CN111181897A - 攻击检测模型训练方法、攻击检测方法及系统 - Google Patents
攻击检测模型训练方法、攻击检测方法及系统 Download PDFInfo
- Publication number
- CN111181897A CN111181897A CN201811344645.1A CN201811344645A CN111181897A CN 111181897 A CN111181897 A CN 111181897A CN 201811344645 A CN201811344645 A CN 201811344645A CN 111181897 A CN111181897 A CN 111181897A
- Authority
- CN
- China
- Prior art keywords
- ddos attack
- traffic
- detected
- detection
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种攻击检测模型训练方法、攻击检测方法及系统,包括:获取指定时间段内网络流量的特征信息,指定时间段内的部分网络流量为被检测为DDoS攻击的流量,特征信息包括源IP地址和流量字节数;将指定时间段内的网络流量以设定时长为单位进行划分,得到检测样本集,检测样本集中包括多个检测样本,其中一个检测样本对应一个设定时长内的网络流量,一个检测样本中包括对应设定时长内的网络流量的特征信息;使用检测样本集中的至少部分检测样本,对DDoS攻击检测模型进行训练;其中,DDoS攻击检测模型的输出信息用于指示输入的网络流量是否是DDoS攻击流量。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种分布式拒绝服务(Distributed Denialof Service,DDoS)攻击检测模型训练方法、DDoS攻击检测方法及系统。
背景技术
DDoS攻击指借助于客户或服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动分布式拒绝服务攻击。分布式拒绝服务攻击的方式有多种,最基本的分布式服务攻击为利用目标系统网络服务功能缺陷或者利用合理的服务请求直接占用过多的服务资源,从而使得该目标系统无法提供正常服务。按照传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol,TCP/IP)的层次可将分布式拒绝服务攻击分为基于地址解析协议(Address Resolution Protocol,ARP)的攻击、基于控制报文协议(Internet Control Message Protocol,ICMP)的攻击、基于因特网互联协议(Internet Protocol,IP)的攻击、基于用户数据报协议(User Datagram Protocol,UDP)的攻击、基于传输控制协议(Transmission Control Protocol,TCP)的攻击以及基于应用层的攻击。
通过对分布式拒绝服务攻击进行检查,可有效地避免或减少分布式拒绝服务带来的损失。现有技术中,分布式拒绝服务攻击检测所需的数据来自于网络流量日志,该日志提供看各种网络行为数据,包括七元组信息:源IP地址、目的IP地址、源端口、目的端口、协议号、服务类型以及接口索引。在获取到网络流量日志的基础上,可对流进某个IP的报文报数或者报文流量,按照每一分钟为单位建立一个阈值,当发现某一类包数或者流量异常增大,超过阈值,则可认为受到了分布式拒绝服务攻击。
发明内容
本申请实施例提供一种DDoS攻击检测模型训练方法、DDoS攻击检测方法及系统,用以基于网络流量的特征信息进行训练得到用于检测DDoS攻击的DDoS攻击检测模型。
第一方面,提供一种分布式拒绝服务DDoS攻击检测模型训练方法,包括:获取指定时间段内网络流量的特征信息,所述指定时间段内的部分网络流量为被检测为DDoS攻击的流量,所述特征信息包括源IP地址和流量字节数;将所述指定时间段内的网络流量以设定时长为单位进行划分,得到检测样本集,所述检测样本集中包括多个检测样本,其中一个检测样本对应一个设定时长内的网络流量,一个检测样本中包括对应设定时长内的网络流量的特征信息;使用所述检测样本集中的至少部分检测样本,对DDoS攻击检测模型进行训练;其中,所述DDoS攻击检测模型的输出信息用于指示输入的网络流量是否是DDoS攻击流量。
可选地,所述检测样本集中包括训练样本子集和验证样本子集,对DDoS攻击检测模型进行训练所使用的样本来自于所述训练样本子集;对DDoS攻击检测模型进行训练之后,还包括:使用所述验证样本子集中的至少部分样本,对训练后的DDoS攻击检测模型的准确性进行验证。
可选地,所述DDoS攻击检测模型的输出信息,包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率。
