本發明提出一種分布式拒絕服務攻擊檢測方法，能夠準確檢測低速DDoS攻擊的方法，具體實現主要包含在線編碼和離線譯碼兩部分。在線編碼操作在中心路由器的SRAM上進行。在每個測量周期，SRAM上會開辟一塊連續內存空間用于攻擊檢測。當有數據包到達時，SRAM會將該數據包利用哈希技術記錄到所開辟的連續內存空間中。等一個測量周期結束，SRAM將本周期的數據包記錄下載到服務器，用于后面的分析。離線譯碼是在服務器上實現的，通過對得到的編碼記錄進行譯碼，分析得到每條流的k?持續流量，從而判斷是否受到攻擊。本發明在存儲資源嚴重受限的情況下，準確檢測出每條流的k?持續流量，進而判斷出是否存在DDoS攻擊。

技術領域

本發明涉及一種低速的分布式拒絕服務攻擊檢測方法，屬于網絡攻擊檢測領域。

背景技術

分布式拒絕服務(DDoS：Distributed Denial of Service)攻擊是指借助于客戶/服務器技術，將大量計算機聯合起來作為攻擊平臺，對一個或多個目標發動攻擊，通過大量合法的請求占用大量資源，使被攻擊的服務器癱瘓。在傳統的DDoS攻擊中，攻擊者的發包速度一般要遠大于合法的用戶。因此，已有的DDoS攻擊檢測技術通過監測用戶的發包速率，來判斷該用戶是否為攻擊者。然而，此類DDoS攻擊檢測技術在攻擊者降低發包速率時是無效的。通常將攻擊者的發包速度與合法用戶的發包速度基本相同時的DDoS攻擊稱為低速DDoS攻擊。低速DDoS攻擊雖然不能使被攻擊的服務器癱瘓，但當攻擊者足夠多時，仍可以明顯降低服務器的性能。當發生DDoS攻擊時，服務器可能無法判斷是遭到了攻擊還是訪問的合法用戶突然增多。顯然，低速DDoS攻擊比傳統的DDoS攻擊的檢測難度更大。通過分析發現，低速DDoS攻擊中的非法用戶(即攻擊者)需要持續訪問服務器，否則無法發起有效攻擊。所以，這些攻擊者訪問服務器的時間要明顯長于合法用戶。如果將所有發送給同一個目的服務器的數據包抽象為一條流，每個源地址看作是流中的一個元素，那么該流的流量就應該等于發送給該服務器的不同源地址的個數。如果取t個測量周期，那么對于存在DDoS攻擊的流，持續存在于給定的t個測量周期的元素數量會明顯大于未被攻擊的流。已有研究設計出了高效的持續流量估計器，用于檢測是否存在低速DDoS攻擊。然而，現有對持續流量的定義過于嚴格，只有在所有給定的測量周期均存在于流中的元素才會被認定為持續元素。而持續流量是由持續元素組成的。當攻擊者隨機丟棄幾個測量周期時，就會有很大概率被認定為非持續元素，從而逃避檢測。要徹底解決該問題，必須要設計出能夠準確估計出每條流f的k-持續流量的估計器，即在給定的t個周期內，至少在其中的k個周期存在于流f的元素個數。由于低速DDoS的攻擊者的訪問被攻擊服務器的總時間長度應該明顯高于合法用戶，因此總能找到合適的k值將攻擊者和合法用戶區分開。然而，現在還沒有研究設計出準確的k-持續流量估計器。

發明內容

為了解決網絡中遇到的低速DDoS攻擊問題，本發明旨在設計一種網絡流的k-持續流量統計方法，具體方案如下：

一種分布式拒絕服務攻擊檢測方法，包括：

在線編碼步驟，在每個測量周期，利用哈希函數記錄接收到的數據包，得到編碼記錄；

離線譯碼步驟，對所述編碼記錄進行譯碼，分析得到每條流的k-持續流量，從而判斷是否受到攻擊。

優選的，所述在線編碼步驟在中心路由器的SRAM上進行，所述離線譯碼步驟由服務器實現。

優選的，所述在線編碼步驟具體包括以下步驟：

設置所述SRAM上一塊連續內存空間中的所有位為0；

判斷是否有數據包到達，若是則執行下一個步驟，否則繼續判斷是否有數據包到達；

設置所述連續內存空間的某一位置為1；

判斷本測量周期是否結束，若結束則下一個步驟，否則繼續判斷是否有數據包到達；

將所述連續內存空間從中心路由器下載到服務器。