DDoS攻击检测方法、装置、设备及计算机程序产品与流程

ddos攻击检测方法、装置、设备及计算机程序产品
技术领域
1.本发明涉及网络安全技术领域，尤其涉及一种ddos攻击检测方法、装置、设备及计算机程序产品。


背景技术：

2.随着计算机网络技术的快速发展，网络攻击破坏行为也日益增加。其中，ddos(distributed denial of service，分布式拒绝服务)攻击破坏力惊人、影响巨大，是一种严重威胁网络安全攻击手段。ddos攻击通常是利用僵尸网络对受害者发送大量的服务请求，造成受害者资源大量消耗，从而无法及时响应合法用户的请求，甚至完全瘫痪。随着网络技术的发展，ddos攻击流量的也在不断增大，使其越来越难以检测。
3.目前，ddos攻击检测及防御系统中ddos攻击检测为整个系统的核心。常见的ddos攻击检测包括基于熵的ddos攻击检测以及基于攻击特征的ddos攻击检测。其中，基于熵的ddos攻击检测将ddos攻击细分为不同的威胁等级，对每个威胁等级的攻击进行不同次数的检测。基于攻击特征的ddos攻击检测采用线性预测技术，为正常网络流的iffv时间序列建立了简单高效的arma(2,1)预测模型，能够迅速、有效地检测ddos攻击，降低误报率。
4.但是，基于熵的ddos攻击检测中判断阈值需要根据专家经验进行设置，阈值设置过低会使误检率增高，阈值设置过高会使漏检率上升，而基于攻击特征的ddos攻击检测需要根据专家经验通过大量的数据进行特征提取以及特征构建，导致ddos攻击检测的准确率较低。
5.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

6.本发明的主要目的在于提供一种ddos攻击检测方法、装置、设备及计算机程序产品，旨在解决现有ddos攻击检测的准确率较低的技术问题。
7.为实现上述目的，本发明提供一种ddos攻击检测方法，所述ddos攻击检测方法包括以下步骤：
8.获取流量信息样本，其中，所述流量信息样本包括多个流量信息，所述流量信息包括未标记流量信息以及已标记流量信息；
9.基于预设数量的初始聚类中心初始化半监督模糊c均值ss
‑
fcm模型，得到目标ss
‑
fcm模型，并获取流量信息样本中各个流量信息对应的初始隶属度；
10.将流量信息样本输入目标ss
‑
fcm模型进行迭代训练，并基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息；
11.若所述目标聚类中心中ddos攻击聚类中心存在流量信息，则确定ddos攻击聚类中心中的流量信息为ddos攻击流量。
12.进一步地，所述将流量信息样本输入目标ss
‑
fcm模型进行模型训练迭代训练，并基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息的步骤包括：
13.将流量信息样本输入所述目标ss
‑
fcm模型，通过所述目标ss
‑
fcm模型获得各个流量信息样本与各个聚类中心之间的距离对应的目标函数；
14.基于所述初始化隶属度，通过所述目标ss
‑
fcm模型确定所述目标函数对应的拉格朗日函数；
15.通过所述目标ss
‑
fcm模型基于所述拉格朗日函数以及所述初始隶属度的约束条件，确定当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心；
16.基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息。
17.进一步地，所述将流量信息样本输入所述目标ss
‑
fcm模型，通过所述目标ss
‑
fcm模型获得各个流量信息样本与各个聚类中心之间的距离对应的目标函数的步骤包括：
18.通过所述目标ss
‑
fcm模型获取模糊加权指数、所述初始聚类中心的中心数量以及各个初始聚类中心对应已标记流量信息的样本数量；
19.通过所述目标ss
‑
fcm模型，基于所述模糊加权指数、中心数量、样本数量、初始隶属度、未标记流量信息以及已标记流量信息，确定所述目标函数。
20.进一步地，所述通过所述目标ss
‑
fcm模型基于所述拉格朗日函数以及所述初始隶属度的约束条件，确定各个流量信息对应的当前隶属度以及当前聚类中心的步骤包括：
21.基于所述初始隶属度以及所述初始隶属度的约束条件，通过所述目标ss
‑
fcm模型确定所述拉格朗日函数对应的极小值，获得各个流量信息对应的当前隶属度以及当前聚类中心。
22.进一步地，所述基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息的步骤包括：