可选地,所述检测样本中还包括标签信息,所述标签信息用于指示该检测样本是否为被检测为DDoS攻击流量。
可选地,所述部分检测样本包括被检测为DDoS攻击流量的检测样本和被检测为正常流量的检测样本。
可选地,所述检测样本中的网络流量的特征信息按网络流量的传输时间顺序排列。
第二方面,提供一种分布式拒绝服务DDoS攻击检测方法,应用于使用如第一方面中任一项所述的DDoS攻击检测模型进行DDoS攻击检测的过程,包括:获取设定时长内的网络流量的特征信息,得到待检测的网络流量,所述特征信息包括源IP地址和流量字节数;使用所述DDoS攻击检测模型,对所述待检测的网络流量进行检测,并根据所述DDoS攻击检测模型的输出信息确定所述待检测的网络流量是否是DDoS攻击流量。
可选地,所述DDoS攻击检测模型的输出信息包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率;所述根据所述DDoS攻击检测模型的输出信息确定所述待检测的网络流量是否是DDoS攻击流量,包括:若被检测为DDoS攻击流量的概率大于被检测为正常流量的概率,则确定所述待检测的网络流量是DDoS攻击流量;若被检测为是DDoS攻击流量的概率小于被检测为正常流量的概率,则确定所述待检测的网络流量是正常流量。
可选地,所述待检测的网络流量按网络流量的传输时间顺序排列。
第三方面,提供一种分布式拒绝服务DDoS攻击检测模型训练系统,包括:获取单元,获取指定时间段内网络流量的特征信息,所述指定时间段内的部分网络流量为被检测为DDoS攻击的流量,所述特征信息包括源IP地址和流量字节数;划分单元,用于将所述指定时间段内的网络流量以设定时长为单位进行划分,得到检测样本集,所述检测样本集中包括多个检测样本,其中一个检测样本对应一个设定时长内的网络流量,一个检测样本中包括对应设定时长内的网络流量的特征信息;训练单元,用于使用所述检测样本集中的至少部分检测样本,对DDoS攻击检测模型进行训练;其中,所述DDoS攻击检测模型的输出信息用于指示输入的网络流量是否是DDoS攻击流量。
可选地,所述检测样本集中包括训练样本子集和验证样本子集,对DDoS攻击检测模型进行训练所使用的样本来自于所述训练样本子集;所述DDoS攻击检测模型训练系统,还包括验证单元,用于在DDoS攻击检测模型进行训练之后,使用所述验证样本子集中的至少部分样本,对训练后的DDoS攻击检测模型的准确性进行验证。
可选地,所述DDoS攻击检测模型的输出信息,包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率。
可选地,所述检测样本中还包括标签信息,所述标签信息用于指示该检测样本是否为被检测为DDoS攻击流量。
可选地,所述部分检测样本包括被检测为DDoS攻击流量的检测样本和被检测为正常流量的检测样本。
可选地,所述检测样本中的网络流量的特征信息按网络流量的传输时间顺序排列。
第四方面,提供一种分布式拒绝服务DDoS攻击检测系统,应用于使用如第二方面中任一项所述的DDoS攻击检测模型训练系统进程DDoS攻击检测的过程,包括:获取单元,用于获取设定时长内的网络流量的特征信息,得到待检测的网络流量,所述特征信息包括源IP地址和流量字节数;检测单元,使用所述DDoS攻击检测模型,对所述待检测的网络流量进行检测,并根据所述DDoS攻击检测模型的输出信息确定所述待检测的网络流量是否是DDoS攻击流量。
可选地,所述DDoS攻击检测模型的输出信息包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率;所述检测单元,具体用于:若被检测为DDoS攻击流量的概率大于被检测为正常流量的概率,则确定所述待检测的网络流量是DDoS攻击流量;若被检测为是DDoS攻击流量的概率小于被检测为正常流量的概率,则确定所述待检测的网络流量是正常流量。
可选地,所述待检测的分布式拒绝服务攻击检测数据中的网络流量的特征信息按网络流量时间顺序排列。
第五方面,提供一种通信装置,包括:处理器、存储器;所述存储器,用于存储计算机指令;所述处理器,用于运行所述计算机指令以实现第一方面中任一项所述的方法。
第六方面,提供一种通信装置,包括:处理器、存储器;所述存储器,用于存储计算机指令;所述处理器,用于运行所述计算机指令以实现第二方面中任一项所述的方法。
第七方面,提供一种计算机可读存储介质,所述存储介质存储有计算机指令,所述计算机指令被处理器执行时实现第一方面中任一项所述的方法。
第八方面,提供一种计算机可读存储介质,所述存储介质存储有计算机指令,所述计算机指令被处理器执行时实现第二方面中任一项所述的方法。
本申请的上述实施例中,获取指定时间段内网络流量的特征信息,并将该网络流量的特征信息以设定时长为单位进行划分,得到用于DDoS攻击检测模型训练的检测样本集;通过对设定时长的DDoS攻击检测样本进行训练可得到能够实时反映流量特征的DDoS攻击检测模型,利用DDoS攻击检测模型进行DDoS攻击检测,可避免或减少DDoS攻击带来的损失。
