[发明专利]基于信息熵的DDoS攻击检测方法、装置和电子设备

说明书

本发明公开了基于信息熵的DDoS攻击检测方法、装置和电子设备，其中，检测方法包括：以T小时为一个周期，统计访问的ip数据，包括查询得到访问的ip的地理位置，最终得到单个ip总计访问数目和ip对应的源地址地理位置，并计算信息熵；并根据实时的信息熵进行DDoS攻击判定，得到DDoS攻击检测结果。

技术领域

本发明涉及网络安全领域，尤其涉及基于信息熵的DDoS攻击检测方法、装置和电子设备。

背景技术

现有的DDoS攻击检测方案是对防护对象进行总体上的访问限制，当总体访问超过防御者设定的阈值时，启用防御，对进行访问的单个源ip进行检查。在对单个源ip进行检测时通过单ip的报文种类、每种报文的数目和单个ip的总体连接数进行判断是否为攻击ip(判断的标准依赖于设定者设定的数值)。在判断为攻击ip后对攻击ip进行限制(如报文丢弃，设置黑名单等方式)。

现有的防御方法的缺陷：

1、就防御者而言，防御过度依赖于设定者设定的防御阈值，灵活度低，无法应对业务突发等情况。阈值的设定者也不可能完全了解单个ip具体的访问在超过设定的阈值时是否为真正的攻击源。

2、就客户而言，由于防御者不能准确的判断，就会造成误拦或者漏过的情况，无论是哪种情况都会对业务造成影响，用户体验差，从而流失客户。

术语解释：

DDoS攻击：DDoS的攻击原理，简言之，其实就是利用TCP/UDP协议规律，通过占用协议栈资源或者发起大流量拥塞，达到消耗目标机器性能或者网络的目的。TCP包括三次握手与四次挥手，如图1所示，TCP建立连接时，三次握手包括：

1.client:syn

2.server:syn+ack

3.client:ack

TCP断开连接时，四次挥手包括：

1.client:fin

2.server:ack

3.server:fin

4.client:ack。

CC攻击：CC攻击(Challenge Collapsar)的本名叫做HTTP-FLOOD，是一种专门针对Web应用层FLOOD攻击，攻击者操纵网络上的肉鸡，对目标Web服务器进行海量http request攻击给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100％，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

信息熵：信息是个很抽象的概念。直到1948年，香农提出了“信息熵”的概念，任何信息都存在冗余，冗余大小与信息中每个符号(数字、字母或单词)的出现概率或者说不确定性有关。通常，一个信源发送出什么符号是不确定的，衡量它可以根据其出现的概率来度量。概率大，出现机会多，不确定性小；反之不确定性就大。不确定性函数f是概率P的减函数；两个独立符号P₁、P₂所产生的不确定性f(P₁,P₂)应等于各自不确定性f(P₁)、f(P₂)之和，即f(P₁,P₂)＝f(P₁)+f(P₂)，这称为可加性。同时满足这两个条件的函数f是对数函数，即：