(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114172697A(43)申请公布日2022.03.11(21)申请号202111399436.9(22)申请日2021.11.19(71)申请人东南大学地址211135江苏省南京市麒麟科创园智识路26号启迪城立业园04幢(72)发明人吴桦张晅阁程光(74)专利代理机构南京众联专利代理有限公司32206代理人杜静静(51)Int.Cl.H04L9/40(2022.01)G06K9/62(2022.01)权利要求书2页说明书7页附图2页(54)发明名称一种防御高速网络中IP地址欺骗DDoS攻击的方法(57)摘要本发明公开了一种防御高速网络中IP地址欺骗DDoS攻击的方法，分为离线训练和在线防御。离线训练中，将DDoS攻击公开数据集的地址平移后与高速网络流量公开数据集混合，得到混合流量数据集并系统抽样，用包含6个计数器和1个哈希表的Sketch结构基于源MAC地址和目的IP地址提取流量特征并标记，随后在有监督的机器学习方法下使用经过标记的流量特征训练生成攻击流量分类器。在线防御中，部署在高速网络边界节点上，对输入的高速网络流量系统抽样并提取流量特征，用攻击流量分类器检测，给出包含攻击流量地址对(源MAC地址和目的IP地址)的告警列表，最后通知边界路由器过滤告警列表中流量实现防御。本发明可被网络管理者用于防御高速网络中IP地址欺骗DDoS攻击。CN114172697ACN114172697A权利要求书1/2页1.一种防御高速网络中IP地址欺骗DDoS攻击的方法，其特征在于，该方法包括以下步骤：步骤(1)获取一段DDoS攻击公开数据集和一段在主干网节点持续采集一段时间的高速网络流量公开数据集，将DDoS攻击公开数据集中的地址进行平移后和高速网络流量公开数据集进行混合，得到混合流量数据集；步骤(2)对混合流量数据集进行抽样比为1/μ的系统抽样；步骤(3)对采样后流量使用包含6个计数器和1个哈希表的sketch结构基于地址对(源MAC地址和目的IP地址)提取流量特征；步骤(4)对流量特征进行标注，得到具有标签的训练集，在有监督机器学习算法下用训练集进行模型训练，得到攻击流量分类器；步骤(5)部署在高速网络边界节点上，设置抽样比为1/μ，对输入的高速网络流量进行系统抽样，并使用与步骤(3)中相同方式提取流量特征：步骤(6)使用攻击流量分类器检测步骤(5)中提取的不同地址对(源MAC地址和目的IP地址)下的流量特征，并将检测到攻击流量的地址对加入告警列表；步骤(7)根据告警列表通知相关边界路由器过滤告警列表中对应地址对流量实现对IP地址欺骗DDoS攻击的防御。2.根据权利要求1所述的一种防御高速网络中IP地址欺骗DDoS攻击的方法，其特征在于，所述步骤(1)中，获取公开数据集和混合数据集的具体步骤如下：(1.1)分别访问DDoS攻击公开数据集官网和高速网络流量公开数据集官网，获取DDoS攻击公开数据集和高速网络流量公开数据集；(1.2)将DDoS攻击公开数据集的源MAC地址和目的MAC地址平移为高速网络流量公开数据集的源MAC地址和目的MAC地址，并将DDoS攻击公开数据集地址中的源IP地址变为随机IP地址以达到源IP地址欺骗的效果；(1.3)将(1.2)中改变地址后的DDoS攻击公开数据集与高速网络流量公开数据集进行混合。3.根据权利要求1所述的一种防御高速网络中IP地址欺骗DDoS攻击的方法，其特征在于，所述步骤(3)中，所使用的Sketch结构详细信息以及提取特征的具体步骤如下：(3.1)基于SYNFlood攻击的特点，所选择的TCP流量特征为：同一地址对下收到有负载的数据包数量、同一地址对下发出有负载的数据包数量、同一地址对下收到没有负载的数据包数量、同一地址对下发出没有负载的数据包数量、同一地址对下收到有SYN标志的数据包数量、同一地址对下发出有SYN标志的数据包数量、同一地址对下发送方端口的分散度、同一地址对下收到数据包的速度以及同一地址对下发送数据包的速度；基于UDPFlood攻击的特点，所选择的UDP流量特征为：同一地址对下收到有负载的数据包数量、同一地址对下发出有负载的数据包数量以及同一地址对下发送方端口的分散度；(3.2)根据所选择的特征，设计了DDoS攻击检测Sketch用于流量特征提取，DDoS攻击检测Sketch由多个二维数组桶组成，每个桶包含6个计数器和1个哈希表，源MAC地址和目的IP地址不会受到IP地址欺骗的影响，在特征提取过程中使用源MAC地址和目的IP地址组成的地址对作为映射桶的键，桶中存储同一地址对下流量的多个特征，DDoS攻击检测Sketch支持三种基本操作：即更新操作、查询操作和提取操作；2CN114172697A权利要求