本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種基于DDOS攻擊防范方法和裝置。

背景技術(shù)：

DDOS(Distributed Denial of Service，分布式拒絕服務(wù))攻擊是當(dāng)今互聯(lián)網(wǎng)最重要的威脅之一。拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問(wèn)。這些資源包括磁盤(pán)空間、內(nèi)存、進(jìn)程甚至是網(wǎng)絡(luò)帶寬，從而阻止正常終端的訪問(wèn)。

相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)平臺(tái)，當(dāng)前云計(jì)算平臺(tái)的發(fā)展十分迅速，大多數(shù)的云計(jì)算系統(tǒng)均采用Hadoop平臺(tái)作為云計(jì)算基礎(chǔ)框架結(jié)構(gòu)，其作為目前主流的云平臺(tái)也面臨著來(lái)自DDOS攻擊的威脅。在云平臺(tái)中，資源的有效整合是通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行的，在一個(gè)云平臺(tái)下分布著很多計(jì)算機(jī)集群中心，每一個(gè)集群都包含著數(shù)量龐大的計(jì)算機(jī)或服務(wù)器。當(dāng)一個(gè)集群收到了DDOS攻擊，那么這些攻擊通常是針對(duì)集群中的某個(gè)或某些云節(jié)點(diǎn)的DDOS攻擊。這時(shí)候DDOS攻擊對(duì)云環(huán)境的威脅是巨大的。然而傳統(tǒng)網(wǎng)絡(luò)環(huán)境下應(yīng)對(duì)DDOS攻擊的方法應(yīng)用到云環(huán)境下會(huì)存在諸多缺點(diǎn)，如效率相對(duì)較低，對(duì)資源利用率不夠等。

上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案，并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的主要目的在于提供一種基于DDOS攻擊防范方法和裝置，旨在解決DDOS攻擊對(duì)云環(huán)境下的安全威脅。

為實(shí)現(xiàn)上述目的，本發(fā)明提供的一種基于DDOS攻擊防范方法，包括步驟：

通過(guò)預(yù)設(shè)的檢測(cè)方法檢測(cè)云環(huán)境中的終端，得到檢測(cè)結(jié)果；

當(dāng)所述檢測(cè)結(jié)果表示所述終端受到DDOS攻擊時(shí)，建立服務(wù)器副本；

對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，根據(jù)所述信任值的計(jì)算結(jié)果將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。

優(yōu)選地，所述對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，根據(jù)所述信任值的計(jì)算結(jié)果將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中的步驟包括：

對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，得到計(jì)算結(jié)果；

根據(jù)所述計(jì)算結(jié)果得到所述信任值的閾值；

根據(jù)所述信任值的閾值，利用負(fù)載均衡器將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。

優(yōu)選地，所述通過(guò)預(yù)設(shè)的檢測(cè)方法檢測(cè)云環(huán)境中的終端，得到檢測(cè)結(jié)果的步驟包括：

通過(guò)預(yù)設(shè)的計(jì)算方法計(jì)算云環(huán)境中終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差；

將所述數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差與預(yù)設(shè)閥值進(jìn)行比較；

當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差大于所述預(yù)設(shè)閾值時(shí)，判定所述終端受到DDOS攻擊。

優(yōu)選地，所述將所述數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差與預(yù)設(shè)閥值進(jìn)行比較的步驟之后，還包括：

當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差不大于所述預(yù)設(shè)閾值時(shí)，判定所述終端未受到DDOS攻擊。

優(yōu)選地，所述當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差不大于所述預(yù)設(shè)閾值時(shí)，判定所述終端未受到DDOS攻擊的步驟之后，還包括：

當(dāng)所述終端未受到DDOS攻擊時(shí)，接收所述終端傳入的數(shù)據(jù)包，計(jì)算所述終端的數(shù)據(jù)包的信任值；

根據(jù)所述信任值更新概要文件，以供所述終端受到DDOS攻擊時(shí)，根據(jù)所述概要文件生成數(shù)據(jù)包的信任值的閾值。

此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提供一種基于分布式拒絕服務(wù)DDOS攻擊防范裝置，所述裝置包括：

檢測(cè)模塊，用于通過(guò)預(yù)設(shè)的檢測(cè)方法檢測(cè)云環(huán)境中的終端，得到檢測(cè)結(jié)果；

建立模塊，用于當(dāng)所述檢測(cè)結(jié)果表示所述終端受到DDOS攻擊時(shí)，建立服務(wù)器副本；

計(jì)算模塊，用于對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，根據(jù)所述信任值的計(jì)算結(jié)果將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。

優(yōu)選地，所述計(jì)算模塊包括：

第一計(jì)算單元，用于對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，得到計(jì)算結(jié)果；

處理單元，用于根據(jù)所述計(jì)算結(jié)果得到所述信任值的閾值；

重定向單元，用于根據(jù)所述信任值的閾值，利用負(fù)載均衡器將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。

優(yōu)選地，所述檢測(cè)模塊包括：

第二計(jì)算單元，用于通過(guò)預(yù)設(shè)的計(jì)算方法計(jì)算云環(huán)境中終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差；

比較單元，用于將所述數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差與預(yù)設(shè)閥值進(jìn)行比較；

第一判定單元，用于當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差大于所述預(yù)設(shè)閾值時(shí)，判定所述終端受到DDOS攻擊。

優(yōu)選地，所述檢測(cè)模塊還包括：

第二判定單元，用于當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差不大于所述預(yù)設(shè)閾值時(shí)，判定所述終端未受到DDOS攻擊。

優(yōu)選地，所述檢測(cè)模塊還包括：

接收單元，用于當(dāng)所述終端未受到DDOS攻擊時(shí)，接收所述終端傳入的數(shù)據(jù)包，計(jì)算所述終端的數(shù)據(jù)包的信任值；

更新單元，用于根據(jù)所述信任值更新概要文件，以供所述終端受到DDOS攻擊時(shí)，根據(jù)所述概要文件生成數(shù)據(jù)包的信任值的閾值。

本發(fā)明通過(guò)檢測(cè)出云環(huán)境中的終端受到DDOS攻擊時(shí)，建立服務(wù)器副本，對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值計(jì)算，根據(jù)所計(jì)算的信任值將受到DDOS攻 擊的終端重定向到所述服務(wù)器副本中，將良性終端和攻擊者分離。解決了DDOS攻擊對(duì)云環(huán)境下的安全威脅。

