[发明专利]DDoS攻击态势评估方法及装置

权利要求书

1.一种DDoS攻击态势评估方法，其特征在于，所述方法包括以下步骤：

获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型，包括：

定义所述新老IP地址变化样本的IP分组，包括给定具有n个样本的正常网络流U和具有需要检测的m个样本的网络流V，定义所述样本为(T_i,S_i,D_i)，其中T_i表示数据包i的到达时间，S_i表示其源IP地址和D_i表示目的IP地址；

对所述IP分组进行过滤，得到IP地址集合，包括：在第k个Δt结束时，将从正常网络流U中取出对应于整个周期的网络流样本的IP包，定义为G_k，并丢弃所述G_k中无效IP地址，过滤后的样本组定义为F_k；

在单位时间内，对所述IP地址集合进行计算，得到基本模型参数，包括；获得F_k，建立一组代表当前网络老用户的IP地址集合O，在第一个Δt时间段内，将F₁中的所有源IP地址集合S合并到IP地址O中，并且最大老用户数为O_max＝||{S|S∈F₁}||，第k个(k1)时间的F_k的老用户数是F_k∩O，更新最大用户数O_max＝max(O_max,||F_k∩O||)，将每个源IP地址放在F_k中设置为IP地址集O，获得表示旧用户的最大值，特定的时间内新用户的数量N_k＝||F_k||-||F_k∩O||，集合F_k\O代表该时间段内的新用户，N_k代表同一时间段内新用户的数量，每个Δt时间段内新用户的平均数量为

提取所述新老IP地址变化样本的攻击特征，计算融合特征值，建立支持向量机分类模型，包括：在每个采样间隔中读取具有相同Δt的网络流V，定义字典W_k[S_k,i]，表示在第k个时间段内源IPS_k,i的访问次数，在每个Δt结束时，计算第k个时间间隔的四个特征

其中，B_k表示在特定时间间隔内在当前时间间隔k中出现的旧用户的百分比超过最大旧用户数，M_k代表当前时间间隔k中新用户数量相对于普通新用户数量的变化，L_k表示当前时间间隔k中新用户与最旧用户的比率，D_K表示新用户的访问率；

计算所述B_k,M_k,L_k，D_k的乘积，取所述B_k,M_k,L_k，D_k的乘积的负值，定义为BMLD_k；

根据所述支持向量机分类模型，进行DDoS攻击检测，构建所述新老IP地址变化样本的评估指标，包括：

分析数据集，选择适当的特征，对训练集进行归一化和简化；

构建多种所述支持向量机分类模型，分析分类模型参数和核函数参数优化过程；

初始化训练模型，导入所述训练集开始训练模型，获得超平面和分类决策函数；

在包含未知标签的测试集上测试构建的分类模型，分析实验结果，获得优化问题的结果；

根据DDoS攻击检测的结果，得到所述新老IP地址变化样本的评估指标，所述评估指标包括NIR，SAD，ANF；

所述NIR表示攻击的相对强度，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数，N_max表示正常情况下新IP的最大数量；

所述SAD表示攻击的绝对强度，公式如下：

其中DFI表示不同新IP的单向流中的报文数，SAD表示服务异常度；

所述ANF表示不同新IP地址与不同旧IP地址的比率，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数量，OD表示旧用户IP地址数量的动态变化；

根据所述评估指标，通过影响函数优化后建立云模型，包括：

根据所述评估指标，划分出影响函数的训练集；

通过黑塞矩阵将所述评估指标替换为所述影响函数，计算所述评估指标的影响函数值；

所述影响函数值赋予所述评估指标的权重比，建立所述影响函数优化云模型；

基于影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势，包括：

根据所述影响函数优化模型，定义风险度，计算网络节点的风险度值；

根据所述风险度值，评估网络节点的风险级别，通过云模型对所述网络节点融合的所述风险度值进行级别分类；

基于所述网络节点的级别，判断DDoS攻击势态的严重程度。

2.一种基于影响函数优化云模型的DDoS攻击态势评估装置，其特征在于，所述装置包括：

提取模块，用于获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型；

所述用于获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型，包括：

定义所述新老IP地址变化样本的IP分组，包括给定具有n个样本的正常网络流U和具有需要检测的m个样本的网络流V，定义所述样本为(T_i,S_i,D_i)，其中T_i表示数据包i的到达时间，S_i表示其源IP地址和D_i表示目的IP地址；

