CN108768942B - 一种基于自适应阈值的DDoS攻击检测方法和检测装置 - Google Patents

Abstract

本发明涉及互联网技术领域，提供了一种基于自适应阈值的DDoS攻击检测方法和检测装置。其中方法包括检测第一预设时间内的流量是否超过自适应阈值X；若检测结果是未出现流量超过自适应阈值X的情况，则将自适应阈值X调整为由算式X‑Y得到的结果，并回到自适应阈值X的检测过程；若检测结果是出现流量超过自适应阈值X的情况，则对客户端的合法性进行检测；若客户端的合法性检测结果为合法，将自适应阈值X调整为由算式X+Y得到的结果，回到自适应阈值X的检测过程。在本发明中通过自适应的增加或者降低阈值，使阈值能够根据网络中流量的变化而自适应调整，适应网络中正常的流量波动，提高检测的灵敏度和有效率。

Description

一种基于自适应阈值的DDoS攻击检测方法和检测装置

【技术领域】

本发明涉及互联网技术领域，特别是涉及一种基于自适应阈值的DDoS攻击检测方法和检测装置。

【背景技术】

分布式拒绝服务(Distributed Denied of Service，简写为：DDoS)攻击是目前黑客经常使用，而且难以防范的一种互联网攻击手段。越来越多的互联网企业、云计算平台、IDC数据中心都部署针对DDoS攻击的检测设备，用来精确识别DDoS攻击流量，并且借助清洗设备，对攻击流量进行清洗。由于DDoS 攻击流量都是由合法的协议构成的，因此，在对攻击流量的识别过程中，必须对流量的大小进行监控，如果流量超过阈值，那么就有可能遭受了DDoS攻击。因此，识别的精确程度，主要取决于阈值的选取是否合理。

在现有的专利中，一般采用的是固定阈值，而且固定阈值是根据经验值设定。然而网络流量是变化的，因此网络流量的波动容易被误识别为攻击。所以，动态阈值才能更好的适应网络流量变化。而现有的动态阈值专利中，有的是以一个周期内，流量采样值与均值的均方差来衡量流量是否为攻击流量。然而这种方式有两个问题。第一，只能检测脉冲式攻击，无法检测出持续的大流量攻击。第二，如果网络流量有波动，容易造成将正常流量误识别为攻击流量。

专利权申请号为CN201110309008.2的专利中提出了一种动态阈值DDoS被攻击地址检测方法，方法采集周期内采集到的数据流地址计算溢出积累变量。在实时数据流量大于阈值时，累计增加溢出积累变量的值直到溢出积累变量的值小于等于零，而实时数据流量小于阈值时的溢出积累变量的值置零。该专利通过公式计算，在每个流量采样时刻更新阈值，阈值的更新主要由当前阈值，历史阈值，和当前流量决定。缺点是调整频繁，复杂度高，而且阈值的并没有根据检测结果的准确性动态调整。

专利权申请号为CN201310058519.0的专利，提出了一种DDOS攻击动态阈值异常流量检测方法及装置，该方法包括：获得异常流量检测历史数据，根据异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值；将检测得到的流量值与所述异常流量检测的容忍线上下流量阈值进行比较；如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值，发出异常流量检测告警。该专利的阈值分为上流量阈值和下流量阈值，如果流量不在上阈值和下阈值之间，就判定为攻击流量。并且阈值由历史流量样本和样本点数据的均方差决定。缺点在于，会将网络中正常的流量波动误检测为攻击，并且对于持续稳定的DDoS 攻击，无法检测。

鉴于此，克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。

【发明内容】

本发明要解决的技术问题是现有技术中对于触发恶性攻击检测的流量阈值 (在本发明中被描述为自适应阈值X)的调整方法过于复杂，降低了响应效率；另外一些方法中，对于流量阈值的调整缺少灵活性，容易发生误检测的情况。

本发明采用如下技术方案：

第一方面，本发明提供了一种基于自适应阈值的DDoS攻击检测方法，给予自适应阈值X一初始阈值参数值，给予步长Y一初始步长参数值，方法包括：

检测第一预设时间内的流量是否超过自适应阈值X；

若检测结果是未出现流量超过自适应阈值X的情况，则将自适应阈值X调整为由算式X-Y得到的结果，并回到流量是否超过自适应阈值X的检测过程；

若检测结果是出现流量超过自适应阈值X的情况，则对客户端的合法性进行检测，若客户端的合法性检测结果为不合法，对所述客户端的流量进行清洗后，回到流量是否超过自适应阈值X的检测过程；若客户端的合法性检测结果为合法，将自适应阈值X调整为由算式X+Y得到的结果，回到流量是否超过自适应阈值X的检测过程。