附圖說(shuō)明

圖1為本發(fā)明基于DDOS攻擊防范方法的第一實(shí)施例的流程示意圖；

圖2為本發(fā)明基于DDOS攻擊防范方法的第二實(shí)施例的流程示意圖；

圖3為本發(fā)明基于DDOS攻擊防范方法的第三實(shí)施例的流程示意圖；

圖4為本發(fā)明基于DDOS攻擊防范裝置的第一實(shí)施例的功能模塊示意圖；

圖5為本發(fā)明基于DDOS攻擊防范裝置的第二實(shí)施例的功能模塊示意圖；

圖6為本發(fā)明基于DDOS攻擊防范裝置的第三實(shí)施例的功能模塊示意圖。

本發(fā)明目的的實(shí)現(xiàn)、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例，參照附圖做進(jìn)一步說(shuō)明。

具體實(shí)施方式

應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明實(shí)施例的主要解決方案是：通過(guò)預(yù)設(shè)的檢測(cè)方法檢測(cè)云環(huán)境中的終端，得到檢測(cè)結(jié)果；當(dāng)所述檢測(cè)結(jié)果表示所述終端受到DDOS攻擊時(shí)，建立服務(wù)器副本；對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，根據(jù)所述信任值的計(jì)算結(jié)果將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。通過(guò)檢測(cè)出云環(huán)境中的終端受到DDOS攻擊時(shí)，建立服務(wù)器副本，對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值計(jì)算，根據(jù)所計(jì)算的信任值將受到DDOS攻擊的終端重定向到所述服務(wù)器副本中，將良性終端和攻擊者分離。解決了DDOS攻擊對(duì)云環(huán)境下的安全威脅。

由于現(xiàn)有的云環(huán)境在網(wǎng)絡(luò)層、主機(jī)層以及應(yīng)用層具有資源共享的特性，而DDOS攻擊對(duì)于這樣的資源共享中心的威脅是巨大的。

基于上述問(wèn)題，本發(fā)明提供一種基于DDOS攻擊防范方法。

參照?qǐng)D1，圖1為本發(fā)明基于DDOS攻擊防范方法的第一實(shí)施例的流程示意圖。

在本實(shí)施例中，所述基于DDOS攻擊防范方法包括：

步驟S10，通過(guò)預(yù)設(shè)的檢測(cè)方法檢測(cè)云環(huán)境中的終端，得到檢測(cè)結(jié)果；

在云環(huán)境中，至少放置一個(gè)負(fù)載均衡器。所述云環(huán)境通過(guò)負(fù)載均衡器創(chuàng)建服務(wù)器副本，并通過(guò)所述負(fù)載均衡器將一個(gè)終端分配到一個(gè)活躍的服務(wù)器副本中。每一個(gè)終端都由對(duì)應(yīng)的IP(Internet Protocol，網(wǎng)絡(luò)之間互連的協(xié)議)地址或是DNS(Domain Name System，域名系統(tǒng))域名關(guān)聯(lián)起來(lái)，在進(jìn)入云環(huán)境時(shí)，所述云環(huán)境通過(guò)負(fù)載均衡器將所述終端隨機(jī)分配到一個(gè)活躍的服務(wù)器中。所以每一個(gè)終端的IP地址或者是DNS域名可以匹配一個(gè)副本服務(wù)器。所述云環(huán)境通過(guò)所述負(fù)載均衡器跟蹤所有活躍的服務(wù)器副本。每個(gè)負(fù)載均衡器都將維護(hù)一個(gè)最新的在線服務(wù)器副本的列表。所述云環(huán)境通過(guò)所述負(fù)載均衡器記錄當(dāng)前活躍的服務(wù)器副本，同時(shí)根據(jù)負(fù)載均衡算法將新終端分配到服務(wù)器副本中，來(lái)響應(yīng)每個(gè)由IP綁定的終端的請(qǐng)求。所述終端與所述云環(huán)境中的服務(wù)器是一一對(duì)應(yīng)的，為了維持正常請(qǐng)求服務(wù)，是由所述云環(huán)境中的負(fù)載均衡服務(wù)器充當(dāng)中間者。一個(gè)請(qǐng)求是一個(gè)終端發(fā)送，由一個(gè)服務(wù)器副本提供服務(wù)。在所述負(fù)載均衡器中需要對(duì)此每一個(gè)請(qǐng)求任務(wù)建立鏈接。因此，所述服務(wù)器副本會(huì)將終端的IP地址添加到自身所帶的白名單中，當(dāng)所述服務(wù)器副本與所述終端建立鏈接時(shí)，所述服務(wù)器副本將會(huì)向所述終端提供相應(yīng)的請(qǐng)求服務(wù)。

所述云環(huán)境通過(guò)預(yù)設(shè)的檢測(cè)方法檢測(cè)云環(huán)境中的終端的數(shù)據(jù)包，得到檢測(cè)結(jié)果，根據(jù)所述檢測(cè)結(jié)果判斷所述終端是否受到了DDOS攻擊。所述預(yù)設(shè)的檢測(cè)方法為DBTS(Distance-Based Traffic Separation，基于距離的流量分離)DDOS檢測(cè)技術(shù)，通過(guò)使用線性預(yù)測(cè)的方式來(lái)估計(jì)數(shù)據(jù)包不同距離的流量速率，即通過(guò)數(shù)據(jù)包不同的跳動(dòng)位移的流量速率，利用指數(shù)平滑估計(jì)技術(shù)估計(jì)下一個(gè)時(shí)間點(diǎn)數(shù)據(jù)包的跳動(dòng)位移平均值。計(jì)算跳動(dòng)位移平均值的主要方式是利用IP報(bào)頭中的TTL(Time To Live，生存時(shí)間值)字段，所述數(shù)據(jù)包在傳輸過(guò)程中，每個(gè)路由器會(huì)將所述IP報(bào)頭中的TTL值減一。因此，所述數(shù)據(jù)包的跳動(dòng)位移是最后的TTL值減去初始的值。由于大多數(shù)操作系統(tǒng)只選擇幾個(gè)固定的初始TTL值，所述固定的初始TTL值為30，32，60，64，128和255， 而且大多數(shù)互聯(lián)網(wǎng)主機(jī)可以達(dá)到30跳。因此，初始值可以通過(guò)選擇大于最后的TTL值中所有可能情況中最小的一個(gè)。

