CN106713220A - 基于ddos攻击防范方法和装置 - Google Patents

Abstract

本发明公开了一种基于DDOS攻击防范方法，包括步骤：通过预设的检测方法检测云环境中的终端，得到检测结果；当所述检测结果表示所述终端受到DDOS攻击时，建立服务器副本；对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中。本发明还公开了一种基于DDOS攻击防范装置。本发明解决了DDOS攻击对云环境下的安全威胁。

Description

基于DDOS攻击防范方法和装置

技术领域

本发明涉及通信技术领域，尤其涉及一种基于DDOS攻击防范方法和装置。

背景技术

DDOS(Distributed Denial of Service，分布式拒绝服务)攻击是当今互联网最重要的威胁之一。拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至是网络带宽，从而阻止正常终端的访问。

相对于传统的网络平台，当前云计算平台的发展十分迅速，大多数的云计算系统均采用Hadoop平台作为云计算基础框架结构，其作为目前主流的云平台也面临着来自DDOS攻击的威胁。在云平台中，资源的有效整合是通过网络来进行的，在一个云平台下分布着很多计算机集群中心，每一个集群都包含着数量庞大的计算机或服务器。当一个集群收到了DDOS攻击，那么这些攻击通常是针对集群中的某个或某些云节点的DDOS攻击。这时候DDOS攻击对云环境的威胁是巨大的。然而传统网络环境下应对DDOS攻击的方法应用到云环境下会存在诸多缺点，如效率相对较低，对资源利用率不够等。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种基于DDOS攻击防范方法和装置，旨在解决DDOS攻击对云环境下的安全威胁。

为实现上述目的，本发明提供的一种基于DDOS攻击防范方法，包括步骤：

通过预设的检测方法检测云环境中的终端，得到检测结果；

当所述检测结果表示所述终端受到DDOS攻击时，建立服务器副本；

对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中。

优选地，所述对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中的步骤包括：

对所述终端进行数据包的信任值的计算，得到计算结果；

根据所述计算结果得到所述信任值的阈值；

根据所述信任值的阈值，利用负载均衡器将所述受到DDOS攻击的终端重定向到所述服务器副本中。

优选地，所述通过预设的检测方法检测云环境中的终端，得到检测结果的步骤包括：

通过预设的计算方法计算云环境中终端的数据包跳动位移的平均绝对误差；

将所述数据包跳动位移的平均绝对误差与预设阀值进行比较；

当所述终端的数据包跳动位移的平均绝对误差大于所述预设阈值时，判定所述终端受到DDOS攻击。

优选地，所述将所述数据包跳动位移的平均绝对误差与预设阀值进行比较的步骤之后，还包括：

当所述终端的数据包跳动位移的平均绝对误差不大于所述预设阈值时，判定所述终端未受到DDOS攻击。

优选地，所述当所述终端的数据包跳动位移的平均绝对误差不大于所述预设阈值时，判定所述终端未受到DDOS攻击的步骤之后，还包括：

当所述终端未受到DDOS攻击时，接收所述终端传入的数据包，计算所述终端的数据包的信任值；

根据所述信任值更新概要文件，以供所述终端受到DDOS攻击时，根据所述概要文件生成数据包的信任值的阈值。

此外，为实现上述目的，本发明还提供一种基于分布式拒绝服务DDOS攻击防范装置，所述装置包括：

检测模块，用于通过预设的检测方法检测云环境中的终端，得到检测结果；

建立模块，用于当所述检测结果表示所述终端受到DDOS攻击时，建立服务器副本；

计算模块，用于对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中。

优选地，所述计算模块包括：

第一计算单元，用于对所述终端进行数据包的信任值的计算，得到计算结果；

处理单元，用于根据所述计算结果得到所述信任值的阈值；

重定向单元，用于根据所述信任值的阈值，利用负载均衡器将所述受到DDOS攻击的终端重定向到所述服务器副本中。

优选地，所述检测模块包括：

第二计算单元，用于通过预设的计算方法计算云环境中终端的数据包跳动位移的平均绝对误差；

比较单元，用于将所述数据包跳动位移的平均绝对误差与预设阀值进行比较；

第一判定单元，用于当所述终端的数据包跳动位移的平均绝对误差大于所述预设阈值时，判定所述终端受到DDOS攻击。

优选地，所述检测模块还包括：

第二判定单元，用于当所述终端的数据包跳动位移的平均绝对误差不大于所述预设阈值时，判定所述终端未受到DDOS攻击。

优选地，所述检测模块还包括：

接收单元，用于当所述终端未受到DDOS攻击时，接收所述终端传入的数据包，计算所述终端的数据包的信任值；

更新单元，用于根据所述信任值更新概要文件，以供所述终端受到DDOS攻击时，根据所述概要文件生成数据包的信任值的阈值。

本发明通过检测出云环境中的终端受到DDOS攻击时，建立服务器副本，对所述终端进行数据包的信任值计算，根据所计算的信任值将受到DDOS攻击的终端重定向到所述服务器副本中，将良性终端和攻击者分离。解决了DDOS攻击对云环境下的安全威胁。

