CN101150581A - 分布式拒绝服务攻击检测方法及装置 - Google Patents

Abstract

本发明涉及网络技术，公开了DDoS攻击检测方法及装置，其中DDoS攻击检测方法包括：获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；分解信号流量矩阵获得异常空间流量矩阵；根据异常空间流量矩阵，计算路径的信号流量在时域上的平均时域相关系数；根据异常空间流量矩阵，计算路径的信号流量在频域上的平均频域相关系数；将平均时域相关系数与预置时域条件进行匹配；将平均频域相关系数与预置频域条件进行匹配；若平均时域相关系数符合预置时域条件、和/或平均频域相关系数符合预置频域条件，则表明检测到有攻击目的节点的DDoS攻击。使用本发明实施例提供的技术方案，可以根据多个路径的异常流量对DDoS攻击进行检测。

Description

分布式拒绝服务攻击检测方法及装置

技术领域

本发明涉及网络技术，具体涉及分布式拒绝服务(DDoS：DistributedDenial of Service)攻击检测方法及装置。

背景技术

DDoS攻击是指攻击者利用雇用的多台计算机对一个或者多个目标分别发起拒绝服务(DoS：Denial of Service)攻击。使用客服端/服务器模式，攻击者可以利用许多不知情的计算机作为攻击平台从而成倍地提高拒绝服务攻击效果。在高速数据包的攻击下，受害者主机的关键资源，如带宽、缓冲区、CPU资源等迅速耗尽，受害者或者崩溃，或者花大量时间处理攻击包而不能正常服务，给受害者和用户造成严重经济损失，因此有效地检测和防御DDoS攻击是构建安全网络的重要组成部分。

现有的一种DDoS攻击的检测方法是这样的：

(1)流量获取：获取全局的链路(link)流量；其中，链路流量是指两个节点之间，没有中间节点相连接的流量，可以是单向，也可以是双向；测量各个链路在不同时间点的流量，就可以得到链路流量矩阵；具体的，可以通过简单网络管理协议(SNMP：Simple Network Management Protocol)测量得到上述的链路流量矩阵；

(2)链路流量的子空间分析：将获取链路流量矩阵中每个链路的流量进行零均值化，将零均值化后的链路流量矩阵进行主成分分析(PCA：PrincipleComponent Analysis)分解，分解为正常空间流量矩阵和异常空间流量矩阵；

(3)幅值检测：对异常空间流量矩阵中每个链路的异常空间流量进行均方预测误差(SPE：Squared Prediction Error)检测，判断得到的SPE值是否小于一个预置的阈值，如果任意一个链路的异常空间流量的SPE值小于该阈值，则说明异常空间是正常的，没有发生DDoS攻击；否则，则说明发生了DDoS攻击。

从上可知，使用上述的技术方案可以对DDoS攻击进行检测，但是，该方案仅仅利用多个链路的流量进行PCA分解，在对幅值进行检测时，仍然还是检测异常空间中单个链路上的异常流量的幅值，由于链路上不仅有DDoS攻击的异常流量，还会存在其他的正常流量，在异常流量相对较小的时候，异常流量会被正常流量所“淹没”，因而只有当异常流量的幅值较大时才能检测；而DDoS攻击由数目众多的被雇用主机沿多条路径同时向受害者发送攻击流量，因此在一条链路上的异常流通常较小，而通信网络中的背景流量及其正常流量变化是很大的，因此仅靠单个链路的异常流量幅值进行检测容易造成漏检。

发明内容

本发明实施例提供了分布式拒绝服务攻击检测方法及装置，使用本发明实施例提供的技术方案，可以根据多个路径的异常流量对DDoS攻击进行检测。

本发明实施例的目的是通过以下技术方案实现的：

本发明实施例提供了一种分布式拒绝服务攻击检测方法，包括：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

将所述平均时域相关系数与预置时域条件进行匹配；

将所述平均频域相关系数与预置频域条件进行匹配；

若所述平均时域相关系数符合预置时域条件、和/或所述平均频域相关系数符合预置频域条件，则表明检测到有攻击所述目的节点的分布式拒绝服务攻击。

本发明实施例提供了一种分布式拒绝服务攻击检测方法，包括：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

将所述平均时域相关系数与预置时域条件进行匹配；

若所述平均时域相关系数符合预置时域条件，则表明检测到有攻击所述目的节点的分布式拒绝服务攻击。

本发明实施例提供了一种分布式拒绝服务攻击检测方法，包括：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

将所述平均频域相关系数与预置频域条件进行匹配；

若所述平均频域相关系数符合预置频域条件，则表明检测到有攻击所述目的节点的分布式拒绝服务攻击。

本发明实施例提供了一种分布式拒绝服务攻击检测装置，包括：

信号流量矩阵获取单元，用于获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元，用于分解所述信号流量矩阵获得异常空间流量矩阵；

