技術領域

本發明涉及一種動態閾值DDoS被攻擊地址檢測方法，屬于通信技術領域。

背景技術

針對可能存在的DDoS攻擊進行防御是對數據流量進行監控。現有技術中有靜態固定閾值DDoS被攻擊地址檢測技術和動態閾值DDoS檢測技術。

靜態固定閾值DDoS被攻擊地址檢測技術操作簡單，易于部署，算法效率高，但是不適于流量較大的網絡環境且缺乏靈活性，同時靜態閾值不易確定，設置不當會導致檢測效率和檢測效果的降低。

動態閾值DDoS檢測技術中閾值的計算有兩種方法：區間均值閾值算法和EWMA算法。區間均值閾值算法將所有流量值度閾值的影響同等看待，賦以相同的權值，實際上這種作用是有差別的，一般近期的數值影響較遠期的數值影響更大一些，在網絡流量變化劇烈的環境中，按此方法產生的閾值與實際流量差距會很大，往往起不到檢測作用。

現有的基于EWMA算法的閾值生成算法缺點是當網絡長時間處于較低負荷狀態下所計算的閾值較小，如果突然負荷變大會導致由于低閾值而產生誤報。

另外，區間均值閾值算法和EWMA算法閾值的設定都只基于當前的網絡流量，未對閾值留有增大的緩沖區間和防抖動算法以適應正常通信時的通信量猝發性增長，也未設定閾值的上限值。

發明內容

本發明所要解決的技術問題是針對上述背景技術的不足，提供了一種動態閾值DDoS被攻擊地址檢測方法。

本發明為實現上述發明目的采用如下技術方案：

一種動態閾值DDoS被攻擊地址檢測方法包括如下步驟：

步驟1，分析歷史數據表得到閾值TH_n以及閾值數據表，其中：TH_n為第n次更新時所預測的閾值，n為大于等于1的自然數；

步驟2，在數據采集周期內采集數據包，對采集的數據包提取IP地址，統計實時數據流量TF_n，TF_n為第n次更新時實時數據流量；

步驟3，對比實時數據流量TF_n與閾值TH_n，計算各個數據在第n次更新時溢出積累變量S_n的值，并更新溢出積累變量S_n值的存儲表，溢出積累變量S_n值的具體算法如下：

當TF_n＞TH_n時，進入步驟3-1；

當TF_n≤TH_n時，進入步驟3-2；

步驟3-1，利用公式S_n＝S_n-1+TF_n-TH_n計算第n次更新時溢出積累變量S_n的值；

步驟3-2，當S_n-1＞0時，利用如下公式計算第n次更新時溢出積累變量S_n的值；