(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111485454.9 (22)申请日 2021.12.07 (71)申请人 苏州大学 地址 215008 江苏省苏州市相城区济学路8 号 (72)发明人 杜扬　韩轶凡　盛坤　张逸康　 黄河　孙玉娥　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 张凤伟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种低速DDoS攻击检测方法、 系统及相关设 备 (57)摘要 本申请公开了一种低速DDoS攻击检测方法， 包括： 对接收到的数据包进行信息采样， 获得流 量信息； 根据流量信息进行熵计算， 获得对应数 据包的流量熵； 判断流量熵是否超出预设阈值； 若是， 则确定数据包存在低速DDoS攻击。 应用本 技术方案， 对于网络中传输的数据包， 先采样获 取数据包中的流量信息， 然后通过熵计算的方式 获得对应数据包的流量熵， 这些熵可以对网络中 流量的分布情况进行有效表示， 更加有助于实现 异常流量检测， 最后通过判断流量熵是否超出相 应的预设阈值来确定数据包中是否存在低速 DDoS攻击， 从而实现低速DDoS攻击检测。 本申请 还公开了一种 低速DDoS攻击检测系统、 计算机设 备及计算机可读存 储介质， 具有上述有益效果。 权利要求书2页 说明书11页 附图2页 CN 114143107 A 2022.03.04 CN 114143107 A 1.一种低速D DoS攻击检测方法， 其特 征在于， 包括： 对接收到的数据包进行信息采样， 获得流 量信息； 根据所述 流量信息进行熵计算， 获得对应数据包的流 量熵； 判断所述 流量熵是否超出 预设阈值； 若是， 则确定所述数据包 存在低速D DoS攻击。 2.根据权利要求1所述的低速DDoS攻击检测方法， 其特征在于， 所述对接收到的数据包 进行信息采样， 获得流 量信息， 包括： 对所述数据包进行信息采样， 获得 所述流量信息； 根据所述 流量信息计算所述数据包的采样概 率； 若所述采样概率不低于预设采样概率， 则放行所述数据包， 并接收下一数据包， 返回所 述对所述数据包进行信息采样， 获得 所述流量信息的步骤； 若所述采样概率低于所述预设采样概率， 则利用预设位图判断所述数据包是否为首次 出现； 若所述数据包不是首次出现， 则放行所述数据包， 并接收下一数据包， 返回所述对所述 数据包进行信息采样， 获得 所述流量信息的步骤； 若所述数据包为首次出现， 则保留所述 流量信息。 3.根据权利要求2所述的低速DDoS攻击检测方法， 其特征在于， 所述流量信息包括对应 数据包的流标签和流元 素， 所述根据所述 流量信息计算所述数据包的采样概 率， 包括： 对所述流元素和随机数进行异或运 算， 获得新的流元 素； 对所述新的流元 素和所述 流标签进行异或运 算， 获得运 算结果； 利用第一哈希函数对所述 运算结果进行哈希运 算， 获得所述数据包的采样概 率。 4.根据权利要求3所述的低速DDoS攻击检测方法， 其特征在于， 所述利用预设位图判断 所述数据包是否为首次出现， 包括： 利用第二哈希函数对所述 运算结果进行哈希运 算， 获得哈希值； 判断所述哈希值对应于所述预设位图上的取值是否为 零； 若是， 则确定所述数据包为首次出现。 5.根据权利要求1所述的低速DDoS攻击检测方法， 其特征在于， 所述根据 所述流量信息 进行熵计算， 获得对应数据包的流 量熵， 包括： 利用预设还原算法对所述 流量信息进行还原处 理， 获得还原数据； 利用预设熵函数对所述还原数据进行熵计算， 获得对应数据包的流 量熵。 6.根据权利要求1所述的低速DDoS攻击检测方法， 其特征在于， 所述对接收到的数据包 进行信息采样， 获得流 量信息之前， 还 包括： 对所述数据包进行解析， 获得源地址信息； 判断所述源地址信息是否存在于预设黑名单中， 若是， 则确定所述数据包存在所述低 速DDoS攻击。 7.根据权利要求6所述的低速DDoS攻击检测方法， 其特征在于， 当所述流量熵超出所述 预设阈值， 确定所述数据包 存在所述低速D DoS攻击时， 还 包括： 将所述源地址信息添加至所述预设黑名单。 8.一种低速D DoS攻击检测系统， 其特 征在于， 包括：权　利　要　求　书 1/2 页 2 CN 114143107 A 2信息采样模块， 用于对接收到的数据包进行信息采样， 获得流 量信息； 熵计算模块， 用于根据所述 流量信息进行熵计算， 获得对应数据包的流 量熵； 阈值判断模块， 用于判断所述 流量熵是否超出 预设阈值； 攻击确定模块， 用于若所述流量熵超出所述预设阈值， 则确定所述数据包存在低速 DDoS攻击。 9.一种计算机设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至7任一项所述的低速DDoS攻击 检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述的低速DDoS攻击检 测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114143107 A 3