CN110445766B - DDoS攻击态势评估方法及装置 - Google Patents

Abstract

本发明公开了一种DDoS攻击态势评估方法及装置，获取新老IP地址变化样本，提取新老IP地址变化样本的攻击特征，定义新老IP地址变化样本的融合特征值，建立支持向量机分类模型；根据支持向量机分类模型，进行DDoS攻击检测，构建新老IP地址变化样本的评估指标；根据影响函数优化后的评估指标，建立攻击态势评估云模型；基于云模型，评估新老IP地址变化样本的DDoS攻击态势。本发明不仅可以提高检测率，降低DDoS攻击漏报率，而且可以有效地评估DDoS攻击的安全态势。

Description

DDoS攻击态势评估方法及装置

技术领域

本发明涉及互联网技术领域，特别涉及一种DDoS攻击态势评估方法及装置。

背景技术

分布式拒绝服务攻击(Distributed Denial of Service，DDoS)源于拒绝服务攻击(Denial of Service，DOS)，是黑客常用的一种攻击手段，难以防范。通常由一个有组织、分布式或远程控制的僵尸网络发起。DDoS攻击通常表现为网络连接被中断或延迟，这会降低网络的性能，造成网络瘫痪。

在各种类型的安全威胁中，DDoS攻击的危险尤为严重。通过控制网络中不同位置的多个主机同时攻击受害者，攻击者利用资源的不对称性来生成大量攻击流量，从而导致服务缺陷，从而阻止合法用户正常访问目标服务；作为互联网面临的最重要的安全威胁之一，频繁的DDoS攻击给整个社会带来了重大的经济损失。但是，传统的单一防御设备或检测设备因存在检测效率低，攻击误报率高，无法有效的评估DDoS攻击的安全态势等问题而无法满足安全要求。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种DDoS攻击态势评估方法及装置。所述技术方案如下：

第一方面，提供一种DDoS攻击态势评估方法及装置，所述方法包括：

获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型；

根据所述支持向量机分类模型，进行攻击识别检测，建立所述新老IP地址变化样本的评估指标；

根据所述评估指标，通过影响函数优化后建立云模型；

基于影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势。

进一步地，所述获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，计算所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型，包括：

