CN110351291A - 基于多尺度卷积神经网络的DDoS攻击检测方法及装置 - Google Patents

基于多尺度卷积神经网络的DDoS攻击检测方法及装置 Download PDF

Info

Publication number
CN110351291A
CN110351291A CN201910647498.3A CN201910647498A CN110351291A CN 110351291 A CN110351291 A CN 110351291A CN 201910647498 A CN201910647498 A CN 201910647498A CN 110351291 A CN110351291 A CN 110351291A
Authority
CN
China
Prior art keywords
network flow
feature
convolutional neural
neural networks
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910647498.3A
Other languages
English (en)
Other versions
CN110351291B (zh
Inventor
程杰仁
唐湘滟
黄梦醒
刘译夫
李梦洋
李俊麒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hainan University
Original Assignee
Hainan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hainan University filed Critical Hainan University
Priority to CN201910647498.3A priority Critical patent/CN110351291B/zh
Publication of CN110351291A publication Critical patent/CN110351291A/zh
Application granted granted Critical
Publication of CN110351291B publication Critical patent/CN110351291B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于多尺度卷积神经网络的DDoS攻击检测方法及装置,属于互联网技术领域。所述方法包括:获取网络流量,定义所述网络流量的特征提取规则;通过所述特征提取规则,提取所述网络流量的灰度矩阵特征;根据所述灰度矩阵特征,建立多尺度卷积神经网络模型;基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击。采用本发明,可以提高DDoS攻击检测的检测率。