步驟S20，當(dāng)所述檢測(cè)結(jié)果表示所述終端受到DDOS攻擊時(shí)，建立服務(wù)器副本；

當(dāng)云環(huán)境根據(jù)其通過(guò)預(yù)設(shè)的檢測(cè)方法得到的檢測(cè)結(jié)果表明所述終端受到DDOS攻擊時(shí)，所述云環(huán)境通過(guò)其防御模型動(dòng)態(tài)的建立新的服務(wù)器副本，并通過(guò)其彈性資源和巨大的規(guī)模來(lái)實(shí)例化并隱藏所述新的服務(wù)器副本。所述實(shí)例化是當(dāng)云環(huán)境中出現(xiàn)DDOS攻擊時(shí)，需要從云端分配資源，但是僅有的資源并不能提供服務(wù)，因此需要對(duì)這些資源實(shí)例化，也就是部署可以提供終端請(qǐng)求訪問(wèn)的程序。

為了應(yīng)對(duì)DDOS攻擊，所述云環(huán)境根據(jù)當(dāng)前終端的發(fā)送請(qǐng)求訪問(wèn)的數(shù)量，通過(guò)監(jiān)測(cè)CPU(Central Processing Unit，中央處理器)的運(yùn)行速率、內(nèi)存消耗等來(lái)決定需要建立多少個(gè)需要受保護(hù)的服務(wù)器副本，并確保所述服務(wù)器副本綁定到一個(gè)唯一的IP地址或DNS域名上。當(dāng)一些服務(wù)器副本受到DDOS攻擊時(shí)，所述云環(huán)境將大量替代服務(wù)器副本實(shí)例化，將對(duì)所述終端進(jìn)行的服務(wù)的服務(wù)器在整個(gè)服務(wù)器副本組中重新分配，執(zhí)行所述終端到所述服務(wù)器副本的轉(zhuǎn)移。

步驟S30，對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，根據(jù)所述信任值的計(jì)算結(jié)果將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。

云環(huán)境為了將受到DDOS攻擊的數(shù)據(jù)包從其終端正常的請(qǐng)求訪問(wèn)中區(qū)分開(kāi)來(lái)，統(tǒng)計(jì)所述終端合法數(shù)據(jù)包內(nèi)部的特征結(jié)構(gòu)。在所述統(tǒng)計(jì)方法中，重點(diǎn)研究傳輸層和網(wǎng)絡(luò)層，所述傳輸層和網(wǎng)絡(luò)層主要通過(guò)統(tǒng)計(jì)的是IP報(bào)頭和TCP(Transmission Control Protocol，傳輸控制協(xié)議)報(bào)頭的基本信息進(jìn)行關(guān)聯(lián)。由于所述終端的操作系統(tǒng)、網(wǎng)絡(luò)結(jié)構(gòu)甚至興趣愛(ài)好的原因?qū)е滤鯥P報(bào)頭和TCP報(bào)頭的基本信息包含的屬性是獨(dú)特的，并且使一些屬性對(duì)存在相關(guān)特性。因此，通過(guò)計(jì)算所述傳輸層和網(wǎng)絡(luò)層的關(guān)聯(lián)模式的數(shù)據(jù)包的信任值的方法判斷所述終端數(shù)據(jù)包的合法性。所述云環(huán)境將受攻擊終端重定向到新的服務(wù)器副本中，即所述云環(huán)境對(duì)于受到DDOS攻擊的終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，根據(jù)所述數(shù)據(jù)包的信任值的計(jì)算結(jié)果將所述受到DDOS攻擊的終端重定向到所述新的服務(wù)器副本中，將良性終端和DDOS攻擊者分離。

本實(shí)施例通過(guò)檢測(cè)出云環(huán)境中的終端受到DDOS攻擊時(shí)，建立新的服務(wù)器副本，對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值計(jì)算，根據(jù)所計(jì)算的信任值將受到DDOS攻擊的終端重定向到所述新的服務(wù)器副本中，將良性終端和攻擊者分離。解決了DDOS攻擊對(duì)云環(huán)境下的安全威脅。

參照?qǐng)D2，圖2為本發(fā)明基于DDOS攻擊防范方法第二實(shí)施例的流程示意圖，基于第一實(shí)施例提出本發(fā)明基于DDOS攻擊防范方法第二實(shí)施例。

在本實(shí)施例中，所述步驟S30包括：

步驟S31，對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，得到計(jì)算結(jié)果；

步驟S32，根據(jù)所述計(jì)算結(jié)果得到所述信任值的閾值；

步驟S33，根據(jù)所述信任值的閾值，利用負(fù)載均衡器將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。

