[发明专利]一种动态阈值DDoS被攻击地址检测方法

说明书

技术领域

本发明涉及一种动态阈值DDoS被攻击地址检测方法，属于通信技术领域。

背景技术

针对可能存在的DDoS攻击进行防御是对数据流量进行监控。现有技术中有静态固定阈值DDoS被攻击地址检测技术和动态阈值DDoS检测技术。

静态固定阈值DDoS被攻击地址检测技术操作简单，易于部署，算法效率高，但是不适于流量较大的网络环境且缺乏灵活性，同时静态阈值不易确定，设置不当会导致检测效率和检测效果的降低。

动态阈值DDoS检测技术中阈值的计算有两种方法：区间均值阈值算法和EWMA算法。区间均值阈值算法将所有流量值度阈值的影响同等看待，赋以相同的权值，实际上这种作用是有差别的，一般近期的数值影响较远期的数值影响更大一些，在网络流量变化剧烈的环境中，按此方法产生的阈值与实际流量差距会很大，往往起不到检测作用。

现有的基于EWMA算法的阈值生成算法缺点是当网络长时间处于较低负荷状态下所计算的阈值较小，如果突然负荷变大会导致由于低阈值而产生误报。

另外，区间均值阈值算法和EWMA算法阈值的设定都只基于当前的网络流量，未对阈值留有增大的缓冲区间和防抖动算法以适应正常通信时的通信量猝发性增长，也未设定阈值的上限值。

发明内容

本发明所要解决的技术问题是针对上述背景技术的不足，提供了一种动态阈值DDoS被攻击地址检测方法。

本发明为实现上述发明目的采用如下技术方案：

一种动态阈值DDoS被攻击地址检测方法包括如下步骤：

步骤1，分析历史数据表得到阈值TH_n以及阈值数据表，其中：TH_n为第n次更新时所预测的阈值，n为大于等于1的自然数；

步骤2，在数据采集周期内采集数据包，对采集的数据包提取IP地址，统计实时数据流量TF_n，TF_n为第n次更新时实时数据流量；

步骤3，对比实时数据流量TF_n与阈值TH_n，计算各个数据在第n次更新时溢出积累变量S_n的值，并更新溢出积累变量S_n值的存储表，溢出积累变量S_n值的具体算法如下：

当TF_n＞TH_n时，进入步骤3-1；

当TF_n≤TH_n时，进入步骤3-2；

步骤3-1，利用公式S_n＝S_n-1+TF_n-TH_n计算第n次更新时溢出积累变量S_n的值；

步骤3-2，当S_n-1＞0时，利用如下公式计算第n次更新时溢出积累变量S_n的值；