CN102394868B - 一种动态阈值DDoS被攻击地址检测方法 - Google Patents
一种动态阈值DDoS被攻击地址检测方法 Download PDFInfo
- Publication number
- CN102394868B CN102394868B CN201110309008.2A CN201110309008A CN102394868B CN 102394868 B CN102394868 B CN 102394868B CN 201110309008 A CN201110309008 A CN 201110309008A CN 102394868 B CN102394868 B CN 102394868B
- Authority
- CN
- China
- Prior art keywords
- time
- address
- value
- data
- threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种动态阈值DDoS被攻击地址检测方法,属于通信技术领域。本方法采集周期内采集到的数据流地址计算溢出积累变量。在实时数据流量大于阈值时,累计增加溢出积累变量的值直到溢出积累变量的值小于等于零,而实时数据流量小于阈值时的溢出积累变量的值置零。本方法根据数据溢出积累变量的值判断IP地址是否被攻击,并实时更新阈值,进而跟新数据信息,实时监测网络IP地址被攻击的状况。
Description
技术领域
本发明涉及一种动态阈值DDoS被攻击地址检测方法,属于通信技术领域。
背景技术
针对可能存在的DDoS攻击进行防御是对数据流量进行监控。现有技术中有静态固定阈值DDoS被攻击地址检测技术和动态阈值DDoS检测技术。
静态固定阈值DDoS被攻击地址检测技术操作简单,易于部署,算法效率高,但是不适于流量较大的网络环境且缺乏灵活性,同时静态阈值不易确定,设置不当会导致检测效率和检测效果的降低。
动态阈值DDoS检测技术中阈值的计算有两种方法:区间均值阈值算法和EWMA算法。区间均值阈值算法将所有流量值度阈值的影响同等看待,赋以相同的权值,实际上这种作用是有差别的,一般近期的数值影响较远期的数值影响更大一些,在网络流量变化剧烈的环境中,按此方法产生的阈值与实际流量差距会很大,往往起不到检测作用。
现有的基于EWMA算法的阈值生成算法缺点是当网络长时间处于较低负荷状态下所计算的阈值较小,如果突然负荷变大会导致由于低阈值而产生误报。
另外,区间均值阈值算法和EWMA算法阈值的设定都只基于当前的网络流量,未对阈值留有增大的缓冲区间和防抖动算法以适应正常通信时的通信量猝发性增长,也未设定阈值的上限值。
发明内容
本发明所要解决的技术问题是针对上述背景技术的不足,提供了一种动态阈值DDoS被攻击地址检测方法。
本发明为实现上述发明目的采用如下技术方案:
一种动态阈值DDoS被攻击地址检测方法包括如下步骤:
步骤1,分析历史数据表得到阈值THn以及阈值数据表,其中:THn为第n次更新时所预测的阈值,n为大于等于1的自然数;
步骤2,在数据采集周期内采集数据包,对采集的数据包提取IP地址,统计实时数据流量TFn,TFn为第n次更新时实时数据流量;
步骤3,对比实时数据流量TFn与阈值THn,计算各个数据在第n次更新时溢出积累变量Sn的值,并更新溢出积累变量Sn值的存储表,溢出积累变量Sn值的具体算法如下:
当TFn>THn时,进入步骤3-1;
当TFn≤THn时,进入步骤3-2;
步骤3-1,利用公式Sn=Sn-1+TFn-THn计算第n次更新时溢出积累变量Sn的值;
步骤3-2,当Sn-1>0时,利用如下公式计算第n次更新时溢出积累变量Sn的值;
其中,S1=0;
当Sn-1≤0,Sn=0;
步骤4,设置溢出积累变量的最大值为Smax,比较第n次更新时溢出积累变量Sn的值与溢出积累变量的最大值Smax,仅当Sn>Smax时,Sn=Smax;
步骤5,检查各IP地址第n次更新时溢出积累变量Sn的值是否为0,
当Sn<0时,表示该IP地址已经被攻击结束;
当Sn>0时,将该IP地址列为遭到DDoS攻击的目标地址;
当Sn=0时,利用如下公式计算该IP地址阈值,更新阈值数据表,用IP地址未被攻击的流量数据覆盖历史数据表:
其中,α为数据更新系数,BT为缓冲流量,0≤α≤1,m∈n;
步骤6,进入下一数据采集周期,返回步骤2。
所述动态阈值DDoS被攻击地址检测方法中,步骤5中正负号的选取依据如下原则:
计算第n次阈值时,若第n-1次的数据流量大于第n-2次的数据流量则取正,反之取负。
本发明采用上述技术方案,具有以下有益效果:动态更新阈值,实施监测网络IP地址被攻击的状况。
附图说明
图1为动态阈值DDoS被攻击地址检测方法的流程图。
图2为BloomFilter算法地址映射的示意图。
具体实施方式
下面结合附图对发明的技术方案进行详细说明:
如图1所示,一种动态阈值DDoS被攻击地址检测方法,包括如下步骤:
步骤1,历史数据表存储m个历史数据,阈值数据表存储根据m个历史数据地址得到的阈值THn,THn为第n次更新时所预测的阈值,m为任意自然数,n为大于等于1的自然数。
步骤2,在数据收集周期t内采集数据包,按数据包IP地址映射到IP地址数据表,针对各个IP地址统计出实时数据流量为TFn,TFn为第n次更新时实时数据流量。
如图2所示:采用BloomFilter算法映射地址。在IPv4地址体系中,IP地址被分为4段,每段的值可取十进制的1到255。依照Bloom Filter算法设置一个由4个独立hash函数组成的4×256的表结构来跟踪时间段t内通过路由器到达不同目的地址的IP包数。当一个IP包进入路由器后,其目的地址被4个独立的hash函数(针对IP地址的4段分别映射)分别映射到各自不同的256个域中的某一个(对每一段的值进行映射),此时保存在被映射域(共4个,每个hash对应一个)中的变量aij(1≤i≤256,1≤j≤4)加1。
