[发明专利]一种DDOS攻击检测的方法及装置

权利要求书

1.一种分布式拒绝访问DDOS攻击检测的方法，其特征在于，包括：

获取单位时间内的流量的特征向量；

对所述特征向量进行归一化处理得到待检测无量纲样本；

将所述待检测无量纲样本与检测模型中的普通中心点进行聚类，确定出两个待检测类；所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的；

若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本，则确定所述待检测无量纲样本为DDOS攻击样本；

所述根据历史流量样本进行特征聚类的半监督学习确定所述检测模型，包括：

获取单位时间的历史流量样本；

对每个历史流量样本进行归一化处理得到无量纲的二维向量；

使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类，得到K个类的类中心点；

将所述K个类的类中心点作为聚类样本进行第二次聚类，得到两个检测类；

判断所述两个检测类中是否包括攻击中心点，若是，则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量，将剩余的所述无量纲的二维向量进行聚类，得到多个普通中心点作为所述检测模型；否则，将所述第一次聚类得到的K个类的类中心点作为所述检测模型。

2.如权利要求1所述的方法，其特征在于，所述判断所述两个检测类是否包括攻击中心点，包括：

针对所述两个检测类中的任一检测类，将所述检测类中的离远点最近的类中心点确定为第一类中心点；

将所述第一类中心点与另一检测类中的所有中心点进行聚类，得到两个判断类；

若所述第一类中心点所在的判断类中仅包含所述第一类中心点，则确定所述检测类中的类中心为所述攻击中心点；否则，确定所述第一类中心点不是所述攻击中心点，并将所述检测类中离远点次近的类中心点确定为所述第一类中心点，继续对所述第一类中心点与所述另一检测类中的所有中心点进行聚类，直到所述检测类中所有类中心点都不是所述攻击中心点为止。

3.如权利要求1或2所述的方法，其特征在于，所述流量的特征向量包括流量均值和流连接密度熵；所述流连接密度为单位时间内流数量。

4.如权利要求3所述的方法，其特征在于，所述检测模型中包括所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值；

所述对所述特征向量进行归一化处理得到待检测无量纲样本，包括：

根据所述流量均值的最大值和最小值以及所述流连接密度熵的最大值和最小值对所述特征向量进行归一化处理得到待检测无量纲样本。

5.一种分布式拒绝访问DDOS攻击检测的装置，其特征在于，包括：

获取单元，用于获取单位时间内的流量的特征向量；

处理单元，用于对所述特征向量进行归一化处理得到待检测无量纲样本；以及将所述待检测无量纲样本与检测模型中的普通中心点进行聚类，确定出两个待检测类；所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的；若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本，则确定所述待检测无量纲样本为DDOS攻击样本；

所述处理单元具体用于：

获取单位时间的历史流量样本；

对每个历史流量样本进行归一化处理得到无量纲的二维向量；

使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类，得到K个类的类中心点；

将所述K个类的类中心点作为聚类样本进行第二次聚类，得到两个检测类；

判断所述两个检测类中是否包括攻击中心点，若是，则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量，将剩余的所述无量纲的二维向量进行聚类，得到多个普通中心点作为所述检测模型；否则，将所述第一次聚类得到的K个类的类中心点作为所述检测模型。