Description

基于多尺度卷积神经网络的DDoS攻击检测方法及装置
技术领域
本发明涉及互联网技术领域,特别涉及一种基于多尺度卷积神经网络的DDoS攻击检测方法及装置。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)源于拒绝服务攻击(Denial of Service,DOS),是黑客常用的一种攻击手段,难以防范。通常由一个有组织、分布式或远程控制的僵尸网络发起。DDoS攻击通常表现为网络连接被中断或延迟,这会降低网络的性能,造成网络瘫痪。
现有的DDoS攻击检测方法主要包括基于统计学的DDoS攻击检测方法和基于机器学习的DDoS攻击检测方法。基于统计学的DDoS攻击检测方法是通过分析大量数据的统计特征值规律来实现的。其可以用统计方法来描述由DDoS攻击造成的网络流量和数据包结构的变化,统计方法主要包括熵、信息论、统计分析等,具体的,可以通过统计方法对攻击行为进行定量分析,提取统计特征值,然后利用数学模型对攻击行为进行检测。基于机器学习的DDoS攻击检测方法是从网络流量中提取特征样本序列,利用机器算法对特征样本序列进行学习,从而建立分类器,并对特征样本进行分类,上述分类器主要包括支持向量机(SVM)、随机森林(RF)、朴素贝叶斯(NB)等。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
在大数据环境下,现有的DDoS攻击检测方法存在检测率较低,误报率和错误率较高的问题。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种基于多尺度卷积神经网络的DDoS攻击检测方法及装置。所述技术方案如下:
第一方面,提供一种基于多尺度卷积神经网络的DDoS攻击检测方法,所述方法包括:
获取网络流量,定义所述网络流量的特征提取规则;
通过所述特征提取规则,提取所述网络流量的灰度矩阵特征;
根据所述灰度矩阵特征,建立多尺度卷积神经网络模型;
基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击。
进一步的,所述获取网络流量,定义所述网络流量的特征提取规则,包括:
定义所述网络流量的IP数据包;
对所述IP数据包,进行进制转换,得到二进制形式的网络流;
在单位时间内,对所述网络流进行样本采样,所述样本用矩阵表示;
对所述用矩阵表示的样本进行分析,得到所述网络流量的特征。
进一步的,所述通过所述特征提取规则,提取所述网络流量的灰度矩阵特征,包括:
通过所述特征提取规则,将提取到的所述网络流量的特征进行灰度化编码处理,得到所述网络流量的灰度矩阵特征。
进一步的,所述根据所述灰度矩阵特征,建立多尺度卷积神经网络模型,包括:
对所述灰度矩阵特征,进行矩阵归一化处理,得到归一化灰度矩阵特征;
基于所述归一化灰度矩阵特征,划分出卷积神经网络模型的训练集;
根据所述训练集以及归一化灰度矩阵特征,确定卷积神经网络模型的卷积核大小;
调节所述卷积核大小,建立所述多尺度卷积神经网络模型。
进一步的,所述基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击,包括:
根据所述多尺度卷积神经网络模型,检测网络流量的灰度矩阵特征分布;
基于检测到的所述灰度矩阵特征分布,判断所述网络流量是否发生DDoS攻击。
第二方面,提供一种基于多尺度卷积神经网络的DDoS攻击检测装置,所述装置包括:
定义模块,用于获取网络流量,定义所述网络流量的特征提取规则;
提取模块,用于通过所述特征提取规则,提取所述网络流量的灰度矩阵特征;
新建模块,用于根据所述灰度矩阵特征,建立多尺度卷积神经网络模型;
检测模块,用于基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击。
进一步的,所述定义模块还用于:
定义所述网络流量的IP数据包;
对所述IP数据包,进行进制转换,得到二进制形式的网络流;
