(12)發(fā)明專(zhuān)利H04L9/40(2022.01)審查員安佳魯輝蘇申張樂(lè)君徐光俠所(普通合伙)36139基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)本申請(qǐng)?zhí)峁┝艘环N基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法及系統(tǒng)，該方法包問(wèn)目的IP熵，以判斷LFA攻擊的發(fā)生并定位受害構(gòu)建構(gòu)建IP信譽(yù)模型，檢測(cè)IP新增的路由跟蹤行為，并根據(jù)所述IP信譽(yù)模型更新新增的路由跟蹤行為的信譽(yù)分?jǐn)?shù)值檢測(cè)不可信IP集合內(nèi)IP的訪(fǎng)問(wèn)目的IP熵，以判斷LFA攻擊的發(fā)生并定位受害鏈路采樣受害鏈路入口端交換機(jī)流量并進(jìn)行流特征提取訓(xùn)練第一階段自組織圖聚類(lèi)模型，以對(duì)采樣流進(jìn)行初步檢測(cè)訓(xùn)練第二階段高斯混合聚類(lèi)模型，以對(duì)采樣流進(jìn)行二次檢測(cè)下發(fā)流表規(guī)則，對(duì)聚類(lèi)識(shí)別出來(lái)的惡意IP進(jìn)行流量封禁22.根據(jù)權(quán)利要求1所述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，其特征表示IP的信譽(yù)分?jǐn)?shù)。3.根據(jù)權(quán)利要求2所述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，其特征采集IP的路由跟蹤行為流量數(shù)據(jù)包，并判斷路由跟蹤行為流量數(shù)據(jù)包中的源地否被記錄在IP信譽(yù)分?jǐn)?shù)記錄表中，若未被記錄，則記為ipnew,若已被記錄，則記為3其中，Rip表示IP的信譽(yù)分?jǐn)?shù)，extRip表示從外部威脅情報(bào)庫(kù)中獲取的IP的外部信譽(yù)分?jǐn)?shù)，α為外部信譽(yù)分?jǐn)?shù)在初始信譽(yù)所占的權(quán)重，avgR為所有IP的平均信譽(yù)分?jǐn)?shù)，ZipetableRRIP為所有IP信譽(yù)分?jǐn)?shù)的總和；若IP為iptraceroute,則將iptraceroute加入路由跟蹤觀(guān)測(cè)事件集合M,并根據(jù)以下公式判斷iptraceroute是否可信：若iptraceroute為可信IP,則根據(jù)以下公式獲取其觀(guān)測(cè)概率：若iptraceroute為不可信IP,則根據(jù)以下公式獲取其觀(guān)測(cè)概率：根據(jù)以下公式計(jì)算得到iptraceroute的信譽(yù)分?jǐn)?shù)：可信IP的觀(guān)測(cè)概率，P(M|IPuntrust)表示不可信IP的觀(guān)測(cè)概率，M表示路由跟蹤觀(guān)測(cè)事件集合，|M|表示觀(guān)測(cè)到的路由跟蹤行為事件的總數(shù)量，Mip表示觀(guān)測(cè)到主機(jī)IP進(jìn)行路由跟蹤行為的事件數(shù)量，IPtrust表示可信IP的集合，MP表示可信IP集合中進(jìn)行過(guò)的路由跟蹤行為總數(shù)量，IPuntrust表示不可信IP的集合，MP表示不可信集合中進(jìn)行過(guò)的路由跟蹤行為總數(shù)量，P(IPtrust)表示可信IP的先驗(yàn)概率，P(IPuntrust)表示不可信IP的先驗(yàn)概率。4.根據(jù)權(quán)利要求3所述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，其特征在于，所述檢測(cè)IP新增的路由跟蹤行為，并根據(jù)所述IP信譽(yù)模型更新新增的路由跟蹤行為的信譽(yù)分?jǐn)?shù)值的步驟還包括：根據(jù)以下公式獲取更新后的信譽(yù)分?jǐn)?shù)：4當(dāng)前觀(guān)測(cè)周期出現(xiàn)過(guò)路由跟蹤行為時(shí)的參數(shù)值。5.根據(jù)權(quán)利要求4所述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，其特征在于，所述檢測(cè)不可信IP集合內(nèi)IP的訪(fǎng)問(wèn)目的IP熵，以判斷LFA攻擊的發(fā)生并定位受害鏈路的步驟包括：根據(jù)以下公式計(jì)算不可信IP集合流量的訪(fǎng)問(wèn)目的IP熵：其中，Entropy(IPuntrust)表示不可信IP集合流量的訪(fǎng)問(wèn)目的IP熵，ipdst表示i的目的IP地址，p(ipdst)表示目的地址ipdst的訪(fǎng)問(wèn)數(shù)量比例；根據(jù)以下公式定位受害節(jié)點(diǎn)：Nodes(IPuntrust)=ipsr,;ipdsteIpuntrustLShort其中，Nodes(IPuntrust)表示鏈路洪泛攻擊的受害節(jié)點(diǎn)集合，ipsrC表示源地址，Ishortest(ipsrc,ipdst)表示從源地址到目的地址的最短路徑。6.根據(jù)權(quán)利要求1所述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，其特征在于，所述采樣受害鏈路入口端交換機(jī)流量并進(jìn)行流特征提取的步驟包括：獲取到鏈路洪泛攻擊的受害節(jié)點(diǎn)集合，并選擇受害節(jié)點(diǎn)集合內(nèi)至少部分交換機(jī)進(jìn)行流量采樣。7.根據(jù)權(quán)利要求1所述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，其特征在于，所述訓(xùn)練第一階段自組織圖聚類(lèi)模型，以對(duì)采樣流進(jìn)行初步檢測(cè)的步驟包括：神經(jīng)元節(jié)點(diǎn)的權(quán)重向量初始化為隨機(jī)值；向每個(gè)神經(jīng)元輸入樣本特征；計(jì)算每個(gè)神經(jīng)元的權(quán)重與樣本特征向量的距離；計(jì)算神經(jīng)元的影響力半徑；依據(jù)影響力半徑更新所有神經(jīng)元權(quán)重；重復(fù)迭代，直至達(dá)到最大迭代次數(shù)。8.根據(jù)權(quán)利要求7所述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，其特征在于，所述訓(xùn)練第二階段高斯混合聚類(lèi)模型，以對(duì)采樣流進(jìn)行二次檢測(cè)的步驟包括：選擇混合高斯成分?jǐn)?shù)量，初始化高斯混合系數(shù)，計(jì)算每個(gè)樣本屬于不同高斯分布的后驗(yàn)概率；更新模型參數(shù)；9.根據(jù)權(quán)利要求8所述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，其特征在于，所述下發(fā)流表規(guī)則，對(duì)聚類(lèi)識(shí)別出來(lái)的惡意IP進(jìn)行流量封禁的步驟包括：計(jì)算每個(gè)聚類(lèi)簇中樣本的源IP的信譽(yù)分?jǐn)?shù)和；對(duì)各個(gè)簇的信譽(yù)分?jǐn)?shù)和進(jìn)行排序，以根據(jù)排序結(jié)果獲取信譽(yù)分?jǐn)?shù)和最低的簇。10.一種基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御系統(tǒng)，其特征在于，所述系統(tǒng)包5模型構(gòu)建模塊，用于構(gòu)建IP信譽(yù)模型，檢測(cè)IP新增的路由跟蹤行為，并根據(jù)所述IP信譽(yù)模型更新新增的路由跟蹤行為的信譽(yù)分?jǐn)?shù)值；IP熵檢測(cè)模塊，用于檢測(cè)不可信IP集合內(nèi)IP的訪(fǎng)問(wèn)目的IP熵，以判斷LFA攻擊的發(fā)生并定位受害鏈路；流特征提取模塊，用于采樣受害鏈路入口端交換機(jī)流量并進(jìn)行流特征提取；第一訓(xùn)練模塊，用于訓(xùn)練第一階段自組織圖聚類(lèi)模型，以對(duì)采樣流進(jìn)行初步檢測(cè)；第二訓(xùn)練模塊，用于訓(xùn)練第二階段高斯混合聚類(lèi)模型，以對(duì)采樣流進(jìn)行二次檢測(cè)；聚類(lèi)識(shí)別模塊，用于下發(fā)流表規(guī)則，對(duì)聚類(lèi)識(shí)別出來(lái)的惡意IP進(jìn)行流量封禁。6技術(shù)領(lǐng)域[0001]本申請(qǐng)涉及網(wǎng)絡(luò)安全防護(hù)技術(shù)領(lǐng)域，尤其涉及一種基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法及系統(tǒng)。背景技術(shù)攻擊層出不窮。其中，一種稱(chēng)為鏈路洪泛攻擊(Linkfloodingattack)的新類(lèi)型DDoS攻擊已經(jīng)被學(xué)術(shù)界發(fā)現(xiàn)和在實(shí)網(wǎng)環(huán)境中出現(xiàn)，以網(wǎng)易2015年的遭受的鏈路洪泛DDoS攻擊事件最為典型。[0003]與傳統(tǒng)的DDoS攻擊類(lèi)型不同，鏈路洪泛攻擊(LFA)針對(duì)的是目標(biāo)網(wǎng)絡(luò)域的主干鏈路，攻擊者利用大量僵尸主機(jī)以及目標(biāo)網(wǎng)絡(luò)域的公共服務(wù)器或者傀儡(Decoy)服務(wù)器，使僵尸主機(jī)與傀儡(Decoy)服務(wù)器以低速正常流量進(jìn)行通信，通過(guò)不斷疊加這些低速的流量使得目標(biāo)鏈路帶寬耗盡，由于訪(fǎng)問(wèn)目標(biāo)區(qū)域必須通過(guò)該受攻擊的主干鏈路，這就使得正常用戶(hù)無(wú)法訪(fǎng)問(wèn)目標(biāo)網(wǎng)絡(luò)域，因此攻擊者就達(dá)到了使目標(biāo)拒絕服務(wù)的目的。[0004]鏈路洪泛攻擊的檢測(cè)與防御具有許多難點(diǎn)，其一，攻擊者的攻擊目標(biāo)針對(duì)的是目標(biāo)網(wǎng)絡(luò)域的關(guān)鍵鏈路，而不是目標(biāo)主機(jī)服務(wù)器，這就使得傳統(tǒng)的使用網(wǎng)關(guān)的入侵檢測(cè)系統(tǒng)(IDS)和入侵防御(IDP)手段無(wú)法對(duì)鏈路洪泛攻擊(LFA)生效，因?yàn)楣袅髁扛緵](méi)有到達(dá)目標(biāo)主機(jī)或者網(wǎng)關(guān)，攻擊流量通向的是傀儡服務(wù)器(Decoy),這些服務(wù)器是公共的或者沒(méi)有任何網(wǎng)關(guān)防火墻以及流量檢測(cè)過(guò)濾手段的服務(wù)器。其二，攻擊使用的僵尸主機(jī)發(fā)送的是低速正常的網(wǎng)絡(luò)流量，例如網(wǎng)站瀏覽(HTTP)或者TCP通信的流量，這就使得傳統(tǒng)的深度包檢測(cè)(DPI)的流量過(guò)濾手段更加難以生效。此外，攻擊者還會(huì)改變攻擊流量的模式以及攻擊鏈路來(lái)逃避檢測(cè)，使得鏈路洪泛攻擊檢測(cè)與防御面臨更嚴(yán)峻的挑戰(zhàn)。[0005]為了檢測(cè)和防御鏈路洪泛攻擊學(xué)術(shù)界提出了很多檢測(cè)和防御方案。由于攻擊者發(fā)起鏈路洪泛攻擊首先要通過(guò)traceroute工具進(jìn)行網(wǎng)絡(luò)測(cè)繪以獲悉目標(biāo)網(wǎng)絡(luò)域的拓?fù)?，以及找出目?biāo)網(wǎng)絡(luò)域可利用的公共服務(wù)器或者傀儡機(jī)(Decoy),所以，現(xiàn)有的一些工作提出了通過(guò)監(jiān)控traceroute流量行為來(lái)檢測(cè)鏈路洪泛攻擊和發(fā)現(xiàn)受攻擊鏈路的方法。一種方法是通過(guò)監(jiān)控traceroute數(shù)據(jù)包的熵異常來(lái)識(shí)別鏈路洪泛攻擊的發(fā)生，另一種方法是按時(shí)間窗口統(tǒng)計(jì)traceroute數(shù)據(jù)包數(shù)量并通過(guò)檢測(cè)離群點(diǎn)窗口來(lái)判斷攻擊的發(fā)生和識(shí)別用于發(fā)起攻擊的僵尸主機(jī)(bot),兩種方法均只能對(duì)短周期內(nèi)traceroute行為異常進(jìn)行判斷，當(dāng)攻擊者采取長(zhǎng)周期測(cè)繪策略，即攻擊者控制僵尸主機(jī)(bot)以接近正常用戶(hù)的traceroute測(cè)繪頻率進(jìn)行網(wǎng)絡(luò)拓?fù)錅y(cè)繪時(shí)，短期瞬時(shí)異常的檢測(cè)方法的檢測(cè)成功率會(huì)下降。[0006]針對(duì)鏈路洪泛攻擊的(緩解)防御手段主要可以分為如下幾個(gè)思路手段。一個(gè)是基于SDN技術(shù)的重路由技術(shù)，通過(guò)把受害鏈路的流量導(dǎo)向備用鏈路或者其他非關(guān)鍵鏈路，以此來(lái)分擔(dān)受害目標(biāo)鏈路的流量壓力，但是這種手段仍保留了惡意流，惡意流仍會(huì)給網(wǎng)絡(luò)造成壓力。另外就是采用流量清洗的手段，但由于鏈路洪泛攻擊的流量與正常流及其相似，采用深度包檢測(cè)(DPI)識(shí)別流量特征的方式誤報(bào)率很高，因此相關(guān)工作不多，而且由于鏈路洪泛7攻擊在實(shí)網(wǎng)環(huán)境極少發(fā)生，相關(guān)事件極少，因此目前還沒(méi)有針對(duì)鏈路洪泛攻擊(LFA)的數(shù)據(jù)集，相關(guān)工作采用的方法是使用僵尸網(wǎng)絡(luò)檢測(cè)的數(shù)據(jù)集的良性流以及在仿真環(huán)境生成的惡意流來(lái)訓(xùn)練模型，現(xiàn)有的工作多采用的是有監(jiān)督的模型，例如卷積神經(jīng)網(wǎng)絡(luò)(CovNet)、長(zhǎng)短期記憶模型(LSTM)等，這些模型依賴(lài)大量數(shù)據(jù)來(lái)訓(xùn)練，而且仿真環(huán)境生成的流量始終和實(shí)網(wǎng)環(huán)境的流量有偏差，模型真正的檢測(cè)準(zhǔn)確率難以確定。發(fā)明內(nèi)容[0007]本申請(qǐng)的目的在于提供一種基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法及系統(tǒng)，旨在解決傳統(tǒng)的鏈路洪泛攻擊的檢測(cè)與防御方式存在的檢測(cè)準(zhǔn)確率較低的問(wèn)題。[0008]第一方面，本申請(qǐng)?zhí)峁┮环N基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，所述方法包括：[0009]構(gòu)建IP信譽(yù)模型，檢測(cè)IP新增的路由跟蹤行為，并根據(jù)所述IP信譽(yù)模型更新新增的路由跟蹤行為的信譽(yù)分?jǐn)?shù)值；[0010];檢測(cè)不可信IP集合內(nèi)IP的訪(fǎng)問(wèn)目的IP熵，以判斷LFA攻擊的發(fā)生并定位受害鏈路；[0011]采樣受害鏈路入口端交換機(jī)流量并進(jìn)行流特征提??；[0012]訓(xùn)練第一階段自組織圖聚類(lèi)模型，以對(duì)采樣流進(jìn)行初步檢測(cè)；[0013]訓(xùn)練第二階段高斯混合聚類(lèi)模型，以對(duì)采樣流進(jìn)行二次檢測(cè)；[0014]下發(fā)流表規(guī)則，對(duì)聚類(lèi)識(shí)別出來(lái)的惡意IP進(jìn)行流量[0016]根據(jù)以下公式構(gòu)建IP信譽(yù)模型：信譽(yù)分?jǐn)?shù)的方差；[0019]根據(jù)以下公式計(jì)算得到信譽(yù)分?jǐn)?shù)平均值：[0021]根據(jù)以下公式計(jì)算得到信譽(yù)分?jǐn)?shù)的方差：[0023]其中，tableR表示信譽(yù)分?jǐn)?shù)記錄表，|tableR|表示信譽(yù)分?jǐn)?shù)記錄表中元素的數(shù)量，RIP表示IP的信譽(yù)分?jǐn)?shù)。[0024]進(jìn)一步地，所述檢測(cè)IP新增的路由跟蹤行為，并根據(jù)所述IP信譽(yù)模型更新新增的路由跟蹤行為的信譽(yù)分?jǐn)?shù)值的步驟包括：[0025]采集IP的路由跟蹤行為流量數(shù)據(jù)包，并判斷路由跟蹤行為流量數(shù)據(jù)包中的源地址8a為外部信譽(yù)分?jǐn)?shù)在初始信譽(yù)所占的權(quán)重，avgR為所有IP的平均信譽(yù)分?jǐn)?shù)，公式判斷iptraceroute是否可信：過(guò)的路由跟蹤行為總數(shù)量，IPuntrust表示不可信IPIP集合中進(jìn)行過(guò)的traceroute行為總數(shù)量，P(IPtrust)表示可信IP的先驗(yàn)概率，P(IPuntrust)表示不可信IP的先驗(yàn)概率。9[0043]其中，R。I表示更新后的信譽(yù)分?jǐn)?shù)值，表示IP的最后行為更新周期的記錄，t表示IP在當(dāng)前觀(guān)測(cè)周期出現(xiàn)過(guò)路由跟蹤行為時(shí)的參數(shù)值。[0044]進(jìn)一步地，所述檢測(cè)不可信IP集合內(nèi)IP的訪(fǎng)問(wèn)目的IP熵，以判斷LFA攻擊的發(fā)生并定位受害鏈路的步驟包括：[0045]根據(jù)以下公式計(jì)算不可信IP集合流量的訪(fǎng)問(wèn)目的IP熵：[0047]其中，Entropy(IPuntrust)表示不可信IP集合流量的訪(fǎng)問(wèn)目的IP熵，ipdst表示ip訪(fǎng)問(wèn)的目的IP地址，p(ipdst)表示目的地址ipdst的訪(fǎng)問(wèn)數(shù)量比例；[0048]根據(jù)以下公式定位受害節(jié)點(diǎn)：[0049]Nodes(IPuntrust)=Nipsre;jpdsteIpuntrustLSho[0050]其中，Nodes(IPuntrust)表示鏈路洪泛攻擊的受害節(jié)點(diǎn)集合，ipsrC表示源地址，Lshortest(ipsrc,ipdst)表示從源地址到目的地址的最短路徑。[0051]進(jìn)一步地，所述采樣受害鏈路入口端交換機(jī)流量并進(jìn)行流特征提取的步驟包括：[0052]獲取到鏈路洪泛攻擊的受害節(jié)點(diǎn)集合，并選擇受害節(jié)點(diǎn)集合集合內(nèi)至少部分交換機(jī)進(jìn)行流量采樣。[0053]進(jìn)一步地，所述訓(xùn)練第一階段自組織圖聚類(lèi)模型，以對(duì)采樣流進(jìn)行初步檢測(cè)的步驟包括：[0054]神經(jīng)元節(jié)點(diǎn)的權(quán)重向量初始化為隨機(jī)值；[0055]向每個(gè)神經(jīng)元輸入樣本特征；[0056]計(jì)算每個(gè)神經(jīng)元的權(quán)重與樣本特征向量的距離；[0057]計(jì)算獲神經(jīng)元的影響力半徑；[0058]依據(jù)影響力半徑更新所有神經(jīng)元權(quán)重；[0059]重復(fù)迭代，直至達(dá)到最大迭代次數(shù)。[0060]進(jìn)一步地，所述訓(xùn)練第二階段高斯混合聚類(lèi)模型，以對(duì)采樣流進(jìn)行二次檢測(cè)的步驟包括：[0061]選擇混合高斯成分?jǐn)?shù)量，初始化高斯混合系數(shù)，初始化均值向量，初始化協(xié)方差矩[0062]計(jì)算每個(gè)樣本屬于不同高斯分布的后驗(yàn)概率；[0063]更新模型參數(shù)；[0064]重復(fù)計(jì)算后驗(yàn)概率，并更新模型參數(shù)，直到模型收斂。[0065]進(jìn)一步地，所述下發(fā)流表規(guī)則，對(duì)聚類(lèi)識(shí)別出來(lái)的惡意IP進(jìn)行流量封禁的步驟包[0066]計(jì)算每個(gè)聚類(lèi)簇中樣本的源IP的信譽(yù)分?jǐn)?shù)和；[0067]對(duì)各個(gè)簇的信譽(yù)分?jǐn)?shù)進(jìn)排序，以根據(jù)排序結(jié)果獲取信譽(yù)分?jǐn)?shù)最低的簇。[0068]第二方面，本申請(qǐng)?zhí)峁┮环N基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御系統(tǒng)，所述系統(tǒng)包括：[0069]模型構(gòu)建模塊，用于構(gòu)建IP信譽(yù)模型，檢測(cè)IP新增的路由跟蹤行為，并根據(jù)所述IP信譽(yù)模型更新新增的路由跟蹤行為的信譽(yù)分?jǐn)?shù)值；[0070]IP熵檢測(cè)模塊，用于檢測(cè)不可信IP集合內(nèi)IP的訪(fǎng)問(wèn)目的IP熵，以判斷LFA攻擊的發(fā)生并定位受害鏈路；[0071]流特征提取模塊，用于采樣受害鏈路入口端交換機(jī)流量并進(jìn)行流特征提?。籟0072]第一訓(xùn)練模塊，用于訓(xùn)練第一階段自組織圖聚類(lèi)模型，以對(duì)采樣流進(jìn)行初步[0073]第二訓(xùn)練模塊，用于訓(xùn)練第二階段高斯混合聚類(lèi)模型，以對(duì)采樣流進(jìn)行二次[0074]聚類(lèi)識(shí)別模塊，用于下發(fā)流表規(guī)則，對(duì)聚類(lèi)識(shí)別出來(lái)的惡意[0075]第三方面，本申請(qǐng)?zhí)峁┮环N可讀存儲(chǔ)介質(zhì)，所述可讀存儲(chǔ)介質(zhì)存儲(chǔ)一個(gè)或多個(gè)程序，該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方[0076]第四方面，本申請(qǐng)?zhí)峁┮环N計(jì)算機(jī)設(shè)備，所述計(jì)算機(jī)設(shè)備包括存儲(chǔ)器和處理器，其[0077]所述存儲(chǔ)器用于存放計(jì)算機(jī)程序；[0078]所述處理器用于執(zhí)行存儲(chǔ)器上所存放的計(jì)算機(jī)程序時(shí)，實(shí)現(xiàn)上述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法。[0080]1.本申請(qǐng)實(shí)施例通過(guò)提出一個(gè)基于IP歷史路由跟蹤行為的信譽(yù)模型以及IP源地址熵異常的鏈路洪泛攻擊檢測(cè)方法，相比于現(xiàn)有的基于行為統(tǒng)計(jì)及熵異常的檢測(cè)方法，本申請(qǐng)實(shí)施例所用方法在攻擊者采用長(zhǎng)周期測(cè)繪策略時(shí)，檢測(cè)準(zhǔn)確率更高，具有更好的魯棒[0081]2.本申請(qǐng)實(shí)施例通過(guò)設(shè)計(jì)了一個(gè)基于兩階段聚類(lèi)算法的鏈路洪泛攻擊流量檢測(cè)方案，第一階段使用自組織圖(SOM)聚類(lèi)，主要目標(biāo)是盡可能剔除良性流量，第二階段采用高斯混合(GMM)聚類(lèi)，主要目標(biāo)是盡可能提升檢測(cè)精度，兩個(gè)階段有針對(duì)性地設(shè)計(jì)了不同的流特征，所設(shè)計(jì)的流量檢測(cè)方案具有較高的檢測(cè)效率和檢測(cè)精度，能夠有效地檢測(cè)鏈路洪泛攻擊流量并識(shí)別僵尸主機(jī)IP。[0082]3.本申請(qǐng)使用兩階段聚類(lèi)算法對(duì)鏈路洪泛攻擊流量進(jìn)行異常檢測(cè)，訓(xùn)練模型可以使用已有的公開(kāi)數(shù)據(jù)集或?qū)嵕W(wǎng)環(huán)境良性流量，對(duì)攻擊流量沒(méi)有要求，有效地解決了缺乏鏈路洪泛攻擊流量數(shù)據(jù)的問(wèn)題。附圖說(shuō)明[0083]圖1為本申請(qǐng)一實(shí)施例提出的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法的流程圖；[0084]圖2為本申請(qǐng)一實(shí)施例提出的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法的整體架構(gòu)圖；[0085]圖3為本申請(qǐng)一實(shí)施例提出的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御系統(tǒng)的結(jié)構(gòu)示意圖。[0086]如下具體實(shí)施方式將結(jié)合上述附圖進(jìn)一步說(shuō)明本申請(qǐng)。[0088]請(qǐng)參閱圖1,所示為本申請(qǐng)一實(shí)施例提供的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊過(guò)采用監(jiān)控統(tǒng)計(jì)traceroute行為(路由跟蹤行為)的來(lái)計(jì)算IP的信譽(yù)分?jǐn)?shù)，在IP信譽(yù)模型中，IP的類(lèi)別可分為兩類(lèi)即可信(IPtrust)和不可信(IPuntrust),可信的IP即一個(gè)網(wǎng)絡(luò)域(AS)內(nèi)正常主機(jī)的IP,不可信的IP即那些可能被攻擊者利用并用來(lái)發(fā)起鏈路洪泛攻擊的僵尸主機(jī)(bot)的IP,區(qū)分IP的可信(IPtrust)和不可信(IPuntrust)主要根據(jù)IP的信譽(yù)分?jǐn)?shù)RIP來(lái)決定。[0091]首先，在構(gòu)建IP信譽(yù)模型的過(guò)程中，設(shè)定信譽(yù)分?jǐn)?shù)的分布服從正態(tài)分布[0100](1)通過(guò)網(wǎng)絡(luò)流量采集器采該數(shù)據(jù)包的源地址IP未被記錄在IP信譽(yù)表tableR中則該IP是一個(gè)新出現(xiàn)的的IP,記為ipnew,已記錄的IP不會(huì)被重復(fù)采集。如果該IP已記錄在信譽(yù)表tableR中，則該IP的[0106](3)如果該IP是iptraceroute,把該IP加入traceroute觀(guān)測(cè)事件集合M,并判斷該IP是否是可信IP,如果該IP是可信IP,則更新觀(guān)測(cè)概率P(M|IPtrust),否則，更新觀(guān)測(cè)概率[0107]設(shè)定信譽(yù)分?jǐn)?shù)小于下四分之分位點(diǎn)X0.25的IP為不可信IP(只作為IP不可信的相行為的事件增多。過(guò)的traceroute行為總數(shù)量，分母|M|代表觀(guān)測(cè)到的traceroute行為事件的總數(shù)量。這個(gè)先驗(yàn)概率處于0到1之間，雖然在本模型中信譽(yù)的降低是因?yàn)镮P出現(xiàn)頻繁的t(本模型的IP初始信譽(yù)計(jì)算結(jié)合了外部CIT情報(bào))也并不一定就是鏈路洪泛攻擊者所掌控的等。但如果IP是不可信的(IPuntrust),那么觀(guān)測(cè)到其進(jìn)行traceroute行為的概率通常會(huì)比可信IP進(jìn)行traceroute行為的概率高得多，因此該觀(guān)測(cè)概根據(jù)網(wǎng)絡(luò)traceroute事件的觀(guān)測(cè)結(jié)果進(jìn)行動(dòng)態(tài)更新調(diào)整。[0124]其中，P(M|IPtrust)表示可信IP的觀(guān)測(cè)概率，P(M|IPuntrust)表示不可信IP的觀(guān)MiP表示觀(guān)測(cè)到主機(jī)IP進(jìn)行路由跟蹤行為的事件數(shù)量，IPtrust表示可信IP的集合，的集合，ZipeIPuntrustMiD表示不可信IP集合中進(jìn)行過(guò)的traceroute行為總數(shù)量，[0125]此外，還需指出的是，IP的可信概率越高則信譽(yù)值越高，IP的信譽(yù)值范圍逃避信譽(yù)系統(tǒng)檢測(cè)，這個(gè)更新周期建議與網(wǎng)絡(luò)拓?fù)涓轮芷谙嚓P(guān)聯(lián)(攻擊者采用長(zhǎng)周期探該IP在當(dāng)前觀(guān)測(cè)周期出現(xiàn)過(guò)traceroute行為時(shí)該參數(shù)值更新為t,該公式第二項(xiàng)的恢復(fù)權(quán)[0130]需要說(shuō)明的是，在本步驟中，當(dāng)鏈路洪泛攻擊發(fā)生時(shí)，攻擊者掌控的僵尸主機(jī)(Bot)會(huì)以低速正常的流量訪(fǎng)問(wèn)傀儡機(jī)(Decoy),疊加正常流量并阻塞關(guān)鍵鏈路，由于可用于阻塞關(guān)鍵鏈路的傀儡機(jī)(Decoy)資源有限，因此僵尸主機(jī)(IP)的訪(fǎng)問(wèn)目的地址IP會(huì)高度可能是參與鏈路洪泛攻擊的僵尸主機(jī)IP,因此只需要計(jì)算信譽(yù)表中低信譽(yù)IP的訪(fǎng)問(wèn)目的IP攻擊流量路徑(一般是最短路徑),計(jì)算攻擊流量路徑的重合節(jié)點(diǎn)即可定位受害鏈路的入口[0135]Nodes(IPuntrust)=Nipsrc;ipd[0138]在本步驟中，具體根據(jù)步驟S102獲取到鏈路洪泛攻擊的受害節(jié)點(diǎn)集合Nodes(IPuntrust),并選擇集合內(nèi)全部或部分交換機(jī)進(jìn)行流量采樣。[0141]此外，第一階段所采用的自組織圖(SOM)ip_speed:不同目的IP的訪(fǎng)問(wèn)速度(每10s統(tǒng)計(jì)一次);dst_ip_novelty_speed:相比于前一時(shí)間窗口新目的IP的數(shù)量；flow_duration:流的持續(xù)時(shí)間(鏈路攻擊流通常持續(xù)時(shí)間較長(zhǎng));pkt_rate:源IP發(fā)送數(shù)據(jù)包的速率(僵尸源總是會(huì)以低速率發(fā)送數(shù)據(jù)包);pkt_size:源IP發(fā)送的包的平均大小(正常源和惡意源有顯著區(qū)別)。距離distance最近的獲勝神經(jīng)元C,記為BMU。[0154]其中，W(t)是當(dāng)前迭代次數(shù)t輪次下對(duì)應(yīng)神經(jīng)元Ci的權(quán)重，θ(t)是一個(gè)權(quán)重[0161]此外，第二階段采用的高斯混合(GMM)模型主要特點(diǎn)是對(duì)樣本數(shù)據(jù)復(fù)雜特征分布[0163]Stepl(初始化):選擇混合高斯成分?jǐn)?shù)量k,初始化高斯混合系數(shù)πk,初始化均值向量k,初始化協(xié)方差矩陣2k。[0166]其中，Y(Znk)為樣本Xn屬于第k個(gè)高斯成分的后驗(yàn)概率，;表示第j個(gè)分布的均[0181]首先，計(jì)算每個(gè)聚類(lèi)簇中樣本的源IP的信譽(yù)分?jǐn)?shù)和(如果IP存在于信譽(yù)表TableR中),公式如下：[0186]最后，根據(jù)上述的排序結(jié)果取信譽(yù)分?jǐn)?shù)最低的簇，即為可能的被用于進(jìn)行鏈路洪泛攻擊的僵尸主機(jī)IP的分類(lèi)簇。[0187]此外，還需指出的是，上述判斷聚類(lèi)簇的方法在兩個(gè)訓(xùn)練階段的聚類(lèi)算法中都適用，在檢測(cè)出可能的被用于鏈路洪泛攻擊的僵尸主機(jī)IP后，即可通過(guò)SDN控制器模塊下發(fā)流[0188]綜上，根據(jù)上述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法，具有如下[0189]1.本申請(qǐng)實(shí)施例通過(guò)提出一個(gè)基于IP歷史路由跟蹤行為的信譽(yù)模型以及IP源地址熵異常的鏈路洪泛攻擊檢測(cè)方法，相比于現(xiàn)有的基于行為統(tǒng)計(jì)及熵異常的檢測(cè)方法，本申請(qǐng)實(shí)施例所用方法在攻擊者采用長(zhǎng)周期測(cè)繪策略時(shí)，檢測(cè)準(zhǔn)確率更高，具有更好的魯棒性。[0190]2.本申請(qǐng)實(shí)施例通過(guò)設(shè)計(jì)了一個(gè)基于兩階段聚類(lèi)算法的鏈路洪泛攻擊流量檢測(cè)方案，第一階段使用自組織圖(SOM)聚類(lèi)，主要目標(biāo)是盡可能剔除良性流量，第二階段采用高斯混合(GMM)聚類(lèi)，主要目標(biāo)是盡可能提升檢測(cè)精度，兩個(gè)階段有針對(duì)性地設(shè)計(jì)了不同的流特征，所設(shè)計(jì)的流量檢測(cè)方案具有較高的檢測(cè)效率和檢測(cè)精度，能夠有效地檢測(cè)鏈路洪泛攻擊流量并識(shí)別僵尸主機(jī)IP。[0191]3.本申請(qǐng)使用兩階段聚類(lèi)算法對(duì)鏈路洪泛攻擊流量進(jìn)行異常檢測(cè)，訓(xùn)練模型可以使用已有的公開(kāi)數(shù)據(jù)集或?qū)嵕W(wǎng)環(huán)境良性流量，對(duì)攻擊流量沒(méi)有要求，有效地解決了缺乏鏈路洪泛攻擊流量數(shù)據(jù)的問(wèn)題。[0192]請(qǐng)參閱圖3,所示為本申請(qǐng)一實(shí)施例中的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御系統(tǒng)的結(jié)構(gòu)示意圖，所述系統(tǒng)包括：[0193]模型構(gòu)建模塊10,用于構(gòu)建IP信譽(yù)模型，檢測(cè)IP新增的路由跟蹤行為，并根據(jù)所述IP信譽(yù)模型更新新增的路由跟蹤行為的信譽(yù)分?jǐn)?shù)值；[0194]IP熵檢測(cè)模塊20,用于檢測(cè)不可信IP集合內(nèi)IP的訪(fǎng)問(wèn)目的IP熵，以判斷LFA攻擊的發(fā)生并定位受害鏈路；[0195]流特征提取模塊30,用于采樣受害鏈路入口端交換機(jī)流量并進(jìn)行流特征提取；[0196]第一訓(xùn)練模塊40,用于訓(xùn)練第一階段自組織圖聚類(lèi)模型，以對(duì)采樣流進(jìn)行初步檢[0197]第二訓(xùn)練模塊50,用于訓(xùn)練第二階段高斯混合聚類(lèi)模型，以對(duì)采樣流進(jìn)行二次檢[0198]聚類(lèi)識(shí)別模塊60,用于下發(fā)流表規(guī)則，對(duì)聚類(lèi)識(shí)別出來(lái)的惡意IP進(jìn)行流量封禁。[0199]本申請(qǐng)另一方面還提出可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有一個(gè)或多個(gè)程序，該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法。[0200]本申請(qǐng)另一方面還提出一種計(jì)算機(jī)設(shè)備，包括存儲(chǔ)器和處理器，其中存儲(chǔ)器用于存放計(jì)算機(jī)程序，處理器用于執(zhí)行存儲(chǔ)器上所存放的計(jì)算機(jī)程序，以實(shí)現(xiàn)上述的基于信譽(yù)和聚類(lèi)算法的鏈路洪泛攻擊檢測(cè)防御方法。[0201]