[发明专利]一种智能防御DDoS攻击的方法和装置

权利要求书

1.一种智能防御DDoS攻击的方法，包括下列步骤：

1）记录每个源IP所对应的数据流的数据流量特征或者每个源IP与目的IP的IP对所对应的数据流的数据流量特征；所述数据流量特征包括：数据流的日平均流量字节数，日流量标准差，数据包平均字节数；

2）对于每个数据流，根据数据流量特征，计算该数据流的可信度；

所述可信度S=ω₁θ₁+ω₂θ₂,ω₁+ω₂=1,ω_i≥0,(i=1,2)

其中，

ω₁,ω₂为加权系数，所述数据包字节数基线是所有正常数据流的所有数据包的平均字节数；

3）实时捕获数据包，提取其IP信息，并根据该IP信息所对应的数据流的可信度判断是否放行该数据包。

2.根据权利要求1所述的智能防御DDoS攻击的方法，其特征在于，所述步骤1）中，同时记录每个源IP所对应的各数据流的数据流量特征和每个源IP与目的IP的IP对所对应的数据流的数据流量特征。

3.根据权利要求2所述的智能防御DDoS攻击的方法，其特征在于，所述步骤1）中，使用ip-pair结构来记录每个源IP访问服务器群中的某个特定服务器的交互信息的数据流特征，使用ip-record结构来记录每个源IP访问整个服务器群的交互信息的数据流特征；所述步骤2）还包括：分别计算各个源IP对应于整个机群的可信度和各个源IP对于目的IP的可信度，将各个源IP对应于整个机群的可信度存储到ip-record结构中，将各个源IP对于目的IP的可信度存储到ip-pair结构中。

4.根据权利要求3所述的智能防御DDoS攻击的方法，其特征在于，所述步骤1）中，所述ip-pair结构和所述ip-record结构组织成二级hash表形式，并维护在内存中。

5.根据权利要求4所述的智能防御DDoS攻击的方法，其特征在于，所述步骤1）包括下列子步骤：

步骤11）获取数据包；

步骤12）根据数据包的网络层的源IP查找与该源IP所对应的ip-record结构，更新对应的ip-record结构中的数据流量特征，同时进一步根据数据包的网络层目的IP查找相应的ip-pair结构，更新对应的ip-pair结构中的数据流量特征。

6.根据权利要求1所述的智能防御DDoS攻击的方法，其特征在于，所述步骤2）中，加权系数ω₁,ω₂采用真实网络环境中捕获样本数据后进行样本学习获得。

7.根据权利要求6所述的智能防御DDoS攻击的方法，其特征在于，所述步骤3）还包括：根据步骤2）所计算的可信度建立白名单，根据该白名单对数据包进行拦截或者放行。

8.根据权利要求6所述的智能防御DDoS攻击的方法，其特征在于，所述步骤3）还包括：根据服务器的资源占用情况，自动开启DDoS智能防御功能，在开启DDoS智能防御功能后，根据可信度对数据包进行过滤。