【技术实现步骤摘要】
本专利技术涉及计算机,特别是涉及一种ddos攻击检测方法、装置、芯片及终端。
技术介绍
1、sdn(software-defined networking,软件定义网络)网络架构是一种革新性的网络设计范式,其特点在于将网络控制平面与数据转发平面进行解耦,通过集中的控制器对整个网络进行动态管理和配置。sdn采用了开放的标准接口,使网络设备能够通过软件编程来实现灵活、可定制的网络行为,因此,在防护ddos(distributed denial of service,分布式拒绝服务)攻击时,其通常使用实时监测网络流量,并提供检测异常流量的方案,及时发现网络流量异常情况并处理。但是仍存在以下缺陷:
2、1.使用静态阈值实现异常流量的检测,从而正常流量的突发也可能触发阈值,因此基于静态阈值的简单检测容易产生误报。
3、2.基于机器学习的ddos检测需要大量流量数据训练,而训练数据集的获取及标注都面临困难。真实的ddos攻击流量数据难以获取,而通过仿真获得的训练数据又难以反映真实场景下的复杂攻击特征。同时,机器学习或者深度学习的检测方法也面临着高时间和资源消耗以及在处理未见过的攻击类型时可能出现的泛化问题,这些因素制约了当前机器学习算法在ddos检测上的应用。
技术实现思路
1、基于此,本专利技术提供一种ddos攻击检测方法、装置、芯片及终端,可以解决现有技术中使用静态阈值的ddos攻击防护方式,无法应对正常流量的突发使得误报率高,依赖机器学习的ddos攻击防护方式实现
2、第一方面,提供一种ddos攻击检测方法,包括:
3、持续监测数据包进入消息,按照预先设置的时间窗口对进入的数据包进行数据信息采集;
4、任一个时间窗口内有数据包进入时,提取并存储时间窗口内进入的数据包的数据信息,所述数据信息包括数据包大小、目标地址和协议类型;所述数据包大小和目标地址用于计算比率属性,所述协议类型用于计算统计属性;
5、对于当前时间窗口,根据当前时间窗口的数据信息计算当前时间窗口的比率属性观测值和当前时间窗口的统计属性观测值,获得当前时间窗口的实时流量特征;
6、对于下一时间窗口,基于当前时间窗口的实时流量特征,通过指数平滑算法预测下一时间窗口的比率属性预测值和下一时间窗口的统计属性预测值,获得下一时间窗口的预测流量特征;
7、当根据下一时间窗口的数据信息计算下一时间窗口的比率属性观测值和下一时间窗口的统计属性观测值,获得下一时间窗口的实时流量特征时,通过所述下一时间窗口的预测流量特征验证所述下一时间窗口的实时流量特征;
8、验证不通过时,存在ddos攻击行为,验证通过时,进行正常流量转发。
9、可选地,根据当前时间窗口的数据信息计算当前时间窗口的比率属性观测值,包括:
10、根据当前时间窗口的数据信息,将具有相同目标地址的数据包划分到同一集群,获得n个集群;
11、计算第i个集群所表示的目标地址在当前时间窗口内进入的数据包中出现的频率,并根据所述数据信息统计第i个集群中各个数据包的数据包大小;
12、计算第i个集群的比率,第一计算公式为:
13、
14、其中,r(δt)i为第i个集群的比率属性,ips(δt)i为当前时间窗口第i个集群内大小重复的数据包个数,dip(δt)i为第i个集群所表示的目标地址在当前时间窗口内进入的数据包中出现的频率;
15、当第i个集群的比率为n个集群中的最小值时,第i个集群的比率为当前时间窗口的比率属性观测值。
16、可选地,根据当前时间窗口的数据信息计算当前时间窗口的统计属性观测值,包括:
17、根据当前时间窗口的数据信息计算每种协议类型的出现概率,第二计算公式为:
18、
19、其中,p(δt)j为当前时间窗口内,第j种协议类型出现的概率,m为基于当前时间窗口内进入的数据包所包括的协议类型总数,pro(δt)j为第j种协议类型出现的次数;
20、根据m种协议类型的出现概率计算当前时间窗口的统计属性观测值,第三计算公式为:
21、
22、其中,α为tsallis指数的实数参数,用于表示频繁发生事件的集中程度。
23、可选地,基于当前时间窗口的实时流量特征,通过指数平滑算法预测下一时间窗口的比率属性预测值和下一时间窗口的统计属性预测值,获得下一时间窗口的预测流量特征,包括:
24、设置滑动窗口,所述滑动窗口中,所述当前时间窗口为最后一个时间窗口,所述当前时间窗口之前的时间窗口为历史时间窗口;
25、根据历史时间窗口的历史实时流量特征和历史预测流量特征计算当前时间窗口的预测流量特征,第四计算公式为:
26、