附图说明

图1为本发明基于DDOS攻击防范方法的第一实施例的流程示意图；

图2为本发明基于DDOS攻击防范方法的第二实施例的流程示意图；

图3为本发明基于DDOS攻击防范方法的第三实施例的流程示意图；

图4为本发明基于DDOS攻击防范装置的第一实施例的功能模块示意图；

图5为本发明基于DDOS攻击防范装置的第二实施例的功能模块示意图；

图6为本发明基于DDOS攻击防范装置的第三实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：通过预设的检测方法检测云环境中的终端，得到检测结果；当所述检测结果表示所述终端受到DDOS攻击时，建立服务器副本；对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中。通过检测出云环境中的终端受到DDOS攻击时，建立服务器副本，对所述终端进行数据包的信任值计算，根据所计算的信任值将受到DDOS攻击的终端重定向到所述服务器副本中，将良性终端和攻击者分离。解决了DDOS攻击对云环境下的安全威胁。

由于现有的云环境在网络层、主机层以及应用层具有资源共享的特性，而DDOS攻击对于这样的资源共享中心的威胁是巨大的。

基于上述问题，本发明提供一种基于DDOS攻击防范方法。

参照图1，图1为本发明基于DDOS攻击防范方法的第一实施例的流程示意图。

在本实施例中，所述基于DDOS攻击防范方法包括：

步骤S10，通过预设的检测方法检测云环境中的终端，得到检测结果；

在云环境中，至少放置一个负载均衡器。所述云环境通过负载均衡器创建服务器副本，并通过所述负载均衡器将一个终端分配到一个活跃的服务器副本中。每一个终端都由对应的IP(Internet Protocol，网络之间互连的协议)地址或是DNS(Domain Name System，域名系统)域名关联起来，在进入云环境时，所述云环境通过负载均衡器将所述终端随机分配到一个活跃的服务器中。所以每一个终端的IP地址或者是DNS域名可以匹配一个副本服务器。所述云环境通过所述负载均衡器跟踪所有活跃的服务器副本。每个负载均衡器都将维护一个最新的在线服务器副本的列表。所述云环境通过所述负载均衡器记录当前活跃的服务器副本，同时根据负载均衡算法将新终端分配到服务器副本中，来响应每个由IP绑定的终端的请求。所述终端与所述云环境中的服务器是一一对应的，为了维持正常请求服务，是由所述云环境中的负载均衡服务器充当中间者。一个请求是一个终端发送，由一个服务器副本提供服务。在所述负载均衡器中需要对此每一个请求任务建立链接。因此，所述服务器副本会将终端的IP地址添加到自身所带的白名单中，当所述服务器副本与所述终端建立链接时，所述服务器副本将会向所述终端提供相应的请求服务。

所述云环境通过预设的检测方法检测云环境中的终端的数据包，得到检测结果，根据所述检测结果判断所述终端是否受到了DDOS攻击。所述预设的检测方法为DBTS(Distance-Based Traffic Separation，基于距离的流量分离)DDOS检测技术，通过使用线性预测的方式来估计数据包不同距离的流量速率，即通过数据包不同的跳动位移的流量速率，利用指数平滑估计技术估计下一个时间点数据包的跳动位移平均值。计算跳动位移平均值的主要方式是利用IP报头中的TTL(Time To Live，生存时间值)字段，所述数据包在传输过程中，每个路由器会将所述IP报头中的TTL值减一。因此，所述数据包的跳动位移是最后的TTL值减去初始的值。由于大多数操作系统只选择几个固定的初始TTL值，所述固定的初始TTL值为30，32，60，64，128和255，而且大多数互联网主机可以达到30跳。因此，初始值可以通过选择大于最后的TTL值中所有可能情况中最小的一个。

步骤S20，当所述检测结果表示所述终端受到DDOS攻击时，建立服务器副本；

当云环境根据其通过预设的检测方法得到的检测结果表明所述终端受到DDOS攻击时，所述云环境通过其防御模型动态的建立新的服务器副本，并通过其弹性资源和巨大的规模来实例化并隐藏所述新的服务器副本。所述实例化是当云环境中出现DDOS攻击时，需要从云端分配资源，但是仅有的资源并不能提供服务，因此需要对这些资源实例化，也就是部署可以提供终端请求访问的程序。

