[发明专利]一种两级阈值攻击检测方法、计算机及存储介质

权利要求书

1.一种两级阈值攻击检测方法，包括I级阈值和II级阈值，其特征在于，包括以下步骤：

步骤一、重构模式匹配算法自动机，选择≥4层的所有节点，为每个选择的节点增加被访问次数t、I级阈值L₁和II级阈值L₂后执行步骤二；

I级阈值L₁取正常流量经过每个节点的最大值；计算公式如下：

L_1i＝max{n_i}

其中，n表示访问节点；

具体的，II级阈值L₂级阈值，计算公式如下：

L_2i＝(1+m)×L_1i,where 0＜m＜2

其中，m表示预先设置的阈值系数；

步骤二、自动机接收待匹配数据T，将I级阈值L₁阈值节点比例p₁和II级阈值L₂阈值节点比例p₂设置为0，匹配指针指向T的首字符，扫描当前字符，执行步骤三；

步骤三、统计节点访问次数；判断节点访问次数是否超过I级阈值L₁，若当前节点访问次数超过I级阈值L₁时，执行步骤四；若当前节点访问次数未超过I级阈值L₁时，将当前节点访问次数与II级阈值L₂比较，若当前节点访问次数超过II级阈值L₂时，执行步骤五，若当前节点访问次数未超过II级阈值L₂将匹配指针指向T的下一个字符，扫描下一个字符，执行当前步骤，每访问一次选择的节点，则该节点的被访问次数加1，直至匹配指针指向T的结尾；

步骤四、计算超过I级阈值L₁节点访问比例p₁；若当前节点访问次数超过节点访问比例p₁识别当前节点访问为攻击；若当前节点访问次数未超过节点访问比例p₁，返回步骤三；两级阈值检测对应于TCP流或UDP包，来自流或包的数据作为输入将被发送到DPI引擎；当指向输入数据的指针移动时，对节点的实时访问次数将更新；

计算超过I级阈值L₁的节点访问比例p₁的具体方法是：

步骤五、计算超过II级阈值L₂节点访问比例p₂；若当前节点访问次数超过节点访问比例p₂识别当前节点访问为攻击；若当前节点访问次数未超过节点访问比例p₂，返回步骤三；

计算超过II级阈值L₂的节点访问比例p₂的具体方法是：

其中，t表示节点的访问次数，k表示设置的阈值节点数，阈值节点应设置在低频访问节点，在真实流量下，AC自动机的高频访问节点在前5层，前3层访问最多，为了防止假阴性率高，将前3层作为高频访问节点，两级阈值设置在≥4层的所有节点。

2.一种计算机，其特征在于，包括存储器和处理器，存储器存储有计算机程序，所述的处理器执行所述计算机程序时实现权利要求1所述的一种两级阈值攻击检测方法的步骤。

3.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1所述的一种两级阈值攻击检测方法。