[发明专利]一种DDoS异常检测方法及云平台主机

说明书

一种DDoS异常检测方法及云平台主机，根据CPU利用率和网络流量数据，采用基于窗口的时间序列分析方法和单类分类检测方法进行异常检测。本发明可以实现更高的准确率和较低的误报率，同时也能记录攻击的过程，有利于人工的进一步分析并且将攻击后的行为与正常工作下的负载高峰进行区分。

技术领域

本发明涉及云平台异常检测领域，特别涉及一种面向云数据中心CPU利用率和网络流量数据的一种DDoS异常检测方法。

背景技术

随着互联网行业的不断创新与发展，云计算(Cloud computing)是在基于互联网的使用以及网络服务的增加、交付模式的多样化而出现的，一般是通过互联网来提供动态的、虚拟化的且易扩展的资源，云是在此基础上的一种比喻。云服务市场的增长使得其所受的威胁也越来越大，许多网络攻击者利用云计算的漏洞来谋取利益，在云平台受到的网络安全攻击中，DDoS攻击的数量在急剧增长。DDoS攻击通常是通过多个主机向虚拟机发送大量网络数据包以使得虚拟机无法满足合法用户对web应用程序、多媒体应用程序等各种应用的服务请求。为了提高云平台的可靠性和安全性，这就要求我们需要对云平台进行异常检测，而且需要花费最少的资源来进行异常检测。

目前，有人提出基于人工神经网络(Artifical Neural Network，ANN)的云入侵检测系统，从虚拟机网络流量数据集中分析“正常”与“异常”。也有使用线性回归(LinearRegression，LR)和随机森林算法(Random Forest，RF)来检测和分类云数据中心的异常，并在其中对比了One-Class SVM(无监督异常值检测)算法和Isolation Forest(孤立森林)算法的异常检测过程。近年来熵在各种网络异常检测工具中得到了广泛的应用。有人基于引入的数据密度概念的云异常检测技术，实现了非参数柯西函数。通过观察熵变量是否服从正态分布来识别云安全攻击。还有使用Kolmogorov-Smirnov测试(柯尔莫哥洛夫-斯米尔诺夫检验)来确定熵变量是否服从正态分布。

人工神经网络是把一切特征都转化为数字，这种运算过程多于大多数情况都是可以检测出云数据异常，但数据的转化过程势必会缺少一些信息，对于云检测来说，信息就是检测的重点，对于一些未知情况可能会导致较高的错误率和误报率，不能达到企业级的要求。此外其他几种算法对于多数情况的异常都是可以做到较高的检测，但都无法检测由于未知攻击而导致的云数据异常，因为这些攻击的过程没有被记录下来，或是与已知的“异常”模式有很大的不同。

不同研究人员提出了各种不同的方法来进行异常检测，但是这其中的大部分方法无法广泛实施。

发明内容

本发明提供一种DDoS异常检测方法及云平台主机，具有更高的准确率和较低的误报率，同时也能记录攻击的过程，有利于人工的进一步分析并且将攻击后的行为与正常工作下的负载高峰进行区分。

为了达到上述目的，本发明提供一种DDoS异常检测方法，包含以下步骤：

收集遭受攻击后的虚拟机的CPU利用率和网络流量数据；

采用基于窗口的时间序列分析方法对收集到的遭受攻击后的虚拟机的CPU利用率和网络流量数据进行处理，生成测试数据集；

采用单类分类检测方法，利用预先训练好的OCC模型对测试数据集进行异常检测，得到分布式拒绝服务DDoS攻击的异常检测结果。

所述OCC模型的训练方法包含：

收集每台虚拟机在遭受攻击前和遭受攻击后的CPU利用率和网络流量数据；

采用基于窗口的时间序列分析方法对收集到的虚拟机的CPU利用率和网络流量数据进行处理，生成训练数据集；

构建OCC模型，以训练数据集作为OCC模型的输入数据，采用单类分类检测方法对OCC模型进行异常检测训练。