[发明专利]基于动态阈值的DDoS攻击态势预警方法和服务器

说明书

本发明实施例提供了一种基于动态阈值的DDoS攻击态势预警方法和服务器，涉及DDoS攻击检测技术领域。方法包括：生成IP数据包统计特征时间序列，并使用LSTM神经网络预测模型对IP数据包统计特征时间序列进行建模，得到LSTM预测模型；采用LSTM预测模型对目标区域的待测网络流量进行预测，根据预测结果和网络安全脆弱性因子计算目标区域的阈值和阈值公差，划分多个预警级别；针对目标区域在目标时刻的网络流量，生成目标IP数据包统计特征，进而识别DDoS攻击并确定待测网络流量的预警级别。采用本发明可以提高DDoS攻击预警准确率。

技术领域

本发明涉及DDoS攻击检测技术领域，特别涉及一种基于动态阈值的DDoS攻击态势预警方法和服务器。

背景技术

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是目前黑客经常采用，用户难以防范的攻击手段。它是由拒绝服务(Denial of Service,DoS)攻击衍生出来的攻击技术。这一类攻击通常为攻击者利用不同位置的多台傀儡机对受害者同时实施大规模网络攻击，或者处于不同位置的多个攻击者同时向一个或者数个目标发起攻击。其攻击的破坏性大、危害范围广、易于实现且难以追踪、防范和预警，对因特网的安全会产生巨大威胁。

随着电子加密虚拟货币技术的快速发展，物联网设备的持续增加，DDoS攻击也蔓延到了虚拟货币交易领域以及物联网领域，且攻击方式更趋于复杂多样化。尤其是近年来发生的几起较大的DDoS攻击均是依靠弱口令发起的攻击。近年来，研究者们在DDoS攻击检测方面有了一些新的突破。例如：Wang D等人研究了TarGuess框架，利用多个数学模型设计猜测算法，解决了跨站点弱口令在线猜测问题(Wang D,Zhang Z,Wang P,et al.TargetedOnline Password Guessing:An Underestimated Threat[C]//ACM CCS 2016.ACM,2016.)。

本发明的发明人在研究DDoS攻击检测方法时，发现现有技术中的DDoS攻击检测方法在面对攻击手段日趋多样化的DDoS攻击时，缺乏精准的预测方式，更难以预警，DDoS攻击预警效果滞后、准确性较低。

发明内容

本发明的目的在于提供一种基于动态阈值的DDoS攻击态势预警方法和服务器，解决现有技术存在的部分或全部问题。所述技术方案如下：

第一方面，提供了一种基于动态阈值的DDoS攻击态势预警方法，所述方法包括：

对网络流量按照一定周期采样，并提取每个周期样本的IP数据包统计特征，生成IP数据包统计特征时间序列；

使用LSTM神经网络模型对所述IP数据包统计特征时间序列进行训练，构建LSTM预测模型；

计算目标区域的网络安全脆弱性因子；

采用所述LSTM预测模型对所述目标区域的待测网络流量进行预测，得到预测结果；

根据所述预测结果和所述网络安全脆弱性因子计算所述目标区域的阈值和阈值公差，并根据所述阈值和所述阈值公差划分多个预警级别；

对所述目标区域的网络流量进行实时监测，对监测到的目标时刻的网络流量进行分析处理；

针对所述目标区域在所述目标时刻的网络流量，生成目标IP数据包统计特征；

根据所述目标IP数据包统计特征确定所述待测网络流量的预警级别。

可选的，计算IP数据包统计特征时间序列的公式为：

IPDCF＝∑{Packet}_Δt

其中，Packet为数据包的个数，Δt为数据包采样周期。

可选的，所述目标区域的网络安全脆弱性因子的计算公式为：