[发明专利]一种基于信息熵的DDoS攻击检测方法

说明书

技术领域

本发明涉及云计算技术领域，具体地说是一种实用性强、基于信息熵的DDoS攻击检测方法。

背景技术

随着信息及通信技术的发展，计算机网络在人们生活中扮演的越来越重要的角色。由于其开放性、自由性、共享性等特点以及安全协议存在的漏洞使得信息在传输过程中可能会被窃取、篡改、破坏等，从而造成巨大的经济损失，因此网络安全问题日益严重。在众多的网络安全问题中，由于分布式拒绝服务（DDoS）攻击易操作、技术要求低、攻击方式多样化、攻击源分布广泛难以检测且造成的巨大破坏等越来越受到重视。而传统的识别方式存在着误报率高、难以检测及受害终端的处理能力有限等问题都制约了DDoS攻击的有效检测与识别。

基于此，现提供一种基于信息熵的DDoS攻击异常流量检测方法，该方法可以有效的判别异常流量发生时刻，从而在目标主机或者网络资源耗尽之前做出相应的处理。

发明内容

本发明的技术任务是针对以上不足之处，提供一种实用性强、基于信息熵的DDoS攻击检测方法。

一种基于信息熵的DDoS攻击检测方法，其实现过程为：

一、获取高速网络流量：捕获网络中高速传输的数据报文和存储内容，进行步骤二中网络异常流量的分析；

二、判断异常流量，对捕获到的流量信息进行分析，确定某时刻是否存在异常流量，作为判定攻击发生的前提条件，这里的某时刻即为本时刻是否有异常流量的发生；

三、通过空间分析和聚类分析源IP地址、目的IP地址方式的变化情况，确认被攻击主机：采用累积和算法对流经检测节点的数据流量检测其变化识别出受到攻击的目的IP地址，该累积和算法检测偏移程度，通过累积误差来检测待检测对象与目标之间的偏移；

四、对产生的攻击流量进行甄别筛选，从而确认攻击流量，为流量清洗工作做准备。

所述高速流量获取的过程为：首先对高速网络流量进行实时采集进行压缩存储，对采集到的高速流量进行实时分析；这里采用的是交替的两个sketch链表数据结构对网络数据报文进行压缩存储以便进行分析。

所述异常流量判断的过程包括异常流量的检测与受害主机的确认：

首先通过对sketch链表数据结构进行信息熵计算分析出其在单位时间内流量变化情况：当信息熵低于阈值时就认为此时刻有异常行为的发生，对此该的sketch链表数据结构及之前时刻的sketch链表数据结构进行累积和运算，找出矩阵中不同位置即不同的目的IP的变化情况；当超出累积和运算的阈值，则认为该目的IP即为受害主机的IP。

所述攻击流量识别为：对存储sketch链表结构中被确认为受害主机的位置的链表信息采用Pearson相关系数分析，得出正常访问流量与异常访问流量，为流量清洗工作做准备。

本发明的一种基于信息熵的DDoS攻击检测方法，具有以下优点：

该发明的一种基于信息熵的DDoS攻击检测方法，对检测到的异常流量矩阵采用累积和算法来确定被攻击者目标，主要是使用累积和控制流量特征的变化以减缓抖动性，CUSUM通过特征值的连续变化情况判断攻击是否发生；然后采用Pearson相关系数方法来识别出攻击流量与正常流量，为流量清洗工作做准备；具有及时快速高效的特点，采用信息熵相关理论来检测异常流量的发生，对出现的异常流量进行判断从而可以提高检测效率与降低检测负荷；实用性强，适用范围广泛，安全性良好，易于推广。

附图说明

附图1为本发明的结构示意图。

附图2为本发明的Sketch链表存储结构图。

附图3为DDoS攻击检测识别流程图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明。

本发明提供一种基于信息熵的DDoS攻击检测方法，本发明通过信息熵的方式来确定异常流量的发生，使用两个sketch链表矩阵交替对网络流量进行实时存储，通过对当前时刻的矩阵进行信息熵的运算从而判断是否有异常流量的发生。对异常流量矩阵采用累积和（CUSUM）算法的累积误差来检测待检对象与目标之间的偏移的方式来确定被攻击者的IP地址。对确定的被攻击IP地址流量采用Pearson相关系统方法对链表信息进行类别来确定攻击流量，为下一步的流量清洗工作做准备。基于上述思路，如附图1、图2、图3所示，其具体实现过程为：

一、获取高速网络流量：捕获网络中高速传输的数据报文和存储内容，进行步骤二中网络异常流量的分析。