一种DDoS攻击下的异常流量检测方法技术

技术编号：43474023 阅读：4 留言：0更新日期：2024-11-27 13:13

本发明专利技术公开了一种DDoS攻击下的异常流量检测方法，利用CM Sketch、Bloom Filter和哈希表结合的数据结构，统计每个目的IP对应的不同源IP数量，将正常流量和潜在DDoS攻击的目标区分开来，这种设计不仅极大降低了内存占用，同时还保持了高准确度；此外，发明专利技术还考虑了数据包的IP存储问题，并在可编程交换机上实现了对DDoS流量的具体识别和存储，展现了出色的灵活性和可扩展性。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络测量，更为具体地讲，涉及一种ddos攻击下的异常流量检测方法。

技术介绍

1、分布式拒绝服务(ddos)攻击是现代网络面临的重要威胁之一。它通过操纵大规模的互联网流量，耗尽被攻击者的网络资源，对合法用户和网络运营商都造成了严重威胁。随着基于互联网的服务日益增加，ddos攻击造成的危害也变得十分严重。为了有效应对这种攻击，检测和识别ddos攻击的方法引起了广泛关注。

2、目前已有多种技术用于检测ddos流量。传统方法主要依赖于对每个流的状态检测异常，但在高速网络中往往难以平衡准确性和扩展性。另一种基于sketch的测量方法，则通过维护一个计数器统计每个源-目的地址对的流量扇出量，尽管具备一定的准确性，但却可能导致高内存占用和大量访问开销。因此，有效的方法需要在内存消耗和准确性之间取得平衡，同时保持良好的可扩展性。

3、近年来，可编程网络的发展为异常流量测量提供了新的可能性。然而目前大多数检测方法集中在控制器上执行，需要控制器定期从网络设备收集流量信息来监控网络状态，这不仅增加了网络通信开销，还会引起检测延迟，降低检测性能。此外，许多ddos攻击利用欺骗ip地址的手段，伪造受害者ip地址向服务器发送请求，使得追踪ddos攻击源ip通常无效，难以有效应对攻击。为解决以上问题，本文利用可编程交换机的优势，在交换机端进行检测，以提高检测的灵活性。同时结合sketch等高效的数据结构统计数据，从而节省内存占用。这种方法旨在克服传统方法中的瓶颈，使得ddos攻击的检测更为高效、精确且具备良好的可扩展性。

技术实现思路

1、本专利技术的目的在于克服现有技术的不足，提供一种ddos攻击下的异常流量检测方法，利用组合数据结构来实现网络流的准确计数统计，减少内存资源的消耗，同时将可疑ddos的ip地址写入哈希表，在灵活性、可扩展性方面具有明显优势。

2、为实现上述专利技术目的，本专利技术一种ddos攻击下的异常流量检测方法，其特征在于，包括以下步骤：

3、(1)、在交换机上部署数据结构；

4、(1.1)、在交换机上部署bloom filter结构；

5、bloomfilter结构由m位的二进制数组和k个不同的无偏哈希函数组成；二进制数组的每一位编号为0～m-1；k个无偏哈希函数结构互不相同，记为h1,h2,…,hk，每个哈希函数计算得到哈希值为[0,m-1]内的整数，且与二进制数组的位编号一一对应；

6、(1.2)、在交换机上部署哈希结构；

7、哈希结构包含一个哈希函数h和关联哈希函数h的哈希表；哈希表包含n个桶，编号为0～n-1，每个桶中又包括两个字段，一个字段用于存储数据包ip地址ipdst，另一个字段用于存储ipdst对应的不同源地址的计数值；

8、(1.3)、在交换机上部署最小计数草图结构；

9、最小计数草图结构由d个哈希函数和w*d个计数器构成；最小计数草图为d行w列结构，每行有w个计数器，从左到右依次编号为0,1,…,w-1；d个哈希函数对应最小计数草图d行，且d个哈希函数互相独立无关，每个哈希函数计算得到的哈希值区间为[0,w-1]内的整数，与w个计数器编号对应；

