[发明专利]DDoS攻击检测方法及装置

说明书

本发明提供一种分布式拒绝服务攻击检测方法及装置，检测方法包括以下步骤：采集攻击开始前至攻击结束时的网络流数据信息，网络流数据信息包括数据包的时间、源IP地址、目的IP地址及目的端口；分别从网络流数据信息中提取网络流的“多对一”与“一对一”部分的源IP地址与目的端口的加权统计量和网络流中单向流的“多对一”部分的流量统计信息；将第一特征和第二特征整合为二元组合特征，并获取二元组合特征的时间序列样本；对时间序列样本进行采样，生成特征训练集；使用特征训练集训练随机森林分类器，得到DDoS攻击检测模型；采用DDoS攻击检测模型进行DDoS攻击检测。本发明提高了在大数据环境下DDoS攻击检测的准确率，降低了误报率和漏报率。

技术领域

本发明涉及互联网技术领域，特别涉及一种分布式拒绝服务(Distributeddenial of service，DDoS)攻击检测方法及装置。

背景技术

DDoS攻击是指攻击者通过有组织、分布式或者远程控制僵尸网络，联合多台计算机设备，向目标系统发送大量连续攻击请求，以增加攻击威力。DDoS攻击从多个系统进行恶意攻击，会使得计算机或者网络资源无法为其既定用户提供服务，从而降低网络性能，甚至使网路瘫痪。

目前，对于DDoS攻击的检测方法主要分为基于特征的检测方法和基于异常的检测方法。基于特征的检测方法使用公开攻击的“签名或模式”，包括IP数据包中的源IP地址、目的IP地址，端口和数据包有效载荷的关键字等部分的索引，并将传入的流量与存储的模式匹配，以识别攻击实例。这类方法的检测效率较高，可以做到实时检测，但使用这类方法难以准确识别出攻击流；且这类检测方法的准确度普遍不高，存在误报率、漏报率高的问题。基于异常的检测方法采用统计方法、数据挖掘、人工智能(AI)、信息理论、最近邻等各种方法来识别网络流量中的异常，观测到与预期的行为之间的差异超过预定义阈值时，检测系统会产生异常报警来公开攻击。这类检测方法检测准确度也很高、能够追溯攻击源，在一般用户网络中的检测效果很好；然而，由于对大数据环境下网络流量巨大，使用这种方法将耗费大量的时间，且无法保证检测的实时性，存在误报率、漏报率高的问题。

有鉴于此，还需要提供一种能够在大数据环境下使用的、准确率较高的DDoS攻击检测方法。

发明内容

本申请的目的在于提供一种DDoS攻击检测方法，以提高在大数据环境下的检测准确率，降低误报率和漏报率。

为实现上述目的，本申请一方面提供一种DDoS攻击检测方法，包括以下步骤：

采集攻击开始前至攻击结束时的网络流数据信息，所述网络流数据信息包括数据包的时间、源IP地址、目的IP地址及目的端口；

分别从所述网络流数据信息中提取第一特征和第二特征，所述第一特征是网络流的“多对一”与“一对一”部分的源IP地址与目的端口的加权统计量；所述第二特征是网络流中单向流的“多对一”部分的流量统计信息；

将所述第一特征和所述第二特征整合为二元组合特征，并获取所述二元组合特征的时间序列样本；

对所述时间序列样本进行采样，生成特征训练集；

使用所述特征训练集训练随机森林(Random Forest，RF)分类器，得到DDoS攻击检测模型；

采用所述DDoS攻击检测模型进行DDoS攻击检测。

进一步地，还包括以下步骤：

采用遗传算法对所述RF的第一参数、第二参数进行参数优化，所述第一参数为子决策树的棵数，所述第二参数为单棵决策树的最大深度。

进一步地，所述采用遗传算法对所述RF的第一参数、第二参数进行参数优化的步骤包括以下步骤：

选择所述RF的初始参数及适应度函数，所述初始参数包括初始种群、进化代数、子决策树的棵数、决策树的最大深度、变异率以及交叉率；