分布式拒绝服务检测方法、装置及模型创建方法、装置制造方法及图纸

本发明专利技术实施例提供一种分布式拒绝服务检测方法、装置及模型创建方法；包括：提取待检测数据的特征信息；特征信息包括洪流流量特征、慢速攻击特征和应用层攻击特征中的至少一种或多种的组合；将待检测数据的特征信息输入分布式拒绝服务检测模型，获取待检测数据是否包含分布式拒绝服务的检测结果；其中，分布式拒绝服务检测模型是将已知分布式拒绝服务攻击数据的洪流流量特征、慢速攻击特征、应用层攻击特征中的至少一种或多种的组合作为样本数据，采用机器学习方式训练得到的，用于获取待检测数据是否包含分布式拒绝服务的检测结果的模型。本发明专利技术实施例能够同时对洪流攻击、慢速攻击和应用层攻击中的一种或多种进行检测。

Distributed denial of service detection method, device and model creation method, device

【技术实现步骤摘要】
分布式拒绝服务检测方法、装置及模型创建方法、装置
本专利技术涉及网络安全
，尤其涉及一种分布式拒绝服务检测方法、装置及模型创建方法、装置。
技术介绍
分布式拒绝服务(DistributedDenialofService，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。DDoS具有多种类型，包括带宽消耗攻击(如洪流攻击)、系统资源消耗攻击(如恶意误用TCP/IP协议通信、发送畸形报文)、应用层攻击。DDoS攻击会造成网站无法访问，消耗大量带宽、内存，危害巨大。DDoS检测是DDoS防御的重要一环。现有技术中，已经提出了多种DDoS检测方法。其中最为常见的DDoS检测方法包括基于统计学的检测方法、基于机器学习类的检测方法。基于统计学的检测方法，如熵值检测法，具有检测效率高的优点，但此类检测方法只对特定攻击模型起作用，并且针对某一攻击模型研究检测方法的耗时较多、升级困难。机器学习算法能够从海量数据中找出背后的实质信息，广本文档来自技高网...

【技术保护点】
1.一种分布式拒绝服务检测方法，其特征在于，包括：/n提取待检测数据的特征信息；所述特征信息包括洪流流量特征、慢速攻击特征和应用层攻击特征中的至少一种或多种的组合；其中，所述洪流流量特征为能够反映洪流攻击的特征，所述慢速攻击特征为能够反映慢速攻击的特征，所述应用层攻击特征为能够反映应用层分布式拒绝服务攻击的特征；/n将所述待检测数据的特征信息输入预先构建的分布式拒绝服务检测模型，获取所述待检测数据是否包含分布式拒绝服务的检测结果；其中，所述分布式拒绝服务检测模型是将已知的分布式拒绝服务攻击数据的洪流流量特征、慢速攻击特征、应用层攻击特征中的至少一种或多种的组合作为样本数据，采用机器学习方式训练...

【技术特征摘要】
1.一种分布式拒绝服务检测方法，其特征在于，包括：
提取待检测数据的特征信息；所述特征信息包括洪流流量特征、慢速攻击特征和应用层攻击特征中的至少一种或多种的组合；其中，所述洪流流量特征为能够反映洪流攻击的特征，所述慢速攻击特征为能够反映慢速攻击的特征，所述应用层攻击特征为能够反映应用层分布式拒绝服务攻击的特征；
将所述待检测数据的特征信息输入预先构建的分布式拒绝服务检测模型，获取所述待检测数据是否包含分布式拒绝服务的检测结果；其中，所述分布式拒绝服务检测模型是将已知的分布式拒绝服务攻击数据的洪流流量特征、慢速攻击特征、应用层攻击特征中的至少一种或多种的组合作为样本数据，采用机器学习方式训练得到的用于获取待检测数据是否包含分布式拒绝服务的检测结果的模型。


2.根据权利要求1所述的分布式拒绝服务检测方法，其特征在于，所述洪流流量特征包括如下至少一种或多种的组合：连续持续时间特征duration、源主机到目的主机字节数特征src_bytes、源IP地址特征src_ip、目的IP地址特征dst_ip和目的端口特征dst_port。


3.根据权利要求2所述的分布式拒绝服务检测方法，其特征在于，所述洪流流量特征还包括如下至少一种或多种的组合：网络层协议特征protocol、网络服务或应用层协议特征service、连接状态特征flag、目的主机到源主机字节数特征des_bytes、源端口特征src_port、错误分片数特征wrong_fragment和加急包个数特征urgent。


4.根据权利要求1所述的分布式拒绝服务检测方法，其特征在于，所述慢速攻击特征包括：相同目的主机交互数特征dst_host_count。


5.根据权利要求4所述的分布式拒绝服务检测方法，其特征在于，所述慢速攻击特征还包括如下至少一种或多种的组合：相同目的主机相同服务交互数特征dst_host_srv_count、相同目的主机相同服务占比特征dst_host_same_srv_rate、相同目的主机不同服务占比特征dst_host_diff_srv_rate、相同目的主机相同源端口占比特征dst_host_same_src_port_rate、相同目的主机相同服务不同源主机占比特征dst_host_srv_diff_host_rate、相同目的主机SYN错误占比特征dst_host_serror_rate、相同目的主机相同服务SYN错误占比特征dst_host_srv_serror_rate、相同目的主机REJ错误占比特征dst_host_rerror_rate和相同目的主机相同服务REJ错误占比特征dst_host_srv_rerror_rate。


6.根据权利要求1所述的分布式拒绝服务检测方法，其特征在于，所述应用层攻击特征包括：文件创建操作次数特征num_file_creations。


7.根据权利要求6所述的分布式拒绝服务检测方法，其特征在于，所述应用层攻击特征还包括如下至少一种或多种的组合：是否访客登录特征is_guest_login、访问敏感文件和目录次数特征hot、登录失败次数特征num_failed_logins和是否成功登录特征logged_in。


8.根据权利要求1所述的分布式拒绝服务检测...

【专利技术属性】
技术研发人员：路尧，简明，魏勇，张泽洲，
申请(专利权)人：奇安信科技集团股份有限公司，网神信息技术北京股份有限公司，
类型：发明
国别省市：北京;11