[发明专利]基于灰色预测模型检测分布式拒绝服务网络攻击的方法

权利要求书

1.一种基于灰色预测模型检测分布式拒绝服务网络攻击的方法，包括

(1)获取运行网络的网络流量，并提取网络流量的特征值；

(2)根据所得到的运行网络流量的特征值建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型：

2a)根据提取的网络流量的特征值，得到网络流量的初始特征值序列

其中，f_m⁽⁰⁾(l)为网络流量的初始特征值序列的第l个分量，L为建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型的数据量，m＝1，表示建立的是网络背景辐射流量的模型，m＝2表示建立的是非网络背景辐射流量的模型；

2b)计算的一阶累加序列为：

其中，为的第l个分量；

2c)计算一阶累加序列的紧邻均值生成序列Z⁽¹⁾：

Z⁽¹⁾＝(z⁽¹⁾(1),z⁽¹⁾(2),...,z⁽¹⁾(l),...,z⁽¹⁾(L))，

其中，为紧邻均值生成序列Z⁽¹⁾的第l个分量；

2d)构建一阶单变量灰色模型的灰色微分方程为：

其中，a为发展系数，b为灰色作用量；

2e)求解2d)中灰色微分方程的系数矩阵：得到a和b的解，其中：

为用Z⁽¹⁾的分量所构成的矩阵，为用的分量所构成的矩阵；

2f)根据2e)计算得到的a和b的解，得到2d)中微分方程的解为：

其中，为网络流量的初始特征值序列的第二个值；

2g)根据2f)得到的微分方程的解，通过计算建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型：

其中，为微分方程的解的第l+1项，为微分方程解的第l项；

(3)根据(2)所建立一阶单变量灰色模型，得到待测运行网络流量经过两种一阶单变量灰色模型后所得的值，简记为灰色值，并分别计算两个灰色值与初始值之间的差值，将差值小的灰色值所对应的模型判定为待测运行网络流量所对应的模型；

(4)根据(1)所得到的运行网络流量的特征值，建立网络背景辐射流量的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型:

其中，是所要建立的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型，l＝1,2,3,…，表示序列的第l个值，为原始网络流量的特征值序列的第一个值，n＝1，表示建立的是正常的网络背景辐射流量的模型，n＝2，表示建立的是分布式拒绝服务DDoS攻击流量的模型，a为发展系数，b为灰色作用量；

(5)根据(4)所建立一阶单变量灰色模型，得到待测网络背景辐射流量经过两种一阶单变量灰色模型后所得的灰色值，并分别计算两种灰色值与运行网络流量的特征值初始值之间的差值，将差值小的灰色值所对应的模型判定为待测网络背景辐射流量所对应的模型；

(6)根据(5)得到待测网络背景辐射流量所对应的模型，判断待测的网络背景辐射流量所在的网络中是否存在分布式拒绝服务DDoS攻击：

若待测的网络辐射背景流量所对应的模型为分布式拒绝服务DDoS攻击的一阶单变量灰色模型，则该待测网络辐射背景流量为分布式拒绝服务DDoS攻击流量，判为网络中存在分布式拒绝服务DDoS攻击；

若待测的网络辐射背景流量所对应的模型为正常网络背景辐射流量的一阶单变量灰色模型，则待测网络辐射背景流量为正常流量，判为网络中不存在分布式拒绝服务DDoS攻击。

2.根据权利要求1所述的方法，其特征在于，步骤(1)中提取网络流量的特征值，是通过分别统计单位时间1秒内通过网络的网络背景辐射流量、非网络背景辐射流量、网络背景辐射流量中的分布式拒绝服务DDoS流量以及待测的网络流量中包含的数据包的数目，将这些数据包的数目作为提取的网络流量的特征值。

3.根据权利要求1所述的方法，其特征在于，步骤(3)中初始值是指提取的待测运行网络流量的初始特征值。