[发明专利]一种DNS放大攻击的检测与过滤方法在审
| 申请号: | 201710514387.6 | 申请日: | 2017-06-29 |
| 公开(公告)号: | CN107248996A | 公开(公告)日: | 2017-10-13 |
| 发明(设计)人: | 张宇;曹晓梅 | 申请(专利权)人: | 南京邮电大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26;H04L29/12;G06K9/62 |
| 代理公司: | 南京经纬专利商标代理有限公司32200 | 代理人: | 朱小兵 |
| 地址: | 210003 *** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 dns 放大 攻击 检测 过滤 方法 | ||
1.一种DNS放大攻击的检测与过滤方法,其特征是:包括以下步骤:
检测:分析并选取发生DNS放大攻击时的特征,以单位时间内的数据量作为计算项,通过k-means++算法进行聚类分析,判断是否发生攻击;
过滤:如果检测步骤中判断发生攻击,通过HOP-count信息,过滤流向受害者的攻击流量。
2.根据权利要求1所述的方法,其特征是:在检测步骤中,选取的特征包括:请求速率、信息增益比和源IP熵。
3.根据权利要求2所述的方法,其特征是:分析发生DNS放大攻击时的特征包括以下步骤:
步骤1:设置时间间隔t;
步骤2:计算t时间间隔内的请求速率F;
步骤2.1:定义request_all为t时间间隔内的总请求数;
步骤2.2:求出t时间间隔内的请求速率为:
步骤3:计算t时间间隔内的信息增益比G;
步骤3.1:定义response_tra为t时间间隔内的响应流量的总大小;
步骤3.2:定义request_tra为t时间间隔内的请求流量的总大小;
步骤3.3:求出t时间间隔内的信息增益比:
步骤4:计算t时间间隔内的源IP熵值;
步骤4.1:对源IP序列引入滑动窗口机制,取窗口大小为m;
步骤4.2:计算窗口内每个源IP概率,记为P={Pi,i=1,2,…,l};利用公式1计算窗口中源IP的熵值;
步骤4.3:取出当前窗口第一个源IP出现的次数以及概率P1;
步骤4.4:滑动窗口后移一项,即:将原窗口第一项移除,将原第m+1项移入窗口,重新计算P1;同时计算新移入的源IP的概率;
步骤4.5:根据以上步骤,对每个滑动窗口均可计算当前窗口内的源IP熵值,以得到一系列熵值,记为:{Hi,i=1,2,…,t},t表示滑动窗口总数。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京邮电大学,未经南京邮电大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710514387.6/1.html,转载请声明来源钻瓜专利网。