云環(huán)境對(duì)受到DDOS攻擊的終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算。所述信任值表示對(duì)某一個(gè)屬性或者屬性對(duì)的信任程度。所述信任值存在三個(gè)定義。①信任值為在數(shù)據(jù)流中屬性流出現(xiàn)的頻率，分別包括單屬性的信任值和屬性對(duì)的信任值。所述單屬性的信任值為：CAi＝ai，j＝NAi＝ai，jNt；所述屬性對(duì)的信任值為：CAi1＝ai1，j1，Ai2＝ai2，j2＝NAi1＝ai1，j1，Ai2＝ai2，j2Nt。其中，i＝1,2,3,…,n，j＝1,2,3,…,mi，i1＝1,2,3,…,n，j1＝1,2,3,…,m1，j2＝1,2,3,…,m2。n為總共參與計(jì)算的屬性數(shù)量，Ai為數(shù)據(jù)報(bào)中第i個(gè)屬性，mi為屬性Ai可以擁有值的個(gè)數(shù)，NAi＝ai，j為在t時(shí)間間隔內(nèi)包含屬性Ai的值為ai，j的個(gè)數(shù)，NAr＝ar,x,As＝as，y為在t時(shí)間間隔內(nèi)包含的屬性Ar為ar，x并且屬性As為as，y的個(gè)數(shù)。根據(jù)所述信任值的第一個(gè)定義，可知在所述終端合法數(shù)據(jù)包流中，單屬性或者屬性對(duì)出現(xiàn)的次數(shù)越多，則所述終端得到的信任值就越高。②對(duì)一個(gè)數(shù)據(jù)包中的各個(gè)屬性的CBF(Confidence-Based Filtering，基于信任值過(guò)濾)加權(quán)計(jì)算得到對(duì)終端的評(píng)判得分，公式為：Scorep＝k＝1dWAk1，Ak2CAi1＝ai1，j1，Ai2＝ai2，j2k＝1dWAk1，Ak2；其中，p為數(shù)據(jù)流中的具體數(shù)據(jù)包，pi為數(shù)據(jù)包p中屬性Ai的值，d為參與計(jì)算的包的屬性對(duì)的個(gè)數(shù)，Ak1和Ak2為第k個(gè)屬性對(duì)中的兩個(gè)屬性，WAk1，Ak2為第k個(gè)屬性對(duì)對(duì)應(yīng)的權(quán)重值，由于每一個(gè)信任值的范圍在[0，1]中，所以Score(p)的值會(huì)在[0，1]范圍當(dāng)中。由于屬性對(duì)的信任值不能夠被攻擊端復(fù)制。因此，所述數(shù)據(jù)包 獲得的分越高則意味著出現(xiàn)的次數(shù)越多，也就意味著有更高的安全性。③根據(jù)CBF計(jì)算的得分結(jié)果劃分的具體閾值來(lái)決定所述數(shù)據(jù)包是否是攻擊包。所述CBF計(jì)算過(guò)程包括生成兩次閾值，第一次用于分離良性終端，第二次用于分離攻擊者。

云環(huán)境在正常情況下通過(guò)提取其終端的數(shù)據(jù)包中屬性值生成概要文件，即計(jì)算良性終端的數(shù)據(jù)包屬性值的信任值，形成閾值。所述良性終端的數(shù)據(jù)包屬性值的信任值會(huì)與所述概要文件中統(tǒng)計(jì)的值相同。當(dāng)云環(huán)境中的終端受到DDOS攻擊期間，所述云環(huán)境先停止生成概要文件，同時(shí)從所述終端傳入的數(shù)據(jù)包中提取屬性值對(duì)，然后根據(jù)所提取的屬性值對(duì)所述概要文件進(jìn)行搜索，然后通過(guò)所述CBF進(jìn)行計(jì)算，即計(jì)算攻擊者的數(shù)據(jù)包屬性值的信任值，將所述攻擊者終端的數(shù)據(jù)包屬性值的信任值與所述概要文件中統(tǒng)計(jì)的值進(jìn)行對(duì)比，即與所述閾值進(jìn)行對(duì)比，會(huì)發(fā)現(xiàn)所述攻擊者的數(shù)據(jù)包屬性值的信任值與所述閾值差別較大。所述云環(huán)境通過(guò)其負(fù)載均衡器將受到DDOS攻擊的終端重定向到新的服務(wù)器副本中，將良性終端和攻擊者分離。并將小于所述閾值的服務(wù)器副本上的終端重新生成概要文件，并等待固定的時(shí)間間隔后重新通過(guò)所述CBF進(jìn)行計(jì)算，再次設(shè)置閾值用于判斷數(shù)據(jù)包是否通過(guò)。云環(huán)境通過(guò)多次對(duì)其終端的信任值的計(jì)算，將攻擊者過(guò)濾。

本實(shí)施例通過(guò)對(duì)終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，利用負(fù)載均衡器將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中，將良性終端和攻擊者區(qū)分開(kāi)并實(shí)現(xiàn)對(duì)攻擊者的過(guò)濾。保證了云服務(wù)器中的服務(wù)器副本在滿足正常情況下終端的請(qǐng)求時(shí)，可以很好的應(yīng)用于對(duì)突發(fā)性的DDOS攻擊場(chǎng)景，有效地防范DDOS攻擊。

參照?qǐng)D3，圖3為本發(fā)明基于DDOS攻擊防范方法第三實(shí)施例的流程示意圖，基于第一實(shí)施例提出本發(fā)明基于DDOS攻擊防范方法第三實(shí)施例。

在本實(shí)施例中，所述步驟S10包括：

步驟S11，通過(guò)預(yù)設(shè)的計(jì)算方法計(jì)算云環(huán)境中終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差；

云環(huán)境通過(guò)預(yù)設(shè)的計(jì)算方法計(jì)算云環(huán)境中終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差。所述預(yù)設(shè)的計(jì)算方法為指數(shù)平滑方法。所述數(shù)據(jù)包跳動(dòng)位移指的 是數(shù)據(jù)包中TTL值的變化。云環(huán)境中的異常檢測(cè)依賴于正常情況與偏差情況的區(qū)別，即首先基于統(tǒng)計(jì)技術(shù)，得出正常狀態(tài)對(duì)應(yīng)的某個(gè)值，當(dāng)當(dāng)前狀態(tài)計(jì)算的結(jié)果與之前正常情況下計(jì)算的結(jié)果發(fā)生大的偏差時(shí)，則判定當(dāng)前為異常狀態(tài)。所述指數(shù)平滑方法可以應(yīng)用于實(shí)時(shí)檢測(cè)IP通信的往返時(shí)間。在本實(shí)施例當(dāng)中，所述指數(shù)平滑方法預(yù)測(cè)所述終端數(shù)據(jù)包在t+1時(shí)刻的跳動(dòng)位移平均值的方法為：dt+1＝dt+w*(Mt-dt)，其中，dt是在t-1時(shí)刻預(yù)測(cè)在t時(shí)刻的跳動(dòng)位移值，dt+1是在t+1時(shí)刻的跳動(dòng)位移值，Mt是在t時(shí)刻的實(shí)際測(cè)量值，所述Mt通過(guò)數(shù)據(jù)包中的TTL字段可以得知，w是平滑指數(shù)，Mt-dt是在t時(shí)刻的預(yù)測(cè)誤差，如果w值較大，則最后一個(gè)的誤差將會(huì)在下一個(gè)預(yù)測(cè)中有更大的比重，因此，預(yù)測(cè)值將會(huì)更加接近實(shí)際的跳動(dòng)位移值。為了確定當(dāng)前跳動(dòng)位移是否處于是否處于正常狀態(tài)，所述云環(huán)境通過(guò)使用所述指數(shù)平滑方法計(jì)算其終端的數(shù)據(jù)包跳動(dòng)位移的MAD(Mean Absolute Difference，平均絕對(duì)誤差)，具體方法為：MADt+1＝r*et+1-r*MADt，其中，MADt為在t時(shí)刻的MAD，r為平滑指數(shù)，et是在t時(shí)刻的預(yù)測(cè)誤差值。所述云環(huán)境利用MADt+1＝r*et+1-r*MADt計(jì)算出所述終端數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差，