附图说明
图1为本申请实施例提供的一种DDoS攻击检测模型训练方法的流程图;
图2为本申请实施例提供的DDoS攻击检测样本格式的示意图;
图3为本申请实施例提供的一种DDoS攻击检测方法的流程图;
图4为本申请实施例提供的一种DDoS攻击检测模型训练系统的结构示意图;
图5为本申请实施例提供的一种DDoS攻击检测系统的结构示意图;
图6为本申请实施例提供的通信装置的结构示意图;
图7为本申请实施例提供的通信装置的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
参见图1,为本申请实施例提供的一种DDoS攻击检测模型训练方法的流程图。
如图所示,该流程包括:
S101:获取指定时间段内网络流量的特征信息。
具体地,某段时间发生了DDoS攻击,选取包括发生DDoS攻击在内的时间段为指定时间段,获取DDoS攻击的目的IP地址在该指定时间段内网络流量的特征信息,即获取得到的网络流量包括DDoS攻击的流量和正常的流量,比如前一周的星期三上午10点至晚上10点发生了多次DDoS攻击,可选取该天中的上午8点至晚上12点为指定时间段。
可选地,网络流量的特征信息包括源IP地址和流量字节数,该特征信息可从网络流量日志所记录的网络流量的七元组信息中获取得到。
S102:将指定时间段内的网络流量以设定时长为单位进行划分,得到检测样本集。
其中,检测样本集中包括多个检测样本,其中一个检测样本对应一个设定时长内的网络流量,一个检测样本中包括对应设定时长内的网络流量的特征信息。
可选地,检测样本中的网络流量的特征信息按网络流量的传输时间顺序排列。
可选地,检测样本中还包括标签信息,该标签信息用于指示该检测样本是否为被检测为DDoS攻击流量。
S103:使用检测样本集中的至少部分检测样本,对DDoS攻击检测模型进行训练;其中,所述DDoS攻击检测模型的输出信息用于指示输入的网络流量是否是DDoS攻击流量。
可选地,检测样本集中包括训练样本子集和验证样本子集,对DDoS攻击检测模型进行训练所使用的样本来自于所述训练样本子集。
具体地,将S102中获取得到的检测样本集中的训练样本子集输入到长短时记忆网络(Long Short Term Memory Network,LSTM)算法模型中,通过对LSTM模型参数的调整,多次训练得到DDoS攻击检测模型;其中,训练样本子集包括被检测为DDoS攻击的流量和正常的流量。
正常情况下在该设定时长内的时序流量具有多个固有特征,比如持续出现流量波峰、波谷,且有一定的振荡频率;流量的密集区间和稀疏区间基本稳定;流量总量落在某个期望内;源IP地址的数量也在某个波动范围内等。发生DDoS攻击时,这些网络流量的固有特征将会被打破,故可利用长短时记忆网络记忆正常情况下和异常情况下的流量特征,得到用于DDoS攻击检测的DDoS攻击检测模型。
可选地,在S103之后,可使用检测样本集中的验证样本子集中的至少部分样本输入到S103得到的DDoS攻击检测模型中,用于对训练后的DDoS攻击检测模型的准确性进行验证。其中,验证样本子集中的至少部分样本中包括被检测为DDoS攻击的流量和正常的流量。
进一步地,若验证得到的准确性不高,则可通过增加训练次数,或调整LSTM模型参数等方式对训练样本子集继续训练,用以达到较高的准确性。
需要说明的是,LSTM原理、结构以及对LSTM的参数调整皆为现有技术,本申请对此不作限定。
本申请的上述实施例中,获取指定时间段内网络流量的特征信息,并将该网络流量的特征信息以设定时长为单位进行划分,得到用于DDoS攻击检测模型训练的检测样本集;通过对设定时长的DDoS攻击检测样本进行训练可得到能够实时反映流量特征的DDoS攻击检测模型,利用DDoS攻击检测模型进行DDoS攻击检测,可避免或减少DDoS攻击带来的损失。
下面以指定时间段为早上7点20分到晚上12点整,即指定时间段为1000分钟,设定时长为20秒,即检测样本集包括3000个样本为例,对图1所示的流程进行详细描述。
将从网络流量的七元组信息中获取得到的源IP地址和流量字节数以20秒为单位进行划分,每20秒中的源IP地址和流量字节数按流量传输时间排列组成20行2列的特征信息矩阵,每一行包括源IP地址和流量字节数,一行对应一秒,其中,没有数据的行和列补零。如图2所示,为本申请实施例提供的DDoS攻击检测样本格式的示意图。如图所示,DDoS攻击检测样本中还包括20行1列的标签矩阵,用于表示是否被DDoS攻击,比如标签矩阵中的0表示正常流量,1表示异常流量。
可选地,DDoS攻击检测样本还可以包括20行1列的掩模矩阵,用于表示样本是否已输入到LSTM算法模型,比如0表示样本未输入结束,1表示样本已输入。
