一种DDOS识别方法、装置、电子设备及介质制造方法及图纸

本发明专利技术公开了一种DDOS识别方法、装置、电子设备及介质，用以解决现有技术中识别DDOS攻击的准确率不高的问题，该方法包括：获取待检测数据流；根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征，确定所述待检测数据流对应每个目标特征的第一特征值；将确定的每个第一特征值输入到预先训练完成的检测模型中，确定所述待检测数据流是否为DDOS攻击。

A DDoS identification method, device, electronic equipment and medium

【技术实现步骤摘要】
一种DDOS识别方法、装置、电子设备及介质
本专利技术涉及网络安全
，尤其涉及一种分布式拒绝服务(DistributedDenialofService，DDOS)识别方法、装置、电子设备及介质。
技术介绍
现有技术中，流量检测的方法包括：基于网络端口的识别方法、基于深度报文检测的识别方法、基于行为特征的识别方法和基于数据挖掘的识别方法。(1)基于网络端口的识别方法是基于端口号的网络流量识别方法，如果使用动态的端口或者直接使用某些固定端口，其检测准确率会较低。(2)基于深度报文检测的识别方法是首先，建立一个规则库，此规则库是由数个提取的待检测的网络协议对应的规则组成；其次，捕获网络上的数据包，检测数据包内容，是否能够匹配规则库中的规则，如果能够匹配，则认为该数据包属于网络应用协议的数据包。(3)基于行为特征的识别方法是依据网络应用的宏观行为特征对恶意流量进行识别的。通过此方法，能识别出已经存在的恶意流，但是，目前基于行为特征识别的研究存在实时性和可行性比较差的问题。(4)基于数据挖掘的识别方法是利用数据挖掘进行分类的方法，包括：有监督、无监督与半监督的分类方法。有监督的分类方法其缺点是无法区分出新出现的异常流量模型；无监督的分类方法具有较高的识别率；半监督的分类方法是综合利用有标签的数据和没有标签的数据，进行正确的分类。现有基于分类的检测算法的准确率很大程度上依赖于特征，如果选取的特征含有噪音数据，则会降低DDoS检测的准确率，增加计算的开销，严重影响网络的实时性和可用性的要求。
技术实现思路
本专利技术实施例提供了一种DDOS识别方法、装置、电子设备及介质，用以解决现有技术中识别DDOS攻击的准确率不高的问题。本专利技术实施例提供了一种分布式拒绝服务DDOS识别方法，所述方法包括：获取待检测数据流；根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征，确定所述待检测数据流对应每个目标特征的第一特征值；将确定的每个第一特征值输入到预先训练完成的检测模型中，确定所述待检测数据流是否为DDOS攻击。进一步地，所述检测模型的训练过程包括：针对样本集合中的样本数据流，根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征，确定所述样本数据流对应每个特征的第二特征值；根据每个样本数据流是否为DDOS攻击的标识信息，及对应的第二特征值，对所述检测模型进行训练。进一步地，所述获取待检测数据流之前，所述方法还包括：针对每个样本数据流，根据预先保存的每个候选静态特征和候选相对特征，确定该样本数据流对应每个候选特征的第三特征值；针对每个候选特征，根据预先评估得到的该候选特征对应的权重值的第一集合，及预设的随机抽样算法，确定该候选特征对应的权重值的第二集合，根据该第二集合中包含的每个权重值，确定该候选特征的权重值；针对每个候选特征，判断该候选特征的权重值是否大于预设的第一阈值，如果是，则将该候选特征归属于第一特征子集，基于第一特征子集进行DDOS攻击检测，根据检测结果确定第一特征子集识别DDOS攻击的第一准确率；如果否，则将所述第二候选特征归属于第二特征子集，针对第二特征子集中的每个候选特征，采用该候选特征进行DDOS攻击检测，根据检测结果确定该候选特征识别DDOS攻击的第二准确率；针对第二特征子集中的每个候选特征，根据所述第一准确率、及该候选特征对应的第二准确率，采用随机森林抽样，确定该候选特征对应的第三准确率；判断该第三准率是否满足更新条件，如果是，将该候选特征添加到第一特征子集中；将第一特征子集中的候选特征确定为目标特征。进一步地，所述判断该第三准率是否满足更新条件包括：如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}＞res，则该第三准确率满足更新条件；其中，n为候选特征的总数量，F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率，F(S1)为第一特征子集的第一准确率，res为预设的第二阈值。进一步地，所述目标静态特征包括：设定时间长度内出现的数据流中源地址出现频率、目的地址出现频率、目的端口出现频率、数据包长、协议类型、总包字节数、平均包字节数、字节数方差、平均包个数、包方差、包数标准差。进一步地，所述目标相对特征包括：接收数据包数量与发送数据包数量占比、数据包的请求频率熵、源地址熵、目的地址熵、源端口熵、目的端口熵、协议占比、数据流长度的熵、TCP标志位占比的熵。本专利技术实施例提供了一种分布式拒绝服务DDOS识别装置，所述装置包括：获取模块，用于获取待检测数据流；第一确定模块，用于根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征，确定所述待检测数据流对应每个目标特征的第一特征值；检测模块，用于将确定的每个第一特征值输入到预先训练完成的检测模型中，确定所述待检测数据流是否为DDOS攻击。进一步地，所述检测模块，具体用于针对样本集合中的样本数据流，根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征，确定所述样本数据流对应每个特征的第二特征值；根据每个样本数据流是否为DDOS攻击的标识信息，及对应的第二特征值，对所述检测模型进行训练。进一步地，所述装置还包括：第二确定模块，用于针对每个样本数据流，根据预先保存的每个候选静态特征和候选相对特征，确定该样本数据流对应每个候选特征的第三特征值；针对每个候选特征，根据预先评估得到的该候选特征对应的权重值的第一集合，及预设的随机抽样算法，确定该候选特征对应的权重值的第二集合，根据该第二集合中包含的每个权重值，确定该候选特征的权重值；针对每个候选特征，判断该候选特征的权重值是否大于预设的第一阈值，如果是，则将该候选特征归属于第一特征子集，基于第一特征子集进行DDOS攻击检测，根据检测结果确定第一特征子集识别DDOS攻击的第一准确率；如果否，则将所述第二候选特征归属于第二特征子集，针对第二特征子集中的每个候选特征，采用该候选特征进行DDOS攻击检测，根据检测结果确定该候选特征识别DDOS攻击的第二准确率；针对第二特征子集中的每个候选特征，根据所述第一准确率、及该候选特征对应的第二准确率，采用随机森林抽样，确定该候选特征对应的第三准确率；判断该第三准率是否满足更新条件，如果是，将该候选特征添加到第一特征子集中；将第一特征子集中的候选特征确定为目标特征。进一步地，所述第二确定模块，还用于判断该第三准率是否满足更新条件，如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}＞res，则该第三准确率满足更新条件；其中，n为候选特征的总数量，F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率，F(S1)为第一特征子集的第一准确率，res为预设的第二阈值。本专利技术实施例提供了一种电子设备，包括：处理器、通信接口、存储器和通本文档来自技高网...

【技术保护点】
1.一种分布式拒绝服务DDOS识别方法，其特征在于，所述方法包括：/n获取待检测数据流；/n根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征，确定所述待检测数据流对应每个目标特征的第一特征值；/n将确定的每个第一特征值输入到预先训练完成的检测模型中，确定所述待检测数据流是否为DDOS攻击。/n

【技术特征摘要】
1.一种分布式拒绝服务DDOS识别方法，其特征在于，所述方法包括：
获取待检测数据流；
根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征，确定所述待检测数据流对应每个目标特征的第一特征值；
将确定的每个第一特征值输入到预先训练完成的检测模型中，确定所述待检测数据流是否为DDOS攻击。


2.如权利要求1所述的方法，其特征在于，所述检测模型的训练过程包括：
针对样本集合中的样本数据流，根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征，确定所述样本数据流对应每个特征的第二特征值；
根据每个样本数据流是否为DDOS攻击的标识信息，及对应的第二特征值，对所述检测模型进行训练。


3.如权利要求1所述的方法，其特征在于，所述获取待检测数据流之前，所述方法还包括：
针对每个样本数据流，根据预先保存的每个候选静态特征和候选相对特征，确定该样本数据流对应每个候选特征的第三特征值；
针对每个候选特征，根据预先评估得到的该候选特征对应的权重值的第一集合，及预设的随机抽样算法，确定该候选特征对应的权重值的第二集合，根据该第二集合中包含的每个权重值，确定该候选特征的权重值；
针对每个候选特征，判断该候选特征的权重值是否大于预设的第一阈值，如果是，则将该候选特征归属于第一特征子集，基于第一特征子集进行DDOS攻击检测，根据检测结果确定第一特征子集识别DDOS攻击的第一准确率；
如果否，则将所述第二候选特征归属于第二特征子集，针对第二特征子集中的每个候选特征，采用该候选特征进行DDOS攻击检测，根据检测结果确定该候选特征识别DDOS攻击的第二准确率；
针对第二特征子集中的每个候选特征，根据所述第一准确率、及该候选特征对应的第二准确率，采用随机森林抽样，确定该候选特征对应的第三准确率；判断该第三准率是否满足更新条件，如果是，将该候选特征添加到第一特征子集中；
将第一特征子集中的候选特征确定为目标特征。


4.如权利要求3所述的方法，其特征在于，所述判断该第三准率是否满足更新条件包括：
如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}＞res，则该第三准确率满足更新条件；
其中，n为候选特征的总数量，F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率，F(S1)为第一特征子集的第一准确率，res为预设的第二阈值。


5.如权利要求1所述的方法，其特征在于，所述目标静态特征包括：设定时间长度内出现的数据流中源地址出现频率、目的地址出现频率、目的端口出现频率、数据包长、协议类型、总包字节数、平均包字节数、字节数方差、平均包个数、包方差、包数标准差。


6.如权利要求1所述的方法，其特征在于，所述目标相对特征包括：
接收数据包数量与发送数据包数量占比、数据包的请求频率熵、源地址熵、目的地址熵、源端口熵、目的端口熵、协议占比、数据流长度的熵、TCP标志位占比的熵。


7.一种分布式拒绝服务DDOS识别装置，其特征在于，所述装置包括：
获取模块，用于获取待检测数据流；
第一确定模块，用于根据预先保...

【专利技术属性】
技术研发人员：王晨光，智绪龙，冯剑，
申请(专利权)人：中移杭州信息技术有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：浙江;33