平均时域相关系数计算单元，用于根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

平均时域相关系数匹配单元，用于将所述平均时域相关系数与预置时域条件进行匹配。

本发明实施例提供了一种分布式拒绝服务攻击检测装置，包括：

信号流量矩阵获取单元，用于获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元，用于分解所述信号流量矩阵获得异常空间流量矩阵；

平均频域相关系数计算单元，用于根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

平均频域相关系数匹配单元，用于将所述平均频域相关系数与预置频域条件进行匹配。

本发明实施例提供了一种分布式拒绝服务攻击检测装置，包括：

信号流量矩阵获取单元，用于获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元，用于分解所述信号流量矩阵获得异常空间流量矩阵；

相关系数计算单元，用于根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数和/或在频域上的平均频域相关系数；

相关系数匹配单元，用于将所述平均时域相关系数与时域预置条件进行匹配、和/或将所述平均频域相关系数与预置频域条件进行匹配。

从本发明实施例提供的以上技术方案可以看出，由于本发明实施例使用平均时域相关系数或平均频域相关系数对DDoS攻击进行检测，提高了检测的效率，不容易造成漏检；并且，平均时域相关系数或平均频域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

附图说明

图1为本发明实施例中DDoS攻击检测方法实施例一的流程图；

图2为本发明实施例中DDoS攻击检测方法实施例二的流程图；

图3为本发明实施例中DDoS攻击检测方法实施例三的流程图；

图4为本发明实施例中DDoS攻击检测方法实施例四的流程图；

图5为本发明实施例中DDoS攻击检测方法实施例五的流程图；

图6为本发明实施例中DDoS攻击检测装置实施例一的结构图；

图7为本发明实施例中DDoS攻击检测装置实施例二和实施例四的结构图；

图8为本发明实施例中DDoS攻击检测装置实施例三的结构图；

图9为本发明实施例中DDoS攻击检测装置实施例五的结构图。

具体实施方式

为使本发明的目的、技术方案、及优点更加清楚明白，以下参照附图并举实施例，对本发明进一步详细说明。

本发明提供的DDoS检测方法实施例一描述了从时域检测DDoS攻击的过程，如图1所示，包括：

步骤101、获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

信号流量矩阵可以是链路信号流量矩阵，具体可以通过SNMP测量得到链路信号流量矩阵；链路信号流量矩阵描述了到达同一目的节点的路径在不同时刻的链路信号流量，在信号流量矩阵为链路信号流量矩阵时，上述的路径为链路。其中，到达同一目的节点的路径可以是全部的路径，也可以是从全部路径中选取的部分路径，例如在到达某目的节点的路径的数量有限且路径比较稳定，就可以选择全部的路径；若到达某目的节点的路径的数量非常多和/或路径不够稳定，则可以选择其中的部分路径。获取的信号流量矩阵可以用X_t×m表示，每一列描述了一个路径在不同时刻t的信号流量，共有m列；

步骤102、分解信号流量矩阵获得异常空间流量矩阵；

可以采用主成分分析算法将信号流量矩阵分解，得到本发明实施例需要用到的异常空间流量矩阵。具体可以使用PCA(Principle Component Analysis)算法进行上述操作；获得的异常空间流量矩阵的维数与信号流量矩阵相同，异常空间流量矩阵所描述的是到达目的节点的路径在不同时刻的异常信号流量；

步骤103、根据异常空间流量矩阵，计算到达目的节点路径的信号流量在时域上的平均时域相关系数；

如果两个路径有共同的目的节点，则某一时刻该目的节点收到DDoS攻击时，所述的两个路径上的异常信号流量的相关系数比较大；进一步为了更准确的描述所有路径上的异常信号流量的情况，因而可以将计算得到的各个相关系数取平均数，从而得到平均相关系数。异常空间流量矩阵描述的是各个时刻的异常信号流量的信息，因而可以得到路径的信号流量在时域上的平均时域相关系数；

步骤104、将平均时域相关系数与预置时域条件进行匹配。若平均时域相关系数符合预置时域条件，则表明检测到有攻击目的节点的DDoS攻击。

为了能准确地检测DDoS攻击，需要预置相应的时域条件，在得到的平均时域相关系数符合预置时域条件时，就可以判断检测到攻击目的节点的DDoS攻击。其中，预置时域条件可以是一个具体的门限值，在得到的平均时域相关系数后，就可以判断平均时域相关系数是高于还是低于该门限值，从而判断是否检测到DDoS攻击。至于是高于门限值为受到攻击还是低于门限值为受到攻击，可以根据具体的环境确定，例如由相关系数的计算方法确定等。

由于网络流量的相关系数服从正态分布，本发明实施例提供的一种设置门限值的方式是选择一个历史时间段的相关系数的分布情况设置门限值，假设在历史时间段中相关系数的均值为m，方差为δ²，标准差δ，门限系数为α，检测过程就是比较R(t)和m+α×δ的大小的过程，用关系式表示如下：

R(t)≥|m+α×δ|

其中门限系数α可以根据需要进行设置，在计算得到平均时域相关系数R(t)后，如果上式成立，则认为时间点t上存在DDoS攻击，即检测到攻击目的节点的DDoS攻击。

从上可知，由于本实施例使用平均时域相关系数对DDoS攻击进行检测，提高了检测的效率，不容易造成漏检；并且，平均时域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

