分布式拒绝服务DDOS攻击检测方法和装置与流程

本申请涉及互联网安全技术领域，尤其涉及一种分布式拒绝服务ddos攻击检测方法和装置。

背景技术

分布式拒绝服务(distributeddenailofservice，简称ddos)攻击，利用多个分布式攻击源向目标对象发送海量数据包，来消耗目标对象的可用系统和带宽资源。当攻击源发送的海量数据包超出了目标对象的处理能力时，则会导致目标对象网络服务瘫痪。

相关技术中，通过将目标对象的当前访问流量与设定的阈值(正常访问流量)进行比对，如果当前访问流量大于设定的阈值，则认为目标对象发生了ddos攻击。

但是，在实际应用时，申请人发现，当访问流量突增时，并不一定发生了ddos攻击，例如商户进行促销活动，而导致访问流量增大，因此，上述检测方式存在准确率性较低以及误报率较大的技术问题。

技术实现要素：

本申请提出一种分布式拒绝服务ddos攻击检测方法和装置，用于根据预先训练的训练预测模型，进行ddos攻击检测，可以提升ddos攻击检测的效率以及准确率，进而降低ddos攻击的误报率，以解决相关技术中ddos攻击检测的准确率性较低以及误报率较大的技术问题。

本申请一方面实施例提出了一种分布式拒绝服务ddos攻击检测方法，包括：

获取用户的特征画像，其中，所述特征画像包括至少一个基线；

获取待测流量包，并提取所述待测流量包之中的比对特征；

根据所述比对特征和所述至少一个基线，生成至少一个特征因子；以及

将所述特征因子输入训练预测模型进行ddos攻击检测。

本申请实施例的分布式拒绝服务ddos攻击检测方法，通过获取用户的特征画像，其中，特征画像包括至少一个基线，而后，获取待测流量包，并提取待测流量包之中的比对特征，接着，根据比对特征和至少一个基线，生成至少一个特征因子，最后，将特征因子输入训练预测模型进行ddos攻击检测。本申请中，由于训练预测模型已学习得到各特征因子和异常检测结果之间的对应关系，从而根据该训练识别模型，对特征因子进行检测，可以确定是否发生ddos攻击，可以提升ddos攻击检测的效率以及准确率，进而降低ddos攻击的误报率。

本申请又一方面实施例提出了一种分布式拒绝服务ddos攻击检测装置，包括：

获取模块，用于获取用户的特征画像，其中，所述特征画像包括至少一个基线；

提取模块，用于获取待测流量包，并提取所述待测流量包之中的比对特征；

生成模块，用于根据所述比对特征和所述至少一个基线，生成至少一个特征因子；以及

检测模块，用于将所述特征因子输入训练预测模型进行ddos攻击检测。

本申请实施例的分布式拒绝服务ddos攻击检测装置，通过获取用户的特征画像，其中，特征画像包括至少一个基线，而后，获取待测流量包，并提取待测流量包之中的比对特征，接着，根据比对特征和至少一个基线，生成至少一个特征因子，最后，将特征因子输入训练预测模型进行ddos攻击检测。本申请中，由于训练预测模型已学习得到各特征因子和异常检测结果之间的对应关系，从而根据该训练识别模型，对特征因子进行检测，可以确定是否发生ddos攻击，可以提升ddos攻击检测的效率以及准确率，进而降低ddos攻击的误报率。

本申请又一方面实施例提出了一种计算机设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现如本申请前述实施例提出的分布式拒绝服务ddos攻击检测方法。

本申请又一方面实施例提出了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如本申请前述实施例提出的分布式拒绝服务ddos攻击检测方法。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本申请实施例一所提供的分布式拒绝服务ddos攻击检测方法的流程示意图；

