CN111385243A - 一种DDoS检测方法、装置及设备 - Google Patents

一种DDoS检测方法、装置及设备 Download PDF

Info

Publication number
CN111385243A
CN111385243A CN201811615546.2A CN201811615546A CN111385243A CN 111385243 A CN111385243 A CN 111385243A CN 201811615546 A CN201811615546 A CN 201811615546A CN 111385243 A CN111385243 A CN 111385243A
Authority
CN
China
Prior art keywords
ddos
clustering
determining
detection
data packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811615546.2A
Other languages
English (en)
Inventor
张扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Shanxi Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Shanxi Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Shanxi Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201811615546.2A priority Critical patent/CN111385243A/zh
Publication of CN111385243A publication Critical patent/CN111385243A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本申请实施例提供了一种DDoS检测方法、装置及设备,包括:在多个数据包中选取多个特征项,特征项为检测DDoS的特征;将多个特征项进行组合,确定联合特征项;根据联合特征项确定初始中心点,将初始中心点作为聚类算法的初始聚类中心;对数据包进行聚类,确定聚类结果,以便于确定DDoS对应的数据包。在本申请中,采用初始中心点作为聚类算法的初始聚类中心的选择方法,降低聚类算法收敛时间,提高检测速度,适用于少量标记样本、大量无标记待测数据集的DDoS检测场景,在提高检测率的同时,降低误报率。

