[发明专利]一种基于多维度状态转移矩阵特征的DDos识别方法和系统

权利要求书

1.一种基于多维度状态转移矩阵特征的DDos识别方法，其特征在于，包括以下步骤：

1）采集网络流元数据，并标注DDos流量与正常流量；

2）利用采集并标注的网络流元数据，基于状态转移矩阵提取DDos的多维度特征；所述多维度特征包括：基于流的特征、基于模式的特征和基于频率的特征；所述基于流的特征对DDos流量与正常流量在统计量上的不同表征进行刻画；所述基于模式的特征是通过对观测数据的分析找到上下行包数及字节数的代表序列，构建上下行包数及字节数的累加值转移矩阵，用以刻画DDos的模式特征；所述基于频率的特征体现DDos流量与正常流量在对目标主机的访问频率上存在的差异；

3）利用提取的多维度特征，采用机器学习算法训练随机森林分类模型；

4）将待测的网络流数据按照步骤2）提取多维度特征，输入到步骤3）训练得到的随机森林分类模型中，获得DDos识别结果。

2.根据权利要求1所述的方法，其特征在于，步骤1）通过部署多种DDos攻击工具，对目标网络进行攻击，在路由器端收集流量的Netflow数据，利用源IP标注DDos流量与正常流量。

3.根据权利要求1所述的方法，其特征在于，步骤2）首先将Netflow原始属性按设定的时间窗口，以IP地址为key进行聚合，然后对每个时间窗口内的Netflow属性提取多维度特征。

4.根据权利要求1所述的方法，其特征在于，所述基于流的特征包括：上行总包数、上行总字节数、上行持续时间、下行总包数、下行总字节数、下行持续时间。

5.根据权利要求1所述的方法，其特征在于，按照以下方式提取所述基于模式的特征：

a）将时间窗口内Netflow数据的上下行包数、字节数划分成若干个时间格子；

b）对每个时间格子进行累加值频率直方图分析，选取能够覆盖设定的阈值的正常流量数据的值作为当前格子代表值，生成上下行包数、上下行字节数代表序列；

c）取时间窗口中Netflow数据的上行包数、上行字节数、下行包数、下行字节数，计算每个时间格子的累加值，利用代表序列，生成状态转移矩阵，并最终转化为固定维度的模式特征。

6.根据权利要求5所述的方法，其特征在于，步骤a）所述时间窗口为10s，将10s内Netflow数据的上下行包数、字节数划分成[0,2)、[2,4)…共5个时间格子；步骤b）所述设定的阈值为99%；步骤c）利用代表序列，生成四个5x5的状态转移矩阵，转化为1x100大小作为模式特征。

7.根据权利要求1所述的方法，其特征在于，所述基于频率的特征包括：流数目、码率。

8.根据权利要求1所述的方法，其特征在于，步骤3）将多维度特征转化为向量输入到随机森林中，调整算法参数，训练随机森林分类模型。

9.一种采用权利要求1~8中任一权利要求所述方法的基于多维度状态转移矩阵特征的DDos识别系统，其特征在于，包括：

数据采集模块，负责采集网络流元数据，并标注DDos流量与正常流量；

多维度特征构建模块，负责利用采集并标注的网络流元数据，基于状态转移矩阵提取DDos的多维度特征；所述多维度特征包括：基于流的特征、基于模式的特征和基于频率的特征；所述基于流的特征对DDos流量与正常流量在统计量上的不同表征进行刻画；所述基于模式的特征是通过对观测数据的分析找到上下行包数及字节数的代表序列，构建上下行包数及字节数的累加值转移矩阵，用以刻画DDos的模式特征；所述基于频率的特征体现DDos流量与正常流量在对目标主机的访问频率上存在的差异；

模型训练模块，负责利用提取的多维度特征，采用机器学习算法训练随机森林分类模型；

DDos识别模块，负责调用所述多维度特征构建模块对待测的网络流数据提取多维度特征，输入到所述模型训练模块得到的随机森林分类模型中，获得DDos识别结果。