23.获取当前迭代训练后所述目标ss
‑
fcm模型对应的误差；
24.若所述误差小于预设误差，则将所述当前聚类中心作为目标聚类中心，并基于所述当前隶属度确定各个目标聚类中心对应的流量信息；
25.若所述误差大于或等于预设误差，则将所述当前隶属度作为所述初始隶属度，以及基于所述当前聚类中心初始化半监督模糊c均值ss
‑
fcm模型得到目标ss
‑
fcm模型，并返回执行将流量信息样本所述目标ss
‑
fcm模型进行模型训练的步骤。
26.进一步地，所述基于所述当前隶属度确定各个目标聚类中心对应的流量信息的步骤包括：
27.对于每一个流量信息，确定流量信息对应的当前隶属度中的最小隶属度；
28.确定所述最小隶属度对应的目标聚类中心，将流量信息作为所述最小隶属度对应的目标聚类中心的流量信息。
29.进一步地，所述获取流量信息样本的步骤包括：
30.基于netflow获取待处理流量信息，分别对所述待处理流量信息进行标准化处理以及归一化处理，得到处理后的流量信息；
31.获取处理后的流量信息中第一流量信息的标签信息，并将第一流量信息以及第二
流量信息作为流量信息样本，其中，第二流量信息为处理后的流量信息中除第一流量信息之外的其他流量信息。
32.此外，为实现上述目的，本发明还提供一种ddos攻击检测装置，所述ddos攻击检测装置包括：
33.获取模块，用于获取流量信息样本，其中，所述流量信息样本包括多个流量信息，所述流量信息包括未标记流量信息以及已标记流量信息；
34.初始化模块，用于基于预设数量的初始聚类中心初始化半监督模糊c均值ss
‑
fcm模型，得到目标ss
‑
fcm模型，并获取流量信息样本中各个流量信息对应的初始隶属度；
35.训练模块，用于将流量信息样本输入目标ss
‑
fcm模型进行迭代训练，并基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息；
36.确定模块，用于若所述目标聚类中心中ddos攻击聚类中心存在流量信息，则确定ddos攻击聚类中心中的流量信息为ddos攻击流量。
37.此外，为实现上述目的，本发明还提供一种ddos攻击检测设备，所述ddos攻击检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的ddos攻击检测程序，所述ddos攻击检测程序被所述处理器执行时实现前述的ddos攻击检测方法的步骤。
38.此外，为实现上述目的，本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现前述的ddos攻击检测方法的步骤。
39.本发明通过获取流量信息样本，其中，所述流量信息样本包括多个流量信息，所述流量信息包括未标记流量信息以及已标记流量信息；接着基于预设数量的初始聚类中心初始化半监督模糊c均值ss
‑
fcm模型，得到目标ss
‑
fcm模型，并获取流量信息样本中各个流量信息对应的初始隶属度；而后将流量信息样本输入目标ss
‑
fcm模型进行迭代训练，并基于迭代训练中各个流量信息对应的当前隶属度以及当前聚类中心，确定所述流量信息样本中各个流量信息对应的目标聚类中心；然后若所述目标聚类中心中ddos攻击聚类中心存在流量信息，则确定ddos攻击聚类中心中的流量信息为ddos攻击流量，通过每一次迭代的隶属度确定目标聚类中心，能够根据动态阈值确定流量样本的聚类中心，根据模糊原理的半监督分类方法对流量信息进行自动分类，无需进行人为设置阈值以及特征构造，降低了ddos攻击检测的计算量，提高了ddos攻击检测的准确率以及效率。同时，在初始聚类中心包括多个攻击强度或种类的聚类中心时，能够实现了不同种类的ddos攻击检测，提高ddos攻击检测的适用性。
附图说明
40.图1是本发明实施例方案涉及的硬件运行环境中ddos攻击检测设备的结构示意图；
41.图2为本发明ddos攻击检测方法第一实施例的流程示意图；
42.图3为本发明ddos攻击检测装置一实施例的功能模块示意图。
43.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
44.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
45.如图1所示，图1是本发明实施例方案涉及的硬件运行环境中ddos攻击检测设备的结构示意图。
46.本发明实施例ddos攻击检测设备可以是pc，也可以是智能手机、平板电脑、电子书阅读器、mp3(moving picture experts group audio layer iii，动态影像专家压缩标准音频层面3)播放器、mp4(moving picture experts group audio layer iv，动态影像专家压缩标准音频层面4)播放器、便携计算机等具有显示功能的可移动式终端设备。
