[发明专利]一种基于假设检验的DDOS攻击检测方法

说明书

本发明公开了一种基于假设检验的DDOS攻击检测方法，用于检测低速率DDoS攻击，方法包括：抓取网络数据包，按照一定时间窗口对网络数据包进行分段；按照一定频率对每段网络数据包进行抽样；计算网络数据流特征值，构建符合正态分布的概率密度特征函数；计算概率密度特征函数的参数；基于假设检验构造检测条件进行DDoS攻击检测。相较于现有技术基于深度学习的DDoS攻击检测方法，本方法计算效率更高，实时性更强，而且无需大量的计算资源和存储资源，更加节省成本。

技术领域

本发明涉及DDoS技术领域，特别涉及一种基于假设检验的DDOS攻击检测方法。

背景技术

目前，分布式拒绝服务攻击(Distributed Denial of Service,DDoS)的攻击形式不断地在发生变化。但主要特征还是通过被控制的僵尸主机向受害主机发送海量的数据包，造成受害主机的网络资源或计算资源耗尽，丧失向客户提供服务的能力。其中典型的攻击为泛洪攻击，例如SYN/ACK泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击等。利用这个主要的特征，目前已经提出了很多针对传统DDoS攻击的检测和防御方法。这些检测和防御方法主要利用这个异常统计特征来识别DDoS攻击，一旦检测到DDoS攻击流，就激活防御机制来丢弃所有具有攻击特征的数据流传送的数据包，或采用一定的速率限制技术来降低攻击影响。然而随着网络攻击技术的进一步发展，有别于传统的DDoS新型的低速DDoS攻击出现了。

低速率DDoS攻击(Low-rate Distributed Denial-of-Service,LDDoS)与传统的泛洪式攻击有很大不同，其主要特点是不需要利用高速率攻击流耗尽受害主机的网络资源或计算资源耗尽，而是利用网络协议或应用服务中常见的自适应机制(如TCP/IP的拥塞控制机制)中所存在的网络安全漏洞，通过周期性地在一个特定的短暂时间间隔内突发性地发送大量攻击数据包，从而降低受害主机服务性能。现阶段它主要是利用TCP超时重传机制的安全漏洞，通过估计合法流的超时重传时间(Retransmission Time out,RTO)作为低速率攻击发包的周期，周期性的发送高强度的短脉冲，使得攻击流可以周期性地占用网络带宽资源，造成所有受其影响的合法流进入RTO状态，最终使得受害主机的吞吐量大幅度降低，从而达到攻击目的。具体如下所示：

LDDoS攻击模式可以使用四个参数F_a、L_b、R_a和S来进行建模。其中，F_a是攻击的频率，L_b是攻击突发的长度，R_a是攻击期间的数据包速率，S是攻击的开始时间，如图1所示；

在以TCP为目标的攻击中，攻击流是与正常流共同分享链路资源，当攻击流速率R_a大于链路带宽容量时，后续达到数据包则将进入缓存队列排队处理。攻击者在攻击时长，即脉冲宽度L_b内，如果处理效率赶不上达到速度，则缓存队列将持续增长，队列的长度将是：

其中，λ是到达速率，μ是处理速率，l是队列长度；

攻击者在L_b内，如果l溢出，则产生丢包。不同协议的丢包策略不同，有的可能超出最大长度了才开始丢包，有的可能队列长度过半就以一定概率丢包。一旦检测到丢包，TCP则启动RTO。

在拥塞避免期间，一个TCP拥塞窗口(Congestion Windows,CW)以每个往返时延(Round Trip Time,RTT)一个发送端最大数据段字节的速度增加。因此，RTO的发生意味着一个RTT内TCP流量过载。此时，TCP降低发送速率，启动慢启动算法，所谓慢启动算法即将慢启动阈值(l_thresh)设为当前的一半，拥塞窗口设置为1，重新启动，如图2所示；