定义所述新老IP地址变化样本的IP分组；

对所述IP分组进行过滤，得到IP地址集合；

在单位时间内，对所述IP地址集合进行计算，得到基本模型参数；

提取所述新老IP地址变化样本的攻击特征，计算融合特征值，建立支持向量机分类模型。

进一步地，所述根据所述支持向量机分类模型，进行攻击识别检测，建立所述新老IP地址变化样本的评估指标，包括：

分析数据集，选择适当的特征，对训练集进行归一化和简化；

构建多种所述支持向量机分类模型，分析分类模型参数和核函数参数优化的过程；

初始化训练模型，导入所述训练集开始训练模型，获得超平面和分类决策函数；

在包含未知标签的测试集上测试构建的分类模型，分析实验结果，获得优化问题的结果；

根据攻击识别检测的结果，得到所述新老IP地址变化样本的评估指标。

进一步地，所述根据所述评估指标，建立所述影响函数优化云模型，包括：

根据所述评估指标，划分出影响函数的训练集；

通过黑塞矩阵将所述评估指标替换为所述影响函数，计算所述评估指标的影响函数值；

所述影响函数值赋予所述评估指标的权重比，建立所述影响函数优化云模型。

进一步地，所述基于所述影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势，包括：

根据所述影响函数优化模型，定义风险度，计算网络节点的风险度值；

根据所述风险度值，评估网络节点的风险级别，通过云模型对所述网络节点融合的所述风险度值进行级别分类，

基于所述网络节点的级别，判断DDoS攻击势态的严重程度。

第二方面，提供一种基于影响函数优化云模型的DDoS攻击态势评估装置，所述装置包括：

提取模块，用于获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型；

检测模块，用于根据所述支持向量机分类模型，进行攻击识别检测，建立所述新老IP地址变化样本的评估指标；

新建模块，用于根据所述评估指标，建立所述影响函数优化云模型；

评估模块，用于基于所述影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势。

进一步地，所述提取模块还用于：

定义所述新老IP地址变化样本的IP分组；

对所述IP分组进行过滤，得到IP地址集合；

在单位时间内，对所述IP地址集合进行计算，得到基本模型参数；

提取所述新老IP地址变化样本的攻击特征，计算融合特征值，建立支持向量机分类模型。

进一步地，所述检测模块还用于：

分析数据集，选择适当的特征，对训练集进行归一化和简化；

构建多种所述支持向量机分类模型，分析分类模型参数和核函数参数优化的过程；

初始化训练模型，导入所述训练集开始训练模型，获得超平面和分类决策函数；

在包含未知标签的测试集上测试构建的分类模型，分析实验结果，获得优化问题的结果；

根据攻击识别检测的结果，得到所述新老IP地址变化样本的评估指标。

进一步地，所述新建模块还用于：

根据所述评估指标，划分出影响函数的训练集；

通过黑塞矩阵将所述评估指标替换为所述影响函数，计算所述评估指标的影响函数值；

所述影响函数值赋予所述评估指标的权重比，建立所述影响函数优化云模型。

进一步地，所述评估模块还用于：

根据所述影响函数优化模型，定义风险度，计算网络节点的风险度值；

根据所述风险度值，评估网络节点的风险级别，通过云模型对所述网络节点融合的所述风险度值进行级别分类；

基于所述网络节点的级别，判断DDoS攻击势态的严重程度。

在本发明中，根据IP地址中正常网络流量和DDoS攻击期间网络流量的不同特征，根据新老用户网络流量IP地址的状态变化特征，定义了融合特征值，利用支持向量机分类模型识别DDoS攻击，支持向量机分类模型能够更好地识别攻击，评估指标更好地评估了攻击流量对网络节点的影响，使用的云模型可以有效地对攻击流进行分类，级别分类可以更好地反映网络节点对DDoS攻击的影响。这样，可以通过正常网络流量样本和DDoS攻击流量样本对影响函数优化云模型进行训练，该方法能够合理地评估DDoS攻击的安全势态，可以提高检测率，降低DDoS攻击漏报率，且该方法更准确和灵活。

附图说明

图1为本发明实施例提供的DDoS攻击态势评估方法及装置流程图；

图2为本发明实施例提供的不同类型的内核函数下的V-SVM分类示意图；

图3为本发明实施例提供的网络节点及其对应权重的拓扑图；

图4为本发明实施例提供的具有不同Δt的网络流的BMLD值对比图；

图5为本发明实施例提供的V-SVM与C-SVM两种不同方法的检测率对比图；

图6为本发明实施例提供的不同风险程度云模型还原图；

图7为本发明实施例提供的基于影响函数优化云模型的DDoS攻击态势评估装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如附图1所示，本发明实施例提供一种DDoS攻击态势评估方法及装置，所述方法包括以下步骤。

步骤101：获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型。

在实施例中，首先可以先获取新老IP地址变化样本，其中，受害主机可以是任意服务器或者个人计算机。之后，可以根据正常网络流和受攻击网络流在攻击特征上的不同，来定义新老IP地址变化样本的融合特征值。

具体的，上述提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型可以如下：

1)定义所述新老IP地址变化样本的IP分组。

给定具有n个样本的正常网络流U和具有需要检测的m个样本的网络流V，本实施例中将每个样本定义为(T_i,S_i,D_i)，其中T_i表示数据包i的到达时间，S_i表示其源IP地址和D_i表示目的IP地址。

2)对所述IP分组进行过滤，得到IP地址集合。

本实施例中用正常网络流量U训练识别网络流量V的模型，在训练和检测过程中，Δt参数是相同的。在上述定义之后，在训练过程中，在第k个Δt结束时，我们将从正常网络流U中取出对应于整个周期的网络流样本的IP包，并定义它为G_k。并且对于G_k中的每个IP分组，如果IP分组中包含的IP地址无效，则该IP地址将被从G_k中丢弃。我们将过滤后的样本组定义为F_k。

3)在单位时间内，对所述IP地址集合进行计算，得到基本模型参数。

当获得每个F_k时，我们逐渐建立一组IP地址集合O，它代表当前网络老用户。在第一个Δt时间段内，我们将F₁中的所有源IP地址集合S合并到IP地址O中，并且最大老用户数为O_max＝||{S|S∈F₁}||。随后，为第k个(k>1)时间计算的F_k的老用户数是F_k∩O，然后我们更新最大用户数O_max＝max(O_max,||F_k∩O||)。最后，在计算O_max之后，我们将每个源IP地址放在F_k中设置为IP地址集O.通过重复此操作，我们可以获得表示旧用户的最大值。特定的时间段，在更新O_max时，我们还需要计算此时间段内新用户的数量N_k＝||F_k||-||F_k∩O||。由于我们已经知道集合F_k∩O代表我们的旧用户，因此相应地，集合F_k\O代表该时间段内的新用户，并且N_k是同一时间段内新用户的数量。以同样的方式，我们还可以计算每个Δt时间段内新用户的平均数量为

