[发明专利]DDoS攻击检测方法、装置、网络设备及存储介质

权利要求书

1.一种DDoS攻击检测方法，其特征在于，包括：

根据日志文件中的N个访问信息计算得到N个访问特征值，所述N为正整数；

将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类，获取N个所述访问特征值是否为异常的聚类结果；以及

将N个所述聚类结果与预设的规则库进行匹配，若匹配成功，则判定存在DDoS攻击；

其中，在将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类之前，还包括：

根据所述日志文件计算历史访问信息的历史访问特征值，所述历史访问信息与所述访问信息相对应；

将预设时间范围内的所述历史访问特征值进行聚类；

若所述历史访问特征值中的一个被单独分为一组，则将另一组的历史访问特征值作为所述第一预设特征样本集；

若所述历史访问特征值被分成每组至少包括两个历史访问特征值且每组历史访问特征值的数目不等的两组数据，则将两组数据中数目较小的一组中的离另一组的聚类中心最近的历史访问特征值与另一组数据进行重新聚类；

若重新聚类的结果为所述最近的历史访问特征值被单独分为一组，则将另一组历史访问特征值作为所述第一预设特征样本集；

若重新聚类的结果为分成每组至少包括两个历史访问特征值的新的两组数据，则将所述新的两组数据一并作为所述第一预设特征样本集。

2.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述N个访问信息包括源IP地址、源IP端口、目的端口和协议中的至少一个；

所述根据日志文件中的N个访问信息计算得到N个访问特征值，所述N为正整数，包括：

根据日志文件计算每一所述访问信息在预设时间段内的信息熵，将每一所述信息熵作为所述访问特征值。

3.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述N个访问信息还包括访问流量和数据包数量中的至少一个；

所述根据日志文件中的N个访问信息计算得到N个访问特征值，所述N为正整数，还包括：

根据日志文件统计每一所述访问信息在预设时间段内的累计值，将每一所述累计值作为所述访问特征值。

4.根据权利要求1所述的DDoS攻击检测方法，其特征在于，所述将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类，获取N个所述访问特征值是否为异常的聚类结果，包括：

将每一所述访问特征值分别与对应的第一预设特征样本集进行聚类；

若所述访问特征值经过聚类后被单独分为一组，则判定所述访问特征值为异常。

5.根据权利要求1所述的DDoS攻击检测方法，其特征在于，在所述判定存在DDoS攻击之后，还包括：

根据预设攻击类型表中的攻击特征统计所述日志文件中的攻击特征值，其中，在所述预设攻击类型表中，所述攻击特征与攻击类型相对应；

将所述攻击特征值与对应的第二预设特征样本集进行聚类，若所述攻击特征值被单独分成一组，则判定存在与所述攻击特征对应的攻击类型。