将1000分钟的网络流量的特征信息按照20秒为单位分组后得到3000个如图2所示的检测样本,其中包括1500个正常流量的样本和1500异常流量(检测为被DDoS攻击的流量)的样本。为了验证DDoS攻击检测模型的准确性,按照8:2的比例对3000个样本进行划分,得到2400个训练样本子集(包含1200个正常流量的样本和1200个异常流量的样本),600个验证样本子集(包含300个正常流量的样本和300个异常流量的样本)。
设置LSTM模型参数,将上述训练样本子集输入到LSTM模型中进行训练。比如输入层为4个神经元;隐含层为1层,包括600个神经元;输出层为2个神经元;训练次数为10次等。输出层的2个神经元分别对应分类结果为“0”和“1”的概率,“0”和“1”分别对应图2中的标签矩阵中定义的含义,即“0”的概率表示检测为正常流量的概率,“1”的概率表示检测为异常流量的概率。
将600个验证样本子集输入到上述训练好的DDoS攻击检测模型中,得到20行2列的检测结果矩阵,比较最后一行代表正常流量的概率和异常流量的概率。若正常流量的概率大于异常流量的概率,则该样本为正常流量;若正常流量的概率小于异常流量的概率,则该样本为异常流量,即DDoS攻击的流量。将验证结果与验证样本子集的标签矩阵进行对比,可得到上述DDoS攻击检测模型的准确性。
进一步地,若得到的准确率不高,可通过增加训练次数,或调整LSTM模型参数等方式对DDoS攻击检测训练样本继续训练,用以达到较高的准确率。
在实际运用中,针对不同类型的DDoS攻击,比如,基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击以及基于应用层的攻击等,可按照S101~S103的方法训练得到针对不同类型DDoS攻击的多个DDoS攻击检测模型。并将这多个DDoS攻击检测模型存入分布式文件系统(Hadoop Distributed File System,HDFS)用以实时地进行DDoS攻击检测。
进一步地,可定时执行上述S101~S103的步骤,用以更新多个DDoS攻击检测模型中的参数,提高DDoS攻击检测模型对DDoS攻击检测的准确性。
基于相同的技术构思,本申请实施例还提供一种DDoS攻击检测方法,该方法基于前述实施例中训练得到的DDoS攻击检测模型进行DDoS攻击检测。
如图3所示,为本申请实施例提供的一种DDoS攻击检测方法的流程图。
如图所示,该流程包括:
S301:获取设定时长内的网络流量的特征信息,得到待检测的网络流量。
其中,待检测的网络流量按网络流量的传输时间顺序排列。
可选地,待检测的网络流量的特征信息包括源IP地址和流量字节数。
S302:使用所述DDoS攻击检测模型,对所述待检测的网络流量进行检测,并根据所述DDoS攻击检测模型的输出信息确定所述待检测的网络流量是否是DDoS攻击流量。
其中,DDoS攻击检测模型的输出信息包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率;比较被检测为DDoS攻击流量的概率和被检测为正常流量的概率,概率值大的一方为验证结果。
以上述实施例训练得到DDoS攻击检测模型为例,实时获取网络流量日志记录的网络流量的特征信息,以20秒为单位,按照如图2所示的样本格式进行组合,得到实时网络下的待检测流量,将该待检测流量输入到DDoS攻击检测模型中,得到该实时网络流量被检测为DDoS攻击流量的概率以及被检测为正常流量的概率,通过比较被检测为DDoS攻击流量的概率和被检测为正常流量的概率,即可确定该待检测流量是否是DDoS攻击的流量。
基于相同的技术构思,本申请实施例还提供一种DDoS攻击检测模型训练系统,该系统可实现前述实施例中图1所示的DDoS攻击检测模型的训练。
如图4所示,为本申请实施例提供的一种DDoS攻击检测模型训练系统的结构示意图。该系统包括:获取单元401,划分单元402、训练单元403以及验证单元404。
获取单元401,获取指定时间段内网络流量的特征信息,所述指定时间段内的部分网络流量为被检测为DDoS攻击的流量,所述特征信息包括源IP地址和流量字节数。
划分单元402,用于将所述指定时间段内的网络流量以设定时长为单位进行划分,得到检测样本集,所述检测样本集中包括多个检测样本,其中一个检测样本对应一个设定时长内的网络流量,一个检测样本中包括对应设定时长内的网络流量的特征信息。
训练单元403,用于使用所述检测样本集中的至少部分检测样本,对DDoS攻击检测模型进行训练;其中,所述DDoS攻击检测模型的输出信息用于指示输入的网络流量是否是DDoS攻击流量。
可选地,所述检测样本集中包括训练样本子集和验证样本子集,对DDoS攻击检测模型进行训练所使用的样本来自于所述训练样本子集;所述DDoS攻击检测模型训练系统,还包括验证单元404,具体用于在DDoS攻击检测模型进行训练之后,若被检测为DDoS攻击流量的概率大于被检测为正常流量的概率,则确定所述待检测的网络流量是DDoS攻击流量;若被检测为是DDoS攻击流量的概率小于被检测为正常流量的概率,则确定所述待检测的网络流量是正常流量。
