37、基于可分散流量矩阵的DDoS攻击检测

基于可分散流量矩阵的DDoS攻击检测

1. 检测模型概述

检测模型的整体流程包含两个关键阶段。首先是在网络监控开始前的准备工作，接着是网络监控启动后的流量矩阵构建过程。
- 流量矩阵构建前 ：要根据网络环境确定流量矩阵的大小和时间窗口大小，以此初始化用于流量模式分析的流量矩阵。
- 流量矩阵构建过程 ：
1. 捕获入站流量数据包。
2. 利用捕获的数据包信息构建流量矩阵。
3. 在给定的时间窗口内捕获数据包，检测模型分析流量矩阵，检查捕获流量的速率是否超过预定义的阈值（如1000pps）。若低于阈值，过滤掉这些流量，因其对目标系统影响可忽略不计；若高于阈值，计算矩阵的方差和加权移动平均值（WMA），最后依据这些判断是否为欺骗性DDoS攻击。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A([开始]):::startend --> B(确定矩阵和窗口大小):::process
    B --> C(捕获入站流量数据包):::process
    C --> D{流量速率 > 阈值?}:::process
    D -->|是| E(计算方差和WMA):::process
    D -->|否| F(过滤流量):::proces