技術(shù)領(lǐng)域：

本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，特別是涉及一種基于突變平衡態(tài)理論的bgp-ldos攻擊檢測(cè)方法。

背景技術(shù)：
：

域間路由系統(tǒng)作為互聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施，其安全性對(duì)互聯(lián)網(wǎng)健康穩(wěn)定運(yùn)行具有重要意義。然而，域間路由系統(tǒng)主要采用的bgp(bordergatewayprotocol)協(xié)議在設(shè)計(jì)之初就存在嚴(yán)重的安全隱患，導(dǎo)致域間路由系統(tǒng)面臨嚴(yán)峻安全威脅。近年來，針對(duì)域間路由系統(tǒng)的攻擊手段不斷更新，其造成的危害也愈加嚴(yán)重。zhang等在低速率拒絕服務(wù)攻擊(low-ratedenialofservice,ldos)的基礎(chǔ)上提出了針對(duì)bgp會(huì)話的zmw攻擊方式。該攻擊通過不斷阻塞路由器之間keepalive報(bào)文的傳遞，重置路由器之間的正常會(huì)話，影響路由系統(tǒng)功能。以zmw攻擊為基礎(chǔ)，schuhard等進(jìn)一步提出了基于bgp數(shù)據(jù)平面的跨平面攻擊方式cxpst(coordinatedcrossplanesessiontermination)。cxpst利用大規(guī)模僵尸節(jié)點(diǎn)在系統(tǒng)多條關(guān)鍵路徑上同時(shí)發(fā)起攻擊，通過反復(fù)中斷路由會(huì)話誘發(fā)大量路由更新，耗盡系統(tǒng)中路由器的存儲(chǔ)和計(jì)算資源，導(dǎo)致整個(gè)系統(tǒng)陷入癱瘓。實(shí)驗(yàn)證明：僅250,000個(gè)僵尸節(jié)點(diǎn)發(fā)起的cxpst攻擊就可以癱瘓互聯(lián)網(wǎng)域間路由系統(tǒng)達(dá)數(shù)個(gè)小時(shí)，且尚無有效的解決方法。與cxpst類似的攻擊方式還有dnp、laaem等，這些攻擊均能夠?qū)е孪到y(tǒng)整體癱瘓。下文統(tǒng)稱這類攻擊為bgp-ldos攻擊。

為應(yīng)對(duì)域間路由系統(tǒng)面臨的安全威脅，現(xiàn)有的域間路由系統(tǒng)安全增強(qiáng)機(jī)制主要有協(xié)議擴(kuò)展和安全監(jiān)測(cè)兩類。協(xié)議擴(kuò)展是對(duì)現(xiàn)有的bgp協(xié)議進(jìn)行修改，主要采用認(rèn)證技術(shù)解決bgp協(xié)議安全性不足的問題。典型的有s-bgp(securebgp)、sobgp(secureoriginbgp)、psbgp(prettysecuritybgp)和listen&whisper等。由于需要修改現(xiàn)有bgp協(xié)議，協(xié)議擴(kuò)展部署成本較高，且主要防范前綴劫持、路徑偽造等針對(duì)域間路由系統(tǒng)控制層面的攻擊，難以有效防范針對(duì)數(shù)據(jù)平面的bgp-ldos攻擊；安全監(jiān)測(cè)技術(shù)不需改變現(xiàn)有bgp協(xié)議，而是通過檢查、識(shí)別域間路由系統(tǒng)各自治域(autonomoussystem,as)間交換的路由信息，發(fā)現(xiàn)異常路由。典型的有myasn服務(wù)、phas、irv等?，F(xiàn)有的安全監(jiān)測(cè)技術(shù)能夠確保路由信息傳播過程中真實(shí)性和完整性，防范前綴劫持、路由泄漏以及路徑偽造等安全問題的發(fā)生，但其監(jiān)測(cè)重點(diǎn)仍在域間路由系統(tǒng)的控制平面，難以有效應(yīng)對(duì)bgp-ldos攻擊。