为了应对DDOS攻击，所述云环境根据当前终端的发送请求访问的数量，通过监测CPU(Central Processing Unit，中央处理器)的运行速率、内存消耗等来决定需要建立多少个需要受保护的服务器副本，并确保所述服务器副本绑定到一个唯一的IP地址或DNS域名上。当一些服务器副本受到DDOS攻击时，所述云环境将大量替代服务器副本实例化，将对所述终端进行的服务的服务器在整个服务器副本组中重新分配，执行所述终端到所述服务器副本的转移。

步骤S30，对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中。

云环境为了将受到DDOS攻击的数据包从其终端正常的请求访问中区分开来，统计所述终端合法数据包内部的特征结构。在所述统计方法中，重点研究传输层和网络层，所述传输层和网络层主要通过统计的是IP报头和TCP(Transmission Control Protocol，传输控制协议)报头的基本信息进行关联。由于所述终端的操作系统、网络结构甚至兴趣爱好的原因导致所述IP报头和TCP报头的基本信息包含的属性是独特的，并且使一些属性对存在相关特性。因此，通过计算所述传输层和网络层的关联模式的数据包的信任值的方法判断所述终端数据包的合法性。所述云环境将受攻击终端重定向到新的服务器副本中，即所述云环境对于受到DDOS攻击的终端进行数据包的信任值的计算，根据所述数据包的信任值的计算结果将所述受到DDOS攻击的终端重定向到所述新的服务器副本中，将良性终端和DDOS攻击者分离。

本实施例通过检测出云环境中的终端受到DDOS攻击时，建立新的服务器副本，对所述终端进行数据包的信任值计算，根据所计算的信任值将受到DDOS攻击的终端重定向到所述新的服务器副本中，将良性终端和攻击者分离。解决了DDOS攻击对云环境下的安全威胁。

参照图2，图2为本发明基于DDOS攻击防范方法第二实施例的流程示意图，基于第一实施例提出本发明基于DDOS攻击防范方法第二实施例。

在本实施例中，所述步骤S30包括：

步骤S31，对所述终端进行数据包的信任值的计算，得到计算结果；

步骤S32，根据所述计算结果得到所述信任值的阈值；

步骤S33，根据所述信任值的阈值，利用负载均衡器将所述受到DDOS攻击的终端重定向到所述服务器副本中。

云环境对受到DDOS攻击的终端进行数据包的信任值的计算。所述信任值表示对某一个属性或者属性对的信任程度。所述信任值存在三个定义。①信任值为在数据流中属性流出现的频率，分别包括单属性的信任值和属性对的信任值。所述单属性的信任值为：CAi＝ai，j＝NAi＝ai，jNt；所述属性对的信任值为：CAi1＝ai1，j1，Ai2＝ai2，j2＝NAi1＝ai1，j1，Ai2＝ai2，j2Nt。其中，i＝1,2,3,…,n，j＝1,2,3,…,mi，i1＝1,2,3,…,n，j1＝1,2,3,…,m1，j2＝1,2,3,…,m2。n为总共参与计算的属性数量，Ai为数据报中第i个属性，mi为属性Ai可以拥有值的个数，NAi＝ai，j为在t时间间隔内包含属性Ai的值为ai，j的个数，NAr＝ar,x,As＝as，y为在t时间间隔内包含的属性Ar为ar，x并且属性As为as，y的个数。根据所述信任值的第一个定义，可知在所述终端合法数据包流中，单属性或者属性对出现的次数越多，则所述终端得到的信任值就越高。②对一个数据包中的各个属性的CBF(Confidence-Based Filtering，基于信任值过滤)加权计算得到对终端的评判得分，公式为：Scorep＝k＝1dWAk1，Ak2CAi1＝ai1，j1，Ai2＝ai2，j2k＝1dWAk1，Ak2；其中，p为数据流中的具体数据包，pi为数据包p中属性Ai的值，d为参与计算的包的属性对的个数，Ak1和Ak2为第k个属性对中的两个属性，WAk1，Ak2为第k个属性对对应的权重值，由于每一个信任值的范围在[0，1]中，所以Score(p)的值会在[0，1]范围当中。由于属性对的信任值不能够被攻击端复制。因此，所述数据包获得的分越高则意味着出现的次数越多，也就意味着有更高的安全性。③根据CBF计算的得分结果划分的具体阈值来决定所述数据包是否是攻击包。所述CBF计算过程包括生成两次阈值，第一次用于分离良性终端，第二次用于分离攻击者。

