[发明专利]基于流数据的黎曼流形结构的DDoS攻击检测方法

说明书

本发明公开了一种基于流数据的黎曼流形结构的DDoS攻击检测方法。本发明首先对流数据进行数学建模，对高维度的、复杂的流数据特征进行预处理，最终以“做功”作为描述流数据的唯一特征；然后，使用傅里叶变换得到“做功”的频域信息以及计算“做功”的信息熵作为机器学习的输入特征。本发明方法是一种轻量级的检测方法，其用于训练的数据特征少，对DDoS攻击的检测速度快；同时，实现该方法的技术难度小，但准确率高。

技术领域

本发明涉及DDoS攻击检测技术领域，具体涉及一种基于流数据的黎曼流形结构的DDoS攻击检测方法。

背景技术

近年来针对DDoS攻击检测的研究热点主要集中在机器学习领域。但是大多数机器学习方法需要大量的优质数据集作为训练数据，或使用计算难度相对较大的深度学习算法才能获得比较好的检测效果。这导致这些方法的检测成本和资源消耗过大，从而导致检测和抵御DDoS攻击的成本远高于攻击实施成本，针对DDoS攻击的检测产品价格昂贵且不易普及。

如David J等人(David J,Thomas C.DDoS attack detection using fastentropy approach on flow-based network traffic[J].Procedia Computer Science,2015,50(4):30-36.)提出了基于流分析的快速熵方法对分布式拒绝服务攻击检测的改进，采用了一种自适应阈值算法该方法在传统熵变换的基础上提高了检测效率并降低了检测成本，但该检测方法只能针对流量中的地址数量体现出的信息熵进行计算，当出现大量不同源IP地址的分布式慢速DoS攻击时，该方法的有效性值得怀疑。另外，Qin X等人(Qin X,Xu T,Wang C.DDoS Attack Detection Using Flow Entropy and Clustering Technique[C]//2015 11th International Conference on Computational Intelligence andSecurity(CIS).IEEE,2016.)通过构建不同特征的熵向量，使用聚类分析算法建模正常模式，然后检测所创建模型的偏差。该方法具备一定的准确性，但是其需要在数据规模达到6000以上时，才能有较好的准确性。计算成本和检测速率较低。同时，该方法并未提及关于特征阈值的置的理论依据。Wang等人(Wang R,Jia Z,Ju L.An Entropy-BasedDistributed DDoS Detection Mechanism in Software-Defined Networking[C]//IEEETrustcom/bigdatase/ispa.IEEE,2015.)将流数据定义为一个五元组，利用该五元组计算统计不同IP数据流出现的概率，通过该概率计算正常流量和异常流量的熵值，进而对DDoS进行检测。该方法降低了计算和检测成本，可以较为简单的部署在边界防护设备上，但是准确率较低，实用性不强。

David J等人(David J,Thomas C.Efficient DDoS Flood Attack Detectionusing Dynamic Thresholding on Flow-Based Network Traffic[J].ComputersSecurity,2019,82(MAY):284-295.)提出了一种基于流量特征和动态门限检测算法的分布式拒绝服务攻击统计检测方法。采用统计方法，对网络流量特征如包数量、源IP、目标IP、源协议都要考虑。该方法对DDoS特征进行了明确定义，包括大量唯一的源IP、目的地址相同(端口可不同)、大量的包、协议相同、包长度在40-60byte之间。这种定义会导致在检测混合攻击时精度降低。