步驟S12，將所述數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差與預(yù)設(shè)閥值進(jìn)行比較；

步驟S13，當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差大于所述預(yù)設(shè)閾值時(shí)，判定所述終端受到DDOS攻擊。

云環(huán)境在利用指數(shù)平滑方法計(jì)算其終端當(dāng)前數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差之前，通過(guò)指數(shù)平滑方式計(jì)算當(dāng)所述終端沒(méi)有受到DDOS攻擊時(shí)，其數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差，根據(jù)在正常情況下得到所述數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差設(shè)置預(yù)設(shè)閾值。將在下一個(gè)時(shí)間點(diǎn)下計(jì)算得出的所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差與所述預(yù)設(shè)閾值進(jìn)行對(duì)比，當(dāng)下一個(gè)時(shí)間點(diǎn)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差大于所述預(yù)設(shè)閾值時(shí)，云環(huán)境判定所述終端受到DDOS攻擊。

步驟S14，當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差不大于所述預(yù)設(shè)閾值時(shí)，判定所述終端未受到DDOS攻擊。

步驟S15，當(dāng)所述終端未受到DDOS攻擊時(shí)，接收所述終端傳入的數(shù)據(jù)包，計(jì)算所述終端的數(shù)據(jù)包的信任值；

步驟S16，根據(jù)所述信任值更新概要文件，以供所述終端受到DDOS攻擊 時(shí)，根據(jù)所述概要文件生成數(shù)據(jù)包的信任值的閾值。

當(dāng)云環(huán)境在下一個(gè)時(shí)間點(diǎn)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差小于或者等于所述預(yù)設(shè)閾值時(shí)，所述云環(huán)境判定所述終端未受到DDOS攻擊。

當(dāng)云環(huán)境中的終端未受到DDOS攻擊時(shí)，只需要少數(shù)的服務(wù)器副本就可以維持所述終端正常的訪問(wèn)請(qǐng)求。所述云環(huán)境接收所述終端傳入的數(shù)據(jù)包，提取所述數(shù)據(jù)包中的屬性對(duì)，根據(jù)所述屬性對(duì)計(jì)算出對(duì)應(yīng)的數(shù)據(jù)包的信任值，根據(jù)所述數(shù)據(jù)包的信任值更新所述概要文件，以供所述終端受到DDOS攻擊時(shí)根據(jù)所述概要文件生成數(shù)據(jù)包的信任值的閾值。

在本實(shí)施例通過(guò)指數(shù)平滑方法計(jì)算出云環(huán)境中終端數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差，根據(jù)所述平均絕對(duì)誤差判斷所述終端是否受到DDOS攻擊。利用基于平均跳動(dòng)位移估計(jì)的DDOS攻擊檢測(cè)技術(shù)實(shí)現(xiàn)了當(dāng)云環(huán)境中的終端受到DDOS攻擊時(shí)，能夠快速地對(duì)DDOS攻擊進(jìn)行防范。

本發(fā)明進(jìn)一步提供一種基于DDOS攻擊防范裝置。

參照?qǐng)D4，圖4為本發(fā)明基于DDOS攻擊防范裝置的第一實(shí)施例的功能模塊示意圖。

在本實(shí)施例中，所述基于DDOS攻擊防范裝置包括：

檢測(cè)模塊10，用于通過(guò)預(yù)設(shè)的檢測(cè)方法檢測(cè)云環(huán)境中的終端，得到檢測(cè)結(jié)果；

在云環(huán)境中，至少放置一個(gè)負(fù)載均衡器。所述云環(huán)境通過(guò)負(fù)載均衡器創(chuàng)建服務(wù)器副本，并通過(guò)所述負(fù)載均衡器將一個(gè)終端分配到一個(gè)活躍的服務(wù)器副本中。每一個(gè)終端都由對(duì)應(yīng)的IP(Internet Protocol，網(wǎng)絡(luò)之間互連的協(xié)議)地址或是DNS(Domain Name System，域名系統(tǒng))域名關(guān)聯(lián)起來(lái)，在進(jìn)入云環(huán)境時(shí)，所述云環(huán)境通過(guò)負(fù)載均衡器將所述終端隨機(jī)分配到一個(gè)活躍的服務(wù)器中。所以每一個(gè)終端的IP地址或者是DNS域名可以匹配一個(gè)副本服務(wù)器。所述云環(huán)境通過(guò)所述負(fù)載均衡器跟蹤所有活躍的服務(wù)器副本。每個(gè)負(fù)載均衡器都將維護(hù)一個(gè)最新的在線服務(wù)器副本的列表。所述云環(huán)境通過(guò)所述負(fù)載均衡器記錄當(dāng)前活躍的服務(wù)器副本，同時(shí)根據(jù)負(fù)載均衡算法將新終端分配到服務(wù)器副本中，來(lái)響應(yīng)每個(gè)由IP綁定的終端的請(qǐng)求。所述終端與所述云環(huán)境中的服務(wù)器是一一對(duì)應(yīng)的，為了維持正常請(qǐng)求服務(wù)，是由所述云環(huán)境中的負(fù)載 均衡服務(wù)器充當(dāng)中間者。一個(gè)請(qǐng)求是一個(gè)終端發(fā)送，由一個(gè)服務(wù)器副本提供服務(wù)。在所述負(fù)載均衡器中需要對(duì)此每一個(gè)請(qǐng)求任務(wù)建立鏈接。因此，所述服務(wù)器副本會(huì)將終端的IP地址添加到自身所帶的白名單中，當(dāng)所述服務(wù)器副本與所述終端建立鏈接時(shí)，所述服務(wù)器副本將會(huì)向所述終端提供相應(yīng)的請(qǐng)求服務(wù)。

