CN113645238B

CN113645238B - 一种面向Handle标识体系的DDoS防御方法

Info

Publication number: CN113645238B
Application number: CN202110915978.0A
Authority: CN
Inventors: 张晓�; 霍健
Original assignee: Mako Workshop Industrial Technology Beijing Co ltd
Current assignee: Mako Workshop Industrial Technology Beijing Co ltd
Priority date: 2021-08-11
Filing date: 2021-08-11
Publication date: 2023-04-25
Anticipated expiration: 2041-08-11
Also published as: CN113645238A

Abstract

本发明公开了一种面向Handle标识体系的DDoS防御方法，发明方法包括：对Handle解析日志进行分析，通过数据挖掘技术中的方法挖掘查询端的特征，根据聚类和统计结果计算偏差，作为检测DDoS攻击的指标，对非正常的Handle查询请求进行多层限速处理。检测模块和处理模块分别部署在Handle客户端与本地Handle服务（Local Handle Service，LHS）接入点处的子节点服务器上，在Handle标识解析体系上实现对分布式拒绝服务攻击的检测，提升了工业互联网标识解析系统的安全性。

Description

一种面向Handle标识体系的DDoS防御方法

技术领域

本发明涉及通信技术领域，特别是信息技术安全领域，具体为一种面向Handle标识体系的DDoS防御方法。

背景技术

工业互联网标识解析体系中节点体系主要包含国际根节点、顶级节点、二级节点、企业节点。工业互联网标识赋予部件、产品、设备唯一标识，有利于资源管理和企业控制，也可以基于不同业务需求，将采购、生产、品控质检、产品包装等每一环节采集的数据与标识编码进行绑定，形成一套完整的数据链信息闭环。Handle为数据资源对象提供永久标识、动态解析和安全管理等服务，具有强大的扩展性和兼容性，已被推广使用。Handle自定义码可以由企业自主编码，再与Handle的前缀进行拼接。在一些应用中，还可绑定Handle与应用企业提供的产品批次关系等。

分布式拒绝服务攻击(Distributed Denial of Service，DDoS)已经是网络主要的安全威胁之一。对于Handle标识解析体系，恶意攻击者向递归节点解析服务器发送大量伪造的Handle查询请求，耗尽解析服务器的计算资源与带宽，导致解析服务器无法响应正常的查询请求。目前，针对工业互联网标识解析Handle体系还缺乏高效的防御方法。

在互联网分布式拒绝服务检测方法上已有很多学者做了大量工作。Mousavi等人以数据包目的IP地址熵值作为特征值来检测攻击流量(MOUSAVI S M，ST-HILAIRE M.Earlydetection of DDoS attacks against SDN controllers，ICNC，2015)，该方法实现简单，检测率较高，但其只有一个特征值，表达能力有限，而且并未结合工业互联网标识解析的特点，检测率较低。Huo等人提出了一种基于Handle系统的恶意标识防御方法及系统(CN111200605A，2020)，该方法简单，但特征划分粒度较粗，且未结合Handle查询端的兴趣特征，检测精度较低。随着社交网络的迅猛发展，有关标签数据的推荐算法也应运而生。个性化推荐系统的出现，为用户带来更加多样的网络体验。赵宇峰等人通过改进User-CF算法(赵字峰，李新卫.基于歌曲标签聚类的协同过滤推荐算法的研究，计算机应用与软件，2018)，对用户的歌曲兴趣标签进行建模，根据用户相似性进行聚类，使用User-CF算法针对每组用户进行推荐。除此之外，用户行为分析应用也非常广泛，互联网供应商可以从网络日志中挖掘用户行为模式，改善产品存在的问题，提高企业效益。对网络行为特征分析不仅在商业平台成功发展，对于工业互联网标识解析体系也有巨大的价值。由于复杂的网络环境，DDoS大量消耗网络资源。针对工业互联网不同于互联网的特性，互联网DDoS防御方法不能直接使用。因此，有必要研究一种更贴合工业互联网Handle标识体系的DDoS防御方法。

发明内容

本发明目的在于克服现有技术中存在的问题，提出一种面向Handle标识体系的DDoS防御方法。

概括地说，本发明方法包括：对Handle解析日志进行分析，通过数据挖掘技术中的分类、聚类、统计等方法挖掘查询端的特征，根据聚类和统计结果，计算出偏差，检测DDoS攻击，对非正常的Handle查询请求进行多层限速处理。检测模块和处理模块分别部署在Handle客户端与本地Handle服务(Local Handle Service，LHS)接入点处的子节点服务器上，实现在Handle标识解析体系上对分布式拒绝服务攻击的检测，提升了工业互联网标识解析系统的安全性。