可选地,所述DDoS攻击检测模型的输出信息,包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率。
可选地,所述检测样本中还包括标签信息,所述标签信息用于指示该检测样本是否为被检测为DDoS攻击流量。
可选地,所述部分检测样本包括被检测为DDoS攻击流量的检测样本和被检测为正常流量的检测样本。
可选地,所述检测样本中的网络流量的特征信息按网络流量的传输时间顺序排列。
基于相同的技术构思,本申请实施例还提供一种DDoS攻击检测系统,该系统可实现前述实施例中图3所示的DDoS攻击的检测。
如图5所示,为本申请实施例提供的一种DDoS攻击检测系统的结构示意图。该系统包括:获取单元501、检测单元502。
获取单元501,用于获取设定时长内的网络流量的特征信息,得到待检测的网络流量,所述特征信息包括源IP地址和流量字节数。
检测单元502,使用所述DDoS攻击检测模型,对所述待检测的网络流量进行检测,并根据所述DDoS攻击检测模型的输出信息确定所述待检测的网络流量是否是DDoS攻击流量。
可选地,所述DDoS攻击检测模型的输出信息包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率;所述检测单元502,具体用于比较被检测为DDoS攻击流量的概率和被检测为正常流量的概率,概率值大的一方为检测结果。
可选地,所述待检测的分布式拒绝服务攻击检测数据中的网络流量的特征信息按网络流量时间顺序排列。
基于相同的技术构思,本申请实施例还提供一种通信装置,该通信装置可实现前述实施例中图4所执行的流程。
图6示出了本申请实施例提供的通信装置600的结构示意图,即示出了分布式拒绝服务攻击检测模型训练系统400的另一结构示意图。参阅图6所示,该通信装置600包括处理器601、存储器602。其中,处理器601也可以为控制器。所述处理器601被配置为支持终端执行前述流程涉及的功能。存储器602用于与处理器601耦合,其保存终端必要的程序指令和数据。其中,处理器601、和存储器602相连,该存储器602用于存储指令,该处理器601用于执行该存储器602存储的指令,以完成上述方法中客户端设备执行相应功能的步骤。
本申请实施例中,分布式拒绝服务攻击检测模型训练系统400和通信装置600所涉及的与本公开实施例提供的技术方案相关的概念,解释和详细说明及其它步骤请参见前述方法或其它实施例中关于这些内容的描述,此处不做赘述。
需要说明的是,本公开实施例上述涉及的处理器可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。其中,所述存储器可以集成在所述处理器中,也可以与所述处理器分开设置。
基于相同的技术构思,本申请实施例还提供了一种通信装置,该通信装置可实现前述实施例中图5所执行的流程。
图7示出了本申请实施例提供的通信装置700的结构示意图,即示出了分布式拒绝服务攻击检测系统800的另一结构示意图。参阅图7所示,该通信装置700包括处理器701、存储器702,可选地,还可包括通信接口703。其中,处理器701也可以为控制器。所述处理器701被配置为支持终端执行前述流程涉及的功能。存储器702用于与处理器701耦合,其保存终端必要的程序指令和数据。其中,处理器701、和存储器702相连,该存储器702用于存储指令,该处理器701用于执行该存储器702存储的指令,以完成上述方法中客户端设备执行相应功能的步骤。
本申请实施例中,分布式拒绝服务攻击检测系统500和通信装置700所涉及的与本公开实施例提供的技术方案相关的概念,解释和详细说明及其它步骤请参见前述方法或其它实施例中关于这些内容的描述,此处不做赘述。
需要说明的是,本公开实施例上述涉及的处理器可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。其中,所述存储器可以集成在所述处理器中,也可以与所述处理器分开设置。
基于相同的技术构思,本申请实施例还提供了一种计算机可读存储介质。计算机可读存储介质存储有计算机可执行指令,计算机可执行指令用于使计算机执行图1中所执行的流程。
基于相同的技术构思,本申请实施例还提供了一种计算机可读存储介质。计算机可读存储介质存储有计算机可执行指令,计算机可执行指令用于使计算机执行图3中所执行的流程。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (22)
1.一种分布式拒绝服务DDoS攻击检测模型训练方法,其特征在于,包括:
获取指定时间段内网络流量的特征信息,所述指定时间段内的部分网络流量为被检测为DDoS攻击的流量,所述特征信息包括源IP地址和流量字节数;
将所述指定时间段内的网络流量以设定时长为单位进行划分,得到检测样本集,所述检测样本集中包括多个检测样本,其中一个检测样本对应一个设定时长内的网络流量,一个检测样本中包括对应设定时长内的网络流量的特征信息;
