[发明专利]基于sketch的DDoS洪泛攻击检测方法及装置有效
| 申请号: | 202010988472.8 | 申请日: | 2020-09-18 |
| 公开(公告)号: | CN112437037B | 公开(公告)日: | 2021-12-07 |
| 发明(设计)人: | 王之梁;杨家海;程鑫;张世泽;李子木 | 申请(专利权)人: | 清华大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京清亦华知识产权代理事务所(普通合伙) 11201 | 代理人: | 张大威 |
| 地址: | 10008*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 sketch ddos 攻击 检测 方法 装置 | ||
本申请公开了一种基于sketch的DDoS洪泛攻击检测方法及装置,其中,方法包括:在系统开始运行时,控制系统进入第一预设状态,并学习系统参数;当第一预设状态结束,控制系统进入第二预设状态,其中,在每一检测周期,生成相应的Sketch,以统计该检测周期的网络流量,Scur代表当前检测周期的Sketch,而Slast代表上一个处于第二预设状态下的Sketch,根据滑动操作和Hellinger距离计算Scur和Slast的差异度,同时生成动态阈值,以在差异度大于动态阈值时,则控制系统进入第三预设状态;当系统处于第三预设状态时,生成相应的异常Sketch。该方法可以在有限的空间消耗下快速有效地检测DDoS洪泛攻击,并且通过滑动操作以获取异常bucket,可以有效识别攻击者。
技术领域
本申请涉及互联网技术领域,特别涉及一种基于sketch的DDoS洪泛攻击检测方法及装置。
背景技术
自互联网诞生起,网络安全威胁一直是学术界的重要研究课题。而分布式拒绝服务(Distributed denial of service,简称DDoS)洪泛攻击是当前非常普遍且严重威胁网络安全的一种攻击方式,给人们和社会经济带来了重大损失。这些攻击通常是通过耗尽带宽,网络资源或服务器资源来发起的。DDoS洪泛攻击发生迅速且后果严重,因此高效地检测DDoS泛洪攻击至关重要。
目前,很多有关DDoS检测的研究工作都会维持每流状态来进行检测分析,然而在实际应用时,为了维持每流状态,这些方法通常无法满足吞吐率要求,或者是空间开销过大,很难针对一个大型网络进行在线检测,有待解决。
申请内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的第一目的在于提出一种基于sketch的DDoS洪泛攻击检测方法,可以在有限的空间消耗下快速有效地检测DDoS洪泛攻击,并且通过滑动操作以获取异常bucket,可以有效识别攻击者。
本发明的第二个目的在于提出一种基于sketch的DDoS洪泛攻击检测装置。
本发明的第三个目的在于提出一种电子设备。
本发明的第四个目的在于提出一种计算机可读存储介质。
为达到上述目的,本申请第一方面实施例提供一种基于sketch的DDoS洪泛攻击检测方法,包括以下步骤:
在系统开始运行时,控制所述系统进入第一预设状态,并学习系统参数;
当所述第一预设状态结束,控制所述系统进入第二预设状态,其中,在每一检测周期,生成相应的Sketch,以统计该检测周期的网络流量,Scur代表当前检测周期的Sketch,而Slast代表上一个处于所述第二预设状态下的Sketch,根据滑动操作和Hellinger距离计算Scur和Slast的差异度,同时生成动态阈值,以在所述差异度大于所述动态阈值时,则控制所述系统进入第三预设状态;
当所述系统处于所述第三预设状态时,生成相应的异常Sketch,其中,每一行均包含由滑动操作所产生的若干异常bucket,其中,检查每一个数据包的源IP(InternetProtocol,网际互连协议),若经过sketch中每一行的哈希函数哈希后,均落入到该行的异常bucket中,则认为该源IP是DDoS的攻击者,并发出相应的告警。
另外,根据本发明上述实施例的基于sketch的DDoS洪泛攻击检测方法还可以具有以下附加的技术特征:
可选地,所述动态阈值的生成公式为:
EH{t+1}=βEHt+(1-β)ht,
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于清华大学,未经清华大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010988472.8/2.html,转载请声明来源钻瓜专利网。