图2为本申请实施例中协议成分流量基线示意图；

图3为本申请实施例中包长分布基线示意图；

图4为本申请实施例中ttl分布基线示意图；

图5为本申请实施例中源端口分布基线示意图；

图6为本申请实施例中目的端口分布基线示意图；

图7为本申请实施例二所提供的分布式拒绝服务ddos攻击检测方法的流程示意图；

图8为本申请实施例三所提供的分布式拒绝服务ddos攻击检测方法的流程示意图；

图9为本申请实施例中的分割超平面示意图；

图10为本申请实施例四所提供的分布式拒绝服务ddos攻击检测系统的结构示意图；

图11为本申请实施例五所提供的分布式拒绝服务ddos攻击检测装置的结构示意图；

图12为本申请实施例六所提供的分布式拒绝服务ddos攻击检测装置的结构示意图。

具体实施方式

下面详细描述本申请的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

相关技术中，基于设定的阈值进行ddos攻击检测，检测速度较快，可以满足实时性检测的要求。但是，在实际应用时，当访问流量突增时，并不一定发生了ddos攻击，例如当商户进行促销活动，而导致访问流量增大，因此，该检测方法不能区分突发的正常访问流量和ddos攻击，检测的准确率性较低以及误报率较大。

同时，低速率分布式拒绝服务(low-ratedistributeddenailofservice，简称lddos)攻击，在攻击目标对象时，产生的流量较小，因此，基于设定的阈值，无法检测lddos攻击。

本申请主要针对相关技术中ddos攻击检测的准确率性较低以及误报率较大的技术问题，提出一种分布式拒绝服务ddos攻击检测方法。

本申请实施例的分布式拒绝服务ddos攻击检测方法，通过获取用户的特征画像，其中，特征画像包括至少一个基线，而后，获取待测流量包，并提取待测流量包之中的比对特征，接着，根据比对特征和至少一个基线，生成至少一个特征因子，最后，将特征因子输入训练预测模型进行ddos攻击检测。本申请中，由于训练预测模型已学习得到各特征因子和异常检测结果之间的对应关系，从而根据该训练识别模型，对特征因子进行检测，可以确定是否发生ddos攻击，可以提升ddos攻击检测的效率以及准确率，进而降低ddos攻击的误报率。

下面参考附图描述本申请实施例的分布式拒绝服务ddos攻击检测方法和装置。在具体描述本申请实施例之前，为了便于理解，首先对常用技术词进行介绍：

k-l散度(kullback-leiblerdivergence)，是一种量化两种概率分布之间差异的方式，又称为相对熵。

支持向量机(supportvectormachine，简称svm)，通过一个非线性映射p，将样本空间映射到一个高维乃至无穷维的特征空间(hilbert空间)中，使得在原来的样本空间中非线性可分的问题，转化为在特征空间(hilbert空间)中的线性可分的问题。

图1为本申请实施例一所提供的分布式拒绝服务ddos攻击检测方法的流程示意图。

本申请实施例以该分布式拒绝服务ddos攻击检测方法被配置于分布式拒绝服务ddos攻击检测装置中来举例说明。该分布式拒绝服务ddos攻击检测装置可以设置在网络侧。

如图1所示，该分布式拒绝服务ddos攻击检测方法可以包括以下步骤：

步骤101，获取用户的特征画像，其中，特征画像包括至少一个基线。

本申请实施例中，特征画像包括至少一个基线，其中，基线可以包括目的端口分布基线、源端口分布基线、时间生存(timetolive，简称ttl)分布基线、包长分布基线、和/或、协议成分流量基线。

可以理解的是，每一个互联网上的业务都有其特定的特征，比如提供服务的服务器的ip地址和端口号，通信的数据包的内容和格式等等，本申请实施例的ddos攻击检测装置可以采集业务侧的流量包，根据采集的流量包，可以确定发送流量包的设备信息、流量(bps)、包量(pps)、源ip、目的ip、源端口、目的端口等信息，进而可以确定用户的特征画像，例如可以确定目的端口分布基线、源端口分布基线、ttl分布基线、包长分布基线、和/或、协议成分流量基线。

其中，协议成分流量基线，用于统计每个流量包中的目的ip的入流量大小，即统计目的ip接收的包量和流量大小。具体地，可以将目的ip每秒内接收到的数据包的数据作为包量，将接收到的数据字节总量作为流量。

作为一种示例，参见图2，图2为本申请实施例中协议成分流量基线示意图。其中，时间窗可以取分钟粒度，以1440分钟为一条协议成分流量基线示例。

包长分布基线，用于统计数据包长在每个分段上的累计值。具体地，可以将采集到的数据包长，以预设的第一数值为分段间隔，统计数据包长在每个分段间隔上的累计值，作为包长分布基线。

