[发明专利]一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法

权利要求书

1.一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法，其特征在于，包括以下步骤：

步骤1：基站在每个接入时隙后，获取每个接入时隙对应的前导码状态信息；

所述每个接入时隙对应的前导码状态信息包括：每个接入时隙成功、冲突和空闲的前导码数量，且三者之和为定值M；

步骤2：基站根据移动终端执行的基于竞争模式的随机接入过程，指示竞争胜出的移动终端，并获取被指示移动终端反馈的ACK；

步骤3：基站根据每个历史接入时隙i产生冲突的接入设备数N_c[i]，估计当前接入时隙再次请求接入的设备数N_b；

所述当前接入时隙再次请求接入的设备数N_b为：

竞争未胜出的移动终端根据退避机制随机等待一段时间后，在当前接入时隙重新接入的设备数；

所述退避机制包括：

竞争未胜出的移动终端需随机等待时间T₁，T₁表示为：

T₁＝(p+q×rand)×T₀

其中，p和q为常参数，rand为[0,1]间均匀分布随机数，T₀为单位退避时间，此后移动终端等待随机接入时隙并再次请求接入；

所述估计当前接入时隙请求接入的设备数N_b具体包括：

假设两个相邻的随机接入时隙时间间隔为T_R，则第i个接入时隙中的N_b[i]可表示为：

其中，N_c[i]为第i个接入时隙冲突的移动终端数；

步骤4：基站根据步骤3得到的当前接入时隙再次请求接入的设备数N_b，并利用流量到达模型估计当前接入时隙新请求接入的设备数N，根据当前接入时隙新请求接入的设备数N和当前接入时隙再次请求接入的设备数N_b计算当前接入时隙请求接入的设备总数N_t，N_t＝N_b+N；

步骤5：基站根据步骤4得到的当前接入时隙请求接入的设备总数N_t，估计成功接入的设备数N_s；

所述估计成功接入的设备数N_s具体如下：

其中，表示仅一个移动终端选择第j个前导码的概率；

步骤6：基站根据当前接入时隙对应的前导码状态信息和步骤4得到的当前接入时隙请求接入的设备总数N_t，计算当前接入时隙产生冲突的接入设备数N_c，N_c＝N_t-M_s，其中，M_s为实际成功接入的设备数；

步骤7：基站根据当前接入时隙对应的前导码状态信息、步骤5得到的成功接入的设备数N_s和步骤6计算得到的当前接入时隙产生冲突的接入设备数N_c，构建检验统计量，将检验统计量与预设的阈值进行比较，根据比较结果判断当前是否存在流量异常；

所述构建检验统计量具体如下：

将劫持DDoS攻击检测方法表述为二元假设检验问题：

其中，T表示所构建的统计量，由接入流量特性决定，θ表示检验阈值；假设代表当统计量的值小于阈值时，认为网络中不存在DDoS攻击；假设代表当统计量的值超过阈值时，认为存在被劫持设备发起的DDoS攻击；

步骤8：基站获取竞争胜出的移动终端身份标识，并在一定时间窗内检查同一身份标识是否出现多次；

步骤9：若步骤7中存在流量异常，则步骤8中出现多次的身份标识被判定为被劫持的可疑终端。

2.根据权利要求1所述的一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法，其特征在于，当判定出被劫持的可疑终端后，还包括：

对所述可疑终端定位并防御。