[发明专利]分布式拒绝服务检测方法、装置及模型创建方法、装置

说明书

本发明实施例提供一种分布式拒绝服务检测方法、装置及模型创建方法；包括：提取待检测数据的特征信息；特征信息包括洪流流量特征、慢速攻击特征和应用层攻击特征中的至少一种或多种的组合；将待检测数据的特征信息输入分布式拒绝服务检测模型，获取待检测数据是否包含分布式拒绝服务的检测结果；其中，分布式拒绝服务检测模型是将已知分布式拒绝服务攻击数据的洪流流量特征、慢速攻击特征、应用层攻击特征中的至少一种或多种的组合作为样本数据，采用机器学习方式训练得到的，用于获取待检测数据是否包含分布式拒绝服务的检测结果的模型。本发明实施例能够同时对洪流攻击、慢速攻击和应用层攻击中的一种或多种进行检测。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种分布式拒绝服务检测方法、装置及模型创建方法、装置。

背景技术

分布式拒绝服务(Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。DDoS具有多种类型，包括带宽消耗攻击(如洪流攻击)、系统资源消耗攻击(如恶意误用TCP/IP协议通信、发送畸形报文)、应用层攻击。DDoS攻击会造成网站无法访问，消耗大量带宽、内存，危害巨大。

DDoS检测是DDoS防御的重要一环。现有技术中，已经提出了多种DDoS检测方法。其中最为常见的DDoS检测方法包括基于统计学的检测方法、基于机器学习类的检测方法。

基于统计学的检测方法，如熵值检测法，具有检测效率高的优点，但此类检测方法只对特定攻击模型起作用，并且针对某一攻击模型研究检测方法的耗时较多、升级困难。

机器学习算法能够从海量数据中找出背后的实质信息，广受当今研究学者喜爱。机器学习类检测模型的优点是只要训练数据当中包含某种攻击的信息，算法就能够学习出这种攻击的检测，遇到新型攻击能够迅速通过训练数据的形式快速更新检测模型。虽然机器学习算法具有很多优势，但由于机器学习算法具有很高的计算复杂度从而导致算法的训练时间以及预测时间都较长。此外，现有的基于机器学习类的DDoS检测方法所选取的攻击特征类别不够宽泛，使得训练生成的检测模型所能识别的DDoS攻击类别有限。

发明内容

本发明实施例提供一种分布式拒绝服务检测方法、装置及模型创建方法、装置，用以解决现有技术中分布式拒绝服务检测方法所选取的攻击特征类别不够宽泛，使得训练生成的检测模型所能识别的分布式拒绝服务攻击类别有限的缺陷，实现对分布式拒绝服务全面、高效的应对。

本发明第一方面实施例提供一种分布式拒绝服务检测方法，包括：

提取待检测数据的特征信息；所述特征信息包括洪流流量特征、慢速攻击特征和应用层攻击特征中的至少一种或多种的组合；其中，所述洪流流量特征为能够反映洪流攻击的特征，所述慢速攻击特征为能够反映慢速攻击的特征，所述应用层攻击特征为能够反映应用层分布式拒绝服务攻击的特征；

将所述待检测数据的特征信息输入预先构建的分布式拒绝服务检测模型，获取所述待检测数据是否包含分布式拒绝服务的检测结果；其中，所述分布式拒绝服务检测模型是将已知的分布式拒绝服务攻击数据的洪流流量特征、慢速攻击特征、应用层攻击特征中的至少一种或多种的组合作为样本数据，采用机器学习方式训练得到的，用于获取待检测数据是否包含分布式拒绝服务的检测结果的模型。

基于本发明任一实施例，所述洪流流量特征包括如下至少一种或多种的组合：连续持续时间特征duration、源主机到目的主机字节数特征src_bytes、源IP地址特征src_ip、目的IP地址特征dst_ip和目的端口特征dst_port。