买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本发明公开了一种基于在线时序分析的容量耗尽型DDoS入侵检测和缓解方法，属于计算机网络安全领域。其中所述方法包括：设计动态Sketch激活模块，利用Sketch收集网络状态信息特征，并通过信息熵计算作为网络状态的反映；根据计算所得信息熵在数据平面内进行初步判断，若判断为可疑流，则通过digest上报至控制器，进行在线时序分析，通过相空间重构以及去趋势波动分析进一步将可疑流状态进行推断，由此得出网络状态的最终判断；入侵判断后，控制器内通过读取网络拓扑并进行图建模，使用反向深度优先搜索进行IP溯源，其后插入过滤性的流表规则以进行缓解；本发明提出的方法可以及时检测到容量耗尽型DDoS入侵并缓解，是一种可行且有效的容量耗尽型DDoS入侵检测与缓解方法。

主权项：1.基于在线时序分析的容量耗尽型DDoS入侵检测和缓解方法，其特征在于，于数据平面中利用Sketch估计特征值，并计算观测时间窗的信息熵，基于此进行第一阶段初步判断，以完成易区分入侵情况的过滤性检测，于控制平面中利用混沌理论进行在线时序分析，基于此进行第二阶段最终判断，以完成较难区分入侵情况的筛选性检测；在完成检测后，由控制平面进行IP溯源并向数据平面插入缓解入侵的流表规则，基于在线时序分析的容量耗尽型DDoS入侵检测和缓解方法包括以下几个步骤：步骤1、网络信息收集以及状态量化：以时间窗作为网络信息收集的基本划分单位，基于上个时间窗的流量信息进行动态激活Sketch的操作，并通过Sketch收集网络流量信息：包数、源IP基数，同时根据该信息采用数据平面内信息熵计算的方法，将计算所得信息熵作为网络状态的量化指标；步骤2、网络状态初步判断：根据当前时间窗所计算的熵值进行网络状态的初步判断，设置两个阈值，θ1为易区分攻击判断阈值，θ2为可疑状态复杂判断阈值，阈值θ1用于区分高概率入侵流以及非高概率入侵流，阈值θ2用于区分可疑入侵流与正常流，超过θ1直接进入步骤5，小于θ1大于θ2进入步骤3，小于θ2则判定为正常流不进行进一步分析以及操作；步骤3、在线时间序列分析：控制器通过轮询为每一个目标IP地址IPdst维持一个固定长度的时间序列，该时间序列为顺序时间窗的网络状态信息熵，使用该序列信息以进行对可疑流的进一步复杂判断，控制器中则使用基于混沌理论的时间序列分析方法，首先对时间序列数据进行相空间重构，接着利用去趋势波动分析法计算所维持时间序列的分形锥数；步骤4、网络状态最终判断：结合步骤2的初步判断结果以及根据步骤3所计算的分形锥数来进行网络状态的最终判断，步骤2若判断当前网络状态仅为可疑，则进入步骤3分析并计算得出当前时间窗网络状态所对应时间序列的分形锥数，当分形锥数小于0.5，则判断为网络内发生入侵事件，进一步进入步骤5，若大于等于0.5，则判断未发生入侵事件，不进一步施加操作；步骤5、施加缓解措施：控制平面读取网络拓扑，将网络建模成有向图，若检测到入侵情况，则进行IP回溯，与此同时向数据平面添加过滤流表规则，用于针对性过滤回溯所得攻击源IP。

全文数据：

权利要求：

百度查询： 湖南大学 基于在线时序分析的容量耗尽型DDoS入侵检测和缓解方法