实施例一使用的是链路信号流量矩阵实现本发明，在实际应用中，本发明实施例可以进一步使用起点终点(OD：Origin-Destination)流流量矩阵来实现本发明，OD流是特定的起点到终点对之间的流量，可以包含多个中间节点。在一个有固定节点数网络中，OD流数远大于链路数，一条链路上的流量往往包含多个不同起始节点对的OD流。在使用OD流流量矩阵时，上述的路径为OD流。OD流流量矩阵的每一行表示网络中一条OD流的流量，整个流量矩阵描述网络流量在各个OD流间的分布情况。其中，OD流的起点和终点根据具体的情况有所不同，例如可以是链路、路由器、网络接入点(POP：Point-Of-Presence)等，相应的OD流流量就可以是链路到链路的流量、路由器到路由器的流量、POP到POP的流量等，因此OD流流量矩阵也可以是基于链路、路由器、POP的流量矩阵等。

在实际应用中，OD流流量可能不能直接测量得到，因而可以通过间接的方法测量得到，本发明实施例提供的一种间接获取OD流流量矩阵的方法如下：

获取链路信号流量矩阵和路由矩阵；根据OD流流量矩阵与链路信号流量矩阵的线性关系，计算与链路信号流量矩阵和路由矩阵对应的OD流流量矩阵；

其中，链路信号流量矩阵可以通过SNMP测量得到，路由矩阵可以通过路由策略和/或网络拓扑获得，链路信号流量矩阵和OD流流量矩阵存在如下的线性关系：

y＝Ax

其中y是列向量，表示链路流量矩阵；A表示路由矩阵，具体可以表示为A＝{a_ij}，其中a_ij是矩阵A的元素，如果OD流j通过链路i，则a_ij＝1，反之，则a_ij＝0；x表示OD流流量矩阵。因此，在得到了链路流量矩阵y和路由矩阵A后，就可以通过他们之间的线性关系计算得到OD流流量矩阵x。

实施例一中采用PCA算法获取异常空间流量矩阵，在实际应用中还可以采用霍特林(Hotelling)变换算法等主成分分析算法获取异常空间流量矩阵。霍特林变换算法是一种坐标变换方法，它可以将一组给定的数据映射到一个新的坐标系下。当原始数据列向量是零均值时，变换后的数据将保留原始数据的信息量。在新坐标系下，每个坐标轴携带的信息量从大到小排列，第一个坐标轴携带最大的信息量，第二个坐标轴次之，最后一个坐标轴携带的信息量最小。同时排列在前面很少几个坐标轴携带的信息量占总信息量的很大比例，因此可以用前面几个坐标轴的信息量来重构所有信息量。

假设信号X在归一化正交矢量V上的展开X＝VY，对于重构系数y_i，若要求重构系数间互不相关，则：

E{[y_i-E(y_i)][y_j-E(y_j)]^*}＝λ_jδ_ji

其中

${\mathrm{\δ}}_{\mathrm{ji}}=\left\{\begin{array}{cc}1& i=j\\ 0& i\≠j\end{array}\right.$

即当i＝j时，上式左边是向量y_i的方差var(y_i)，右边为常数；当i≠j时，左边是y_i和y_j的协方差cov(y_i，y_j)，右边为0。因此Y的协方差矩阵就是一个对角阵diag(cov(y_i，y_j))。

根据式上式可推得正交矢量V_j应满足：

cov{X，X}V_j＝λ_jV_j

即正交矢量V_j是X的协方差矩阵cov{X，X}的特征向量，也就是主成分。因此信号X的霍特林变换展开可以表示为：

X＝[V₁，...，V_N][y₁，...，y_N]^T＝VY

根据这个对应关系，本发明实施例提供的一种采用霍特林变换算法获取异常空间流量矩阵的方法如下：

首先，将X_t×m的每一列进行零均值化，零均值化后得到的也是一个t×m的矩阵，用Z表示，然后计算Z^TZ的特征值和特征向量，其中Z^T是Z的转置矩阵，得到的特征值对应X_t×m的能量，特征向量对应主轴，按照特征值从大到小的关系排列特征值和特征向量，在重新排列后的主轴中，前面的主轴携带的信息量较大，后面的主轴携带的信息量逐渐减弱；

其次，选取能够代表X_t×m的大部分能量的r个主轴；有多种选取r个主轴的方法，具体可以根据需要的精确度来选择；例如可以选择主轴中信息量大的一半主轴；也可以取特征值的平均值，选取所有特征值大于平均值的主轴；