本发明方法为了确定Handle功能主题，使用了建立Handle分类库和训练Handle分类器两种方式对查询端进行标签化，最后对查询端建立查询文件。在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征，通过K-Means实现查询端的聚类，基于聚类结果，拟合决策树，对聚类的影响因素分析研究，从时间角度、Handle功能主题类别角度、时间和功能主题结合角度、Handle角度进行查询端查询特征的多角度统计分析。最后根据统计分析进行偏差计算，作为进行DDoS的检测的指标。对于超过限定值的标识查询请求，将其Handle标识解析规则映射关系修改为处理服务器的地址，发送至多层限速处理模块进行处理。对于未超过限定值的标识查询请求，予以通过。多层限速处理可以有效处理DDoS攻击，最大限度的保证Handle标识查询请求的正常进行。

本发明方法是采用如下技术方案实现的：

一种面向Handle标识体系的DDoS防御方法，分5个模块进行，分别是Handle功能主题确定模块、聚类分析模块、统计分析模块、检测模块、分层限速处理模块。

1、对于Handle功能主题确定模块，使用了建立Handle分类库和训练Handle分类器两种方式对查询端进行标签化，最后对查询端建立查询文件，该查询文件记录每一个查询端的查询信息。该过程主要有5个步骤：数据预处理、Handle类别标签划分、建立Handle分类库、训练Handle分类器、建立查询端查询行为文件。步骤如下：

1)数据预处理：多站点进行收集。仅保存四项字段，分别是查询端请求日期、时间、查询端IP、Handle，去除无关字段，再进行数据格式的转换等。

2)Handle类别标签划分：进行Handle的类别标签划分，应按照企业和Handle所解析的功能主题内容将其分为不同的类别。

3)建立Handle分类库：通过程序模拟客户端Handle查询，获取当前查询内容，对该查询内容中的基本信息和类别元素进行提取，分类别存储，直到将Handle全部处理完毕。在数据库中建立两个表，一个用来存储Handle类别标签和Handle功能主题类别号，另一个用来存储Handle和该Handle对应的功能主题类别号，将处理之后的信息存储在数据库中。

4)训练Handle分类器：查询端查询的Handle在Handle分类库中无法匹配的情况下，利用训练后的朴素贝叶斯Handle分类器进行划分，对未知的Handle进行分类。

5)建立查询端查询行为文件：采用Handle分类库和Handle分类器两种方法进行Handle的分类。在Handle查询日志数据中添加Handle标签字段，以查询端的地址为单位，将查询日期时间、Handle、功能主题分类号等存储在查询端查询行为文件中。

所述步骤2)本发明的类别标签有：某企业工业设备状态信息类、某企业产品追溯信息类、某企业物料数据信息类、某企业加工信息类、某企业用户信息类、某企业订单信息类、某企业附近网络设备状态信息类等。

2、对于聚类分析模块，对查询端特征进行聚类分析。在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征，通过K-Means实现查询端的聚类，基于聚类结果，拟合决策树，对聚类的影响因素分析研究。在这个过程中，将兴趣指数离散化。若检测查询过程中，有查询端偏离正常分类，则被判定为异常攻击查询。该过程步骤如下：

1)构建查询端查询兴趣特征：构建查询端的特征向量T(i)＝(T_i1，T_i2，T_i3，...，T_in)，查询端T_i1表示在查询端i第一个Handle类别的兴趣指数，查询数据总量用SUM(i)表示，查询端i对于功能主题类别j的查询次数用N_ij表示，兴趣指数计算公式如下：

T_ij＝N_ij/SUM(i)

2)查询端特征聚类分析：将每个查询端对应功能主题类别标签的兴趣指数作为输入，对查询端进行特征聚类。采用K-Means聚类算法对查询端进行聚类，对聚类后不同查询群体进行特征统计分析。

3)检测：基于聚类结果，拟合决策树，对聚类影响因素进行探索。在这个过程中，将兴趣指数离散化，分为“兴趣高”和“兴趣低”两个评价指标。若检测查询过程中，有查询端偏离正常分类，则被判定为异常攻击查询。