47.如图1所示，该ddos攻击检测设备可以包括：处理器1001，例如cpu，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi
‑
fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non
‑
volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
48.可选地，ddos攻击检测设备还可以包括摄像头、rf(radio frequency，射频)电路，传感器、音频电路、wifi模块等等。其中，传感器比如光传感器、运动传感器以及其他传感器。当然，ddos攻击检测设备还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。
49.本领域技术人员可以理解，图1中示出的终端结构并不构成对ddos攻击检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
50.如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及ddos攻击检测程序。
51.在图1所示的ddos攻击检测设备中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的ddos攻击检测程序。
52.在本实施例中，ddos攻击检测设备包括：存储器1005、处理器1001及存储在所述存储器1005上并可在所述处理器1001上运行的ddos攻击检测程序，其中，处理器1001调用存储器1005中存储的ddos攻击检测程序时，并执行以下各个实施例中ddos攻击检测方法的步骤。
53.本发明还提供一种ddos攻击检测方法，参照图2，图2为本发明ddos攻击检测方法第一实施例的流程示意图。
54.本实施例中，该ddos攻击检测方法包括以下步骤：
55.步骤s101，获取流量信息样本，其中，所述流量信息样本包括多个流量信息，所述流量信息包括未标记流量信息以及已标记流量信息；
56.本实施例中，流量信息样本是指需要进行ddos攻击检测的样本数据，包括多个流量信息，流量信息包括未标记流量信息以及已标记流量信息，每一个流量信息均包括源ip地址、源端口、目的ip地址、目的端口以及数据量。
57.步骤s102，基于预设数量的初始聚类中心初始化半监督模糊c均值ss
‑
fcm模型，得
到目标ss
‑
fcm模型，并获取流量信息样本中各个流量信息对应的初始隶属度；
58.ss
‑
fcm(semi
‑
supervised fuzzy c
‑
means，半监督模糊c均值)聚类算法是对聚类算的一种改进，该算法的核心思想是通过不断地更新聚类中心与隶属度函数，直至达到最佳聚类中心为止。
59.本实施例中，在获取到流量信息样本之后，基于预设数量的初始聚类中心初始化半监督模糊c均值ss
‑
fcm模型，得到目标ss
‑
fcm模型，具体地，将目标ss
‑
fcm模型的当前聚类中心设置为该除湿聚类中心，例如初始聚类中心c的类别个数为c，那么对应的初始聚类中心的个数为c，初始聚类中心c的类别至少包括ddos攻击聚类中心以及非ddos攻击聚类中心。
60.而后，获取流量信息样本中各个流量信息对应的初始隶属度，其中，初始隶属度为各个流量信息分别与各个初始聚类中心之间的隶属度，该初始隶属度可根据初始聚类中心的个数为c进行合理设置，对于每一个流量信息，其与各个初始聚类中心之间的初始隶属度之和为1。
61.步骤s103，将流量信息样本输入目标ss
‑
fcm模型进行迭代训练，并基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定所述流量信息样本中各个流量信息对应的目标聚类中心；
62.本实施例中，在获取到初始隶属度之后，将流量信息样本输入目标ss
‑
fcm模型进行迭代训练，得到当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，以及当前迭代的目标ss
‑
fcm模型。
63.而后，基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定所述流量信息样本中各个流量信息对应的目标聚类中心，具体地，若当前迭代的目标ss
‑
