[发明专利]一种基于机器学习的DDoS攻击流量峰值预测方法

说明书

本发明公开了一种基于机器学习的DDoS攻击流量峰值预测方法，利用已有的DDoS数据集，对于每次攻击，抽取可以描述这次攻击行为的特征集，结合受害系统本身的特征集合，利用机器学习方法对此次攻击的流量峰值进行预测，从而可以参照预测结果根据机群部署情况选取适当的路由策略，从而最大的降低攻击带来的损失。

技术领域

本发明涉及一种DDoS攻击中的流量峰值预测方法，具体涉及一种基于机器学习的DDoS攻击流量峰值预测方法，属于计算机应用技术领域。

背景技术

DDoS攻击的目的是通过一定手段阻止系统服务于其他正常用户。往往可采用两种形式，一种是利用系统和软件漏洞，将精心构造的数据包发送给系统，造成系统异常崩溃或重启，另一种就是洪范攻击，通过操控被攻击者控制的机器发送大量数据包给目标系统，利用无用的信息去耗尽系统的服务器资源或者带宽，使得正常用户的数据包无法被处理甚至接收。最终导致系统无法响应正常用户。对于第一种利用系统漏洞的攻击方式，我们可以找出系统漏洞并修复从而做到防护。但是第二种攻击涉及方面很多，有多种攻击方法，因此目前对于洪范式攻击并没有十分有效的解决措施。

DDoS攻击很早之前就被提出，但是如今仍然给互联网造成了十分严重的安全威胁。一次典型的DDoS攻击中包含四个方面的要素：1.攻击者；2.跳板机(为了隐藏攻击者的身份可能会有好几级跳板机)，该类型的机器一般用于控制僵尸网络(实际发起攻击的机器群)，向僵尸网络发起攻击命令；3.实际用来攻击的机器群，一般属于僵尸网络；4.被攻击的受害系统。对DDoS攻击应急响应的关键是及时发现攻击并加以防护。目前，现有的检测算法已十分成熟，但对于DDoS的防护措施却并不完善。主要的防护方案有以下两种：

1.区分正常流量和攻击流量，可根据用户的不同行为、统计特征等进行区分，但是该方式由于用户行为的多样性，结果并不可靠，也可以通过认证的方式来让所有用户付出一定代价，例如计算，验证码等方式，但是这种方式会影响用户的使用体验。而且目前已经有很多可以自动识别验证码的算法，该种方式也就随之失效。

2.在固定的地点部署昂贵的机群，通过一定的路由策略来分散攻击流量从而减小甚至消除攻击带来的损失。但是如何快速且有效的选取路由策略暂时没有好的解决办法。并且随着路由策略的变化，攻击者也会调整自己的攻击模式从而使得路由策略失效，或者选取了较差的路径，从而使得防护效果降低甚至失效。

发明内容

针对上述问题，本发明提供了一种基于机器学习的DDoS攻击流量峰值预测方法，通过对DDoS攻击流量最大值的预测，从而可以参照预测结果根据机群部署情况选取适当的路由策略，从而最大的降低攻击带来的损失。

为了实现上述目的，本发明采用以下技术方案：

一种基于机器学习的DDoS攻击流量峰值预测方法，包括：

1)利用现有的DDoS攻击数据集抽取每次攻击对应的用于描述当次攻击的特征集合，并在对应受害系统所接收到的流量中提取每次攻击的流量峰值，利用机器学习方法训练模型；

2)检测到新的DDoS攻击时，抽取其对应特征集合并将其输入到已训练好的模型中，预测得到本次攻击流量峰值。

进一步，上述方法还包括：在每一次新的DDoS攻击结束后，将当次攻击的特征集合和本次的攻击实际流量峰值添加到现有的DDoS攻击数据集中迭代训练，从而使得用于预测的训练模型能不断适应新的攻击类型。

进一步，步骤1)具体包括：

1‐1)针对DDoS攻击数据集中的每次攻击，在对应受害系统所接收到的流量中提取从检测时刻到攻击开始的时间内发往受害系统的流量作为攻击时刻流量，并在对应受害系统所接收到的流量中抽取出攻击前设定时间段内该受害系统接收的流量作为正常时刻流量。

1‐2)对于每次攻击，分别计算攻击时刻流量和正常时刻流量对应的攻击流量特征和正常流量特征。