[发明专利]一种基于自适应阈值的DDoS攻击检测方法和检测装置

权利要求书

1.一种基于自适应阈值的DDoS攻击检测方法，其特征在于，给予自适应阈值X一初始阈值参数值，给予步长Y一初始步长参数值，方法包括：

检测第一预设时间内的流量是否超过自适应阈值X；

若检测结果是未出现流量超过自适应阈值X的情况，则将自适应阈值X调整为由算式X-Y得到的结果，并回到流量是否超过自适应阈值X的检测过程；

若检测结果是出现流量超过自适应阈值X的情况，则对客户端的合法性进行检测，若客户端的合法性检测结果为不合法，对所述客户端的流量进行清洗后，回到流量是否超过自适应阈值X的检测过程；若客户端的合法性检测结果为合法，将自适应阈值X调整为由算式X+Y得到的结果，回到流量是否超过自适应阈值X的检测过程；

所述第一预设时间与自适应阈值X之间建立有逻辑关系，其中，根据流量的大小划分为至少两级流量采集区间，具体包括：

在确定所述自适应阈值X属于其中的第一流量采集区间时，确认所述第一预设时间的参数值是否与所述第一流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第一流量采集区间相匹配的参数值；

在确定所述自适应阈值X属于其中的第二流量采集区间时，确认所述第一预设时间的参数值是否与所述第二流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第二流量采集区间相匹配的参数值；

其中，第一流量采集区间的最低采集量大于所述第二流量采集区间的最大采集量；则相应的第一预设时间与第一流量采集区间匹配的参数值大于相应的第一预设时间与第二流量采集区间匹配的参数值。

2.根据权利要求1所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，对当前流量进行采样，在第一预设时间周期内，对采样值和平均值求均方差，所述均方差结果作为用于调整步长Y的参数值。

3.根据权利要求1所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，若连续的出现所述检测结果是未出现流量超过自适应阈值X的情况，则所述将自适应阈值X调整为由算式X-Y得到的结果，还包括：

在每一次连续出现所述检测结果是未出现流量超过自适应阈值X的情况时，按照阶梯比例的方式降低所述步长Y的参数值方式、按照预设的一组加权系数逐次的乘以步长Y得到其每一次的调整值方式和按照预设的参数值对所述步长Y进行递减的方式中的一种或者多种来完成步长Y在连续出现所述检测结果是未出现流量超过自适应阈值X的情况时的调整；其中所述阶梯比例是根据拟合出的流量变化曲线取按照调整周期取值得到。

4.根据权利要求3所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，在连续的出现所述检测结果是未出现流量超过自适应阈值X的情况中，若步长Y的调整次数超过第一预设次数或者步长Y的参数值小于第一预设阈值时，停止所述自适应阈值X的调整。

5.根据权利要求1-4任一所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，所述对客户端的合法性进行检测，具体包括：

发送数据报文给客户端，监测客户端是否正常回应；若客户端不能正常回应，则当前情况为恶意攻击；若客户端能正常回应，则当前情况为正常流量。

6.根据权利要求5所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，所述数据报文包括：syn cookie认证、http重定向认证和DNS请求认证中的一种或者多种。

7.根据权利要求5所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，对于确认为正常流量的客户端的，将所述客户端加入白名单；对于去人为恶意攻击的客户端，将所述客户端加入黑名单；则后续再次触发对客户端的合法性进行检测行为时，参考所述白名单和黑名单进行策略性验证。

8.根据权利要求1所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，所述第一流量采集区间为500pps-1000pps，所述第二流量采集区间为300pps-499pps；所述第一预设时间与第一流量采集区间匹配的参数值为50-100分钟，第一预设时间与第二流量采集区间匹配的参数值为20-30分钟。

9.一种基于自适应阈值的DDoS攻击检测装置，其特征在于，所述装置包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被程序设置为执行权利要求1-8任一所述的基于自适应阈值的DDoS攻击检测方法。