基于二進(jìn)制流量關(guān)鍵詞袋模型的攻擊檢測算法

　　針對分布式拒絕服務(wù)（ DDoS）攻擊有效荷載快速變化，人工干預(yù)需要依賴經(jīng)驗(yàn)設(shè)定預(yù)警閾值以及異常流量特征碼更新不及時(shí)等問題，提出一種基于二進(jìn)制流量關(guān)鍵點(diǎn)詞袋（ BSP-BoW）模型的DDoS攻擊檢測算法。該算法可以自動從當(dāng)前網(wǎng)絡(luò)的流量數(shù)據(jù)中訓(xùn)練得到流量關(guān)鍵點(diǎn)（SP），針對不同拓?fù)渚W(wǎng)絡(luò)進(jìn)行自適應(yīng)異常檢測，減少頻繁更新特征集帶來的人工成本。首先，對已有的攻擊流量和正常流量進(jìn)行均值聚類，尋找網(wǎng)絡(luò)流量中的SP；然后，將原有的流量轉(zhuǎn)化映射到相應(yīng)SP上使用直方圖進(jìn)行形式化表達(dá)；最后，通過歐氏距離進(jìn)行DDoS攻擊的分類檢測。在公開數(shù)據(jù)庫DARPA LLDOSl.0上的實(shí)驗(yàn)結(jié)果表明，所提算法的異常網(wǎng)絡(luò)流量識別率優(yōu)于現(xiàn)有的局部加權(quán)學(xué)習(xí)（LWL）、支持向量機(jī)（SVM）、隨機(jī)樹（Random Tree）、logistic回歸分析（logistic）、貝葉斯（NB）等方法。所提的基于詞袋聚類模型算法在拒絕服務(wù)攻擊的異常流量識別中有很好的識別效果和泛化能力，適合部署在中小企業(yè)（ SME）網(wǎng)絡(luò)流量設(shè)備上。