10、(2)、基于数据结构的ddos流量统计

11、(2.1)、初始化数据结构；

12、测量开始前，初始化bloom filter结构中二进制数组的m位的值为0，初始化哈希结构中哈希表每个桶的第二字段的计数值为0，初始化最小计数草图结构中各个计数器的计数值为0；

13、(2.2)、设置计时器，初始值为0，用于计时交换机开始接收数据包和结束接收数据包的时间；

14、(2.3)、计时器计时开始，当数据包到达交换机时，先经过bloom filter结构，提取出数据包的源ip地址src和目的ip地址dst，然后组合成源目的ip对src,dst>，再通过无偏哈希函数h1,h2,...,hk进行映射，其中，每一个哈希函数将源目的ip对映射到二进制数组的一个位置，共计k个位置，接着读取k个位置的值，若k个值不全为1，即有0出现，则表示此源目的对<src,dst>第一次到来，将k个位置的值置为1，然后进入步骤(2.3)；否则，交换机舍弃该数据包，并继续接收下一个数据包，然后重复步骤(2.2)；

15、(2.3)、将数据包的源目的对<src,dst>输入哈希结构，提取数据包的目的ip地址dst并作为哈希函数h的输入，通过哈希计算得到哈希值h；

16、将哈希值h作为哈希表中各个桶的索引在哈希表中进行查询，找到对应桶编号，然后读取该桶在第一个字段中的ip地址，若读取的ip地址和数据包的目的ip地址相同，则表示哈希表内已经存储有相同的ip地址，将该桶的第二个字段的计数值+1，并结束统计，继续接收下一个数据包，返回步骤(2.2)；若读取的ip地址为空或读取的ip地址和数据包的目的ip地址不相同，则表示查询失败，进行步骤(2.4)；

17、(2.4)、将数据包的源目的对<src,dst>输入最小计数草图结构，提取数据包的目的ip地址dst并分别作为哈希函数的输入，通过哈希计算得到哈希值h1',h'2,…,h'd；

18、将哈希值h1',h'2,...,h'd作为索引，查询到最小计数草图中每行对应的计数器，然后读取各个计数器的计数值，记为counter1,counter2,...,counterd；

19、在读取的d个计数值中选出最小值min{counter1,counter2,...,counterd}作为目的ip连接不同源ip的数目，记最小值为count_min；

20、将最小值count_min与预设阈值比较，若则交换机舍弃该数据包，并继续接收下一个数据包，然后返回步骤(2.2)；否则，将步骤(2.3)计算的哈希值h为索引找到对应的桶，然后将数据包的目的ip地址写入该桶的第一个字段，将该桶的第二个字段的计数值+1，并结束统计，继续接收下一个数据包，返回步骤(2.2)；

21、(3)、ddos攻击下的异常流量检测；

22、计时器到达计时结束时间，统计哈希结构中哈希表内存储的目的ip地址，各目的ip就是ddos攻击下受害ip，其对应的数据包为异常数据包。

23、本专利技术的专利技术目的是这样实现的：

24、本专利技术一种ddos攻击下的异常流量检测方法，利用cm sketch、bloom filter和哈希表结合的数据结构，统计每个目的ip对应的不同源ip数量，将正常流量和潜在ddos攻击的目标区分开来，这种设计不仅极大降低了内存占用，同时还保持了高准确度。此外，专利技术还考虑了数据包的ip存储问题，并在可编程交换机上实现了对ddos流量的具体识别和存储，展现了出色的灵活性和可扩展性。

本文档来自技高网...

【技术保护点】

1.一种DDoS攻击下的异常流量检测方法，其特征在于，包括以下步骤：

【技术特征摘要】

1.一种ddos攻击下的异常流量检...

【专利技术属性】
技术研发人员：季明雪，戴梦缘，王雄，任婧，王晟，徐世中，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人