基于二进制流量关键词袋模型的攻击检测算法

　　针对分布式拒绝服务（ DDoS）攻击有效荷载快速变化，人工干预需要依赖经验设定预警阈值以及异常流量特征码更新不及时等问题，提出一种基于二进制流量关键点词袋（ BSP-BoW）模型的DDoS攻击检测算法。该算法可以自动从当前网络的流量数据中训练得到流量关键点（SP），针对不同拓扑网络进行自适应异常检测，减少频繁更新特征集带来的人工成本。首先，对已有的攻击流量和正常流量进行均值聚类，寻找网络流量中的SP；然后，将原有的流量转化映射到相应SP上使用直方图进行形式化表达；最后，通过欧氏距离进行DDoS攻击的分类检测。在公开数据库DARPA LLDOSl.0上的实验结果表明，所提算法的异常网络流量识别率优于现有的局部加权学习（LWL）、支持向量机（SVM）、随机树（Random Tree）、logistic回归分析（logistic）、贝叶斯（NB）等方法。所提的基于词袋聚类模型算法在拒绝服务攻击的异常流量识别中有很好的识别效果和泛化能力，适合部署在中小企业（ SME）网络流量设备上。