[发明专利]一种基于机器学习的DDoS攻击流量峰值预测方法

权利要求书

1.一种基于机器学习的DDoS攻击流量峰值预测方法，包括：

1)利用DDoS攻击数据集抽取每次攻击对应的用于描述当次攻击的特征集合，并在对应受害系统所接收到的流量中提取每次攻击的流量峰值，利用机器学习方法训练模型；

2)检测到新的DDoS攻击时，抽取其对应特征集合并将其输入到已训练好的模型中，预测得到本次攻击流量峰值；

其中的步骤1)包括：

1-1)针对DDoS攻击数据集中的每次攻击，在对应受害系统所接收到的流量中提取从检测时刻到攻击开始的时间内发往受害系统的流量作为攻击时刻流量，并在对应受害系统所接收到的流量中抽取出攻击前设定时间段内该受害系统接收的流量作为正常时刻流量；

1-2)对于每次攻击，分别计算攻击时刻流量和正常时刻流量对应的攻击流量特征和正常流量特征；

1-3)将攻击时刻流量按照时间戳等分，并将攻击时刻流量中包含的数据包按照时间戳分入对应的时间区间，计算每一份中的数据包数量，得到攻击时刻流量所在的时间段内的流量增长模式特征，计算出每次攻击的全部流量中的流量峰值作为预测结果；

1-4)将DDoS攻击数据集每个攻击的攻击流量特征、正常流量特征和流量增长模式特征拼接，形成对应每个攻击的特征集合，将步骤1-3)得到的预测结果利用机器学习方法训练，得到训练模型。

2.如权利要求1所述的基于机器学习的DDoS攻击流量峰值预测方法，其特征在于，还包括：在每一次新的DDoS攻击结束后，将当次攻击的特征集合和本次的攻击实际流量峰值添加到DDoS攻击数据集中迭代训练。

3.如权利要求1所述的基于机器学习的DDoS攻击流量峰值预测方法，其特征在于，步骤1-1)中根据检测算法得到检测时刻到攻击开始的时间。

4.如权利要求1所述的基于机器学习的DDoS攻击流量峰值预测方法，其特征在于，步骤1-1)中，所述攻击前设定时间段是指在攻击时刻之前，不包括其他攻击流量且能刻画受害系统在无攻击状态下的流量特征的一段时间，若在此时间段内有攻击发生，则将攻击流量剔除。

5.如权利要求1所述的基于机器学习的DDoS攻击流量峰值预测方法，其特征在于，所述攻击流量特征为：A.srcIP.entropy，A.dstPort.entropy，A.traffic.avg，A.pktSize.avg，A.pktSize.entropy，A.port.proportion，A.withoutPort.proportion；所述正常流量特征为：N.srcIP.entropy,N.dstPort.entropy,N.traffic.avg,N.pktSize.avg,N.pktSize.entropy,N.port.proportion,N.withoutPort.proprotion；其中，A代表攻击时刻流量对应的攻击流量特征，N来代表正常时刻流量对应的正常流量特征，srcIP.entropy表示系统在受攻击时所接收到的数据包的源地址IP组成的集合的熵值，dstPort.entropy表示系统在受攻击时所接收到的数据包对应的目的地址端口组成集合的熵值，traffic.avg表示系统在受攻击时所接收到的流量的平均大小，pktSize.avg表示系统在受攻击时所接收到的数据包的平均大小，pktSize.entropy表示系统在受攻击时所接收到的数据包大小的熵值，port.proportion表示系统在受攻击时所接收到的数据包中，包含端口信息部分所占总体的比例，withoutPort.proportion表示系统在受攻击时所接收道的数据包中，不包含端口信息部分所占总体的比例。

6.如权利要求1所述的基于机器学习的DDoS攻击流量峰值预测方法，其特征在于，步骤1-3)中计算每次攻击的全部流量中的流量峰值时使用的是该次攻击从攻击开始到攻击结束的全部流量，流量大小根据每秒接收到的数据包数量来衡量，找到从攻击开始到攻击结束的整个阶段中的流量峰值作为结果。

7.如权利要求1所述的基于机器学习的DDoS攻击流量峰值预测方法，其特征在于，步骤1-4)中所述机器学习方法包括集成学习算法或神经网络深度学习算法。