最后，利用计算得到的r个主成分将Z分解为正常流量空间矩阵和异常流量空间矩阵；每个主成分都是一个m维的向量，选取的r个主成分就构成了一个的矩阵P_m×r。分解流量矩阵就是用P_m×r将时间点t的流量分解为正常流量空间和异常流量空间。假定z_t是Z一个行向量的转置，也就就是把z_t分解为两个部分，正常部分z_t1异常部分z_t2，并且z_t＝z_t1+z_t2，其中

z_t1＝PP^Tz_t，Z_t2＝(I-PP^T)z_t

通过上式可以计算出z_t2，按照时间点顺序将异常空间流量z_t2作为一个行向量排列就构成了异常空间流量矩阵X″。

再以OD流为例介绍平均时域相关系数的计算，对于两个具有共同目的节点的OD流，如果在某一个时间段该目的节点受到攻击，那么在这个时间段内的相关系数必然比较大。假设攻击流持续时间为T，计算相关系数时在OD流上选择一个时间窗口大小为w₁并满足T≥w₁，这样计算出来的相关系数能比较真实地反映攻击流之间的相关性，此时就可以直接计算上述两个OD流在该时刻的相关系数。

但是在实际应用中，为了使结果更加准确，本发明实施例提供了一种滑动时窗方法，考虑网络延时等因素，攻击流在两个OD流上不可能准确地存在于同一个时间段，这样就引入了w₂时窗。以在2w₂的范围内的一个最大相关系数作为当前相关系数。例如两个OD流分别是OD流i和OD流j，固定OD流i以t为起始点，w₁为宽度的一个范围，对OD流j选取相同的长度，但是起始时间可以在2w₂范围内滑动，这样可以计算出2w₂+1个相关系数，选取最大的一个作为时间点t的时域相关系数。如此再分别计算任取两个OD流的时域相关系数，计算得到的各个时域相关系数的平均数就得到平均时域相关系数。其中w₁和w₂的取值可以根据具体的需要设置，w₁和w₂具体设置为多大并不会影响本发明的实现。

因此本发明实施例提供的一种平均时域相关系数的具体计算过程可以如下：

首先，根据异常空间流量矩阵计算时域相关系数；对于一个目的节点d，在某一个时刻t对应多个源节点，在这里假设在时刻t除目的节点d以外的节点均向目标发送数据包，计算相关系数时需要计算任意两个源节点之间的相关系数。

本发明实施例提供的一种计算两个源节点之间的相关系数的过程如下：

以求OD流i和j的相关系数为例：

在时刻点t，固定OD流i，以t为起始点，在i上截取长度为w₁的向量o_i(t)；

对OD流j截取相同的长度，但是起始时间在(t-w₂，t+w₂)范围内任意一点，作为向量o_j(t)；

通过向量o_i(t)和o_j(t)，可求出一个上述两个向量的相关系数。

根据以上方法，若OD流j上截取向量o_j(t)的起始点在(t-w₂，t+w₂)中滑动，则可以得到不同的向量o_j(t)，这些不同的向量o_j(t)分别与向量o_i(t)求相关系数，共可计算出2w₂+1个相关系数，选取其中最大的一个作为OD流i和j在时间点t的相关系数，因此本发明实施例提供的在时间点t，OD流i和j的相关系数计算表达式如下所示：

R_i，j(t)＝max abs(R(o_i(t)，o_j(t)))

$\left\{\begin{array}{c}i,j\∈\left\{N\right\}\\ i\≠j\\ i\≠d\\ j\≠d\end{array}\right.$

其中，R(o_i(t)，o_j(t))的计算可以按照上述的滑动时窗方法进行，其中N是该网络中所有节点的集合。

其次，计算时域平均相关系数；根据上述计算式可以计算得到时域相关系数矩阵，用R_t，i表示，考虑到计算相关系数时i≠j，这样n-1个节点可以计算出l＝(n-1)²-n＝n²-3n+1个相关系数。将在同一时间点的n²-3n+1个相关系数计算平均值的计算式如下：

$R\left(t\right)=\mathrm{mean}\left(R_{i,j}\left(t\right)\right)=\frac{1}{n^2-3n+1}\underset{i}{\overset{i\∈N}{\mathrm{\Σ}}}\underset{j}{\overset{j\∈N}{\mathrm{\Σ}}}{R}_{i,j}\left(t\right)$