bgp-ldos攻擊與ldos攻擊具有一定的相似性?，F(xiàn)有的ldos攻擊的檢測(cè)方法主要有兩類，一類是特征檢測(cè)。由于ldos攻擊流量具備周期性和短時(shí)高脈沖的特點(diǎn)，特征檢測(cè)技術(shù)通過分析ldos攻擊周期、脈沖強(qiáng)度和持續(xù)時(shí)間等特征，能夠有效檢測(cè)出ldos攻擊的存在，典型的有動(dòng)態(tài)時(shí)間封裝方法(dynamictimewraping,dtw)，hawk方法等；另一類是異常檢測(cè)，通過分析當(dāng)前網(wǎng)絡(luò)中流量偏離正常狀態(tài)的時(shí)間變化序列信息檢測(cè)出攻擊的存在。典型的有小波變換分析，頻譜分析，統(tǒng)計(jì)分析，信息度量分析，小信號(hào)檢測(cè)分析等技術(shù)。

然而，與傳統(tǒng)的ldos攻擊相比，bgp-ldos攻擊有三個(gè)方面明顯不同：

1.攻擊目標(biāo)不同。ldos主要針對(duì)單個(gè)節(jié)點(diǎn)或鏈路，在攻擊過程中，攻擊目標(biāo)是明確和固定的。而bgp-ldos是針對(duì)系統(tǒng)多條關(guān)鍵路徑的攻擊，選擇攻擊目標(biāo)時(shí)，由于資源和流量限制，為保證攻擊路徑互不干擾，bgp-ldos攻擊目標(biāo)是非固定的，根據(jù)攻擊資源、流量和路徑的變化而不斷調(diào)整。

2.破壞機(jī)制不同。ldos主要針對(duì)tcp協(xié)議的擁塞控制機(jī)制進(jìn)行攻擊。而bgp-ldos雖然也利用了tcp協(xié)議擁塞控制機(jī)制的不足，但更主要的是利用bgp路由更新機(jī)制存在的缺陷放大攻擊效果。

3.攻擊后果不同。ldos攻擊后會(huì)導(dǎo)致以tcp作為傳輸層協(xié)議的有效通信流量明顯下降。而bgp-ldos攻擊效果主要表現(xiàn)是鏈路兩端的路由器處于反復(fù)通斷的震蕩狀態(tài)，整個(gè)域間路由系統(tǒng)的路由節(jié)點(diǎn)因計(jì)算、存儲(chǔ)資源耗盡而癱瘓。

以上三個(gè)方面的不同導(dǎo)致利用ldos檢測(cè)技術(shù)檢測(cè)bgp-ldos時(shí)存在嚴(yán)重缺陷，即現(xiàn)有l(wèi)dos檢測(cè)技術(shù)僅能檢測(cè)出系統(tǒng)局部存在的ldos攻擊，但僅憑局部的信息難以判定這些攻擊行為是否構(gòu)成bgp-ldos攻擊，可能會(huì)導(dǎo)致大量的誤判和漏判。

技術(shù)實(shí)現(xiàn)要素：
：

本發(fā)明所要解決的技術(shù)問題是：克服現(xiàn)有技術(shù)的不足，提供一種通過分析bgp-ldos攻擊前后域間路由系統(tǒng)突變特性，以三類強(qiáng)表征性的流量統(tǒng)計(jì)特征、路由會(huì)話特征、系統(tǒng)報(bào)文轉(zhuǎn)發(fā)量為狀態(tài)和控制變量，選取尖點(diǎn)突變模型建立起系統(tǒng)正常狀態(tài)和異常狀態(tài)的平衡曲面，對(duì)系統(tǒng)狀態(tài)進(jìn)行監(jiān)控，根據(jù)分歧集函數(shù)判斷系統(tǒng)狀態(tài)是否由正常向失效狀態(tài)跳變，實(shí)現(xiàn)對(duì)bgp-ldos攻擊的檢測(cè)的基于突變平衡態(tài)理論的bgp-ldos攻擊檢測(cè)方法。

本發(fā)明的技術(shù)方案是：一種基于突變平衡態(tài)理論的bgp-ldos攻擊檢測(cè)方法，其步驟是：

ⅰ、通過對(duì)正常和異常情況下的系統(tǒng)狀態(tài)樣本進(jìn)行學(xué)習(xí)，實(shí)現(xiàn)訓(xùn)練后的尖點(diǎn)突變模型的建立；

ⅱ、通過尖點(diǎn)突變模型建立系統(tǒng)正常狀態(tài)和失效狀態(tài)的平衡曲面，其正常狀態(tài)和失效狀態(tài)的平衡曲面臨界點(diǎn)形成分歧集bs，并在u-v平面投影形成bs曲線；

ⅲ、選取待測(cè)系統(tǒng)中流量統(tǒng)計(jì)特征、路由會(huì)話特征、系統(tǒng)報(bào)文轉(zhuǎn)發(fā)量三個(gè)特征作為變量，按照時(shí)間順序?qū)Υ郎y(cè)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化和平移處理，處理所得數(shù)據(jù)集為

ⅳ、根據(jù)分歧集函數(shù)判斷數(shù)據(jù)集在u-v平面的投影與bs曲線的位置關(guān)系；

ⅴ、數(shù)據(jù)集在u-v平面的投影是否落在bs曲線的左側(cè)，若成立則說明當(dāng)前系統(tǒng)處于正常狀態(tài)；數(shù)據(jù)集在u-v平面的投影落在bs曲線的右側(cè)，判斷系統(tǒng)遭遇攻擊，處于失效狀態(tài)；

ⅵ、數(shù)據(jù)集在u-v平面的投影落在bs曲線上或者在曲線內(nèi)部，這時(shí)需要結(jié)合系統(tǒng)前一單位時(shí)間內(nèi)的數(shù)據(jù)進(jìn)行判斷,若則該時(shí)刻系統(tǒng)狀態(tài)正常，否則判斷系統(tǒng)遭遇攻擊；

ⅶ、將系統(tǒng)的狀態(tài)按照時(shí)間序列存入系統(tǒng)狀態(tài)庫，便于后續(xù)檢測(cè)的判斷；

其中步驟a中訓(xùn)練后的尖點(diǎn)突變模型建立的步驟為：

①、對(duì)狀態(tài)樣本中流量統(tǒng)計(jì)特征、路由會(huì)話特征、系統(tǒng)報(bào)文轉(zhuǎn)發(fā)量三個(gè)特征作為變量，根據(jù)突變理論中的突變級(jí)數(shù)評(píng)價(jià)方法，在對(duì)特征進(jìn)行標(biāo)準(zhǔn)化處理，得到控制變量和狀態(tài)變量；

②、采用數(shù)據(jù)擬合方式進(jìn)行分析，確定與尖點(diǎn)突變模型中控制變量和狀態(tài)變量的對(duì)應(yīng)關(guān)系；

③、并采用最小化平衡曲面和分歧集方程求得尖點(diǎn)突變模型參數(shù)。

所述采集正常和異常情況下系統(tǒng)中具有強(qiáng)表征性的流量周期性特征、路由會(huì)話特征和報(bào)文轉(zhuǎn)發(fā)量作為狀態(tài)樣本。

所述根據(jù)突變理論中的突變級(jí)數(shù)評(píng)價(jià)方法，在對(duì)特征進(jìn)行標(biāo)準(zhǔn)化處理時(shí)，狀態(tài)變量和控制變量要求隸屬度最大。

所述分歧集bs的表達(dá)式，它由平衡曲面臨界點(diǎn)組成并且屬于系統(tǒng)的控制空間，系統(tǒng)的突然跳變都是發(fā)生在這個(gè)空間中。

檢測(cè)攻擊的時(shí)間復(fù)雜度與所監(jiān)控的節(jié)點(diǎn)數(shù)量n和鏈路數(shù)量e有關(guān)，為o(elog(e)+n)。

本發(fā)明的有益效果是：

1、本發(fā)明通過對(duì)正常和異常情況下的系統(tǒng)狀態(tài)樣本進(jìn)行學(xué)習(xí)，利用流量周期性特征、路由會(huì)話特征和報(bào)文轉(zhuǎn)發(fā)量三類強(qiáng)表征特征，能夠較好的刻畫系統(tǒng)正常和失效狀態(tài)平衡曲面。

2、本發(fā)明利用訓(xùn)練后的尖點(diǎn)突變模型對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，根據(jù)分歧集函數(shù)判斷系統(tǒng)是否出現(xiàn)由正常態(tài)平衡曲面向失效態(tài)平衡曲面的跳變，從而實(shí)現(xiàn)對(duì)攻擊的實(shí)時(shí)在線檢測(cè)。

3、本發(fā)明僅需要監(jiān)控系統(tǒng)中少量的關(guān)鍵鏈路(20％)和節(jié)點(diǎn)(30％)就能夠具備較強(qiáng)的bgp-ldos檢測(cè)能力，為及時(shí)發(fā)現(xiàn)和提早應(yīng)對(duì)攻擊提供可靠依據(jù)。

4、本發(fā)明實(shí)現(xiàn)對(duì)正常和異常情況下的系統(tǒng)狀態(tài)樣本進(jìn)行學(xué)習(xí)，其學(xué)習(xí)數(shù)據(jù)源于實(shí)際互聯(lián)網(wǎng)環(huán)境，數(shù)據(jù)真實(shí)可靠，有助于逐步提高檢測(cè)精度。

附圖說明：

圖1為本申請(qǐng)的bgp-ldos攻擊檢測(cè)流程；

圖2待測(cè)數(shù)據(jù)的具體檢測(cè)流程；

圖3狀態(tài)樣本中變量對(duì)照表；

圖4尖點(diǎn)突變的幾何結(jié)構(gòu)；

圖5尖點(diǎn)突變流形在平面u-x上的投影；

圖6尖點(diǎn)突變流形在平面v-x上的投影；

圖7本申請(qǐng)檢測(cè)方法示意圖；

圖8狀態(tài)樣本數(shù)據(jù)中b1-b2之間的關(guān)系；

圖9狀態(tài)樣本數(shù)據(jù)中b1-p之間的關(guān)系；

具體實(shí)施方式：

實(shí)施例：參見附圖對(duì)本申請(qǐng)進(jìn)行詳細(xì)說明。

ⅰ、對(duì)正常和異常情況下系統(tǒng)中的流量統(tǒng)計(jì)特征、路由會(huì)話特征、系統(tǒng)報(bào)文轉(zhuǎn)發(fā)量三個(gè)特征進(jìn)行采集(參見附圖3)，并作為變量，選取變量后，由于所選變量取值范圍和單位量綱不同，需要消除不同計(jì)量單位對(duì)評(píng)價(jià)結(jié)果的影響，對(duì)變量進(jìn)行標(biāo)準(zhǔn)化處理。根據(jù)突變理論中的突變級(jí)數(shù)評(píng)價(jià)方法，在對(duì)特征進(jìn)行標(biāo)準(zhǔn)化處理時(shí)，狀態(tài)變量和控制變量要求隸屬度越大越好，隸屬度越大。對(duì)于bgp-ldos攻擊檢測(cè)，變量值越大，表示系統(tǒng)面臨的bgp-ldos攻擊威脅度也越高。例如對(duì)于流量周期t，t＝0表示未檢測(cè)到周期性攻擊脈沖，t＝1表示檢測(cè)到周期性攻擊脈沖，且該周期性顯著。按此原則，下面對(duì)各變量進(jìn)行標(biāo)準(zhǔn)化處理。

定義1單位時(shí)間t內(nèi)，鏈路i中檢測(cè)到的周期性流量的脈沖長度為li，則標(biāo)準(zhǔn)化處理后所得的長度l'i為l'i＝li/lref(li＜lref)或l'i＝1(li≥lref)其中l(wèi)ref為設(shè)定的參考脈沖長度，設(shè)置為lref＝max(li)；若未檢測(cè)到周期性流量，則li＝0。

定義2單位時(shí)間t內(nèi)，鏈路i中檢測(cè)到周期性流量的周期為ti，標(biāo)準(zhǔn)化后所得的周期ti'為ti'＝ti/tref(ti＜tref)或ti'＝tref/ti(ti'≥tref)其中tref為設(shè)定的參考脈沖長度，設(shè)置為tref＝max(ti)；若未檢測(cè)到周期性流量，則ti＝0。

定義3單位時(shí)間t內(nèi)，鏈路i中檢測(cè)到周期性流量的脈沖強(qiáng)度為ri，標(biāo)準(zhǔn)化后所得的脈沖強(qiáng)度ri'為ri'＝ri/rref(ri＜rref)或ri'＝1(ri≥rref)其中rref為設(shè)定的參考脈沖強(qiáng)度，設(shè)置為rref＝max(ri)；若未檢測(cè)到周期性流量，則ri＝0。

定義4為降低計(jì)算復(fù)雜度，流量周期性特征ti',l'i,ri'視為互不相關(guān)的三個(gè)變量，根據(jù)突變級(jí)數(shù)評(píng)價(jià)法，鏈路i在單位時(shí)間t內(nèi)的流量周期性特征為系統(tǒng)總體的流量周期性特征為其中m為所監(jiān)測(cè)的鏈路的個(gè)數(shù)。

定義5單位時(shí)間t內(nèi)，節(jié)點(diǎn)j中收到的upj個(gè)其他節(jié)點(diǎn)路由更新報(bào)文，則標(biāo)準(zhǔn)化后所得的up'j為up'j＝upj/upref(upj＜upref)或up'j＝1(upj≥upref)其中upref為設(shè)定的路由器更新數(shù)量，設(shè)置為upref＝max(upj)。

定義6單位時(shí)間t內(nèi)，節(jié)點(diǎn)j中路由器重置的次數(shù)為sj，則標(biāo)準(zhǔn)化后所得的s'j為s'j＝sj/sref(sj＜sref)或s'j＝1(sj≥sref)其中sref為設(shè)定的路由器重置次數(shù)，設(shè)置為sref＝max(sj)。

定義7由于大量節(jié)點(diǎn)重置和路由更新均是bgp-ldos攻擊存在的顯著標(biāo)志，將節(jié)點(diǎn)重置和路由更新視為互不相關(guān)變量，根據(jù)突變級(jí)數(shù)評(píng)價(jià)法，節(jié)點(diǎn)j中路由狀態(tài)特征為單位時(shí)間t內(nèi)，系統(tǒng)總體的路由特征為其中n為所監(jiān)測(cè)節(jié)點(diǎn)的個(gè)數(shù)。

定義8單位時(shí)間t內(nèi)，節(jié)點(diǎn)j中的報(bào)文轉(zhuǎn)發(fā)量為pj，標(biāo)準(zhǔn)化后所得pj'為pj'＝1-pj/pref(pj＜pref)或pj'＝0(pj≥pref)，其中pref為設(shè)定的報(bào)文轉(zhuǎn)發(fā)量，設(shè)置為pref＝max(pj)。系統(tǒng)總體報(bào)文轉(zhuǎn)發(fā)量為其中n為所監(jiān)測(cè)節(jié)點(diǎn)的個(gè)數(shù)。

尖點(diǎn)突變模型的勢(shì)函數(shù)f(x)＝x⁴+aux²+bvx，其中x表示狀態(tài)變量，u,v分別表示控制變量，a,b是系數(shù)。根據(jù)突變理論對(duì)描述系統(tǒng)行為的勢(shì)函數(shù)f(x,b)、f(x,b)的臨界點(diǎn)u、平衡曲面(equilibriumsurface)m、奇點(diǎn)集s、分歧集bs的數(shù)學(xué)描述，尖點(diǎn)突變模型的平衡曲面m為：

m：f＇(x)＝4x³+2aux+bv＝0(1)

奇點(diǎn)集s的曲面方程為：

s：f″(x)＝6x²+au＝0(2)

聯(lián)立(1)、(2)消去x，得到分歧集bs的表達(dá)式。它由平衡曲面臨界點(diǎn)組成并且屬于系統(tǒng)的控制空間，系統(tǒng)的突然跳變都是發(fā)生在這個(gè)空間中。從圖5可以看出，分歧集實(shí)質(zhì)也是尖點(diǎn)突變流形在u-v平面投影。

bs:8a³u³+27b²v²＝0(3)

對(duì)于一種穩(wěn)定的平衡態(tài)，其臨界點(diǎn)位于突變模型平衡曲面的邊界點(diǎn)上，控制變量的波動(dòng)也位于該集合中。當(dāng)部分因素受到外力發(fā)生改變時(shí)，穩(wěn)定的平衡態(tài)會(huì)被破壞，當(dāng)偏離到達(dá)一定的閾值時(shí)，系統(tǒng)將變得非常不穩(wěn)定，脫離平衡態(tài)的控制，這樣就產(chǎn)生了跳變，系統(tǒng)從一個(gè)舊的平衡態(tài)進(jìn)入一個(gè)新的平衡態(tài)。

為確定p,b1,b2和x,u,v之間的關(guān)系，采用數(shù)據(jù)擬合方式進(jìn)行分析。在尖點(diǎn)突變模型中，尖點(diǎn)突變流形在平面u-x，v-x上的投影如圖5和圖6所示。在實(shí)際的bgp-ldos攻擊數(shù)據(jù)中，b1,b2,p的相互關(guān)系如圖8和圖9所示。

對(duì)比圖5和圖6，選取b1作為狀態(tài)變量x，b2作為控制變量u，p作為控制變量v。

定義9按照時(shí)間段t的順序，標(biāo)準(zhǔn)化后的狀態(tài)變量序列和控制變量序列分別為這里n表示系統(tǒng)樣本數(shù)據(jù)的長度。

由于對(duì)樣本的狀態(tài)變量、控制變量進(jìn)行標(biāo)準(zhǔn)化處理之后全部為正。根據(jù)圖5、圖6、圖8和圖9，為更好的區(qū)分系統(tǒng)正常狀態(tài)和受攻擊后的癱瘓狀態(tài)，需對(duì)樣本坐標(biāo)進(jìn)行平移變換處理。

定義10在樣本中，樣本中x′的均值為x′坐標(biāo)變換為中的最大值為u′坐標(biāo)變換為{p^k}中的均值為對(duì)v′的坐標(biāo)變換為v＝{(p^k-vavg)|k＝1,2,...,n}。對(duì)x′,u′,v′進(jìn)行坐標(biāo)變換后得到的樣本集為

系統(tǒng)處于穩(wěn)定狀態(tài)時(shí)，系統(tǒng)的勢(shì)能最小。尖點(diǎn)突變模型中，突變平衡曲面m是勢(shì)函數(shù)f(x)極值點(diǎn)的集合，系統(tǒng)變化狀態(tài)位于平衡曲面臨界點(diǎn)組成的分歧集bs中。采用最小化平衡曲面和分歧集方程(3)的函數(shù)j(a,b)使得系統(tǒng)處于最穩(wěn)定的狀態(tài)，對(duì)于樣本集q，參數(shù)a,b能滿足系統(tǒng)穩(wěn)定性需求時(shí)，需要使得j(a,b)的值最小。

根據(jù)最小平方擬和，有：

公式(6)為二元非線性方程組，將訓(xùn)練樣本q中的數(shù)據(jù)代入公式(6)，求得尖點(diǎn)突變模型參數(shù)a,b值有9組，其中6組解為復(fù)數(shù)解。根據(jù)公式(2)，均為實(shí)數(shù)，因此，a,b均不為復(fù)數(shù)，排除6個(gè)復(fù)數(shù)解。之后，將剩余3個(gè)解代入j(a,b)，使j(a,b)值最小的即為最優(yōu)解。

ⅱ、在選定尖點(diǎn)突變模型的狀態(tài)變量、控制變量及參數(shù)a,b后，建立了系統(tǒng)正常狀態(tài)和失效狀態(tài)的平衡曲面。根據(jù)圖4，域間路由系統(tǒng)狀態(tài)正常時(shí)，系統(tǒng)(x,u,v)值位于突變流形的上葉平衡曲面。該(x,u,v)投影到u-v平面時(shí)，位于尖點(diǎn)突變模型分歧集bs的左側(cè)；當(dāng)系統(tǒng)遭遇bgp-ldos攻擊失效時(shí)，此時(shí)系統(tǒng)(x,u,v)位于突變流形的下葉平衡曲面，該(x,u,v)值投影到u-v平面時(shí)，位于尖點(diǎn)突變模型分歧集bs的右側(cè)。對(duì)系統(tǒng)連續(xù)兩個(gè)時(shí)刻的狀態(tài)進(jìn)行考察，即可實(shí)現(xiàn)bgp-ldos攻擊的檢測(cè)。如圖7所示，從c→m表示系統(tǒng)的10個(gè)樣本點(diǎn)在u-v平面上的投影，其中c→d,e→f,h→i,j→k,l→m分別表示系統(tǒng)連續(xù)兩個(gè)單位時(shí)間內(nèi)的樣本點(diǎn)。l→m軌跡不經(jīng)過分歧集bs曲線，且在曲線左側(cè)，表明這兩個(gè)樣本點(diǎn)的系統(tǒng)狀態(tài)均為正常狀態(tài)。c→d的軌跡經(jīng)過bs曲線，這表明系統(tǒng)由正常狀態(tài)向失效狀態(tài)突變，遭遇到bgp-ldos攻擊。j→k軌跡位于bs曲線右側(cè)，表明系統(tǒng)連續(xù)兩個(gè)時(shí)刻一直處于失效狀態(tài)。e→f,h→i軌跡經(jīng)過bs曲線，且樣本點(diǎn)f,i位于bs曲線內(nèi)部，根據(jù)圖5尖點(diǎn)突變流形，需要結(jié)合i,f前一時(shí)刻e,h進(jìn)行判斷。由于h處于正常狀態(tài)，判斷i處于正常狀態(tài)；e處于失效狀態(tài)，判斷樣本點(diǎn)f處于失效狀態(tài)。

ⅲ、選取待測(cè)系統(tǒng)中流量統(tǒng)計(jì)特征、路由會(huì)話特征、系統(tǒng)報(bào)文轉(zhuǎn)發(fā)量三個(gè)特征作為變量，按照時(shí)間順序?qū)Υ郎y(cè)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化和平移處理，處理所得數(shù)據(jù)集為

ⅳ、根據(jù)分歧集函數(shù)判斷數(shù)據(jù)集在u-v平面的投影與bs曲線的位置關(guān)系；

ⅴ、數(shù)據(jù)集在u-v平面的投影是否落在bs曲線的左側(cè)，若成立則說明當(dāng)前系統(tǒng)處于正常狀態(tài)；數(shù)據(jù)集在u-v平面的投影落在bs曲線的右側(cè)，判斷系統(tǒng)遭遇攻擊，處于失效狀態(tài)；

ⅵ、數(shù)據(jù)集在u-v平面的投影落在bs曲線上或者在曲線內(nèi)部，這時(shí)需要結(jié)合系統(tǒng)前一單位時(shí)間內(nèi)的數(shù)據(jù)進(jìn)行判斷,若則該時(shí)刻系統(tǒng)狀態(tài)正常，否則判斷系統(tǒng)遭遇攻擊；

ⅶ、將系統(tǒng)的狀態(tài)按照時(shí)間序列存入系統(tǒng)狀態(tài)庫，便于后續(xù)檢測(cè)的判斷；

以上所述，僅是本發(fā)明的較佳實(shí)施例而已，并非對(duì)本發(fā)明作任何形式上的限制，凡是依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對(duì)以上實(shí)施例所作的任何簡單修改、等同變化與修飾，均仍屬于本發(fā)明技術(shù)方案的范圍內(nèi)。