优选的，对当前流量进行采样，在第一预设时间周期内，对采样值和平均值求均方差，所述均方差结果作为用于调整步长Y的参数值。

优选的，若连续的出现所述检测结果是未出现流量超过自适应阈值X的情况，则所述将自适应阈值X调整为由算式X-Y得到的结果，还包括：

在每一次连续出现所述检测结果是未出现流量超过自适应阈值X的情况时，按照阶梯比例的方式降低所述步长Y的参数值方式、按照预设的一组加权系数逐次的乘以步长Y得到其每一次的调整值方式和按照预设的参数值对所述步长Y 进行递减的方式中的一种或者多种来完成步长Y在连续出现所述检测结果是未出现流量超过自适应阈值X的情况时的调整；其中所述阶梯比例是根据拟合出的流量变化曲线取按照调整周期取值得到。

优选的，在连续的出现所述检测结果是未出现流量超过自适应阈值X的情况中，若步长Y的调整次数超过第一预设次数或者步长Y的参数值小于第一预设阈值时，停止所述自适应阈值X的调整。

优选的，所述对客户端的合法性进行检测，具体包括：

发送数据报文给客户端，监测客户端是否正常回应；若客户端不能正常回应，则当前情况为恶意攻击；若客户端能正常回应，则当前情况为正常流量。

优选的，所述数据报文包括：syn cookie认证、http重定向认证和DNS请求认证中的一种或者多种。

优选的，对于确认为正常流量的客户端的，将所述客户端加入白名单；对于去人为恶意攻击的客户端，将所述客户端加入黑名单；则后续再次触发对客户端的合法性进行检测行为时，参考所述白名单和黑名单进行策略性验证。

优选的，所述第一预设时间与自适应阈值X之间建立有逻辑关系，其中，根据流量的大小划分为至少两级流量采集区间，具体包括：

在确定所述自适应阈值X属于其中的第一流量采集区间时，确认所述第一预设时间的参数值是否与所述第一流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第一流量采集区间相匹配的参数值；

在确定所述自适应阈值X属于其中的第二流量采集区间时，确认所述第一预设时间的参数值是否与所述第二流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第二流量采集区间相匹配的参数值；

其中，第一流量采集区间的最低采集量大于所述第二流量采集区间的最大采集量；则相应的第一预设时间与第一流量采集区间匹配的参数值大于相应的第一预设时间与第二流量采集区间匹配的参数值。

优选的，所述第一流量采集区间为500pps-1000pps，所述第二流量采集区间为300pps-499pps；所述第一预设时间与第一流量采集区间匹配的参数值为 50-100分钟，第一预设时间与第二流量采集区间匹配的参数值为20-30分钟。

第二方面，本发明还提供了一种基于自适应阈值的DDoS攻击检测装置，用于实现第一方面所述的基于自适应阈值的DDoS攻击检测方法，所述装置包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被程序设置为执行第一方面所述的基于自适应阈值的DDoS攻击检测方法。

第三方面，本发明还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行，用于完成第一方面所述的基于自适应阈值的DDoS攻击检测方法。

本发明提出了一种自适应阈值的DDoS攻击检测方法，通过对于判断流量是否达到进行分析的阈值做了自适应调整，从而即保证不同网络环境下的流量检测的灵敏性，也提高了网络访问总量增长速度较快的情景下，所述阈值的适应能力，即无需操作人员过多的介入进行人为的调整，提高了系统自身的鲁棒性。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种基于自适应阈值的DDoS攻击检测方法的流程示意图；

图2是本发明实施例提供的一种基于自适应阈值的DDoS攻击检测的串行系统架构图；

图3是本发明实施例提供的一种基于自适应阈值的DDoS攻击检测的并行系统架构图；

图4是本发明实施例提供的一种步长Y的调整参数值获取示意图；

图5是本发明实施例提供的一种扩展后基于自适应阈值的DDoS攻击检测方法的流程示意图；

图6是本发明实施例提供的一种实例下基于自适应阈值的DDoS攻击检测方法的流程示意图；

图7是本发明实施例提供的另一种实例下基于自适应阈值的DDoS攻击检测方法的流程示意图；

图8是本发明实施例提供的一种基于自适应阈值的DDoS攻击检测装置的结构示意图。

【具体实施方式】

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明的描述中，术语“内”、“外”、“纵向”、“横向”、“上”、“下”、“顶”、“底”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明而不是要求本发明必须以特定的方位构造和操作，因此不应当理解为对本发明的限制。

此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

实施例1：

本发明实施例1提供了一种基于自适应阈值的DDoS攻击检测方法，在执行本发明实施例的检测方法之前，通常需要给予自适应阈值X一初始阈值参数值，给予步长Y一初始步长参数值，如图1所示，检测方法包括以下执行步骤：

在步骤201中，检测第一预设时间内的流量是否超过自适应阈值X。

此处所述的第一预设时间内的流量，通常是指第一预设时间内，通过当前检测设备的总的数据流量。

在步骤202中，若检测结果是未出现流量超过自适应阈值X的情况，则将自适应阈值X调整为由算式X-Y得到的结果，并回到流量是否超过自适应阈值X 的检测过程。

在步骤203中，若检测结果是出现流量超过自适应阈值X的情况，则对客户端的合法性进行检测。

关于客户端，因为DDoS攻击是针对服务器的，所以一般是多个被恶意控制的客户端(如手机，PC，Pad，或者安装了恶意软件的电子设备等)对服务器发起恶意攻击。所有客户端中，有的客户端是合法的真实用户，有的则可能是恶意攻击用户。

