(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111399436.9 (22)申请日 2021.11.19 (71)申请人 东南大学 地址 211135 江苏省南京市麒 麟科创园智 识路26号启迪城立 业园04幢 (72)发明人 吴桦　张晅阁　程光　 (74)专利代理 机构 南京众联专利代理有限公司 32206 代理人 杜静静 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种防御高速网络中IP地址欺骗DDoS攻击 的方法 (57)摘要 本发明公开了一种防御高速网络中IP地址 欺骗DDoS攻击的方法， 分为离线训练和在线防 御。 离线训练中， 将DDoS攻击公开数据集的地址 平移后与高速网络流量公开数据集混合， 得到混 合流量数据集并系统抽样， 用包含6个计数器和1 个哈希表的Sket ch结构基于源MA C地址和目的IP 地址提取流量特征并标记， 随后在有监督的机器 学习方法下使用经过标记的流量特征训练生成 攻击流量分类器。 在线防御中， 部署在高速网络 边界节点上， 对输入的高速网络流量系统抽样并 提取流量特征， 用攻击流量分类器检测， 给出包 含攻击流量地址对(源MAC地址和目的IP地址)的 告警列表， 最后通知边界路由器过滤告警列表中 流量实现防御。 本发明可被网络管理者用于防御 高速网络中IP地址欺骗D DoS攻击。 权利要求书2页 说明书7页 附图2页 CN 114172697 A 2022.03.11 CN 114172697 A 1.一种防御高速网络中IP地址欺骗DDoS攻击的方法， 其特征在于， 该方法包括以下步 骤： 步骤(1)获取一段DDoS攻击公开数据集和一段在主干 网节点持续采集一段时间的高速 网络流量 公开数据集， 将DDoS攻击公开数据集中的地址进 行平移后和高速网络流量 公开数 据集进行混合， 得到混合 流量数据集； 步骤(2)对混合 流量数据集进行抽样比为1/ μ 的系统抽样； 步骤(3)对采样后流量使用包含6个计数器和1个哈希表的sketch结构基于地址对(源 MAC地址和目的IP地址)提取流 量特征； 步骤(4)对流量特征进行标注， 得到具有标签的训练集， 在有监督机器学习算法下用训 练集进行模型训练， 得到攻击流 量分类器； 步骤(5)部署在高速网络边界节点上， 设置抽样比为1/μ， 对输入的高速网络流量进行 系统抽样， 并使用与步骤(3)中相同方式提取流 量特征： 步骤(6)使用攻击流量分类器检测步骤(5)中提取的不同地址对(源MAC地址和目的IP 地址)下的流 量特征， 并将检测到攻击流 量的地址对加入告警列表； 步骤(7)根据告警列表通知相关边界路由器过滤告警列表中对应地址对流量实现对IP 地址欺骗D DoS攻击的防御。 2.根据权利要求1所述的一种防御高速网络中IP地址欺骗DDoS攻击的方法， 其特征在 于， 所述步骤(1)中， 获取公开数据集和混合数据集的具体步骤如下： (1.1)分别访问DDoS攻击公开数据集官网和高速网络流量公开数据集官网， 获取DDoS 攻击公开数据集和高速网络流 量公开数据集； (1.2)将DDoS攻击公开数据 集的源MAC地址和目的MAC地址平移为 高速网络流量公开数 据集的源MAC地址和目的MAC地址， 并将DDoS攻击公开数据集地址中的源IP地址变为随机IP 地址以达 到源IP地址欺骗的效果； (1.3)将(1.2)中改变地址后的DDoS攻击公开数据集与 高速网络流量公开数据集进行 混合。 3.根据权利要求1所述的一种防御高速网络中IP地址欺骗DDoS攻击的方法， 其特征在 于， 所述步骤(3)中， 所使用的Sketc h结构详细信息以及提取 特征的具体步骤如下： (3.1)基于SYN  Flood攻击的特点， 所选择的TCP流量特征为： 同一地址对下收到有负载 的数据包数量、 同一地址对下发出有负载的数据包数量、 同一地址对下收到没有负载的数 据包数量、 同一地址对下发出没有负载的数据包 数量、 同一地址对下收到有S YN标志的数据 包数量、 同一地址对下发出有SYN标志的数据包数量、 同一地址对下发送方端口的分散度、 同一地址对下收到数据包的速度以及同一地址对下发送数据包的速度； 基于UDP  Flood攻 击的特点， 所选择的UDP流量特征为： 同一地址对下收到有负载的数据包数量、 同一地址对 下发出有负载的数据包数量以及同一 地址对下发送方端口 的分散度； (3.2)根据所选择的特征， 设计了DDoS攻击检测Sketch用于流量特征提取， DDoS攻击检 测Sketch由多个二 维数组桶组成， 每个桶包含6个计数器和1个哈希表， 源MAC地址和目的IP 地址不会受到IP地址欺骗的影响， 在特征提取过程中使用源MAC地址和目的IP地址组成的 地址对作为映射桶的键， 桶中存储同一地址对下流量的多个特征， DDoS攻击检测Sketch支 持三种基本操作： 即更新操作、 查询操作和提取操作；权　利　要　求　书 1/2 页 2 CN 114172697 A 2(3.3)当一个数据包到达， 由它的源MAC地址和目的IP地址组成的地址对会被提取出来 作为键， 提取的键被用作一个哈希函数的输入， DDoS攻击检测Sketch同时处理TCP和 UDP数 据包； (3.4)哈希函数的输出会被划分为多个部分， 每部分被映射到Sketch中每行的某个地 址， 该地址的桶会进行 数据更新； (3.5)当同一地址对的数据包总和达到阈值θ时， 执行提取操作， 得到各个地址对下的 特征向量记录作为 攻击流量分类器训练的基础。 4.根据权利要求1所述的一种防御高速网络中IP地址欺骗DDoS攻击的方法， 其特征在 于， 所述步骤(4)中具体步骤如下： (4.1)根据地址对中的目的IP地址对样本中的攻击流量与正常流量进行标注， 得到具 有标签的各地址对下流 量特征训练集； (4.2)使用有监督机器学习算法基于带有标签的训练集进行模型训练得到攻击流量分 类器。 5.根据权利要求1所述的一种防御高速网络中IP地址欺骗DDoS攻击的方法， 其特征在 于， 所述步骤(7)中具体步骤如下： (7.1)根据告警列表中地址对找到相关边界路由器； (7.2)在地址对中源MAC地址所对应的路由器接口上过滤相应地址对流量实现对IP地 址欺骗DDoS攻击的防御。权　利　要　求　书 2/2 页 3 CN 114172697 A 3