(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111613507.0 (22)申请日 2021.12.27 (71)申请人 电子科技大 学 地址 611731 四川省成 都市高新区 （西区） 西源大道 2006号 (72)发明人 丁旭阳　朱智光　谢盈　李世鹏　 刘政奇　刘子为　杨旭　 (74)专利代理 机构 电子科技大 学专利中心 51203 代理人 周刘英 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01) G06K 9/62(2022.01) (54)发明名称 一种工控环境下的D DoS攻击检测方法 (57)摘要 本发明公开了一种工控环境下的DDoS攻击 检测方法， 该方法通过更改搜索算法的数据结构 对KNN进行改进， 建立KD树的方法能在索引阶段 避免大量无效数据的查询， 为了进一步减少搜索 KD树中K近邻所需的回溯次数， 提供一个优先级 队列， 存储二分查找错过的节点， 按照各节点所 在的超平面到待查询点的距离由小到大进行排 序， 直到队列为空算法结束； 同时设立一个时间 限制， 如果算法运行时间超过该限制， 不管是不 是为空， 一律停止运行， 返回当前的最近邻点作 为结果。 本发 明有效减少了索引量提高了搜索效 率， 提高了DDoS攻击流量检测的检测率、 正确率 与精确率， 并降低检测过程中导致的误报率和分 类效率。 权利要求书3页 说明书9页 附图3页 CN 114285651 A 2022.04.05 CN 114285651 A 1.一种工控环境下的D DoS攻击检测方法， 其特 征在于， 该 方法包括以下步骤： S1)采集DDoS流量数据集， 采用min ‑max标准化方法对所述DDoS流量数据集进行归一化 处理， 并将字符数据替换为数值； S2)对经过步骤S1)处理后的DDoS流量数据 集中的数据进行特征降维， 采用基于熵值评 价的主成分分析方法将数据中的高维度属 性特征转化为若干个具有代表性的典型特征指 标， 得到降维后的数据； S3)采用所述降维后的数据作为已知样本集， 并作为训练样本集的输入， 采用改进KNN 算法进行训练得到训练好的分类 器模型， 改进KN N算法通过构建KD树实现； S4)使用采集到的待分类数据集经所述训练好的分类器模型进行分类检测， 输出待分 类数据集中每条检测样本数据对应的分类标签， 其中， 为了减少KD树中搜索K近邻所需的回 溯次数， 采用优化路径KD树搜索算法通过提供一个优先级队列， 存储二分查找过的节点， 按 照各节点所在的超平 面到待查询点的距离由小到大进 行排序， 直到优先级队列为空算法结 束， 同时设立一个时间限制， 如果搜索算法运行时间超过该时间限制， 不管优先级队列是不 是为空， 一 律停止运行， 返回当前的最近邻点作为结果。 2.根据权利要求1所述的工控环境下的DDoS攻击检测方法， 其特征在于， 所述步骤S2) 中的特征降维包括以下子步骤： S21)假设一个经过步骤S1)处理后的DDoS流量数据集X包含了m个样本， 并且每个样本 的特征维度是n， 即X＝{X1， X2， ...， Xi， ...， Xm}， Xi＝{xi1， xi2， ...， xin}∈Rn， i＝1， 2， ...， m， 样本矩阵Z表示 为： Z∈Rm×n， R表示实向量空间， 设将n维特 征降为p维； S22)样本矩阵Z的相关系数矩阵的计算公式如下： 其中， ZT表示矩阵Z的转置； 其次， 对相关系数矩阵做矩阵对角化， 这里C是一个对称矩阵， 对它进行对角化的目的 就是要找到一个正交矩阵P， 并满足： PTCP＝Λ·P， Λ∈Rn×n    (2) 其中， Λ表示C的特 征值矩阵， Λ ＝diag{ λ1， λ2， ...， λn}； S23)求出A的前p个最大的特征值λ1， λ2， ...， λp及相应的正交化单位特征向量， 由这p个 相应的正交化单位特征向量组成一个 新的矩阵T＝(t1， t2， ...， tp)， T∈Rp×m； 记原变量X的第 j个主成分表示 为Fj＝tjX， 其中， j＝1， 2， . ..， p； S24)最终通过方差累计贡献率来决定最终要选择几个主成分， 即计算p的取值， 公式如 下： 其中， j′＝1， 2， ...， n； 当方差累计贡献率大于预设阈值时， 此时对应的p值就是抽取的 前p个主成分了； S25)计算m个样本在p个主成分上的得分Fj＝tjX， 则得到一个具有m个样本， p项指标的 主成分得分矩阵F＝(Fij)m×p， 其中， Fij表示第j项指标下样本i的主成分得分， i＝1， 2， ...，权　利　要　求　书 1/3 页 2 CN 114285651 A 2m； j＝1， 2， ...， p， 首先计算第j项指标下第i个样本的比重： 计算第j项指标的 熵值： 计算第j项指标的权重： 计算第i个样本的综合值 最后按样本综合 值对各样本进行降序排列。 3.根据权利要求2所述的工控环境下的DDoS攻击检测方法， 其特征在于， 所述步骤S3) 中根据已知样本集构造KD树的步骤如下： S31)为避免样本不平衡给算法造成的影响， 将训练样本集 中的DDoS流量与正常流量的 比例设置为1∶ 1； S32)确定切分域， 假设数据集Y总共有k个维度， 分别计算数据集中的数据点k个维度上 的方差， 挑选出方差的最大值， 对应的维度就是切分域的值； 确定节点域， 根据前面确定的 切分域维度， 对数据集Y中的数据进 行排序， 取出数据点的中值M， 则位于正中间的数据点为 节点域， 经过该节点并垂直与切分域维度可以确定该节点的分割超平面， 将整个数据 空间 划分为左子集 合和右子集 合， 即二叉树结构中的左子树和右子树； S33)对两个子集合重复步骤S32)的过程， 直到所有子集合都不能再划分为止； 如果某 个子集合不能再划分时， 则该子集 合中的数据保存到叶子节点， 至此完成KD树的构建。 4.根据权利要求3所述的工控环境下的DDoS攻击检测方法， 其特征在于， 所述步骤S4) 具体包括如下步骤： S41)随机在采集到的待分类数据集中选取一条待检测 样本数据Q， 按照Q与各个节点的 比较结果向下访问KD树， 直至到达叶子节点； 若KD树为空， 则设定Q与各个节点的距离均为 无穷大， 搜索结束； 否则， 将KD树的根节点加入到优先级队列中； S42)从优先级队列中出队当前优先级最大的节点O， 计算O到查找点的距离是否比最近 邻距离小， 如果是则更新最近邻点和最近邻距离， 如果查找点在切分维坐标小于当前点的 切分维坐标， 则把O的右子树加入到优先级队列中， 同时检索O的左子树， 否则就把O的左子 树加入到优先级队列中， 同时检索O的右子树； 这样一直重复检索， 并加入优先级队列， 直到 检索到叶子节点， 然后在从优先级队列中出队优先级最大的节点； S43)重复S41)和S42)中的操作， 直到优先级队列 为空， 或者超出规定的时间， 返回当前 的最近邻节点和最近邻距离； 上述提到的距离一 律为欧式距离； 经KD树搜索算法最终可以确定待检测样本的K个最近邻点， 这K个最近邻点中包含DDoS 流量与正常流量两种类型， 根据 “以多胜少 ”的原则最终确定待检测样本的所属类别， 以此 达到DDoS攻击检测的目的。 5.根据权利要求4所述的工控环境下的DDoS攻击检测方法， 其特征在于， 所述工控环境 下的DDoS攻击检测方法还 包括： S5)对DDoS攻击检测方法的性能进行评价， 设置衡量DDoS攻击检测方法的四个评价指 标： (1)准确度： 反映分类器对整体样本判断正确的能力， 即正确判断样本标签的总量与样 本总量的比值， 该指标越 大， 表示分类器性能越好； (2)召回率： 反映分类器正确预测正样本 全度的能力， 即正样本被预测为正样本占总正样本的比例， 该指标越 大， 表示分类器性能越 好； (3)误报率： 反映分类器正确预测正样本纯度的能力， 即负样本被预测为正样本占总的权　利　要　求　书 2/3 页 3 CN 114285651 A 3