在单位时间内,对所述网络流进行样本采样,所述样本用矩阵表示;
对所述用矩阵表示的样本进行分析,得到所述网络流量的特征。
进一步的,所述提取模块还用于:
通过所述特征提取规则,将提取到的所述网络流量的特征进行灰度化编码处理,得到所述网络流量的灰度矩阵特征。
进一步的,所述新建模块还用于:
对所述灰度矩阵特征,进行矩阵归一化处理,得到归一化灰度矩阵特征;
基于所述归一化灰度矩阵特征,划分出卷积神经网络模型的训练集;
根据所述训练集以及归一化灰度矩阵特征,确定卷积神经网络模型的卷积核大小;
调节所述卷积核大小,建立所述多尺度卷积神经网络模型。
进一步的,所述检测模块还用于:
根据所述多尺度卷积神经网络模型,检测网络流量的灰度矩阵特征分布;
基于检测到的所述灰度矩阵特征分布,判断所述网络流量是否发生DDoS攻击。
本发明实施例提供的技术方案带来的有益效果是:
在本实施例中,根据IP协议中DDoS攻击流量与正常流量的不同特征,定义了七元组来描述网络流量的特征,并将其转化为二进制的灰度矩阵特征,这样,在灰度矩阵特征的基础上,可以利用不同空间尺度的卷积核来提高特征分割的精度,进而提取网络流量的全局特征和局部特征,抵抗过拟合现象,提高计算效率。这样,可以通过正常网络流量样本和DDoS攻击流量样本对卷积神经网络进行训练,得到最优的网络参数,从而提高了DDoS攻击检测的检测率,降低了DDoS攻击检测的误报率和错误率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的一种基于多尺度卷积神经网络的DDoS攻击检测方法流程图;
图2是本发明实施例提供的一种正常流量下灰度矩阵特征图;
图3是本发明实施例提供的一种DDoS攻击流量下灰度矩阵特征图;
图4是本发明实施例提供的一种多尺度卷积神经网络模型的构建图;
图5是本发明实施例提供的一种灰度矩阵特征和FFV特征检测率对比图;
图6是本发明实施例提供的一种多尺度卷积神经网络模型和卷积神经网络模型的损失函数对比图;
图7是本发明实施例提供的一种多尺度卷积神经网络模型和卷积神经网络模型的检测率对比图;
图8是本发明实施例提供的一种基于多尺度卷积神经网络的DDoS攻击检测装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
请参阅图1,本申请实施方式提供一种基于多尺度卷积神经网络的DDoS攻击检测方法,所述方法包括以下步骤。
步骤101:获取网络流量,定义所述网络流量的特征提取规则。
在实施中,首先可以获取受害主机的网络流量,其中,受害主机可以是任意服务器或者个人计算机。之后,可以根据正常网络流量和受攻击网络流量在特征上的不同,来定义网络流量的提取规则。值得一提的是,正常网络流量和受攻击网络流量在特征上的不同主要表现在IP数据包属性,如数据包的个数、资源访问模式、源IP地址、源端口号、目标端口号、TCP标志位、IP标志位等属性。
具体的,上述网络流量的特征提取规则可以如下:
1)定义所述网络流量的IP数据包。
所获取的网络流量的IP数据包作为样本。定义样本中的每个IP数据包为(ti,si,di,spi,dpi,sizei,tfi,ifi),ti表示数据包的到达时间为i,si和di分别表示源IP地址和目的IP地址,spi和dpi分别表示它的源端口和目的端口,sizei表示它的数据包大小,tfi和tfi分别表示其TCP标志位和IP标志位。
2)对所述IP数据包,进行进制转换,得到二进制形式的网络流;
为了保留IP数据包的原始属性,将si,di,spi,dpi,sizei,tfi,ifi采用位权转换方法进行十六进制转换,任何十六进制数据都可以由位权展开,展开为多项式和的形式。例如,一个数字N可以用以下公式展开:
根据上述公式,分别将十六进制的si,di,spi,dpi,sizei,tfi,ifi转换为二进制数据。
由于网络流量中比特数在转换为二进制后存在不一致的问题,将数字按以下公式去转换,公式如下:
