1.一種應(yīng)用層DDoS分布式拒絕服務(wù)攻擊防御方法，其特征是，它分兩個(gè)階段：訓(xùn)練階段和工作階段，訓(xùn)練階段使用真實(shí)的合法訪問流量作為訓(xùn)練數(shù)據(jù)，生成基準(zhǔn)矩陣用于工作階段的實(shí)時(shí)檢測(cè)與保護(hù)，該應(yīng)用層DDoS設(shè)備需串聯(lián)部署在應(yīng)用服務(wù)器前，使來訪流量在進(jìn)入服務(wù)器前先經(jīng)過防御設(shè)備的過濾，其具體步驟為：

1）訓(xùn)練階段

1-1）取高峰時(shí)段服務(wù)器的正常訪問流量作為訓(xùn)練數(shù)據(jù)，僅需客戶端至服務(wù)端的流量即可；并準(zhǔn)備兩個(gè)1000×1000的全0矩陣，S、M；

1-2）當(dāng)來訪流量到達(dá)時(shí)，按照四元組即對(duì)流量進(jìn)行分類，四元組相同的歸入同一個(gè)流，其中四元組為：源IP地址、目的IP地址、目地端口、協(xié)議號(hào)；

1-3）忽略無上層協(xié)議負(fù)載的數(shù)據(jù)包，僅處理帶上層協(xié)議數(shù)據(jù)的數(shù)據(jù)包即請(qǐng)求數(shù)據(jù)包，記錄下包長(zhǎng)和到達(dá)時(shí)間，計(jì)算與前一請(qǐng)求數(shù)據(jù)包之間的時(shí)間間隔，判斷是否滿足歸一化要求，即是否已捕獲了屬于同一流的3個(gè)請(qǐng)求數(shù)據(jù)包），如滿足則進(jìn)行下一步；否則返回步驟1-2）；

1-4）、對(duì)請(qǐng)求數(shù)據(jù)的包長(zhǎng)和時(shí)間間隔進(jìn)行歸一化處理，如下：

設(shè)p為客戶端向服務(wù)端發(fā)出的請(qǐng)求數(shù)據(jù)包，Δt為各請(qǐng)求報(bào)文到達(dá)服務(wù)端的時(shí)間間隔，n為請(qǐng)求數(shù)據(jù)包的總個(gè)數(shù)，則一個(gè)流記為：

F＝(p_i,Δt_i){1≤i≤n,n＝count(p_i)}????(1)

設(shè)報(bào)文長(zhǎng)度l_i＝length(p_i)，公式(1)改寫為：

F＝(l_i,Δt_i){1≤i≤n,n＝count(p_i)}????(2)

通過公式(2)，將客戶端發(fā)往服務(wù)端的請(qǐng)求數(shù)據(jù)包序列映射為包長(zhǎng)和時(shí)間間隔序列；對(duì)這個(gè)包長(zhǎng)和時(shí)間間隔序列做歸一化處理，公式如下：

Xj=Norm(li)*100+Norm(li+1)*10+Norm(li+2)Yj=Norm(Δti)*100+Norm(Δti+1)*10+Norm(Δti+2)]]>

(3)

其中，Norm()為歸一化函數(shù)，l_i為一次歸一化處理中的第1個(gè)請(qǐng)求數(shù)據(jù)包長(zhǎng)度，l_i+1為第2個(gè)請(qǐng)求數(shù)據(jù)包長(zhǎng)度，l_i+2為第3個(gè)請(qǐng)求數(shù)據(jù)包長(zhǎng)度；Δt_i為第1個(gè)請(qǐng)求數(shù)據(jù)包與其前一包的時(shí)間間隔，Δt_i+1為第2個(gè)請(qǐng)求數(shù)據(jù)包與第1個(gè)請(qǐng)求數(shù)據(jù)包的時(shí)間間隔，Δt_i+2為第3個(gè)請(qǐng)求數(shù)據(jù)包與第2個(gè)請(qǐng)求數(shù)據(jù)包的時(shí)間間隔，n為屬于同一流的請(qǐng)求數(shù)據(jù)包的總數(shù)；Norm()函數(shù)采用均勻歸一化，或按照實(shí)際情況取非均勻的歸一化；