3、对于统计分析模块，进行查询特征的多角度统计。首先从时间角度出发，统计日查询、周查询、季查询、年查询变化。然后从Handle功能主题类别展开分析，统计了每个Handle功能主题标签的查询量，了解整体查询端的特征，再从时间和功能主题角度，对热门功能主题标签分析，掌握查询端对Handle功能主题的依赖。接着从Handle的角度展开分析，得到具体Handle查询次数。统计分析模块分为查询端查询积极度统计分析、查询端查询的Handle功能主题统计分析、Handle查询量排序统计分析。

4、对于检测模块，根据统计分析进行偏差计算，作为DDoS检测的指标。对于超过限定值的标识查询请求，将其Handle标识解析规则映射关系修改为处理服务器的地址，发送至多层限速处理模块进行处理。对于未超过限定值的标识查询请求，予以通过。

5、对于分层限速处理模块，该方法可以有效处理DDoS攻击，最大限度的保证正常的Handle标识查询请求。多层限速处理可以避免含局部Handle前缀字段的标识查询流量占用太多资源，以致于影响系统的整体功能特性。当出现含局部Handle前缀字段的标识查询流量异常变大，则可通过多层限速处理模块实现防御功能。

第一层：判断是否符合某个前缀局部一致的DDoS攻击，若符合，则根据Handle前缀第一段/第二段/第三段分别进行限速，并将前缀字段加入黑名单。避免系统遭受单个前缀字段大量Handle标识查询请求的流量攻击。若不符，则转向第二层限速处理。

第二层：对于Handle标识前缀变化的攻击，从Handle标识后缀的角度进行聚合统计分析，丢弃递归流量较大的Handle。保证正常Handle标识的查询请求。最后转向第三层限速处理。

第三层：对于Handle标识解析请求的地址等，使用现有的地址限速处理。

与现有技术相比，本发明的优势在于：

1、本发明对日志数据中的Handle划分其对应的功能主题，进而构建判定查询端查询Handle功能主题的方法。在Handle的分类过程中，采用Handle分类库和Handle分类器两个模块对Handle进行功能主题分类。通过Handle功能主题的确定，建立查询端查询行为文件。

2、本发明对数据展开了多维度的分析统计。在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征，通过K-Means实现查询端的聚类，基于聚类结果，拟合决策树，对聚类的影响因素进行分析研究。基于聚类结果和统计分析结果进行偏差计算，作为DDoS的检测指标。

3、本发明通过多层限速处理，避免含局部Handle前缀字段的标识查询流量占用太多资源，以致于影响系统的整体功能特性。该方法可以对DDoS攻击进行分层限速处理，最大限度的保证正常的Handle标识查询请求。

附图说明

图1表示Handle标识体系部署子节点服务器示意图。

图2表示基于Handle的功能主题确定流程图。

图3表示查询端的Handle查询行为分析示意图。

图4表示本发明方法偏差检测及分层限速处理模块图。

图5表示本发明基于Handle系统的DDoS分层限速处理模块图。

具体实施方式

以下结合附图通过具体实施例详细说明本发明，但不构成对本发明的限制。

在Handle标识查询到达递归查询节点之前部署检测服务器，在服务器上进行DDoS攻击检测。另外部署处理服务器，对超过限定值的Handle标识查询请求进行处理。本发明方法的Handle标识体系部署子节点服务器如图1所示。

一种面向Handle标识体系的DDoS防御方法分5个模块进行，分别是Handle功能主题确定模块、聚类分析模块、统计分析模块、检测模块、分层限速处理模块。

2)Handle类别标签划分：进行Handle的类别标签划分，应按照企业和Handle所解析的功能主题内容将其分为不同的类别。本发明实施例的类别标签有：某企业工业设备状态信息类、某企业产品追溯信息类、某企业物料数据信息类、某企业加工信息类、某企业用户信息类、某企业订单信息类、某企业附近网络设备状态信息类等。

5)建立查询端查询行为文件：首先将Handle按字段进行拆分，判断其是否与Handle分类库匹配成功，如果匹配成功，得到Handle功能主题，如果匹配不成功，利用Handle分类器进行划分，基于Handle的功能主题确定流程如图2所示。在Handle查询日志数据中添加Handle标签字段，以查询端的地址为单位，将查询时间、Handle、功能主题分类号等存储在查询端查询行为文件中。

T_ij＝N_ij/SUM(i)

2)查询端特征聚类分析：将每个查询端对应功能主题类别标签的兴趣指数作为输入，对查询端进行特征聚类。采用K-Means聚类算法对查询端进行聚类，对聚类后不同查询群体进行特征统计分析。比如，查询群1：查询群1的查询功能主题主要集中在工业设备信息、物料等方面，因此分析出此类查询端在企业内部进行管控；查询群2：查询群2主要以产品追溯为主，从中可以分析得到，此类人群可能为电商的消费者。

