[发明专利]基于sketch的DDoS洪泛攻击检测方法及装置

权利要求书

1.一种基于sketch的DDoS洪泛攻击检测方法，其特征在于，包括以下步骤：

在系统开始运行时，控制所述系统进入第一预设状态，并学习系统参数；

当所述第一预设状态结束，控制所述系统进入第二预设状态，其中，在每一检测周期，生成相应的Sketch，以统计该检测周期的网络流量，S_cur代表当前检测周期的Sketch，而S_last代表上一个处于所述第二预设状态下的Sketch，根据滑动操作和Hellinger距离计算S_cur和S_last的差异度，同时生成动态阈值，以在所述差异度大于所述动态阈值时，则控制所述系统进入第三预设状态；

当所述系统处于所述第三预设状态时，生成相应的异常Sketch，其中，每一行均包含由滑动操作所产生的若干异常bucket，其中，检查每一个数据包的源IP，若经过sketch中每一行的哈希函数哈希后，均落入到该行的异常bucket中，则认为该源IP是DDoS的攻击者，并发出相应的告警；

所述动态阈值的生成公式为：

EH_{t+1}＝βEH_t+(1-β)h_t，

θ_{t+1}＝EH_{t+1}+(1-λ)EH_{t+1}，

其中，θ_{t+1}是在t+1时刻计算得出的动态阈值，β和λ为参数。

2.根据权利要求1所述的方法，其特征在于，还包括：

计算S_cur与S_last之间的差异度和生成动态阈值，其中，若所述差异度大于所述动态阈值，则认为仍然处于DDoS攻击期间，所述系统的状态仍为所述第三预设状态；当所述差异度小于或等于所述动态阈值时，则认为DDoS攻击结束，所述系统的状态转换为所述第二预设状态。

3.根据权利要求1所述的方法，其特征在于，所述学习系统参数，包括：

将所有小于预设滑动距离的数值存储在数组中，并通过预设的IQR算法去除明显的异常值，以根据所述数组中剩余最大的值为学习到的所述系统参数。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述第一预设状态Train状态，所述第二预设状态为Normal状态，所述第三预设状态为Alert状态。

5.一种基于sketch的DDoS洪泛攻击检测装置，其特征在于，包括：

学习模块，用于在系统开始运行时，控制所述系统进入第一预设状态，并学习系统参数；

控制模块，用于当所述第一预设状态结束，控制所述系统进入第二预设状态，其中，在每一检测周期，生成相应的Sketch，以统计该检测周期的网络流量，S_cur代表当前检测周期的Sketch，而S_last代表上一个处于所述第二预设状态下的Sketch，根据滑动操作和Hellinger距离计算S_cur和S_last的差异度，同时生成动态阈值，以在所述差异度大于所述动态阈值时，则控制所述系统进入第三预设状态；

生成模块，用于在所述系统处于所述第三预设状态时，生成相应的异常Sketch，其中，每一行均包含由滑动操作所产生的若干异常bucket，其中，检查每一个数据包的源IP，若经过sketch中每一行的哈希函数哈希后，均落入到该行的异常bucket中，则认为该源IP是DDoS的攻击者，并发出相应的告警；

所述动态阈值的生成公式为：

EH_{t+1}＝βEH_t+(1-β)h_t，

θ_{t+1}＝EH_{t+1}+(1-λ)EH_{t+1}，

其中，θ_{t+1}是在t+1时刻计算得出的动态阈值，β和λ为参数。