其中,L为阈值,它是(datai)2的长度。(datai)2是datai的二进制表示形式,len[(datai)2]表示datai的二进制形式的位数。由于IP地址格式为32二进制数据,所以设置阈值L为32。由于端口号地址格式为16位二进制数据,所以设置阈值L为16。将数据包中的源IPsi、目的IPdi,转换为二进制数据。源端口spi、目的端口dpi,转换为16位二进制数据。统计上,IP数据包长度小于4096字节,然后设置阈值L为12,将数据包大小sizei转换为12位二进制数据。由于IP标志位和TCP标志位都是特定数据集中的十六进制数据,因此设置阈值L=16,将TCP标志位tfi、IP标志位ifi转换为16位二进制数据。
通过上述转换得到二进制形式的网络流F:
F=<(ti,si,di,spi,dpi,sizei,tfi,ifi)>,i=1,2,…,n
3)在单位时间内,对所述网络流进行样本采样,所述样本用矩阵表示。
在二进制表示的前提下,网络流F按照单位时间Δt采样,Δt=0.01s,0.05s,0.1s,采样样本集为PS矩阵:
PS=∑{ti,si,di,spi,dpi,sizei,tfi,ifi}Δt
4)对所述用矩阵表示的样本进行分析,得到所述网络流量的特征。
在实施中,样本用矩阵表示,可以更准确地反映网络流量时空分布的属性,更全面地反映数据包的空间关系和时间距离关系。DDoS攻击就是利用大量伪造的源IP地址向目标主机发送无用数据包,消耗目标主机资源的过程。当DDoS攻击发生时,单位时间内会产生大量假的源IP地址,源IP地址数会增加,目标IP地址相对单一。在单位时间内,攻击者用不同的源IP向目标主机的多个端口发送无用数据包,目的主机的不同端口的数量会异常增加。
步骤102:通过所述特征提取规则,提取所述网络流量的灰度矩阵特征。
在实施中,首先通过所定义的网络流量的特征提取规则,得到PS矩阵样本集,并对样本集进行分析得到网络流量特征。其次,因为卷积神经网络对输入数据大小的要求是一样的,所以遍历PS矩阵样本集,对网络流量特征进行灰度编码处理,计算公式如下:
其中,ai为网络流量的特征分量。
通过上述处理,正常网络流量下和DDoS攻击网络流量下的灰度矩阵特征,请参阅图2和图3。DDoS攻击网络流量与正常网络流量相比较,其中,灰度矩阵特征分布发生了变化,具体体现在,存在许多“多对一”资源访问模式,当前单位时间内的获得数据包较多,源IP地址和源端口是分散的,目标IP地址是集中的,目标端口是分散的,TCP标志位状态随着攻击开始也发生变化。灰度矩阵特征可以更准确地反映数据包的分布以及数据包之间的空间关系。与统计网络流量特征序列相比,灰度矩阵特征具有更强的时空关系特征表示能力。
步骤103:根据所述灰度矩阵特征,建立多尺度卷积神经网络模型。
在实施中,首先,可以将灰度矩阵特征,进行矩阵归一化处理,得到归一化灰度矩阵特征。具体的,由于在单位时间内采样数目不同,采用灰度映射的方法来映射灰度矩阵特征,公式如下:
其中,宽度为灰度矩阵的原始宽度,权值为灰度图像的原始高度,W和H为阈值。W是宽度的阈值,H是高度的阈值。
其次,通过归一化灰度矩阵特征,将样本分成训练集、验证集、测试集,其中,训练集占总样本的80%,验证集、测试集各占总样本的10%,训练集利用归一化灰度矩阵特征调整卷积神经网络模型的参数,使其达到所要求性能,验证集确定复杂程度的参数,测试集则检验最终选择的卷积神经网络模型的性能如何。
再次,卷积神经网络模型具有良好的高维矩阵处理性能,通过灰度矩阵特征中特征分量的比特位长确定不同的卷积核大小。因为IP地址、端口号为32位二进制数据,数据包长度为12位二进制数据,TCP标志位和IP标志位均为16位二进制数据,所以使用不同尺度的卷积核进行特征提取,具体步骤如下:
1)将灰度矩阵特征放入卷积层,公式如下:
xl j=f(ul j)
其中,ul j为卷积层l的j-th通道的网络激活值,通过卷积求和,然后抵消前一层输出特征图xl-1得到,xl j为卷积层l的j-th通道的输出量。f(·)是一个激活函数,使用sigmoid函数和tanh函数等。Mj表示用于计算的输入特征图子集ul j,kl ij是卷积核矩阵,bl j是对卷积特征图的偏置。对于输出特征图xl j来说,每个输入特征图xl-1 i对应的卷积核矩阵kl ij可能是不同的。*是卷积的符号。