所述对客户端的合法性进行检测，具体包括：发送数据报文给客户端，监测客户端是否正常回应；若客户端不能正常回应，则当前情况为恶意攻击；若客户端能正常回应，则当前情况为正常流量。在具体实现过程中，针对于当前检测到流量所涉及的客户端较多时，既可以都发，也可以挑出那些数据流量最大的N(N为自然数)个用户来发。实际上每个用户的流量，是可以检测出来并排序的。理论上来说，所有客户端都检测一遍肯定会提高准确性，但是会带来更大负荷，影响性能，所以折中方案就是只检测流量Top N客户端。

对于确认为正常流量的客户端的，将所述客户端加入白名单；对于去人为恶意攻击的客户端，将所述客户端加入黑名单；则后续再次触发对客户端的合法性进行检测行为时，参考所述白名单和黑名单进行策略性验证。所述策略性验证，包括假如检测某个客户端，发现它是合法用户，则将其特征(如IP地址) 加入白名单，在白名单有效期内不再重复检测；否则，加入黑名单，对其流量直接丢弃；其中，白名单和黑名单可以设置老化时间，比如24小时内有效，超过老化时间的则失效。

对客户端的合法性进行测试，有很多方法，比如syn cookie认证、http重定向认证和DNS请求认证等等,每一种方法对应一种攻击。其中，syn cookie 算法对应syn flood攻击，http重定向认证对应http flood攻击。以Http重定向认证为例，假如此时http流量超过阈值，我想验证某些客户端，那么当该客户端请求http页面资源A的时候，服务器回复一个重定向报文，告知客户端所请求的这个http页面A被移到了另一个位置B。假如该客户端改为访问B，那么就是合法用户；假如该客户端依旧要访问A或者其他页面，那就是恶意用户。这是TCP的例子，对于UDP攻击，以DNS请求攻击为例，一般DNS请求都是UDP报文，当服务器的DNS请求流量超过阈值，那么服务器就回复报文给客户端，要求他用TCP报文来重新发送DNS请求，假如该客户端用TCP报文来重新发了，那就合法；如果该客户端依旧用UDP报文来发，那就非法。

在步骤204中，若客户端的合法性检测结果为不合法，证明自适应阈值X 当前的设定值为合理，对所述客户端的流量进行清洗后，回到流量是否超过自适应阈值X的检测过程。

其中，所述回到流量是否超过自适应阈值X的检测过程，可以实现为跳转到步骤201再一次执行所述检测第一预设时间内的流量是否超过自适应阈值X，以及其后续的判断过程。

在步骤205中，若客户端的合法性检测结果为合法，证明自适应阈值X当前的设定值偏低，将自适应阈值X调整为由算式X+Y得到的结果，回到流量是否超过自适应阈值X的检测过程。

本发明实施例提出了一种自适应阈值的DDoS攻击检测方法，通过对于判断流量是否达到进行分析的阈值做了自适应调整，从而即保证不同网络环境下的流量检测的灵敏性，也提高了网络访问总量增长速度较快的情景下，所述阈值的适应能力，即无需操作人员过多的介入进行人为的调整，提高了系统自身的鲁棒性。

在本发明实施例中通过检测结果，对阈值的调整进行反馈，自适应的增加或者降低阈值，使阈值能够根据网络中流量的变化而自适应调整，适应网络中正常的流量波动，提高检测的灵敏度和有效率。

如图2和图3所示，为适用于本发明实施例所提出的方法的2中典型网络架构示意图。其中，本发明实施例1所提出的方法可以分别独立的运行于图2 和图3中分别以左右方向布局的两台DDoS检测设备，其各自负责检测与其相连的交换机中的网络流量状态。其中，图2所示的为一种以串联方式接入DDoS检测设备的网络架构形式，而图3所示的为一种以并联方式接入DDoS检测设备的网络架构形式。

在本发明实施例实现过程中，对于初始设置的步长Y在实际使用过程中，优选的是根据实际的网络环境进行动态调整，以便对于自适应阈值X的更新能够与其所在的网络环境紧密关联。因此，结合本发明实施例存在一种优选的调整步长Y的实现方案一，其中，对当前流量进行采样，在第一预设时间周期内，对采样值和平均值求均方差，所述均方差结果作为用于调整步长Y的参数值。通过上述对于步长Y的动态调整方法的引入，均方差是一组数据平均值分散程度的一种度量。一个较大的均方差，代表大部分数值和其平均值之间差异较大；一个较小的标准差，代表这些数值较接近平均值，其通过公式

