[发明专利]基于变分贝叶斯的网内DDoS攻击流量检测方法和系统

权利要求书

1.一种基于变分贝叶斯的网内DDoS攻击流量检测方法，其特征在于，应用于交换机群，所述交换机群包括多个交换机，所述方法包括：

获取流经每个交换机的流量数据；

获取所述流量数据的多个目标特征向量；所述目标特征向量为可以判断所述流量数据是否为DDoS攻击流量的特征向量；

基于所述多个目标特征向量，建立所述交换机群的高斯混合模型；所述高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布；

基于所述每个交换机的流量数据，利用变分贝叶斯推断对所述高斯混合模型进行参数估计，得到多个估计结果；一个交换机对应于一个估计结果；

基于所述多个估计结果，判断所述流量数据是否为DDoS攻击流量；

基于所述每个交换机的流量数据，利用变分贝叶斯推断对所述高斯混合模型进行参数估计，得到多个估计结果，包括：

基于目标交换机的流量数据，利用变分贝叶斯推断对所述高斯混合模型进行参数估计，得到目标估计结果；所述目标交换机为所述交换机群中的一个交换机；

基于目标交换机的流量数据，利用变分贝叶斯推断对所述高斯混合模型进行参数估计，得到目标估计结果，包括：

利用变分贝叶斯推断，将对所述高斯混合模型的参数估计转化为对目标自然参数向量的优化；

基于目标交换机的流量数据，对目标自然参数向量进行优化，得到初始自然参数向量；所述目标交换机为所述交换机群中的一个交换机；

获取与所述目标交换机相邻的多个交换机对所述目标自然参数向量进行优化时所得到的多个自然参数中间量；

基于所述多个自然参数中间量对所述初始自然参数向量进行迭代计算，得到优化之后的自然参数向量；其中，所述迭代计算为随机梯度下降计算方法；

基于所述优化之后的自然参数向量，对所述高斯混合模型进行参数估计，得到估计结果；

利用变分贝叶斯推断，将对所述高斯混合模型的参数估计转化为对目标自然参数向量的优化，包括：

高斯混合模型的数学形式如下：

，其中，每个p(x|ω_j,θ_j)都是一个高斯成分，共由c个成分组成，且满足约束条件：，每个成分都是高斯分布；

关于DDoS攻击流量检测的后验概率的近似解析表达式和证据的下界l(Q)，又称为变分自由能，变分自由能写成一个能量项与一个熵项相加的形式：

l(Q(Z))=E_Q[logP(z,x)]+H[Q(z)]

由朴素平均场理论，将优化问题的优化空间限制在较易刻画的分布子集中；将未观测变量的变分后验分布在z={z₁,...,z_M}上分解成：

在共轭指数族分布下，将Q(z)重参数化为：

q^*_m(z_m)=h(z_m)exp{Φ_m^*Tμ(z_m)-A(Φ_m^*)}；

其中，q^*_m是q_m的最佳分布，自然参数为超参数的函数，且不考虑局部变量和隐变量{y_i}；混合系数为{π_i}，Dirichlet分布的自然参数向量为：

Φ_πi=[α_i1-1,…,α_iK-1]^T

Normal-Wishart分布的自然参数向量为：

引入属于指数族的联合分布的全局自然参数向量Φ_θ,i：，该全局自然参数向量就是节点间交换的消息。