[发明专利]一种网络洪范攻击行为检测方法

权利要求书

1.一种网络洪范攻击行为检测方法，它包括：

步骤1、采用基于计数式Bloom Filter的报文统计方法统计某一时间段内接收到的SYN+ACK与ACK报文的差值；

步骤2、采用基于非参数的CUSUM算法对SYN+ACK与ACK报文的差值进行判断，确定是否有异常行为发生；

步骤3、采用自适应调整方法调整采样窗口；

步骤4、根据地址划分确定被攻击目标。

2.根据权利要求1所述的一种网络洪范攻击行为检测方法，其特征在于：步骤1所述采用基于计数式Bloom Filter的报文统计方法统计某一时间段内接收到的SYN+ACK与ACK报文的差值的方法为：监测在一段时间内相同的IP和端口发出的SYN+ACK与收到的ACK报文数量是否平衡，将数据经协议号和标志位筛选后，SYN+ACK报文用源IP地址和源端口表示，并且存入计数式Bloom Filter中，当该二元组重复出现时，Hash过后比特位计数器数值增加1；ACK报文用目的IP地址和目的端口二元组表示，并查询是否在计数式Bloom Filter中，若存在，则对应的比特位计数器计数减1，下限为0；最终每一个存储在计数式Bloom Filter中的IP地址和端口代表了该IP地址和端口在某一时间段内接收到的SYN+ACK与ACK报文的差值。

3.根据权利要求1所述的一种网络洪范攻击行为检测方法，其特征在于：步骤2所述采用基于非参数的CUSUM算法对SYN+ACK与ACK报文的差值进行判断，确定是否有异常行为发生的方法为：

设{X_n,n＝1,2,3,...}是SYN+ACK报文与ACK报文在时间段n内的数量差值，

假设某一时间窗口内的有效ACK的数量为公式(4)：

式中：α∈[0，1]，表示历史均值所占权重，令

假设E(X_n)＝c，为了构造负序列，取a＞c，令Z_n＝X_n-a，则序列{Z_n,n＝1,2,3,...}为负序列，且{Z_n}的所有负值不会随着时间而累积；网络正常运行情况下，{Z_n,n＝1,2,3,...}为负序列，只有当网络发生异常时，{Z_n,n＝1,2,3,...}的取值才会变成正值；

y_n代表Z_n在一定时间区间内的累积正值，判决函数通过公式(7)来表达：

d_N(y_n)＝1(y_n＞N) (7)

N为攻击检测的门限，d_N(y_n)代表在时刻n的判决：如果y_n大于门限N，则d_N(y_n)为1，表示有异常行为发生，d_N(y_n)为0，表示是正常运行；

y_n＝(y_n-1+Z_n)⁺ (8)。