申请/专利权人：肇庆学院

申请日：2023-11-28

公开（公告）日：2024-04-12

公开（公告）号：CN117596049B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.04.12#授权;2024.03.12#实质审查的生效;2024.02.23#公开

摘要：本发明公开了一种DDoS攻击检测方法及装置，该方法包括：获取待检测窗口信息；待检测窗口信息包括M个检测窗口数据信息；对待检测窗口信息进行IP检测处理，得到IP检测序列信息；IP检测序列信息包括M个IP检测结果信息；IP检测结果信息包括IP检测熵值和IP结点值；对IP检测序列信息进行DDoS攻击检测，得到DDoS攻击检测结果信息。可见，本申请有利于提高DDoS攻击检测准确率和检测实时性，提高防御DDoS攻击能力。

主权项：1.一种DDoS攻击检测方法，其特征在于，所述方法包括：获取待检测窗口信息；所述待检测窗口信息包括M个检测窗口数据信息；对所述待检测窗口信息进行IP检测处理，得到IP检测序列信息；所述IP检测序列信息包括所述M个IP检测结果信息；所述IP检测结果信息包括IP检测熵值和IP结点值；所述对所述待检测窗口信息进行IP检测处理，得到IP检测序列信息，包括：对于任一所述检测窗口数据信息，读取该检测窗口数据信息对应的TCP报文信息；所述TCP报文信息包括n个报文段信息；对所述TCP报文信息进行IP检测处理，得到该检测窗口数据信息对应的IP检测结果信息；所述对所述TCP报文信息进行IP检测处理，得到该检测窗口数据信息对应的IP检测结果信息，包括：对所述TCP报文信息进行信息熵修正计算处理，得到该检测窗口数据信息对应的IP检测熵值；对所述TCP报文信息进行检测分析处理，得到该检测窗口数据信息对应的IP结点值；所述对所述TCP报文信息进行信息熵修正计算处理，得到该检测窗口数据信息对应的IP检测熵值，包括：对于所述TCP报文信息中的任一报文段TCP_j，读取该报文段TCP_j所在IP分组的源IP地址；所述j满足：1=j=n；用哈希函数对所述源IP地址进行处理，得到地址哈希值；将所述地址哈希值存入存储空间的存储单元src_addr_hash[i][j]；所述i为所述检测窗口数据信息在所述待检测窗口信息中的序列号；所述存储空间包括所述M个存储数组；每个所述存储数组包括所述n个所述存储单元src_addr_hash[i][j]；判断所述i是否大于1，得到第一数值判断结果；当所述第一数值判断结果为是时，判断上一检测窗口存储空间的所有历史地址哈希值是否存在与所述地址哈希值相等的所述历史地址哈希值，得到第一哈希值判断结果；当所述第一哈希值判断结果为是时，将所述地址哈希值从所述存储单元src_addr_hash[i][j]中删除；当所述第一哈希值判断结果为否时，结束所述第一哈希值判断结果对应的判断流程；当所述第一数值判断结果为否时，结束所述第一数值判断结果对应的判断流程；统计存储数组src_addr_hash[i][n]中各IP地址哈希值出现的概率，得到IP地址概率值信息；对所述IP地址概率值信息进行熵值计算，得到该检测窗口数据信息对应的IP检测熵值X[i]；所述对所述TCP报文信息进行检测分析处理，得到该检测窗口数据信息对应的IP结点值，包括：对于所述TCP报文信息中的任一报文段TCP_j，读取该报文段TCP_j所在IP分组的包长度P_len[j]；获取开散列表src_addr_len[i][n]；所述开散列表src_addr_len[i][n]的头结点最多包含n个列表包长度；判断所述开散列表src_addr_len[i][n]中是否包含与所述包长度P_len[j]相一致的链表src_addr_len[a][b]的头结点，得到长度判断结果；所述b不大于所述n；所述a不大于所述i；当所述长度判断结果为是时，将与所述包长度P_len[j]相一致的链表src_addr_len[a][b]对应的头节点计数值加1，得到所述包长度P_len[j]对应的链表src_addr_len[i][j]对应的头节点计数值；当所述长度判断结果为否时，建立src_addr_len[i][j]的头结点，把P_len[j]添加至头节点数据域中，并将该头节点计数值加1，得到所述包长度P_len[j]对应的链表src_addr_len[i][j]的头节点计数值；对所述IP检测序列信息进行DDoS攻击检测，得到DDoS攻击检测结果信息；所述对所述IP检测序列信息进行DDoS攻击检测，得到DDoS攻击检测结果信息，包括：对于任一所述IP检测结果信息，利用统计计算模型和检测计算模型对该IP检测结果信息进行计算处理，得到该IP检测结果信息对应的IP统计值和DDoS攻击检测值；其中，所述统计计算模型为： ； 式中，为第个所述IP检测结果信息对应的IP统计值；为第个所述IP检测结果信息对应的IP检测熵值；为常数；所述检测计算模型为： ；式中，为第个所述IP检测结果信息对应的DDoS攻击检测值；m=max{j：jn，Sj=0}，S0=0，max为求最大值函数；h为自适应阈值，h设置如下：，，以2ρ为动态阈值的上界，即2ρ；基于所述IP统计值、所述DDoS攻击检测值和所述IP结点值，确定出DDoS攻击检测结果信息。

全文数据：

权利要求：

百度查询： 肇庆学院 一种DDoS攻击检测方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD