1.一種基于數(shù)據(jù)挖掘技術(shù)的拒絕服務(wù)攻擊防御方法和系統(tǒng)，該系統(tǒng)需部署在被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)入口，并為該系統(tǒng)配置數(shù)據(jù)庫服務(wù)器以存儲系統(tǒng)抽樣的實時流量；其特征在于，所述系統(tǒng)包括有：

異常檢測模塊，負(fù)責(zé)檢測當(dāng)前網(wǎng)絡(luò)流量的狀態(tài)以判斷當(dāng)前系統(tǒng)是否異常，并根據(jù)當(dāng)前系統(tǒng)的狀態(tài)將當(dāng)前網(wǎng)絡(luò)流量隨機(jī)抽樣至數(shù)據(jù)庫服務(wù)器的正常流量庫和異常流量庫；

數(shù)據(jù)挖掘引擎模塊，負(fù)責(zé)利用數(shù)據(jù)庫服務(wù)器中的正常流量庫和異常流量庫提取可信源IP列表和屬性分值表，并將可信源IP列表和屬性分值表分別傳遞給可信IP過濾器和流量控制模塊；

可信IP過濾器模塊，負(fù)責(zé)根據(jù)可信源IP列表對數(shù)據(jù)包的源IP進(jìn)行匹配，如果匹配則放行流量，否則將流量交給流量控制模塊處理；

流量控制模塊，負(fù)責(zé)根據(jù)屬性分值表對流經(jīng)流量控制模塊的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行打分，并將分值映射成數(shù)據(jù)包危險等級，該模塊根據(jù)危險度等級的高低進(jìn)行選擇性的丟包。

2.如權(quán)利要求1所述的異常檢測模塊，其特征在于，所述異常檢測算法包括：

定時提取TCP包頭的標(biāo)志字段和IP包頭的分片標(biāo)志；

構(gòu)造協(xié)方差矩陣，并計算協(xié)方差矩陣與協(xié)方差矩陣序列的均值的距離；

構(gòu)造存儲大量距離值的歷史窗口，在假設(shè)距離值獨立同分布的情況下，計算距離值的置信區(qū)間；

對判斷結(jié)果進(jìn)行二次評估，使檢測算法的檢測結(jié)果更準(zhǔn)確。

3.如權(quán)利要求1所述的網(wǎng)絡(luò)流量隨機(jī)抽樣，其特征在于，所述方法包括：

隨機(jī)生成16比特匹配串，與IP數(shù)據(jù)包Identification字段16比特進(jìn)行匹配，若匹配成功則抽樣該數(shù)據(jù)包。

4.如權(quán)利要求1所述的提取可信源IP列表，其特征在于，所述方法包括：

對正常流量庫中的源IP進(jìn)行訪問頻度排序，得到集合S₁；

在正常流量庫中，根據(jù)IP數(shù)據(jù)包TTL屬性和IP包長度屬性提取頻繁項集，并得到頻繁屬性集對應(yīng)的IP列表，得到集合S₂；

在異常流量庫中，根據(jù)IP數(shù)據(jù)包TTL屬性和IP包長度屬性提取頻繁項集，并得到頻繁屬性集對應(yīng)的IP列表，得到集合S₃；

根據(jù)前三個集合得到可信IP列表。

5.如權(quán)利要求1所述的提取屬性分值表方法，其特征在于，所述提取方法包括：

根據(jù)IP數(shù)據(jù)包的TTL屬性和源IP前綴(16比特)兩屬性，對正常流量庫和異常流量庫中的數(shù)據(jù)包進(jìn)行頻率統(tǒng)計；

按照貝葉斯定理生成屬性分值表；

根據(jù)屬性分值表計算正常流量庫和異常流量庫中的數(shù)據(jù)包分值的平均值和標(biāo)準(zhǔn)差。

6.如權(quán)利要求1所述的將分值映射成數(shù)據(jù)包危險等級，其特征在于，所采用的映射方法充分考慮了貝葉斯分類誤差，并減少映射關(guān)系對數(shù)據(jù)包危險度劃分的影響。

7.如權(quán)利要求1所述的根據(jù)危險度等級的高低進(jìn)行選擇性的丟包，其特征在于：根據(jù)危險等級與丟包概率的對應(yīng)關(guān)系，對高危險度的數(shù)據(jù)包進(jìn)行高概率丟包，對于低危險度的數(shù)據(jù)包進(jìn)行低概率丟包。

8.如權(quán)利要求7所述的危險等級與丟包概率的對應(yīng)關(guān)系，其特征在于：當(dāng)危險等級為0時，丟包概率為0％，當(dāng)危險等級為9時，丟包概率為10％，其他危險等級可以按照線性或指數(shù)函數(shù)關(guān)系來設(shè)定丟包率。