使用所述检测样本集中的至少部分检测样本,对DDoS攻击检测模型进行训练;其中,所述DDoS攻击检测模型的输出信息用于指示输入的网络流量是否是DDoS攻击流量。
2.如权利要求1所述的方法,其特征在于,所述检测样本集中包括训练样本子集和验证样本子集,对DDoS攻击检测模型进行训练所使用的样本来自于所述训练样本子集;
对DDoS攻击检测模型进行训练之后,还包括:
使用所述验证样本子集中的至少部分样本,对训练后的DDoS攻击检测模型的准确性进行验证。
3.如权利要求1所述的方法,其特征在于,所述DDoS攻击检测模型的输出信息,包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率。
4.如权利要求1所述的方法,其特征在于,所述检测样本中还包括标签信息,所述标签信息用于指示该检测样本是否为被检测为DDoS攻击流量。
5.如权利要求1所述的方法,其特征在于,所述部分检测样本包括被检测为DDoS攻击流量的检测样本和被检测为正常流量的检测样本。
6.如权利要求1~5中任一项所述的方法,其特征在于,所述检测样本中的网络流量的特征信息按网络流量的传输时间顺序排列。
7.一种分布式拒绝服务DDoS攻击检测方法,应用于使用如权利要求1至6中任一项所述的DDoS攻击检测模型进行DDoS攻击检测的过程,其特征在于,包括:
获取设定时长内的网络流量的特征信息,得到待检测的网络流量,所述特征信息包括源IP地址和流量字节数;
使用所述DDoS攻击检测模型,对所述待检测的网络流量进行检测,并根据所述DDoS攻击检测模型的输出信息确定所述待检测的网络流量是否是DDoS攻击流量。
8.如权利要求7所述的方法,其特征在于,所述DDoS攻击检测模型的输出信息包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率;
所述根据所述DDoS攻击检测模型的输出信息确定所述待检测的网络流量是否是DDoS攻击流量,包括:
若被检测为DDoS攻击流量的概率大于被检测为正常流量的概率,则确定所述待检测的网络流量是DDoS攻击流量;
若被检测为是DDoS攻击流量的概率小于被检测为正常流量的概率,则确定所述待检测的网络流量是正常流量。
9.如权利要求7、8中任一项所述的方法,其特征在于,所述待检测的网络流量按网络流量的传输时间顺序排列。
10.一种分布式拒绝服务DDoS攻击检测模型训练系统,其特征在于,包括:
获取单元,获取指定时间段内网络流量的特征信息,所述指定时间段内的部分网络流量为被检测为DDoS攻击的流量,所述特征信息包括源IP地址和流量字节数;
划分单元,用于将所述指定时间段内的网络流量以设定时长为单位进行划分,得到检测样本集,所述检测样本集中包括多个检测样本,其中一个检测样本对应一个设定时长内的网络流量,一个检测样本中包括对应设定时长内的网络流量的特征信息;
训练单元,用于使用所述检测样本集中的至少部分检测样本,对DDoS攻击检测模型进行训练;其中,所述DDoS攻击检测模型的输出信息用于指示输入的网络流量是否是DDoS攻击流量。
11.如权利要求10所述的系统,其特征在于,所述检测样本集中包括训练样本子集和验证样本子集,对DDoS攻击检测模型进行训练所使用的样本来自于所述训练样本子集;
所述DDoS攻击检测模型训练系统,还包括验证单元,用于在DDoS攻击检测模型进行训练之后,使用所述验证样本子集中的至少部分样本,对训练后的DDoS攻击检测模型的准确性进行验证。
12.如权利要求10所述的系统,其特征在于,所述DDoS攻击检测模型的输出信息,包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率。
13.如权利要求10所述的系统,其特征在于,所述检测样本中还包括标签信息,所述标签信息用于指示该检测样本是否为被检测为DDoS攻击流量。
14.如权利要求10所述的系统,其特征在于,所述部分检测样本包括被检测为DDoS攻击流量的检测样本和被检测为正常流量的检测样本。
15.如权利要求10~14中任一项所述的系统,其特征在于,所述检测样本中的网络流量的特征信息按网络流量的传输时间顺序排列。
16.一种分布式拒绝服务DDoS攻击检测系统,应用于使用如权利要求10至14中任一项所述的DDoS攻击检测模型训练系统进程DDoS攻击检测的过程,其特征在于,包括:
获取单元,用于获取设定时长内的网络流量的特征信息,得到待检测的网络流量,所述特征信息包括源IP地址和流量字节数;
检测单元,使用所述DDoS攻击检测模型,对所述待检测的网络流量进行检测,并根据所述DDoS攻击检测模型的输出信息确定所述待检测的网络流量是否是DDoS攻击流量。
17.如权利要求16所述的系统,其特征在于,所述DDoS攻击检测模型的输出信息包括:被检测为DDoS攻击流量的概率以及被检测为正常流量的概率;
所述检测单元,具体用于:
若被检测为DDoS攻击流量的概率大于被检测为正常流量的概率,则确定所述待检测的网络流量是DDoS攻击流量;