3)将ul j放入池化层,公式如下:
xl j=f(ul j)
ul j=βj jdown(xl-1 j)+bl j
其中,ul j为卷积层l的j-th通道的网络激活值,通过对上一层的输出特征图xl-1进行池化和偏置得到,β是池化层的权重因子,bl j是池化层的偏置量,down(·)是池化层函数。用滑动窗口方法将输入特征图xl-1 j分割成多个不重叠的n×n图像块。对每个图像块中的像素进行求和、平均值或最大化,然后输出图像在两个维度上都按n时间减少。
4)在全连通网络中,将所有二维图像的特征拼接成一维特征映射,然后向全连通的网络直接输入,通过加权输入和激活函数的响应,得到全连通层l的输出,公式如下:
xl=f(ul)
ul=wlxl-1+bl
其中,ul为全连接层l的网络激活值,通过对上一层的输出特征图xl-1进行加权和偏置得到。wl为全连通网络的权重系数,bl为全连通层l的偏置量。
最后,实施例中卷积模型包括两个卷积层、两个池化层、两个局部层和一个softmax层。请参阅图4,将3个3*3的卷积核映射成4*4、8*8和16*16的多尺度卷积核,优化卷积核的大小,构建多尺度卷积神经网络模型。优点是源IP、目标IP、源端口号和目标端口号都是32位二进制数据。由于使用4*4,8*8卷积核比原来的大小更适合数据格式。此外,16*16大小的卷积核可以实现数据的降维,使数据有更好的适应形式,提高模型的检测能力。
步骤104:基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击。
在实施中,在多尺度卷积神经网络的模型下,DDoS攻击检测具有更高的检测率、更低的误报率和错误率等优势,为了说明所述优势,使用样本进行试验,样本包含了大约一个小时的DDoS流量攻击,样本的总大小为2GB,攻击时长约为一个小时,造成网络负载从每秒约200kb增长到每秒80mb,迅速上升。把一个小时的攻击流量分割成5分钟的小文件,以PCAP的格式存储。
为了合理的评价提出的攻击检测实验的效率,使用了一些评价指标来充分说明其检测性能,如检测率(DR)、误报率(FR)、错误率(ER),这些评价指标可以均以百分比表示。假设TP是正确标记的正常样本数量,TN是正确标记的攻击样本数量,FN是错误标记的攻击样本数量,FP是错误标记的正常样本数量,那么,可以通过下述公式计算检测率(DR)、误报率(FR)、错误率(ER):
其中,检测率(DR)是指实际攻击被检测到的概率。误报率(FR)是指在正常样本中被判断为具有攻击性的样本所占的比例。错误率(ER)是指被错误判断的概率。
1)单位时间为0.01s进行样本采样时,利用多尺度卷积神经网络模型以及所定义的特征提取规则,提取网络流量的灰度矩阵特征。所提取的灰度矩阵特征与FFV统计特征进行检测率对比。请参阅图5,当采样时间是0.01s,可以看到检测率随着次数的增加,提取的灰度矩阵特征比FFV统计特征收敛速度更快,灰度矩阵特征的检测率高达94%左右,而FFV特征检测率只有85%左右。因此,当单位时间为0.01s进行样本采样时,单位时间的IP数据包数量较少,多尺度卷积神经网络模型可以提取到更多的不明显的特征。
2)单位时间为0.01s进行样本采样时,多尺度卷积神经网络模型和卷积神经网络模型在损失函数和检测率方面的对比。请参阅图6和图7,当采样时间是0.01s,可以看到多尺度卷积神经网络模型的收敛速度要快于卷积神经网络模型的收敛速度。多尺度卷积神经网络模型的损失函数在第三阶段收敛,而卷积神经网络模型的损失函数在第六阶段收敛,因此,多尺度卷积神经网络模型更适合灰度矩阵特征。
3)各个单位时间下的不同特征的评价指标的比较结果如下表1。
表1