云环境在正常情况下通过提取其终端的数据包中属性值生成概要文件，即计算良性终端的数据包属性值的信任值，形成阈值。所述良性终端的数据包属性值的信任值会与所述概要文件中统计的值相同。当云环境中的终端受到DDOS攻击期间，所述云环境先停止生成概要文件，同时从所述终端传入的数据包中提取属性值对，然后根据所提取的属性值对所述概要文件进行搜索，然后通过所述CBF进行计算，即计算攻击者的数据包属性值的信任值，将所述攻击者终端的数据包属性值的信任值与所述概要文件中统计的值进行对比，即与所述阈值进行对比，会发现所述攻击者的数据包属性值的信任值与所述阈值差别较大。所述云环境通过其负载均衡器将受到DDOS攻击的终端重定向到新的服务器副本中，将良性终端和攻击者分离。并将小于所述阈值的服务器副本上的终端重新生成概要文件，并等待固定的时间间隔后重新通过所述CBF进行计算，再次设置阈值用于判断数据包是否通过。云环境通过多次对其终端的信任值的计算，将攻击者过滤。

本实施例通过对终端进行数据包的信任值的计算，利用负载均衡器将所述受到DDOS攻击的终端重定向到所述服务器副本中，将良性终端和攻击者区分开并实现对攻击者的过滤。保证了云服务器中的服务器副本在满足正常情况下终端的请求时，可以很好的应用于对突发性的DDOS攻击场景，有效地防范DDOS攻击。

参照图3，图3为本发明基于DDOS攻击防范方法第三实施例的流程示意图，基于第一实施例提出本发明基于DDOS攻击防范方法第三实施例。

在本实施例中，所述步骤S10包括：

步骤S11，通过预设的计算方法计算云环境中终端的数据包跳动位移的平均绝对误差；

云环境通过预设的计算方法计算云环境中终端的数据包跳动位移的平均绝对误差。所述预设的计算方法为指数平滑方法。所述数据包跳动位移指的是数据包中TTL值的变化。云环境中的异常检测依赖于正常情况与偏差情况的区别，即首先基于统计技术，得出正常状态对应的某个值，当当前状态计算的结果与之前正常情况下计算的结果发生大的偏差时，则判定当前为异常状态。所述指数平滑方法可以应用于实时检测IP通信的往返时间。在本实施例当中，所述指数平滑方法预测所述终端数据包在t+1时刻的跳动位移平均值的方法为：dt+1＝dt+w*(Mt-dt)，其中，dt是在t-1时刻预测在t时刻的跳动位移值，dt+1是在t+1时刻的跳动位移值，Mt是在t时刻的实际测量值，所述Mt通过数据包中的TTL字段可以得知，w是平滑指数，Mt-dt是在t时刻的预测误差，如果w值较大，则最后一个的误差将会在下一个预测中有更大的比重，因此，预测值将会更加接近实际的跳动位移值。为了确定当前跳动位移是否处于是否处于正常状态，所述云环境通过使用所述指数平滑方法计算其终端的数据包跳动位移的MAD(Mean Absolute Difference，平均绝对误差)，具体方法为：MADt+1＝r*et+1-r*MADt，其中，MADt为在t时刻的MAD，r为平滑指数，et是在t时刻的预测误差值。所述云环境利用MADt+1＝r*et+1-r*MADt计算出所述终端数据包跳动位移的平均绝对误差，

步骤S12，将所述数据包跳动位移的平均绝对误差与预设阀值进行比较；

步骤S13，当所述终端的数据包跳动位移的平均绝对误差大于所述预设阈值时，判定所述终端受到DDOS攻击。

云环境在利用指数平滑方法计算其终端当前数据包跳动位移的平均绝对误差之前，通过指数平滑方式计算当所述终端没有受到DDOS攻击时，其数据包跳动位移的平均绝对误差，根据在正常情况下得到所述数据包跳动位移的平均绝对误差设置预设阈值。将在下一个时间点下计算得出的所述终端的数据包跳动位移的平均绝对误差与所述预设阈值进行对比，当下一个时间点所述终端的数据包跳动位移的平均绝对误差大于所述预设阈值时，云环境判定所述终端受到DDOS攻击。