作为一种示例，参见图3，图3为本申请实施例中包长分布基线示意图。其中，以预设的第一数值为150示例，即以分段间隔为150示例。

ttl分布基线，用于统计ttl在每个分段上的累计值。具体地，可以采集ttl，而后以预设的第二数值为分段间隔，统计ttl在每个分段间隔上的累计值，作为ttl分布基线。

作为一种示例，参见图4，图4为本申请实施例中ttl分布基线示意图。其中，以预设的第二数值为16示例，即以分段间隔为16示例。

源端口分布基线，用于统计源端口的流量分布情况。

作为一种示例，参见图5，图5为本申请实施例中源端口分布基线示意图。

目的端口分布基线，用于统计目的端口的流量分布情况。

作为一种示例，参见图6，图6为本申请实施例中目的端口分布基线示意图。其中，以目的端口为云商户主机端口，时间窗为14天示例。

步骤102，获取待测流量包，并提取待测流量包之中的比对特征。

本申请实施例中，待测流量包为需要进行ddos攻击检测的流量包。比对特征可以为待测流量包的流量或包量，或者，对比特征可以包括待测流量包的目的端口分布、源端口分布、ttl分布、包长分布、和/或、流量或包量分布。

本申请实施例中，ddos攻击检测装置可以在网络侧获取待测流量包。在获取到待测流量包后，可以对待测流量包进行解析，确定待测流量包之中的比对特征。例如，可以基于相关技术中的解析器，对待测流量包进行解析，确定待测流量包的流量或包量，或者，可以基于相关技术中的预设算法，提取待测流量包之中的目的端口分布、源端口分布、ttl分布、包长分布、流量或包量分布，对此不作限制。

步骤103，根据比对特征和至少一个基线，生成至少一个特征因子。

具体地，可以根据对比特征相对至少一个基线的偏移值，生成至少一个特征因子。

作为一种可能的实现方式，当基线包括目的端口分布基线、源端口分布基线、ttl分布基线、包长分布基线、和/或、协议成分流量基线时，对比特征可以包括待测流量包的目的端口分布、源端口分布、ttl分布、包长分布、和/或、流量或包量分布，此时，可以根据比对特征和至少一个基线通过k-l散度算法，生成至少一个距离特征因子。

例如，可以根据下述公式，生成距离特征因子：

其中，dkl(p||q)表示距离特征因子，q表示至少一个基线的概率分布，p表示对比特征的概率分布。例如，当基线为包长分布基线，对比特征为包长分布时，dkl(p||q)表示包长分布与包长分布基线的偏移距离，q表示包长分布基线的概率分布，p表示包长分布的概率分布。

作为另一种可能的实现方式，当基线包括目的端口分布基线、源端口分布基线、ttl分布基线、包长分布基线、和/或、协议成分流量基线时，对比特征可以包括待测流量包的目的端口分布、源端口分布、ttl分布、包长分布、和/或、流量或包量分布，此时，可以根据比对特征和至少一个基线通过cosin余弦相似度算法，生成至少一个夹角特征因子。

例如，以对比特征为目的端口分布，基线为目的端口分布基线示例，标记当前时刻采集到的目的端口分布，即目的端口的流量分布为a＝(a1，a2，…，an)，对应基线上相同时刻的目的端口分布为b＝(b1，b2，…，bn)，则目的端口分布和目的端口分布基线之间的夹角特征因子cosθ为：

可以理解的是，由于流量数值均大于0，因此，余弦值cosθ的取值范围在[0，1]之间，当cosθ值越接近于1时，表明a和b两个向量的方向越接近，而当cosθ值越接近于0时，表明a和b两个向量的方向近乎于正交。因此，当cosθ取值低于预设的第一数值时，例如第一数值为0.7时，即当cosθ<0.7时，确定发生ddos攻击。

同理，对于对比特征为待测流量包的源端口分布、ttl分布、包长分布、和/或、流量或包量分布时，同样可以基于公式(2)计算该比对特征与对应基线之间的夹角特征因子，在此不做赘述。

步骤104，将特征因子输入训练预测模型进行ddos攻击检测。

本申请实施例中，将特征因子输入至训练预测模型，进行ddos攻击检测，可以获得是否发生ddos攻击的异常检测结果。其中，训练预测模型为预先经过训练的，该训练预测模型已学习得到各特征因子和异常检测结果之间的对应关系。

