基于流量自相似性的DDoS入侵检测方法及相关装置

摘要

本申请公开了一种基于流量自相似性的DDoS入侵检测方法，包括：对采集到的流量数据进行流量特征提取处理，得到流量特征；根据自相似性算法对所述流量特征进行自相似性分析，得到自相似性相似度；判断所述自相似性相似度是否小于预设相似度；若是，则判定出现DDoS入侵。通过对流量的自相似性进行分析，进而通过自相似性相似度判断是否出现入侵检测，提高了入侵检测的识别率。本申请还公开了一种基于流量自相似性的DDoS入侵检测装置、服务器以及计算机可读存储介质，具有以上有益效果。

说明书

技术领域

本申请涉及网络技术领域，特别涉及一种基于流量自相似性的DDoS入侵检测方法、DDoS入侵检测装置、服务器以及计算机可读存储介质。

背景技术

随着网络技术的不断发展，在网络环境中的不安全行为越来越多。其中，拒绝服务(DoS，Denial of Service)一直是网络安全的威胁。分布式拒绝服务(DDoS，Distributeddenial of service attack)是一种分布式协作的大规模拒绝服务攻击，它可以使被攻击人在一定时间内完全失去所有正常的网络服务。DDoS攻击是黑客常用的攻击手段之一，具有实施简单、隐蔽性强、攻击范围广、简单有效等特点，往往给网络带来沉重打击，严重时甚至会使整个网络瘫痪。DDoS是DoS的一种演进，它改变了传统的一对一的攻击模式，但是分布式、协作、大规模的DoS攻击方式，调用了大量的网络傀儡机，使得数以亿计的数据流以攻击目标、消耗网络带宽或系统资源为目的活动，从而导致网络服务于目标请求拥塞而无法提供正常的网络服务，最终导致目标系统瘫痪。

相关技术中，一般常常对DoS攻击进行识别。但当出现DDoS攻击时，由于DDoS攻击的分布式特性倒是攻击过程隐蔽性强、攻击范围广等特征，导致无法很好的进行入侵检测操作，降低了DDoS攻击入侵检测的准确性，进而降低了对业务系统的保护操作。

因此，如何准确的对DDoS攻击进行入侵检测识别是本领域技术人员关注的重点问题。

发明内容

本申请的目的是提供一种基于流量自相似性的DDoS入侵检测方法、DDoS入侵检测装置、服务器以及计算机可读存储介质，通过对流量的自相似性进行分析，进而通过自相似性相似度判断是否出现入侵检测，提高了入侵检测的识别率。

为解决上述技术问题，本申请提供一种基于流量自相似性的DDoS入侵检测方法，包括：

对采集到的流量数据进行流量特征提取处理，得到流量特征；

根据自相似性算法对所述流量特征进行自相似性分析，得到自相似性相似度；

判断所述自相似性相似度是否小于预设相似度；

若是，则判定出现DDoS入侵。

可选的，对采集到的流量数据进行流量特征提取处理，得到流量特征，包括：

通过抓包方式采集到所述流量数据；

根据TCP/IP协议族对所述流量数据进行解析，得到特征信息；

对所述特征信息进行流量特征提取处理，得到所述流量特征。

可选的，根据自相似性算法对所述流量特征进行自相似性分析，得到自相似性相似度，包括：

根据小波包分解算法对所述流量特征进行自相似性分析，得到所述自相似性相似度。

可选的，还包括：

根据所述自相似性分析结果和所述流量数据的长相关性对所述流量数据进行异常流量识别，得到攻击流量数据和正常流量数据。

可选的，还包括：

当判定出现所述DDoS入侵时，根据预设识别率和预设漏报率进行告警处理。

本申请还提供一种基于流量自相似性的DDoS入侵检测装置，包括：

流量特征提取模块，用于对采集到的流量数据进行流量特征提取处理，得到流量特征；

自相似性分析模块，用于根据自相似性算法对所述流量特征进行自相似性分析，得到自相似性相似度；

相似度判断模块，用于判断所述自相似性相似度是否小于预设相似度；

入侵判定模块，用于当所述自相似性相似度小于预设相似度时，判定出现DDoS入侵。

可选的，所述流量特征提取模块，包括：

抓包单元，用于通过抓包方式采集到所述流量数据；

数据解析单元，用于根据TCP/IP协议族对所述流量数据进行解析，得到特征信息；

特征提取单元，用于对所述特征信息进行流量特征提取处理，得到所述流量特征。

可选的，所述自相似性分析模块，具体用于根据小波包分解算法对所述流量特征进行自相似性分析，得到所述自相似性相似度。

本申请还提供一种服务器，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上所述的DDoS入侵检测方法的步骤。

本申请还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的DDoS入侵检测方法的步骤。

本申请所提供的一种基于流量自相似性的DDoS入侵检测方法，包括：对采集到的流量数据进行流量特征提取处理，得到流量特征；根据自相似性算法对所述流量特征进行自相似性分析，得到自相似性相似度；判断所述自相似性相似度是否小于预设相似度；若是，则判定出现DDoS入侵。

通过首先对采集到的流量数据进行流量特征提取处理，得到对应的流量特征，再进行对应的自相似性分析，得到关于该流量数据自相似性相似度，最后通过自相似性相似度判断是否出现DDoS入侵，实现了通过自相似性的方式判断流量中的入侵问题，很好对分布式的攻击进行识别，提高了入侵检测的识别率。

本申请还提供一种基于流量自相似性的DDoS入侵检测装置、服务器以及计算机可读存储介质，具有以上有益效果，在此不做赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例所提供的一种基于流量自相似性的DDoS入侵检测方法的流程图；

图2为本申请实施例所提供的一种基于流量自相似性的DDoS入侵检测装置的结构示意图。

具体实施方式

本申请的核心是提供一种基于流量自相似性的DDoS入侵检测方法、DDoS入侵检测装置、服务器以及计算机可读存储介质，通过对流量的自相似性进行分析，进而通过自相似性相似度判断是否出现入侵检测，提高了入侵检测的识别率。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

相关技术中，一般常常对DoS攻击进行识别。但当出现DDoS攻击时，由于DDoS攻击的分布式特性倒是攻击过程隐蔽性强、攻击范围广等特征，导致无法很好的进行入侵检测操作，降低了DDoS攻击入侵检测的准确性，进而降低了对业务系统的保护操作。

因此，本申请提供一种基于流量自相似性的DDoS入侵检测方法，通过首先对采集到的流量数据进行流量特征提取处理，得到对应的流量特征，再进行对应的自相似性分析，得到关于该流量数据自相似性相似度，最后通过自相似性相似度判断是否出现DDoS入侵，实现了通过自相似性的方式判断流量中的入侵问题，很好对分布式的攻击进行识别，提高了入侵检测的识别率。

以下通过一个实施例，对本申请提供的一种基于流量自相似性的DDoS入侵检测方法进行说明。

请参考图1，图1为本申请实施例所提供的一种基于流量自相似性的DDoS入侵检测方法的流程图。

本实施例中，该方法可以包括：

S101，对采集到的流量数据进行流量特征提取处理，得到流量特征；

本步骤旨在对采集到的流量数据进行流量特征提取处理，得到流量特征。也就是，从采集到的流量数据中提取出用于进行自相似性分析的流量特征。

其中，流量数据可以是网络中出现可以流量的数据。进一步的，可以通过数据抓包的方式从网络中提取出对应的流量数据。

进一步的，为了对本实施例中如何进行流量特征提取处理，本步骤还可以包括：

步骤1，通过抓包方式采集到流量数据；

步骤2，根据TCP/IP协议族对流量数据进行解析，得到特征信息；

步骤3，对特征信息进行流量特征提取处理，得到流量特征。

可见，本可选方案主要是对如何进行流量特征提取进行说明。本可选方案中首先通过抓包方式采集到流量数据；然后，根据TCP/IP协议族对流量数据进行解析，得到特征信息；其中，TCP/IP(Transmission Control Protocol/Internet Protocol，传输控制协议/网际协议)是指能够在多个不同网络间实现信息传输的协议族。最后，对特征信息进行流量特征提取处理，得到流量特征。其中，流量特征提取的方式可以参考现有技术提供的任意一种流量特征提取方式，在此不做具体限定。

S102，根据自相似性算法对流量特征进行自相似性分析，得到自相似性相似度；

在S101的基础上，本步骤旨在根据自相似性算法对流量特征进行自相似性分析，得到自相似性相似度；

其中，自相似性是指某种结构或过程的特征从不同的空间尺度或时间尺度来看都是相似的，或者某系统或结构的局域性质或局域结构与整体类似。另外，在整体与整体之间或部分与部分之间，也会存在自相似性。一般情况下自相似性有比较复杂的表现形式，而不是局域放大一定倍数以后简单地和整体完全重合。但是，表征自相似系统或结构的定量性质如分形维数，并不会因为放大或缩小等操作而变化，所改变的只是其外部的表现形式。自相似性通常只和非线性复杂系统的动力学特征有关。可见，在网络数据的流量领域中，流量的特征从不同的空间尺度或时间尺度来看都是相似的，或者某系统或结构的局域性质或局域结构与整体类似。因此，可以通过自相似性对网络流量中出现的可疑之处进行分析。

进一步的，为了提高本步骤中对流量特征进行自相似性分析的效果，本步骤可以包括：

根据小波包分解算法对流量特征进行自相似性分析，得到自相似性相似度。

可见，本可选方案中主要是如何进行自相似性分析进行说明。本可选方案中主要是根据小波包分解算法对流量特征进行自相似性分析，得到自相似性相似度。其中，小波包分解也可称为小波包或子带树及最佳子带树结构。其概念是用分析树来表示小波包，即利用多次叠代的小波转换分析输入讯号的细节部分。从函数理论的角度来看，小波包分解是将信号投影到小波包基函数张成的空间中。从信号处理的角度来看，它是让信号通过一系列中心频率不同但带宽相同的滤波器。小波包分解能够为信号提供一种更加精细的分析方法。小波包分析将时频平面划分得更为细致，它对信号的高频部分的分辨率比二进小波要高。

S103，判断自相似性相似度是否小于预设相似度；

在S102的基础上，本步骤旨在判断自相似性相似度是否小于预设相似度。也就是判断是否出现了大于预设相似度的异常流量情况，即判断是否出现DDoS入侵的情况。

其中，预设相似度可以通过技术人员的经验进行设定，也可以通过当前的网络环境进行设定，还可以通过当前的设备性能进行设定。可见，设定当时并不唯一，在此不做具体限定。

S104，若是，则判定出现DDoS入侵。

在S103的基础上，本步骤旨在当自相似性相似度是否小于预设相似度时，判定出现DDoS入侵。

进一步的，本步骤还可以包括：

根据自相似性分析结果和流量数据的长相关性对流量数据进行异常流量识别，得到攻击流量数据和正常流量数据。

可见，本可选方案中主要是对后续的处理进行说明。具体的，本可选方案中根据自相似性分析结果和流量数据的长相关性对流量数据进行异常流量识别，得到攻击流量数据和正常流量数据。其中，长相关性是局域网和广域网流量都表现出来的一种重要特性，即过去的状态可对现在或将来产生影响。

进一步的，本步骤还可以包括：

当判定出现DDoS入侵时，根据预设识别率和预设漏报率进行告警处理。

可见，本可选方案中主要是当判定出现DDoS入侵时，如何进行告警操作进行说明。本可选方案中主要是当判定出现DDoS入侵时，根据预设识别率和预设漏报率进行告警处理。其中，预设识别率是指将发生的多少概率下的DDoS入侵，需要进行告警操作。其中，预设漏报率是指多少数据概率下将发生的DDoS入侵进行过滤，不进行告警操作。其中，预设识别率和预设漏报率可以通过技术人员的经验进行设定，也可以通过当前的网络环境进行设定，还可以通过当前的设备性能进行设定。可见，设定方式并不唯一，在此不做具体限定。

综上，本实施例通过首先对采集到的流量数据进行流量特征提取处理，得到对应的流量特征，再进行对应的自相似性分析，得到关于该流量数据自相似性相似度，最后通过自相似性相似度判断是否出现DDoS入侵，实现了通过自相似性的方式判断流量中的入侵问题，很好对分布式的攻击进行识别，提高了入侵检测的识别率。

以下通过一个具体的实施例，对本申请提供的一种基于流量自相似性的DDoS入侵检测方法做进一步说明。

本实施例中，DDoS入侵是一种人为的大规模数据流，它破坏了网络流量的自相似性和多重分形性，表现出自相似H参数和H(t)函数的异常变化。此变化可用于准确识别是否发生了DDoS入侵，以及DDoS入侵的规模和DDoS类型的信息。

本实施中的入侵检测系统主要由三个模块组成。每个模块的名称和功能如下：

实时采集与信息提取模块：该模块基于LIBPCAP函数库，封装在C++类中，它可以很容易地嵌入到入侵检测系统中作为前端流获取和信息提取的模块。考虑IDS(intrusiondetection system，入侵检测系统)是一种实时系统，该模块的设计原则是测量的流量足以应对后续异常检测。用于本实施例所描述的系统中，信息抽取就是从被测数据包中提取包长信息。

在攻击识别与决策模块中，用户根据设定的识别概率和漏检概率来检测异常流量。

告警模块根据用户设定的识别概率和漏报概率，以多种方式对攻击进行告警。

上述实时采集与信息提取模块采用基于GUI(Graphical User Interface，图形用户界面)的可重用设计方法。流量分析的结果通过GUI接口输出，并进行入侵检测系统的接口操作，实现下一个模块：包捕获和攻击识别与决策提取的预处理过程。该模块的关键问题有两个：一是根据识别方法选择合适的检测特征；二是如何实现可靠检测鉴定。可靠识别是指用户可以预先设置所需的识别概率和漏检概率。设x(t)为到达流功能。它最小流量约束函数用F(I)(I>；0)表示，则在区间[0，I]中，到达的累计流量不小于F(I)＝min[x(t+I)-x(t)]，在时间区间[(n-1)I，nI](n＝1，2…in，n)，F(I，N)最小流量约束函数间隔时间。它是n的随机序列。将每个区间[(n-1)I，nI]除以M每一段长度为L。对于第m段(m＝1，2…，m)，取平均值E[f(I，n)]m。当m>；为10时，E[f(I，n)]m符合高斯分布。当入侵检测到低速率攻击时，它会向用户发出警报，并通知安全管理中心做出防御决策。根据需要，可以将告警信息发送到其他网络，形成全面、立体的网络安全解决方案。当告警信息出现时，可采用以下告警方式：打开告警灯、弹出界面、打开警铃、向高层决策者发送短信、向高层决策者发送电子邮件等，这些告警方式可以单独使用，也可以组合使用。

当警报出现时，还要通知安全管理中心，如果是严重的大规模攻击，则通知的是其他网络，从而防止攻击对网络造成大范围破坏。否则，进行内部处理。这里讨论的低速率攻击是攻击者以TCP协议为目标，通过RTO(Retransmission Timeout，超时重传机制)定时器在链路中造成中断，从而造成TCP控制机制拥塞。被攻击的数据流是一个具有一定周期的方波。攻击流速率低，但攻击效率高。RTO是TCP.RTO协议用于确保网络有足够的时间从拥塞中恢复。如果RTO过大，出现丢包，TCP需要等待太长的时间来重新传输数据包，这就增加了TCP消息的传输时间。如果RTO过小，会导致不必要的重传，并误触发TCP的超时重传算法，降低TCP的发送速率，从而降低TCP的性能。这就是攻击的原理。

将TCP的RTO值设置为1s，攻击者将在时间0创建一个运行中断。TCP发送方等待1s重新传输，并将RTO加倍。如果攻击者在1s和RTT之间创建另一个中断，迫使TCP等待2s，则攻击者可以利用KAM(KAM theorem，卡姆定理)算法，在3s、7s、15s……时创建类似的中断。这样，就有可能以非常低的平均速率进行攻击，并导致服务器拒绝向TCP流提供服务。由此可见，如果DDoS周期类似于RTO，TCP将始终发生数据包丢失事件。因此，结束超时重传状态保持不变，导致吞吐量几乎为零。因此，低速率攻击的关键是攻击者能否准确地预测RTO。另外，脉搏的持续时间也很重要。文献指出，当L＝maxi{RTTi}且T＝RTO时，攻击效率很高。

其中，一个完整的DDoS攻击系统由攻击者、主机、代理和目标组成。主机和代理分别用于控制和实际发起攻击，其中主机只发出命令，不参与实际攻击，代理发出的实际攻击包，DDoS攻击者对主机和代理都具有控制权或部分控制权，它将在攻击过程中使用各种方式隐藏自己。当真正的攻击者把攻击命令发送给主机，攻击者可以关闭或离开网络，主机会将命令发布到各种代理主机上，从而避免攻击者被跟踪。每个攻击代理主机会向目标主机发送大量的服务请求包，这些包是伪装的，无法识别其来源。此外，这些数据包请求的服务往往会消耗大量的系统资源，使目标主机无法为其提供正常的服务用户，甚至导致系统崩溃。

总之，与高速率攻击相比，低速率DDoS攻击最重要的特点之一就是集中在短时间内发送恶意数据，这使得攻击数据流的平均速率相对较低，从而避免了常规的入侵检测。

从整个系统流量分析过程的角度出发，首先从数据采集模块获取原始数据包，并对其进行频率统计，计算根据流量排序的出目的IP的前N位。那么，根据可疑标准调用跟踪分析模块，跟踪分析模块将根据可疑的标准进行判断。决策之后，数据将写入RRD数据库，并根据决策确定警报结果整个系统中，系统的关键模块集中在“可疑点的确定”和“流数和平均包长的确定”两个方面。

疑点确定：分析一次DDoS攻击相似性的变化过程，DDoS攻击在Ti时会导致一些IP流量。在两种情况下，激增导致相似性降低。一是上一次被攻击的IP不在前N位。然而，由于攻击进入了流量的前N位，两种流量分布差异很大，相似度降低。另一个原因是被攻击IP在上一次计数中已经在前N名，但这次攻击使它拥有了前N名中的其他IP名字。那个流量比变化显著，导致相似性。到期对于攻击的持续性，在Ti+1被攻击的IP继续处于第一个N。因此，相似性值继续增加。在Ti+2时，相似性趋于稳定，直到Tm时刻。在攻击结束时，受到攻击的IP流量急剧减少，并且随着前N个流量分布的再次变化，相似度降低。

虽然可以通过相似性的变化来检测网络中的异常，但前面也提到了如果两者具有高带宽的话。主机之间的大文件传输在…里为了识别这种情况，本文采用了一种额外的策略来跟踪和分析可疑ip，并通过“流数、平均包长度确定”模块来实现。流数和平均包长的确定：发现异常后跟踪分析可疑点，比较Ti时间和Ti+1。找出对相似性变化贡献最大的IP，即流量变化最大的IP，然后区分进行中的IP。或者说是攻击造成了戏剧性的变化交通。通过分析单个IP的流量组成，可以很容易地将其区分开来。高带宽大文件传输和DDoS攻击。其中，DDoS攻击一般使用随机源IP来隐藏攻击源，因此流的数量较多，且小包居多或包长随机；但当高带宽大文件传输数较少时，基本上是大包传输(1K以上)。

因此，区分这两种情况的方法很简单，只需分析采样时间内源IP的数量和此IP的平均数据包。如果超过阈值，则视为低于攻击。这个系统主要分析Ti+N+1时刻可疑IP的平均包长和访问情况。在下一个周期重复此过程，以实现DDoS攻击检测。

可见，本实施例中主要是通过以下两点进行入侵告警。(1)根据设定的识别概率和漏检概率检测，对各种攻击进行告警，并给出相似度降低的原因；(2)通过“确定流数和平均包长度”模块。流数和平均包长的确定：发现异常后跟踪分析疑点，比较Ti时间和Ti+1；找出对相似性变化贡献最大的IP，即流量变化最大的IP，然后区分正在进行的IP。

基于上述说明，本实施例中具体可以包括以下模块：

数据采集与提取模块，用于采集一段满足后续异常检测的流量，提取被测数据包中的包长信息；抓包后通过回调函数对数据进行解析，并实现回调函数与线程类之间的数据共享；根据TCP/IP协议族结构解开每一层的header和控制信息。对其进行频率统计，计算根据流量排序的目的地IP的前N位；流量分析结果通过GUI接口输出到入侵检测系统，以实现攻击识别和策略提取。

攻击识别模块，用于根据用户设定的是高概率和漏检率来检测异常流量。具体的，通过基于小波包分解的Hurst参数来计算出实际的互联网流量是否具有自相似性；基于网络流量的自相似性与数据量的长相关性来区分DDOS攻击和正常的业务。

报警模块，用于根据用户设置的识别率和漏报率，以多种方式对攻击进行告警。具体的，当检测到低速率攻击时，向用户发出告警，并通知安全管理中心做防御决策。其中，可以通过弹窗界面、报警铃声、发送短信、发送电子邮件等方式进行告警。当检测到严重的大规模攻击，通知其他网络，防止攻击对网络造成大范围破坏。

其中，可以利用LIBPCAP库实现网络包捕获。库提供的主要功能如下(参见LIBPCAP手册)：

Pcap_open_live()：获取捕获包的描述符，用于查看网络包的传输情况；

Pcap_lookupdev()：返回Pcap_open_live()使用的设备指针；

Pcap_open_offline()：打开包文件进行离线分析；

Pcap_dump_open()：打开文件写入数据包；

Pcap_setfilter()：设置包过滤程序；

Pcap_loop()：开始数据包捕获。

网络流量的自相似参数估计方法有多种，但研究表明，这些方法在精度和计算上都存在一定的局限性。本实施例在小波包分解的基础上，考虑到信号在分解过程中的能量分布，得到了基于小波包分解的Hurst参数估计方法。通过将两种参数估计结合成数据，说明该方法在继承小波变换计算基础上的优势，能够得到更准确的估计结果。应用该方法计算实际网络流量是自相似的参数，在此基础上分析了网络蠕虫攻击对自相似流量变化的影响，得出了一些有益的结论。

基于网络流量自相似性的5DDoS入侵检测方法，相关技术中，当一个数据流具有长相关性时，无论添加到其中的数据量是否具有长相关性，经过聚合后仍然具有长相关性。但是，聚合数据流的赫斯特系数、均值和方差都会发生变化。除了外观相关性外，正常网络流量还可以用自相似模型来描述。当DDOS攻击时，虽然DDOS收集的大量流量仍然呈现长相关性，但其参数可能会有很大的变化。

可见，本实施例通过首先对采集到的流量数据进行流量特征提取处理，得到对应的流量特征，再进行对应的自相似性分析，得到关于该流量数据自相似性相似度，最后通过自相似性相似度判断是否出现DDoS入侵，实现了通过自相似性的方式判断流量中的入侵问题，很好对分布式的攻击进行识别，提高了入侵检测的识别率。

下面对本申请实施例提供的基于流量自相似性的DDoS入侵检测装置进行介绍，下文描述的基于流量自相似性的DDoS入侵检测装置与上文描述的基于流量自相似性的DDoS入侵检测方法可相互对应参照。

请参考图2，图2为本申请实施例所提供的一种基于流量自相似性的DDoS入侵检测装置的结构示意图。

本实施例中，该装置可以包括：

流量特征提取模块100，用于对采集到的流量数据进行流量特征提取处理，得到流量特征；

自相似性分析模块200，用于根据自相似性算法对流量特征进行自相似性分析，得到自相似性相似度；

相似度判断模块300，用于判断自相似性相似度是否小于预设相似度；

入侵判定模块400，用于当自相似性相似度小于预设相似度时，判定出现DDoS入侵。

可选的，该流量特征提取模块100，可以包括：

抓包单元，用于通过抓包方式采集到流量数据；

数据解析单元，用于根据TCP/IP协议族对流量数据进行解析，得到特征信息；

特征提取单元，用于对特征信息进行流量特征提取处理，得到流量特征。

可选的，该自相似性分析模块200，具体用于根据小波包分解算法对流量特征进行自相似性分析，得到自相似性相似度。

本申请实施例还提供一种服务器，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如以上实施例所述的DDoS入侵检测方法的步骤。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如以上实施例所述的DDoS入侵检测方法的步骤。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上对本申请所提供的一种基于流量自相似性的DDoS入侵检测方法、DDoS入侵检测装置、服务器以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。