【摘要】 本发明属于网络安全技术领域,涉及一种DDoS攻击检测方法。包括下列步骤:采集源数据;确定需要检测的中心结点、时间段k;读取源数据中与中心结点相关联的各个主机结点的源数据;统计时间段k各个主机结点与中心结点建立连接的频率值,通信量;计算各个主机结点与中心结点之间的距离;计算各个主机结点在屏幕上显示的坐标值;绘制与中心结点有通信连接的各个主机结点及其与中心结点间的连线,绘制DDoS攻击检测图形;根据屏幕显示,确定异常结点;根据异常结点的统计参数,分析中心结点在时间段k内是否收到攻击DDoS攻击以及攻击类型。本发明具有可操作性强,易于实现DDoS攻击检测的优点。 【专利类型】发明授权 【申请人】天津大学 【申请人类型】学校 【申请人地址】300072 天津市南开区卫津路92号天津大学 【申请人地区】中国 【申请人城市】天津市 【申请人区县】南开区 【申请号】CN200810154204.5 【申请日】2008-12-17 【申请年份】2008 【公开公告号】CN101510826B 【公开公告日】2010-12-22 【公开公告年份】2010 【授权公告号】CN101510826B 【授权公告日】2010-12-22 【授权公告年份】2010.0 【IPC分类号】H04L9/36; G06F21/00; G06F21/56 【发明人】张加万; 杨国强; 吕良福; 孙济洲; 张亚平; 李亮 【主权项内容】一种基于可视化的DDoS攻击检测方法,其特征在于,包括下列步骤:(1)采集包括源IP、目的IP、目的端口、访问时间和数据包大小在内的源数据;(2)确定需要检测的中心结点、时间段k;(3)读取采集到的源数据中与中心结点相关联的各个主机结点的源数据;(4)统计时间段k各个主机结点与中心结点建立连接的频率值,通信量;(5)按照下列公式计算各个主机结点与中心结点之间的距离:d=Fmax‑Fmin………………………(1)Runit=Rmax/d……………………(2)Rx=Fx*Runit………………………(3)其中,Fmax为各个主机结点与中心结点建立连接的频率值中的最大值,Fmin为各个主机结点与中心结点建立连接的频率值中的最小值,Rmax为屏幕显示的最大半径,Runit为单位半径,Fx为统计结果中各个主机结点与中心结点建立连接的频率值,Rx是各个结点的实际显示半径,即其与中心结点之间的距离;(6)按照下列方法计算各个主机结点在屏幕上显示的坐标值:设某个主机节点X的坐标为(x,y),在得出该主机节点的实际的显示半径之后,生成横坐标x值时采用赋随机值的方法,之后再通过公式计算y值,这里,(x0,y0)为中心节点坐标;(7)按照所有主机结点中最大和最小通信量进行灰度映射,将各个结点在时间段k内的通信量映射成其与中心结点之间连线的灰度值;(8)围绕中心结点,根据坐标值和连线灰度值,在计算机屏幕上绘制与中心结点有通信连接的各个主机结点及其与中心结点间的连线,绘制DDoS攻击检测图形;(9)根据屏幕显示,确定异常结点;(10)根据异常结点的统计参数,分析中心结点在时间段k内是否收到攻击DDoS攻击以及攻击类型。FSB00000271753100011.tif 【当前权利人】天津大学 【当前专利权人地址】天津市南开区卫津路92号天津大学 【统一社会信用代码】12100000401359321Q 【引证次数】5.0 【他引次数】5.0 【家族引证次数】5.0 【家族被引证次数】6