若被检测为是DDoS攻击流量的概率小于被检测为正常流量的概率,则确定所述待检测的网络流量是正常流量。
18.如权利要求16、17中任一项所述的系统,其特征在于,所述待检测的分布式拒绝服务攻击检测数据中的网络流量的特征信息按网络流量时间顺序排列。
19.一种通信装置,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机指令;
所述处理器,用于运行所述计算机指令以实现如权利要求1至6中任一项所述的方法。
20.一种通信装置,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机指令;
所述处理器,用于运行所述计算机指令以实现如权利要求7至9中任一项所述的方法。
21.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令被处理器执行时实现权利要求1至6中任一项所述的方法。
22.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令被处理器执行时实现权利要求7至9中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811344645.1A CN111181897A (zh) | 2018-11-13 | 2018-11-13 | 攻击检测模型训练方法、攻击检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811344645.1A CN111181897A (zh) | 2018-11-13 | 2018-11-13 | 攻击检测模型训练方法、攻击检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111181897A true CN111181897A (zh) | 2020-05-19 |
Family
ID=70649995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811344645.1A Pending CN111181897A (zh) | 2018-11-13 | 2018-11-13 | 攻击检测模型训练方法、攻击检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111181897A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738808A (zh) * | 2020-12-30 | 2021-04-30 | 北京邮电大学 | 无线网络中DDoS攻击检测方法、云服务器及移动终端 |
| CN113242240A (zh) * | 2021-05-10 | 2021-08-10 | 北京交通大学 | 一种可检测多种类应用层DDoS攻击的方法和装置 |
| CN113810386A (zh) * | 2021-08-27 | 2021-12-17 | 北京航空航天大学杭州创新研究院 | 一种从大数据中提取用于网络安全的训练数据方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
| US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
| US20180165597A1 (en) * | 2016-12-08 | 2018-06-14 | Resurgo, Llc | Machine Learning Model Evaluation in Cyber Defense |
| CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
| CN108322463A (zh) * | 2018-01-31 | 2018-07-24 | 平安科技(深圳)有限公司 | DDoS攻击检测方法、装置、计算机设备和存储介质 |
-
2018
- 2018-11-13 CN CN201811344645.1A patent/CN111181897A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
| US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
| US20180165597A1 (en) * | 2016-12-08 | 2018-06-14 | Resurgo, Llc | Machine Learning Model Evaluation in Cyber Defense |
| CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
