本發明公開了一種基于混沌理論分析的DDoS攻擊檢測方法，它包括：步驟1、收集信網絡流量數據，并對收集的流量數據進行預處理；步驟2、采用時間序列模型中序列預測算法建立網絡正常流量模型；步驟3、將網絡流量正常模型與網絡流量測量值進行作差得到相應的新序列，從而得到網絡流量的異常子序列；步驟4、采用混沌理論中的李雅譜諾夫指數分析異常子序列，判斷當前時刻系統的狀態；解決了現有技術存在的DDoS攻擊由于大部分攻擊流從單個數據講，并無明顯惡意特征，甚至貌似合法正常請求，因此在檢測上具有很大難度；目前對DDoS攻擊的檢測缺少行之有效地解決方案來杜絕或降低所帶來的危害等技術問題。

技術領域

本發明屬于網絡攻擊檢測技術，尤其涉及一種基于混沌理論分析的DDoS攻擊檢測方法。

背景技術

DDoS攻擊過程大致分為以下步驟：

(1)收集主機的信息：目標主機是指在一定范圍內那些自身防御能力低下的主機，收集主機信息的過程主要是獲取那些可以被感染的目標主機的重要信息，例如，目的網絡主機端口對外開放情況、IP地址以及帶寬容納能力等。(2)找尋受害主機：感染受害主機的方式多種多樣，大都通過端口掃描方式找到那些有配置錯誤、系統防護力弱的主機作為首要感染者。同時那些少更新、少維護的網絡主機也是攻擊者尋找的最佳感染目標。(3)控制受害主機：當受害的網絡主機被攻擊者感染后，攻擊者會在被感染主機上安裝控制軟件，方便攻擊者日后發送命令，同時攻擊者以同樣手段不斷地擴大自己的控制范圍。從而，攻擊者的勢力范圍和攻擊規模亦隨之擴大。(4)發動網絡攻擊：攻擊者為了更好的隱藏自身位置，最大程度上降低被追蹤與識別到的概率，將整個攻擊過程大致分為兩部分：首先向所控制的傀儡機發送特定的攻擊命令；其次由傀儡機執行命令，在規定的時間內，向目標服務器發送大量的具有虛假源IP地址的非法連接請求報文。這些非法連接會占用目標服務器的絕大部分資源，甚至將半連接隊列塞滿，直至目標服務器不能對正常用戶的合法連接請求做出響應，最終致使目標服務器崩潰。

DDoS攻擊還可按照攻擊流的速率分類，可以分為恒速攻擊和變速攻擊，變速攻擊又可以進一步分為增速攻和波動速率攻擊。波動速率攻擊的極端形式是脈沖式攻擊，如果所有攻擊代理都同時產生脈沖行為，則受害系統經歷的式周期性的服務中斷。

對于DDoS檢測，大多現有的入侵檢測系統(如：Bro、Snort等)根據檢測特定端口、標志位、數據內容等攻擊特征來檢測攻擊。這種方式的主要優點是誤判率低，但面對新型態或是變型的攻擊行為，則完全無法識別出來。這種檢測方式就如同我們現在所用的防毒軟件的病毒檢測技術一樣，采用病毒規則對比的方式，但缺點是必須依賴定期的更新病毒規則，才能防御新型態或變型的病毒。同理此種特征對比的檢測技術也是一樣需要經常更新特征庫，才能檢測出新的攻擊。

如今DDoS攻擊工具的泛濫以及攻擊手法的層出不窮，如果一味地依賴更新規則庫的方式來保護系統，那么在安全防護的效果上就會大打折扣了。這就要求檢測算法具有智能性，能夠自我學習網絡特性，自動更新防御規則，能夠實現對即將出現的攻擊具有抵御能力。近幾年有許多的研究采用人工智能或數據挖掘等技術以達到更佳的檢測效果，目前的研究成果已顯示其在檢測入侵方面的潛力，但檢測率和誤報率方面還有提升的空間。防御DDoS攻擊靠的是高準確率的檢測以及全網絡的安全部署。社會上的DDoS防御廠商雖已經有了許多優秀的產品面世，例如思科的Riverhead DDoS防御系統和綠盟的“黑洞”，但廠商們多各自研究攻擊檢測算法和防御手段，而且對其技術嚴格保密，沒有公開的技術文檔，造成全球防御DDoS能力的整體水平參差不齊，且影響了整個網絡抵御DDoS的能力。因此，在智能算法對DDoS攻擊檢測方面，還有許多值得探討的課題，并且研究成果能提升DDoS檢測能力的整體水平，加快全球防御DDoS技術的發展。通過對DDoS攻擊進行分類，大部分攻擊流從單個數據講，并無明顯惡意特征，甚至貌似合法正常請求，因此在檢測上具有很大難度。目前對DDoS攻擊的檢測已引起廣泛關注，但仍然缺少行之有效地解決方案來杜絕或降低所帶來的危害，其根本原因主要在于：