买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：浙江工业大学

摘要：一种高速网络场景下基于sketch的DDoD攻击检测方法，包括：1主机提取数据包的信息生成流ID；2计算当前时间戳与时间戳数组中对应流上一次记录的时间戳的差值、若差值大于时间窗口，更新循环队列、时间戳数组以及计数器，若差值小于时间窗口，只需更新计数器的值；3每隔一个时间周期T1遍历循环队列中的数据，判断各流在对应时间窗口的数据包计数之和是否超过本地阈值；4根据上传的信息计算每条流的速率，检测DDoS攻击。5每隔一个比较大的时间周期T2，遍历时间戳数组，用当前系统时间戳减去遍历得到的时间戳，如果差值大于时间周期T2，将该数据流存储在sketch和循环队列的数据上报至控制器，然后将sketch中相应的计数器和循环队列置0。

主权项：1.一种高速网络场景下基于sketch的DDoS攻击检测方法，其特征在于，包括以下步骤：1当数据包到达主机时，主机提取数据包的五元组信息生成流ID字符串str，所述五元组信息包括源IP，源端口、目标IP、目标端口以及协议类型；2根据提取的流ID字符串得到流对应的sketch计数器、时间戳数组以及循环队列的索引，计算当前数据包到来的系统时间戳与一个一维数组中记录的该数据流之前时间戳的差值，如果该差值大于预设的时间窗口，则将sketch结构中对应流的计数器值存进该流对应的循环队列，并将数组中记录的时间戳更新为当前数据包到来的系统时间戳，随后将流的计数器值加1，如差值小于预设的时间窗口，则只需将流对应的计数器加1；3每台主机根据预设的本地阈值，每隔一个时间周期T1遍历循环队列中的数据，判断各流在对应时间窗口的数据包计数之和是否超过本地阈值，如果超过，将对应流数据包总量，各时间窗口内的数据包数量等信息形成一张表上传到控制器；此外，每台主机每隔一个大的时间周期T2去检测流是否已经断开，将已断开的流的对应计数器和循环队列重置，以节省资源。4控制器汇总所有主机上传的信息，根据上传的信息计算每条流的速率，观察每条流的速率随时间的变化特性，从而检测是否存在DDoS攻击；速率的计算公式如下：diff＝q[tail]-q[head]+qSizemodqSize 其中，diff是队头索引和队尾索引之间的差值，q是某条流对应的循环队列，tail是该循环队列的队尾索引，head是该循环队列的队头索引，qSize是该循环队列的长度，w是时间窗口大小，x表示往前x个时间窗口，fx表示从最新的时间窗口到前x个时间窗口该流的速率，单位：包数秒PacketPerSecond，PPS。

全文数据：

权利要求：

百度查询： 浙江工业大学 一种高速网络场景下基于sketch的DDoS攻击检测方法