[发明专利]DDoS攻击检测方法及装置

权利要求书

1.一种DDoS攻击检测方法，其特征在于，包括以下步骤：

采集攻击开始前至攻击结束时的网络流数据信息，所述网络流数据信息包括数据包的时间、源IP地址、目的IP地址及目的端口；

分别从所述网络流数据信息中提取第一特征和第二特征，所述第一特征是网络流的多对一与一对一部分的源IP地址与目的端口的加权统计量；所述第二特征是网络流中单向流的多对一部分的流量统计信息；

将所述第一特征和所述第二特征整合为二元组合特征，并获取所述二元组合特征的时间序列样本；

对所述时间序列样本进行采样，生成特征训练集；

使用所述特征训练集训练随机森林分类器，得到DDoS攻击检测模型；

所述训练随机森林分类器包括：采用遗传算法对所述随机森林的第一参数、第二参数进行参数优化，所述第一参数为子决策树的棵数，所述第二参数为单棵决策树的最大深度；

所述采用遗传算法对所述随机森林的第一参数、第二参数进行参数优化包括：选择所述随机森林的初始参数及适应度函数，所述初始参数包括初始种群、进化代数、子决策树的棵数、决策树的最大深度、变异率以及交叉率；

采用所述遗传算法进行种群初始化，包括：根据染色体特征采用二进制编码方式编码，结合精度e＝1，在所述第一参数、第二参数既定范围中随机选取十进制值(n_estimators，max_depth)，并编码为二进制染色体X＝{n_estimators，max_depth}，通过交叉和变异的操作，随机初始化形成初始种群G；

通过所述遗传算法对初始化的种群进行随机搜索，然后按照所述适应度函数计算搜索到的个体的适应度值；

判断所述适应度值是否满足既定标准；

若所述适应度值不能满足既定标准，则继续进行随机搜索和计算；

若所述适应度值满足既定标准值，则结束优化并输出所述适应度值对应的所述子决策树的棵数和所述单棵决策树的最大深度；

采用所述DDoS攻击检测模型进行DDoS攻击检测。

2.如权利要求1所述的方法，其特征在于，所述适应度函数的表达公式如下：

式中，Fitness表示适应度值，K表示交叉验证的折数，AUC_i即交叉验证中作为测试样本的训练样本检测时计算的ROC曲线下的面积值。

3.如权利要求1所述的方法，其特征在于，所述第一特征为地址相关统计特征，计算公式如下：

式中，ACS_F表示所述地址相关统计特征，RStD_i表示所述网络流的多对一与一对一部分的数据包形成的类，其中，W(RStD_i)＝aPort(RStD_i)+(1-α)Packet(RStD_i)，0＜α＜1，Port(RStD_i)表示类RStD_i中不同目的端口的个数，Packet(RStD_i)表示类RStD_i中数据包的个数，α表示加权值。

4.如权利要求3所述的方法，其特征在于：所述第二特征为单向流半交互度，计算公式如下：

式中，UFSIF表示单向流半交互度，Δt表示采样时间周期，β表示对不同目的端口数量加权的阈值，且β＝max(Port(SDHI_i))/Δt，i＝1，2，...，k。

5.如权利要求4所述的方法，其特征在于：所述二元组合特征为网络流组合相关度，计算公式如下：

CCD_F＝(w₁·ACS_F，w₂·UFSI_F)

式中，CCD_F表示网络流组合相关度，w₁，w₂均表示权重，表示CCD特征中两种特征统计量所占的比例。