所述云環(huán)境通過(guò)預(yù)設(shè)的檢測(cè)方法檢測(cè)云環(huán)境中的終端的數(shù)據(jù)包，得到檢測(cè)結(jié)果，根據(jù)所述檢測(cè)結(jié)果判斷所述終端是否受到了DDOS攻擊。所述預(yù)設(shè)的檢測(cè)方法為DBTS(Distance-Based Traffic Separation，基于距離的流量分離)DDOS檢測(cè)技術(shù)，通過(guò)使用線性預(yù)測(cè)的方式來(lái)估計(jì)數(shù)據(jù)包不同距離的流量速率，即通過(guò)數(shù)據(jù)包不同的跳動(dòng)位移的流量速率，利用指數(shù)平滑估計(jì)技術(shù)估計(jì)下一個(gè)時(shí)間點(diǎn)數(shù)據(jù)包的跳動(dòng)位移平均值。計(jì)算跳動(dòng)位移平均值的主要方式是利用IP報(bào)頭中的TTL(Time To Live，生存時(shí)間值)字段，所述數(shù)據(jù)包在傳輸過(guò)程中，每個(gè)路由器會(huì)將所述IP報(bào)頭中的TTL值減一。因此，所述數(shù)據(jù)包的跳動(dòng)位移是最后的TTL值減去初始的值。由于大多數(shù)操作系統(tǒng)只選擇幾個(gè)固定的初始TTL值，所述固定的初始TTL值為30，32，60，64，128和255，而且大多數(shù)互聯(lián)網(wǎng)主機(jī)可以達(dá)到30跳。因此，初始值可以通過(guò)選擇大于最后的TTL值中所有可能情況中最小的一個(gè)。

建立模塊20，用于當(dāng)所述檢測(cè)結(jié)果表示所述終端受到DDOS攻擊時(shí)，建立服務(wù)器副本；

當(dāng)云環(huán)境根據(jù)其通過(guò)預(yù)設(shè)的檢測(cè)方法得到的檢測(cè)結(jié)果表明所述終端受到DDOS攻擊時(shí)，所述云環(huán)境通過(guò)其防御模型動(dòng)態(tài)的建立新的服務(wù)器副本，并通過(guò)其彈性資源和巨大的規(guī)模來(lái)實(shí)例化并隱藏所述新的服務(wù)器副本。所述實(shí)例化是當(dāng)云環(huán)境中出現(xiàn)DDOS攻擊時(shí)，需要從云端分配資源，但是僅有的資源并不能提供服務(wù)，因此需要對(duì)這些資源實(shí)例化，也就是部署可以提供終端請(qǐng)求訪問(wèn)的程序。

為了應(yīng)對(duì)DDOS攻擊，所述云環(huán)境根據(jù)當(dāng)前終端的發(fā)送請(qǐng)求訪問(wèn)的數(shù)量，通過(guò)監(jiān)測(cè)CPU(Central Processing Unit，中央處理器)的運(yùn)行速率、內(nèi)存消耗等來(lái)決定需要建立多少個(gè)需要受保護(hù)的服務(wù)器副本，并確保所述服務(wù)器副本綁定到一個(gè)唯一的IP地址或DNS域名上。當(dāng)一些服務(wù)器副本受到DDOS攻擊時(shí)，所述云環(huán)境將大量替代服務(wù)器副本實(shí)例化，將對(duì)所述終端進(jìn)行的服務(wù) 的服務(wù)器在整個(gè)服務(wù)器副本組中重新分配，執(zhí)行所述終端到所述服務(wù)器副本的轉(zhuǎn)移。

計(jì)算模塊30，用于對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，根據(jù)所述信任值的計(jì)算結(jié)果將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。

云環(huán)境為了將受到DDOS攻擊的數(shù)據(jù)包從其終端正常的請(qǐng)求訪問(wèn)中區(qū)分開(kāi)來(lái)，統(tǒng)計(jì)所述終端合法數(shù)據(jù)包內(nèi)部的特征結(jié)構(gòu)。在所述統(tǒng)計(jì)方法中，重點(diǎn)研究傳輸層和網(wǎng)絡(luò)層，所述傳輸層和網(wǎng)絡(luò)層主要通過(guò)統(tǒng)計(jì)的是IP報(bào)頭和TCP(Transmission Control Protocol，傳輸控制協(xié)議)報(bào)頭的基本信息進(jìn)行關(guān)聯(lián)。由于所述終端的操作系統(tǒng)、網(wǎng)絡(luò)結(jié)構(gòu)甚至興趣愛(ài)好的原因?qū)е滤鯥P報(bào)頭和TCP報(bào)頭的基本信息包含的屬性是獨(dú)特的，并且使一些屬性對(duì)存在相關(guān)特性。因此，通過(guò)計(jì)算所述傳輸層和網(wǎng)絡(luò)層的關(guān)聯(lián)模式的數(shù)據(jù)包的信任值的方法判斷所述終端數(shù)據(jù)包的合法性。所述云環(huán)境將受攻擊終端重定向到新的服務(wù)器副本中，即所述云環(huán)境對(duì)于受到DDOS攻擊的終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，根據(jù)所述數(shù)據(jù)包的信任值的計(jì)算結(jié)果將所述受到DDOS攻擊的終端重定向到所述新的服務(wù)器副本中，將良性終端和DDOS攻擊者分離。

本實(shí)施例通過(guò)檢測(cè)出云環(huán)境中的終端受到DDOS攻擊時(shí)，建立新的服務(wù)器副本，對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值計(jì)算，根據(jù)所計(jì)算的信任值將受到DDOS攻擊的終端重定向到所述新的服務(wù)器副本中，將良性終端和攻擊者分離。解決了DDOS攻擊對(duì)云環(huán)境下的安全威脅。

參照?qǐng)D5，圖5為本發(fā)明基于DDOS攻擊防范裝置第二實(shí)施例的功能模塊示意圖，基于第一實(shí)施例提出本發(fā)明基于DDOS攻擊防范裝置第二實(shí)施例。