Description

一种DDoS检测方法、装置及设备
技术领域
本发明属于数据网络技术领域,尤其涉及一种关于分布式拒绝服务攻击DDoS检测方法、装置、设备和计算机存储介质。
背景技术
在各种安全威胁中,分布式拒绝服务(Distributed Denial of Service,DDoS)攻击威胁呈现持续增长的态势。DDoS攻击是通过大量傀儡主机消耗目标主机的资源,阻止目标主机为合法用户提供正常服务。DDoS攻击具有易于实施、隐蔽性强、追踪困难和破坏力大的特点,对网络安全带来了极大的威胁。随着DDoS攻击力度不断增大,攻击方式不断更新,物联网领域及移动设备端的DDoS攻击也开始初露头角。
目前,DDoS攻击中最常见的攻击方式是TCP Flood、UDP Flood、ICMP Flood攻击,其在带宽消耗攻击和系统资源消耗攻击中都有体现,极具典型性。针对这些攻击,对策大多为设置诸如Random Drop、SYN Cookie、带宽限制等防护方法,只能缓解DDoS攻击并不能真正解决DDoS攻击。其中,最关键的问题就是在于如何快速有效地区分正常流量和异常攻击流量。但是,现有的方法仅采用单一特征(例如:源IP熵)进行阈值判断,检测准确率较低;采用的K-means无监督聚类算法具有如下缺点:初始中心点随机选取导致聚类方法收敛速度慢,甚至收敛错误;K-means算法采用的欧式距离计算相似度得到结果不是最优解。
因此,需要提供一种对DDOS更加合理的检测方案,在提高检测率的同时,降低误报率。
发明内容
本申请实施例提供一种DDoS检测方法、装置、设备和计算机存储介质,基于多维特征半监督聚类算法的DDoS检测方法,在提高检测率的同时,降低误报率。
第一方面,本申请实施例提供了一种DDoS检测方法,该方法可以包括:
在多个数据包中选取多个特征项,特征项为检测DDoS的特征;
将多个特征项进行组合,确定联合特征项;
根据联合特征项确定初始中心点,将初始中心点作为聚类算法的初始聚类中心;
对数据包进行聚类,确定聚类结果,以便于确定DDoS对应的数据包。
在本申请中,采用初始中心点作为聚类算法的初始聚类中心的选择方法,降低聚类算法收敛时间,提高检测速度,适用于少量标记样本、大量无标记待测数据集的DDoS检测场景,在提高检测率的同时,降低误报率。
在一种可能的实施方式中,上述“特征项”可以具体包括下述中的至少一种:
源IP熵、目的IP熵、源端口熵、目的端口熵、单边连接密度值、第一条件熵、第二条件熵、第三条件熵。
在又一种可能的实施方式中,上述“将多个特征项进行组合,确定联合特征项”的步骤中,具体可以包括:
将多个特征项进行组合;对经过组合的多个特征项进行DDoS检测计算,确定多个DDoS的检测率;根据多个DDoS的检测率,确定联合特征项。
在另一种可能的实施方式中,上述“对经过组合的多个特征项进行DDoS检测计算,确定多个DDoS的检测率”的步骤中,具体可以包括:
根据
Figure BDA0001925753460000021
确定多个DDoS的检测率;
其中,TPR为DDoS的检测率,TP为正确的检测到DDoS的攻击数据包的数目,FN为漏检的DDoS的攻击数据包的数目。
在再一种可能的实施方式中,在上述“根据多个DDoS的检测率,确定联合特征项”的步骤中,具体可以包括:
在多个DDoS的检测率中,选取满足第一预设条件的DDoS的检测率;将满足第一预设条件的检测率对应的多个特征项,设定为联合特征项。
在再一种可能的实施方式中,上述“根据联合特征项确定初始中心点”的步骤中,具体可以包括:
对联合特征项进行标记;根据标记后的联合特征项和梯度下降算法,确定初始中心点。
在再一种可能的实施方式中,上述“根据标记后的联合特征项和梯度下降算法,确定初始中心点”的步骤中,具体可以包括:
选取聚类中心进行初始化,聚类中心与联合特征项一一对应;对聚类中心进行迭代,判断聚类中心的迭代条件是否满足第二预设要求;当满足第二预设要求时,确定初始中心点。
在再一种可能的实施方式中,上述“第二预设要求”可以包括:聚类中心的迭代次数达到门限迭代次数;或者,在误差范围内聚类中心不改变。
在再一种可能的实施方式中,上述“对数据包进行聚类,确定聚类结果”的步骤中,具体可以包括:
利用闵式距离算法对数据包进行聚类,确定聚类结果。
第二方面,本申请实施例提供了一种DDoS检测装置,该装置可以包括:
选择模块,用于在多个数据包中选取多个特征项,特征项为检测DDoS的特征;
组合模块,用于将多个特征项进行组合,确定联合特征项;
处理模块,用于根据联合特征项确定初始中心点,将初始中心点作为聚类算法的初始聚类中心;
聚类模块,用于对数据包进行聚类,确定聚类结果,以便于确定DDoS对应的数据包。
第三方面,本申请实施例提供了一种DDos检测设备,该设备包括处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现如第一方面任意一项的DDoS检测方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如第一方面任意一项的DDoS检测方法。
第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如第一方面任意一项的DDoS检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个实施例提供的一种DDoS检测方法的流程示意图;
图2是本申请一个实施例提供的一种基于多维特征半监督聚类DDoS检测方法的流程示意图;
