本發明公開了一種基于流數據的黎曼流形結構的DDoS攻擊檢測方法。本發明首先對流數據進行數學建模，對高維度的、復雜的流數據特征進行預處理，最終以“做功”作為描述流數據的唯一特征；然后，使用傅里葉變換得到“做功”的頻域信息以及計算“做功”的信息熵作為機器學習的輸入特征。本發明方法是一種輕量級的檢測方法，其用于訓練的數據特征少，對DDoS攻擊的檢測速度快；同時，實現該方法的技術難度小，但準確率高。

技術領域

本發明涉及DDoS攻擊檢測技術領域，具體涉及一種基于流數據的黎曼流形結構的DDoS攻擊檢測方法。

背景技術

近年來針對DDoS攻擊檢測的研究熱點主要集中在機器學習領域。但是大多數機器學習方法需要大量的優質數據集作為訓練數據，或使用計算難度相對較大的深度學習算法才能獲得比較好的檢測效果。這導致這些方法的檢測成本和資源消耗過大，從而導致檢測和抵御DDoS攻擊的成本遠高于攻擊實施成本，針對DDoS攻擊的檢測產品價格昂貴且不易普及。

如David J等人(David J,Thomas C.DDoS attack detection using fastentropy approach on flow-based network traffic[J].Procedia Computer Science,2015,50(4):30-36.)提出了基于流分析的快速熵方法對分布式拒絕服務攻擊檢測的改進，采用了一種自適應閾值算法該方法在傳統熵變換的基礎上提高了檢測效率并降低了檢測成本，但該檢測方法只能針對流量中的地址數量體現出的信息熵進行計算，當出現大量不同源IP地址的分布式慢速DoS攻擊時，該方法的有效性值得懷疑。另外，Qin X等人(Qin X,Xu T,Wang C.DDoS Attack Detection Using Flow Entropy and Clustering Technique[C]//2015 11th International Conference on Computational Intelligence andSecurity(CIS).IEEE,2016.)通過構建不同特征的熵向量，使用聚類分析算法建模正常模式，然后檢測所創建模型的偏差。該方法具備一定的準確性，但是其需要在數據規模達到6000以上時，才能有較好的準確性。計算成本和檢測速率較低。同時，該方法并未提及關于特征閾值的置的理論依據。Wang等人(Wang R,Jia Z,Ju L.An Entropy-BasedDistributed DDoS Detection Mechanism in Software-Defined Networking[C]//IEEETrustcom/bigdatase/ispa.IEEE,2015.)將流數據定義為一個五元組，利用該五元組計算統計不同IP數據流出現的概率，通過該概率計算正常流量和異常流量的熵值，進而對DDoS進行檢測。該方法降低了計算和檢測成本，可以較為簡單的部署在邊界防護設備上，但是準確率較低，實用性不強。

David J等人(David J,Thomas C.Efficient DDoS Flood Attack Detectionusing Dynamic Thresholding on Flow-Based Network Traffic[J].ComputersSecurity,2019,82(MAY):284-295.)提出了一種基于流量特征和動態門限檢測算法的分布式拒絕服務攻擊統計檢測方法。采用統計方法，對網絡流量特征如包數量、源IP、目標IP、源協議都要考慮。該方法對DDoS特征進行了明確定義，包括大量唯一的源IP、目的地址相同(端口可不同)、大量的包、協議相同、包長度在40-60byte之間。這種定義會導致在檢測混合攻擊時精度降低。