[发明专利]一种基于两步聚类和检测片分析联合算法的LDoS检测方法

权利要求书

1.一种基于两步聚类和检测片分析联合算法的LDoS检测方法，其特征在于，该检测方法包括以下几个步骤：

步骤1、采样数据：收集服务器上的TCP流量，并对其进行采样，得到多个单位时间的TCP流量；

步骤2、处理数据：计算单位时间内TCP流量的方差和平均差，并求得聚类特征；

步骤3、聚类分析数据：基于两步聚类方法，根据步骤2中求得的聚类特征对TCP流量进行分析，将疑似遭受了LDoS攻击的TCP流量划分到可疑簇中；

步骤4、分析可疑簇：将可疑簇中单位时间内TCP流量按检测片进行划分，并计算可疑簇中单位时间内的异常检测片概率，包括三个步骤：

步骤4.1、按检测片划分可疑簇中TCP流量，并计算检测片内TCP流量的极差；

步骤4.2、根据预先存储的检测片极差阈值，判断检测片是否是异常检测片，若检测片中的TCP流量极差大于预先存储的检测片极差阈值，则该检测片为异常检测片，并计算单位时间内异常检测片数目；

步骤4.3、计算单位时间内异常检测片概率，单位时间内异常检测片出现的频率，称为异常检测片概率，令ADPR表示异常检测片概率，num_ADP表示单位时间内异常检测片数目，num_ALLDP表示单位时间内所有检测片数目，则异常检测片概率计算公式可表示为：

步骤5、判定检测：根据预先存储的异常检测片概率阈值，对可疑簇中单位时间内的TCP流量进行判定检测，若单位时间内的异常检测片概率大于预先存储的异常检测片概率阈值，则判定网络在该单位时间内发生了LDoS攻击。

2.根据权利要求1中所述的LDoS检测方法，其特征在于，步骤2中根据步骤1中采样得到的TCP流量数据，计算单位时间内TCP流量的方差和平均差，并对方差和平均差进行归一化处理，得到二维数据点，一个数据点对应一个簇，并求得每个簇的聚类特征。

3.根据权利要求1中所述的LDoS检测方法，其特征在于，步骤3中采用两步聚类方法对TCP流量进行分析，包括两个步骤：

步骤3.1、根据步骤2中求得的聚类特征对TCP流量进行预聚类分析；

步骤3.2、对预聚类分析得到的子簇进行聚类分析，将疑似遭受了LDoS攻击的TCP流量划分到可疑簇中。

4.根据权利要求3中所述的LDoS检测方法，其特征在于，步骤3.1中采用基于层次的平衡迭代和规约BIRCH算法对TCP流量进行预聚类分析，BIRCH算法实现了对数据的压缩，节省了存储空间和降低了资源消耗。

5.根据权利要求3中所述的LDoS检测方法，其特征在于，步骤3.2中采用K-means算法对预聚类分析得到的子簇进行聚类分析，根据预先存储的离散特征异常阈值，确定可疑簇。