4)提取所述IP地址变化样本的攻击特征，计算融合特征值，建立支持向量机分类模型。

当我们得到这四个基本模型参数时，可以启动网络流量检测操作。我们在每个采样间隔中读取具有相同Δt的网络流V，定义字典W_k[S_k,i]，表示在第k个时间段内源IPS_k,i的访问次数。在每个Δt结束时，我们计算第k个时间间隔的四个特征。然后定义如下。

在上等式中，B_k表示在特定时间间隔内在当前时间间隔k中出现的旧用户的百分比超过最大旧用户数、M_k代表当前时间间隔k中新用户数量相对于普通新用户数量的变化、L_k表示当前时间间隔k中新用户与最旧用户的比率、D_K表示新用户的访问率，更具体地说，融合特征值是指k时间段内每秒新用户的访问次数。

根据实际情况，当网络正常时，我们的旧用户将以相对固定的模式访问。该访问模式可以用作DDoS攻击识别的先验条件；假设在训练过程中O_max＝400，那么在检测流程中如果||G_k∩O||＝200老用户，结果计算的结果是

因为B是带符号的浮点数，所以它可以表示与旧用户相比的O_max的最大值，即当前增量的百分比或旧用户数的减少。

根据DDoS的定义，假设在DDoS攻击下网络流中应该有很多新用户，所以||G_k\O||假设在正常条件下远大于新用户的数量，特征值M是表示在当前时间段中相对于在训练集中学习的新用户学习的新用户的平均值的变化量。

如果发生DDoS攻击，有理由推测当前新用户数||G_k\O||大于当前的旧用户数；但是，可能只有少数旧用户，也会出现少量新用户，在这种情况下，如果新用户的数量大于旧用户，则

会引起波动；因此，当前找到的新用户数与培训中旧用户的最大值的比率被用作L.基于M和L，如果发生DDoS攻击，则新用户的访问率将是因为网络将从攻击者那里收到许多洪水包，所以价值很大。在正常流量或网络拥塞中，因为每个普通用户将遵守TCP/IP协议，所以访问率D将是相对小的常数值。

由于计算融合特征值的方式，重要的是避免任何特征值为0.因此，改进了B_k和L_k的计算方法。

在B_k,M_k,L_k和D_k已定义的基础上，我们首先计算它们的乘积，然后我们取它的负值。该负值定义为BMLD_k。

步骤102：根据所述支持向量机分类模型，进行攻击识别检测，建立所述IP地址变化样本的评估指标。

在实施例中，首先分析数据集，选择适当的特征，对训练集进行归一化和简化；构建多种所述支持向量机分类模型，分析分类模型参数和核函数参数优化的过程；初始化训练模型，导入所述训练集开始训练模型，获得超平面和分类决策函数；在包含未知标签的测试集上测试构建的分类模型，分析实验结果，获得优化问题的结果；根据攻击识别检测的结果，得到所述IP地址变化样本的评估指标。

支持向量机方法(SVM)基于统计学习的VC维理论和结构风险最小化原理。根据有限样本的信息，与神经网络，决策树等其他机器学习算法相比，SVM分类器结构设计更简单，计算复杂度更高，泛化性能更好。它在解决小样本，非线性和高维模式识别方面具有许多突出的优点

实际存在的大多数分类问题都是非线性的，支持向量机方法是选择用于非线性扩展的核函数。根据实际问题和研究对象，选择合适的核函数往往对模型的分类效果起决定性作用。在线性，多项式，径向基函数和Sigmoid四种不同类型的核函数的条件下，选择部分训练集的前两个维度用于可视化。附图2中，分隔线的右边星点和左边星点标记分别代表正常样本点和攻击样本点，黑色全中的星点标记表示支持向量。如附图2a-2d所示，横纵坐标表示样本点的坐标值，仅仅表示一个数值，核心功能对决策超平面位置的影响在视觉上得到反映。与其他核函数相比，本实施例中选择了RBF核函数，因为RBF核函数具有最高的分类精度和最低的漏报率。

尽管参数V很好地控制了支持向量和误差向量的数量，但是由于训练的特定对象的差异以及每个特征对分类结果的不同影响程度，可能无法实现预期的检测结果。目前，国内外尚无一套统一的V值选择方法。基于具体数据，本实施例中分析了人工经验值V对DDoS攻击检测的影响，从而选择了合适的V值，请参阅附图2a-2d，为不同类型的内核函数下的V-SVM分类示意图。

具体的，检测过程如下，首先，分析数据集，选择适当的特征，并对训练集进行归一化和简化。第二步是构建各种SVM分类模型，研究分类模型参数和核函数参数优化的过程。第三步是初始化训练模型，导入训练集开始训练模型，将原问题转化为优化问题，然后构造拉格朗日函数，原问题二元化，核函数为选择最优解α，通过序列微型优化(SMO)算法求解对偶问题，求解问题的最优解w和b。最后，我们获得超平面和分类决策函数。

最后一步，在包含未知标签的测试集上测试构建的分类模型，并分析实验结果。SMO算法是一种启发式算法，基本思想是，如果所有变量的解满足该优化问题的Karush-Kuhn-Tucker(KKT)条件，则获得该优化问题的解。

基于以上检测结果，本实施例中开始评估DDoS攻击的影响。为了更好地处理DDoS攻击态势的多因素，模糊性和主观判断，本实施例中量化了原始的定性评价，然后提出了三个指标NIR、SAD、ANF,具体公式如下：

一方面，在正常情况下，访问网站的新IP数量很少，因为访问该网站的用户基本上是老用户。当发生DDoS攻击时，会伴随着大量新IP的出现，因此攻击时新IP数量与正常时间新IP最大数量的比例是非常有意义的值。因此本实施例中提出新IP比(NIR)，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数，N_max表示正常情况下新IP的最大数量。NIR表示攻击的相对强度，即攻击新IP相对于正常新IP最大值相对于正常条件的变化程度。例如，当出现大量新IP时，不能说这是攻击，或者可能是网络拥塞或热门事件。因此，使用相对值可以更好地描述发生攻击时新IP的变化。

另一方面，DDoS攻击可能导致拒绝服务，即攻击者向受害者发送大量数据包，但它不接受第三次握手，因此没有返回的网络流量可以定义为One-Way-Flow(OWF)。当攻击发生时，攻击强度会随着时间的推移而增加，攻击者发送的IP数据包将逐渐增加。所以我们可以定义攻击的绝对强度如下：

DFI表示不同新IP的单向流中的报文数，SAD表示服务异常度，即发生攻击时，新IP的报文数随时间增加，可用于测量DDoS的绝对强度。

在正常情况下，旧IP的数量通常大于新IP。当发生DDOS攻击时，新IP的数量逐渐增加，而旧IP的数量逐渐减少。为了表达新旧IP之间的动态，我们定义了以下公式：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数量，OD表示旧用户IP地址数量的动态变化，ANF表示不同新IP地址与不同旧IP地址的比率。

步骤103：根据所述评估指标，建立所述影响函数优化云模型。

在实施例中，首先根据所述评估指标，划分出影响函数的训练集；

通过黑塞矩阵(Hessian矩阵)将所述评估指标替换为所述影响函数，计算所述评估指标的影响函数值；

所述影响函数值赋予所述评估指标的权重比，建立所述影响函数优化云模型。

由于NIR，SAD和ANF的权重不同，我们可以使用影响函数为它们分配权重，影响函数的公式定义如下：

其中

是Hessian矩阵，假设是正的，

是梯度，单个训练样本z对模型参数θ的影响。然后我们将这三个指标替换为影响函数，然后分别计算它们的影响函数值，并通过值的大小为三个指标赋予权重。计算出的三个指标为NIR’＝F(NIR),SAD’＝F(SAD),ANF’＝F(ANF)。

步骤104：基于所述影响函数优化云模型，评估所述IP地址变化样本的DDoS攻击态势。

在实施例中，在影响函数优化云模型下，定义风险度，计算网络节点的风险度值；

根据所述风险度值，评估网络节点的风险级别，通过云模型对所述网络节点融合的所述风险度值进行级别分类，

具体的，定义风险度(RD)，这意味着系统在ddos攻击下的风险程度，公式如下：

RD＝NIR'×SAD'×ANF'

此值用于评估每个网络节点的风险级别。对每个网络节点融合的RD进行分类，分为正常，低风险，中等风险和高风险；然后，合并每个网络节点的四个级别，然后将级别划分为四个级别，这表示整个网络节点状态正常，受到轻微影响，严重损坏和破坏。

由于每个网络节点的重要性不同，如附图3所示，本实施例中将每个节点的权重设置为α₁,α₂,…,α_n，对于骨干节点，权重会更大。如果节点的资产很重要，那么节点的权重也应该很大，附图3为网络节点及其对应权重的拓扑图。

基于所述网络节点的级别，判断DDoS攻击势态的严重程度。

在本实施例中，云模型被用作技术等级分类模型，该模型用于处理定性概念和定量描述的不确定变换。大多数云模型用于许多领域，如数据挖掘，决策分析和智能控制。

具体的，定义云和云滴，设U是精确数值表示风险的定量域，C是U的定性概念，即攻击程度的评估，为正常，轻微，严重和破坏性四种攻击程度，如果定量值为x∈U是定性概念C的随机实现，对于C，x的某些μ(x)∈[0,1]的度数：xforC:μ:U→[0,1],

