[发明专利]DDoS攻击检测方法、装置、设备及计算机可读存储介质

说明书

本发明公开了一种DDoS攻击检测方法，包括：获取流量信息样本；初始化半监督模糊C均值SS‑FCM模型，得到目标SS‑FCM模型，并获取流量信息样本中各个流量信息对应的初始隶属度；将流量信息样本输入目标SS‑FCM模型进行迭代训练，并基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息；若所述目标聚类中心中DDoS攻击聚类中心存在流量信息，则确定DDoS攻击聚类中心中的流量信息为DDoS攻击流量。本发明还公开了一种DDoS攻击检测装置、设备及计算机程序产品。本发明能够根据动态阈值确定流量样本的聚类中心，无需进行人为设置阈值以及特征构造，降低了DDoS攻击检测的计算量，提高了DDoS攻击检测的准确率以及效率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种DDoS攻击检测方法、装置、设备及计算机可读存储介质。

背景技术

随着计算机网络技术的快速发展，网络攻击破坏行为也日益增加。其中，DDoS（Distributed Denial of Service，分布式拒绝服务）攻击破坏力惊人、影响巨大，是一种严重威胁网络安全攻击手段。DDoS攻击通常是利用僵尸网络对受害者发送大量的服务请求，造成受害者资源大量消耗，从而无法及时响应合法用户的请求，甚至完全瘫痪。随着网络技术的发展，DDoS攻击流量的也在不断增大，使其越来越难以检测。

目前，DDoS攻击检测及防御系统中DDoS攻击检测为整个系统的核心。常见的DDoS攻击检测包括基于熵的DDoS攻击检测以及基于攻击特征的DDoS攻击检测。其中，基于熵的DDoS攻击检测将DDoS攻击细分为不同的威胁等级，对每个威胁等级的攻击进行不同次数的检测。基于攻击特征的DDoS攻击检测采用线性预测技术，为正常网络流的IFFV时间序列建立了简单高效的ARMA(2,1)预测模型，能够迅速、有效地检测DDoS攻击，降低误报率。

但是，基于熵的DDoS攻击检测中判断阈值需要根据专家经验进行设置，阈值设置过低会使误检率增高，阈值设置过高会使漏检率上升，而基于攻击特征的DDoS攻击检测需要根据专家经验通过大量的数据进行特征提取以及特征构建，导致DDoS攻击检测的准确率较低。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种DDoS攻击检测方法、装置、设备及计算机可读存储介质，旨在解决现有DDoS攻击检测的准确率较低的技术问题。

为实现上述目的，本发明提供一种DDoS攻击检测方法，所述DDoS攻击检测方法包括以下步骤：

获取流量信息样本，其中，所述流量信息样本包括多个流量信息，所述流量信息包括未标记流量信息以及已标记流量信息；

基于预设数量的初始聚类中心初始化半监督模糊C均值SS-FCM模型，得到目标SS-FCM模型，并获取流量信息样本中各个流量信息对应的初始隶属度；

将流量信息样本输入目标SS-FCM模型进行迭代训练，并基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息；

若所述目标聚类中心中DDoS攻击聚类中心存在流量信息，则确定DDoS攻击聚类中心中的流量信息为DDoS攻击流量。

进一步地，所述将流量信息样本输入目标SS-FCM模型进行模型训练迭代训练，并基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息的步骤包括：

将流量信息样本输入所述目标SS-FCM模型，通过所述目标SS-FCM模型获得各个流量信息样本与各个聚类中心之间的距离对应的目标函数；

基于所述初始隶属度，通过所述目标SS-FCM模型确定所述目标函数对应的拉格朗日函数；