步骤S14，当所述终端的数据包跳动位移的平均绝对误差不大于所述预设阈值时，判定所述终端未受到DDOS攻击。

步骤S15，当所述终端未受到DDOS攻击时，接收所述终端传入的数据包，计算所述终端的数据包的信任值；

步骤S16，根据所述信任值更新概要文件，以供所述终端受到DDOS攻击时，根据所述概要文件生成数据包的信任值的阈值。

当云环境在下一个时间点所述终端的数据包跳动位移的平均绝对误差小于或者等于所述预设阈值时，所述云环境判定所述终端未受到DDOS攻击。

当云环境中的终端未受到DDOS攻击时，只需要少数的服务器副本就可以维持所述终端正常的访问请求。所述云环境接收所述终端传入的数据包，提取所述数据包中的属性对，根据所述属性对计算出对应的数据包的信任值，根据所述数据包的信任值更新所述概要文件，以供所述终端受到DDOS攻击时根据所述概要文件生成数据包的信任值的阈值。

在本实施例通过指数平滑方法计算出云环境中终端数据包跳动位移的平均绝对误差，根据所述平均绝对误差判断所述终端是否受到DDOS攻击。利用基于平均跳动位移估计的DDOS攻击检测技术实现了当云环境中的终端受到DDOS攻击时，能够快速地对DDOS攻击进行防范。

本发明进一步提供一种基于DDOS攻击防范装置。

参照图4，图4为本发明基于DDOS攻击防范装置的第一实施例的功能模块示意图。

在本实施例中，所述基于DDOS攻击防范装置包括：

检测模块10，用于通过预设的检测方法检测云环境中的终端，得到检测结果；

在云环境中，至少放置一个负载均衡器。所述云环境通过负载均衡器创建服务器副本，并通过所述负载均衡器将一个终端分配到一个活跃的服务器副本中。每一个终端都由对应的IP(Internet Protocol，网络之间互连的协议)地址或是DNS(Domain Name System，域名系统)域名关联起来，在进入云环境时，所述云环境通过负载均衡器将所述终端随机分配到一个活跃的服务器中。所以每一个终端的IP地址或者是DNS域名可以匹配一个副本服务器。所述云环境通过所述负载均衡器跟踪所有活跃的服务器副本。每个负载均衡器都将维护一个最新的在线服务器副本的列表。所述云环境通过所述负载均衡器记录当前活跃的服务器副本，同时根据负载均衡算法将新终端分配到服务器副本中，来响应每个由IP绑定的终端的请求。所述终端与所述云环境中的服务器是一一对应的，为了维持正常请求服务，是由所述云环境中的负载均衡服务器充当中间者。一个请求是一个终端发送，由一个服务器副本提供服务。在所述负载均衡器中需要对此每一个请求任务建立链接。因此，所述服务器副本会将终端的IP地址添加到自身所带的白名单中，当所述服务器副本与所述终端建立链接时，所述服务器副本将会向所述终端提供相应的请求服务。

所述云环境通过预设的检测方法检测云环境中的终端的数据包，得到检测结果，根据所述检测结果判断所述终端是否受到了DDOS攻击。所述预设的检测方法为DBTS(Distance-Based Traffic Separation，基于距离的流量分离)DDOS检测技术，通过使用线性预测的方式来估计数据包不同距离的流量速率，即通过数据包不同的跳动位移的流量速率，利用指数平滑估计技术估计下一个时间点数据包的跳动位移平均值。计算跳动位移平均值的主要方式是利用IP报头中的TTL(Time To Live，生存时间值)字段，所述数据包在传输过程中，每个路由器会将所述IP报头中的TTL值减一。因此，所述数据包的跳动位移是最后的TTL值减去初始的值。由于大多数操作系统只选择几个固定的初始TTL值，所述固定的初始TTL值为30，32，60，64，128和255，而且大多数互联网主机可以达到30跳。因此，初始值可以通过选择大于最后的TTL值中所有可能情况中最小的一个。

建立模块20，用于当所述检测结果表示所述终端受到DDOS攻击时，建立服务器副本；

当云环境根据其通过预设的检测方法得到的检测结果表明所述终端受到DDOS攻击时，所述云环境通过其防御模型动态的建立新的服务器副本，并通过其弹性资源和巨大的规模来实例化并隐藏所述新的服务器副本。所述实例化是当云环境中出现DDOS攻击时，需要从云端分配资源，但是仅有的资源并不能提供服务，因此需要对这些资源实例化，也就是部署可以提供终端请求访问的程序。

为了应对DDOS攻击，所述云环境根据当前终端的发送请求访问的数量，通过监测CPU(Central Processing Unit，中央处理器)的运行速率、内存消耗等来决定需要建立多少个需要受保护的服务器副本，并确保所述服务器副本绑定到一个唯一的IP地址或DNS域名上。当一些服务器副本受到DDOS攻击时，所述云环境将大量替代服务器副本实例化，将对所述终端进行的服务的服务器在整个服务器副本组中重新分配，执行所述终端到所述服务器副本的转移。