由上表1可以看出,在多尺度卷积神经网络模型下,提出的灰度矩阵特征具有更高的检测率、更低的误报率和错误率。由此可以看出,基于统计学的网络流量的特征会因为统计步骤而丢失一些信息,使得提取的特征不能完全反映网络流量的特征。而灰度矩阵特征由于对原始数据进行二进制预处理,将二进制数据以高维矩阵的形式排列,更明显地表示了网络流量的特征,更好地反映了数据包的属性分布。
4)多尺度卷积神经网络模型和卷积神经网络模型的比较结果入下表2。
表2
由上表2可以看出,多尺度卷积神经网络模型的检测率高于其他DDoS攻击检测方法,达到94.87%。多尺度卷积神经网络模型具有较好的检测性。与卷积神经网络模型相比,多尺度卷积神经网络模型检测DDoS攻击的方法具有较低的误报率和总误报率。因此,卷积神经网络模型在提取多维矩阵特征方面具有较好的性能。通过对卷积神经网络模型的参数优化,建立了一个多尺度卷积神经网络模型,所建立的模型对实施例中提出的灰度矩阵特征具有较好的适应性。
在本实施例中,针对大数据环境下DDoS攻击检测方法存在的误报率和漏报率问题,提出了一种基于多尺度卷积神经网络的DDoS攻击检测方法。根据IP协议中DDoS攻击流量与正常流量的不同特征,定义了七元组来描述网络流量的特征,并将其转化为二进制的灰度矩阵特征,这样,在灰度矩阵特征的基础上,可以利用不同空间尺度的卷积核来提高特征分割的精度,进而提取网络流量的全局特征和局部特征,抵抗过拟合现象,提高计算效率。这样,可以通过正常网络流量样本和DDoS攻击流量样本对卷积神经网络进行训练,得到最优的网络参数,从而提高了DDoS攻击检测的检测率,降低了DDoS攻击检测的误报率和错误率。
基于相同的技术构思,本发明实施例还提供了一种基于多尺度卷积神经网络的DDoS攻击检测装置,请参阅图8,所述装置包括:
定义模块801,用于获取网络流量,定义所述网络流量的特征提取规则;
提取模块802,用于通过所述特征提取规则,提取所述网络流量的灰度矩阵特征;
新建模块803,用于根据所述灰度矩阵特征,建立多尺度卷积神经网络模型;
检测模块804,用于基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击。
可选的,所述定义模块801还用于:
定义所述网络流量的IP数据包;
对所述IP数据包,进行进制转换,得到二进制形式的网络流;
在单位时间内,对所述网络流进行样本采样,所述样本用矩阵表示;
对所述用矩阵表示的样本进行分析,得到所述网络流量的特征。
可选的,所述提取模块802还用于:
通过所述特征提取规则,将提取到的所述网络流量的特征进行灰度化编码处理,得到所述网络流量的灰度矩阵特征。
可选的,所述新建模块803还用于:
对所述灰度矩阵特征,进行矩阵归一化处理,得到归一化灰度矩阵特征;
基于所述归一化灰度矩阵特征,划分出卷积神经网络模型的训练集;
根据所述训练集以及归一化灰度矩阵特征,确定所述卷积神经网络模型的卷积核大小;
调节所述卷积核大小,建立所述多尺度卷积神经网络模型。
可选的,所述检测模块804还用于:
根据所述多尺度卷积神经网络模型,检测网络流量的灰度矩阵特征分布;
基于检测到的所述灰度矩阵特征分布,判断所述网络流量是否发生DDoS攻击。
在本实施例中,针对大数据环境下DDoS攻击检测方法存在的误报率和漏报率问题,提出了一种基于多尺度卷积神经网络的DDoS攻击检测装置。根据IP协议中DDoS攻击流量与正常流量的不同特征,定义了七元组来描述网络流量的特征,并将其转化为二进制的灰度矩阵特征,这样,在灰度矩阵特征的基础上,可以利用不同空间尺度的卷积核来提高特征分割的精度,进而提取网络流量的全局特征和局部特征,抵抗过拟合现象,提高计算效率。这样,可以通过正常网络流量样本和DDoS攻击流量样本对卷积神经网络进行训练,得到最优的网络参数,从而提高了DDoS攻击检测的检测率,降低了DDoS攻击检测的误报率和错误率
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于多尺度卷积神经网络的DDoS攻击检测方法,其特征在于,所述方法包括:
获取网络流量,定义所述网络流量的特征提取规则;
