本申請公開了一種攻擊檢測模型訓練方法、攻擊檢測方法及系統，包括：獲取指定時間段內網絡流量的特征信息，指定時間段內的部分網絡流量為被檢測為DDoS攻擊的流量，特征信息包括源IP地址和流量字節數；將指定時間段內的網絡流量以設定時長為單位進行劃分，得到檢測樣本集，檢測樣本集中包括多個檢測樣本，其中一個檢測樣本對應一個設定時長內的網絡流量，一個檢測樣本中包括對應設定時長內的網絡流量的特征信息；使用檢測樣本集中的至少部分檢測樣本，對DDoS攻擊檢測模型進行訓練；其中，DDoS攻擊檢測模型的輸出信息用于指示輸入的網絡流量是否是DDoS攻擊流量。

技術領域

本發明涉及通信技術領域，尤其涉及一種分布式拒絕服務(Distributed Denialof Service，DDoS)攻擊檢測模型訓練方法、DDoS攻擊檢測方法及系統。

背景技術

DDoS攻擊指借助于客戶或服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動分布式拒絕服務攻擊。分布式拒絕服務攻擊的方式有多種，最基本的分布式服務攻擊為利用目標系統網絡服務功能缺陷或者利用合理的服務請求直接占用過多的服務資源，從而使得該目標系統無法提供正常服務。按照傳輸控制協議/因特網互聯協議(Transmission Control Protocol/Internet Protocol，TCP/IP)的層次可將分布式拒絕服務攻擊分為基于地址解析協議(Address Resolution Protocol，ARP)的攻擊、基于控制報文協議(Internet Control Message Protocol，ICMP)的攻擊、基于因特網互聯協議(Internet Protocol，IP)的攻擊、基于用戶數據報協議(User Datagram Protocol，UDP)的攻擊、基于傳輸控制協議(Transmission Control Protocol，TCP)的攻擊以及基于應用層的攻擊。

通過對分布式拒絕服務攻擊進行檢查，可有效地避免或減少分布式拒絕服務帶來的損失。現有技術中，分布式拒絕服務攻擊檢測所需的數據來自于網絡流量日志，該日志提供看各種網絡行為數據，包括七元組信息：源IP地址、目的IP地址、源端口、目的端口、協議號、服務類型以及接口索引。在獲取到網絡流量日志的基礎上，可對流進某個IP的報文報數或者報文流量，按照每一分鐘為單位建立一個閾值，當發現某一類包數或者流量異常增大，超過閾值，則可認為受到了分布式拒絕服務攻擊。

發明內容

本申請實施例提供一種DDoS攻擊檢測模型訓練方法、DDoS攻擊檢測方法及系統，用以基于網絡流量的特征信息進行訓練得到用于檢測DDoS攻擊的DDoS攻擊檢測模型。

第一方面，提供一種分布式拒絕服務DDoS攻擊檢測模型訓練方法，包括：獲取指定時間段內網絡流量的特征信息，所述指定時間段內的部分網絡流量為被檢測為DDoS攻擊的流量，所述特征信息包括源IP地址和流量字節數；將所述指定時間段內的網絡流量以設定時長為單位進行劃分，得到檢測樣本集，所述檢測樣本集中包括多個檢測樣本，其中一個檢測樣本對應一個設定時長內的網絡流量，一個檢測樣本中包括對應設定時長內的網絡流量的特征信息；使用所述檢測樣本集中的至少部分檢測樣本，對DDoS攻擊檢測模型進行訓練；其中，所述DDoS攻擊檢測模型的輸出信息用于指示輸入的網絡流量是否是DDoS攻擊流量。

可選地，所述檢測樣本集中包括訓練樣本子集和驗證樣本子集，對DDoS攻擊檢測模型進行訓練所使用的樣本來自于所述訓練樣本子集；對DDoS攻擊檢測模型進行訓練之后，還包括：使用所述驗證樣本子集中的至少部分樣本，對訓練后的DDoS攻擊檢測模型的準確性進行驗證。

可選地，所述DDoS攻擊檢測模型的輸出信息，包括：被檢測為DDoS攻擊流量的概率以及被檢測為正常流量的概率。

可選地，所述檢測樣本中還包括標簽信息，所述標簽信息用于指示該檢測樣本是否為被檢測為DDoS攻擊流量。

可選地，所述部分檢測樣本包括被檢測為DDoS攻擊流量的檢測樣本和被檢測為正常流量的檢測樣本。