基于HMM时间序列预测和混沌模型的DDoS攻击检测方法

摘要

分布式拒绝服务(DDoS)攻击是网络环境中最具破坏力的攻击方式之一,现有基于机器学习的攻击检测方法往往直接将某时刻的特征值代入分类器进行分类,没有考虑相邻时刻特征之间的联系,因而导致误报率和漏报率较高.本文提出一种基于隐马尔科夫模型(Hidden Markov Model,HMM)时间序列预测和混沌模型的DDoS攻击检测方法.针对大规模攻击网络流量的突发性,定义网络流量加权特征(Network Traffic Weighted Features,NTWF)和网络流平均速率(Network Flow Average Rate,NFAR)二元从组来描述网络流量的特点;然后采用层次聚类算法对训练集进行分类以获取隐层状态(Hidden Layer State,HLS)序列,利用NTWF序列和HLS序列对HMM进行监督学习获得状态转移矩阵和混淆矩阵以预测NTWF序列;最后通过混沌模型分析NTWF序列的预测误差,结合基于NFAR的规则来识别攻击行为.实验结果表明,与同类方法相比,本方法具有较低的误报率和漏报率.