| CN108322463A (zh) * | 2018-01-31 | 2018-07-24 | 平安科技(深圳)有限公司 | DDoS攻击检测方法、装置、计算机设备和存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738808A (zh) * | 2020-12-30 | 2021-04-30 | 北京邮电大学 | 无线网络中DDoS攻击检测方法、云服务器及移动终端 |
| CN112738808B (zh) * | 2020-12-30 | 2022-05-20 | 北京邮电大学 | 无线网络中DDoS攻击检测方法、云服务器及移动终端 |
| CN113242240A (zh) * | 2021-05-10 | 2021-08-10 | 北京交通大学 | 一种可检测多种类应用层DDoS攻击的方法和装置 |
| CN113242240B (zh) * | 2021-05-10 | 2022-07-01 | 北京交通大学 | 一种可检测多种类应用层DDoS攻击的方法和装置 |
| CN113810386A (zh) * | 2021-08-27 | 2021-12-17 | 北京航空航天大学杭州创新研究院 | 一种从大数据中提取用于网络安全的训练数据方法和装置 |
| CN113810386B (zh) * | 2021-08-27 | 2023-09-26 | 北京航空航天大学杭州创新研究院 | 一种从大数据中提取用于网络安全的训练数据方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
| CN111181897A (zh) | 攻击检测模型训练方法、攻击检测方法及系统 | |
| CN111901327A (zh) | 云网络漏洞挖掘方法、装置、电子设备及介质 | |
| CN107547572B (zh) | 一种基于伪随机数的can总线通信方法 | |
| CN112907369B (zh) | 基于区块链的数据共识方法及装置、电子设备、存储介质 | |
| WO2019199769A1 (en) | Cyber chaff using spatial voting | |
| US9661004B1 (en) | Systems and methods for using reputation information to evaluate the trustworthiness of files obtained via torrent transactions | |
| CN113221163B (zh) | 一种训练模型的方法及系统 | |
| CN109309591B (zh) | 流量数据统计方法、电子设备及存储介质 | |
| CN107346272A (zh) | 动态异构冗余系统的确定方法和装置 | |
| CN102209006B (zh) | 规则测试设备及方法 | |
| US20180181871A1 (en) | Apparatus and method for detecting abnormal event using statistics | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| CN113645233B (zh) | 流量数据的风控智能决策方法、装置、电子设备和介质 | |
| US11557005B2 (en) | Addressing propagation of inaccurate information in a social networking environment | |
| CN114185743A (zh) | 一种数据处理方法、装置、计算机设备和存储介质 | |
| US11777785B2 (en) | Alert throttling | |
| CN113810336A (zh) | 一种数据报文加密判定方法、装置及计算机设备 | |
| CN112995360B (zh) | 一种域名检测方法、装置、dga服务设备及存储介质 | |
| US20100138917A1 (en) | Refresh mechanism for rate-based statistics | |
| CN113806204B (zh) | 一种报文字段相关性的评估方法、装置、系统及存储介质 | |
| CN110995546B (zh) | 报文采样方法及装置 | |
| TW201928747A (zh) | 伺服器及其監控方法 | |
| CN109617893B (zh) | 一种僵尸网络DDoS攻击的防护方法、装置及存储介质 | |
| CN108021407B (zh) | 基于网络设备的业务处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200519 |