例如，根据步骤103可知，当夹角特征因子cosθ低于预设的第一数值时，比如第一数值为0.7，即cosθ<0.7时，此时，将夹角因子cosθ输入训练预测模型进行ddos攻击检测，可以确定发生ddos攻击。

或者，根据步骤103可知，当距离特征因子dkl(p||q)大于预设的第二数值时，表明对比特征相对至少一个基线的偏移值较大，此时，将距离特征因子dkl(p||q)输入训练预测模型进行ddos攻击检测，可以确定发生ddos攻击。

本申请实施例中，由于训练预测模型已学习得到各特征因子和异常检测结果之间的对应关系，从而根据该训练识别模型，对特征因子进行检测，可以确定是否发生ddos攻击，提升ddos攻击检测的效率以及准确率。

本申请实施例的分布式拒绝服务ddos攻击检测方法，通过获取用户的特征画像，其中，特征画像包括至少一个基线，而后，获取待测流量包，并提取待测流量包之中的比对特征，接着，根据比对特征和至少一个基线，生成至少一个特征因子，最后，将特征因子输入训练预测模型进行ddos攻击检测。本申请中，由于训练预测模型已学习得到各特征因子和异常检测结果之间的对应关系，从而根据该训练识别模型，对特征因子进行检测，可以确定是否发生ddos攻击，可以提升ddos攻击检测的效率以及准确率，进而降低ddos攻击的误报率。

作为一种可能的实现方式，当对比特征为待测流量包的流量或包量时，可以获取各个时间点的流量或包量，以及获取协议成分流量基线在各个时间点的参考流量/参考包量，从而可以根据各个时间点的流量或包量，以及参考流量/参考包量，生成流量特征因子/包量特征因子。下面结合图7，对上述过程进行详细说明。

图7为本申请实施例二所提供的分布式拒绝服务ddos攻击检测方法的流程示意图。

如图7所示，该分布式拒绝服务ddos攻击检测方法可以包括以下步骤：

步骤201，获取用户的特征画像，其中，特征画像包括至少一个基线。

其中，基线为协议成分流量基线。

步骤202，获取待测流量包，并提取待测流量包之中的比对特征。

其中，比对特征为待测流量包的流量或包量。

步骤201～202的执行过程可以参见上述实施例中步骤101～102的执行过程，在此不做赘述。

步骤203，获取各个时间点的流量/包量。

本申请实施例中，可以对待测流量包进行解析，确定各个时间点的流或包量。例如，可以基于相关技术中的解析器，对待测流量包进行解析，确定各个时间点的流量或包量，对此不作限制。

可选地，标记当前时刻采集到的流量(或者包量)大小为xn，标记在当前时刻之前的各个时间点的流量(或者包量)分别为x1，x2，…，xn。

步骤204，获取协议成分流量基线在各个时间点的参考流量/参考包量。

本申请实施例中，在获取协议成分流量基线后，可以对协议成分流量基线进行采样，获取协议成分流量基线在各个时间点的参考流量或参考包量。例如，可以按照采样间隔t为1秒，对协议成分流量基线进行采样，得到协议成分流量基线在各个时间点的参考流量或参考包量。

可选地，标记协议成分流量基线，与获取的各个时间点的流量(或者包量)对应的参考流量(或者参考包量)分别为y1，y2，…，yn。

步骤205，根据协议成分流量基线在各个时间点的参考流量/参考包量，生成参考流量均值/参考包量均值。

具体地，可以将成分流量基线在各个时间点的参考流量(或者参考包量)求取均值，得到参考流量均值(或者参考包量均值)。

仍以上述例子示例，标记参考流量均值(或者参考包量均值)为u，则：

步骤206，根据各个时间点的流量/包量，和参考流量均值/参考包量均值，通过变点累积和cusum算法生成流量特征因子/包量特征因子。

可选地，可以根据下述公式，生成流量特征因子(或者包量特征因子)s：

可以理解的是，参考流量均值为协议成分流量基线在各个时间点的参考流量的均值，因而参考流量均值更加贴近正常流量的均值，利用各个时间点的流量与参考流量均值作差求和，得到流量特征因子，当流量特征因子s大于预设的第一倍数的参考流量均值u时，比如第一倍数为0.3，当s>0.3*u时，此时，流量大小异常或者流量速度异常，因此，可以确定发生ddos攻击。

或者，参考包量均值为协议成分流量基线在各个时间点的参考包量的均值，因而参考包量均值更加贴近正常包量的均值，利用各个时间点的包量与参考包量均值作差求和，得到包量特征因子，当包量特征因子s大于预设的第一倍数的参考包量均值u时，比如第一倍数为0.3，当s>0.3*u时，此时，包量大小异常，因此，可以确定发生ddos攻击。

步骤207，将流量特征因子/包量特征因子输入训练预测模型，进行ddos攻击检测。

本申请实施例中，将流量特征因子或包量特征因子输入至训练预测模型，进行ddos攻击检测，可以获得是否发生ddos攻击的异常检测结果。其中，训练预测模型为预先经过训练的，该训练预测模型已学习得到流量特征因子或包量特征因子和异常检测结果之间的对应关系。

例如，根据步骤206可知，当流量特征因子s大于预设的第一倍数的参考流量均值u时，比如第一倍数为0.3，当s>0.3*u时，此时，流量大小异常或者流量速度异常，因此，可以确定发生ddos攻击。

本申请实施例的分布式拒绝服务ddos攻击检测方法，通过获取各个时间点的流量/包量，并获取协议成分流量基线在各个时间点的参考流量/参考包量，而后根据协议成分流量基线在各个时间点的参考流量/参考包量，生成参考流量均值/参考包量均值，接着根据各个时间点的流量/包量，和参考流量均值/参考包量均值，通过变点累积和cusum算法生成流量特征因子/包量特征因子，最后将流量特征因子/包量特征因子输入训练预测模型，进行ddos攻击检测。本申请中，参考流量均值为协议成分流量基线在各个时间点的参考流量的均值，因而参考流量均值更加贴近正常流量的均值，利用各个时间点的流量与参考流量均值作差求和，得到流量特征因子，从而将流量特征因子输入训练预测模型，进行ddos攻击检测，可以提升检测结果的准确率。或者，参考包量均值为协议成分流量基线在各个时间点的参考包量的均值，因而参考包量均值更加贴近正常包量的均值，利用各个时间点的包量与参考包量均值作差求和，得到包量特征因子，从而将包量量特征因子输入训练预测模型，进行ddos攻击检测，可以提升检测结果的准确率。

需要说明的是，根据信息熵的定义可知，信息熵是消除不确定性所需信息量的度量，即信息熵是未知事件可能含有的信息量。在信息数据越集中的地方，其熵值越小，而在信息数据越分散的地方，其熵值越大。当发生ddos攻击时，此时，多个目的ip攻击若干固定源ip，由于目的ip的信息数据较为分散，因此，目的ip的目的ip熵显著变大，而源ip的信息数据较为集中，因此，源ip的源ip熵则显著变小。因此，本申请中，还可以根据待测流量包中的源ip熵和目的ip熵，确定是否发生ddos攻击。下面结合图8，对上述过程进行详细说明。

图8为本申请实施例三所提供的分布式拒绝服务ddos攻击检测方法的流程示意图。

如图8所示，在图1-图7所示实施例的基础上，该分布式拒绝服务ddos攻击检测方法还可以包括以下步骤：

步骤301，获取待测流量包的源ip和目的ip。

本申请实施例中，可以对待测流量包进行解析，例如可以基于相关技术中的解析器，对待测流量包进行解析，从而获取待测流量包的源ip和目的ip。

步骤302，计算待测流量包的源ip和目的ip的源ip熵和目的ip熵，并将源ip熵和目的ip熵作为熵特征因子。

本申请实施例中，可以计算待测流量包的源ip的源ip熵，以及计算待测流量包的目的ip的目的ip熵，而后将将源ip熵和目的ip熵作为熵特征因子，从而可以根据熵特征因子，确定是否发生ddos攻击。

可选地，可以根据下述公式确定源ip熵h1(u)：

其中，pi表示源ip的概率。

可以根据下述公式确定目的ip熵h2(u)：

其中，qi表示目的ip的概率。

可以理解的是，当多个目的ip攻击若干固定源ip，由于目的ip的信息数据较为分散，因此，目的ip的目的ip熵显著变大，而源ip的信息数据较为集中，因此，源ip的源ip熵则显著变小。当目的ip熵高于第一阈值，且源ip熵低于第二阈值时，可以确定发生ddos攻击。

本申请实施例中，通过获取待测流量包的源ip和目的ip，而后计算待测流量包的源ip和目的ip的源ip熵和目的ip熵，并将源ip熵和目的ip熵作为熵特征因子，从而可以将熵特征因子输入训练预测模型进行ddos攻击检测，可以提升ddos攻击检测的准确率。

作为一种可能的实现方式，图1-图8实施例中的训练预测模型可以为svm训练预测模型，通过使用非线性映射算法，将低维输入空间线性不可分的样本，转化为高维特征空间，使得样本线性可分。

可选地，可以利用黑样本和白样本对该svm训练预测模型进行训练。其中，黑样本为业务侧提供的已知ddos攻击样本，白样本为未发生ddos攻击的流量包的目的端口分布、源端口分布、ttl分布、包长分布、流量/包量分布中的一种或多种。

其中，svm训练预测模型的核心思想本质上和线性回归(linearregression，简称lr)分类方法类似，通过使用一组训练样本集来训练svm训练预测模型中的权重系数，而后对训练样本集进行分类。

具体来说，svm训练预测模型通过训练一个分割超平面(separationhyperplane)，该分割超平面为分类的决策边界，位于分割超平面两边的为不同类别的样本。首先，需要确定位于分割超平面最近的样本点，而后确保这些最近的样本点离分隔超平面尽可能的远。可选地，标记位于分割超平面最近的样本点，与分割超平面之间的距离为margin，则需要保证margin尽可能的大，从而保证svm训练预测模型的分类效果。

例如，对于二类分类问题，标记训练样本集为t＝{(x1,y1)，(x2,y2)，…，(xn,yn)}，其类别yi∈{0,1}，svm训练预测模型通过线性学习，可以得到分割超平面：

ω·x+b＝0；(7)

以及相应的分类决策函数为：

f(x)＝sign(ω·x+b)；(8)

其中，sign为符号函数，将正数映射为1，将负数映射为-1。

作为一种示例，参见图9，图9为本申请实施例中的分割超平面示意图。将距离分割超平面最近的不同类别的样本点称为支持向量(supportvector)，构成了两条平行于分割超平面的长带，两个长带之间的距离称为margin。显然，margin更大，分类正确的确信度更高。其中，样本点与分隔超平面的距离表示分类的确信度，距离越远，则分类正确的确信度越高。由图9可知，分割超平面b1的margin大于分隔超平面b2的margin，因此，分割超平面b1的分类效果优于b2。

通过计算可以得到：

由图9可知，在长带b11和b12之外的样本点，或者在长带b21和b22之外的样本点，对于确定分割超平面没有贡献，换而言之，svm训练预测模型是由很重要的训练样本(支持向量)所确定的。在训练集的样本点分类正确的情况下，需要最大化margin值，即最大化则线性分类的约束最优化问题可以转化为如下所示的凸优化问题：

在线性可分的情况下，训练样本集中与分割超平面距离最近的样本点的实例称为支持向量，支持向量满足：

yi(ω·xi+b)-1＝0；(11)

即正样本点满足：

ω·xi+b＝1；(12)

负样本点满足：

ω·xi+b＝-1；(13)

需要说明的是，上述仅以svm训练预测模型适用于两类分类问题示例，实际应用时，本申请中的svm训练预测模型可以适用于多类分类问题，对此不作限制。

本申请实施例中，利用白样本和黑样本进行训练后的svm训练预测模型，可以学习得到各特征因子和异常检测结果之间的对应关系，从而在根据待测流量包之中的比对特征和至少一个基线，生成至少一个特征因子后，可以将特征因子输入训练预测模型进行ddos攻击检测，得到检测结果，可以提升检测结果的准确性。