计算模块30，用于对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中。

云环境为了将受到DDOS攻击的数据包从其终端正常的请求访问中区分开来，统计所述终端合法数据包内部的特征结构。在所述统计方法中，重点研究传输层和网络层，所述传输层和网络层主要通过统计的是IP报头和TCP(Transmission Control Protocol，传输控制协议)报头的基本信息进行关联。由于所述终端的操作系统、网络结构甚至兴趣爱好的原因导致所述IP报头和TCP报头的基本信息包含的属性是独特的，并且使一些属性对存在相关特性。因此，通过计算所述传输层和网络层的关联模式的数据包的信任值的方法判断所述终端数据包的合法性。所述云环境将受攻击终端重定向到新的服务器副本中，即所述云环境对于受到DDOS攻击的终端进行数据包的信任值的计算，根据所述数据包的信任值的计算结果将所述受到DDOS攻击的终端重定向到所述新的服务器副本中，将良性终端和DDOS攻击者分离。

本实施例通过检测出云环境中的终端受到DDOS攻击时，建立新的服务器副本，对所述终端进行数据包的信任值计算，根据所计算的信任值将受到DDOS攻击的终端重定向到所述新的服务器副本中，将良性终端和攻击者分离。解决了DDOS攻击对云环境下的安全威胁。

参照图5，图5为本发明基于DDOS攻击防范装置第二实施例的功能模块示意图，基于第一实施例提出本发明基于DDOS攻击防范装置第二实施例。

在本实施例中，所述计算模块30包括：

第一计算单元31，用于对所述终端进行数据包的信任值的计算，得到计算结果；

处理单元32，用于根据所述计算结果得到所述信任值的阈值；

重定向单元33，用于根据所述信任值的阈值，利用负载均衡器将所述受到DDOS攻击的终端重定向到所述服务器副本中。

云环境对受到DDOS攻击的终端进行数据包的信任值的计算。所述信任值表示对某一个属性或者属性对的信任程度。所述信任值存在三个定义。①信任值为在数据流中属性流出现的频率，分别包括单属性的信任值和属性对的信任值。所述单属性的信任值为：CAi＝ai，j＝NAi＝ai，jNt；所述属性对的信任值为：CAi1＝ai1，j1，Ai2＝ai2，j2＝NAi1＝ai1，j1，Ai2＝ai2，j2Nt。其中，i＝1,2,3,…,n，j＝1,2,3,…,mi，i1＝1,2,3,…,n，j1＝1,2,3,…,m1，j2＝1,2,3,…,m2。n为总共参与计算的属性数量，Ai为数据报中第i个属性，mi为属性Ai可以拥有值的个数，NAi＝ai，j为在t时间间隔内包含属性Ai的值为ai，j的个数，NAr＝ar,x,As＝as，y为在t时间间隔内包含的属性Ar为ar，x并且属性As为as，y的个数。根据所述信任值的第一个定义，可知在所述终端合法数据包流中，单属性或者属性对出现的次数越多，则所述终端得到的信任值就越高。②对一个数据包中的各个属性的CBF(Confidence-Based Filtering，基于信任值过滤)加权计算得到对终端的评判得分，公式为：Scorep＝k＝1dWAk1，Ak2CAi1＝ai1，j1，Ai2＝ai2，j2k＝1dWAk1，Ak2；其中，p为数据流中的具体数据包，pi为数据包p中属性Ai的值，d为参与计算的包的属性对的个数，Ak1和Ak2为第k个属性对中的两个属性，WAk1，Ak2为第k个属性对对应的权重值，由于每一个信任值的范围在[0，1]中，所以Score(p)的值会在[0，1]范围当中。由于属性对的信任值不能够被攻击端复制。因此，所述数据包获得的分越高则意味着出现的次数越多，也就意味着有更高的安全性。③根据CBF计算的得分结果划分的具体阈值来决定所述数据包是否是攻击包。所述CBF计算过程包括生成两次阈值，第一次用于分离良性终端，第二次用于分离攻击者。

