[发明专利]一种云环境下基于贝叶斯网络的低速率DDoS检测方法

说明书

本发明公开了一种云环境下基于贝叶斯网络的低速率DDoS检测方法，包括以下步骤：步骤1：周期性调用API接口，获取流表信息，并对采集的信息进行预处理；步骤2：根据步骤1得到的数据提取特征值；步骤3：构造贝叶斯网络，将步骤2得到的特征值输入贝叶斯网络，对模型进行训练；步骤4：将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测；本发明可消除主观因素的干扰，有效检测云环境下周期性、非周期性低速率DDoS攻击。

技术领域

本发明涉及云环境下的网络攻击检测方法，具体涉及一种云环境下基于贝叶斯网络的低速率DDoS检测方法。

背景技术

随着互联网技术的不断发展，云计算在按需服务、泛在接入、弹性计算等特性可以使客户通过云服务来灵活的满足自身需求；企业、政府机构、组织以及个人逐步将其应用迁移至云计算环境下，而在这一过程中云环境的安全性是客户考虑的首要问题；目前云计算平台还存在着诸多的安全问题，云环境中的DDoS攻击是直接影响云服务可用性的主要安全威胁；一方面，在传统网络环境中的洪泛式DDoS攻击(如常规DDoS攻击、低速率DDoS攻击)会对云环境中的服务器进行直接攻击，另一方面，云环境中因其弹性计算等新特性出现了针对性的攻击方式，如EDOS等攻击。

软件定义网络(SDN，Software Defined Networking)架构的出现，给云计算平台的安全性带来了一种新途径；SDN网络架构采用集中的控制平面(即控制器)以及分布式的数据平面(即交换机)，同时做到了数控分离以实现自动化、智能化的网络管理；云计算技术与SDN架构的结合愈加的紧密；但从另一个角度来看，SDN结构的引入云计算环境，同时也扩展了网络攻击的攻击面；云环境中SDN网络架构本身的安全性也是需要考虑，例如控制平面中控制器本身的安全性、控制器下发策略规则可能产生的不一致性等；数据平面中流表空间被侵占、内部宽带饥饿等；云环境中SDN自身架构的安全性是目前产业界和学术界研究的重点。

目前云环境下低速率DDoS检测主要包括以下几类方法：基于流量特征的检测方法，例如用包延迟变化来检测低速率DDoS攻击流，其提取每个流的前7个包计算包延迟变化以达到流级别的检测；还有人通过利用流中源IP集合的熵值、源IP集中数量的变化程度以及数据包速率，提出了特征和特征序的关系；通过FFSc方法来区分正常流量和攻击流量；现有的基于流量特征的检测方法，并没有考虑到非周期性的低速率DDoS，同时所提特征较为单一，没有多角度地描述攻击流；基于流量特征统计分析的检测方法，提出多个相关特征并通过真实数据集来计算各个特征的精准度，得出最优的方案和阈值。基于阈值的检测方法来说，阈值的选取过程，存在主观因素的干扰。

发明内容

本发明提供一种能有效检测云环境下周期性、非周期性低速率DDoS攻击的云环境下基于贝叶斯网络的低速率DDoS检测方法。

本发明采用的技术方案是：一种云环境下基于贝叶斯网络的低速率DDoS检测方法，包括以下步骤：

步骤1：周期性调用API接口，获取流表信息，并对采集的信息进行预处理；

步骤2：根据步骤1得到的数据提取特征值；

步骤3：构造贝叶斯网络，将步骤2得到的特征值输入贝叶斯网络，对模型进行训练；

步骤4：将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测。

进一步的，所述步骤1中流表信息为match匹配项中的源IP地址、目的IP地址、数据包包长、数据包数量、持续时间。

进一步的，所述步骤2中特征值为包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。

进一步的，所述步骤3中模型训练过程中，通过k2搜索算法进行分类，十折交叉验证法对数据集进行分类。