[发明专利]一种基于信息熵的DDoS攻击检测方法

权利要求书

1.一种基于信息熵的DDoS攻击检测方法，其特征在于：其实现过程为：

一、获取高速网络流量：捕获网络中高速传输的数据报文和存储内容，进行步骤二中网络异常流量的分析；

二、判断异常流量，对捕获到的流量信息进行分析，确定某时刻是否存在异常流量，作为判定攻击发生的前提条件，这里的某时刻即为本时刻是否有异常流量的发生；

三、通过空间分析和聚类分析源IP地址、目的IP地址方式的变化情况，确认被攻击主机：采用累积和算法对流经检测节点的数据流量检测其变化识别出受到攻击的目的IP地址，该累积和算法检测偏移程度，通过累积误差来检测待检测对象与目标之间的偏移；

四、对产生的攻击流量进行甄别筛选，从而确认攻击流量，为流量清洗工作做准备。

2.根据权利要求1所述的一种基于信息熵的DDoS攻击检测方法，其特征在于：所述高速流量获取的过程为：对高速网络流量进行实时采集进行压缩存储，对采集到的高速流量进行实时分析；这里采用的是交替的两个sketch链表数据结构对网络数据报文进行压缩存储以便进行分析。

3.根据权利要求1所述的一种基于信息熵的DDoS攻击检测方法，其特征在于：所述异常流量判断的过程包括异常流量的检测与受害主机的确认：

通过对sketch链表数据结构进行信息熵计算分析出其在单位时间内流量变化情况：当信息熵低于阈值时就认为此时刻有异常行为的发生，对此该的sketch链表数据结构及之前时刻的sketch链表数据结构进行累积和运算，找出矩阵中不同位置即不同的目的IP的变化情况；当超出累积和运算的阈值，则认为该目的IP即为受害主机的IP。

4.根据权利要求1所述的一种基于信息熵的DDoS攻击检测方法，其特征在于：所述攻击流量识别为：对存储sketch链表结构中被确认为受害主机的位置的链表信息采用Pearson相关系数分析，得出正常访问流量与异常访问流量，为流量清洗工作做准备。