27、其中,为当前时间窗口的预测流量特征,xt-1为前一时间窗口的实时流量特征,为前一时间窗口的预测流量特征,β为平滑系数,0<β<1,所述前一时间窗口的实时流量特征从所述历史时间窗口的历史实时流量特征中获取、所述前一时间窗口的预测流量特征从所述历史时间窗口的历史预测流量特征中获取;
28、根据当前时间窗口的预测流量特征和当前时间窗口的实时流量特征,令t=t+1,通过所述第四计算公式计算所述下一时间窗口的预测流量特征。
29、可选地,基于当前时间窗口的实时流量特征,通过指数平滑算法预测下一时间窗口的比率属性预测值和下一时间窗口的统计属性预测值,获得下一时间窗口的预测流量特征之后,还包括:
30、基于当前时间窗口的实时流量特征计算平均数和均方差;
31、通过所述平均数和所述均方差设置下一时间窗口的预测流量特征的上下限范围,第五计算公式为:
32、
33、其中,σt为基于当前时间窗口的实时流量特征计算的方差,其中,avgt为基于当前时间窗口的实时流量特征计算的平均数,w为滑动窗口的大小。
34、可选地,通过所述下一时间窗口的预测流量特征验证所述下一时间窗口的实时流量特征,包括:
35、通过下一时间窗口的比率属性预测值验证下一时间窗口的比率属性观测值,若下一时间窗口的比率属性观测值在所述下一时间窗口的比率属性预测值的上下限范围内,则比率属性验证通过;
36、通过下一时间窗口的统计属性预测值验证下一时间窗口的统计属性观测值,若下一时间窗口的统计属性观测值在所述下一时间窗口的统计属性预测值的上下限范围内,则统计属性验证通过;
37、当比率属性验证通过且统计属性验证通过时,进行正常流量转发。
38、可选地,还包括,将时间窗口大小设置为10s。
39、第二方面提供一种ddos攻击检测装置,包括:
40、数据监测模块,用于持续监测数据包进入消息,按照预先设置的时间窗口对进入的数据包进行数据信息采集;...
【技术保护点】
1.一种DDoS攻击检测方法,其特征在于,包括:
2.如权利要求1所述的DDoS攻击检测方法,其特征在于,根据当前时间窗口的数据信息计算当前时间窗口的比率属性观测值,包括:
3.如权利要求1所述的DDoS攻击检测方法,其特征在于,根据当前时间窗口的数据信息计算当前时间窗口的统计属性观测值,包括:
4.如权利要求1所述的DDoS攻击检测方法,其特征在于,基于当前时间窗口的实时流量特征,通过指数平滑算法预测下一时间窗口的比率属性预测值和下一时间窗口的统计属性预测值,获得下一时间窗口的预测流量特征,包括:
5.如权利要求4所述的DDoS攻击检测方法,其特征在于,基于当前时间窗口的实时流量特征,通过指数平滑算法预测下一时间窗口的比率属性预测值和下一时间窗口的统计属性预测值,获得下一时间窗口的预测流量特征之后,还包括:
6.如权利要求5所述的DDoS攻击检测方法,其特征在于,通过所述下一时间窗口的预测流量特征验证所述下一时间窗口的实时流量特征,包括:
7.如权利要求1所述的DDoS攻击检测方法,其特征在于,还包括,将时
8.一种DDoS攻击检测装置,其特征在于,包括:
9.一种芯片,其特征在于,包括:第一处理器,用于从第一存储器中调用并运行计算机程序,使得安装有所述芯片的设备执行如权利要求1至7任一项所述的DDoS攻击检测方法的各个步骤。
10.一种终端,其特征在于,包括第二存储器、第二处理器以及存储在所述第二存储器中并可在所述第二处理器上运行的计算机程序,其特征在于,所述第二处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的DDoS攻击检测方法的步骤。
...【技术特征摘要】
1.一种ddos攻击检测方法,其特征在于,包括:
2.如权利要求1所述的ddos攻击检测方法,其特征在于,根据当前时间窗口的数据信息计算当前时间窗口的比率属性观测值,包括:
3.如权利要求1所述的ddos攻击检测方法,其特征在于,根据当前时间窗口的数据信息计算当前时间窗口的统计属性观测值,包括:
4.如权利要求1所述的ddos攻击检测方法,其特征在于,基于当前时间窗口的实时流量特征,通过指数平滑算法预测下一时间窗口的比率属性预测值和下一时间窗口的统计属性预测值,获得下一时间窗口的预测流量特征,包括:
5.如权利要求4所述的ddos攻击检测方法,其特征在于,基于当前时间窗口的实时流量特征,通过指数平滑算法预测下一时间窗口的比率属性预测值和下一时间窗口的统计属性预测值,获得下一时间窗口的预测流量特征之...
【专利技术属性】
技术研发人员:夏晓峰,徐皙朋,王弋戈,王林平,黄诗琪,夏添,刘静渝,
申请(专利权)人:重庆大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。