图3是本申请一个实施例提供的一种DDoS检测装置的结构示意图;
图4是本申请一个实施例提供的一种DDoS检测设备的结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例,为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本申请进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本申请,并不被配置为限定本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
首先,结合图1对本申请中涉及的内容进行详细描述。
图1是本申请一个实施例提供的一种DDoS检测方法的流程示意图。
如图1所示,该可以包括S110-S140,具体如下所示:
S110:在多个数据包中选取多个特征项,特征项为检测DDoS的特征。
具体地,本申请实施例提供的方法为了提高检测效率,采用多特征检测方法选择用于检测DDoS攻击的多维属性。在特征提取时,选择具有代表性且易于测量的特征,使检测方法不会消耗过多资源而加重网络或系统的负担。旨在从多个用于DDoS检测的特征中选择出最佳特征,用于DDoS检测的特征主要包括下述中的至少一种:源IP熵、目的IP熵、源端口熵、目的端口熵、单边连接密度值、第一条件熵、第二条件熵、第三条件熵。
可以举个例子对上述特征项进行详细说明:源IP熵H(SIP)、目的IP熵H(DIP)、源端口熵H(Sport)、目的端口熵H(Dport)、OWCD值、条件熵H(SIP|DIP)、条件熵H(SIP|Dport)、条件熵H(Dport|DIP)。
S120:将多个特征项进行组合,确定联合特征项。
具体地,将多个特征项进行组合;对经过组合的多个特征项进行DDoS检测计算,确定多个DDoS的检测率;根据多个DDoS的检测率,确定联合特征项。其中,可以根据公式(1),确定多个DDoS的检测率;公式(1)如下所示:
Figure BDA0001925753460000051
其中,TPR为DDoS的检测率,TP为正确的检测到DDoS的攻击数据包的数目,FN为漏检的DDoS的攻击数据包的数目。
在一种可能的实施例中,可以在多个DDoS的检测率中,选取满足第一预设条件的DDoS的检测率;将满足第一预设条件的检测率对应的多个特征项,设定为联合特征项。其中,第一预设条件可以为大于或者小于某一预设阈值。
S130:根据联合特征项确定初始中心点,将初始中心点作为聚类算法的初始聚类中心。
具体地,利用梯度下降算法根据联合特征项,确定初始中心点。其中,对联合特征项进行标记;根据标记后的联合特征项和梯度下降算法,确定初始中心点。进一步的,选取聚类中心进行初始化,聚类中心与联合特征项一一对应;对聚类中心进行迭代,判断聚类中心的迭代条件是否满足第二预设要求;当满足第二预设要求时,确定初始中心点。需要说明的是,第二预设要求包括聚类中心的迭代次数达到门限迭代次数;或者,在误差范围内聚类中心不再改变。
S140:对数据包进行聚类,确定聚类结果,以便于确定DDoS对应的数据包。
具体地,利用闵式距离算法对数据包进行聚类,确定聚类结果。
综上,首先,可以解决单一特征(源IP熵)进行阈值判断,导致检测准确率不高的问题。具体的,IP数据包中的单个属性(如源IP地址)容易伪造,当攻击者通过学习正常访问情况下源IP地址的概率分布规律后,导致检测伪造属性的DDoS攻击非常困难,经常有漏报的现象。而多个特征同时伪造的可能性非常小,因此,本申请实施例S110中提出一种基于多维特征的DDoS检测方法解决该问题。
其次,解决基于k均值(K-means)无监督聚类检测方法中的如下问题。其中,初始中心点随机选取导致产生的是局部最优解,而不是全局最优解;K-means算法采用的欧式距离计算相似度得到的不是最优解。因此,本申请实施例S130和S140中提出一种初始聚类中心选择方法,同时采用闵可夫斯基距离替代欧式距离。
最后,在少量标记样本、大量无标记待测数据集场景下,提高DDoS检测效率的问题。其中,基于有监督分类算法的DDoS检测方法需要大量标记样本用于训练,但是获取大量标记样本非常困难,而且对未知数据集检测准确率低;基于有监督聚类算法的DDoS检测方法准确率不如有监督分类算法。因此,为解决在少量标记样本、大量无标记待测数据集场景下,提高DDoS检测效率的问题,本申请实施例S140提出了一种半监督k-means方法。
下面,通过结合图2对上述方法进行进一步的解释说明。
图2是本申请一个实施例提供的一种基于多维特征半监督聚类DDoS检测方法的流程示意图。
如图2所示,本申请提供的实施例提出的是一种基于多维特征半监督聚类算法的DDoS检测方法,通过采用<H(SIP)、H(DIP)、H(Sport)、H(Dport)>联合特征作为DDoS检测模型的特征,借鉴梯度下降算法的迭代步长的思路,使用一定的学习率η(步调),来进行缓慢学习,逐步接近最优初始中心点,且采用闵可夫斯基距离进行相似度计算,得到待测数据集的聚类结果,进而区分正常数据包和DDoS数据包。
该方法具体可以包括S210-S240,如下所示:
(基于S110和S120)S210:从原始流量数据包中选择可用于检测DDoS攻击的多维属性。
