[发明专利]基于特征关联的对等网络特征分析方法

权利要求书

1.一种基于数据挖掘技术的拒绝服务攻击防御方法和系统，该系统需部署在被保护网络的网络入口，并为该系统配置数据库服务器以存储系统抽样的实时流量；其特征在于，所述系统包括有：

异常检测模块，负责检测当前网络流量的状态以判断当前系统是否异常，并根据当前系统的状态将当前网络流量随机抽样至数据库服务器的正常流量库和异常流量库；

数据挖掘引擎模块，负责利用数据库服务器中的正常流量库和异常流量库提取可信源IP列表和属性分值表，并将可信源IP列表和属性分值表分别传递给可信IP过滤器和流量控制模块；

可信IP过滤器模块，负责根据可信源IP列表对数据包的源IP进行匹配，如果匹配则放行流量，否则将流量交给流量控制模块处理；

流量控制模块，负责根据属性分值表对流经流量控制模块的网络数据包进行打分，并将分值映射成数据包危险等级，该模块根据危险度等级的高低进行选择性的丢包。

2.如权利要求1所述的异常检测模块，其特征在于，所述异常检测算法包括：

定时提取TCP包头的标志字段和IP包头的分片标志；

构造协方差矩阵，并计算协方差矩阵与协方差矩阵序列的均值的距离；

构造存储大量距离值的历史窗口，在假设距离值独立同分布的情况下，计算距离值的置信区间；

对判断结果进行二次评估，使检测算法的检测结果更准确。

3.如权利要求1所述的网络流量随机抽样，其特征在于，所述方法包括：

随机生成16比特匹配串，与IP数据包Identification字段16比特进行匹配，若匹配成功则抽样该数据包。

4.如权利要求1所述的提取可信源IP列表，其特征在于，所述方法包括：

对正常流量库中的源IP进行访问频度排序，得到集合S₁；

在正常流量库中，根据IP数据包TTL属性和IP包长度属性提取频繁项集，并得到频繁属性集对应的IP列表，得到集合S₂；

在异常流量库中，根据IP数据包TTL属性和IP包长度属性提取频繁项集，并得到频繁属性集对应的IP列表，得到集合S₃；

根据前三个集合得到可信IP列表。

5.如权利要求1所述的提取属性分值表方法，其特征在于，所述提取方法包括：

根据IP数据包的TTL属性和源IP前缀(16比特)两属性，对正常流量库和异常流量库中的数据包进行频率统计；

按照贝叶斯定理生成属性分值表；

根据属性分值表计算正常流量库和异常流量库中的数据包分值的平均值和标准差。

6.如权利要求1所述的将分值映射成数据包危险等级，其特征在于，所采用的映射方法充分考虑了贝叶斯分类误差，并减少映射关系对数据包危险度划分的影响。

7.如权利要求1所述的根据危险度等级的高低进行选择性的丢包，其特征在于：根据危险等级与丢包概率的对应关系，对高危险度的数据包进行高概率丢包，对于低危险度的数据包进行低概率丢包。

8.如权利要求7所述的危险等级与丢包概率的对应关系，其特征在于：当危险等级为0时，丢包概率为0％，当危险等级为9时，丢包概率为10％，其他危险等级可以按照线性或指数函数关系来设定丢包率。