云环境在正常情况下通过提取其终端的数据包中属性值生成概要文件，即计算良性终端的数据包属性值的信任值，形成阈值。所述良性终端的数据包属性值的信任值会与所述概要文件中统计的值相同。当云环境中的终端受到DDOS攻击期间，所述云环境先停止生成概要文件，同时从所述终端传入的数据包中提取属性值对，然后根据所提取的属性值对所述概要文件进行搜索，然后通过所述CBF进行计算，即计算攻击者的数据包属性值的信任值，将所述攻击者终端的数据包属性值的信任值与所述概要文件中统计的值进行对比，即与所述阈值进行对比，会发现所述攻击者的数据包属性值的信任值与所述阈值差别较大。所述云环境通过其负载均衡器将受到DDOS攻击的终端重定向到新的服务器副本中，将良性终端和攻击者分离。并将小于所述阈值的服务器副本上的终端重新生成概要文件，并等待固定的时间间隔后重新通过所述CBF进行计算，再次设置阈值用于判断数据包是否通过。云环境通过多次对其终端的信任值的计算，将攻击者过滤。

本实施例通过对终端进行数据包的信任值的计算，利用负载均衡器将所述受到DDOS攻击的终端重定向到所述服务器副本中，将良性终端和攻击者区分开并实现对攻击者的过滤。保证了云服务器中的服务器副本在满足正常情况下终端的请求时，可以很好的应用于对突发性的DDOS攻击场景，有效地防范DDOS攻击。

参照图6，图6为本发明基于DDOS攻击防范装置第三实施例的功能模块示意图，基于第一实施例提出本发明基于DDOS攻击防范装置第三实施例。

在本实施例中，所述检测模块10包括：

第二计算单元11，用于通过预设的计算方法计算云环境中终端的数据包跳动位移的平均绝对误差；

云环境通过预设的计算方法计算云环境中终端的数据包跳动位移的平均绝对误差。所述预设的计算方法为指数平滑方法。所述数据包跳动位移指的是数据包中TTL值的变化。云环境中的异常检测依赖于正常情况与偏差情况的区别，即首先基于统计技术，得出正常状态对应的某个值，当当前状态计算的结果与之前正常情况下计算的结果发生大的偏差时，则判定当前为异常状态。所述指数平滑方法可以应用于实时检测IP通信的往返时间。在本实施例当中，所述指数平滑方法预测所述终端数据包在t+1时刻的跳动位移平均值的方法为：dt+1＝dt+w*(Mt-dt)，其中，dt是在t-1时刻预测在t时刻的跳动位移值，dt+1是在t+1时刻的跳动位移值，Mt是在t时刻的实际测量值，所述Mt通过数据包中的TTL字段可以得知，w是平滑指数，Mt-dt是在t时刻的预测误差，如果w值较大，则最后一个的误差将会在下一个预测中有更大的比重，因此，预测值将会更加接近实际的跳动位移值。为了确定当前跳动位移是否处于是否处于正常状态，所述云环境通过使用所述指数平滑方法计算其终端的数据包跳动位移的MAD(Mean Absolute Difference，平均绝对误差)，具体方法为：MADt+1＝r*et+1-r*MADt，其中，MADt为在t时刻的MAD，r为平滑指数，et是在t时刻的预测误差值。所述云环境利用MADt+1＝r*et+1-r*MADt计算出所述终端数据包跳动位移的平均绝对误差，

比较单元12，用于将所述数据包跳动位移的平均绝对误差与预设阀值进行比较；

第一判定单元13，用于当所述终端的数据包跳动位移的平均绝对误差大于所述预设阈值时，判定所述终端受到DDOS攻击。

云环境在利用指数平滑方法计算其终端当前数据包跳动位移的平均绝对误差之前，通过指数平滑方式计算当所述终端没有受到DDOS攻击时，其数据包跳动位移的平均绝对误差，根据在正常情况下得到所述数据包跳动位移的平均绝对误差设置预设阈值。将在下一个时间点下计算得出的所述终端的数据包跳动位移的平均绝对误差与所述预设阈值进行对比，当下一个时间点所述终端的数据包跳动位移的平均绝对误差大于所述预设阈值时，云环境判定所述终端受到DDOS攻击。

第二判定单元14，用于当所述终端的数据包跳动位移的平均绝对误差不大于所述预设阈值时，判定所述终端未受到DDOS攻击。

接收单元15，用于当所述终端未受到DDOS攻击时，接收所述终端传入的数据包，计算所述终端的数据包的信任值；

更新单元16，用于根据所述信任值更新概要文件，以供所述终端受到DDOS攻击时，根据所述概要文件生成数据包的信任值的阈值。

当云环境在下一个时间点所述终端的数据包跳动位移的平均绝对误差小于或者等于所述预设阈值时，所述云环境判定所述终端未受到DDOS攻击。

当云环境中的终端未受到DDOS攻击时，只需要少数的服务器副本就可以维持所述终端正常的访问请求。所述云环境接收所述终端传入的数据包，提取所述数据包中的属性对，根据所述属性对计算出对应的数据包的信任值，根据所述数据包的信任值更新所述概要文件，以供所述终端受到DDOS攻击时根据所述概要文件生成数据包的信任值的阈值。

