[发明专利]基于变分贝叶斯的网内DDoS攻击流量检测方法和系统

说明书

本发明提供了一种基于变分贝叶斯的网内DDoS攻击流量检测方法和系统，应用于交换机群，交换机群包括多个交换机，方法包括：获取流经每个交换机的流量数据；获取流量数据的多个目标特征向量；目标特征向量为可以判断流量数据是否为DDoS攻击流量的特征向量；基于多个目标特征向量，建立交换机群的高斯混合模型；高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布；基于每个交换机的流量数据，利用变分贝叶斯推断对高斯混合模型进行参数估计，得到多个估计结果；一个交换机对应于一个估计结果；基于多个估计结果，判断流量数据是否为DDoS攻击流量。本发明缓解了现有技术中存在的内存效率低下的技术问题。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种基于变分贝叶斯的网内DDoS攻击流量检测方法和系统。

背景技术

分布式拒绝服务攻击(Distributed denial of service，DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。DDoS是基于拒绝服务(Denial ofService，DoS)的分布式、协同的大规模攻击方式，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

现有主流的DDoS检测技术有：

1.PISA(Protocol independent switch architecture)协议独立的交换机架构，利用match-action表及可编程交换语言。每一个交换机存储流量计数、本地阈值，与中央协调器进行交互，达到对异常流量检测的目的。将目光集中到分布式交换机对流量检测的处理上。收集进入网络每一个交换机的流量，在本地通过算法计算当前的流量阈值，将阈值的信息汇报到中央协调器，再下发到交换机，将该预先设定的阈值与接受的流量比较，判断是否为异常流量。算法上使用的是自适应top-k算法。

2.基于SDN控制器，组合分类器。多层级、多模块构建DDoS攻击流量检测系统。在网络层部署机器学习算法和分类器，对到达的流量分析、检测，攻击未达物联网(TheInternet of Things，IoT)设备时已被拦截。

但是以上传统的DDoS攻击检测机制是基于中间设备或SDN控制器，缺乏全网监控信息，或者存在严重的南向通信开销和检测延迟。

目前提出的基于可编程交换机的异常流量检测算法，为了支持自适应阈值需要有很高的内存开销，每次有新的流量到来需重新计算，存在着内存效率低下的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种基于变分贝叶斯的网内DDoS攻击流量检测方法和系统，以缓解了现有技术中存在的内存效率低下的技术问题。

第一方面，本发明实施例提供了一种基于变分贝叶斯的网内DDoS攻击流量检测方法，应用于交换机群，所述交换机群包括多个交换机，所述方法包括：获取流经每个交换机的流量数据；获取所述流量数据的多个目标特征向量；所述目标特征向量为可以判断所述流量数据是否为DDoS攻击流量的特征向量；基于所述多个目标特征向量，建立所述交换机群的高斯混合模型；所述高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布；基于所述每个交换机的流量数据，利用变分贝叶斯推断对所述高斯混合模型进行参数估计，得到多个估计结果；一个交换机对应于一个估计结果；基于所述多个估计结果，判断所述流量数据是否为DDoS攻击流量。

进一步地，获取所述流量数据的多个目标特征向量，包括：提取所述流量数据的所有特征向量；利用随机森林算法对所述特征向量进行分类，确定每个特征向量所属类别；基于每个特征向量所属的类别在判断所述流量数据是否为DDoS攻击流量时的权重，对所述特征向量进行排序；将排序之后的特征向量中，排在前面N个的特征向量作为目标特征向量；N为正整数。