其中

$\left\{\begin{array}{c}i\≠j\\ i\≠d\\ j\≠d\end{array}\right.$

通过上式就可以对目的节点d生成一个待检测的相关系数向量R，R的每一个元素是在时间点t上，所有目标节点为d的源节点之间相关系数的平均值。

本发明提供的DDoS攻击检测方法实施例二如图2所示，实施例二与实施例一相比进一步计算了平均频域相关系数，从而可以从频域检测DDoS攻击，包括：

步骤201、获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

获取的信号流量矩阵可以是链路信号流量矩阵、OD流流量矩阵等描述至目的节点的路径的信号流量的信号流量矩阵；

步骤202、分解信号流量矩阵获得异常空间流量矩阵；

可以采用PCA算法、霍特林变换算法等主成分分析算法分解信号流量矩阵；

步骤203、根据异常空间流量矩阵，计算路径的信号流量在时域上的平均时域相关系数；

步骤204、判断平均时域相关系数是否与预置时域条件匹配；如果是，进入步骤205；如果否，进入步骤206；

步骤205、检测到攻击目的节点的DDoS攻击；结束；

步骤206、根据异常空间流量矩阵，计算路径的信号流量在频域上的平均频域相关系数；

平均频域相关系数的计算与平均时域相关系数的计算方式类似，只是计算时的输入是瞬时频率矩阵；

步骤207、判断平均频域相关系数是否与预置频域条件匹配；如果是，进入步骤205；如果否，进入步骤208；

步骤208、没有检测到攻击目的节点的DDoS攻击。

本实施例在通过平均时域相关系数不能检测出DDoS攻击时，可以进一步通过平均频域相关系数来检测DDoS攻击，从而能够从频域和时域两个方面对DDoS攻击进行检测，进一步提高了检测的效率，减少了漏检；并且，平均频域相关系数和平均时域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

由于获取的异常空间流量矩阵是时域矩阵，因而在计算平均频域相关系数时需要先计算瞬时频率矩阵，本发明实施例提供的计算瞬时频率矩阵的流程如下：计算异常空间流量矩阵的希尔伯特(Hilbert)变换矩阵；计算与异常空间流量矩阵和希尔伯特变换矩阵对应的瞬时频率矩阵。

先介绍希尔伯特变换，对任一连续的时间信号X(t)，它的希尔伯特变换Y(t)为：

$Y\left(t\right)=\frac{1}{\mathrm{\π}}{\∫}_{-\∞}^{+\∞}\frac{X\left(\mathrm{\τ}\right)}{t-\mathrm{\τ}}\mathrm{d\τ}$

X(t)与Y(t)形成一复共轭对，得到解析信号的表达式如下所示：

Z(t)＝X(t)+iY(t)＝a(t)e^iθ(t)

其中， $a\left(t\right)={[X{\left(t\right)}^2+Y{\left(t\right)}^2]}^{\frac{1}{2}}$

$\mathrm{\θ}\left(t\right)=\arctan \frac{X\left(t\right)}{Y\left(t\right)}$

其中a(t)是Z(t)的幅度函数，θ(t)是Z(t)的相位函数，因此瞬时频率ω的表达式如下：

$\mathrm{\ω}\left(t\right)=\frac{\mathrm{d\θ}\left(t\right)}{\mathrm{dt}}$

因此本发明实施例提供的瞬时频率矩阵的计算流程如下：

对时域信号的异常空间流量矩阵X″进行希尔伯特变换可以得到一组解析信号矩阵F″，由解析信号可以计算出信号幅度表达式和相位表达式；

根据瞬时频率的定义，瞬时频率是相位函数对时间的微分，因此对相位函数θ(t)微分可以计算出信号的瞬时频率，从而可以计算出瞬时频率矩阵。以计算得到的瞬时频率矩阵作为输入计算平均频域相关系数，具体的平均频域相关系数计算过程与平均时域相关系数计算过程类似，此处不再赘述。

本发明进一步提供了DDoS攻击检测方法的实施例三，实施例三描述了从频域检测DDoS攻击，如图3所示，包括：

步骤301、获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

获取的信号流量矩阵可以是链路信号流量矩阵、OD流流量矩阵等描述至目的节点的路径的信号流量的信号流量矩阵；

步骤302、分解信号流量矩阵获得异常空间流量矩阵；

可以采用PCA算法、霍特林变换算法等主成分分析算法分解信号流量矩阵；

步骤303、根据异常空间流量矩阵，计算路径的信号流量在频域上的平均频域相关系数；

步骤304、将平均频域相关系数与预置频域条件进行匹配。若平均频域相关系数符合预置频域条件，则表明检测到有攻击所述目的节点的DDoS攻击。

从上可知，由于本实施例使用平均频域相关系数对DDoS攻击进行检测，提高了检测的效率，不容易造成漏检；并且，平均频域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

本发明进一步提供了DDoS攻击检测方法的实施例四，实施例四与实施例三相比进一步描述了从时域检测DDoS攻击，如图4所示，包括：

步骤401、获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

获取的信号流量矩阵可以是链路信号流量矩阵、OD流流量矩阵等描述至目的节点的路径的信号流量的信号流量矩阵；

步骤402、分解信号流量矩阵获得异常空间流量矩阵；

可以采用PCA算法、霍特林变换算法等主成分分析算法分解信号流量矩阵；

步骤403、根据异常空间流量矩阵，计算路径的信号流量在频域上的平均频域相关系数；

具体计算过程如下：计算异常空间流量矩阵的希尔伯特变换矩阵；计算与异常空间流量矩阵和所述希尔伯特变换矩阵对应的瞬时频率矩阵；计算瞬时频率矩阵所描述的路径的信号流量在频域上的平均频域相关系数。