步骤3,对比实时数据流量TFn与阈值THn,计算各个数据在第n次更新时溢出积累变量Sn的值,并更新溢出积累变量Sn值的存储表,溢出积累变量Sn值的具体算法如下:
当TFn>THn时,进入步骤3-1;
当TFn≤THn时,进入步骤3-2;
步骤3-1,利用公式Sn=Sn-1+TFn-THn计算第n次更新时溢出积累变量Sn的值;
步骤3-2,当Sn-1>0时,利用如下公式计算第n次更新时溢出积累变量Sn的值;
其中,S1=0;
当Sn-1≤0,Sn=0;
步骤4,设置溢出积累变量的最大值为Smax,比较第n次更新时溢出积累变量Sn的值与溢出积累变量的最大值Smax,仅当Sn>Smax时,Sn=Smax;
步骤5,检查各IP地址第n次更新时溢出积累变量Sn的值是否为0,
当Sn<0时,表示该IP地址已经被攻击结束;
当Sn>0时,将该IP地址列为遭到DDoS攻击的目标地址;
当Sn=0时,利用如下公式计算Sn值等于0时所对应的IP地址阈值,更新阈值数据表,用IP地址未被攻击的流量数据覆盖历史数据表:
其中,α为数据更新系数,BT为缓冲流量,公式中正负号的选取依据如下原则:计算第n次阈值时,若第n-1次的数据流量大于第n-2次的数据流量则取正,反之取负。
步骤6,进入下一数据采集周期,返回步骤2。
Claims (2)
1.一种动态阈值DDoS被攻击地址检测方法,其特征在于包括如下步骤:
步骤1,分析历史数据表得到阈值THn以及阈值数据表,其中:THn为第n次更新时所预测的阈值,n为大于等于1的自然数;
步骤2,在数据采集周期内采集数据包,对采集的数据包提取IP地址,统计实时数据流量TFn,TFn为第n次更新时实时数据流量;
步骤3,对比实时数据流量TFn与阈值THn,计算各个数据在第n次更新时溢出积累变量Sn的值,并更新溢出积累变量Sn值的存储表,溢出积累变量Sn值的具体算法如下:
当TFn>THn时,进入步骤3-1;
当TFn≤THn时,进入步骤3-2;
步骤3-1,利用公式Sn=Sn-1+TFn-THn计算第n次更新时溢出积累变量Sn的值;
步骤3-2,当Sn-1>0时,利用如下公式计算第n次更新时溢出积累变量Sn的值;
其中,S1=0;
当Sn-1≤0,Sn=0;
步骤4,设置溢出积累变量的最大值为Smax,比较第n次更新时溢出积累变量Sn的值与溢出积累变量的最大值Smax,仅当Sn>Smax时,Sn=Smax;
步骤5,检查各IP地址第n次更新时溢出积累变量Sn的值是否为0,
当Sn<0时,表示该IP地址已经被攻击结束;
当Sn>0时,将该IP地址列为遭到DDoS攻击的目标地址;
当Sn=0时,利用如下公式计算该IP地址阈值,更新阈值数据表,用IP地址未被攻击的流量数据覆盖历史数据表:
其中,α为数据更新系数,BT为缓冲流量,0≤α≤1,m∈n;
步骤6,进入下一数据采集周期,返回步骤2。
2.根据权利要求1所述的动态阈值DDoS被攻击地址检测方法,其特征在于步骤5中所述的公式中,正负号的选取依据如下原则:
计算第n次阈值时,若第n-1次的数据流量大于第n-2次的数据流量则取正,反之取负。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110309008.2A CN102394868B (zh) | 2011-10-12 | 2011-10-12 | 一种动态阈值DDoS被攻击地址检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110309008.2A CN102394868B (zh) | 2011-10-12 | 2011-10-12 | 一种动态阈值DDoS被攻击地址检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102394868A CN102394868A (zh) | 2012-03-28 |
CN102394868B true CN102394868B (zh) | 2014-05-07 |
Family
ID=45862077
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110309008.2A Expired - Fee Related CN102394868B (zh) | 2011-10-12 | 2011-10-12 | 一种动态阈值DDoS被攻击地址检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102394868B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103795590B (zh) * | 2013-12-30 | 2017-07-04 | 北京天融信软件有限公司 | 一种网络流量检测阈值的计算方法 |
CN108259426B (zh) * | 2016-12-29 | 2020-04-28 | 华为技术有限公司 | 一种DDoS攻击检测方法及设备 |
CN108810948B (zh) * | 2018-05-29 | 2021-03-19 | 每日互动股份有限公司 | 一种鉴别真实流量的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060531A (zh) * | 2007-05-17 | 2007-10-24 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
