[发明专利]一种DDOS攻击检测的方法及装置

说明书

本发明公开了一种DDOS攻击检测的方法及装置，该方法包括获取单位时间内的流量的特征向量，对特征向量进行归一化处理得到待检测无量纲样本，将待检测无量纲样本与检测模型中的普通中心类进行聚类，确定出两个待检测类，检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的，若待检测无量纲样本所在的待检测类中仅包括待检测无量纲样本，则确定待检测无量纲样本为DDOS攻击样本。由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本，相比于现有的检测方案，可以降低DDOS攻击检测的误报率和漏报率，降低了系统的资源消耗，并且增强了多种DDOS攻击的检测能力。

技术领域

本发明实施例涉及大数据技术领域，尤其涉及一种分布式拒绝访问(DistributedDenial of Service，DDOS)攻击检测的方法及装置。

背景技术

目前DDOS检测所需的数据来自于Netflow日志，该日志提供了各种网络行为数据，包括七元组信息(源网络之间互连的协议(Internet Protocol，IP)、是源端口、目的IP、目的端口、协议、包数、字节数)。

在获得Netflow日志数据的基础上，当前的检测技术方案为对流进某个IP的报文包数或者报文流量，按照每一分钟为单位建立一个阈值，当发现某一类包数或者流量异常增大，超过阈值，则认为受到了相关的DDOS攻击。

但是，当前的DDOS攻击检测方案在实践中存在大量误报和漏报的情况，因此，急需一种新的DDOS攻击检测的方法。

发明内容

本发明实施例提供一种DDOS攻击检测的方法及装置，用以降低DDOS攻击检测的误报率和漏报率，降低了系统的资源消耗。

本发明实施例提供的一种DDOS攻击检测的方法，包括：

获取单位时间内的流量的特征向量；

对所述特征向量进行归一化处理得到待检测无量纲样本；

将所述待检测无量纲样本与检测模型中的普通中心类进行聚类，确定出两个待检测类；所述检测模型是根据历史流量样本进行基于特征聚类的半监督学习确定的；

若所述待检测无量纲样本所在的待检测类中仅包括所述待检测无量纲样本，则确定所述待检测无量纲样本为DDOS攻击样本。

由于通过基于特征聚类的半监督学习得到的检测模型来检测待检测无量纲样本是否为DDOS攻击样本，相比于现有的检测方案，可以降低DDOS攻击检测的误报率和漏报率，降低了系统的资源消耗，并且增强了多种DDOS攻击的检测能力。

可选的，所述根据历史流量样本进行特征聚类的半监督学习确定所述检测模型，包括：

获取单位时间的历史流量样本；

对每个历史流量样本进行归一化处理得到无量纲的二维向量；

使用基于欧式距离的K-means聚类算法对所述无量纲的二维向量进行第一次聚类，得到K个类的类中心点；

将所述K个类的类中心点作为聚类样本进行第二次聚类，得到两个检测类；

判断所述两个检测类中是否包括攻击中心点，若是，则去除多个所述无量纲的二维向量中所述攻击中心点所包含的所有的所述无量纲的二维向量，将剩余的所述无量纲的二维向量进行聚类，得到多个普通中心点作为所述检测模型；否则，将所述第一次聚类得到的K个类的类中心点作为所述检测模型。

可选的，所述判断所述两个检测类是否包括攻击中心点，包括：

针对所述两个检测类中的任一检测类，将所述检测类中的离远点最近的类中心点确定为第一类中心点；

将所述第一类中心点与另一检测类中的所有中心点进行聚类，得到两个判断类；