[发明专利]一种子网欺骗DDoS攻击监测预警方法

权利要求书

1.一种子网欺骗DDoS攻击监测预警方法，其特征在于,具体包括以下步骤：

步骤S1：先通过旁路监控设备从交换机镜像抓取网络流量数据，随后从其中分离出TCP流量，然后按源地址、目的地址、目的端口以及TCP结束状态进行分类聚合；

步骤S2：对所述步骤S1中聚合的数据进行清洗，收集提取源地址(sip)、目的地址(dip)、当前TCP连接的结束状态(timeout_state)以及TCP流个数(flow)共四个特征；

步骤S3：采集各个设备通讯数据的所述步骤S2四个特征值，然后依据设定触发条件进行判断该源地址是否属于发起DDoS攻击的地址，若符合触发条件的则产生info告警；

步骤S4：依据所述步骤S3的info告警信息进行统计属于同一个子网的源地址个数以及对应的子网号，若某个子网的info告警源地址个数超过预设阈值，则发出warn告警；反之，则对该子网再进行后续进一步的判定分析；

步骤S5：所述步骤S4进一步的判定分析包括在TCP聚合数据中，检索该子网中存在的TCP不成功连接的源地址个数和对应的不成功连接的总数，若源地址个数和不成功连接总数均超过预设阈值，则发出warn告警，否则不发出warn告警。

2.根据权利要求1所述的一种子网欺骗DDoS攻击监测预警方法，其特征在于：所述步骤S2从聚合后的TCP数据中提取TCP连接的结束状态(timeout_state)特征数据包含有TCP通讯过程中所出现的各个状态参数，包括未连接状态、已连接状态、未结束状态和已结束状态。

3.根据权利要求1所述的一种子网欺骗DDoS攻击监测预警方法，其特征在于：所述步骤S3中触发条件具体为TCP流量数据中存在每分钟“TCP流个数大于等于60并且当前TCP连接的结束状态特征数值为1、2、10、11中的任意一个”的数据，则表明该源地址正在发起synflood攻击，发出info告警并给管理员发出当前存在syn flood攻击的消息提示。

4.根据权利要求1所述的一种子网欺骗DDoS攻击监测预警方法，其特征在于：所述步骤S5中预设阈值及告警反馈具体包括在TCP聚合数据中检索该子网的TCP连接的结束状态特征数据timeout_state为1、2、10、11中的任意一个的源地址个数和对应的flow的总数，若源地址个数和flow的总数都超过预设数值，则发出warn告警。