一种基于NetFlow的分布式拒绝服务攻击检测方法及装置

本发明涉及一种基于NetFlow的分布式拒绝服务攻击(DDoS)检测方法及装置，属于网络安全技术领域。该方法包括接收多个NetFlow路由器在设定时间窗口内上报的流记录，通过哈希函数将流记录映射至多个桶中，计算流的异常评分，并在评分超过预设阈值时构建时空特征矩阵；基于该矩阵构建路由器关联图并进行聚类分析，形成多个路由器集群；对每个集群内的流量数据进行向量自回归(VAR)建模，预测未来流量模式，并根据预测与实际流量的偏离程度识别攻击流，最终输出攻击目标IP地址。本发明采用双层过滤架构，结合草图技术、时空建模与聚类分析，有效降低检测延迟与资源消耗，提升攻击识别的准确性与系统鲁棒性，适用于骨干网等大规模网络环境中的实时DDoS攻击检测。