[发明专利]一种动态阈值DDoS被攻击地址检测方法

摘要

本发明涉及一种动态阈值DDoS被攻击地址检测方法，属于通信技术领域。本方法采集周期内采集到的数据流地址计算溢出积累变量。在实时数据流量大于阈值时，累计增加溢出积累变量的值直到溢出积累变量的值小于等于零，而实时数据流量小于阈值时的溢出积累变量的值置零。本方法根据数据溢出积累变量的值判断IP地址是否被攻击，并实时更新阈值，进而跟新数据信息，实时监测网络IP地址被攻击的状况。

主权项

一种动态阈值DDoS被攻击地址检测方法，其特征在于包括如下步骤：步骤1，分析历史数据表得到阈值THn以及阈值数据表，其中：THn为第n次更新时所预测的阈值，n为大于等于1的自然数；步骤2，在数据采集周期内采集数据包，对采集的数据包提取IP地址，统计实时数据流量TFn，TFn为第n次更新时实时数据流量；步骤3，对比实时数据流量TFn与阈值THn，计算各个数据在第n次更新时溢出积累变量Sn的值，并更新溢出积累变量Sn值的存储表，溢出积累变量Sn值的具体算法如下：当TFn＞THn时，进入步骤3‑1；当TFn≤THn时，进入步骤3‑2；步骤3‑1，利用公式Sn＝Sn‑1+TFn‑THn计算第n次更新时溢出积累变量Sn的值；步骤3‑2，当Sn‑1＞0时，利用如下公式计算第n次更新时溢出积累变量Sn的值； S n = S n - 1 ÷ 2 , ( TH n - TF n ) < ( S n - 1 ÷ 2 ) S n - 1 + TF n - TH n , ( TH n - TF n ) > ( S n - 1 ÷ 2 ) 其中，S1＝0；当Sn‑1≤0，Sn＝0；步骤4，设置溢出积累变量的最大值为Smax，比较第n次更新时溢出积累变量Sn的值与溢出积累变量的最大值Smax，仅当Sn＞Smax时，Sn＝Smax；步骤5，检查各IP地址第n次更新时溢出积累变量Sn的值是否为0，当Sn＜0时，表示该IP地址已经被攻击结束；当Sn＞0时，将该IP地址列为遭到DDoS攻击的目标地址；当Sn＝0时，利用如下公式计算该IP地址阈值，更新阈值数据表，用IP地址未被攻击的流量数据覆盖历史数据表： TH n = α TH n + ( 1 - α ) TF n ± Σ i = n - m + 1 n - 1 ( TH i - TH i - 1 ) 2 + BT ; 其中，α为数据更新系数，BT为缓冲流量，0≤α≤1，m∈n；步骤6，进入下一数据采集周期，返回步骤2。