[发明专利]一种基于异常检测和容器隔离的边缘计算DDoS攻击防范方法

权利要求书

1.一种基于异常检测和容器隔离的边缘计算DDoS攻击防范方法，所述方法包括以下步骤：

步骤1、使用Docker创建容器，包括白色容器、灰色容器和检测容器，白色中的良性用户请求直接发送到白色容器，所有攻击请求连同不在白色中的良性用户一起发送到灰色容器；

步骤2、利用数据包分析器捕获灰色容器的部分请求并将它们发送到检测容器；

步骤3、检测容器会采用一种自更新异常检测方法检测流入灰色容器的流量中是否有DDoS攻击，首先设定检测周期对流量进行检测，然后设定异常检测算法，得到异常率AR，

步骤4、采用特征集的方式验证异常率AR的准确性，检测恶意请求并过滤良性请求，丢弃异常流量，然后将清理后的良性请求再发送到白色容器进行处理；

步骤5、得到准确的异常率AR之后，利用抽样的异常检测结果来预测当前的DDoS攻击强度，建立Jackson网络M/M/1排队论模型，采用最优化目标计算各个容器的资源分配；

步骤6、动态分配灰色容器、检测容器和白色容器三个容器的服务率，使得良性用户请求的到达率最大。

2.根据权利要求1所述的一种基于异常检测和容器隔离的边缘计算DDoS攻击防范方法，其特征在于：所述的步骤3中的自更新异常检测方法，所述方法中相关的参数有采样检测周期T、检测CPU使用率、最大包数量或者最大抓包时间，预训练模型参数，为了让该的方法能够自动更新参数，设计了更新机制。具体如下：

首先，检测周期与检测异常率相关，异常率越高，检测周期越短。如公式(1)所示：

T＝αe^-AR (1)

其中，α是参数，当异常率AR为0时，α＝T，根据实际情况设置周期。检测CPU使用率为空闲CPU+服务器CPU使用率*20％。

一次检测应在周期T内完成，通过最大包数量n或者最大抓包时间t1来控制检测时间。经过测试，抓包时间T_catch、特征提取时间T_extract和推断时间T_infer均与包数量n成正比，如公式(2-4)所示：

T_catch＝nt_catch (2)

T_extract＝nt_extract (3)

T_infer＝nt_infer (4)

其中，t_catch、t_extract、t_infer是每个数据包所需的抓包、提取特征和推断时间，是参数，可通过实验测得。由于不同的包可能导致的这三个参数变化，限定最大抓包时间t_nmax＝T_catch+1，保证检测时间不超过周期T。因此，检测总时长如公式(5)所示：

T_detect＝T_catch+T_extract+T_infer (5)

因此，根据异常率设置检测周期，达到参数更新的目的。

3.根据权利要求2所述的一种基于异常检测和容器隔离的边缘计算DDoS攻击防范方法，其特征在于：所述步骤3中的自更新异常检测方法还包括一种异常检测算法，所述算法的步骤如下：

输入：预训练模型，采样检测周期T，最大包数量n_max或者最大包捕捉时间t_nmax，阈值ε

输出：正常流量，异常率AR

S1、初始化计时器；

S2、创建检测容器dc；

S3、抓取混合流量，达到n_max或者t_nmax

S4、提取流量特征，使用预训练推断，达到异常率AR；

S5、判断，若ARε，停止dc容器，进入S9。否则，进入S6；

S6、通过特征集验证是否误报，若是，停止dc容器，进入S9。否则，进入S7；

S7、激活自动编码器，重新训练模型，更新预训练模型参数；

S8、保存正常流量，发送给白色容器，停止dc容器；

S9、根据公式(1)计算下一个周期T，计时器开始计时，当计时器大于T时，转到S1。