3、对于统计分析模块，进行查询特征的多角度统计。查询端Handle查询行为分析如图3所示。首先从时间角度出发，统计日查询、周查询、季查询、年查询变化。然后从Handle功能主题类别展开分析，统计了每个Handle功能主题标签的查询量，了解整体查询端的特征，再从时间和功能主题角度，对热门功能主题标签分析，掌握查询端对Handle功能主题的依赖。接着从Handle的角度展开分析，得到具体Handle查询次数。统计分析模块分为查询端查询积极度统计分析、查询端查询的Handle功能主题统计分析、Handle查询量排序统计分析。统计分析如下：

1)查询端查询积极度统计：对日志信息进行Handle分类操作，进行统计分析，分为日查询积极度统计、周查询积极度统计、季查询积极度统计、年查询积极度统计。

a、对于日查询积极度统计：对查询端每日查询的时段进行分析，利用统计的方法，提取每日查询端的查询信息表，分析在一天中的不同时间段查询端的个数，获得查询端的查询积极度，从而作为DDoS检测的参考依据。比如，对于消费者查询端，白天的查询量比夜间要高很多。对于企业查询端，白天和夜间的机器运作相对平稳。若与某正常日时间段查询量的偏差大于限定值，则判断其为DDoS攻击。

b、对于周查询积极度统计：在一周的不同时间段，查询端的查询量也是有差别的。周六日相较于工作日的查询量偏高，这与用户的空闲时间有关。若在工作日的查询量高于周六日，考虑遭到恶意攻击。若与某正常周查询量的偏差大于限定值，则判断其为DDoS攻击。

c、对于季查询积极度统计：不同季节查询端的查询量也是有差别的。企业的运作与季节息息相关，风力发电等企业查询量受季节影响较大。对于不符合季节规律的查询，考虑遭到恶意攻击，进行精确的检测。若与某正常季查询量的偏差大于限定值，则判断其为DDoS攻击。

d、对于年查询积极度统计：企业的运作以年为周期，查询端的查询量与历史年份查询量的统计有一定的类似性。对于不符合历史年份规律的查询，考虑遭到恶意攻击，进行精确的检测。若与正常年查询量的偏差大于限定值，则判断其为DDoS攻击。

2)查询端查询的Handle功能主题分析：查询端查询的Handle功能主题统计分为各个类型Handle查询数量统计和热门Handle标签的查询时间段分析。

a、对于不同类型Handle查询数量分析：根据Handle类型的划分，可以确定查询端查询的Handle类型，查询端对于不同类型Handle的查询比例能反映出查询端的兴趣特征。最后对Handle功能主题标签查询数量进行统计。将各个类型的Handle查询量作为DDoS检测的依据。若与某正常Handle类型查询量的偏差大于限定值，则判断其为DDoS攻击。

b、对于热门Handle标签的查询时间段统计：统计一天当中不同时间段查询量比较大的Handle标签在一段周期内的查询量的变化，得到查询端对这些类的依赖程度，有利于管理者掌握查询端对这些功能主题类型Handle的查询规律。通过Handle标签进行分组，统计工业设备状态信息类、产品追溯信息类、物料数据信息类等Handle标签数量，一个周期可以设置为一个小时，计算周期内每个标签的查询率TC，该标签被查询的次数表示为TN，该标签被查询的总次数表示为N，查询率计算方法如下：

TC(i)＝TN(i)/N(i)

比如，设备状态信息类的Handle在一天中的查询量比较均衡，没有太大的起伏；产品追溯类查询量起伏较大。若在周期内查询率与某正常Handle类型查询率的偏差大于限定值，则判断其为DDoS攻击。

3)Handle查询量排序分析：对查询量较大的具体Handle进行了统计，可将其添加到映射表中，提高后续Handle查询效率。若查询量与某正常Handle查询量的偏差大于限定值，则判断其为DDoS攻击。

4、对于检测模块，根据统计分析进行偏差计算，作为DDoS检测的指标。偏差检测及分层限速处理模块如图4所示。对于超过限定值的标识查询请求，将其Handle标识解析规则映射关系修改为处理服务器的地址，发送至多层限速处理模块进行处理。对于未超过限定值的标识查询请求，予以通过。

5、对于分层限速处理模块，该方法可以有效处理DDoS攻击，最大限度的保证正常的Handle标识查询请求。多层限速处理可以避免含局部Handle前缀字段的标识查询流量占用太多资源，以致于影响系统的整体功能特性。当出现含局部Handle前缀字段的标识查询流量异常变大，则可通过多层限速处理模块实现防御功能，基于Handle系统的DDoS分层限速处理如图5所示。

总之，本发明所述的面向Handle标识体系的DDoS防御方法，包括：对Handle解析日志进行分析，通过数据挖掘技术中的方法挖掘查询端的特征，根据聚类和统计结果计算偏差，作为检测DDoS攻击的指标，对非正常的Handle查询请求进行多层限速处理。检测模块和处理模块分别部署在Handle客户端与本地Handle服务(Local Handle Service，LHS)接入点处的子节点服务器上，在Handle标识解析体系上实现对分布式拒绝服务攻击的检测，提升了工业互联网标识解析系统的安全性。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照本发明实施例进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明的技术方案的精神和范围，其均应涵盖本发明的权利要求保护范围中。

Claims

1.一种面向Handle标识体系的DDoS防御方法，其特征在于：所述方法通过以下5个模块来实现，分别是Handle功能主题确定模块、聚类分析模块、统计分析模块、检测模块、分层限速处理模块；具体如下：

(1)、Handle功能主题确定模块，使用了建立Handle分类库和训练Handle分类器两种方式对查询端进行标签化，最后对查询端建立查询文件，该查询文件记录每一个查询端的查询信息；

(2)、聚类分析模块，对查询端特征进行聚类分析；在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征，通过K-Means实现查询端的聚类，基于聚类结果，拟合决策树，对聚类的影响因素分析研究；在这个过程中，将兴趣指数离散化；若检测查询过程中，有查询端偏离正常分类，则被判定为异常攻击查询；

(3)、统计分析模块，进行查询特征的多角度统计；首先从时间角度出发，统计日查询、周查询、季查询、年查询变化；然后从Handle功能主题类别展开分析，统计了每个Handle功能主题标签的查询量，了解整体查询端的特征，再从时间和功能主题角度，对热门功能主题标签分析，掌握查询端对Handle功能主题的依赖；接着从Handle的角度展开分析，得到具体Handle查询次数；统计分析模块分为查询端查询积极度统计分析、查询端查询的Handle功能主题统计分析、Handle查询量排序统计分析；

(4)、检测模块，根据统计分析进行偏差计算，作为DDoS检测的指标；对于超过限定值的标识查询请求，将其Handle标识解析规则映射关系修改为处理服务器的地址，发送至多层限速处理模块进行处理；对于未超过限定值的标识查询请求，予以通过；

(5)、分层限速处理模块，有效处理DDoS攻击，最大限度的保证正常的Handle标识查询请求；多层限速处理避免局部Handle前缀字段查询流量占用太多资源，以致于影响系统的整体功能特性；当出现局部Handle前缀字段查询流量异常变大，则通过多层限速处理模块实现防御功能。

2.根据权利要求1所述的一种面向Handle标识体系的DDoS防御方法，其特征在于：Handle功能主题确定模块中，该过程具有5个步骤：数据预处理、Handle类别标签划分、建立Handle分类库、训练Handle分类器、建立查询端查询行为文件；步骤如下：

1)数据预处理：多站点进行收集；仅保存四项字段，分别是查询端请求日期、时间、查询端IP、Handle，去除无关字段，再进行数据格式的转换；

2)Handle类别标签划分：进行Handle的类别标签划分，应按照企业和Handle所解析的功能主题内容将其分为不同的类别；

3)建立Handle分类库：通过程序模拟客户端Handle查询，获取当前查询内容，对该查询内容中的基本信息和类别元素进行提取，分类别存储，直到将Handle全部处理完毕；在数据库中建立两个表，一个用来存储Handle类别标签和Handle功能主题类别号，另一个用来存储Handle和该Handle对应的功能主题类别号，将处理之后的信息存储在数据库中；

4)训练Handle分类器：查询端查询的Handle在Handle分类库中无法匹配的情况下，利用训练后的朴素贝叶斯Handle分类器进行划分，对未知的Handle进行分类；

5)建立查询端查询行为文件：采用Handle分类库和Handle分类器两种方法进行Handle的分类；在Handle查询日志数据中添加Handle标签字段，以查询端的地址为单位，将查询日期时间、Handle、功能主题分类号存储在查询端查询行为文件中。