步骤404、判断平均频域相关系数是否与预置频域条件匹配；如果是，进入步骤405；如果否，进入步骤406；

步骤405、检测到攻击目的节点的DDoS攻击；结束；

步骤406、根据异常空间流量矩阵，计算路径的信号流量在频域上的平均时域相关系数；

步骤407、判断平均时域相关系数是否与预置时域条件匹配；如果是，进入步骤405；如果否，进入步骤408；

步骤408、没有检测到攻击目的节点的DDoS攻击。

本实施例在通过平均频域相关系数不能检测出DDoS攻击时，可以进一步通过平均时域相关系数来检测DDoS攻击，从而能够从频域和时域两个方面对DDoS攻击进行检测，进一步提高了检测的效率，减少了漏检；并且，平均时域相关系数和平均频域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

本发明进一步提供了DDoS攻击检测方法的实施例五，如图5所示，包括：

步骤501、获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

步骤502、分解信号流量矩阵获得异常空间流量矩阵；

步骤503、根据异常空间流量矩阵，计算路径的信号流量在时域上的平均时域相关系数；

步骤504、根据异常空间流量矩阵，计算路径的信号流量在频域上的平均频域相关系数；

步骤505、将平均时域相关系数与预置时域条件进行匹配；

步骤506、将平均频域相关系数与预置频域条件进行匹配。

若平均时域相关系数符合预置时域条件、和/或平均频域相关系数符合预置频域条件，则表明检测到有攻击目的节点的DDoS攻击。

其中，选取平均频域相关系数还是选取平均时域相关系数，还是两者都选取可以根据具体的环境来确定；例如，对频域要求高的可以只选择平均频域相关系数，对时域要求高的可以只选择平均时域相关系数，对两者要求都高的就可以同时选择平均频域相关系数和平均时域相关系数；或者对两者没有什么要求的，也可以两个都选择，但是只要其中任一符合预置条件都可以认为检测到DDoS攻击；

其中步骤502和步骤503并没有时间上的先后顺序，并且步骤505只要在步骤502之后进行就可以，同样步骤506也只需要在步骤503之后进行就可以。

该实施例，从频域和时域两个方面对DDoS攻击进行检测，提高了检测的效率，减少了漏检；并且，平均时域相关系数和平均频域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

可以理解的是，本发明实施例综合考虑了全局的OD流或链路，即考察OD流之间和链路之间的相关性，而攻击发生时，OD流之间和链路之间的相关性增强，因此考察OD流之间和链路之间的相关性可以提高检测的准确性；进一步，由于攻击的异常信号可能仅在时域上或者频域上才表现出异常，因此对时域相关性和频域相关性同时进行分析，可以进一步减少漏检的可能性；并且，本发明实施例可以将检测位置从受害者网络转移到运营商网络，离攻击源更近，因此可以更快、更准确的检测到DDoS攻击。

以上对本发明实施例提供的DDoS攻击检测方法进行了详细描述，开始介绍本发明实施例提供的DDoS攻击检测装置，图6描述了本发明提供的DDoS攻击检测装置实施例一，包括：

信号流量矩阵获取单元601，用于获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元602，用于分解信号流量矩阵获得异常空间流量矩阵；

平均时域相关系数计算单元603，用于根据异常空间流量矩阵，计算路径的信号流量在时域上的平均时域相关系数；

平均时域相关系数匹配单元604，用于将平均时域相关系数与预置时域条件进行匹配。

从上可知，由于本实施例使用平均时域相关系数对DDoS攻击进行检测，提高了检测的效率，不容易造成漏检；并且，平均时域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

本发明提供的DDoS攻击检测装置实施例二如图7所示，包括：

信号流量矩阵获取单元701，用于获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元702，用于分解信号流量矩阵获得异常空间流量矩阵；

平均时域相关系数计算单元703，用于根据异常空间流量矩阵，计算路径的信号流量在时域上的平均时域相关系数；

平均时域相关系数匹配单元704，用于将平均时域相关系数与预置时域条件进行匹配；

平均频域相关系数计算单元705，用于在平均时域相关系数匹配单元704判断平均时域相关系数与预置时域条件不匹配时，根据异常空间流量矩阵，计算路径的信号流量在频域上的平均频域相关系数；

其包括：希尔伯特变换矩阵计算单元，用于在平均时域相关系数匹配单元704判断平均时域相关系数与预置时域条件不匹配时，计算异常空间流量矩阵的希尔伯特变换矩阵；瞬时频率矩阵计算单元，用于计算与异常空间流量矩阵和希尔伯特变换矩阵对应的瞬时频率矩阵；相关系数计算单元，用于计算瞬时频率矩阵所描述的路径的信号流量在频域上的平均频域相关系数；

平均频域相关系数匹配单元706，用于将平均频域相关系数与预置频域条件进行匹配。

本实施例在通过平均时域相关系数不能检测出DDoS攻击时，可以进一步通过平均频域相关系数来检测DDoS攻击，从而能够从频域和时域两个方面对DDoS攻击进行检测，进一步提高了检测的效率，减少了漏检；并且，平均频域相关系数和平均时域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

本发明提供的DDoS攻击检测装置实施例三如图8所示，包括：

信号流量矩阵获取单元801，用于获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元802，用于分解所述信号流量矩阵获得异常空间流量矩阵；

