本申請公開了一種基于sketch的DDoS洪泛攻擊檢測方法及裝置，其中，方法包括：在系統開始運行時，控制系統進入第一預設狀態，并學習系統參數；當第一預設狀態結束，控制系統進入第二預設狀態，其中，在每一檢測周期，生成相應的Sketch，以統計該檢測周期的網絡流量，S_cur代表當前檢測周期的Sketch，而S_last代表上一個處于第二預設狀態下的Sketch，根據滑動操作和Hellinger距離計算S_cur和S_last的差異度，同時生成動態閾值，以在差異度大于動態閾值時，則控制系統進入第三預設狀態；當系統處于第三預設狀態時，生成相應的異常Sketch。該方法可以在有限的空間消耗下快速有效地檢測DDoS洪泛攻擊，并且通過滑動操作以獲取異常bucket，可以有效識別攻擊者。

技術領域

本申請涉及互聯網技術領域，特別涉及一種基于sketch的DDoS洪泛攻擊檢測方法及裝置。

背景技術

自互聯網誕生起，網絡安全威脅一直是學術界的重要研究課題。而分布式拒絕服務(Distributed denial of service，簡稱DDoS)洪泛攻擊是當前非常普遍且嚴重威脅網絡安全的一種攻擊方式，給人們和社會經濟帶來了重大損失。這些攻擊通常是通過耗盡帶寬，網絡資源或服務器資源來發起的。DDoS洪泛攻擊發生迅速且后果嚴重，因此高效地檢測DDoS泛洪攻擊至關重要。

目前，很多有關DDoS檢測的研究工作都會維持每流狀態來進行檢測分析，然而在實際應用時，為了維持每流狀態，這些方法通常無法滿足吞吐率要求，或者是空間開銷過大，很難針對一個大型網絡進行在線檢測，有待解決。

申請內容

本發明旨在至少在一定程度上解決相關技術中的技術問題之一。

為此，本發明的第一目的在于提出一種基于sketch的DDoS洪泛攻擊檢測方法，可以在有限的空間消耗下快速有效地檢測DDoS洪泛攻擊，并且通過滑動操作以獲取異常bucket，可以有效識別攻擊者。

本發明的第二個目的在于提出一種基于sketch的DDoS洪泛攻擊檢測裝置。

本發明的第三個目的在于提出一種電子設備。

本發明的第四個目的在于提出一種計算機可讀存儲介質。

為達到上述目的，本申請第一方面實施例提供一種基于sketch的DDoS洪泛攻擊檢測方法，包括以下步驟：

在系統開始運行時，控制所述系統進入第一預設狀態，并學習系統參數；

當所述第一預設狀態結束，控制所述系統進入第二預設狀態，其中，在每一檢測周期，生成相應的Sketch，以統計該檢測周期的網絡流量，S_cur代表當前檢測周期的Sketch，而S_last代表上一個處于所述第二預設狀態下的Sketch，根據滑動操作和Hellinger距離計算S_cur和S_last的差異度，同時生成動態閾值，以在所述差異度大于所述動態閾值時，則控制所述系統進入第三預設狀態；

當所述系統處于所述第三預設狀態時，生成相應的異常Sketch，其中，每一行均包含由滑動操作所產生的若干異常bucket，其中，檢查每一個數據包的源IP(InternetProtocol，網際互連協議)，若經過sketch中每一行的哈希函數哈希后，均落入到該行的異常bucket中，則認為該源IP是DDoS的攻擊者，并發出相應的告警。

另外，根據本發明上述實施例的基于sketch的DDoS洪泛攻擊檢測方法還可以具有以下附加的技術特征：

可選地，所述動態閾值的生成公式為：

EH_{t+1}＝βEH_t+(1-β)h_t，