通过所述特征提取规则,提取所述网络流量的灰度矩阵特征;
根据所述灰度矩阵特征,建立多尺度卷积神经网络模型;
基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击。
2.根据权利要求1所述的方法,其特征在于,所述获取网络流量,定义所述网络流量的特征提取规则,包括:
定义所述网络流量的IP数据包;
对所述IP数据包,进行进制转换,得到二进制形式的网络流;
在单位时间内,对所述网络流进行样本采样,所述样本用矩阵表示;
对所述用矩阵表示的样本进行分析,得到所述网络流量的特征。
3.根据权利要求2所述的方法,其特征在于,所述通过所述特征提取规则,提取所述网络流量的灰度矩阵特征,包括:
通过所述特征提取规则,将提取到的所述网络流量的特征进行灰度化编码处理,得到所述网络流量的灰度矩阵特征。
4.根据权利要求3所述的方法,其特征在于,所述根据所述灰度矩阵特征,建立多尺度卷积神经网络模型,包括:
对所述灰度矩阵特征,进行矩阵归一化处理,得到归一化灰度矩阵特征;
根据所述归一化灰度矩阵特征,划分出卷积神经网络模型的训练集;
根据所述训练集以及归一化灰度矩阵特征,确定所述卷积神经网络模型的卷积核大小;
调节所述卷积核大小,建立所述多尺度卷积神经网络模型。
5.根据权利要求4所述的方法,其特征在于,所述基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击,包括:
根据所述多尺度卷积神经网络模型,检测网络流量的灰度矩阵特征分布;
基于检测到的所述灰度矩阵特征分布,判断所述网络流量是否发生DDoS攻击。
6.一种基于多尺度卷积神经网络的DDoS攻击检测装置,其特征在于,所述装置包括:
定义模块,用于获取网络流量,定义所述网络流量的特征提取规则;
提取模块,用于通过所述特征提取规则,提取所述网络流量的灰度矩阵特征;
新建模块,用于根据所述灰度矩阵特征,建立多尺度卷积神经网络模型;
检测模块,用于基于所述多尺度卷积神经网络模型,检测所述网络流量的DDoS攻击。
7.根据权利要求6所述的装置,其特征在于,所述定义模块还用于:
定义所述网络流量的IP数据包;
对所述IP数据包,进行进制转换,得到二进制形式的网络流;
在单位时间内,对所述网络流进行样本采样,所述样本用矩阵表示;
对所述用矩阵表示的样本进行分析,得到所述网络流量的特征。
8.根据权利要求7所述的装置,其特征在于,所述提取模块还用于:
通过所述特征提取规则,将提取到的所述网络流量的特征进行灰度化编码处理,得到所述网络流量的灰度矩阵特征。
9.根据权利要求8所述的装置,其特征在于,所述新建模块还用于:
对所述灰度矩阵特征,进行矩阵归一化处理,得到归一化灰度矩阵特征;
根据所述归一化灰度矩阵特征,划分出卷积神经网络模型的训练集;
根据所述训练集以及归一化灰度矩阵特征,确定卷积神经网络模型的卷积核大小;
调节所述卷积核大小,建立所述多尺度卷积神经网络模型。
10.根据权利要求9所述的装置,其特征在于,所述检测模块还用于:
根据所述多尺度卷积神经网络模型,检测网络流量的灰度矩阵特征分布;
基于检测到的所述灰度矩阵特征分布,判断所述网络流量是否发生DDoS攻击。
CN201910647498.3A 2019-07-17 2019-07-17 基于多尺度卷积神经网络的DDoS攻击检测方法及装置 Active CN110351291B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910647498.3A CN110351291B (zh) 2019-07-17 2019-07-17 基于多尺度卷积神经网络的DDoS攻击检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910647498.3A CN110351291B (zh) 2019-07-17 2019-07-17 基于多尺度卷积神经网络的DDoS攻击检测方法及装置

