[发明专利]基于概要矩阵的分布式拒绝服务攻击检测方法及系统

权利要求书

1.一种基于概要矩阵的分布式拒绝服务攻击检测方法，其特征在于实施步骤如下：

1）部署检测节点：在网络中部署分散的多个检测节点，并在所述检测节点中构建两个概要矩阵，所述概要矩阵由对应多种哈希函数的哈希表构成，所述哈希表包含多个用于存储目的IP地址概要信息的存储位置；

2）数据采集：检测节点采集网络流量，根据采样间隔内采集数据中的所有目的IP地址更新一个概要矩阵中的IP地址概要信息，然后根据下一个采样间隔内采集数据中的所有目的IP地址更新另一个概要矩阵中的IP地址概要信息；

3）局部检测：检测节点获取同一IP地址概要信息在所述两个概要矩阵之间的变化比例，将其中变化比例超过预设阈值的IP地址概要信息作为可疑IP地址概要信息并获取对应的可疑IP地址；

4）局部信息融合：检测节点根据可疑IP地址生成路由树并初始化报警次数，路由树的每一个中间检测节点接收上一跳检测节点共享的报警次数和可疑IP地址及其概要信息，将报警次数加1、将可疑IP地址及其概要信息和局部检测输出的可疑IP地址及其概要信息进行求和融合，获取融合后概要信息在连续的两个采样间隔内的变化比例超过预设阈值的可疑IP地址及其概要信息，并将报警次数和所述可疑IP地址及其概要信息共享给下一跳检测节点；

5）全局决策：路由树的根节点根据收到的报警次数和可疑IP地址及其概要信息进行全局决策确定受分布式拒绝服务攻击的IP地址。

2.根据权利要求1所述的基于概要矩阵的分布式拒绝服务攻击检测方法，其特征在于，所述步骤2）的详细步骤如下：

2.1）检测节点采集网络流量；

2.2）获取采样间隔内采集数据中的所有目的IP地址，将每一个IP地址进行哈希运算，根据哈希运算结果更新一个概要矩阵中对应的IP地址概要信息，将IP地址在概要矩阵中哈希表的对应的存储位置的值加1，直至更新完该采样间隔内的所有目的IP地址；

2.3）获取下一个采样间隔内采集数据中的所有目的IP地址，将每一个IP地址进行哈希运算，根据哈希运算结果更新另一个概要矩阵中对应的IP地址概要信息，将IP地址在该概要矩阵中哈希表的对应的存储位置的值加1，直至更新完该采样间隔内的所有目的IP地址。

3.根据权利要求2所述的基于概要矩阵的分布式拒绝服务攻击检测方法，其特征在于，所述步骤3）的详细步骤如下：

3.1）首先将前一个概要矩阵中的IP地址概要信息的值减去后一个概要矩阵中相应存储位置所存的IP地址概要信息的值得到可疑概要矩阵，所述可疑概要矩阵包含发往所有IP地址在一个采样间隔内的变化数；然后将所述变化数与后一个概要矩阵中相应存储位置所存的IP地址概要信息的值做比得到IP地址在一个采样间隔内的变化比例；

3.2）从所述可疑概要矩阵中获取所述变化比例超过预设阈值的可疑IP地址概要信息；

3.3）根据所述可疑IP地址概要信息获取可疑目的IP地址。

4.根据权利要求3所述的基于概要矩阵的分布式拒绝服务攻击检测方法，其特征在于，所述步骤3.3）的详细步骤如下：

3.3.1）对所述可疑概要矩阵的每一行进行反向散列运算；

3.3.2）根据所述可疑IP地址概要信息对可疑概要矩阵的各行进行反向散列运算后的结果做交集，得到交集的结果即为可疑IP地址。