mathrm{TH}}_{i-1})}^2}+\mathrm{BT};$

其中，α为数据更新系数，BT为缓冲流量，0≤α≤1，m∈n；

步骤6，进入下一数据采集周期，返回步骤2。

2.根据权利要求1所述的动态阈值DDoS被攻击地址检测方法，其特征在于步骤5中所述的公式中，正负号的选取依据如下原则：

计算第n次阈值时，若第n-1次的数据流量大于第n-2次的数据流量则取正，反之取负。

Images