[发明专利]一种基于信息干扰的DDoS攻击中僵尸主机检测方法

说明书

本发明公开了一种基于信息干扰的DDoS攻击中僵尸主机检测方法，包括以下步骤：S1、对于每一个待选特征，采用一个均值、方差和最大容许值的三元组表示；S2、选择出符合要求的待选特征；S3、构造干扰报文，同时计算干扰报文的发送速率；S4、统计待检测主机在所有特征上的用户流量均值，比较每个特征的用户流量均值与所有用户流量均值之间的差值，判断该差值的绝对值是否大于或等于预设阈值，若所有特征均满足条件则判定待检测主机为僵尸主机，否则判定为正常主机。本发明提供了一种先干扰后检测的思路，能有效地检测出具有一定学习能力的僵尸主机，弥补了对于具有一定学习能力的DDoS攻击机制检测方面的不足，为检测更加先进和巧妙的DDoS攻击提供了思路。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于信息干扰的DDoS攻击中僵尸主机检测方法。

背景技术

分布式拒绝服务攻击(Distributed Denial of Service attack,DDoS)是攻击者通过控制大量僵尸主机，对一个或多个目标同时发动攻击，通过消耗攻击目标的服务资源或网络带宽,使其不能对正常用户请求进行处理和响应。随着网络技术的不断发展，也为DDoS攻击的发展提供了许多便利条件，DDoS攻击强度以及发生次数逐年上升。2018年DDoS攻击峰值流量已达1.7Tbps，并且据Imperva公布的资料显示，在2019年4月的一起DDoS攻击事件中，DDoS攻击强度已达580Mpps(packets per second)，而中国是DDoS攻击多发国家。由于DDoS攻击强度的不断提高，同时随着近些年各种新型网络技术以及人工智能技术的发展，DDoS攻击机制愈发复杂和精细，其隐蔽性也不断提高，为DDoS攻击检测及缓解带来了巨大的挑战。

现有检测机制大多利用已存在的DDoS攻击机制固有特点进行检测，例如通过一些报文级的特征或流级的特征，分析攻击流量和正常流量在这些特征上的区别，使用设定的阈值进行检测，此外还有一些研究通过分析流之间的相关性进行DDoS攻击检测。但对于这些检测方案，随着DDoS攻击技术的发展，攻击者通过优化其攻击机制并更加精巧地构造攻击报文可以有效躲避检测。此外，由于DDoS攻击洪泛流量在从源端向目的端传输的过程中会消耗路径上的许多资源，例如处理时间，带宽资源等。因此DDoS攻击检测的目标是尽量早的检测出攻击的发生，这对于攻击的缓解和节约资源以及维护网络稳定都具有重要意义，因此检测机制应当尽量部署在靠近攻击源的位置，做到早发现，早预警。而由于DDoS攻击机制的特点：一般是通过控制大量僵尸主机同时向攻击目标发送攻击报文，DDoS攻击流量从源端到目的端呈现出不断汇聚的特点，在目的主机端会接收到所有汇聚而来的攻击流量，因此在目的主机端进行攻击检测相对于在攻击源端进行检测较为容易，因此现有检测方案也大多部署在攻击目的端。通常当检测到网络中发生DDoS攻击时，最佳的做法是断开和僵尸主机的连接或对来自僵尸主机的报文直接丢弃，不进行任何处理。因此识别出网络中的僵尸主机对于DDoS攻击的缓解具有重要意义，而现有的检测方案大多只能检测出网络中是否发生了攻击，不能有效识别出存在的僵尸主机。

因此，针对DDoS攻击发展趋势，设计出可部署在攻击源端，能有效识别出网络中僵尸主机的DDoS攻击检测方法对于提高网络安全性具有重要的意义。

发明内容

本发明的目的在于克服现有技术的不足，提供一种可以部署在DDoS攻击源端的检测方案，达到了早发现早报警的目标，在时间上能较早地检测出发生的攻击，为攻击的防御和缓解抢占了先机的基于信息干扰的DDoS攻击中僵尸主机检测方法。

本发明的目的是通过以下技术方案来实现的：一种基于信息干扰的DDoS攻击中僵尸主机检测方法，包括以下步骤：

S1、分析和统计网络中正常流量在各待选特征上的均值和方差，分析得到各待选特征的最大容许值；对于每一个待选特征，采用一个均值、方差和最大容许值的三元组表示；并将各个待选特征组成一个待选特征集合；