在本实施例通过指数平滑方法计算出云环境中终端数据包跳动位移的平均绝对误差，根据所述平均绝对误差判断所述终端是否受到DDOS攻击。利用基于平均跳动位移估计的DDOS攻击检测技术实现了当云环境中的终端受到DDOS攻击时，能够快速地对DDOS攻击进行防范。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于分布式拒绝服务DDOS攻击防范方法，其特征在于，所述基于DDOS攻击防范方法包括步骤：

通过预设的检测方法检测云环境中的终端，得到检测结果；

当所述检测结果表示所述终端受到DDOS攻击时，建立服务器副本；

对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中。

2.如权利要求1所述的基于DDOS攻击防范方法，其特征在于，所述对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中的步骤包括：

对所述终端进行数据包的信任值的计算，得到计算结果；

根据所述计算结果得到所述信任值的阈值；

根据所述信任值的阈值，利用负载均衡器将所述受到DDOS攻击的终端重定向到所述服务器副本中。

3.如权利要求1或2所述的基于DDOS攻击防范方法，其特征在于，所述通过预设的检测方法检测云环境中的终端，得到检测结果的步骤包括：

通过预设的计算方法计算云环境中终端的数据包跳动位移的平均绝对误差；

将所述数据包跳动位移的平均绝对误差与预设阀值进行比较；

当所述终端的数据包跳动位移的平均绝对误差大于所述预设阈值时，判定所述终端受到DDOS攻击。

4.如权利要求3所述的基于DDOS攻击防范方法，其特征在于，所述将所述数据包跳动位移的平均绝对误差与预设阀值进行比较的步骤之后，还包括：

当所述终端的数据包跳动位移的平均绝对误差不大于所述预设阈值时，判定所述终端未受到DDOS攻击。

5.如权利要求4所述的基于DDOS攻击防范方法，其特征在于，所述当所述终端的数据包跳动位移的平均绝对误差不大于所述预设阈值时，判定所述终端未受到DDOS攻击的步骤之后，还包括：

当所述终端未受到DDOS攻击时，接收所述终端传入的数据包，计算所述终端的数据包的信任值；

根据所述信任值更新概要文件，以供所述终端受到DDOS攻击时，根据所述概要文件生成数据包的信任值的阈值。

6.一种基于分布式拒绝服务DDOS攻击防范装置，其特征在于，所述基于DDOS攻击防范装置包括：

检测模块，用于通过预设的检测方法检测云环境中的终端，得到检测结果；

建立模块，用于当所述检测结果表示所述终端受到DDOS攻击时，建立服务器副本；

计算模块，用于对所述终端进行数据包的信任值的计算，根据所述信任值的计算结果将所述受到DDOS攻击的终端重定向到所述服务器副本中。

7.如权利要求6所述的基于DDOS攻击防范装置，其特征在于，所述计算模块包括：

第一计算单元，用于对所述终端进行数据包的信任值的计算，得到计算结果；

处理单元，用于根据所述计算结果得到所述信任值的阈值；

重定向单元，用于根据所述信任值的阈值，利用负载均衡器将所述受到DDOS攻击的终端重定向到所述服务器副本中。

8.如权利要求6或7所述的基于DDOS攻击防范装置，其特征在于，所述检测模块包括：

第二计算单元，用于通过预设的计算方法计算云环境中终端的数据包跳动位移的平均绝对误差；

比较单元，用于将所述数据包跳动位移的平均绝对误差与预设阀值进行比较；

第一判定单元，用于当所述终端的数据包跳动位移的平均绝对误差大于所述预设阈值时，判定所述终端受到DDOS攻击。

9.如权利要求8所述的基于DDOS攻击防范装置，其特征在于，所述检测模块还包括：

第二判定单元，用于当所述终端的数据包跳动位移的平均绝对误差不大于所述预设阈值时，判定所述终端未受到DDOS攻击。

10.如权利要求9所述的基于DDOS攻击防范装置，其特征在于，所述检测模块还包括：

接收单元，用于当所述终端未受到DDOS攻击时，接收所述终端传入的数据包，计算所述终端的数据包的信任值；

更新单元，用于根据所述信任值更新概要文件，以供所述终端受到DDOS攻击时，根据所述概要文件生成数据包的信任值的阈值。