然后域U上的x分布称为云，并将其记录为云C(X)。每个x称为云滴。如果对应于该概念的域是n维空间，则它可以扩展到n维云。

云模型表达的整体特征可以反映在云的数字特征中。云使用三维特征，例如期望值(Ex)，熵(En)和超熵(He)来表示概念。多维云模型的整体特征可以由多组数字特征表示。

Ex是对宇宙中云滴空间分布的期望，最能代表定性概念的点，或者这个概念量化的最典型样本；En表示定性概念的可测量粒度。通常，熵越大，概念越宏观。它也是定性概念不确定性的度量，它由概念的随机性和模糊性决定。一方面，En是对定性概念随机性的度量，反映了可以代表这种定性概念的云滴的分散程度；另一方面，它也是对定性概念的衡量，反映了概念空间可以接受的云滴值的范围；他是熵的不确定性度量，即熵的熵，它是由熵的随机性和模糊性决定的。由三个数字特征表示的定性概念的总体特征表示为C(Ex，En，He)。本实施例中采用反向云生成器实现风险程度向DDoS攻击影响程度的转换，公式和算法如下：

在影响函数优化云模型下，DDoS攻击检测具有更高的检测率、更低的误报率和错误率等优势，为了说明所述优势，使用样本进行试验，如附图3所示，本实施例的实验基于数据集CAIDA DDoS攻击2007，数据集的大小为21GB；在此数据集中，正常网络流在13:49:36开始，DDoS攻击发生在14:15:56左右。

为了合理的评价提出的攻击态势评估实验的效率，使用了一些评价指标充分说明其检测功能，如准确率(AR)，检测率(DR)，丢失率(MR)，这些评价指标可以均以百分比表示。假设TP是正确标记的正常样本数量，TN是正确标记的攻击样本数量，FN是错误标记的攻击样本数量，FP是错误标记的正常样本数量，那么，可以通过下述公式计算准确率(AR)，检测率(DR)，丢失率(MR)：

其中TN表示正确识别的攻击样本的数量，FN表示错误识别的攻击样本的数量，TP表示正确识别的正常样本的数量，FP表示错误识别的正常样本的数量。

在本实施例中，我们使用不同的Δt为100ms，400ms，800ms，1000ms，1600ms和2000ms作为训练模型的参数，并将纵坐标中网络流量的BMLD值与横坐标中不同的时间Δt进行比较，如附图4a-4f所示。

从6幅比较图中可以看出，BMLD值可以在六种不同的Δt下成功区分正常流量和DDoS攻击流量。DDoS攻击始于第79秒左右，值得注意的是BMLD值在220秒左右急剧下降。

原因是因子M，因为定义的因子M是当前新用户值和新用户平均值之间的变化量，它是一个数字，实际上，它可以在很短的时间内改变。计算BMLD值时，M值的高灵敏度将导致BMLD值下降。

在V-SVM实验中，我们从包含正常流量和攻击流量的训练集中随机选择了5个训练样本，大小分别为2000,4000,6000,8000和10000个记录。如表1所示，我们选择了核函数RBF和V＝0.2，在不同的样本量下，支持向量不同，但它们的准确率高达99％。随着样本数量的增加，检测率也增加，丢失率降低。其中，当样本数为10000时，检出率最高为99.05％，其丢失率最低为1.5％。当样本量为2000时，支持向量为403，其准确率为99.9％，但与其他样本量相比，其检测率最低。当样本量为6000时，其准确率为99.7％，比2000样本量小0.2％。

为了比较两种不同类型的支持向量机的分类效果，我们进行了对比实验，对比实验的结果如附图5所示。在该实验中，训练集样本的数量没有变化，并且从包含正常流量和攻击流量的测试集中随机选择五个不同的测试集样本。在本实验中，我们比较了不同数量样本中C-SVM和V-SVM之间准确率，检测率和漏报率的性能。

基于RBF核函数的V-SVM分类结果如下表1。

表1

从附图5可以看出，V-SVM可以更好地检测DDoS攻击。当样本数为2000时，C-SVM的检测率最低，仅为91.7％。当样本数为4000时，检测率与97.4％相同。但是，当样本数为8000时，C-SVM的检出率为93.5％，V-SVM与C-SVM之间的差距更大。当样本数为10000时，C-SVM和V-SVM的检测率仍然很高，它们之间的间隙较小，仅为0.44％。根据实验结果，我们发现随着样本量的增加，V-SVM的检测率增加并保持稳定，表明本实施例中提出的V-SVM能够有效识别DDoS攻击。C-SVM不稳定，它也可以识别DDoS攻击，但它的性能并不比V-SVM好。