计算得到，其中，x₁,x₂,x₃,......x_n(为采样值)，其平均值 (算术平均值)为μ。通过上述对于均方差的特性分析可知，所述调整步长Y 的实现方案一适用于网络环境中出现大流量波动，并且所述流量波动被认定为是合法时，从小参数值的自适应阈值X快速调整到适于当前网络流量需求的自适应阈值的场景。其中，在具体实现方案中，所述求采样值和平均值求均方差的时间还可以额外设定，即不一定要受所述第一预设时间周期的限定。

在本发明实现过程中，还存在一种特殊的应用场景，其中，在步骤201-步骤202的执行分支若连续被触发执行(即期间未发生过触发执行步骤201-步骤 203分支的情况)时，即若连续的出现所述检测结果是未出现流量超过自适应阈值X的情况，则所述将自适应阈值X调整为由算式X-Y得到的结果，还包括：

在每一次连续出现所述检测结果是未出现流量超过自适应阈值X的情况时，采用以下集中方式中的一种或者多种来完成步长Y在连续出现所述检测结果是未出现流量超过自适应阈值X的情况时的调整；其中所述阶梯比例是根据拟合出的流量变化曲线取按照调整周期取值得到(如图4所示，虚线便是拟合出的流量变化曲线效果图，其中实线是历史流量变化曲线；而相应的步长Y的调整参数值即图4中所呈现的矩形柱，会高于相应节点拟合曲线幅值一定距离，该距离可根据经验设定)。通常情况下，在采用以下几种方式的时候，便不会再去使用上述求均方差方式来得到步长Y的调整参数值，可以理解为针对步长Y的调整模式发生了切换。所述方式具体包括：

方式一：按照阶梯比例的方式降低所述步长Y的参数值方式。其中，所述阶梯比例的方式，是为了实现一种步长Y参数值从大幅度变化到小幅度变换的一个过程，以图4为例，表现的是步长Y按照阶梯比例的方式变化的一个过程，从图4中不难发现，第1次调整后的步长Y的值与初始状态时步长Y之间的差值d1大于第2次调整后的步长Y的值与第3次调整后的步长Y之间的差值d2，依次类推第2次调整后的步长Y的值与第3次调整后的步长Y之间的差值d2大于第3次调整后的步长Y的值与第2次调整后的步长Y之间的差值d3。从而实现在连续出现所述检测结果是未出现流量超过自适应阈值X的情况时，每一次调整步长Y后，会使得自适应阈值X愈发趋于稳定，从而提高检测的网络流量是否遭受攻击的准确度，即不会因为类似将步长Y设定为固定值时，会发生类似在某一网络环境下，自适应阈值X会在一个最合适参数值上下游之间波动，原因就在于设定为固定值的步长Y会造成X+Y和X-Y均与所述最合适参数值形成上下偏差，从而造成所述波动。因此，所述方式一只要选择合适的阶梯比例，便能够有效的改善上述波动现象。在具体实现中，所述阶梯间的阶梯高度(例如所述d1、d2和d3)是根据前几个调整过程中，步长Y逐次的调整间距生成的预测变化趋势计算得到。

方式二：按照预设的一组加权系数逐次的乘以步长Y得到其每一次的调整值方式。加权系数可以设置多组，即区分不同时段、不同流量状态、不同流量类型、不同初始步长Y。所述方式二和方式一存在较大的相似度，而差异则在于所述一组加权系数之间是较为独立的，因此，相比较而言，方式二的灵活性更强，并且，可以设定多组加权系数分别应对上述不同情况。具体加权值的参数值的设定需要根据实际测试情况来定，在此不做过多的阐述。

方式三：按照预设的参数值对所述步长Y进行递减的方式中的。所述方式三采用一种递减的方式，会因为递减的距离设定的不同，会出现以极快的速度下降和极慢的速度下降两种趋势，相比较而言，没有方式一和方式二的变化方式来的稳定性更好。方式三可以作为一种辅助方式一和方式二实现的手段，即在发生网络流量突变的情况下适合于所述方式三做前几轮调整。

在本发明实施例具体实现方式中，对于上述三种方式的调整，实际上也不会无限递减下去，因为，在自适应阈值X在递减到特定参数值时，下一轮检测便可能超出递减后的自适应阈值X，从而触发步骤201-步骤203的执行过程，在连续的出现所述检测结果是未出现流量超过自适应阈值X的情况中，若步长Y 的调整次数超过第一预设次数或者步长Y的参数值小于第一预设阈值时，停止所述自适应阈值X的调整。其中，所述第一预设次数和第一预设阈值可以是由系统侧区分不同时段、不同流量状态、不同流量类型而设定，甚至于所述第一预设次数和第一预设阈值还可以根据调整所述自适应阈值X过程中，发生的历史上围绕某一参数值上下波动的情况而动态更新。可选的，上述停止所述自适应阈值X的调整，通常在预设第一时间后，重置调整次数或者更新第一预设阈值，使得自适应阈值X能够在新一轮的流量采集区间进行调整，因此，上述停止所述自适应阈值X的调整可以理解为自适应阈值X在某一流量采集区间、流量类型、流量状态达到了最适值。