平均频域相关系数计算单元803，用于根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

其包括：希尔伯特变换矩阵计算单元，用于计算异常空间流量矩阵的希尔伯特变换矩阵；瞬时频率矩阵计算单元，用于计算与异常空间流量矩阵和希尔伯特变换矩阵对应的瞬时频率矩阵；相关系数计算单元，用于计算瞬时频率矩阵所描述的路径的信号流量在频域上的平均频域相关系数；

平均频域相关系数匹配单元804，用于将平均频域相关系数与预置频域条件进行匹配。

从上可知，由于本实施例使用平均频域相关系数对DDoS攻击进行检测，提高了检测的效率，不容易造成漏检；并且，平均频域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

本发明实施例进一步提供了DDoS攻击检测装置的实施例四，如图7所示，包括：

信号流量矩阵获取单元701，用于获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元702，用于分解信号流量矩阵获得异常空间流量矩阵；

平均频域相关系数计算单元705，用于根据异常空间流量矩阵，计算路径的信号流量在频域上的平均频域相关系数；

平均频域相关系数匹配单元706，用于将平均频域相关系数与预置频域条件进行匹配；

平均时域相关系数计算单元703，用于在平均时域相关系数判断单元605判断平均频域相关系数与预置频域条件不匹配时，根据异常空间流量矩阵，计算路径的信号流量在时域上的平均时域相关系数；

平均时域相关系数匹配单元704，用于将平均时域相关系数与预置时域条件进行匹配。

本实施例在通过平均频域相关系数不能检测出DDoS攻击时，可以进一步通过平均时域相关系数来检测DDoS攻击，从而能够从频域和时域两个方面对DDoS攻击进行检测，进一步提高了检测的效率，减少了漏检；并且，平均时域相关系数和平均时域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

本发明实施例提供的DDoS攻击检测装置实施例五如图9所示，包括：

信号流量矩阵获取单元901，用于获取信号流量矩阵，信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元902，用于分解信号流量矩阵获得异常空间流量矩阵；

相关系数计算单元903，用于根据异常空间流量矩阵，计算路径的信号流量在时域上的平均时域相关系数和/或在频域上的平均频域相关系数；

相关系数匹配单元904，用于将平均时域相关系数与时域预置条件进行匹配、和/或将平均频域相关系数与预置频域条件进行匹配。

该实施例，从频域和时域两个方面对DDoS攻击进行检测，提高了检测的效率，减少了漏检；并且，平均时域相关系数和平均频域相关系数是根据到达同一目的节点的多个路径上的异常空间流量计算的，因而即使某些路径上的异常流量信号不强也能够有效的检测DDoS攻击。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括如下步骤：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

若所述平均时域相关系数符合时域预置条件，则检测到攻击所述目的节点的分布式拒绝服务攻击。

或包括如下步骤：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

若所述平均频域相关系数符合频域预置条件，则检测到攻击所述目的节点的分布式拒绝服务攻击。

或包括如下步骤：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

将所述平均时域相关系数与预置时域条件进行匹配；

将所述平均频域相关系数与预置频域条件进行匹配。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上对本发明实施例所提供的分布式拒绝服务攻击检测方法及装置进行了详细介绍，以上实施例的说明只是用于帮助理解本发明的方法及其思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (20)

1.一种分布式拒绝服务攻击检测方法，其特征在于，包括：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

将所述平均时域相关系数与预置时域条件进行匹配；

将所述平均频域相关系数与预置频域条件进行匹配；

若所述平均时域相关系数符合预置时域条件、和/或所述平均频域相关系数符合预置频域条件，则表明检测到有攻击所述目的节点的分布式拒绝服务攻击。

2.如权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述计算所述路径的信号流量在频域上的平均频域相关系数具体为：

计算所述异常空间流量矩阵的希尔伯特变换矩阵；

计算与所述异常空间流量矩阵和所述希尔伯特变换矩阵对应的瞬时频率矩阵；

计算所述瞬时频率矩阵所描述的所述路径的信号流量在频域上的平均频域相关系数。

3.如权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，采用主成分分析算法分解所述信号流量矩阵获得异常空间流量矩阵。