具体地,为了提高检测效率,采用多特征检测方法选择用于检测DDoS攻击的多维属性。在特征提取时,选择具有代表性且易于测量的特征,使检测方法不会消耗过多资源而加重网络或系统的负担。该步骤旨在从多个用于DDoS检测的特征中选择出最佳特征项,用于DDoS检测的特征项主要包括:源IP熵H(SIP)、目的IP熵H(DIP)、源端口熵H(Sport)、目的端口熵H(Dport)、OWCD值、条件熵H(SIP|DIP)、条件熵H(SIP|Dport)、条件熵H(Dport|DIP)。通过DDoS检测率来选取最佳的组合效果。需要说明的是,组合之后的联合特征项都是N(N为大于2的整数)维特征项。
例如:二维特征组合有:1)H(SIP)和H(DIP),2)H(Sport)和H(Dport),3)H(SIP|DIP)和H(SIP|Dport);
三维特征组合有:4)H(SIP|DIP)、H(SIP|Dport)、H(Dport|DIP),5)H(Dport)、H(SIP|DIP)、H(Dport|DIP);
四维特征组合有:6)H(SIP)、H(DIP)、H(Sport)、H(Dport),7)H(DIP)、H(Dport)、H(SIP|DIP)、H(Dport|DIP);
五维特征组合有:8)H(SIP)、H(DIP)、H(Sport)、H(Dport)、OWCD,分别对上述组合计算检测率,检测率计算如公式(1),在此不再赘述。具体得到的计算结果如表1所示:
表1
Figure BDA0001925753460000081
从表1可以看出,组合6)检测率最高(即可以理解为上述的第一预设条件),因此,采用<H(SIP)、H(DIP)、H(Sport)、H(Dport)>联合特征作为DDoS检测模型的联合特征项。
(基于S130)S220:利用少量的标记样本,采用初始中心点选择算法,选择各自聚类的初始中心点。
具体地,首先,提出初始中心点选择算法。其中,由于K-means算法的初始聚类中心是随机选取,导致最后得到的簇不是一个最佳收敛状态,可能收敛到一个次最优,或者是本该合并成一个簇的分割成了2个簇,或者相反,甚至最后达不到收敛状态,基于K-means算法的最终检测效果达不到最优。因此,本申请提出的方法是借鉴梯度下降算法的迭代步长的思路,使用一定的学习率η(步调),来进行缓慢学习,逐步接近最优初始中心点。例如:算法的输入是一系列带标记的样本集(x,y),x是4维特征向量<H(SIP)、H(DIP)、H(Sport)、H(Dport)>,y是该样本的标记(用1和0代表正常还是攻击数据);输出是两个(正常或异常)初始中心点构成的向量(p1,p2),将输出向量作为k-means训练过程的初始聚类中心。算法的输入是一系列带标记的样本集(x,y),x是4维特征向量<H(SIP)、H(DIP)、H(Sport)、H(Dport)>,y是该样本的标记(用1和0代表正常还是攻击数据);输出是两个(正常或异常)初始中心点构成的向量(p1,p2),之后在k-means训练过程中用作初始聚类中心。本算法应用中k=2,S1为攻击数据集,S2为正常数据集,S为整个标记数据集,有n个数据,
Figure BDA0001925753460000091
其次,具体初始中心点选择算法可以包括:
先对聚类中心进行初始化,例如对第q个簇可从类别标记为tq的样本中随机选取一个作为聚类中心。
然后对聚类中心进行迭代优化,在每一次循环迭代中,算法取出一个带有标记的训练样本,按照平均距离的模式计算出与其相距最近的聚类中心。比较之后,判断两者的类别标记是否一致,如果一致,则按照一定的学习率朝向随机选取的这个训练样本,修正原来的聚类中心。反之,如果两者的标记不一致,则按照一定的学习率偏离随机选取的这个训练样本,修正原来的聚类中心。
算法中提出了停止循环的两种条件,满足任意一种则将当前计算得到的聚类中心作为最终选取的应用于接下来的k-means算法的初始聚类中心而返回,第一种为上述迭代此次时,已经达到最大迭代次数。第二种是满足
Figure BDA0001925753460000093
其中
Figure BDA0001925753460000094
为更新前的聚类中心,
Figure BDA0001925753460000095
为更新后的聚类中心。(具体过程详见下述“过程”中7-10步)。
基于上述步骤,进行具体举例说明:
初始中心点选择算法如下所示:
输入:带标记样本集S={(x1,y1),(x2,y2),...,(xn,yn)},其中xj=(xj1;xj2;..x.j4;);
各聚类中心预设的类别标记{t1,t2}∈y,y取值0(攻击)和1(正常);
学习率η(0,1)。误差范围D,迭代次数w;
过程:
1:随机初始化一组聚类中心{p1,p2}
其中pi=((xi1,xi2,xi3,xi4),ti)),pi∈Si,i=1,2
//S1为攻击数据集,S2为正常数据集,有n个数据,
Figure BDA0001925753460000092
2:repeat
3:从样本集S中依次选取样本{(xj,yj)},j∈[1,n],n为S集合中的样本点个数;
4:计算样本xj与pi(i=1,2)的距离(标记不计算):dji=||xj-pi||2
5:找出与xj距离最近的聚类中心
Figure BDA0001925753460000103
求i*=arg mini∈{1,2}dji
6://arg min f(x):当f(x)取最小值时,x的取值
7:
Figure BDA0001925753460000106
8:
Figure BDA0001925753460000102
9:else
10:
Figure BDA0001925753460000104
11:end if
12:将聚类中心pi更新为
Figure BDA0001925753460000105
13:until达到最大迭代次数ω或者在误差范围D内聚类中心不再改变输出:聚类中心{p1,p2}
(基于S140)S230:采用基于闵可夫斯基距离的K-means聚类算法,实现对大量待测流量数据包的聚类。
具体地,本申请采用闵式(Minkowski)距离替代欧式距离,解决了欧式距离p只能取2带来的检测率和误报率不是最优的问题,提出如公式(2)所示的目标函数:
Figure BDA0001925753460000101
实际应用中,本申请实施例中选择p=2.2,此时检测率(99.124%)和误报率(0.8%)综合衡量最优,此时检测率和误报率均是最优。
需要说明的是,上述出现的原始流量数据包,指用于训练模型的数据包,该包中包括少量的标记样本和大量的无标记样本;所谓“标记样本”,是知道某些数据包是攻击包还是正常包。聚类方法包括属性特征和聚类算法,聚类算法操作的数据是多维属性特征,而这些属性都是对应的数据包的特征字段或从特征字段计算得到。即上述数据包可以包括两类,一种是原始流量数据包,一种是待测流量数据包,两者都可以通过对数据包中提取或计算得到的多维属性值聚类,达到对数据包聚类的目的,两者仅是因出现在不同阶段,所以名称不同而已。
S240:通过聚类结果实现正常数据包和DDoS数据包的区分。
综上,本申请实施例中采用基于多维特征(例如:源IP熵、目的IP熵、源端口熵、目的端口熵)的DDoS检测方法,提高检测效率。提出新的初始聚类中心选择方法,降低聚类算法收敛时间,提高检测速度。提出基于半监督k-means的DDoS检测方法,包括采用闵可夫斯基距离替代欧式距离作为相似度计算公式,提高检测率,降低误报率。
图3是本申请一个实施例提供的一种DDoS检测装置的结构示意图。
如图3所示,该检测装置30可以以旁路方式部署在受害端主机(受保护端)或网络的边界路由器上。
具体地,检测装置30具体可以包括:
选择模块301,用于在多个数据包中选取多个特征项,特征项为检测DDoS的特征;
组合模块302,用于将多个特征项进行组合,确定联合特征项;
处理模块303,用于根据联合特征项确定初始中心点,将初始中心点作为聚类算法的初始聚类中心;
聚类模块304,用于对数据包进行聚类,确定聚类结果,以便于确定DDoS对应的数据包。
其中,特征项可以包括下述中的至少一种:源IP熵、目的IP熵、源端口熵、目的端口熵、单边连接密度值、第一条件熵、第二条件熵、第三条件熵。
组合模块302具体可以用于,将多个特征项进行组合;对经过组合的多个特征项进行DDoS检测计算,确定多个DDoS的检测率;根据多个DDoS的检测率,确定联合特征项。其中,根据公式(1)确定多个DDoS的检测率。进一步的,在多个DDoS的检测率中,选取满足第一预设条件的DDoS的检测率;将满足第一预设条件的检测率对应的多个特征项,设定为联合特征项。
处理模块303具体可以用于,利用梯度下降算法根据联合特征项,确定初始中心点。其中,对联合特征项进行标记;根据标记后的联合特征项和梯度下降算法,确定初始中心点。进一步的,选取聚类中心进行初始化,聚类中心与联合特征项一一对应;对聚类中心进行迭代,判断聚类中心的迭代条件是否满足第二预设要求;当满足第二预设要求时,确定初始中心点。需要说明的是,第二预设要求包括聚类中心的迭代次数达到门限迭代次数;或者,在误差范围内聚类中心不改变。
聚类模块304具体可以用于,利用闵式距离算法对数据包进行聚类,确定聚类结果。
图4是本申请一个实施例提供的一种DDoS检测设备的结构示意图。
如图4所示,该消息处理的设备可以包括处理器401以及存储有计算机程序指令的存储器402。
具体地,上述处理器401可以包括中央处理器(CPU),或者特定集成电路(application specific integrated circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器402可包括硬盘驱动器(hard disk drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(universal serial bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器402可在综合网关设备的内部或外部。在特定实施例中,存储器402是非易失性固态存储器。在特定实施例中,存储器402包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器401通过读取并执行存储器402中存储的计算机程序指令,以实现上述实施例中的任意一种DDoS检测方法。
收发器403,主要用于实现本发明实施例中各模块、装置、单元、用户端或者服务器中的至少两个之间的通信。
在一个示例中,该设备还可包括总线404。其中,如图4所示,处理器401、存储器402和收发器403通过总线404连接并完成相互间的通信。
总线404包括硬件、软件或两者,举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线403可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
另外,结合上述实施例中的DDoS检测方法,本申请实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种DDoS检测方法。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (13)

1.一种DDoS检测方法,其特征在于,包括:
在多个数据包中选取多个特征项,所述特征项为检测DDoS的特征;
将所述多个特征项进行组合,确定联合特征项;
根据所述联合特征项确定初始中心点,将所述初始中心点作为聚类算法的初始聚类中心;
对所述数据包进行聚类,确定聚类结果,以便于确定所述DDoS对应的数据包。
2.根据权利要求1所述的方法,其特征在于,所述特征项包括下述中的至少一种:源IP熵、目的IP熵、源端口熵、目的端口熵、单边连接密度值、第一条件熵、第二条件熵、第三条件熵。
3.根据权利要求1或2所述的方法,其特征在于,所述将所述多个特征项进行组合,确定联合特征项,包括:
将所述多个特征项进行组合;
对经过组合的所述多个特征项进行DDoS检测计算,确定多个所述DDoS的检测率;
根据多个所述DDoS的检测率,确定联合特征项。
4.根据权利要求3所述的方法,其特征在于,所述对经过组合的所述多个特征项进行DDoS检测计算,确定多个所述DDoS的检测率,包括:
根据
Figure FDA0001925753450000011
确定多个所述DDoS的检测率;
其中,TPR为所述DDoS的检测率,TP为正确的检测到所述DDoS的攻击数据包的数目,FN为漏检的所述DDoS的攻击数据包的数目。
5.根据权利要求3或4所述的方法,其特征在于,所述根据多个所述DDoS的检测率,确定联合特征项,包括:
在多个所述DDoS的检测率中,选取满足第一预设条件的DDoS的检测率;
将满足所述第一预设条件的检测率对应的多个特征项,设定为联合特征项。
6.根据权利要求1所述的方法,其特征在于,所述根据所述联合特征项确定初始中心点,包括:
利用梯度下降算法根据所述联合特征项,确定所述初始中心点。
7.根据权利要求6所述的方法,其特征在于,所述利用梯度下降算法根据所述联合特征项,确定初始中心点,包括:
对所述联合特征项进行标记;
根据标记后的所述联合特征项和所述梯度下降算法,确定所述初始中心点。
8.根据权利要求7所述的方法,其特征在于,所述根据标记后的所述联合特征项和所述梯度下降算法,确定所述初始中心点,包括:
选取聚类中心进行初始化,所述聚类中心与所述联合特征项一一对应;
对所述聚类中心进行迭代,判断所述聚类中心的迭代条件是否满足第二预设要求;
当满足所述第二预设要求时,确定所述初始中心点。
9.根据权利要求8所述的方法,其特征在于,所述第二预设要求包括所述聚类中心的迭代次数达到门限迭代次数;或者,在误差范围内聚类中心不改变。
10.根据权利要求1所述的方法,其特征在于,所述对所述数据包进行聚类,确定聚类结果,包括:
利用闵式距离算法对所述数据包进行聚类,确定聚类结果。
11.一种DDoS检测装置,其特征在于,包括
选择模块,用于在多个数据包中选取多个特征项,所述特征项为检测DDoS的特征;
组合模块,用于将所述多个特征项进行组合,确定联合特征项;
处理模块,用于根据所述联合特征项确定初始中心点,将所述初始中心点作为聚类算法的初始聚类中心;
聚类模块,用于对所述数据包进行聚类,确定聚类结果,以便于确定所述DDoS对应的数据包。
12.一种DDoS检测设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-10任意一项所述的DDoS检测方法。
13.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-10任意一项所述的DDoS检测方法。
CN201811615546.2A 2018-12-27 2018-12-27 一种DDoS检测方法、装置及设备 Pending CN111385243A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811615546.2A CN111385243A (zh) 2018-12-27 2018-12-27 一种DDoS检测方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811615546.2A CN111385243A (zh) 2018-12-27 2018-12-27 一种DDoS检测方法、装置及设备

Publications (1)

Publication Number Publication Date
CN111385243A true CN111385243A (zh) 2020-07-07

Family

ID=71217893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811615546.2A Pending CN111385243A (zh) 2018-12-27 2018-12-27 一种DDoS检测方法、装置及设备

Country Status (1)

Country Link
CN (1) CN111385243A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117150447A (zh) * 2023-10-31 2023-12-01 长江水利委员会长江科学院 一种倾斜数据监测方法、系统、装置、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104598565A (zh) * 2015-01-09 2015-05-06 国家电网公司 一种基于随机梯度下降算法的k均值大规模数据聚类方法
CN106101102A (zh) * 2016-06-15 2016-11-09 华东师范大学 一种基于pam聚类算法的网络异常流量检测方法
CN107392015A (zh) * 2017-07-06 2017-11-24 长沙学院 一种基于半监督学习的入侵检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104598565A (zh) * 2015-01-09 2015-05-06 国家电网公司 一种基于随机梯度下降算法的k均值大规模数据聚类方法
CN106101102A (zh) * 2016-06-15 2016-11-09 华东师范大学 一种基于pam聚类算法的网络异常流量检测方法
CN107392015A (zh) * 2017-07-06 2017-11-24 长沙学院 一种基于半监督学习的入侵检测方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
D. SCULLEY: "Web-Scale K-Means Clustering", 《WWW’10》 *
YONGHAO GU等: "Multiple-Features-Based Semisupervised Clustering DDoS Detection Method", 《MATHEMATICAL PROBLEMS IN ENGINEERING》 *
YUN LIU等: "Detecting DDoS Attacks Using Conditional Entropy", 《2010 INTERNATIONAL CONFERENCE ON COMPUTER APPLICATION AND SYSTEM MODELING》 *
李强等: "基于直方图聚类的网络流量异常检测技术研究", 《信息网络安全》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117150447A (zh) * 2023-10-31 2023-12-01 长江水利委员会长江科学院 一种倾斜数据监测方法、系统、装置、设备及介质

Similar Documents

Publication Publication Date Title
Meidan et al. ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis
Robinson et al. Ranking of machine learning algorithms based on the performance in classifying DDoS attacks
CN108632278A (zh) 一种基于pca与贝叶斯相结合的网络入侵检测方法
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN111107077B (zh) 一种基于svm的攻击流量分类方法
CN111935185B (zh) 基于云计算构建大规模诱捕场景的方法及系统
Stiawan et al. Ping flood attack pattern recognition using a K-means algorithm in an Internet of Things (IoT) network
Islam et al. Network anomaly detection using lightgbm: A gradient boosting classifier
CN111224984B (zh) 一种基于数据挖掘算法的Snort改进方法
Piskac et al. Using of time characteristics in data flow for traffic classification
CN113268735B (zh) 分布式拒绝服务攻击检测方法、装置、设备和存储介质
CN111385243A (zh) 一种DDoS检测方法、装置及设备
Ivanova et al. Detection of IoT based DDoS attacks by network traffic analysis using feedforward neural networks
Yu et al. Design of DDoS attack detection system based on intelligent bee colony algorithm
Alizadeh et al. Timely classification and verification of network traffic using Gaussian mixture models
CN111901137A (zh) 一种利用蜜罐告警日志挖掘多步攻击场景的方法
CN113420791B (zh) 边缘网络设备接入控制方法、装置及终端设备
Lee et al. Monsieur poirot: Detecting botnets using re-identification algorithm and nontrivial feature selection technique
Yi et al. Research on abnormal traffic classification of web camera based on supervised learning and semi—Supervised learning
Pandit et al. Hybrid technique for detection of denial of service (DOS) attack in wireless sensor network
Zolotukhin et al. Online detection of anomalous network flows with soft clustering
CN115225369B (zh) 一种僵尸网络的检测方法、装置及设备
CN117118738B (zh) 一种软件定义网络中的DDoS攻击风险量化防御方法及系统
CN115499251B (zh) 一种边缘IoT设备的异常流量及攻击检测方法及系统
CN112153004B (zh) 一种SDN环境下基于子网温度的DDoS攻击检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200707