[发明专利]一种DOS/DDOS攻击检测方法有效
| 申请号: | 201110262106.5 | 申请日: | 2011-09-06 |
| 公开(公告)号: | CN102271068A | 公开(公告)日: | 2011-12-07 |
| 发明(设计)人: | 周颖杰;马力;胡光岷;陈慧楠;刘岩 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06;H04L12/56 |
| 代理公司: | 电子科技大学专利中心 51203 | 代理人: | 周永宏 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种DOS/DDOS攻击检测方法。本发明的方法首先从网络流数据中提取需要的流量特征参数,通过分析流量特征参数确定异常时间点并构建历史时间窗,然后找出异常时间点流量最大的前N个目的IP,通过分析历史时间窗内包含各选出目的IP的子流确定异常目的IP,最后确认攻击并识别出异常流。本发明的方法有别于传统的逐包分析的方法,适应了骨干网络流量巨大的特点,能满足骨干网络异常检测的实时性要求,能较为精确的检测出骨干网络中的DoS/DDoS攻击,能识别出骨干网络中的攻击流,从而使网络管理者能够及时地在路由器进行设置,过滤掉攻击者发送的流量,防止其对目的主机造成危害。 | ||
| 搜索关键词: | 一种 dos ddos 攻击 检测 方法 | ||
【主权项】:
一种DOS/DDOS攻击检测方法,其特征在于,包括如下步骤:S1.从网络设备中获取网络中的流数据,从流数据中提取出流量特征参数;S2.对步骤S1提取的流量特征参数进行处理,确定异常时间点,根据异常时间点进行扩展,形成历史时间窗;S3.找出在异常时间点流量最大的前N个目的IP,对找出的每一目的IP,根据流量特征参数在异常时间点的变化与其在历史时间窗内的平均波动之比是否超过训练得到的阀值来判定该目的IP是否为异常目的IP;S4.找出异常目的IP在历史时间窗内对应的源IP地址并统计这些源IP到该目的IP的流量大小,若某个源IP到该目的IP的流量变化高于给定阀值Ω1,则标记为疑似DoS攻击,若存在多个源IP到该目的IP的流量变化之和高于给定阀值Ω2,则标记为疑似DDoS攻击;然后判断标记的疑似DoS攻击或疑似DDoS攻击是否为DoS攻击或DDoS攻击。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201110262106.5/,转载请声明来源钻瓜专利网。
- 上一篇:低耗油量增程式电动车动力系
- 下一篇:定影装置及图像形成装置