4.如权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述信号流量矩阵为链路信号流量矩阵。

5.如权利要求4所述的分布式拒绝服务攻击检测方法，其特征在于，所述链路信号流量矩阵通过简单网络管理协议测量获取。

6.如权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述信号流量矩阵为起点终点流流量矩阵。

7.如权利要求6所述的分布式拒绝服务攻击检测方法，其特征在于，使用如下流程获取所述起点终点流流量矩阵：

获取链路信号流量矩阵和路由矩阵；

根据链路信号流量矩阵与起点终点流流量矩阵的线性关系，计算与所述链路信号流量矩阵和所述路由矩阵对应的起点终点流流量矩阵。

8.一种分布式拒绝服务攻击检测方法，其特征在于，包括：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

将所述平均时域相关系数与预置时域条件进行匹配；

若所述平均时域相关系数符合预置时域条件，则表明检测到有攻击所述目的节点的分布式拒绝服务攻击。

9.如权利要求8所述的分布式拒绝服务攻击检测方法，其特征在于，若所述平均时域相关系数不符合所述预置时域条件，该方法进一步包括：

根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

将所述平均频域相关系数与预置频域条件进行匹配；

若所述平均频域相关系数符合预置频域条件，则表明检测到攻击所述目的节点的分布式拒绝服务攻击。

10.如权利要求8所述的分布式拒绝服务攻击检测方法，其特征在于，使用如下流程获取所述起点终点流流量矩阵：

获取链路信号流量矩阵和路由矩阵；

根据链路信号流量矩阵与起点终点流流量矩阵的线性关系，计算与所述链路信号流量矩阵和所述路由矩阵对应的起点终点流流量矩阵。

11.一种分布式拒绝服务攻击检测方法，其特征在于，包括：

获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

分解所述信号流量矩阵获得异常空间流量矩阵；

根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

将所述平均频域相关系数与预置频域条件进行匹配；

若所述平均频域相关系数符合预置频域条件，则表明检测到有攻击所述目的节点的分布式拒绝服务攻击。

12.如权利要求11所述的分布式拒绝服务攻击检测方法，其特征在于，若所述平均频域相关系数不符合所述预置频域条件，该方法进一步包括：

根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均时域相关系数；

将所述平均时域相关系数与预置时域条件进行匹配；

若所述平均时域相关系数符合预置时域条件，则表明检测到攻击所述目的节点的分布式拒绝服务攻击。

13.如权利要求11所述的分布式拒绝服务攻击检测方法，其特征在于，根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数具体为：

计算所述异常空间流量矩阵的希尔伯特变换矩阵；

计算与所述异常空间流量矩阵和所述希尔伯特变换矩阵对应的瞬时频率矩阵；

计算所述瞬时频率矩阵所描述的所述路径的信号流量在频域上的平均频域相关系数。

14.如权利要求11所述的分布式拒绝服务攻击检测方法，其特征在于，使用如下流程获取所述起点终点流流量矩阵：

获取链路信号流量矩阵和路由矩阵；

根据链路信号流量矩阵与起点终点流流量矩阵的线性关系，计算与所述链路信号流量矩阵和所述路由矩阵对应的起点终点流流量矩阵。

15.一种分布式拒绝服务攻击检测装置，其特征在于，包括：

信号流量矩阵获取单元，用于获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元，用于分解所述信号流量矩阵获得异常空间流量矩阵；

平均时域相关系数计算单元，用于根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

平均时域相关系数匹配单元，用于将所述平均时域相关系数与预置时域条件进行匹配。

16.如权利要求15所述的分布式拒绝服务攻击检测装置，其特征在于，还包括：

平均频域相关系数计算单元，用于在所述平均时域相关系数判断单元判断没有检测到攻击所述目的节点的分布式拒绝服务攻击时，根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

平均频域相关系数匹配单元，用于将所述平均频域相关系数与预置频域条件进行匹配。

17.一种分布式拒绝服务攻击检测装置，其特征在于，包括：

信号流量矩阵获取单元，用于获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元，用于分解所述信号流量矩阵获得异常空间流量矩阵；

平均频域相关系数计算单元，用于根据所述异常空间流量矩阵，计算所述路径的信号流量在频域上的平均频域相关系数；

平均频域相关系数匹配单元，用于将所述平均频域相关系数与预置频域条件进行匹配。

18.如权利要求17所述的分布式拒绝服务攻击检测装置，其特征在于，还包括：

平均时域相关系数计算单元，用于在所述平均频域相关系数判断单元判断没有检测到攻击所述目的节点的分布式拒绝服务攻击时，根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数；

平均时域相关系数匹配单元，用于将所述平均时域相关系数与预置时域条件进行匹配。

19.如权利要求17所述的分布式拒绝服务攻击检测装置，其特征在于，所述平均频域相关系数计算单元包括：

希尔伯特变换矩阵计算单元，用于计算所述异常空间流量矩阵的希尔伯特变换矩阵；

瞬时频率矩阵计算单元，用于计算与所述异常空间流量矩阵和所述希尔伯特变换矩阵对应的瞬时频率矩阵；

相关系数计算单元，用于计算所述瞬时频率矩阵所描述的所述路径的信号流量在频域上的平均频域相关系数。

20.一种分布式拒绝服务攻击检测装置，其特征在于，包括：

信号流量矩阵获取单元，用于获取信号流量矩阵，所述信号流量矩阵描述至目的节点的路径的信号流量；

异常空间流量矩阵获得单元，用于分解所述信号流量矩阵获得异常空间流量矩阵；

相关系数计算单元，用于根据所述异常空间流量矩阵，计算所述路径的信号流量在时域上的平均时域相关系数和/或在频域上的平均频域相关系数；

相关系数匹配单元，用于将所述平均时域相关系数与时域预置条件进行匹配、和/或将所述平均频域相关系数与预置频域条件进行匹配。

Images