在本實(shí)施例中，所述計(jì)算模塊30包括：

第一計(jì)算單元31，用于對(duì)所述終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，得到計(jì)算結(jié)果；

處理單元32，用于根據(jù)所述計(jì)算結(jié)果得到所述信任值的閾值；

重定向單元33，用于根據(jù)所述信任值的閾值，利用負(fù)載均衡器將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中。

云環(huán)境對(duì)受到DDOS攻擊的終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算。所述信任值表示對(duì)某一個(gè)屬性或者屬性對(duì)的信任程度。所述信任值存在三個(gè)定義。① 信任值為在數(shù)據(jù)流中屬性流出現(xiàn)的頻率，分別包括單屬性的信任值和屬性對(duì)的信任值。所述單屬性的信任值為：CAi＝ai，j＝NAi＝ai，jNt；所述屬性對(duì)的信任值為：CAi1＝ai1，j1，Ai2＝ai2，j2＝NAi1＝ai1，j1，Ai2＝ai2，j2Nt。其中，i＝1,2,3,…,n，j＝1,2,3,…,mi，i1＝1,2,3,…,n，j1＝1,2,3,…,m1，j2＝1,2,3,…,m2。n為總共參與計(jì)算的屬性數(shù)量，Ai為數(shù)據(jù)報(bào)中第i個(gè)屬性，mi為屬性Ai可以擁有值的個(gè)數(shù)，NAi＝ai，j為在t時(shí)間間隔內(nèi)包含屬性Ai的值為ai，j的個(gè)數(shù)，NAr＝ar,x,As＝as，y為在t時(shí)間間隔內(nèi)包含的屬性Ar為ar，x并且屬性As為as，y的個(gè)數(shù)。根據(jù)所述信任值的第一個(gè)定義，可知在所述終端合法數(shù)據(jù)包流中，單屬性或者屬性對(duì)出現(xiàn)的次數(shù)越多，則所述終端得到的信任值就越高。②對(duì)一個(gè)數(shù)據(jù)包中的各個(gè)屬性的CBF(Confidence-Based Filtering，基于信任值過(guò)濾)加權(quán)計(jì)算得到對(duì)終端的評(píng)判得分，公式為：Scorep＝k＝1dWAk1，Ak2CAi1＝ai1，j1，Ai2＝ai2，j2k＝1dWAk1，Ak2；其中，p為數(shù)據(jù)流中的具體數(shù)據(jù)包，pi為數(shù)據(jù)包p中屬性Ai的值，d為參與計(jì)算的包的屬性對(duì)的個(gè)數(shù)，Ak1和Ak2為第k個(gè)屬性對(duì)中的兩個(gè)屬性，WAk1，Ak2為第k個(gè)屬性對(duì)對(duì)應(yīng)的權(quán)重值，由于每一個(gè)信任值的范圍在[0，1]中，所以Score(p)的值會(huì)在[0，1]范圍當(dāng)中。由于屬性對(duì)的信任值不能夠被攻擊端復(fù)制。因此，所述數(shù)據(jù)包獲得的分越高則意味著出現(xiàn)的次數(shù)越多，也就意味著有更高的安全性。③根據(jù)CBF計(jì)算的得分結(jié)果劃分的具體閾值來(lái)決定所述數(shù)據(jù)包是否是攻擊包。所述CBF計(jì)算過(guò)程包括生成兩次閾值，第一次用于分離良性終端，第二次用于分離攻擊者。

云環(huán)境在正常情況下通過(guò)提取其終端的數(shù)據(jù)包中屬性值生成概要文件，即計(jì)算良性終端的數(shù)據(jù)包屬性值的信任值，形成閾值。所述良性終端的數(shù)據(jù)包屬性值的信任值會(huì)與所述概要文件中統(tǒng)計(jì)的值相同。當(dāng)云環(huán)境中的終端受到DDOS攻擊期間，所述云環(huán)境先停止生成概要文件，同時(shí)從所述終端傳入的數(shù)據(jù)包中提取屬性值對(duì)，然后根據(jù)所提取的屬性值對(duì)所述概要文件進(jìn)行搜索，然后通過(guò)所述CBF進(jìn)行計(jì)算，即計(jì)算攻擊者的數(shù)據(jù)包屬性值的信任值，將所述攻擊者終端的數(shù)據(jù)包屬性值的信任值與所述概要文件中統(tǒng)計(jì)的值進(jìn)行對(duì)比，即與所述閾值進(jìn)行對(duì)比，會(huì)發(fā)現(xiàn)所述攻擊者的數(shù)據(jù)包屬性值的信任值與所述閾值差別較大。所述云環(huán)境通過(guò)其負(fù)載均衡器將受到DDOS攻擊的終端重定向到新的服務(wù)器副本中，將良性終端和攻擊者分離。并將小于所述閾值的服務(wù) 器副本上的終端重新生成概要文件，并等待固定的時(shí)間間隔后重新通過(guò)所述CBF進(jìn)行計(jì)算，再次設(shè)置閾值用于判斷數(shù)據(jù)包是否通過(guò)。云環(huán)境通過(guò)多次對(duì)其終端的信任值的計(jì)算，將攻擊者過(guò)濾。

本實(shí)施例通過(guò)對(duì)終端進(jìn)行數(shù)據(jù)包的信任值的計(jì)算，利用負(fù)載均衡器將所述受到DDOS攻擊的終端重定向到所述服務(wù)器副本中，將良性終端和攻擊者區(qū)分開(kāi)并實(shí)現(xiàn)對(duì)攻擊者的過(guò)濾。保證了云服務(wù)器中的服務(wù)器副本在滿足正常情況下終端的請(qǐng)求時(shí)，可以很好的應(yīng)用于對(duì)突發(fā)性的DDOS攻擊場(chǎng)景，有效地防范DDOS攻擊。

參照?qǐng)D6，圖6為本發(fā)明基于DDOS攻擊防范裝置第三實(shí)施例的功能模塊示意圖，基于第一實(shí)施例提出本發(fā)明基于DDOS攻擊防范裝置第三實(shí)施例。

