[发明专利]一种基于混杂模式的DDoS攻击检测方法及装置

说明书

技术领域

本发明涉及计算机网络安全技术领域，特别是涉及一种基于混杂模式的DDoS攻击检测方法和检测装置。

背景技术

Internet的攻击当中，DDoS攻击已经成为一种流行的破坏计算机或者网络资源可用性的攻击形式，它是Internet目前面临的最严峻的威胁之一。近年来，DDoS攻击的数量一直呈快速增长的趋势。

DDoS攻击发起容易导致了DDoS攻击的广泛发生，根据报道，全球每周有12000起的DDoS攻击。国外很多著名网站都遭受过DDoS攻击，2000年2月7日，美国的Yahoo、Buy.corn、eBay、Amazon、新闻网站CNN等众多网站相继受到身份不明的黑客发起的DDoS攻击，系统瘫痪达几十个小时之久，造成了高达12亿美元的经济损失。因此，如何有效地抵御DDoS攻击成为目前网络安全技术领域中一个重要的研究课题。

目前关于DDoS攻击的抵御机制可以分为四个方面：预防、检测、攻击源追踪、响应。其中DDoS攻击的检测是关键的一个环节。

关于DDoS攻击的抵御机制依据检测的方法可以分为三类。

第一类是误用检测。MULTOPS假定正常情况下两台主机之间的数据流比率是平衡的，通过不平衡的发现实现DDoS攻击的检测；Cheng等人使用在固定的间隔内到达的数据包作为攻击信号；SYN检测方法通过监测统计上的变化来检测攻击；Kolmogorov测试认为大多数的攻击利用相同的攻击工具，使得数据流之间有很强的相关性；为了提高检测精度，Feinstein等提出通过计算熵值和所选包的属性按频率排序的分布来识别攻击。

第二类是异常检测。这种机制先建立正常的数据流模型，一旦发现异常就报警。Manikopoulos等提出神经网络检测法；统计方法方面，x2和K.S检定方法被用来评估检测数据流与期望的正常数据流之间的差别；Forrest和Hofmeyr提出一个基于IDS的LISYS网络，利用了人体免疫系统的思想进行检测。

前述DDoS检测装置大多采用单一的检测方法。基于误用的DDoS检测是技术建立负面行为模型，误报率低，但存在检测率不高的问题。攻击者可以改变他们的攻击模式来逃避相应的检测机制。基于异常的DDoS检测是建立正面行为模型，检测率很高，但误报率也很高。而单一的基于报文统计或基于流统计基础上的检测，对隐蔽性较强的DDoS攻击则无能为力。目前关于DDoS攻击检测的专利大多采用异常检测方法，这些方法通常基于单一的报文或流实现，在DDoS攻击检测方面都存在一定的缺陷，而且这些检测方法的实现缺少集成功能，不利于报文和流相结合的流量统计，不利于检测结果的推送。

第三类就是有部分学者提出了两种模式结合的检测思路，但至今为止还没有成熟的方法提供使用。

发明内容

本发明针对现有技术不足，提出一种基于混杂模式的DDoS攻击检测方法及检测装置，主要通过流量检测DDoS攻击，集成了采集和推送功能。

本发明所采用的技术方案：一种基于混杂模式的DDoS攻击检测方法，对DDoS数据库中的流量采用基于报文和流双尺度统计的条件下，采用误用检测和异常检测相结合的混杂模式实现对流量进行检测，生成DDoS攻击告警消息，该混杂模式采用报文检测与流检测并行，异常检测与误用检测串行的方式进行检测。

所述的基于混杂模式的DDoS攻击检测方法，在开始时误用检测模式中的特征样本较少的情况下，采用异常检测的方法对DDoS攻击进行首次发现，随着特征样本的不断增多，对DDoS攻击的检测转换到采用误用检测的方法。

所述的基于混杂模式的DDoS攻击检测方法，基于报文的异常检测，以真实的非异常的历史报文统计值作为基准数据，计算出单位时间内各类型数据包占数据包总数的比例分布和统计个数，预测当前时刻各类数据包比例分布和统计个数的阈值，所述阈值根据“滑动加权平均”算法计算得到，其滑动窗口采用秒级、分钟级、小时级、天级四个粒度，用预测得到的阈值与当前时刻的数据包比例分布和统计个数比对，对于某单位时间内异常的数据包进行攻击分析，基于现有的DDoS攻击特征知识库，判断是否产生DDoS攻击，并记录相应的特征信息；基于流的异常检测，以真实的非异常的历史流统计值作为基准数据，计算出单位时间内各类型流占流总数的比例分布和统计个数，预测当前时刻各类流比例分布和统计个数的阈值，所述阈值根据“滑动加权平均”算法计算得到，其滑动窗口采用秒级、分钟级、小时级、天级四个粒度；用预测得到的阈值与当前时刻的流比例分布和统计个数比对，对于某单位时间内异常的流进行攻击分析，基于现有的DDoS攻击特征知识库，判断是否产生DDoS攻击，并记录相应的特征信息。