[发明专利]一种基于自适应阈值的DDoS攻击检测方法和检测装置

说明书

本发明涉及互联网技术领域，提供了一种基于自适应阈值的DDoS攻击检测方法和检测装置。其中方法包括检测第一预设时间内的流量是否超过自适应阈值X；若检测结果是未出现流量超过自适应阈值X的情况，则将自适应阈值X调整为由算式X‑Y得到的结果，并回到自适应阈值X的检测过程；若检测结果是出现流量超过自适应阈值X的情况，则对客户端的合法性进行检测；若客户端的合法性检测结果为合法，将自适应阈值X调整为由算式X+Y得到的结果，回到自适应阈值X的检测过程。在本发明中通过自适应的增加或者降低阈值，使阈值能够根据网络中流量的变化而自适应调整，适应网络中正常的流量波动，提高检测的灵敏度和有效率。

【技术领域】

本发明涉及互联网技术领域，特别是涉及一种基于自适应阈值的DDoS攻击检测方法和检测装置。

【背景技术】

分布式拒绝服务(Distributed Denied of Service，简写为：DDoS)攻击是目前黑客经常使用，而且难以防范的一种互联网攻击手段。越来越多的互联网企业、云计算平台、IDC数据中心都部署针对DDoS攻击的检测设备，用来精确识别DDoS攻击流量，并且借助清洗设备，对攻击流量进行清洗。由于DDoS 攻击流量都是由合法的协议构成的，因此，在对攻击流量的识别过程中，必须对流量的大小进行监控，如果流量超过阈值，那么就有可能遭受了DDoS攻击。因此，识别的精确程度，主要取决于阈值的选取是否合理。

在现有的专利中，一般采用的是固定阈值，而且固定阈值是根据经验值设定。然而网络流量是变化的，因此网络流量的波动容易被误识别为攻击。所以，动态阈值才能更好的适应网络流量变化。而现有的动态阈值专利中，有的是以一个周期内，流量采样值与均值的均方差来衡量流量是否为攻击流量。然而这种方式有两个问题。第一，只能检测脉冲式攻击，无法检测出持续的大流量攻击。第二，如果网络流量有波动，容易造成将正常流量误识别为攻击流量。

专利权申请号为CN201110309008.2的专利中提出了一种动态阈值DDoS被攻击地址检测方法，方法采集周期内采集到的数据流地址计算溢出积累变量。在实时数据流量大于阈值时，累计增加溢出积累变量的值直到溢出积累变量的值小于等于零，而实时数据流量小于阈值时的溢出积累变量的值置零。该专利通过公式计算，在每个流量采样时刻更新阈值，阈值的更新主要由当前阈值，历史阈值，和当前流量决定。缺点是调整频繁，复杂度高，而且阈值的并没有根据检测结果的准确性动态调整。

专利权申请号为CN201310058519.0的专利，提出了一种DDOS攻击动态阈值异常流量检测方法及装置，该方法包括：获得异常流量检测历史数据，根据异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值；将检测得到的流量值与所述异常流量检测的容忍线上下流量阈值进行比较；如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值，发出异常流量检测告警。该专利的阈值分为上流量阈值和下流量阈值，如果流量不在上阈值和下阈值之间，就判定为攻击流量。并且阈值由历史流量样本和样本点数据的均方差决定。缺点在于，会将网络中正常的流量波动误检测为攻击，并且对于持续稳定的DDoS 攻击，无法检测。

鉴于此，克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。

【发明内容】

本发明要解决的技术问题是现有技术中对于触发恶性攻击检测的流量阈值 (在本发明中被描述为自适应阈值X)的调整方法过于复杂，降低了响应效率；另外一些方法中，对于流量阈值的调整缺少灵活性，容易发生误检测的情况。

本发明采用如下技术方案：

第一方面，本发明提供了一种基于自适应阈值的DDoS攻击检测方法，给予自适应阈值X一初始阈值参数值，给予步长Y一初始步长参数值，方法包括：

检测第一预设时间内的流量是否超过自适应阈值X；

若检测结果是未出现流量超过自适应阈值X的情况，则将自适应阈值X调整为由算式X-Y得到的结果，并回到流量是否超过自适应阈值X的检测过程；