CN101378394A (zh) * | 2008-09-26 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测防御方法及网络设备 |
CN101547129A (zh) * | 2009-05-05 | 2009-09-30 | 中国科学院计算技术研究所 | 分布式拒绝服务攻击的检测方法及*** |
JP4654092B2 (ja) * | 2005-08-25 | 2011-03-16 | 日本電信電話株式会社 | Sipサーバにおける攻撃防御方法、システム及びプログラム |
-
2011
- 2011-10-12 CN CN201110309008.2A patent/CN102394868B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4654092B2 (ja) * | 2005-08-25 | 2011-03-16 | 日本電信電話株式会社 | Sipサーバにおける攻撃防御方法、システム及びプログラム |
CN101060531A (zh) * | 2007-05-17 | 2007-10-24 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
CN101378394A (zh) * | 2008-09-26 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测防御方法及网络设备 |
CN101547129A (zh) * | 2009-05-05 | 2009-09-30 | 中国科学院计算技术研究所 | 分布式拒绝服务攻击的检测方法及*** |
Non-Patent Citations (1)
Title |
---|
JP特许第4654092号B2 2011.03.16 |
Also Published As
Publication number | Publication date |
---|---|
CN102394868A (zh) | 2012-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102882881B (zh) | 针对dns服务的拒绝服务攻击的数据过滤方法 | |
CN111199279A (zh) | 一种警务行业云端边缘计算和人工智能融合方法及装置 | |
CN104102700A (zh) | 一种面向因特网不平衡应用流的分类方法 | |
Li et al. | HQTimer: a hybrid ${Q} $-Learning-Based timeout mechanism in software-defined networks | |
CN106612289A (zh) | 一种基于sdn的网络协同异常检测方法 | |
CN101355504A (zh) | 一种用户行为的确定方法和装置 | |
CN101155085A (zh) | 实时流量预测方法及装置和实时流量监测预警方法及装置 | |
CN102394868B (zh) | 一种动态阈值DDoS被攻击地址检测方法 | |
CN102088754A (zh) | 一种基于网络访问行为的无线局域网接入控制方法及*** | |
CN102316496A (zh) | 无线传感器网络中基于卡尔曼滤波的数据融合方法 | |
CN108183917A (zh) | 基于软件定义网络的DDoS攻击跨层协同检测方法 | |
CN105049298A (zh) | 一种云资源监控方法和*** | |
Zhao et al. | PLOFR: An online flow route framework for power saving and load balance in SDN | |
CN105187437A (zh) | 一种sdn网络拒绝服务攻击的集中式检测*** | |
CN102883352A (zh) | 基于话务建模与话务预测的gsm小区参数优化方法 | |
CN106817340A (zh) | 预警决策的方法、节点及子*** | |
CN103916478B (zh) | 基于分布式***的流式构建数据方的方法和装置 | |
CN102801548A (zh) | 一种智能预警的方法、装置及信息*** | |
CN1658576A (zh) | 一种大型网站数据流的检测与防御方法 | |
CN104426796A (zh) | 一种路由器的拥塞避免方法及装置 | |
CN104852831B (zh) | 一种分层网络rtt的预测方法 | |
CN102592038B (zh) | 基于ds推理的无线传感器网络多目标跟踪数据关联方法 | |
CN103269337B (zh) | 数据处理方法及装置 | |
CN103699546A (zh) | 一种生成网吧ip数据库的方法及装置 | |
CN106603341A (zh) | 一种cdn质量自动评测方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140507 Termination date: 20171012 |
|
CF01 | Termination of patent right due to non-payment of annual fee |