一种DDOS攻击检测的方法及装置制造方法及图纸

本发明专利技术公开了一种DDOS攻击检测的方法及装置，该方法包括获取单位时间内的流量的特征向量，对特征向量进行归一化处理得到待检测无量纲样本，将待检测无量纲样本与检测模型中的普通中心类进行聚类，确定出两个待检测类，检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的，若待检测无量纲样本所在的待检测类中仅包括待检测无量纲样本，则确定待检测无量纲样本为DDOS攻击样本。由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本，相比于现有的检测方案，可以降低DDOS攻击检测的误报率和漏报率，降低了系统的资源消耗，并且增强了多种DDOS攻击的检测能力。

A DDoS attack detection method and device

【技术实现步骤摘要】
一种DDOS攻击检测的方法及装置
本专利技术实施例涉及大数据
，尤其涉及一种分布式拒绝访问(DistributedDenialofService，DDOS)攻击检测的方法及装置。
技术介绍
目前DDOS检测所需的数据来自于Netflow日志，该日志提供了各种网络行为数据，包括七元组信息(源网络之间互连的协议(InternetProtocol，IP)、是源端口、目的IP、目的端口、协议、包数、字节数)。在获得Netflow日志数据的基础上，当前的检测技术方案为对流进某个IP的报文包数或者报文流量，按照每一分钟为单位建立一个阈值，当发现某一类包数或者流量异常增大，超过阈值，则认为受到了相关的DDOS攻击。但是，当前的DDOS攻击检测方案在实践中存在大量误报和漏报的情况，因此，急需一种新的DDOS攻击检测的方法。
技术实现思路
本专利技术实施例提供一种DDOS攻击检测的方法及装置，用以降低DDOS攻击检测的误报率和漏报率，降低了系统的资源消耗。本专利技术实施例提供的一种DDOS攻击检测的方法，包括：获取单位时间内的流量的特征向量；对所述特征向量进行归一化处理得到待检测无量纲样本；将所述待检测无量纲样本与检测模型中的普通中心类进行聚类，确定出两个待检测类；所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的；若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本，则确定所述待检测无量纲样本为DDOS攻击样本。由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本，相比于现有的检测方案，可以降低DDOS攻击检测的误报率和漏报率，降低了系统的资源消耗，并且增强了多种DDOS攻击的检测能力。可选的，所述根据历史流量样本进行特征聚类的半监督学习确定所述检测模型，包括：获取单位时间的历史流量样本；对每个历史流量样本进行归一化处理得到无量纲的二维向量；使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类，得到K个类的类中心点；将所述K个类的类中心点作为聚类样本进行第二次聚类，得到两个检测类；判断所述两个检测类中是否包括攻击中心点，若是，则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量，将剩余的所述无量纲的二维向量进行聚类，得到多个普通中心点作为所述检测模型；否则，将所述第一次聚类得到的K个类的类中心点作为所述检测模型。可选的，所述判断所述两个检测类是否包括攻击中心点，包括：针对所述两个检测类中的任一检测类，将所述检测类中的离远点最近的类中心点确定为第一类中心点；将所述第一类中心点与另一检测类中的所有中心点进行聚类，得到两个判断类；若所述第一类中心点所在的判断类中仅包含所述第一类中心点，则确定所述检测类中的类中心为所述攻击中心点；否则，确定所述第一类中心点不是所述攻击中心点，并将所述检测类中离远点次近的类中心点确定为所述第一类中心点，继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类，直到所述检测类中所有类中心点都不是所述攻击中心点为止。可选的，所述流量的特征向量包括流量均值和流连接密度熵；所述流连接密度为单位时间内流数量。可选的，所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值；所述对所述特征向量进行归一化处理得到待检测无量纲样本，包括：根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。相应的，本专利技术实施例还提供了一种DDOS攻击检测的装置，包括：获取单元，用于获取单位时间内的流量的特征向量；处理单元，用于对所述特征向量进行归一化处理得到待检测无量纲样本；以及将所述待检测无量纲样本与检测模型中的普通中心类进行聚类，确定出两个待检测类；所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的；若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本，则确定所述待检测无量纲样本为DDOS攻击样本。可选的，所述处理单元具体用于：获取单位时间的历史流量样本；对每个历史流量样本进行归一化处理得到无量纲的二维向量；使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类，得到K个类的类中心点；将所述K个类的类中心点作为聚类样本进行第二次聚类，得到两个检测类；判断所述两个检测类中是否包括攻击中心点，若是，则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量，将剩余的所述无量纲的二维向量进行聚类，得到多个普通中心点作为所述检测模型；否则，将所述第一次聚类得到的K个类的类中心点作为所述检测模型。可选的，所述处理单元具体用于：针对所述两个检测类中的任一检测类，将所述检测类中的离远点最近的类中心点确定为第一类中心点；将所述第一类中心点与另一检测类中的所有中心点进行聚类，得到两个判断类；若所述第一类中心点所在的判断类中仅包含所述第一类中心点，则确定所述检测类中的类中心为所述攻击中心点；否则，确定所述第一类中心点不是所述攻击中心点，并将所述检测类中离远点次近的类中心点确定为所述第一类中心点，继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类，直到所述检测类中所有类中心点都不是所述攻击中心点为止。可选的，所述流量的特征向量包括流量均值和流连接密度熵；所述流连接密度为单位时间内流数量。可选的，所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值；所述处理单元具体用于：根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。相应的，本专利技术实施例还提供了一种计算设备，包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述DDOS攻击检测的方法。相应的，本专利技术实施例还提供了一种计算机可读非易失性存储介质，包括计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行上述DDOS攻击检测的方法。本专利技术实施例表明，获取单位时间内的流量的特征向量，对特征向量进行归一化处理得到待检测无量纲样本，将待检测无量纲样本与检测模型中的普通中心类进行聚类，确定出两个待检测类，检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的，若待检测无量纲样本所在的待检测类中仅包括待检测无量纲样本，则确定待检测无量纲样本为DDOS攻击样本。由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本，相比于现有的检测方案，可以降低DDOS攻击检测的误报率和漏报率，降低了系统的资源消耗，并且增强了多种本文档来自技高网...

【技术保护点】
1.一种分布式拒绝访问DDOS攻击检测的方法，其特征在于，包括：/n获取单位时间内的流量的特征向量；/n对所述特征向量进行归一化处理得到待检测无量纲样本；/n将所述待检测无量纲样本与检测模型中的普通中心类进行聚类，确定出两个待检测类；所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的；/n若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本，则确定所述待检测无量纲样本为DDOS攻击样本。/n

【技术特征摘要】
1.一种分布式拒绝访问DDOS攻击检测的方法，其特征在于，包括：
获取单位时间内的流量的特征向量；
对所述特征向量进行归一化处理得到待检测无量纲样本；
将所述待检测无量纲样本与检测模型中的普通中心类进行聚类，确定出两个待检测类；所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的；
若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本，则确定所述待检测无量纲样本为DDOS攻击样本。


2.如权利要求1所述的方法，其特征在于，所述根据历史流量样本进行特征聚类的半监督学习确定所述检测模型，包括：
获取单位时间的历史流量样本；
对每个历史流量样本进行归一化处理得到无量纲的二维向量；
使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类，得到K个类的类中心点；
将所述K个类的类中心点作为聚类样本进行第二次聚类，得到两个检测类；
判断所述两个检测类中是否包括攻击中心点，若是，则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量，将剩余的所述无量纲的二维向量进行聚类，得到多个普通中心点作为所述检测模型；否则，将所述第一次聚类得到的K个类的类中心点作为所述检测模型。


3.如权利要求2所述的方法，其特征在于，所述判断所述两个检测类是否包括攻击中心点，包括：
针对所述两个检测类中的任一检测类，将所述检测类中的离远点最近的类中心点确定为第一类中心点；
将所述第一类中心点与另一检测类中的所有中心点进行聚类，得到两个判断类；
若所述第一类中心点所在的判断类中仅包含所述第一类中心点，则确定所述检测类中的类中心为所述攻击中心点；否则，确定所述第一类中心点不是所述攻击中心点，并将所述检测类中离远点次近的类中心点确定为所述第一类中心点，继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类，直到所述检测类中所有类中心点都不是所述攻击中心点为止。


4.如权利要求1至3任一项所述的方法，其特征在于，所述流量的特征向量包括流量均值和流连接密度熵；所述流连接密度为单位时间内流数量。


5.如权利要求4所述的方法，其特征在于，所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值；
所述对所述特征向量进行归一化处理得到待检测无量纲样本，包括：
根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。


6.一种分布式拒绝访问DDOS攻击检测的装置，其特征在于，包括：
获取单元，用于获取单位时间内的流量的特征向量；
处理单...

【专利技术属性】
技术研发人员：冯剑，王晨光，周川楷，
申请(专利权)人：中移杭州信息技术有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：浙江;33