对所述IP分组进行过滤，得到IP地址集合，包括：在第k个Δt结束时，将从正常网络流U中取出对应于整个周期的网络流样本的IP包，定义为G_k，并丢弃所述G_k中无效IP地址，过滤后的样本组定义为F_k；

在单位时间内，对所述IP地址集合进行计算，得到基本模型参数，包括；获得F_k，建立一组代表当前网络老用户的IP地址集合O，在第一个Δt时间段内，将F₁中的所有源IP地址集合S合并到IP地址O中，并且最大老用户数为O_max＝||{S|S∈F₁}||，第k个(k1)时间的F_k的老用户数是F_k∩O，更新最大用户数O_max＝max(O_max,||F_k∩O||)，将每个源IP地址放在F_k中设置为IP地址集O，获得表示旧用户的最大值，特定的时间内新用户的数量N_k＝||F_k||-||F_k∩O||，集合F_k\O代表该时间段内的新用户，N_k代表同一时间段内新用户的数量，每个Δt时间段内新用户的平均数量为

提取所述新老IP地址变化样本的攻击特征，计算融合特征值，建立支持向量机分类模型，包括：在每个采样间隔中读取具有相同Δt的网络流V，定义字典W_k[S_k,i]，表示在第k个时间段内源IPS_k,i的访问次数，在每个Δt结束时，计算第k个时间间隔的四个特征

其中，B_k表示在特定时间间隔内在当前时间间隔k中出现的旧用户的百分比超过最大旧用户数、M_k代表当前时间间隔k中新用户数量相对于普通新用户数量的变化、L_k表示当前时间间隔k中新用户与最旧用户的比率、D_K表示新用户的访问率；

计算所述B_k,M_k,L_k，D_k的乘积，取所述B_k,M_k,L_k，D_k的乘积的负值，定义为BMLD_k；

检测模块，用于根据所述支持向量机分类模型，进行DDoS攻击检测，构建所述新老IP地址变化样本的评估指标；

所述根据所述支持向量机分类模型，进行DDoS攻击检测，构建所述新老IP地址变化样本的评估指标包括：

分析数据集，选择适当的特征，对训练集进行归一化和简化；

构建多种所述支持向量机分类模型，分析分类模型参数和核函数参数优化过程；

初始化训练模型，导入所述训练集开始训练模型，获得超平面和分类决策函数；

在包含未知标签的测试集上测试构建的分类模型，分析实验结果，获得优化问题的结果；

根据DDoS攻击检测的结果，得到所述新老IP地址变化样本的评估指标，所述评估指标包括NIR，SAD，ANF；

所述NIR表示攻击的相对强度，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数，N_max表示正常情况下新IP的最大数量；

所述SAD表示攻击的绝对强度，公式如下：

其中DFI表示不同新IP的单向流中的报文数，SAD表示服务异常度；

所述ANF表示不同新IP地址与不同旧IP地址的比率，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数量，OD表示旧用户IP地址数量的动态变化；

新建模块，用于根据所述评估指标，通过影响函数优化后建立云模型；

所述根据所述评估指标，通过影响函数优化后建立云模型包括：

根据所述评估指标，划分出影响函数的训练集；

通过黑塞矩阵将所述评估指标替换为所述影响函数，计算所述评估指标的影响函数值；

所述影响函数值赋予所述评估指标的权重比，建立所述影响函数优化云模型；

评估模块，用于基于影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势；

所述基于影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势包括：

根据所述影响函数优化模型，定义风险度，计算网络节点的风险度值；

根据所述风险度值，评估网络节点的风险级别，通过云模型对所述网络节点融合的所述风险度值进行级别分类；

基于所述网络节点的级别，判断DDoS攻击势态的严重程度。