本發明涉及一種基于多維度狀態轉移矩陣特征的DDos識別方法和系統。該方法包括：1)采集網絡流元數據，并標注DDos流量與正常流量；2)利用采集并標注的網絡流元數據，基于狀態轉移矩陣提取DDos的多維度特征；3)利用提取的多維度特征，采用機器學習算法訓練分類模型；4)將待測的網絡流數據按照步驟2)提取多維度特征，輸入到步驟3)訓練得到的分類模型中，獲得DDos識別結果。本發明提取出可以有效刻畫不同DDos攻擊手法的網絡行為特征，結合機器學習算法訓練學習，在對場景先驗知識較少的情況下，能夠既準又全的識別DDos攻擊。

技術領域

本發明屬于信息技術領域，具體涉及一種基于多維度狀態轉移矩陣特征的DDos識別方法和系統。

背景技術

隨著互聯網與信息技術的不斷發展，網絡攻擊手段也層出不窮，但分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)仍是其中的佼佼者，其方式簡單、破壞力極強，被攻擊者廣泛使用，且形式也越來越多樣。互聯網目前正在朝著“物物互聯”發展，這意味著有成百上千的設備會接入互聯網；除此之外，云計算等技術的發展使得互聯網應用及服務迅速增長，使得骨干網流量已達到Tbps的數量級。以上原因導致基于流量數據檢測攻擊變得越來越困難。因此，通過流量識別DDos攻擊仍是一個巨大的挑戰，也受到了工業界和學術界的廣泛關注。

使用數據流的采樣元信息進行DDos檢測是必然的趨勢。目前使用采樣元信息進行DDos識別的方法主要存在兩類：a.基于閾值的識別方法。b.基于機器學習的識別方法。基于閾值的方法主要是通過DDos的某一或某些屬性，抽象出可以表征DDos行為的特征，例如訪問頻率、訪問量、信息熵等。基于機器學習的方法通過提取數據流或數據包中的特征進行訓練學習。基于閾值的方法在一定的場景下仍可產生作用，但隨著DDos攻擊手段的演變發展，目前部分DDos已不在流量側產生明顯可識別的特征，使得傳統方法在準確率與覆蓋率兩方面均在下降，因此基于機器學習的DDos識別方法正在逐漸興起。

目前使用采樣元信息識別DDos所使用的手段可分為以下兩種：

a.基于某一維度或某幾個維度劃定閾值的識別方法。某些手段的DDos攻擊會在流量中產生明顯不同于正常行為的特征，常用的維度包括：(1)基于統計屬性的特征，包括訪問頻率、訪問量、包數、字節數等。這些特征可以刻畫flood類DDos的特點。(2)基于熵的特征。熵可以刻畫數據的穩定程度，當數據驟變時，熵會產生明顯的抖動，利用流量的抖動程度可識別DDos。(3)基于指數加權平均移動(Exponentially Weighted Moving Average,EWMA)及其變形。EWMA根據當前觀測值可產生下一時刻的估計值，且其具有一定的吸收瞬間突發的能力，當產生劇烈突發時，EWMA可有效識別。以上行為特征均需要劃定一個合理的閾值才可發揮作用，而閾值的劃定常常是啟發式或經驗式的，且在不同的網絡環境下有著明顯的不同。除此之外，這類方法對一些新型DDos手段無法識別，例如慢連接攻擊等。

b.基于機器學習的識別方法。通過將采樣元信息聚合，獲取一系列匯聚特征，通過機器學習算法進行訓練學習得到識別模型進行識別。常用的特征包括：統計量屬性(包數、字節數等)、時間屬性(持續時間、碼率等)、統計分布特征(包括某些字段均值、方差、分位數等)。基于機器學習的識別方法可以粒度較細的識別DDos攻擊，但依賴訓練數據，而現階段存在的特征只關注于統計特征，尚未涵蓋模式特征，使其查準率在某些場景下低于傳統方法。

發明內容

本發明旨在提供一種利用網絡流的采樣元信息，結合狀態轉移矩陣，從多維度提取可以刻畫DDos行為的特征，基于機器學習的DDos攻擊識別方法。提取出可以有效刻畫不同DDos攻擊手法的網絡行為特征，結合機器學習算法訓練學習，在對場景先驗知識較少的情況下，即可既準又全的識別DDos攻擊。

本發明通過對不同DDos攻擊工具的調研了解，旨在對DDos攻擊從統計維度、模式維度等多維度提取特征，結合狀態轉移矩陣進行特征變換，并配合強機器學習算法，提升識別的準確率和召回率。