[发明专利]一种在分布式网络中检测持续型网络攻击的方法

权利要求书

1.一种在分布式网络中检测持续型网络攻击的方法，其特征在于，包括：

数据预处理和传输阶段，即：将分布式服务器上的请求记录利用编码技术有损压缩成为字节编码，并计算各请求记录的指纹信息；将字节编码连同指纹信息存储到编码型布谷鸟过滤器；将存储有数据的编码型布谷鸟过滤器发送到指定的中央服务器；

数据恢复和检测阶段，即：根据各分布式服务器发送的编码型布谷鸟过滤器存储的指纹信息和编码信息，将属于同一个请求记录的编码信息拼合以恢复出原始数据，从而检测出对应的服务请求是否为持续型攻击；

其中，各分布式服务器中的布谷鸟过滤器均由m个数据桶组成，每个数据桶内又包含多个数据槽，每个数据槽内均包含用于存储指纹信息的区域和用于存储编码信息的区域。

2.根据权利要求1所述的方法，其特征在于，数据预处理和传输阶段，将各个分布式服务器上的请求记录利用Raptor码编码进行压缩。

3.根据权利要求1所述的方法，其特征在于，利用散列函数获取请求记录的指纹信息。

4.根据权利要求1所述的方法，其特征在于，在数据预处理和传输阶段，还包括：将存储空间优化问题转化为最小化最大代价二度二部图匹配问题，并采用半匹配算法对存储空间进行优化。

5.根据权利要求1所述的方法，其特征在于，数据恢复和检测阶段具体包括：将获取到的各个分布式服务器发送的编码型布谷鸟过滤器排列对齐；

遍历所有编码型布谷鸟过滤器中的数据桶，选中当前的数据桶,并计算出与其相关的另一个备选数据桶的位置；

将这两个数据桶内含有相同指纹信息的数据槽取出以形成一个全局的数据槽群；

计算数据槽群内的编码信息：如果该全局数据槽群内的编码总长度小于原始数据ID的长度l，则丢弃这些数据；反之则求解出原始数据编号，并将其标记为持续型攻击。

6.根据权利要求1所述的方法，其特征在于，还包括从被成功恢复的概率的角度对检测结果的准确性进行验证，具体包括：

对于给定长度为r的编码，解码失败的概率P_df(r,l)为：

请求记录不会发生指纹冲突的概率为P_mf为：

指纹冲突后依旧能被恢复的概率为P_ms为：

出现次数为t的请求记录能被正确解码的概率为：

P_ds(t)＝1-P_df(r×t,l)

对于出现次数为t的请求记录能被正确恢复的概率记为P_sr(t)为：

P_sr(t)＝(P_mf+P_ms)×P_ds(t)

对于所有的持续型攻击的总体而言，请求记录能被成功恢复的概率P_sr为：

上式中，m表示给定编码型布谷鸟过滤器的数据桶数目，N表示总的不同的数据量，p为请求记录的指纹长度，t表示同一请求记录出现的次数，r表示Raptor编码的长度，l表示原始数据ID的长度，w_t表示出现次数为t的请求记录的比例，T_th表示持续型攻击出现次数的阈值，T表示分布式服务器的数目。

7.根据权利要求1所述的方法，其特征在于，还包括从被错误恢复的概率的角度对检测结果的准确性进行验证，具体包括：

计算恢复出来的请求记录的指纹，然后将其与全局数据槽群内的指纹进行对比：如果不同就说明数据恢复有误,如果相同就进行下一步验证；

计算元素在编码型布谷鸟过滤器中的两个备选存储位置：如果备选相同，则认为功恢复成功，否则丢弃恢复的结果；

由此，得到请求记录被错误恢复的概率P_FP为：

式中，m表示给定编码型布谷鸟过滤器的数据桶数目，N表示不同的数据的总数，p为请求记录的指纹长度。