[发明专利]一种云环境下基于贝叶斯网络的低速率DDoS检测方法

权利要求书

1.一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，包括以下步骤：

步骤1：周期性调用API接口，获取流表信息，并对采集的信息进行预处理；

步骤2：根据步骤1得到的数据提取特征值；

步骤3：构造贝叶斯网络，将步骤2得到的特征值输入贝叶斯网络，对模型进行训练；

步骤4：将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测。

2.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述步骤1中流表信息为match匹配项中的源IP地址、目的IP地址、数据包包长、数据包数量、持续时间。

3.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述步骤2中特征值为包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。

4.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述步骤3中模型训练过程中，通过k2搜索算法进行分类，十折交叉验证法对数据集进行分类。

5.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述步骤3具体过程如下：

对采集到的实际攻击流量和正常流量构成的数据集进行可用性检验，剔除值为空的数据，对数据进行离散化处理；

对贝叶斯网络进行初始化，每个属性作为不同的节点，记录子节点不同父类属性值的组合对当前子节点的属性值产生的概率分布，根据当前属性的顺序构建有向无环的贝叶斯网络；分别计算各子节点的父节点概率值，当各子节点都取得其最大的父节点概率时，完成网络构建；

将数据集注入构建的网络，统计在子节点各父节点组合的情况下，其某个属性出现的次数和整个实例的次数；计算该节点属性值的概率分布，计算每种分类的概率值，取最高的概率值分类方式为该实例所预测的分类。

6.根据权利要求3所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述包数量均值P_num_avg_k如下：

式中：Pnum_i为采集点采集到的数据包数量信息，T为采集窗口内采集次数，i为该数据流在时间窗口内第i次采集信息；

包长均值P_size_avg_k如下：

式中：Psize_i为采集点采集到的数据包长信息；

最大包数量P_num_max_k如下：

P_num_max_k＝max{Pnum_i},i＝1,K,T

式中：K为不同的数据流；

最大包长如下：

P_size_max_k＝max{Psize_i},i＝1,K,T

包数量偏差度P_num_dev_k如下：

包长偏差度P_size_dev_k如下：

包数量平均绝对差P_num_avg_MAD_k如下：

包长平均绝对差如下：

存活时间duration_k如下：

式中：duration_i为采集点采集到的流表项持续时间；

存活程度duration_degree_k如下：

式中：duration_k为采集窗口内流表项持续时间的均值，idle_time为虚拟交换机空闲超时时间。