结合本发明实施例还存在一种优选的实现方案，为所述第一预设时间与自适应阈值X之间建立逻辑关系，其中，根据流量的大小划分为至少两级流量采集区间，如图5所示，具体包括：

在步骤206中，在确定所述自适应阈值X属于其中的第一流量采集区间时，确认所述第一预设时间的参数值是否与所述第一流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第一流量采集区间相匹配的参数值。回到流量是否超过自适应阈值X的检测过程。

相比较图1所示的流程来说，在增加了步骤206和步骤207最为一个完整流程的收尾步骤后，原来步骤202、步骤204和步骤205中相应“回到流量是否超过自适应阈值X的检测过程”则自然而然的加载给步骤206和步骤207之后执行了，具体如图5所示。

在步骤207中，在确定所述自适应阈值X属于其中的第二流量采集区间时，确认所述第一预设时间的参数值是否与所述第二流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第二流量采集区间相匹配的参数值。回到流量是否超过自适应阈值X的检测过程。

其中，第一流量采集区间的最低采集量大于所述第二流量采集区间的最大采集量；则相应的第一预设时间与第一流量采集区间匹配的参数值大于相应的第一预设时间与第二流量采集区间匹配的参数值。例如流量值在500-1000pps 时，调整周期对应调整为120-300分钟，300-499万pps，调整周期对应调整为 60-120分钟。

结合本发明实施例还提供了一种可选的参数配置，所述第一流量采集区间为500pps-1000pps，所述第二流量采集区间为300pps-499pps；所述第一预设时间与第一流量采集区间匹配的参数值为50-100分钟，第一预设时间与第二流量采集区间匹配的参数值为20-30分钟。互联网厂商或者一些政企客户(例如腾讯，京东，政府部门)，会租用电信IDC机房的服务器，通过这些服务器来提供游戏，电商，存储等网络服务。因此这些服务器也是被攻击的潜在对象。由于这种机房的服务器承载的流量较大，一台DDoS防护设备大概保护几十台服务器，流经防护设备的每个网口的流量大约在7-9Gbps，数十万pps，具体到每种潜在的攻击流量，比如SYN Flood攻击，由海量SYN报文构成，对于每一台服务器收到的SYN报文来说，可能正常的流量是500-1000pps左右；比如Http flood 攻击，由海量Http报文构成，对于每一台服务器收到的Http报文来说，可能在2000-3000pps左右。因此，以syn报文为例，初始阈值X设置为500，然后按照对应的流量区间，选取第一预设时间。

需要强调的是，上述优选的实现方案中，给予的第一流量采集区间和第二流量采集区间，仅仅是为了描述方案方便，在提出的两个典型采集区间之前进行切换，而实际情况中可以不限制两级流量采集区间，并且可以在经过对网络的深度学习之后，形成更加精确的多级区间。

实施例2：

本发明通过实施例1阐述了一种基于自适应阈值的DDoS攻击检测方法，并提出多种自适应调整方式，不仅涉及自适应阈值X的调整，还涉及对于其调整步长Y的有针对性的设置。本发明实施例2通过将实施例1中相对离散的扩展技术内容整合到一个较为完整的技术方案中进行展示，因此，在实施例1中展开描述的内容，均可借鉴到本发明实施例中，因此，部分内容未在本发明实施例中详细展开赘述，如图6所示，具体包括：

在步骤301中，给予自适应阈值X一初始阈值参数值，给予步长Y一初始步长参数值，进入步骤302。

在步骤302中，检测第一预设时间内的流量是否超过自适应阈值X。若判断结果为超过自适应阈值X，则进入步骤309；若判断结果为未超过自适应阈值X，则进入步骤303。

在步骤303中，是否为连续出现检测结果未出现流量超过自适应阈值X情况。若判断结果为连续出现时，进入步骤306，否则进入步骤304。

其中，所述步骤303是对原实施例1中对应图1所示方法步骤202在结合了实施例1中扩展方案后的实现内容。

在步骤304中，将自适应阈值X调整为由算式X-Y得到的结果。

其中，所述步骤304是对应实施例1中的步骤202在本发明实施例中的具体表现，相对于实施例1中的步骤内容，在本发明实施例中还引入了实施例1 中的扩展方案。

在步骤305中，按照实施例1中均方差的方式调整一轮步长Y的参数值取值。并跳转回执行步骤302。

其中，步骤304和步骤305的先后执行顺序并非严格固定的，在具体实现过程中，还可以是先执行步骤305中的“按照实施例1中均方差的方式调整一轮步长Y的参数值取值”，再执行步骤304中的“将自适应阈值X调整为由算式X-Y得到的结果”。

在本发明实施例中，将所述均方差的求解方式作为普通情况下(相对于特殊情况为出现步骤302中连续判断为否的情况而言)调整步长Y的常规手段。

在步骤306中，是否调整次数超过第一预设次数和/或者步长Y的参数值小于第一预设阈值。若判断结果为是，则直接跳过步骤307和步骤308的执行内容，直接跳转回执行步骤202；若判断结果为否，则进入步骤307。

在本发明实施例中，所述第一预设次数和第一预设阈值两个判断条件是可以同时使用或者选其一来使用的，而类似在实施例1中描述的，所述第一预设次数和第一预设阈值也不一定是一成不变的，优选的方案中，在执行所述步骤 306时，还是要根据当前实际所处的不同时段、不同流量状态和/或不同流量类型，设定不同参数值的第一预设次数和/或第一预设阈值。例如：在统计出的每日流量高峰时段，相对而言是第一预设次数可以设定的相对较大一些，而所述第一预设阈值则可以根据历史计算出的该时段流量峰值的70％-80％作为所述第一预设阈值的参数值；对于流量状态来说，若当前的流量的波动较大(可以根据实施例1中的均方差或者统计的流量-时间曲线图分析得到)，则相对的所述第一预设次数可以选择一较小的参数值，其原因是在流量波动较为剧烈的环境下，想达到一个理想值稳定值是很困难的，通常能够进入所述步骤306都是很偶然的事件，很可能下一轮步骤302的判断结果就将流程调转到步骤309一侧，因此，可以给第一预设次数配以较小的参数值，从而尽快进入一种等待跳转到步骤309的稳态，从而能够进一步优化计算资源的分配。

在步骤307中，采用实施例1中的方式一、方式二和方式三中的一种或者多种，调整步进Y的参数值。进入步骤308。

由于在实施例1中已经将方式一、方式二和方式三进行了较为详尽的阐述。因此，在本发明实施例中，更多的是对于三种方式的综合使用给予具体的描述。

在本发明实施例中，优选的是在步骤407中选择那种方式时，会对于当前的流量状态进行一轮判断，若当前的流量状态呈现出一种断崖式的转变，例如该时段处于上班前休息时段和开始正常上班时段的交界处，则前后的流量总量会呈现出一种断崖式的变化，此时，在步骤407中，系统可以选择方式三(也可以选择考虑上述流量状态的方式一或者方式二来实现)；另一方面，如果分析出当前的流量变化呈现较为平缓的变化规律时，则优选的可以采用方式一来实现步进Y参数值的调整；而方式二则更适合于对于网络流量环境有着进一步深度学习后，得到多组适合于不同流量状态、流量类型、不同时段的加权值。

在步骤308中，将自适应阈值X调整为由算式X-Y得到的结果。跳转回执行步骤302。

在本发明实施例中，还是沿用了实施例1中最为简便的调整方式，即通过算是X-Y计算得到值，作为更新后的参数值赋值给自适应阈值X。

在步骤309中，若检测结果是出现流量超过自适应阈值X的情况，则对客户端的合法性进行检测。若合法则进入步骤311，若不合法则进入步骤310。

在步骤310中，若客户端的合法性检测结果为不合法，证明自适应阈值X 当前的设定值为合理，对所述客户端的流量进行清洗。跳转回执行步骤302。

在步骤311中，若客户端的合法性检测结果为合法，证明自适应阈值X当前的设定值偏低，将自适应阈值X调整为由算式X+Y得到的结果。跳转回执行步骤302。

其中，步骤309-310为用户合法性的判断，其在实施例1中已经展开进行描述，并且，对于本领域技术人员来说，在看了本发明实施例1和实施例2所描述的基于自适应阈值X的DDoS攻击检测方法后，将当前可行的其它判断用户合法性的方法应用到本发明实施例中用于替代步骤309-310后得到的新的技术方案，同样属于本发明实施例的保护范围，在此不再赘述。

在本本发明实施例中，未对实施例1中提出的步骤206和步骤207做过多的阐述，其内容将在本发明实施例3中做更为详尽的阐述。

实施例3：

本发明通过实施例1阐述了一种基于自适应阈值的DDoS攻击检测方法，并提出多种自适应调整方式，不仅涉及自适应阈值X的调整，还涉及对于其调整步长Y的有针对性的设置。本发明实施例2通过将实施例1中相对离散的扩展技术内容整合到一个较为完整的技术方案中进行展示，如图7所示，具体包括：

在步骤401中，给予自适应阈值X一初始阈值参数值，给予步长Y一初始步长参数值，进入步骤402。

在步骤402中，检测第一预设时间内的流量是否超过自适应阈值X。若判断结果为超过自适应阈值X，则进入步骤411；若判断结果为未超过自适应阈值X，则进入步骤403。

在步骤403中，是否为连续出现检测结果未出现流量超过自适应阈值X情况。若判断结果为连续出现时，进入步骤406，否则进入步骤404。

其中，所述步骤403是对原实施例1中对应图1所示方法步骤202在结合了实施例1中扩展方案后的实现内容。

在步骤404中，将自适应阈值X调整为由算式X-Y得到的结果。

其中，所述步骤404是对应实施例1中的步骤202在本发明实施例中的具体表现，相对于实施例1中的步骤内容，在本发明实施例中还引入了实施例1 中的扩展方案。

在步骤405中，按照实施例1中均方差的方式调整一轮步长Y的参数值取值。并进入步骤410。

其中，步骤404和步骤405的先后执行顺序并非严格固定的，在具体实现过程中，还可以是先执行步骤405中的“按照实施例1中均方差的方式调整一轮步长Y的参数值取值”，再执行步骤404中的“将自适应阈值X调整为由算式X-Y得到的结果”。

在本发明实施例中，将所述均方差的求解方式作为普通情况下(相对于特殊情况为出现步骤402中连续判断为否的情况而言)调整步长Y的常规手段。

在步骤406中，是否调整次数超过第一预设次数和/或步长Y的参数值小于第一预设阈值。若判断结果为是，则进入步骤407；若判断结果为否，则进入步骤408。

在本发明实施例中，所述第一预设次数和第一预设阈值两个判断条件是可以同时使用或者选其一来使用的，而类似在实施例1中描述的，所述第一预设次数和第一预设阈值也不一定是一成不变的，优选的方案中，在执行所述步骤 406时，还是要根据当前实际所处的不同时段、不同流量状态和/或不同流量类型，设定不同参数值的第一预设次数和/或第一预设阈值。例如：在统计出的每日流量高峰时段，相对而言是第一预设次数可以设定的相对较大一些，而所述第一预设阈值则可以根据历史计算出的该时段流量峰值的70％-80％作为所述第一预设阈值的参数值；对于流量状态来说，若当前的流量的波动较大(可以根据实施例1中的均方差或者统计的流量-时间曲线图分析得到)，则相对的所述第一预设次数可以选择一较小的参数值，其原因是在流量波动较为剧烈的环境下，想达到一个理想值稳定值是很困难的，通常能够进入所述步骤406都是很偶然的事件，很可能下一轮步骤402的判断结果就将流程调转到步骤411一侧，因此，可以给第一预设次数配以较小的参数值，从而尽快进入一种等待跳转到步骤311的稳态，从而能够进一步优化计算资源的分配。

在步骤407中，从跳过自适应阈值X调整时流量总量，与当前流量总量之间差值是否超过第二预设阈值。若超过第二预设阈值，则进入步骤408；否则进入步骤410。

在步骤408中，采用实施例1中的方式一、方式二和方式三中的一种或者多种，调整步进Y的参数值。进入步骤409。

由于在实施例1中已经将方式一、方式二和方式三进行了较为详尽的阐述。因此，在本发明实施例中，更多的是对于三种方式的综合使用给予具体的描述。

在本发明实施例中，优选的是在步骤408中选择那种方式时，会对于当前的流量状态进行一轮判断，若当前的流量状态呈现出一种断崖式的转变，例如该时段处于上班前休息时段和开始正常上班时段的交界处，则前后的流量总量会呈现出一种断崖式的变化，此时，在步骤408中，系统可以选择方式三(也可以选择考虑上述流量状态的方式一或者方式二来实现)；另一方面，如果分析出当前的流量变化呈现较为平缓的变化规律时，则优选的可以采用方式一来实现步进Y参数值的调整；而方式二则更适合于对于网络流量环境有着进一步深度学习后，得到多组适合于不同流量状态、流量类型、不同时段的加权值。

在步骤409中，将自适应阈值X调整为由算式X-Y得到的结果。执行步骤 410。在本发明实施例中，还是沿用了实施例1中最为简便的调整方式，即通过算是X-Y计算得到值，作为更新后的参数值赋值给自适应阈值X。

在步骤410中，在确定所述自适应阈值X属于其中的第N流量采集区间时，确认所述第一预设时间的参数值是否与所述第N流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第N流量采集区间相匹配的参数值。跳转回执行步骤402。

在步骤411中，若检测结果是出现流量超过自适应阈值X的情况，则对客户端的合法性进行检测。若合法则进入步骤413，若不合法则进入步骤412。

在步骤412中，若客户端的合法性检测结果为不合法，证明自适应阈值X 当前的设定值为合理，对所述客户端的流量进行清洗。进入步骤414。

在步骤413中，若客户端的合法性检测结果为合法，证明自适应阈值X当前的设定值偏低，将自适应阈值X调整为由算式X+Y得到的结果。进入步骤414。

在步骤414中，在确定所述自适应阈值X属于其中的第N流量采集区间时，确认所述第一预设时间的参数值是否与所述第N流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第N流量采集区间相匹配的参数值。跳转并执行步骤402。

其中，步骤411-413为用户合法性的判断，其在实施例1中已经展开进行描述，并且，对于本领域技术人员来说，在看了本发明实施例1和实施例2所描述的基于自适应阈值X的DDoS攻击检测方法后，将当前可行的其它判断用户合法性的方法应用到本发明实施例中用于替代步骤411-413后得到的新的技术方案，同样属于本发明实施例的保护范围，在此不再赘述。

实施例4：

请参阅图8，是本发明实施例的基于自适应阈值的DDoS攻击检测装置的架构示意图。本实施例的基于自适应阈值的DDoS攻击检测装置包括一个或多个处理器21以及存储器22。其中，图8中以一个处理器21为例。

处理器21和存储器22可以通过总线或者其他方式连接，图8中以通过总线连接为例。

存储器22作为一种基于自适应阈值的DDoS攻击检测方法和检测装置非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如实施例1中的基于自适应阈值的DDoS攻击检测方法。处理器21通过运行存储在存储器22中的非易失性软件程序、指令以及模块，从而执行基于自适应阈值的DDoS攻击检测装置的各种功能应用以及数据处理，即实现实施例1-实施例3所述的基于自适应阈值的DDoS攻击检测方法。

存储器22可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器22可选包括相对于处理器21远程设置的存储器，这些远程存储器可以通过网络连接至处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述程序指令/模块存储在所述存储器22中，当被所述一个或者多个处理器21执行时，执行上述实施例1中的基于自适应阈值的DDoS攻击检测方法，例如，执行以上描述的图1、图5、图6和图7所示的各个步骤。

值得说明的是，上述装置内的模块、单元之间的信息交互、执行过程等内容，由于与本发明的处理方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取存储器(RAM，Random AccessMemory)、磁盘或光盘等。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于自适应阈值的DDoS攻击检测方法，其特征在于，给予自适应阈值X一初始阈值参数值，给予步长Y一初始步长参数值，方法包括：

检测第一预设时间内的流量是否超过自适应阈值X；

若检测结果是未出现流量超过自适应阈值X的情况，则将自适应阈值X调整为由算式X-Y得到的结果，并回到流量是否超过自适应阈值X的检测过程；

若检测结果是出现流量超过自适应阈值X的情况，则对客户端的合法性进行检测，若客户端的合法性检测结果为不合法，对所述客户端的流量进行清洗后，回到流量是否超过自适应阈值X的检测过程；若客户端的合法性检测结果为合法，将自适应阈值X调整为由算式X+Y得到的结果，回到流量是否超过自适应阈值X的检测过程；

所述第一预设时间与自适应阈值X之间建立有逻辑关系，其中，根据流量的大小划分为至少两级流量采集区间，具体包括：

在确定所述自适应阈值X属于其中的第一流量采集区间时，确认所述第一预设时间的参数值是否与所述第一流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第一流量采集区间相匹配的参数值；

在确定所述自适应阈值X属于其中的第二流量采集区间时，确认所述第一预设时间的参数值是否与所述第二流量采集区间匹配，若不匹配则调整所述第一预设时间为与所述第二流量采集区间相匹配的参数值；

其中，第一流量采集区间的最低采集量大于所述第二流量采集区间的最大采集量；则相应的第一预设时间与第一流量采集区间匹配的参数值大于相应的第一预设时间与第二流量采集区间匹配的参数值。

2.根据权利要求1所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，对当前流量进行采样，在第一预设时间周期内，对采样值和平均值求均方差，所述均方差结果作为用于调整步长Y的参数值。

3.根据权利要求1所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，若连续的出现所述检测结果是未出现流量超过自适应阈值X的情况，则所述将自适应阈值X调整为由算式X-Y得到的结果，还包括：

在每一次连续出现所述检测结果是未出现流量超过自适应阈值X的情况时，按照阶梯比例的方式降低所述步长Y的参数值方式、按照预设的一组加权系数逐次的乘以步长Y得到其每一次的调整值方式和按照预设的参数值对所述步长Y进行递减的方式中的一种或者多种来完成步长Y在连续出现所述检测结果是未出现流量超过自适应阈值X的情况时的调整；其中所述阶梯比例是根据拟合出的流量变化曲线取按照调整周期取值得到。

4.根据权利要求3所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，在连续的出现所述检测结果是未出现流量超过自适应阈值X的情况中，若步长Y的调整次数超过第一预设次数或者步长Y的参数值小于第一预设阈值时，停止所述自适应阈值X的调整。

5.根据权利要求1-4任一所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，所述对客户端的合法性进行检测，具体包括：

发送数据报文给客户端，监测客户端是否正常回应；若客户端不能正常回应，则当前情况为恶意攻击；若客户端能正常回应，则当前情况为正常流量。

6.根据权利要求5所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，所述数据报文包括：syn cookie认证、http重定向认证和DNS请求认证中的一种或者多种。

7.根据权利要求5所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，对于确认为正常流量的客户端的，将所述客户端加入白名单；对于去人为恶意攻击的客户端，将所述客户端加入黑名单；则后续再次触发对客户端的合法性进行检测行为时，参考所述白名单和黑名单进行策略性验证。

8.根据权利要求1所述的基于自适应阈值的DDoS攻击检测方法，其特征在于，所述第一流量采集区间为500pps-1000pps，所述第二流量采集区间为300pps-499pps；所述第一预设时间与第一流量采集区间匹配的参数值为50-100分钟，第一预设时间与第二流量采集区间匹配的参数值为20-30分钟。

9.一种基于自适应阈值的DDoS攻击检测装置，其特征在于，所述装置包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被程序设置为执行权利要求1-8任一所述的基于自适应阈值的DDoS攻击检测方法。

Images