Publications (2)

Publication Number Publication Date
CN110351291A true CN110351291A (zh) 2019-10-18
CN110351291B CN110351291B (zh) 2021-07-13

Family

ID=68175595

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910647498.3A Active CN110351291B (zh) 2019-07-17 2019-07-17 基于多尺度卷积神经网络的DDoS攻击检测方法及装置

Country Status (1)

Country Link
CN (1) CN110351291B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110839042A (zh) * 2019-11-22 2020-02-25 上海交通大学 一种基于流量的自反馈恶意软件监测系统和方法
CN110968272A (zh) * 2019-12-16 2020-04-07 华中科技大学 基于时间序列预测的海量小文件存储性能优化方法及系统
CN111865996A (zh) * 2020-07-24 2020-10-30 中国工商银行股份有限公司 数据检测方法、装置和电子设备
CN114448661A (zh) * 2021-12-16 2022-05-06 北京邮电大学 慢速拒绝服务攻击检测方法及相关设备
CN116708023A (zh) * 2023-07-28 2023-09-05 中国电信股份有限公司 流量异常检测方法、装置、电子设备和可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110029340A (ko) * 2009-09-15 2011-03-23 주식회사 유섹 분산 서비스 거부 공격의 방어 시스템
CN107070867A (zh) * 2017-01-03 2017-08-18 湖南大学 基于多层局部敏感哈希表的网络流量异常快速检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110029340A (ko) * 2009-09-15 2011-03-23 주식회사 유섹 분산 서비스 거부 공격의 방어 시스템
CN107070867A (zh) * 2017-01-03 2017-08-18 湖南大学 基于多层局部敏感哈希表的网络流量异常快速检测方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ZHONG XUE YANG等: "A DDoS Detection Approach Based on CNN in Cloud Computing", 《APPLIED MECHANICS & MATERIALS》 *
吴凡: "基于卷积神经网络的P2P流量识别研究", 《中国优秀硕士学位论文全文数据库》 *
张彦等: "智能分布式攻击与防御", 《广州大学学报(自然科学版)》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110839042A (zh) * 2019-11-22 2020-02-25 上海交通大学 一种基于流量的自反馈恶意软件监测系统和方法
CN110968272A (zh) * 2019-12-16 2020-04-07 华中科技大学 基于时间序列预测的海量小文件存储性能优化方法及系统
CN111865996A (zh) * 2020-07-24 2020-10-30 中国工商银行股份有限公司 数据检测方法、装置和电子设备
CN114448661A (zh) * 2021-12-16 2022-05-06 北京邮电大学 慢速拒绝服务攻击检测方法及相关设备
CN116708023A (zh) * 2023-07-28 2023-09-05 中国电信股份有限公司 流量异常检测方法、装置、电子设备和可读存储介质
CN116708023B (zh) * 2023-07-28 2023-10-27 中国电信股份有限公司 流量异常检测方法、装置、电子设备和可读存储介质

Also Published As

Publication number Publication date
CN110351291B (zh) 2021-07-13

Similar Documents

Publication Publication Date Title
CN110351291A (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
CN107483488B (zh) 一种恶意Http检测方法及系统
Peng et al. Network intrusion detection based on deep learning
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及系统
CN109309675A (zh) 一种基于卷积神经网络的网络入侵检测方法
CN114666162B (zh) 一种流量检测方法、装置、设备及存储介质
CN111786951B (zh) 流量数据特征提取方法、恶意流量识别方法及网络系统
Ding et al. HYBRID-CNN: An efficient scheme for abnormal flow detection in the SDN-Based Smart Grid
CN115987615A (zh) 一种网络行为安全预警方法及系统
Pattawaro et al. Anomaly-based network intrusion detection system through feature selection and hybrid machine learning technique
CN110445766A (zh) DDoS攻击态势评估方法及装置
Yang et al. Intrusion detection: A model based on the improved vision transformer
CN113660196A (zh) 一种基于深度学习的网络流量入侵检测方法及装置
Chiu et al. Semi-supervised learning for false alarm reduction
Lu et al. An HTTP flooding detection method based on browser behavior
Hong et al. [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities
CN110650157B (zh) 基于集成学习的Fast-flux域名检测方法
CN116962047A (zh) 一种可解释的威胁情报生成方法、系统及装置
CN111447169A (zh) 一种在网关上的实时恶意网页识别方法及系统
CN112073362B (zh) 一种基于流量特征的apt组织流量识别方法
CN112929369A (zh) 一种分布式实时DDoS攻击检测方法
Erokhin et al. The Dataset Features Selection for Detecting and Classifying Network Attacks
Bie et al. Malicious mining behavior detection system of encrypted digital currency based on machine learning
CN113537383B (zh) 基于深度迁移强化学习无线网络异常流量检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant