CN111224916B - 一种ddos攻击检测的方法及装置 - Google Patents

一种ddos攻击检测的方法及装置 Download PDF

Info

Publication number
CN111224916B
CN111224916B CN201811406288.7A CN201811406288A CN111224916B CN 111224916 B CN111224916 B CN 111224916B CN 201811406288 A CN201811406288 A CN 201811406288A CN 111224916 B CN111224916 B CN 111224916B
Authority
CN
China
Prior art keywords
class
detection
dimensionless
detected
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811406288.7A
Other languages
English (en)
Other versions
CN111224916A (zh
Inventor
冯剑
王晨光
周川楷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201811406288.7A priority Critical patent/CN111224916B/zh
Publication of CN111224916A publication Critical patent/CN111224916A/zh
Application granted granted Critical
Publication of CN111224916B publication Critical patent/CN111224916B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DDOS攻击检测的方法及装置,该方法包括获取单位时间内的流量的特征向量,对特征向量进行归一化处理得到待检测无量纲样本,将待检测无量纲样本与检测模型中的普通中心类进行聚类,确定出两个待检测类,检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的,若待检测无量纲样本所在的待检测类中仅包括待检测无量纲样本,则确定待检测无量纲样本为DDOS攻击样本。由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本,相比于现有的检测方案,可以降低DDOS攻击检测的误报率和漏报率,降低了***的资源消耗,并且增强了多种DDOS攻击的检测能力。

Description

一种DDOS攻击检测的方法及装置
技术领域
本发明实施例涉及大数据技术领域,尤其涉及一种分布式拒绝访问(DistributedDenial of Service,DDOS)攻击检测的方法及装置。
背景技术
目前DDOS检测所需的数据来自于Netflow日志,该日志提供了各种网络行为数据,包括七元组信息(源网络之间互连的协议(Internet Protocol,IP)、是源端口、目的IP、目的端口、协议、包数、字节数)。
在获得Netflow日志数据的基础上,当前的检测技术方案为对流进某个IP的报文包数或者报文流量,按照每一分钟为单位建立一个阈值,当发现某一类包数或者流量异常增大,超过阈值,则认为受到了相关的DDOS攻击。
但是,当前的DDOS攻击检测方案在实践中存在大量误报和漏报的情况,因此,急需一种新的DDOS攻击检测的方法。
发明内容
本发明实施例提供一种DDOS攻击检测的方法及装置,用以降低DDOS攻击检测的误报率和漏报率,降低了***的资源消耗。
本发明实施例提供的一种DDOS攻击检测的方法,包括:
获取单位时间内的流量的特征向量;
对所述特征向量进行归一化处理得到待检测无量纲样本;
将所述待检测无量纲样本与检测模型中的普通中心类进行聚类,确定出两个待检测类;所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的;
若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本,则确定所述待检测无量纲样本为DDOS攻击样本。
由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本,相比于现有的检测方案,可以降低DDOS攻击检测的误报率和漏报率,降低了***的资源消耗,并且增强了多种DDOS攻击的检测能力。
可选的,所述根据历史流量样本进行特征聚类的半监督学习确定所述检测模型,包括:
获取单位时间的历史流量样本;
对每个历史流量样本进行归一化处理得到无量纲的二维向量;
使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类,得到K个类的类中心点;
将所述K个类的类中心点作为聚类样本进行第二次聚类,得到两个检测类;
判断所述两个检测类中是否包括攻击中心点,若是,则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量,将剩余的所述无量纲的二维向量进行聚类,得到多个普通中心点作为所述检测模型;否则,将所述第一次聚类得到的K个类的类中心点作为所述检测模型。
可选的,所述判断所述两个检测类是否包括攻击中心点,包括:
针对所述两个检测类中的任一检测类,将所述检测类中的离远点最近的类中心点确定为第一类中心点;
将所述第一类中心点与另一检测类中的所有中心点进行聚类,得到两个判断类;
若所述第一类中心点所在的判断类中仅包含所述第一类中心点,则确定所述检测类中的类中心为所述攻击中心点;否则,确定所述第一类中心点不是所述攻击中心点,并将所述检测类中离远点次近的类中心点确定为所述第一类中心点,继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类,直到所述检测类中所有类中心点都不是所述攻击中心点为止。
可选的,所述流量的特征向量包括流量均值和流连接密度熵;所述流连接密度为单位时间内流数量。
可选的,所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值;
所述对所述特征向量进行归一化处理得到待检测无量纲样本,包括:
根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。
相应的,本发明实施例还提供了一种DDOS攻击检测的装置,包括:
获取单元,用于获取单位时间内的流量的特征向量;
处理单元,用于对所述特征向量进行归一化处理得到待检测无量纲样本;以及将所述待检测无量纲样本与检测模型中的普通中心类进行聚类,确定出两个待检测类;所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的;若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本,则确定所述待检测无量纲样本为DDOS攻击样本。
可选的,所述处理单元具体用于:
获取单位时间的历史流量样本;
对每个历史流量样本进行归一化处理得到无量纲的二维向量;
使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类,得到K个类的类中心点;
将所述K个类的类中心点作为聚类样本进行第二次聚类,得到两个检测类;
判断所述两个检测类中是否包括攻击中心点,若是,则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量,将剩余的所述无量纲的二维向量进行聚类,得到多个普通中心点作为所述检测模型;否则,将所述第一次聚类得到的K个类的类中心点作为所述检测模型。
可选的,所述处理单元具体用于:
针对所述两个检测类中的任一检测类,将所述检测类中的离远点最近的类中心点确定为第一类中心点;
将所述第一类中心点与另一检测类中的所有中心点进行聚类,得到两个判断类;
若所述第一类中心点所在的判断类中仅包含所述第一类中心点,则确定所述检测类中的类中心为所述攻击中心点;否则,确定所述第一类中心点不是所述攻击中心点,并将所述检测类中离远点次近的类中心点确定为所述第一类中心点,继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类,直到所述检测类中所有类中心点都不是所述攻击中心点为止。
可选的,所述流量的特征向量包括流量均值和流连接密度熵;所述流连接密度为单位时间内流数量。
可选的,所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值;
所述处理单元具体用于:
根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。
相应的,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述DDOS攻击检测的方法。
相应的,本发明实施例还提供了一种计算机可读非易失性存储介质,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述DDOS攻击检测的方法。
本发明实施例表明,获取单位时间内的流量的特征向量,对特征向量进行归一化处理得到待检测无量纲样本,将待检测无量纲样本与检测模型中的普通中心类进行聚类,确定出两个待检测类,检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的,若待检测无量纲样本所在的待检测类中仅包括待检测无量纲样本,则确定待检测无量纲样本为DDOS攻击样本。由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本,相比于现有的检测方案,可以降低DDOS攻击检测的误报率和漏报率,降低了***的资源消耗,并且增强了多种DDOS攻击的检测能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种***架构的示意图;
图2为本发明实施例提供的一种DDOS攻击检测的方法的流程示意图;
图3a至图3c为本发明实施例提供的一种聚类的示意图;
图4为本发明实施例提供的一种检测模型的聚类示意图;
图5为本发明实施例提供的一种聚类的示意图;
图6为本发明实施例提供的一种DDOS攻击检测的装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示例性的示出了本发明实施例所适用的一种***架构,该***架构可以为服务器100,包括处理器110、通信接口120和存储器130。
其中,通信接口120用于与终端设备进行通信,收发该终端设备传输的信息,实现通信。
处理器110是服务器100的控制中心,利用各种接口和线路连接整个服务器100的各个部分,通过运行或执行存储在存储器130内的软件程序/或模块,以及调用存储在存储器130内的数据,执行服务器100的各种功能和处理数据。可选地,处理器110可以包括一个或多个处理单元。
存储器130可用于存储软件程序以及模块,处理器110通过运行存储在存储器130的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器130可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据业务处理所创建的数据等。此外,存储器130可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
需要说明的是,上述图1所示的结构仅是一种示例,本发明实施例对此不做限定。
基于上述描述,图2示例性的示出了本发明实施例提供的一种DDOS攻击检测的方法的流程,该流程可以由DDOS攻击检测的装置执行,例如上述服务器。
如图2所示,该流程具体步骤包括:
步骤201,获取单位时间内的流量的特征向量。
实时统计某个IP的1分钟的特征向量,该特征向量包括流量均值和流连接密度熵,也就是由流量均值和流连接密度熵组成的二维向量,例如,[流量均值,流连接密度熵]。
现实网络的态势特征有很多,单位时间内的流量大小仅仅是其中之一。“流连接密度熵”,是一个能表示单位时间内网络流量分散情况的特征。
例如,定义访问某个IP的三元组:<源IP,源端口,目的端口>,所有经过该三元组的报文称为一个流,单位时间内的流数量称为流连接密度。熵代表信息的混乱程度。
其中,流连接密度熵的计算方式可以如下述例子:
三元组:<1.1.1.1,8081,8088>2次;
三元组:<201.192.1.10,1288,8088>4次;
三元组:<19.13.10.1,201,8088>4次;
对上述三元组进行计算得到H(U)=-(2/10)*log(2/10)-(4/10)*log(4/10)-(4/10)*log(4/10)=0.4580;H(U)表示流连接密度熵。
由于合法的用户访问在一定时间内所要求的服务或者单一或者比较少,而且其IP地址比较固定,因此正常访问流量的增加所导致的“流连接密度熵”上升模式与发生DDOS攻击时“流连接密度熵”的上升模式有明显区别。
步骤202,对所述特征向量进行归一化处理得到待检测无量纲样本。
在得到单位时间内的特征向量之后,需要对该特征向量进行归一化处理,这里需要用到检测模型中包括的流量均值的最大值和最小值以及流连接密度熵的最大值和最小值,该流量均值的最大值和最小值以及流连接密度熵的最大值和最小值在确定出检测模型之后就可以得到。
通过流量均值的最大值和最小值以及流连接密度熵的最大值和最小值对该特征向量进行归一化处理,就可以得到待检测无量纲样本。
进行归一化处理时,具体可以为:G(Ui)=(Ui-Umin)/(Umax-Umin),其中,G(Ui)表示元素为Ui的归一化结果,Umin为该元素Ui的最小值,Umax为该元素Ui的最小值,其中,Ui可以为流量均值或流连接密度熵。例如,特征向量为[960000,2.3],归一化处理后得到[0.6,0.45]。
步骤203,将所述待检测无量纲样本与检测模型中的普通中心类进行聚类,确定出两个待检测类。
检测模块是可以根据历史流量样本进行基于特征聚类的半监督学习确定的。具体的,需要先获取单位时间的历史流量样本,对每个历史流量样本进行归一化处理得到无量纲的二维向量;然后使用基于欧式距离的K-means聚类算法对无量纲的二维向量进行第一次聚类,得到K个类的类中心点,将K个类的类中心点作为聚类样本进行第二次聚类,得到两个检测类;最后,判断两个检测类中是否包括攻击中心点,若是,则去除多个无量纲的二维向量中所述攻击中心点所包含的所有的无量纲的二维向量,将剩余的无量纲的二维向量进行聚类,得到多个普通中心点作为检测模型;否则,将第一次聚类得到的K个类的类中心点作为检测模型。
需要说明的是,在判断两个检测类是否包括攻击中心点时,具体可以为:针对两个检测类中的任一检测类,将检测类中的离远点最近的类中心点确定为第一类中心点;将第一类中心点与另一检测类中的所有中心点进行聚类,得到两个判断类;若第一类中心点所在的判断类中仅包含第一类中心点,则确定检测类中的类中心为攻击中心点;否则,确定第一类中心点不是攻击中心点,并将检测类中离远点次近的类中心点确定为第一类中心点,继续对第一类中心点与另一检测类中的所有中心点进行聚类,直到检测类中所有类中心点都不是所述攻击中心点为止。通过这种方法就可以遍历所有检测类中的类中心点是不是攻击中心点。
举例来说,从双休日和工作日的netflow日志中,统计得到每一分钟的流量均值和流连接密度熵,每一分钟的统计形成一个2维的向量[流量均值,流连接密度熵]。由于2个维度单位不一样,需要用归一化处理无量纲的2维向量。得到大量的样本向量,作为一个待划分的集合。
基于欧式举例的k-means聚类算法的聚类数k,k越大聚类越准确。有个聚类效果系数&,表明精确度,当k大到一定程度后,&不再变化。当&不变化时,该k就是聚类最精确的最小k。
首先将被归一化后的所有样本集合聚成k类,得到k个类的类中心。如图3a中的实心点“●”所示。然后再以k个类中心作为聚类样本,进行二次聚类,聚成2类,如图3a中的“×”所示。
基于图3a中的聚类后的类中心点,假设:位于图3a上部的“×”是“攻击中心点”的类中心点,图3a下部的“×”是“普通中心点”的类中心点。
首先,取离远点最近“攻击中心点”,称为@,如图3b中圈内的“●”所示的点。
然后,取@和所有普通中心点进行类数为2的聚类,也就是与图3a下部的“普通中心点”进行聚类,得到如图3c所示的检测类。
最后,进行判断,如果@所在的检测类只包含@,则认为图3a中的上部的检测类出现了攻击中心点(即图3a中的上部的“×”),所有聚在该“×”的点都是攻击中心点,假设成立,判断结束。如果@所在的检测类不只包含@,则认为@是普通中心点,取次近原点的“攻击中心点”,重复上述步骤,直到发现所有的攻击点都不是攻击点,则认为假设失败,认为图3a所示的初次聚类结果没有出现攻击中心点,判断结束。
通过这种方式,如果图3a中判断出包含攻击中心点,则去除原始样本集合中攻击中心点所包含的所有样本,将剩下样本进行聚类,得到多个普通中心点,作为最终的检测模型;如果在图3a中没有判断出有攻击中心点,则初次聚类结果就是所需的最终的检测模型,如图4所示。相应的,也可以说是得到了DDOS攻击检测的判断基线。
其中,图4所示的检测模型包括流量的最大值、最小值,流连接密度熵的最大值、最小值,图4中的“●”,即2维向量,即所有普通中心点。
得到检测模型之后,就可以将上述待检测无量纲样本与检测模型中的普通中心类进行聚类,确定出两个待检测类,如图5所示,图5中的上部的圈中的“×”表示该待检测类的类中心点,下部圈中的“×”表示另一个待检测类的类中心点。
步骤204,若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本,则确定所述待检测无量纲样本为DDOS攻击样本。
根据图5所示的检测类,可以发现上部的圈中待检测无量纲样本所在的检测类中只包含了该待检测无量纲样本,可以认为该待检测无量纲样本为DDOS攻击样本,也就是该待检测无量纲样本包含攻击态势。
上述实施例表明,获取单位时间内的流量的特征向量,对特征向量进行归一化处理得到待检测无量纲样本,将待检测无量纲样本与检测模型中的普通中心类进行聚类,确定出两个待检测类,检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的,若待检测无量纲样本所在的待检测类中仅包括待检测无量纲样本,则确定待检测无量纲样本为DDOS攻击样本。由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本,相比于现有的检测方案,可以降低DDOS攻击检测的误报率和漏报率,降低了***的资源消耗,并且增强了多种DDOS攻击的检测能力。
本发明实施例将1分钟统计的“流量均值”和“流连接密度熵”作为一个待分类的样本向量[流量均值,流连接密度熵]。在休息日和工作日范围内,计算得到大量的上述待分类样本集合。利用k-means聚类算法和业务规则,从样本集合得到一个包含正常网络态势特征信息的基线。
利用该基线,判断实时网络态势是否属于异常。
本发明实施例可以解决的技术问题如下:
1、解决当前检测方案包含过多的人为经验、导致实际检测效果不理想;
2、改进当前检测方案时的时效性;
3、增强多种DDOS攻击的检测能力,包括低速攻击、脉冲攻击;
4、计算消耗资源低。
基于相同的技术构思,图6示例性的示出了本发明实施例提供的一种DDOS攻击检测的装置,该装置可以执行DDOS攻击检测的流程。
如图6所示,该装置可以包括:
获取单元601,用于获取单位时间内的流量的特征向量;
处理单元602,用于对所述特征向量进行归一化处理得到待检测无量纲样本;以及将所述待检测无量纲样本与检测模型中的普通中心类进行聚类,确定出两个待检测类;所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的;若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本,则确定所述待检测无量纲样本为DDOS攻击样本。
可选的,所述处理单元602具体用于:
获取单位时间的历史流量样本;
对每个历史流量样本进行归一化处理得到无量纲的二维向量;
使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类,得到K个类的类中心点;
将所述K个类的类中心点作为聚类样本进行第二次聚类,得到两个检测类;
判断所述两个检测类中是否包括攻击中心点,若是,则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量,将剩余的所述无量纲的二维向量进行聚类,得到多个普通中心点作为所述检测模型;否则,将所述第一次聚类得到的K个类的类中心点作为所述检测模型。
可选的,所述处理单元602具体用于:
针对所述两个检测类中的任一检测类,将所述检测类中的离远点最近的类中心点确定为第一类中心点;
将所述第一类中心点与另一检测类中的所有中心点进行聚类,得到两个判断类;
若所述第一类中心点所在的判断类中仅包含所述第一类中心点,则确定所述检测类中的类中心为所述攻击中心点;否则,确定所述第一类中心点不是所述攻击中心点,并将所述检测类中离远点次近的类中心点确定为所述第一类中心点,继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类,直到所述检测类中所有类中心点都不是所述攻击中心点为止。
可选的,所述流量的特征向量包括流量均值和流连接密度熵;所述流连接密度为单位时间内流数量。
可选的,所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值;
所述处理单元602具体用于:
根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。
基于相同的技术构思,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述DDOS攻击检测的方法。
基于相同的技术构思,本发明实施例还提供了一种计算机可读非易失性存储介质,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述DDOS攻击检测的方法。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种分布式拒绝访问DDOS攻击检测的方法,其特征在于,包括:
获取单位时间内的流量的特征向量;
对所述特征向量进行归一化处理得到待检测无量纲样本;
将所述待检测无量纲样本与检测模型中的普通中心点进行聚类,确定出两个待检测类;所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的;
若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本,则确定所述待检测无量纲样本为DDOS攻击样本;
所述根据历史流量样本进行特征聚类的半监督学习确定所述检测模型,包括:
获取单位时间的历史流量样本;
对每个历史流量样本进行归一化处理得到无量纲的二维向量;
使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类,得到K个类的类中心点;
将所述K个类的类中心点作为聚类样本进行第二次聚类,得到两个检测类;
判断所述两个检测类中是否包括攻击中心点,若是,则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量,将剩余的所述无量纲的二维向量进行聚类,得到多个普通中心点作为所述检测模型;否则,将所述第一次聚类得到的K个类的类中心点作为所述检测模型。
2.如权利要求1所述的方法,其特征在于,所述判断所述两个检测类是否包括攻击中心点,包括:
针对所述两个检测类中的任一检测类,将所述检测类中的离远点最近的类中心点确定为第一类中心点;
将所述第一类中心点与另一检测类中的所有中心点进行聚类,得到两个判断类;
若所述第一类中心点所在的判断类中仅包含所述第一类中心点,则确定所述检测类中的类中心为所述攻击中心点;否则,确定所述第一类中心点不是所述攻击中心点,并将所述检测类中离远点次近的类中心点确定为所述第一类中心点,继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类,直到所述检测类中所有类中心点都不是所述攻击中心点为止。
3.如权利要求1或2所述的方法,其特征在于,所述流量的特征向量包括流量均值和流连接密度熵;所述流连接密度为单位时间内流数量。
4.如权利要求3所述的方法,其特征在于,所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值;
所述对所述特征向量进行归一化处理得到待检测无量纲样本,包括:
根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。
5.一种分布式拒绝访问DDOS攻击检测的装置,其特征在于,包括:
获取单元,用于获取单位时间内的流量的特征向量;
处理单元,用于对所述特征向量进行归一化处理得到待检测无量纲样本;以及将所述待检测无量纲样本与检测模型中的普通中心点进行聚类,确定出两个待检测类;所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的;若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本,则确定所述待检测无量纲样本为DDOS攻击样本;
所述处理单元具体用于:
获取单位时间的历史流量样本;
对每个历史流量样本进行归一化处理得到无量纲的二维向量;
使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类,得到K个类的类中心点;
将所述K个类的类中心点作为聚类样本进行第二次聚类,得到两个检测类;
判断所述两个检测类中是否包括攻击中心点,若是,则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量,将剩余的所述无量纲的二维向量进行聚类,得到多个普通中心点作为所述检测模型;否则,将所述第一次聚类得到的K个类的类中心点作为所述检测模型。
6.如权利要求5所述的装置,其特征在于,所述处理单元具体用于:
针对所述两个检测类中的任一检测类,将所述检测类中的离远点最近的类中心点确定为第一类中心点;
将所述第一类中心点与另一检测类中的所有中心点进行聚类,得到两个判断类;
若所述第一类中心点所在的判断类中仅包含所述第一类中心点,则确定所述检测类中的类中心为所述攻击中心点;否则,确定所述第一类中心点不是所述攻击中心点,并将所述检测类中离远点次近的类中心点确定为所述第一类中心点,继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类,直到所述检测类中所有类中心点都不是所述攻击中心点为止。
7.如权利要求5或6所述的装置,其特征在于,所述流量的特征向量包括流量均值和流连接密度熵;所述流连接密度为单位时间内流数量。
8.如权利要求7所述的装置,其特征在于,所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值;
所述处理单元具体用于:
根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。
9.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行权利要求1至4任一项所述的方法。
10.一种计算机可读非易失性存储介质,其特征在于,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行如权利要求1至4任一项所述的方法。
CN201811406288.7A 2018-11-23 2018-11-23 一种ddos攻击检测的方法及装置 Active CN111224916B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811406288.7A CN111224916B (zh) 2018-11-23 2018-11-23 一种ddos攻击检测的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811406288.7A CN111224916B (zh) 2018-11-23 2018-11-23 一种ddos攻击检测的方法及装置

Publications (2)

Publication Number Publication Date
CN111224916A CN111224916A (zh) 2020-06-02
CN111224916B true CN111224916B (zh) 2022-07-01

Family

ID=70813461

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811406288.7A Active CN111224916B (zh) 2018-11-23 2018-11-23 一种ddos攻击检测的方法及装置

Country Status (1)

Country Link
CN (1) CN111224916B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848160A (zh) * 2010-05-26 2010-09-29 钱叶魁 在线检测和分类全网络流量异常的方法
CN104967629A (zh) * 2015-07-16 2015-10-07 网宿科技股份有限公司 网络攻击检测方法及装置
CN107248996A (zh) * 2017-06-29 2017-10-13 南京邮电大学 一种dns放大攻击的检测与过滤方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104484602B (zh) * 2014-12-09 2018-01-16 中国科学院深圳先进技术研究院 一种入侵检测方法、装置
CN107392015B (zh) * 2017-07-06 2019-09-17 长沙学院 一种基于半监督学习的入侵检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848160A (zh) * 2010-05-26 2010-09-29 钱叶魁 在线检测和分类全网络流量异常的方法
CN104967629A (zh) * 2015-07-16 2015-10-07 网宿科技股份有限公司 网络攻击检测方法及装置
CN107248996A (zh) * 2017-06-29 2017-10-13 南京邮电大学 一种dns放大攻击的检测与过滤方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种新的半监督入侵检测算法;宋凌等;《计算机应用》;20080731;正文第1-2页 *
基于信息熵与K-MEANS融合算法的网络入侵检测模型;朱娴睿等;《安徽农业科学》;20141231;正文第1-2页 *

Also Published As

Publication number Publication date
CN111224916A (zh) 2020-06-02

Similar Documents

Publication Publication Date Title
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
CN110519290B (zh) 异常流量检测方法、装置及电子设备
CN108965347B (zh) 一种分布式拒绝服务攻击检测方法、装置及服务器
CN108718298B (zh) 一种恶意外连流量检测方法及装置
CN109271793B (zh) 物联网云平台设备类别识别方法及***
CN109150859B (zh) 一种基于网络流量流向相似性的僵尸网络检测方法
CN111191767A (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN110011932B (zh) 一种可识别未知流量的网络流量分类方法和终端设备
CN109218321A (zh) 一种网络入侵检测方法及***
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN111800430A (zh) 一种攻击团伙识别方法、装置、设备及介质
CN111049783A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN112437037A (zh) 基于sketch的DDoS洪泛攻击检测方法及装置
CN115484047A (zh) 云平台中的泛洪攻击的识别方法、装置、设备及存储介质
CN111478922B (zh) 一种隐蔽信道通信检测方法、装置及设备
CN114363212A (zh) 一种设备检测方法、装置、设备和存储介质
CN111224916B (zh) 一种ddos攻击检测的方法及装置
CN113037748A (zh) 一种c&amp;c信道混合检测方法及***
CN113098852A (zh) 一种日志处理方法及装置
CN117294497A (zh) 一种网络流量异常检测方法、装置、电子设备及存储介质
CN112235242A (zh) 一种c&amp;c信道检测方法及***
CN115296855B (zh) 一种用户行为基线生成方法及相关装置
CN111224890A (zh) 一种云平台的流量分类方法、***及相关设备
CN106817364B (zh) 一种暴力破解的检测方法及装置
CN117391214A (zh) 模型训练方法、装置及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant