DDoS(Distributed Denial of service)分布式拒绝服务攻击是互联网的主要威胁之一,及时准确地检测攻击是防范DDoS的前提。其攻击的主要特点是发送大量恶意报文消耗网络带宽资源,干扰用户正常业务。因此如何在较短时间内处理大量信息是DDoS检测中的重要挑战。本文通过对国内外现有的DDoS攻击检测方法进行分析,针对检测数据量较大时检测时间较长、检测性能下降的问题,引入数据挖掘技术提出了一个综合有效的集成框架,对DDoS进行检测。该框架包括三部分,排序、属性筛选、集成学习。本文的创新点和主要工作如下:(1)针对信息熵排序对可能取值范围较大的属性的偏置现象,提出了基于对称不确定性SU值的排序方法。对网络流量数据集中所包含的属性进行排序,从而得出每个属性与分类目标的贡献度。通过属性排序,可以更好地了解网络流量数据正常与异常的分类依据,也能够更有针对性地进行检测并采取防御手段。(2)针对DDoS攻击检测过程中样本数据量大,每个样本的属性较多,从而导致的检测时间较长的问题、使用分类检测时网络属性较多,消耗时间长的问题;本文提出了基于SU-Hybrid的属性选择方法,以减少冗余属性从而压缩数据量,减少检测耗时。由于蚁群算法具有较强的局部搜索能力,粒子算法具有较强的全局信息感知能力,遗传算法具有较强的并行搜索能力,三者互补。因此本文使用同一种评价函数,提出了在以上三种方法中采用多数原则选取属性的Hybrid属性选择方法。该方法对网络流量数据中的属性进行选择,减少属性之间的冗余。使用前文基于对称不确定性SU值排序后的数据作为Hybrid的属性选择环节的输入,得到SU-Hybrid的属性选择方法,从而选择出高相关、低冗余的属性集合,进而提高检测过程的效率和精度。(3)因为DDoS检测时存在数据量较大、样本的属性较多的问题,使用贝叶斯分类器检测会出现精度下降现象,使用决策树分类器检测时会出现过拟合现象。本文提出了基于不同采样方法的集成学习方法来提高分类检测性能。该集成学习方法在有放回重复采样的Bagging模型、有放回加权采样的Adaboost模型、无重复采样的元分类器三者之间进行投票,从而通过集成学习提高基分类器的检测精度。分别使用两种贝叶斯分类器:NaiveBayes、BayesNet,两种决策树分类器J48、RandomTree作为集成学习的元分类器进行实验,结果表明四种分类器的DDoS检测精度均获得提高。其中使用RandomTree进行作为集成模型的元分类器,对NSL-KDD数据集进行检测时,分类建模时间11.34s,测试时间为0.15s,检测正确率达99.8622%,检测性能最优。(4)由于集成学习方法提高检测精度的代价是增加了检测消耗的时间,本文融合了基于SU-Hybrid的属性选择方法和基于不同采样的集成学习检测方法,对DDoS攻击进行系统化地检测,降低集成学习的时间消耗,从而达到在较短的时间内获得较高准确率的效果。使用J48分类器作为系统的元分类器进行检测时,分类建模时间为4.71s,测试时间为0.12s,检测正确率99.8412%,减少了检测时间。