[发明专利]基于信息熵的DDoS攻击检测方法、装置和电子设备

权利要求书

1.基于信息熵的DDoS攻击检测方法，其特征在于，包括：

统计ip数据，并计算信息熵；

基于信息熵进行DDoS攻击检测；

所述基于信息熵进行DDoS攻击检测包括实时计算动态信息熵值和DDoS攻击判定；

其中，统计ip数据，并计算信息熵，包括：

以T小时为一个周期，统计访问的ip数据，包括查询得到访问的ip的地理位置，最终得到单个ip总计访问数目和ip对应的源地址地理位置；

其中，统计ip数据，并计算信息熵，还包括：

计算所有访问ip的信息熵值H：

其中，Py表示一个周期内第y个源地址地理位置出现的概率，Py＝a/b，a表示一个周期内第y个源地址地理位置出现的总数目，b是在业务正常的情况下一个周期内总计的地理位置ip数目，U表示一个周期内访问的ip总数，一个周期内H的最小值记为Hmin，最大值记为Hmax；

其中，所述实时计算动态信息熵值，包括：

创建动态原始数据表，动态原始数据表中的记录包括单个ip总计访问数目和ip地理位置，当一个ip超过P秒没有访问数据，则在动态原始数据表中删除该ip的记录；

通过动态原始数据表计算动态信息熵值，包括：

通过如下公式计算单个地理位置的信息熵值：

HC_py_t＝-PTy*log₂PTy (2)

HC_py_t表示一个周期内第y个地理位置的信息熵值，PTy表示一个周期内第y个地理位置访问的ip总数目占所有访问的ip总数的比值；

通过如下公式计算所有访问的地区的总信息熵值HYt：

在PT1＝PT2＝…＝PTU的情况下，根据公式(3)求得信息熵HYt的极限，记为HMAX；

其中，所述DDoS攻击判定，包括：

以T₁秒为周期对实时访问的ip进行判定：

根据公式(2)和(3)分别计算当前周期即T₁秒内的第y个地理位置的信息熵值HC_py_t和所有访问的地区的总信息熵值HYt，当HYt在区间[Hmin，Hmax]，判定为正常状态；

当HYt在区间[0，Hmin]，判定为攻击状态；

当HYt在区间[Hmax，HMAX]时，选取周期内最大的PTy，将当前周期内最大的PTy代入公式(2)计算得到信息熵值A1，上一个周期内最大的PTy代入公式(2)计算得到信息熵值A2，如果T₁秒前即上一个周期的最大的PTy在[0，1-c]区间内，且T₁秒后即下一个周期的最大的PTy在[0，1-c]区间内，并且A1-A20，则判定为攻击状态，c为黄金分割常数；

当HYt在区间[Hmax，HMAX]时，选取周期内最大的PTy，如果T₁秒前即上一个周期的最大的PTy在[0，1-c]区间内，且T₁秒后即下一个周期的最大的PTy在[1-c，1]区间内，则判定为攻击状态；

当HYt在区间[Hmax，HMAX]时，选取周期内最大的PTy，如果T₁秒前即上一个周期的最大的PTy在[1-c，1]区间内，且T₁秒后即下一个周期的最大的PTy在[1-c，1]区间内，并且A1-A20，则判定为攻击状态。

2.根据权利要求1所述的方法，其特征在于，其中，统计ip数据，并计算信息熵，包括：

以T小时为一个周期，统计访问的ip，并查询得到访问的ip的地理位置，得到单个ip总计访问数目和对应的地理位置，对于国内访问的地理位置ip，统计国内访问的地理位置ip总数，即省的数目，记为n；对于国外访问的地理位置ip，统计国外访问的地理位置ip总数，即国家的数目，记为m。