[发明专利]分布式拒绝服务攻击的检测方法及系统

说明书

技术领域

本发明涉及网络安全监控领域，特别涉及分布式拒绝服务攻击的检测方法及系统。 

背景技术

近年来，全球互联网络频繁遭受分布式拒绝服务(DDoS，DistributedDenial of Service)攻击，导致基础运营网络大面积瘫痪，重要信息系统的安全受到巨大威胁，严重危及了经济发展、社会稳定甚至国家安全。因此，DDoS攻击的检测与防御问题业已成为网络安全领域亟待解决的重大问题。其中，DDoS攻击检测技术作为有效解决DDoS攻击防御问题的技术手段和基础工作而受到社会各界的广泛关注。 

DDoS攻击检测技术通常可分为误用检测和异常检测两类方法。误用检测主要通过对网络数据进行已知特征匹配的方法来发现DDoS攻击，适于检测已知攻击，且准确性较高；而异常检测主要利用网络流量或行为异常现象来发现DDoS攻击，适于检测未知攻击，但误报率和漏报率较高。 

国内外很多组织和研究人员对DDoS攻击检测技术中的异常检测方法做了相关的研究，根据检测依据的不同，现有的异常检测方法可分为以下两类： 

(1)基于流量异常的检测方法。该类方法主要以不同时间和空间维度的当前网络流量与正常流量在数量、比率等方面上的差异为依据来检测攻击。具体包括基于动态阈值、基于进出包比率、基于双向流量、基于分布式变化点、基于流量自相似等方法。该类方法简单，高效，对流量型DDoS攻击表现得比较敏感、有效，但误报率比较高，对非流量型攻击的漏报率也较高。 

(2)基于行为异常的检测方法。该类方法主要以不同时间和空间维度的当前网络数据行为与正常数据行为在数据分布、数据属性、数据关联等方面上的差异，或者以DDoS攻击时网络数据所呈现出的固有数据特征为依据来检测攻击，通常还利用机器学习、人工智能、数据挖掘、专家系 统、随机过程、概率统计等技术和方法来学习正常行为的数据特征，从而建立正常行为的阈值、模式或模型。具体包括基于IP新鲜度、基于贝叶斯网络评分、基于TCP拥塞控制响应、基于频域分析、基于连接密度、基于连接分布信息熵、基于用户访问行为等多种方法。该类方法相对复杂，针对局域网或目标网络环境的研究工作较多，较适合于非流量型攻击的深入检测，部分方法需要预先学习和训练，检测效果往往依赖于正常行为的稳定性以及其建模的正确性和准确性。 

总体看来，人们已在DDoS攻击异常检测领域取得了一系列研究成果，然而，面对大规模高速复杂网络环境下的实时检测、防御的实际应用需求，已公开的方法还存在着以下问题：1)往往仅依赖单一检测特征，缺乏对多流量或行为特征的综合分析，并且由于检测特征的单一导致针对复杂实际应用环境的适应性较差，误报率较高；2)由于部分方法过于复杂，对计算和存储资源要求较高，所以难以满足大规模高速网络实时检测的要求；3)往往仅解决DDoS攻击存在性问题，缺乏对攻击目标、攻击源以及随机伪造源IP的攻击特性的发现。 

发明内容

本发明的目的是克服现有的分布式拒绝服务攻击检测方法依赖单一检测特征所带来的适应性差、误报率高的缺陷，从而提供一种具有较高适应性和检测准确率的攻击检测方法。 

为了实现上述目的，本发明提供了一种分布式拒绝服务攻击的检测方法，包括： 

步骤1)、接收网络数据包，在所述网络数据包中提取与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征； 

步骤2)、将所述检测特征作为朴素可信度模型中的证据，计算证据可信度；其中，所述朴素可信度模型在可信度模型的基础上增加了知识中的证据总是支持结论为真的假设； 

步骤3)、根据所述检测特征创建所述朴素可信度模型中的知识，计算所述知识的可信度；其中，在所述朴素可信度模型的知识中，所述检测特征中的独立检测特征对应一个独立的知识，而所述检测特征中的相关检测特征在同一个知识内； 

步骤4)、将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式，对与分布式拒绝服务攻击有关的结论事件进行可信度计算