[发明专利]一种两级阈值攻击检测方法、计算机及存储介质

说明书

本发明提出一种两级阈值攻击检测方法、计算机及存储介质，属于智能检测技术领域。基于I级和II级的两级阈值攻击检测方法，首先，重构模式匹配算法自动机，选择≥4层的所有节点，为每个选择的节点增加被访问次数t、I级阈值L₁和II级阈值L₂后执行下一步骤，其次，自动机接收待匹配数据T，将I级阈值L₁阈值节点比例p₁和II级阈值L₂阈值节点比例p₂设置为0，匹配指针指向T的首字符，执行下一步骤，最后，统计节点访问次数；判断节点访问次数是否超过I级阈值L₁和II级阈值L₂阈值节点比例p₁和节点比例p₂，访问次数超过阈值的判定为攻击。解决现有技术无法识别攻击数据DPI系统收到攻击技术问题。

技术领域

本申请涉及一种攻击检测方法，尤其涉及一种两级阈值攻击检测方法、计算机及存储介质，属于智能检测技术领域。

背景技术

DDoS攻击因成本低、攻击效果明显等特点，是互联网用户面临的最常见、影响较大的网络安全威胁，其在国家间网络战，学术界、企业界以及黑客界等均有大量人员参与攻防对抗。算法复杂度攻击是典型的应用层DDos攻击，该攻击通过精心设计报文，使得处理应用层数据的算法始终运行在最坏时间复杂度上，从而消耗大量系统时空资源，迫使DPI停止检查部分或全部流量。

作为网络安全的第一道防线，深度报文检测系统(DPI)是缓存攻击的重要目标。攻击者使用探测手段获取部分模式作为先验知识，然后，根据常用的模式匹配算法修改已知模式部分字符作为攻击样本，最后，通过大量重放攻击样本实施攻击。网络犯罪分子实施缓存攻击，可能会摧毁DPI，随着系统的崩溃或合法流量下降，攻击者随后针对受DPI保护的服务器，发送大量垃圾流量或者特定设计的攻击数据。

现有的缓存攻击检测方法是基于节点阈值进行检测，即将所有自动机节点划分为常访问节点和不常访问节点，根据一个数据包统计不常访问节点访问次数占数据长度的比例，若超过设定的阈值，则识别为攻击包，但攻击者如果掌握了常访问节点和不常访问节点间的分界线，则很很容易构造攻击数据，绕过该方法的检测。

发明内容

在下文中给出了关于本发明的简要概述，以便提供关于本发明的某些方面的基本理解。应当理解，这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分，也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念，以此作为稍后论述的更详细描述的前序。

鉴于此，本发明为了解决现有技术无法识别攻击数据的技术问题，本发明提供了一种两级阈值攻击检测方法、计算机及存储介质方案识别攻击数据，保护DPI系统不被攻击。

一种两级阈值攻击检测方法，包括I级阈值和II级阈值，包括以下步骤：

步骤一、重构模式匹配算法自动机，选择≥4层的所有节点，为每个选择的节点增加被访问次数t、I级阈值L₁和II级阈值L₂后执行步骤二；

步骤二、自动机接收待匹配数据T，将I级阈值L₁阈值节点比例p₁和II级阈值L₂阈值节点比例p₂设置为0，匹配指针指向T的首字符，扫描当前字符，执行步骤三；

步骤三、统计节点访问次数；判断节点访问次数是否超过I级阈值L₁，若当前节点访问次数超过I级阈值L₁时，执行步骤四；若当前节点访问次数未超过I级阈值L₁时，将当前节点访问次数与II级阈值L₂比较，若当前节点访问次数超过II级阈值L₂时，执行步骤五，若当前节点访问次数未超过II级阈值L₂将匹配指针指向T的下一个字符，扫描下一个字符，执行当前步骤；