3.根据权利要求1或2所述的一种面向Handle标识体系的DDoS防御方法，其特征在于：聚类分析模块中，包括以下步骤：

1)构建查询端查询兴趣特征：构建查询端的特征向量T(i)＝(T_i1，T_i2，T_i3，...，T_in)，T_i1表示在查询端i第一个Handle类别的兴趣指数，查询数据总量用SUM(i)表示，查询端i对于功能主题类别j的查询次数用N_ij表示，兴趣指数计算公式如下：

T_ij＝N_ij/SUM(i)

2)查询端特征聚类分析：将每个查询端对应功能主题类别标签的兴趣指数作为输入，对查询端进行特征聚类；采用K-Means聚类算法对查询端进行聚类，对聚类后不同查询群体进行特征统计分析；

3)检测：基于聚类结果，拟合决策树，对聚类影响因素进行探索；在这个过程中，将兴趣指数离散化，分为“兴趣高”和“兴趣低”两个评价指标；若检测查询过程中，有查询端偏离正常分类，则被判定为异常攻击查询。

4.根据权利要求3所述的一种面向Handle标识体系的DDoS防御方法，其特征在于：统计分析模块中，统计分析如下：

1)查询端查询积极度统计：对日志信息进行Handle分类操作，进行统计分析，分为日查询积极度统计、周查询积极度统计、季查询积极度统计、年查询积极度统计；

a、对于日查询积极度统计：对查询端每日查询的时段进行分析，利用统计的方法，提取每日查询端的查询信息表，分析在一天中的不同时间段查询端的个数，获得查询端的查询积极度，从而作为DDoS检测的参考依据；若与某正常日时间段查询量的偏差大于限定值，则判断其为DDoS攻击；

b、对于周查询积极度统计：周六日相较于工作日的查询量偏高，这与用户的空闲时间有关；若在工作日的查询量高于周六日，考虑遭到恶意攻击；若与某正常周查询量的偏差大于限定值，则判断其为DDoS攻击；

c、对于季查询积极度统计：对于不符合季节规律的查询，考虑遭到恶意攻击，进行精确的检测；若与某正常季查询量的偏差大于限定值，则判断其为DDoS攻击；

d、对于年查询积极度统计：对于不符合历史年份规律的查询，考虑遭到恶意攻击，进行精确的检测；若与正常年查询量的偏差大于限定值，则判断其为DDoS攻击；

2)查询端查询的Handle功能主题分析：查询端查询的Handle功能主题统计分为各个类型Handle查询数量统计和热门Handle标签的查询时间段分析；

a、对于不同类型Handle查询数量分析：根据Handle类型的划分，确定查询端查询的Handle类型，查询端对于不同类型Handle的查询比例能反映出查询端的兴趣特征；最后对Handle功能主题标签查询数量进行统计；将各个类型的Handle查询量作为DDoS检测的依据；若与某正常Handle类型查询量的偏差大于限定值，则判断其为DDoS攻击；

b、对于热门Handle标签的查询时间段统计：统计一天当中不同时间段查询量比较大的Handle标签在一段周期内的查询量的变化，得到查询端对这些类的依赖程度，有利于管理者掌握查询端对这些功能主题类型Handle的查询规律；通过Handle标签进行分组，统计工业设备状态信息类、产品追溯信息类、物料数据信息类的Handle标签数量，一个周期设置为一个小时，计算周期内每个标签的查询率TC，该标签被查询的次数表示为TN，该标签被查询的总次数表示为N，查询率计算方法如下：

TC＝TN/N

若在周期内查询率与某正常Handle类型查询率的偏差大于限定值，则判断其为DDoS攻击；

3)Handle查询量排序分析：对查询量较大的具体Handle进行统计，将其添加到映射表中，提高后续Handle查询效率；若查询量与某正常Handle查询量的偏差大于限定值，则判断其为DDoS攻击。

5.根据权利要求4所述的一种面向Handle标识体系的DDoS防御方法，其特征在于：分层限速处理模块中，具体如下：

第一层：判断是否符合某个前缀局部一致的DDoS攻击，若符合，则根据Handle前缀第一段/第二段/第三段分别进行限速，并将前缀字段加入黑名单；避免系统遭受单个前缀字段大量Handle标识查询请求的流量攻击；若不符，则转向第二层限速处理；

第二层：对于Handle标识前缀变化的攻击，从Handle标识后缀的角度进行聚合统计分析，丢弃递归流量较大的Handle，保证正常Handle标识的查询请求；最后转向第三层限速处理；

第三层：对于Handle标识解析请求的地址，使用现有的地址限速处理。