根据权重分配方法，指数的权重分别为0.254,0.349,0.397。根据公式RD＝NIR'×SAD'×ANF'，我们计算融合特征值RD并根据云模型对其进行分类。在将数据导入云模型之前，我们需要规范化数据。数据的规范化是为了缩放数据，使其落入一个小的特定间隔。此方法删除数据的单位限制并将其转换为无量纲纯值，这样可以轻松比较不同单位或数量的指标。最典型的方法是Min-max归一化方法，即数据均匀映射到区间[0,1]。数据归一化后，我们将RD值分为正常，低风险，中等风险和高风险四个等级。

云模型的测试数据如下表2。

表2

相应的网络节点分别受正常程度，轻度影响，严重破坏和毁灭性破坏程度的影响。在本实施例中，使用计算的RD数据进行基于反向云生成器的定性转换实验。根据RD云模型的参数生成的云滴图像如附图6所示。

从附图6可以看出，对应不同风险的RD分布不同，当网络节点风险较高时，RD的值更集中在后续的区间，大多在“0.75”和“1.0”之间，阶段是DDoS攻击中最暴力的阶段，受害者系统是毁灭性的。当网络节点正常时，RD小于其他风险程度，其最大值为0.146580573。附图6中系统的四种不同风险程度分别表示，左上图表示系统正常，右上图表示系统遭受轻微破坏，左下图表示系统遭受严重损坏，右下图表示系统遭受毁灭性破坏。从图中我们可以清楚地看到网络节点的风险状态，并且可以知道网络节点受DDoS攻击影响的程度。实验表明，云模型可以有效地评估DDoS攻击，为网络管理员提供一定的攻击态势信息。

与基于层次分析法(AHP)的评估模型相比较，本实施例中提出的基于云模型的评价模型，以不确定性为出发点，将主客观信息更好地融合在一起，继承了模糊性和随机性，构成了定性与定性之间的映射。定量，有效地处理DDoS攻击情况的不确定性。另一方面，该模型最终得到的评价结果以云图的形式呈现，具有很强的直观性。

基于AHP的云模型与评价模型的比较结果如下表3。

表3

在本实施例中，针对大数据环境下DDoS攻击态势评估方法存在的检测率和漏报率问题，提出了一种DDoS攻击态势评估方法及装置。根据IP地址中正常网络流量和DDoS攻击期间网络流量的不同特征，新老用户网络流量IP地址的状态变化特征，定义了融合特征值，利用支持向量机分类模型识别DDoS攻击，支持向量机分类模型能够更好地识别攻击，评估指标更好地评估了攻击流量对网络节点的影响，使用的云模型可以有效地对攻击流进行分类，级别分类可以更好地反映网络节点对DDoS攻击的影响。这样，可以通过正常网络流量样本和DDoS攻击流量样本对影响函数优化云模型进行训练，该方法能够合理地评估DDoS攻击的安全势态，可以提高检测率，降低DDoS攻击漏报率，且该方法更准确和灵活。

