(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110557397A(43)申请公布日2019.12.10(21)申请号201910864121.3(22)申请日2019.09.12(71)申请人贵州电网有限责任公司地址550002贵州省贵阳市南明区滨河路17号(72)发明人王颖舒刘晴左宇张娟娟袁舒黄韬徐拓之李易韦倩(74)专利代理机构贵阳中新专利商标事务所52100代理人商小川(51)Int.Cl.H04L29/06(2006.01)H04L9/00(2006.01)权利要求书3页说明书8页附图3页(54)发明名称一种基于混沌理论分析的DDoS攻击检测方法(57)摘要本发明公开了一种基于混沌理论分析的DDoS攻击检测方法，它包括：步骤1、收集信网络流量数据，并对收集的流量数据进行预处理；步骤2、采用时间序列模型中序列预测算法建立网络正常流量模型；步骤3、将网络流量正常模型与网络流量测量值进行作差得到相应的新序列，从而得到网络流量的异常子序列；步骤4、采用混沌理论中的李雅谱诺夫指数分析异常子序列，判断当前时刻系统的状态；解决了现有技术存在的DDoS攻击由于大部分攻击流从单个数据讲，并无明显恶意特征，甚至貌似合法正常请求，因此在检测上具有很大难度；目前对DDoS攻击的检测缺少行之有效地解决方案来杜绝或降低所带来的危害等技术问题。CN110557397ACN110557397A权利要求书1/3页1.一种基于混沌理论分析的DDoS攻击检测方法，它包括：步骤1、收集信网络流量数据，并对收集的流量数据进行预处理；步骤2、采用时间序列模型中序列预测算法建立网络正常流量模型；步骤3、将网络流量正常模型与网络流量测量值进行作差得到相应的新序列，从而得到网络流量的异常子序列；步骤4、采用混沌理论中的李雅谱诺夫指数分析异常子序列，判断当前时刻系统的状态；步骤5、若发生DDoS攻击，则当前系统是非混沌的，李雅谱诺夫指数小于0；步骤6、若未发生DDoS攻击，则当前系统是混沌的，李雅谱诺夫指数大于等于0。2.根据权利要求1所述的一种基于混沌理论分析的DDoS攻击检测方法，其特征在于：所述对收集的流量数据进行预处理的方法为：计算在一个时间范围tk内的平均序列式中：xn表示n时刻的流量数据，那么整个流量序列表示为：x1,x2,...,xk,...,xn。3.根据权利要求1所述的一种基于混沌理论分析的DDoS攻击检测方法，其特征在于：网络正常流量模型的建立方法包括：所述建立网络正常流量模型，即建立网络流量的预测序列，采用了AR自回归模型，然后用AR中的线性预测算法PLC来得到预测序列：AR自回归模型如下：式中s(n)为初始序列，p为预测阶数，为预测序列；在t时刻的预测值根据t时刻之前的数据得出，其中ai为预测系数；通过寻找一组使预测误差值的输出功率最小的ai，来得到预测序列；由已知信号直接求出一组预测系数a1,a2,...,ap，这组预测系数就被看做信号产生模型中系统函数H(z)的参数，它使得在一段信号波形中均方预测误差最小；理论上用的是均方误差E[e2(n)]最小的准则，E[·〕表示对误差的平方求数学期望或平均值；要得到使E[e2(n)]最小的ak，可将E[e2(n)]对各个系数求偏导，并令结果为零即将公式10带入公式9可以得到：-2E[e(n)s(n-k)]＝0,k＝1,2,...,p(11)将e(n)展开得：2CN110557397A权利要求书2/3页令s(n)的自相关序列为:R(k)＝E[s(n)s(n-k)](13)由于自相关序列为偶对称，因此R(k)＝R(-k)＝E[s(n)s(n+k)](14)所以式12可表示为：p个预测系数a1,a2,...,ap通过上式求出；PLC得到的矩阵如下：矩阵中R(k)＝s(n)*s(n-k),称之为s(n)的自相关系数；EP为预测误差值的最小功率；式中E(p)与E(p-1)存在迭代关系；通过线性递推的方法求解此矩阵，即可得到预测系数，从而生成网络流量的预测序列。4.根据权利要求1所述的一种基于混沌理论分析的DDoS攻击检测方法，其特征在于：得到网络流量的异常子序列的方法为：获取预测误差值：式中用表示预测序列xn；预测误差值即异常子序列也就是异常流量；一个网络的实际流量表示成正常流量与异常流量的和，即5.根据权利要求1所述的一种基于混沌理论分析的DDoS攻击检测方法，其特征在于：采用混沌理论中的李雅谱诺夫指数分析异常子序列判断当前时刻系统的状态的方法包括：建立公式：λk≈{ln(Δxk/Δx0)}/tk根据λk的正负判断异常子序列的混沌性；若λk>0，则{Δxk}是混沌的，说明是正常流量进入系统引起了流量变化，没有DDoS攻击流量，没有发生DDoS攻击；若λk＝0，则{Δxk}持一个平