X_j，Y_j分別為數(shù)據(jù)包長(zhǎng)度和時(shí)間間隔在歸一化處理后得到的值，根據(jù)公式(3)可X_j和Y_j的值均位于(0，999)區(qū)間；

1-5）將(3)式得到的每一組節(jié)奏值(X_j，Y_j)視為1000X1000矩陣S中的元素下標(biāo)，由此將請(qǐng)求報(bào)文節(jié)奏映射到矩陣上；矩陣初始值為0，每當(dāng)求得報(bào)文節(jié)奏(X_j，Y_j)時(shí)，矩陣S在(X_j，Y_j)處的元素值加1；設(shè)單位時(shí)間t內(nèi)報(bào)文節(jié)奏在矩陣元素(i，j)處的值為C_(i，j)，則該處的落點(diǎn)速度為：

S_(i，j)=C_(i，j)/t????(4)

稱在單位時(shí)間t內(nèi)形成的矩陣為節(jié)奏速度矩陣；

1-6）對(duì)k個(gè)單位時(shí)間的連續(xù)數(shù)據(jù)進(jìn)行處理，獲得矩陣(i，j)處在不同單位時(shí)間段內(nèi)的速度值(S₁，S₂……S_k)，取

M(i,j)=max1≤n≤k(Sn)---(5)]]>

即，取矩陣元素S_(i，j)在k個(gè)時(shí)段內(nèi)的最大值為矩陣M在(i，j)處的值；如此計(jì)算矩陣每個(gè)元素落點(diǎn)速度的最大值，用所有元素的最大值構(gòu)成一個(gè)新的矩陣M，稱為最大節(jié)奏速度矩陣，作為工作階段使用的基準(zhǔn)矩陣；

2）工作階段

2-1）、載入訓(xùn)練階段得到的基準(zhǔn)矩陣M，準(zhǔn)備一個(gè)黑名單列表，用于存放被認(rèn)定為攻擊源的IP地址；

2-2）、捕獲數(shù)據(jù)包，并檢查該包的源IP地址是否在黑名單中；如果在，則丟棄該包；如果不在，則進(jìn)入下一步；

2-3）重復(fù)訓(xùn)練階段第1-2）～1-5）的算法，獲取實(shí)時(shí)流量在單位時(shí)間t內(nèi)的節(jié)奏速度矩陣S′；

2-4）比較矩陣S′與M各元素的值，如果S′_(i，j)>>M_(i，j)，則判定發(fā)生了DDoS攻擊，將對(duì)應(yīng)的下標(biāo)(i，j)加入列表L，轉(zhuǎn)入第2-3）步；否則轉(zhuǎn)入第2-1）步，生成下一個(gè)單位時(shí)間的節(jié)奏速度矩陣；

2-5）如果列表L不為空，在處理后續(xù)請(qǐng)求報(bào)文，生成報(bào)文節(jié)奏時(shí)，將生成的節(jié)奏值與L中的值比對(duì)，如果節(jié)奏值在L中存在，則將該流加權(quán)；如果某個(gè)流的權(quán)值超過閥值，則判定該流為DDoS攻擊流，丟棄其流量；

2-6）監(jiān)視每一輪的實(shí)時(shí)節(jié)奏速度矩陣S′，當(dāng)S′_(i，j)<=M_(i，j)時(shí)，從L中刪除(i，j)。

2.如權(quán)利要求1所述的應(yīng)用層DDoS分布式拒絕服務(wù)攻擊防御方法，其特征是，所述步驟1-3）中，處理帶上層協(xié)議數(shù)據(jù)的數(shù)據(jù)包時(shí)，僅處理TCP負(fù)載大于0的數(shù)據(jù)包。