基于相同的技术构思，本发明实施例还提供了一种基于影响函数优化云模型的DDoS攻击态势评估装置，请见附图7，所述装置包括：

提取模块801，用于获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型；

检测模块802，用于根据所述支持向量机分类模型，进行攻击识别检测，建立所述新老IP地址变化样本的评估指标；

新建模块803，用于根据所述评估指标，通过影响函数优化后建立所述云模型；

评估模块804，用于基于所述影响函数优化云模型，评估所述IP地址变化样本的DDoS攻击态势。

可选的，所述提取模块801还用于：

定义所述新老IP地址变化样本的IP分组；

对所述IP分组进行过滤，得到IP地址集合；

在单位时间内，对所述IP地址集合进行计算，得到基本模型参数；

提取所述新老IP地址变化样本的攻击特征，计算融合特征值，建立支持向量机分类模型

可选的，所述检测模块802还用于：

分析数据集，选择适当的特征，对训练集进行归一化和简化；

构建多种所述支持向量机分类模型，分析分类模型参数和核函数参数优化的过程；

初始化训练模型，导入所述训练集开始训练模型，获得超平面和分类决策函数；

在包含未知标签的测试集上测试构建的分类模型，分析实验结果，获得优化问题的结果；

根据攻击识别检测的结果，得到所述新老IP地址变化样本的评估指标

可选的，所述新建模块803还用于：

根据所述评估指标，划分出影响函数的训练集；

通过黑塞矩阵将所述评估指标替换为所述影响函数，计算所述评估指标的影响函数值；

所述影响函数值赋予所述评估指标的权重比，通过影响函数优化后建立所述云模型。

可选的，所述评估模块804还用于：

根据所述影响函数优化模型，定义风险度，计算网络节点的风险度值；

根据所述风险度值，评估网络节点的风险级别，通过云模型对所述网络节点融合的所述风险度值进行级别分类，

基于所述网络节点的级别，判断DDoS攻击势态的严重程度。

在本实施例中，针对大数据环境下DDoS攻击态势评估方法存在的检测率和漏报率问题，提出了一种基于影响函数优化云模型的DDoS攻击态势评估装置。根据IP地址中正常网络流量和DDoS攻击期间网络流量的不同特征，新老用户网络流量IP地址的状态变化特征，定义了融合特征值，利用支持向量机分类模型识别DDoS攻击，支持向量机分类模型能够更好地识别攻击，评估指标更好地评估了攻击流量对网络节点的影响，使用的云模型可以有效地对攻击流进行分类，级别分类可以更好地反映网络节点对DDoS攻击的影响。这样，可以通过正常网络流量样本和DDoS攻击流量样本对影响函数优化云模型进行训练，该方法能够合理地评估DDoS攻击的安全势态，可以提高检测率，降低DDoS攻击漏报率，且该方法更准确和灵活。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

以上仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种DDoS攻击态势评估方法，其特征在于，所述方法包括以下步骤：

获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型，包括：

定义所述新老IP地址变化样本的IP分组，包括给定具有n个样本的正常网络流U和具有需要检测的m个样本的网络流V，定义所述样本为(T_i,S_i,D_i)，其中T_i表示数据包i的到达时间，S_i表示其源IP地址和D_i表示目的IP地址；

对所述IP分组进行过滤，得到IP地址集合，包括：在第k个Δt结束时，将从正常网络流U中取出对应于整个周期的网络流样本的IP包，定义为G_k，并丢弃所述G_k中无效IP地址，过滤后的样本组定义为F_k；

在单位时间内，对所述IP地址集合进行计算，得到基本模型参数，包括；获得F_k，建立一组代表当前网络老用户的IP地址集合O，在第一个Δt时间段内，将F₁中的所有源IP地址集合S合并到IP地址O中，并且最大老用户数为O_max＝||{S|S∈F₁}||，第k个(k>1)时间的F_k的老用户数是F_k∩O，更新最大用户数O_max＝max(O_max,||F_k∩O||)，将每个源IP地址放在F_k中设置为IP地址集O，获得表示旧用户的最大值，特定的时间内新用户的数量N_k＝||F_k||-||F_k∩O||，集合F_k\O代表该时间段内的新用户，N_k代表同一时间段内新用户的数量，每个Δt时间段内新用户的平均数量为

提取所述新老IP地址变化样本的攻击特征，计算融合特征值，建立支持向量机分类模型，包括：在每个采样间隔中读取具有相同Δt的网络流V，定义字典W_k[S_k,i]，表示在第k个时间段内源IPS_k,i的访问次数，在每个Δt结束时，计算第k个时间间隔的四个特征

其中，B_k表示在特定时间间隔内在当前时间间隔k中出现的旧用户的百分比超过最大旧用户数，M_k代表当前时间间隔k中新用户数量相对于普通新用户数量的变化，L_k表示当前时间间隔k中新用户与最旧用户的比率，D_K表示新用户的访问率；

计算所述B_k,M_k,L_k，D_k的乘积，取所述B_k,M_k,L_k，D_k的乘积的负值，定义为BMLD_k；

根据所述支持向量机分类模型，进行DDoS攻击检测，构建所述新老IP地址变化样本的评估指标，包括：

分析数据集，选择适当的特征，对训练集进行归一化和简化；

构建多种所述支持向量机分类模型，分析分类模型参数和核函数参数优化过程；

初始化训练模型，导入所述训练集开始训练模型，获得超平面和分类决策函数；

在包含未知标签的测试集上测试构建的分类模型，分析实验结果，获得优化问题的结果；

根据DDoS攻击检测的结果，得到所述新老IP地址变化样本的评估指标，所述评估指标包括NIR，SAD，ANF；

所述NIR表示攻击的相对强度，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数，N_max表示正常情况下新IP的最大数量；

所述SAD表示攻击的绝对强度，公式如下：

其中DFI表示不同新IP的单向流中的报文数，SAD表示服务异常度；

所述ANF表示不同新IP地址与不同旧IP地址的比率，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数量，OD表示旧用户IP地址数量的动态变化；

根据所述评估指标，通过影响函数优化后建立云模型，包括：

根据所述评估指标，划分出影响函数的训练集；

通过黑塞矩阵将所述评估指标替换为所述影响函数，计算所述评估指标的影响函数值；

所述影响函数值赋予所述评估指标的权重比，建立所述影响函数优化云模型；

基于影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势，包括：

根据所述影响函数优化模型，定义风险度，计算网络节点的风险度值；

根据所述风险度值，评估网络节点的风险级别，通过云模型对所述网络节点融合的所述风险度值进行级别分类；

基于所述网络节点的级别，判断DDoS攻击势态的严重程度。

2.一种基于影响函数优化云模型的DDoS攻击态势评估装置，其特征在于，所述装置包括：

提取模块，用于获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型；

所述用于获取新老IP地址变化样本，提取所述新老IP地址变化样本的攻击特征，定义所述新老IP地址变化样本的融合特征值，建立支持向量机分类模型，包括：

定义所述新老IP地址变化样本的IP分组，包括给定具有n个样本的正常网络流U和具有需要检测的m个样本的网络流V，定义所述样本为(T_i,S_i,D_i)，其中T_i表示数据包i的到达时间，S_i表示其源IP地址和D_i表示目的IP地址；

对所述IP分组进行过滤，得到IP地址集合，包括：在第k个Δt结束时，将从正常网络流U中取出对应于整个周期的网络流样本的IP包，定义为G_k，并丢弃所述G_k中无效IP地址，过滤后的样本组定义为F_k；

在单位时间内，对所述IP地址集合进行计算，得到基本模型参数，包括；获得F_k，建立一组代表当前网络老用户的IP地址集合O，在第一个Δt时间段内，将F₁中的所有源IP地址集合S合并到IP地址O中，并且最大老用户数为O_max＝||{S|S∈F₁}||，第k个(k>1)时间的F_k的老用户数是F_k∩O，更新最大用户数O_max＝max(O_max,||F_k∩O||)，将每个源IP地址放在F_k中设置为IP地址集O，获得表示旧用户的最大值，特定的时间内新用户的数量N_k＝||F_k||-||F_k∩O||，集合F_k\O代表该时间段内的新用户，N_k代表同一时间段内新用户的数量，每个Δt时间段内新用户的平均数量为

提取所述新老IP地址变化样本的攻击特征，计算融合特征值，建立支持向量机分类模型，包括：在每个采样间隔中读取具有相同Δt的网络流V，定义字典W_k[S_k,i]，表示在第k个时间段内源IPS_k,i的访问次数，在每个Δt结束时，计算第k个时间间隔的四个特征

其中，B_k表示在特定时间间隔内在当前时间间隔k中出现的旧用户的百分比超过最大旧用户数、M_k代表当前时间间隔k中新用户数量相对于普通新用户数量的变化、L_k表示当前时间间隔k中新用户与最旧用户的比率、D_K表示新用户的访问率；

计算所述B_k,M_k,L_k，D_k的乘积，取所述B_k,M_k,L_k，D_k的乘积的负值，定义为BMLD_k；

检测模块，用于根据所述支持向量机分类模型，进行DDoS攻击检测，构建所述新老IP地址变化样本的评估指标；

所述根据所述支持向量机分类模型，进行DDoS攻击检测，构建所述新老IP地址变化样本的评估指标包括：

分析数据集，选择适当的特征，对训练集进行归一化和简化；

构建多种所述支持向量机分类模型，分析分类模型参数和核函数参数优化过程；

初始化训练模型，导入所述训练集开始训练模型，获得超平面和分类决策函数；

在包含未知标签的测试集上测试构建的分类模型，分析实验结果，获得优化问题的结果；

根据DDoS攻击检测的结果，得到所述新老IP地址变化样本的评估指标，所述评估指标包括NIR，SAD，ANF；

所述NIR表示攻击的相对强度，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数，N_max表示正常情况下新IP的最大数量；

所述SAD表示攻击的绝对强度，公式如下：

其中DFI表示不同新IP的单向流中的报文数，SAD表示服务异常度；

所述ANF表示不同新IP地址与不同旧IP地址的比率，公式如下：

其中NI表示发生DDoS攻击时随时间变化的不同新IP的地址数量，OD表示旧用户IP地址数量的动态变化；

新建模块，用于根据所述评估指标，通过影响函数优化后建立云模型；

所述根据所述评估指标，通过影响函数优化后建立云模型包括：

根据所述评估指标，划分出影响函数的训练集；

通过黑塞矩阵将所述评估指标替换为所述影响函数，计算所述评估指标的影响函数值；

所述影响函数值赋予所述评估指标的权重比，建立所述影响函数优化云模型；

评估模块，用于基于影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势；

所述基于影响函数优化云模型，评估所述新老IP地址变化样本的DDoS攻击态势包括：

根据所述影响函数优化模型，定义风险度，计算网络节点的风险度值；

根据所述风险度值，评估网络节点的风险级别，通过云模型对所述网络节点融合的所述风险度值进行级别分类；

基于所述网络节点的级别，判断DDoS攻击势态的严重程度。

Images