在本實(shí)施例中，所述檢測(cè)模塊10包括：

第二計(jì)算單元11，用于通過(guò)預(yù)設(shè)的計(jì)算方法計(jì)算云環(huán)境中終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差；

云環(huán)境通過(guò)預(yù)設(shè)的計(jì)算方法計(jì)算云環(huán)境中終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差。所述預(yù)設(shè)的計(jì)算方法為指數(shù)平滑方法。所述數(shù)據(jù)包跳動(dòng)位移指的是數(shù)據(jù)包中TTL值的變化。云環(huán)境中的異常檢測(cè)依賴于正常情況與偏差情況的區(qū)別，即首先基于統(tǒng)計(jì)技術(shù)，得出正常狀態(tài)對(duì)應(yīng)的某個(gè)值，當(dāng)當(dāng)前狀態(tài)計(jì)算的結(jié)果與之前正常情況下計(jì)算的結(jié)果發(fā)生大的偏差時(shí)，則判定當(dāng)前為異常狀態(tài)。所述指數(shù)平滑方法可以應(yīng)用于實(shí)時(shí)檢測(cè)IP通信的往返時(shí)間。在本實(shí)施例當(dāng)中，所述指數(shù)平滑方法預(yù)測(cè)所述終端數(shù)據(jù)包在t+1時(shí)刻的跳動(dòng)位移平均值的方法為：dt+1＝dt+w*(Mt-dt)，其中，dt是在t-1時(shí)刻預(yù)測(cè)在t時(shí)刻的跳動(dòng)位移值，dt+1是在t+1時(shí)刻的跳動(dòng)位移值，Mt是在t時(shí)刻的實(shí)際測(cè)量值，所述Mt通過(guò)數(shù)據(jù)包中的TTL字段可以得知，w是平滑指數(shù)，Mt-dt是在t時(shí)刻的預(yù)測(cè)誤差，如果w值較大，則最后一個(gè)的誤差將會(huì)在下一個(gè)預(yù)測(cè)中有更大的比重，因此，預(yù)測(cè)值將會(huì)更加接近實(shí)際的跳動(dòng)位移值。為了確定當(dāng)前跳動(dòng)位移是否處于是否處于正常狀態(tài)，所述云環(huán)境通過(guò)使用所述指數(shù)平滑方法計(jì)算其終端的數(shù)據(jù)包跳動(dòng)位移的MAD(Mean Absolute Difference，平均絕對(duì)誤差)，具體方法為：MADt+1＝r*et+1-r*MADt，其中，MADt為在t時(shí)刻的MAD，r為平滑指數(shù)，et是在t時(shí)刻的預(yù)測(cè)誤差值。所述云環(huán)境利用 MADt+1＝r*et+1-r*MADt計(jì)算出所述終端數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差，

比較單元12，用于將所述數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差與預(yù)設(shè)閥值進(jìn)行比較；

第一判定單元13，用于當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差大于所述預(yù)設(shè)閾值時(shí)，判定所述終端受到DDOS攻擊。

云環(huán)境在利用指數(shù)平滑方法計(jì)算其終端當(dāng)前數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差之前，通過(guò)指數(shù)平滑方式計(jì)算當(dāng)所述終端沒(méi)有受到DDOS攻擊時(shí)，其數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差，根據(jù)在正常情況下得到所述數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差設(shè)置預(yù)設(shè)閾值。將在下一個(gè)時(shí)間點(diǎn)下計(jì)算得出的所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差與所述預(yù)設(shè)閾值進(jìn)行對(duì)比，當(dāng)下一個(gè)時(shí)間點(diǎn)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差大于所述預(yù)設(shè)閾值時(shí)，云環(huán)境判定所述終端受到DDOS攻擊。

第二判定單元14，用于當(dāng)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差不大于所述預(yù)設(shè)閾值時(shí)，判定所述終端未受到DDOS攻擊。

接收單元15，用于當(dāng)所述終端未受到DDOS攻擊時(shí)，接收所述終端傳入的數(shù)據(jù)包，計(jì)算所述終端的數(shù)據(jù)包的信任值；

更新單元16，用于根據(jù)所述信任值更新概要文件，以供所述終端受到DDOS攻擊時(shí)，根據(jù)所述概要文件生成數(shù)據(jù)包的信任值的閾值。

當(dāng)云環(huán)境在下一個(gè)時(shí)間點(diǎn)所述終端的數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差小于或者等于所述預(yù)設(shè)閾值時(shí)，所述云環(huán)境判定所述終端未受到DDOS攻擊。

當(dāng)云環(huán)境中的終端未受到DDOS攻擊時(shí)，只需要少數(shù)的服務(wù)器副本就可以維持所述終端正常的訪問(wèn)請(qǐng)求。所述云環(huán)境接收所述終端傳入的數(shù)據(jù)包，提取所述數(shù)據(jù)包中的屬性對(duì)，根據(jù)所述屬性對(duì)計(jì)算出對(duì)應(yīng)的數(shù)據(jù)包的信任值，根據(jù)所述數(shù)據(jù)包的信任值更新所述概要文件，以供所述終端受到DDOS攻擊時(shí)根據(jù)所述概要文件生成數(shù)據(jù)包的信任值的閾值。

在本實(shí)施例通過(guò)指數(shù)平滑方法計(jì)算出云環(huán)境中終端數(shù)據(jù)包跳動(dòng)位移的平均絕對(duì)誤差，根據(jù)所述平均絕對(duì)誤差判斷所述終端是否受到DDOS攻擊。利用基于平均跳動(dòng)位移估計(jì)的DDOS攻擊檢測(cè)技術(shù)實(shí)現(xiàn)了當(dāng)云環(huán)境中的終端受到DDOS攻擊時(shí)，能夠快速地對(duì)DDOS攻擊進(jìn)行防范。

通過(guò)以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到上述實(shí)施例方法可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)，當(dāng)然也可以通過(guò)硬件，但很多情況下前者是更佳的實(shí)施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)(如ROM/RAM、磁碟、光盤(pán))中，包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)，計(jì)算機(jī)，服務(wù)器，空調(diào)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。

以上僅為本發(fā)明的優(yōu)選實(shí)施例，并非因此限制本發(fā)明的專(zhuān)利范圍，凡是利用本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專(zhuān)利保護(hù)范圍內(nèi)。