[发明专利]针对DDoS攻击的实时可视化检测方法

权利要求书

1.一种针对DDoS攻击的实时可视化检测方法，包括下列步骤：

第一步：从原始数据中提取源IP地址，目的IP地址，目的端口号，数据报接收时间作为可视化模型的四个维度；

第二步：创建显示模型，把源IP地址映射到x轴，目的IP地址映射到z轴，目的端口号映射到y轴，并对三个数据进行标准化，转换到同一个值域中，对于每一个网络数据，在三维场景中创建一个包围盒，利用场景图来组织场景中的所有元素；

第三步：设置八叉树包围盒的空间大小，建立和生成该场景的八叉树结构；

第四步：利用八叉树结构，通过平截头体与包围盒的相交检验，进行场景显示粒子节点的剔除，并利用GPU对处于平截头体内的节点进行渲染显示；

第五步：通过交互操作检测是否受到DDoS攻击；

上述的第二步中，对三个数据进行如下的标准化处理：

源IP地址在x轴上对应的位置的计算公式：sIP.val/sIP.maxval*lengthX，其中，sIP.val为将要显示的源IP地址转换成的十进制数值；sIP.maxval为32位IP转换成十进制后的数值，即，将255.255.255.255转换成十进制后的数值：2^32-1；lengthX为场景的X轴长度；

目的端口号在y轴上对应的位置的计算公式：dPort.val/dPort.maxval*lengthY，其中，dPort.val为当前端口号，dPort.maxval为最大端口号，即65535，lengthY：场景的Y轴长度；

目的IP地址在x轴上对应的位置的计算公式：dIP.val/dIp.maxval*lengthZ，其中，dIP.val为将要显示的目的IP地址转换成的十进制数值，dIP.maxval 为32位IP转换成十进制后的数值，即将255.255.255.255转换成十进制后的数值：2^32-1，lengthZ为场景的Z轴长度。

2.根据权利要求1所述的针对DDoS攻击的实时可视化检测方法，其特征在于，按下列步骤对场景进行查询：

(1)从八叉树根开始，获取该树的包围盒，并将其与查询用包围盒进行相交计算；

(2)如果查询用包围盒完全包含该树的包围盒，则递归到所有子树，把子树所包含的场景节点添加到查询结果列表；

(3)如果查询用包围盒部分相交该树的包围盒，则对该树的每一个子树进行递归判断。

3.根据权利要求1所述的针对DDoS攻击的实时可视化检测方法，其特征在于，按下列步骤添加八叉树的节点：

(1)获取要添加入场景的节点的包围盒；

(2)从八叉树根开始，获取该树的包围盒；

(3)判断该八叉树的包围盒大小是否为要添加的节点的包围盒大小的两倍；

(4)如果八叉树包围盒大小为要添加的节点包围盒大小的两倍以上，则根据要添加的节点的位置计算该八叉树的八个子树中哪个和该节点的中心相包含，递归调用该算法将节点插入这棵子树；否则说明该八叉树为适合该节点大小的八叉树，从而挂接该节点于此八叉树上；

4.根据权利要求1所述的针对DDoS攻击的实时可视化检测方法，其特征在于，其中的第四步，按下列步骤执行：

(1)获取摄像机的平截头体；

(2)获取八叉树子树的包围盒；

(3)对平截头体和包围盒进行相交检验；

(4)如果相交，获取该八叉树子树下所挂接的八叉树场景节点，分别对每个节点的包围盒与平截头体进行相交检验，如果相交，加入渲染队列；

(5)对于该八叉子树的八个子节点分别递归调用此算法；

(6)利用GPU对处于平截头体内的节点进行渲染。