fcm模型满足预设迭代结束条件，则基于当前隶属度以及当前聚类中心，确定各个流量信息对应的目标聚类中心，对于每一个流量信息，获取该流量信息与各个当前聚类中心之间的当前隶属度中的最小隶属度，将该最小隶属度对于的当前聚类中心作为该流量信息对应的目标聚类中心。
64.步骤s104，若所述目标聚类中心中ddos攻击聚类中心存在流量信息，则确定ddos攻击聚类中心中的流量信息为ddos攻击流量。
65.本实施例中，目标聚类中心与初始聚类中心的类别一一对应，因此，在确定目标聚类中心之后，确定目标聚类中心中ddos攻击聚类中心是否存在流量信息，若存在，则确定ddos攻击聚类中心中的流量信息为ddos攻击流量，并输出ddos攻击流量对应的提示信息。
66.然而本设计不限于此，于其他实施方式中，按照ddos攻击的强度，初始聚类中心可设置多个ddos攻击强度的聚类中心，进而在得到目标聚类中心时，获取各个ddos攻击强度的目标聚类中心中存在流量信息的ddos攻击聚类中心，存在流量信息的ddos攻击聚类中心中的流量信息为ddos攻击流量。
67.本实施例提出的ddos攻击检测方法，通过获取流量信息样本，其中，所述流量信息样本包括多个流量信息，所述流量信息包括未标记流量信息以及已标记流量信息；接着基于预设数量的初始聚类中心初始化半监督模糊c均值ss
‑
fcm模型，得到目标ss
‑
fcm模型，并获取流量信息样本中各个流量信息对应的初始隶属度；而后将流量信息样本输入目标ss
‑
fcm模型进行迭代训练，并基于迭代训练中各个流量信息对应的当前隶属度以及当前聚类
中心，确定所述流量信息样本中各个流量信息对应的目标聚类中心；然后若所述目标聚类中心中ddos攻击聚类中心存在流量信息，则确定ddos攻击聚类中心中的流量信息为ddos攻击流量，通过每一次迭代的隶属度确定目标聚类中心，能够根据动态阈值确定流量样本的聚类中心，根据模糊原理的半监督分类方法对流量信息进行自动分类，无需进行人为设置阈值以及特征构造，降低了ddos攻击检测的计算量，提高了ddos攻击检测的准确率以及效率。同时，在初始聚类中心包括多个攻击强度或种类的聚类中心时，能够实现了不同种类的ddos攻击检测，提高ddos攻击检测的适用性。
68.基于第一实施例，提出本发明ddos攻击检测方法的第二实施例，在本实施例中，步骤s103包括：
69.步骤s201，将流量信息样本输入所述目标ss
‑
fcm模型，通过所述目标ss
‑
fcm模型获得各个流量信息样本与各个聚类中心之间的距离对应的目标函数；
70.步骤s202，基于所述初始化隶属度，通过所述目标ss
‑
fcm模型确定所述目标函数对应的拉格朗日函数；
71.步骤s203，通过所述目标ss
‑
fcm模型基于所述拉格朗日函数以及所述初始隶属度的约束条件，确定当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心；
72.步骤s204，基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息。
73.本实施例中，将流量信息样本输入所述目标ss
‑
fcm模型，通过目标ss
‑
fcm模型获得各个流量信息样本与各个聚类中心之间的距离对应的目标函数，具体地，该步骤s201包括：
74.步骤a，通过所述目标ss
‑
fcm模型获取模糊加权指数、所述初始聚类中心的中心数量以及各个初始聚类中心对应已标记流量信息的样本数量；
75.步骤b，通过所述目标ss
‑
fcm模型，基于所述模糊加权指数、中心数量、样本数量、初始隶属度、未标记流量信息以及已标记流量信息，确定所述目标函数。
76.本实施例中，先获取模糊加权指数、所述初始聚类中心的中心数量以及各个初始聚类中心对应已标记流量信息的样本数量，并基于所述模糊加权指数、中心数量、样本数量、初始隶属度、未标记流量信息以及已标记流量信息，确定所述目标函数，其中，该模糊加权指数可进行合理设置，初始聚类中心的中心数量即为初始聚类中心的个数，具体地，该目标函数的公式为：
[0077][0078]
其中，j
s
(u，c)为目标函数，x
j
为第j个流量信息，u
ij
为第j个流量信息的初始隶属度，c
i
为第i个初始聚类中心，c为中心数量，m为模糊加权指数，n
i
为已标记流量信息中属于第i类(第i个初始聚类中心)的训练样本的个数，x
′
i,k
为已标记流量信息中的第i类(第i个初始聚类中心)的第j个训练样本，α为监督项的加权系数。
[0079]
令则目标函数的公式简化为：
[0080][0081]
接着，基于所述初始化隶属度，通过所述目标ss
‑
fcm模型确定所述目标函数对应的拉格朗日函数，具体地，该拉格朗日函数的公式为：
[0082][0083]
其中，为拉格朗日函数，λ
j
为第j个拉格朗日系数。
[0084]
而后，通过所述目标ss
‑
fcm模型基于所述拉格朗日函数以及所述初始隶属度的约束条件，确定当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，具体地，该步骤s203包括：
[0085]
步骤c，基于所述初始隶属度以及所述初始隶属度的约束条件，通过所述目标ss
‑
fcm模型确定所述拉格朗日函数对应的极小值，获得各个流量信息对应的当前隶属度以及当前聚类中心。
[0086]
其中，初始隶属度的约束条件是指每一个流量信息与各个初始聚类中心之间的初始隶属度之和为1，即：
[0087][0088]
本实施例中，通过基于所述初始隶属度以及所述初始隶属度的约束条件，通过所述目标ss
‑
fcm模型确定所述拉格朗日函数对应的极小值，获得各个流量信息对应的当前隶属度以及当前聚类中心，其中，当前隶属度的公式以及当前聚类中心的公式分别为：
[0089][0090][0091]
其中，为u
ij
的第t次迭代，为c
i
的第t 1次迭代。
[0092]
最后，基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息，具体地，若当前迭代的目标ss
‑
fcm模型满足预设迭代结束条件，则基于当前隶属度以及当前聚类中心，确定各个流量信息对应的目标聚类中心，对于每一个流量信息，获取该流量信息与各个当前聚类中心之间的当
前隶属度中的最小隶属度，将该最小隶属度对于的当前聚类中心作为该流量信息对应的目标聚类中心。
[0093]
本实施例提出的ddos攻击检测方法，通过将流量信息样本输入所述目标ss
‑
fcm模型，通过所述目标ss
‑
fcm模型获得各个流量信息样本与各个聚类中心之间的距离对应的目标函数；接着基于所述初始化隶属度，通过所述目标ss
‑
fcm模型确定所述目标函数对应的拉格朗日函数；而后通过所述目标ss
‑
fcm模型基于所述拉格朗日函数以及所述初始隶属度的约束条件，确定当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心；然后基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息，能够根据目标ss
‑
fcm模型得到动态阈值确定流量样本的聚类中心，实现根据模糊原理的半监督分类方法对流量信息进行自动分类，进一步提高了ddos攻击检测的准确率以及效率。
[0094]
基于第一实施例，提出本发明ddos攻击检测方法的第三实施例，在本实施例中，步骤s103包括：
[0095]
步骤s301，获取当前迭代训练后所述目标ss
‑
fcm模型对应的误差；
[0096]
步骤s302，若所述误差小于预设误差，则将所述当前聚类中心作为目标聚类中心，并基于所述当前隶属度确定各个目标聚类中心对应的流量信息；
[0097]
步骤s303，若所述误差大于或等于预设误差，则将所述当前隶属度作为所述初始隶属度，以及基于所述当前聚类中心初始化半监督模糊c均值ss
‑
fcm模型得到目标ss
‑
fcm模型，并返回执行将流量信息样本所述目标ss
‑
fcm模型进行模型训练的步骤。
[0098]
本实施例中，在每一次通过目标ss
‑
fcm模型进行迭代训练之后，获取当前迭代训练后所述目标ss
‑
fcm模型对应的误差，并确定该误差是否小于预设误差。
[0099]
若所述误差小于预设误差，则将所述当前聚类中心作为目标聚类中心，并基于所述当前隶属度确定各个目标聚类中心对应的流量信息。具体地，步骤s102包括：
[0100]
步骤d，对于每一个流量信息，确定流量信息对应的当前隶属度中的最小隶属度；
[0101]
步骤e，确定所述最小隶属度对应的目标聚类中心，将流量信息作为所述最小隶属度对应的目标聚类中心的流量信息。
[0102]
本实施例中，先获取流量信息对应的当前隶属度，并对各个当前隶属度进行比较，得到最小隶属度，接着确定所述最小隶属度对应的目标聚类中心，并将该流量信息作为所述最小隶属度对应的目标聚类中心的流量信息，能够根据最小隶属度准确得到目标聚类中心的流量信息，通过每一次迭代得到的当前隶属度实现动态阈值的ddos攻击检测。
[0103]
若所述误差大于或等于预设误差，则将所述当前隶属度作为所述初始隶属度，以及基于所述当前聚类中心初始化半监督模糊c均值ss
‑
fcm模型得到目标ss
‑
fcm模型，并返回执行将流量信息样本所述目标ss
‑
fcm模型进行模型训练的步骤，以进行下一次迭代训练。
[0104]
本实施例提出的ddos攻击检测方法，通过获取当前迭代训练后所述目标ss
‑
fcm模型对应的误差；接着若所述误差小于预设误差，则将所述当前聚类中心作为目标聚类中心，并基于所述当前隶属度确定各个目标聚类中心对应的流量信息；若所述误差大于或等于预设误差，则将所述当前隶属度作为所述初始隶属度，以及基于所述当前聚类中心初始化半监督模糊c均值ss
‑
fcm模型得到目标ss
‑
fcm模型，并返回执行将流量信息样本所述目标ss
‑
fcm模型进行模型训练的步骤，能够根据当前隶属度以及当前聚类中心准确得到目标聚类中心，进一步提高了ddos攻击检测的准确率以及效率。
[0105]
基于上述各个实施例，提出本发明ddos攻击检测方法的第四实施例，在本实施例中，步骤s101包括：
[0106]
步骤s401，基于netflow获取待处理流量信息，分别对所述待处理流量信息进行标准化处理以及归一化处理，得到处理后的流量信息；
[0107]
步骤s402，获取处理后的流量信息中第一流量信息的标签信息，并将第一流量信息以及第二流量信息作为流量信息样本，其中，第二流量信息为处理后的流量信息中除第一流量信息之外的其他流量信息。
[0108]
本实施例中，基于netflow获取待处理流量信息，而后对待处理流量信息进行标准化处理，得到标准化的流量信息，具体地，将不同格式的待处理流量信息按照数据分析处理需要的模板格式进行标准化处理，得到格式统一的标准化的流量信息。接着，对标准化的流量信息进行归一化处理，得到处理后的流量信息，以便于ddos攻击检测中的计算，降低计算量，提高ddos攻击检测效率。
[0109]
获取处理后的流量信息中第一流量信息的标签信息，并将第一流量信息以及第二流量信息作为流量信息样本，针对处理后的流量信息，可以针对少部分确定类别的样本(第一流量信息)进行标记，得到第一流量信息的标签信息。
[0110]
本实施例提出的ddos攻击检测方法，通过基于netflow获取待处理流量信息，分别对所述待处理流量信息进行标准化处理以及归一化处理，得到处理后的流量信息；接着获取处理后的流量信息中第一流量信息的标签信息，并将第一流量信息以及第二流量信息作为流量信息样本，其中，第二流量信息为处理后的流量信息中除第一流量信息之外的其他流量信息，提高对流量信息进行标准化处理以及归一化处理，得到统一格式的流量信息，以便于ddos攻击检测中的计算，降低计算量，提高ddos攻击检测效率。
[0111]
本发明还提供一种ddos攻击检测装置，参照图3，所述ddos攻击检测装置包括：
[0112]
获取模块10，用于获取流量信息样本，其中，所述流量信息样本包括多个流量信息，所述流量信息包括未标记流量信息以及已标记流量信息；
[0113]
初始化模块20，用于基于预设数量的初始聚类中心初始化半监督模糊c均值ss
‑
fcm模型，得到目标ss
‑
fcm模型，并获取流量信息样本中各个流量信息对应的初始隶属度；
[0114]
训练模块30，用于将流量信息样本输入目标ss
‑
fcm模型进行迭代训练，并基于当前迭代的各个流量信息对应的当前隶属度以及当前聚类中心，确定目标聚类中心以及各个目标聚类中心对应的流量信息；
[0115]
确定模块40，用于若所述目标聚类中心中ddos攻击聚类中心存在流量信息，则确定ddos攻击聚类中心中的流量信息为ddos攻击流量。
[0116]
上述各程序单元所执行的方法可参照本发明ddos攻击检测方法各个实施例，此处不再赘述。
[0117]
本发明还提供一种计算机可读存储介质。
[0118]
本发明计算机可读存储介质上存储有ddos攻击检测程序，所述ddos攻击检测程序被处理器执行时实现如上所述的ddos攻击检测方法的步骤。
[0119]
其中，在所述处理器上运行的ddos攻击检测程序被执行时所实现的方法可参照本
发明ddos攻击检测方法各个实施例，此处不再赘述。
[0120]
此外，本发明实施例还提出一种计算机程序产品，该计算机程序产品上包括ddos攻击检测程序，所述ddos攻击检测程序被处理器执行时实现如上所述的ddos攻击检测方法的步骤。
[0121]
需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
[0122]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0123]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
[0124]
以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。