[发明专利]基于流数据的黎曼流形结构的DDoS攻击检测方法

权利要求书

1.一种基于流数据的黎曼流形结构的DDoS攻击检测方法，其特征在于，包括：

提取流数据中的数据包个数、数据比特大小和流持续时间；

构建黎曼流形M，其中，M＝(X,τ)，τ＝{{数据包个数}，{数据比特大小}，{流持续时间}}，X＝{数据包个数，数据比特大小，流持续时间}；

基于黎曼流形M，计算数据流的功W：W＝F·S，其中，S为检测到的流数据在黎曼流形M上产生的距离；F为流数据的作用力，t为流持续时间；

对流数据的功W做标准化处理，得到标准化处理后的流数据的功W_标准化；

提取W_标准化的频域信息y[k]，并计算W_标准化的信息熵H；

构建分类器，所述分类器的输入特征为W_标准化的频域信息y[k]和信息熵H，输出为攻击检测结果；利用样本集对分类器进行训练，利用训练好的分类器进行攻击检测。

2.如权利要求1所述的基于流数据的黎曼流形结构的DDoS攻击检测方法，其特征在于，采用进行流数据的功的标准化处理。

3.如权利要求1所述的基于流数据的黎曼流形结构的DDoS攻击检测方法，其特征在于，计算信息熵时，将做功大小在设定误差范围内的行为认为是相同行为。

4.如权利要求3所述的基于流数据的黎曼流形结构的DDoS攻击检测方法，其特征在于，设定误差范围为±0.1倍的W_标准化。

5.如权利要求1所述的基于流数据的黎曼流形结构的DDoS攻击检测方法，其特征在于，采用快速傅里叶变换或离散傅里叶变换的方法提取频域信息。

6.如权利要求1所述的基于流数据的黎曼流形结构的DDoS攻击检测方法，其特征在于，所述分类器采用神经网络。

7.如权利要求1所述的基于流数据的黎曼流形结构的DDoS攻击检测方法，其特征在于，攻击检测时，

(1)若5分钟内检测到的同源、目的IP的流数据不超过5条，则不对该源、目的IP的流数据进行攻击检测；超过5分钟后重新计数；

(2)若5分钟内检测到的同源、目的IP的非UDP类流数据超过5条，则计算该源、目的IP的不超过连续10条流数据的W_标准化的频域信息和信息熵；达到10条流数据后，去掉最早的一条流数据，加入最新的一条流数据；

(3)5分钟内检测到的同源、目的IP的UDP类流数据超过10条，则计算该源、目的IP的不超过连续50条流数据的W_标准化的频域信息和信息熵；达到50条流数据后，去掉最早的一条流数据，加入最新的一条流数据。