[发明专利]分布式拒绝服务检测方法、装置及模型创建方法、装置

权利要求书

1.一种分布式拒绝服务检测方法，其特征在于，包括：

提取待检测数据的特征信息；所述特征信息包括洪流流量特征、慢速攻击特征和应用层攻击特征中的至少一种或多种的组合；其中，所述洪流流量特征为能够反映洪流攻击的特征，所述慢速攻击特征为能够反映慢速攻击的特征，所述应用层攻击特征为能够反映应用层分布式拒绝服务攻击的特征；

将所述待检测数据的特征信息输入预先构建的分布式拒绝服务检测模型，获取所述待检测数据是否包含分布式拒绝服务的检测结果；其中，所述分布式拒绝服务检测模型是将已知的分布式拒绝服务攻击数据的洪流流量特征、慢速攻击特征、应用层攻击特征中的至少一种或多种的组合作为样本数据，采用机器学习方式训练得到的用于获取待检测数据是否包含分布式拒绝服务的检测结果的模型。

2.根据权利要求1所述的分布式拒绝服务检测方法，其特征在于，所述洪流流量特征包括如下至少一种或多种的组合：连续持续时间特征duration、源主机到目的主机字节数特征src_bytes、源IP地址特征src_ip、目的IP地址特征dst_ip和目的端口特征dst_port。

3.根据权利要求2所述的分布式拒绝服务检测方法，其特征在于，所述洪流流量特征还包括如下至少一种或多种的组合：网络层协议特征protocol、网络服务或应用层协议特征service、连接状态特征flag、目的主机到源主机字节数特征des_bytes、源端口特征src_port、错误分片数特征wrong_fragment和加急包个数特征urgent。

4.根据权利要求1所述的分布式拒绝服务检测方法，其特征在于，所述慢速攻击特征包括：相同目的主机交互数特征dst_host_count。

5.根据权利要求4所述的分布式拒绝服务检测方法，其特征在于，所述慢速攻击特征还包括如下至少一种或多种的组合：相同目的主机相同服务交互数特征dst_host_srv_count、相同目的主机相同服务占比特征dst_host_same_srv_rate、相同目的主机不同服务占比特征dst_host_diff_srv_rate、相同目的主机相同源端口占比特征dst_host_same_src_port_rate、相同目的主机相同服务不同源主机占比特征dst_host_srv_diff_host_rate、相同目的主机SYN错误占比特征dst_host_serror_rate、相同目的主机相同服务SYN错误占比特征dst_host_srv_serror_rate、相同目的主机REJ错误占比特征dst_host_rerror_rate和相同目的主机相同服务REJ错误占比特征dst_host_srv_rerror_rate。

6.根据权利要求1所述的分布式拒绝服务检测方法，其特征在于，所述应用层攻击特征包括：文件创建操作次数特征num_file_creations。

7.根据权利要求6所述的分布式拒绝服务检测方法，其特征在于，所述应用层攻击特征还包括如下至少一种或多种的组合：是否访客登录特征is_guest_login、访问敏感文件和目录次数特征hot、登录失败次数特征num_failed_logins和是否成功登录特征logged_in。

8.根据权利要求1所述的分布式拒绝服务检测方法，其特征在于，所述将所述待检测数据的特征信息输入预先构建的分布式拒绝服务检测模型包括：

将所述待检测数据的特征信息做降维处理，将降维后的待检测数据的特征信息输入预先构建的分布式拒绝服务检测模型。