进一步地，在确定发生ddos攻击后，还可以发出告警，从而可以对告警时间段的流量包进行过滤，净化基线，进而提升后续ddos攻击检测的准确性。

作为一种示例，参见图10，图10为本申请实施例四所提供的分布式拒绝服务ddos攻击检测系统的结构示意图。

如图10所示，该布式拒绝服务ddos攻击检测系统包括：网络流量采集模块、基线生成模块、特征因子生成模块、检测模块，以及告警模块。

其中，网络流量采集模块，用于采集业务侧的流量包。

基线生成模块，用于根据采集的流量包，生成基线。例如，可以将流量包，按照14天时间窗，生成基线。

特征因子生成模块，用于根据异常检测算法，计算待测流量包中的比对特征偏离基线的偏移量。

检测模块，用于根据svm训练预测模型，对特征因子进行ddos攻击检测。

告警模块，用于在发生ddos攻击时，进行告警。

基线生成模块，还用于对告警时间段的流量包进行过滤，净化基线，从而提升后续ddos攻击检测的准确性。

为了实现上述实施例，本申请还提出一种分布式拒绝服务ddos攻击检测装置。

图11为本申请实施例五所提供的分布式拒绝服务ddos攻击检测装置的结构示意图。

如图11所示，该分布式拒绝服务ddos攻击检测装置100包括：获取模块110、提取模块120、生成模块130，以及检测模块140。

其中，获取模块110，用于获取用户的特征画像，其中，特征画像包括至少一个基线。

提取模块120，用于获取待测流量包，并提取待测流量包之中的比对特征。

生成模块130，用于根据比对特征和至少一个基线，生成至少一个特征因子。

作为一种可能的实现方式，比对特征为待测流量包的流量/包量，基线为协议成分流量基线。

检测模块140，用于将特征因子输入训练预测模型进行ddos攻击检测。

进一步地，在本申请实施例的一种可能的实现方式中，参见图12，在图11所示实施例的基础上，该分布式拒绝服务ddos攻击检测装置100还可以包括：

作为一种可能的实现方式，生成模块130，包括：

第一获取子模块131，用于获取各个时间点的流量/包量。

第二获取子模块132，用于获取协议成分流量基线在各个时间点的参考流量/参考包量。

第一生成子模块133，用于根据协议成分流量基线在各个时间点的参考流量/参考包量，生成参考流量均值/参考包量均值。

第二生成子模块134，用于根据各个时间点的流量/包量，和参考流量均值/参考包量均值，通过变点累积和cusum算法生成流量特征因子/包量特征因子。

作为一种可能的实现方式，比对特征包括待测流量包的目的端口分布、源端口分布、生存时间ttl分布、包长分布、流量/包量分布中的一种或多种，基线包括目的端口分布基线、源端口分布基线、ttl分布基线、包长分布基线和协议成分流量基线中的一种或多种。

作为一种可能的实现方式，生成模块130，具体用于：根据比对特征和至少一个基线通过k-l散度算法，生成至少一个距离特征因子。

作为另一种可能的实现方式，生成模块130，具体用于：根据比对特征和至少一个基线通过cosin余弦相似度算法，生成至少一个夹角特征因子。

ip获取模块150，用于获取待测流量包的源ip和目的ip。

处理模块160，用于计算待测流量包的源ip和目的ip的源ip熵和目的ip熵，并将源ip熵和目的ip熵作为熵特征因子。

作为一种可能的实现方式，训练预测模型为支持向量机svm训练预测模型。

需要说明的是，前述对分布式拒绝服务ddos攻击检测方法实施例的解释说明也适用于该实施例的分布式拒绝服务ddos攻击检测装置100，此处不再赘述。

本申请实施例的分布式拒绝服务ddos攻击检测装置，通过获取用户的特征画像，其中，特征画像包括至少一个基线，而后，获取待测流量包，并提取待测流量包之中的比对特征，接着，根据比对特征和至少一个基线，生成至少一个特征因子，最后，将特征因子输入训练预测模型进行ddos攻击检测。本申请中，由于训练预测模型已学习得到各特征因子和异常检测结果之间的对应关系，从而根据该训练识别模型，对特征因子进行检测，可以确定是否发生ddos攻击，可以提升ddos攻击检测的效率以及准确率，进而降低ddos攻击的误报率。

为了实现上述实施例，本申请还提出一种计算机设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时，实现如本申请前述实施例提出的分布式拒绝服务ddos攻击检测方法。

为了实现上述实施例，本申请还提出一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如本申请前述实施例提出的分布式拒绝服务ddos攻击检测方法。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。