CN111181930A

CN111181930A - DDoS攻击检测的方法、装置、计算机设备及存储介质

Info

Publication number: CN111181930A
Application number: CN201911298900.8A
Authority: CN
Inventors: 王晨光; 冯剑; 李姣姣
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Hangzhou Information Technology Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Hangzhou Information Technology Co Ltd
Priority date: 2019-12-17
Filing date: 2019-12-17
Publication date: 2020-05-19

Abstract

本发明实施例公开了一种DDoS攻击检测的方法、装置、计算机设备及存储介质，包括下述步骤：获取目标设备的物联网流量；根据预设的DDoS攻击特性对物联网流量进行特征提取得到联合熵特征；使用联合熵特征训练极限学习机算法，得到DDoS攻击检测算法；采用DDoS攻击检测算法进行DDoS攻击检测。本发明实施例通过提取物联网流量中的联合熵特征，将该联合熵特征对极限学习机算法进行训练得到DDoS攻击检测算法，即可使用该DDoS攻击检测算法进行DDoS攻击检测，通过结合DDoS攻击的特性，提取适用于物联网环境的流量特征，并采用极限学习机算法进行训练和流量检测分类，检测分类准确率高且训练时长短，能准确且及时地检测出物联网环境下的DDoS攻击。

Description

DDoS攻击检测的方法、装置、计算机设备及存储介质

技术领域

本发明实施例涉及网络安全技术领域，尤其是一种DDoS攻击检测的方法、装置、计算机设备及存储介质。

背景技术

随着物联网的发展，全球物联网设备数量高速增长，“万物互联”成为网络未来发展的重要方向，近些年发生在物联网下的安全事件呈逐年递增的趋势，全球的物联网安全支出在不断地增长。物联网设备欠缺安全性设计以及自身存在的漏洞，比如在物联网环境中使用单一的协议、设备简单且众多、带宽相对固定，使得物联网设备可能被操控成为发起DDoS攻击的傀儡机。因此，物联网设备一旦被黑客利用，将会导致用户数据被泄露，不仅会影响到人民正常生活，严重甚至会影响国家的安全。

目前DDoS攻击识别的方法主要包括：基于时间序列的DDoS攻击检测方法、基于数据挖掘的DDoS攻击检测方法、基于机器学习的DDoS攻击检测方法。

但是，以上DDoS攻击检测的方法都是针对于因特网环境下的DDoS攻击检测方法，不适用于物联网环境；另外，以上DDoS攻击检测的方法还存在检测时延高以及检测准确率不高的缺点。

发明内容

本发明实施例提供一种低时延、高准确率且适用于物联网环境的DDoS攻击检测的方法、装置、计算机设备及存储介质。

为解决上述技术问题，本发明创造的实施例采用的一个技术方案是：提供一种DDoS攻击检测的方法，包括下述步骤：

获取目标设备的物联网流量；

根据预设的DDoS攻击特性对所述物联网流量进行特征提取得到联合熵特征；

使用所述联合熵特征训练极限学习机算法，得到DDoS攻击检测算法；

采用所述DDoS攻击检测算法进行DDoS攻击检测。

可选地，所述使用所述联合熵特征训练极限学习机算法，得到DDoS攻击检测算法的步骤，包括如下述步骤：

将所述联合熵特征进行归一化处理后生成特征训练集；

使用所述特征训练集训练所述极限学习机算法，得到所述DDoS攻击检测算法。

可选地，所述联合熵特征包括源地址与目的地址联合熵、目的地址和目的端口联合熵、字节与目的地址联合熵以及协议与源地址联合熵中的任意一种。

可选地，训练极限学习机算法的方法，还包括如下述步骤：

根据预设的算法参数数据对所述极限学习机算法进行参数配置；

使用完成参数配置后的极限学习机算法计算所述联合熵特征得到目标配置参数；

根据所述目标配置参数设置所述极限学习机算法的输出权重。

可选地，所述根据预设的算法参数数据对所述极限学习机算法进行参数配置的步骤，包括如下述步骤：

获取预设的目标函数和节点参数；

将所述目标函数作为所述极限学习机算法的激励函数；

根据所述节点参数设置所述极限学习机算法的输入层和输出层之间的隐含层节点数。

可选地，所述根据所述节点参数设置所述极限学习机算法的输入层和输出层之间的隐含层节点数的步骤之后，还包括如下述步骤：

获取随机生成的第一参数值和第二参数值；

根据所述第一参数值和第二参数值分别设置所述极限学习机算法的输入权重和偏置值；

可选地，所述获取目标设备的物联网流量的步骤，包括如下述步骤：

获取所述目标设备的物联网数据接口；

根据预设时间阈值获取所述物联网数据接口传输的所述物联网流量。

为解决上述技术问题，本发明实施例还提供一种DDoS攻击检测的装置，包括：

第一获取模块，用于获取目标设备的物联网流量；

第一处理模块，用于根据预设的DDoS攻击特性对所述物联网流量进行特征提取得到联合熵特征；

第一训练模块，用于使用所述联合熵特征训练极限学习机算法，得到DDoS攻击检测算法；

第一执行模块，用于采用所述DDoS攻击检测算法进行DDoS攻击检测。

可选地，还包括：

第一处理子模块，用于将所述联合熵特征进行归一化处理后生成特征训练集；

第一执行子模块，用于使用所述特征训练集训练所述极限学习机算法，得到所述DDoS攻击检测算法。

可选地，还包括：

参数配置子模块，用于根据预设的算法参数数据对所述极限学习机算法进行参数配置；

第二处理子模块，用于使用完成参数配置后的极限学习机算法计算所述联合熵特征得到目标配置参数；

第二执行子模块，用于根据所述目标配置参数设置所述极限学习机算法的输出权重。

可选地，还包括：

第一获取子模块，用于获取预设的目标函数和节点参数；

第三处理子模块，用于将所述目标函数作为所述极限学习机算法的激励函数；

第三执行子模块，用于根据所述节点参数设置所述极限学习机算法的输入层和输出层之间的隐含层节点数。

可选地，还包括：

第二获取子模块，用于获取随机生成的第一参数值和第二参数值；

第四执行子模块，用于根据所述第一参数值和第二参数值分别设置所述极限学习机算法的输入权重和偏置值。

可选地，还包括：

第三获取子模块，用于获取所述目标设备的物联网数据接口；

第五执行子模块，用于根据预设时间阈值获取所述物联网数据接口传输的所述物联网流量。

为解决上述技术问题，本发明实施例还提供一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行上述DDoS攻击检测的方法的步骤。

为解决上述技术问题，本发明实施例还提供一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行上述DDoS攻击检测的方法的步骤。

本发明实施例的有益效果为：通过获取目标设备的物联网流量，然后根据预设的DDoS攻击特性对该物联网流量进行特征提取得到联合熵特征，将该联合熵特征对极限学习机算法进行训练得到DDoS攻击检测算法，即可使用该DDoS攻击检测算法进行DDoS攻击检测，通过结合DDoS攻击的特性，提取适用于物联网环境的流量特征，并采用极限学习机算法进行训练和流量检测分类，检测分类准确率高且训练时长短，能准确且及时地检测出物联网环境下的DDoS攻击。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例DDoS攻击检测的方法的基本流程示意图；

图2为本发明实施例训练极限学习机算法的流程示意图；

图3为本发明另一个实施例训练极限学习机算法的流程示意图；

图4为本发明实施例对极限学习机算法进行参数配置的流程示意图；

图5为本发明实施例设置输入权重和偏置值的基本流程示意图；

图6为本发明实施例获取物联网流量的基本流程示意图；

图7为本发明实施例DDoS攻击检测的装置的基本结构示意图；

图8为本发明实施例计算机设备基本结构框图；

图9a为本发明一个实施例源地址熵的示意图；

图9b为本发明一个实施例目的地址熵的示意图；

图10为本发明实施例源地址和目的地址的连接熵的示意图；

图11为本发明实施例目的地址和目的端口的连接熵的示意图；

图12为本发明实施例字节与目的地址联合熵的示意图；

图13为本发明实施例协议与源地址联合熵的示意图；

图14为本发明实施例单隐层前反馈神经网络结构的示意图；

图15为本发明实施例隐含层节点数和检测准确率的关系示意图；

图16为本发明实施例隐含层节点数和训练时长的关系示意图；

图17为本发明一个实施例DDoS攻击检测的方法的总体流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

在本发明的说明书和权利要求书及上述附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如101、102等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

具体请参阅图1，图1为本实施例DDoS攻击检测的方法的基本流程示意图。

如图1所示，一种DDoS攻击检测的方法，包括下述步骤：

S1100、获取目标设备的物联网流量；

物联网流量是指目标设备在物联网环境下进行的网络服务产生的数据流量，在一些实施例中，目标设备是与物联网连接的智能电子设备，包括但不限于：智能手机、计算机、平板电脑、车载智能设备等，目标设备在物联网环境下会产生物联网流量，以目标设备为PC(Personal Computer，个人计算机)终端为例，用户通过使用PC终端进入物联网时，系统即可获取该PC终端的物联网流量。

在实施时，网络流量监测可以通过硬件和软件的方式来实现，以硬件方式为例，可以在网络中增加一台HUB，HUB是一种多端口的转发器，通过HUB获取数据包。或者通过硬件探针来实现，硬件探针是一种用来获取网络流量的硬件设备，使用时将其串接在需要捕捉流量的链路中，通过分流链路上的数字信号而获取流量信息。软件的方式包括基于流量镜像协议分析和基于SNMP的流量监测技术，流量镜像(在线TAP)协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪，通过7层协议解码对网络流量进行监测。流量镜像协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪，通过7层协议解码对网络流量进行监测。

S1200、根据预设的DDoS攻击特性对所述物联网流量进行特征提取得到联合熵特征；

DDoS攻击特性是至DDoS攻击流量数据的潜藏特性，正常网络流量随着时间的增长产生的变化较小，与正常网络流量不同，DDoS攻击通过控制大量被控制的傀儡设备同时连接访问，只是瞬间访问量增加几十倍甚至上百倍，造成网站无法处理进而瘫痪。系统在物联网流量中提取符合DDoS攻击特性的联合熵特征。熵是衡量事物混乱程度的一个指标，一个系统越是混乱，则代表这个系统的熵越大，反之则熵越小。

在一些实施例中，设X是一个随机变量，变量X中n个分量的概率集合{P(xi)|i＝1,2……n}，其中0<P(xi)<1，且

熵H被定义为

通常熵H被称为Tasllis熵或者非广延熵。在实施时，物联网流量是基于Netflow协议采集的流量数据，包括源地址、目的地址、源端口、目的端口、协议类型、数据包数、包字节数、TCP FLAG等关键字段。通过提取了符合物联网环境下DDoS攻击的4个联合熵特征，假设每个特征统计的时间间隔为T秒。在一些实施例中，所述联合熵特征包括源地址与目的地址联合熵、目的地址和目的端口联合熵、字节与目的地址联合熵以及协议与源地址联合熵中的任意一种。

将源地址的熵定义为于H(srcIP)，目的地址的熵定义为H(dstIP)，源地址与目的地址联合熵定义为H(srcIP&dstIP)，在Mirai攻击事故中，攻击者控制多台物联网设备并使用伪造源IP地址去攻击目标主机。在DDoS攻击发生时，源IP地址(源地址)相对分散，目的IP地址(目的地址)相对集中。H(srcIP&dstIP)表示在特定时间内源IP地址和目的IP地址的连接熵，此特征可以更好地识别在物联网环境中伪造源IP地址的DDoS攻击。

表示在时间间隔T秒(例如30秒)内源地址向目的地址传输的总数据包个数，P_k(srcIP_i+dstIP_j)表示在T秒内srcIPi和dstIPj之和相同的总数据包数，可表示为：

则H(srcIP&dstIP)是表征在一定的时间内(T秒)所有源地址与目的地址连接频率的熵：

通过模拟了一段从160秒至163秒的物联网环境中的流量，请参照图9a、图9b和图10，图9a是源地址熵的示意图，图9b是目的地址熵的示意图，图10是源地址和目的地址的连接熵的示意图，当攻击发生在160秒到163秒时，H(srcIP&dstIP)的值大于H(srcIP)或H(dstIP)，因此H(srcIP&dstIP)可以更好地表征DDoS攻击发生时的差异。

在另一些实施例中，定义目的地址和目的端口联合熵为H(dstPort&dstIP)，物联网设备使用固定目的端口，通信的目的IP地址既不会太固定也不会太随机。但是，当在物联网环境下发生DDoS攻击时，目标端口将会随机产生，目标IP将会是相对集中的。

正常流量下目的端口熵和目的IP熵都在0.4到0.5之间；但对于DDoS攻击流量，目的端口的熵高于0.8，目的IP的熵低于0.2，目的端口和目的IP连接熵H(dstPort&dstIP)高于0.9，请参阅图11，图11是目的地址和目的端口的连接熵的示意图，目的地址和目的端口联合熵比单个特征的熵更能够明显的区分正常流量和异常DDoS攻击流量。

在另一些可选实施例中，定义字节与目的地址联合熵为H(byte&dstIP)，对于DDoS攻击而言，是主控机操控多台傀儡机对目标主机进行攻击，导致目标主机的拒绝向外界提供服务，当大规模物联网设备被控制发起DDoS攻击时，生成的流量具有很大的相似性，如协议、数据包字节等。如果多台物联网设备被控制为傀儡机，则在一定的时间内，IP和字节数都相同的分布还是相对集中的，请参阅图12，图12是字节与目的地址联合熵的示意图，所以H(byte&dstIP)能准确表征出物联网环境下被受控的傀儡机进行的攻击。

在一些实施例中，定义协议与源地址联合熵为H(protocol&srcIP)，请参阅图13，图13是协议与源地址联合熵的示意图，在实施时，相似的通信协议和伪造的源IP地址是物联网环境下DDoS攻击的显著特点，对于正常请求，源IP和协议是相对固定，但对于DDoS攻击则不同，它会隐藏真实的源IP地址并使用相同的通信协议，因此，H(protocol&srcIP)可以进一步识别物联网环境中的DDoS攻击。

S1300、使用所述联合熵特征训练极限学习机算法，得到DDoS攻击检测算法；

S1400、采用所述DDoS攻击检测算法进行DDoS攻击检测。

系统将提取的联合熵特征当做训练集训练极限学习机算法得到DDoS攻击检测算法，即DDoS攻击检测是训练至收敛的用于对流量进行分类的极限学习机算法，极限学习机(ELM，是英文Extreme learning machine的简写)算法是一种单隐层前反馈神经网络的新算法，具有学习速度快、泛化能力强的特点，不仅适用于回归、拟合问题，也适用于分类的问题。ELM能快速地学习，源于其能够随机的产生输入层与隐含层的连接权重，并且在训练的过程中无需调整权重，就能够得到唯一的最优解。

请参照图14，图14是典型的单隐层前反馈神经网络结构的示意图，如图14所示，单隐层前反馈神经网络由输入层(input layer)、隐含层(hidden layer)和输出层(outputlayer)组成。

假设有N个任意输入样本

其中A_i＝[A_i1,A_i2,…,A_in]^T∈Rⁿ，t_i＝[t_i1,t_i2,…,t_im]^T∈R^m，那么极限学习机的网络模型用数学表达公式表示为(隐层节点为k个)：

其中，输入权重表示为ω_i＝[ω_i1,ω_i2,…,ω_in]^T，输出权重用β＝[β₁,…,β_k]^T表示，b_i是第i个隐层单元的偏置，Y＝[y₁,…,y_n]^T表示训练样本期待输出的结果，g(x)为激励函数。为了保证单隐层神经网络输出的误差最小，即：

则存在β_i，ω_i和b_i，使

使用矩阵可以表示为：

Hβ＝T

其中β为输出权重，T为期望输出，等价于最小损失函数

那么，求解线性系统Hβ＝T的最小范数的最小二乘解

其中

H^十表示隐层输出矩阵H的Moore-Penrose广义逆。

通过极限学习机算法进行DDoS攻击检测，从而区分正常访问流量和DDoS攻击流量，输出DDoS攻击检测的准确率和误报率。

本实施例通过获取目标设备的物联网流量，然后根据预设的DDoS攻击特性对该物联网流量进行特征提取得到联合熵特征，将该联合熵特征对极限学习机算法进行训练得到DDoS攻击检测算法，即可使用该DDoS攻击检测算法进行DDoS攻击检测，通过结合DDoS攻击的特性，提取适用于物联网环境的流量特征，并采用极限学习机算法进行训练和流量检测分类，检测分类准确率高且训练时长短，能准确且及时地检测出物联网环境下的DDoS攻击。

在一些可选实施例中，请参阅图2，图2是本发明一个实施例训练极限学习机算法的基本流程示意图。如图2所示，步骤S1300包括：

S1310、将所述联合熵特征进行归一化处理后生成特征训练集；

系统将获取的物联网流量进行特征提取，提取了能反映DDoS攻击特性的联合熵特征，然后对这些特征进行归一化处理生成特征训练集，并将该特征训练集作为极限学习机算法的输入变量。

S1320、使用所述特征训练集训练所述极限学习机算法，得到所述DDoS攻击检测算法。

系统使用生产的特征训练集对极限学习机算法进行训练，在实施时，系统随机选择参数作为输入权重ω和偏置b，同时选择合适的激励函数g(x)和输入层与输出层之间的隐含层节点数，例如选择具有较高检测精度的Sigmoid函数作为激励函数，并设置输入层与输出层之间的隐含层节点数为Z，Z为大于0的正整数，进一步使用极限学习机算法进行训练得到矩阵H，进而再计算出矩阵H的Moor-Penrose广义逆，最终得到输出权重

完成极限学习机算法的训练得到DDoS攻击检测算法。

在一些实施例中，请参照图3，图3是本发明另一个实施例训练极限学习机算法的流程示意图。

如图3所示，训练极限学习机算法的方法包括：

S1330、根据预设的算法参数数据对所述极限学习机算法进行参数配置；

系统提取了反映DDoS攻击特性的联合熵特征作为极限学习机的输入变量，并根据预设的算法参数数据设置极限学习机算法的相应参数，在一些实施例中，这些参数包括极限学习机算法的激励函数、输入层和输出层之间的隐含层节点数等，请参照图4，图4是本发明一个实施例中对极限学习机算法进行参数配置的流程示意图。

如图4所示，步骤S1330包括：

S1331、获取预设的目标函数和节点参数；

目标函数和节点参数是系统中预先设置的，在实施时，目标函数和节点参数的信息保存于本地数据库中，系统通过访问本地数据库即可获取该目标函数和节点参数。

S1332、将所述目标函数作为所述极限学习机算法的激励函数；

系统将获取的目标函数定义为极限学习机算法的激励函数，在实施时，为提高极限学习机算法的检测精度，可以采用Sigmoid函数作为激励函数。

S1333、根据所述节点参数设置所述极限学习机算法的输入层和输出层之间的隐含层节点数。

系统根据获取的节点参数设置极限学习机算法的输入层和输出层之间的隐含层节点数，在实施时，不同隐含层节点数会对分类准确率产生不同的影响，请参数图15，图15是本发明一个实施例中隐含层节点数和检测准确率的关系示意图。如图15所示，当隐含层节点数在5到8之间时，检测准确率大幅增加，当隐含层节点数为8时，检测准确率为99.4％；当隐含层节点数大于8时，检测准确率在97.7％和99.4％之间波动，但不超过99.4％。所以，当节点为8时对应的检测准确率是最高的。

而不同隐含层节点数也会对训练时长产生不同的影响，请参数图16，图16是本发明一个实施例中隐含层节点数和训练时长的关系示意图。如图16所示，训练持续时间随着隐含层节点数的增加而增加，因此选择的节点越大，训练时间越长，结合上述，当隐含层节点数为8时，检测精度为99.4％，训练时间为0.039s，可以得出结论，如果在较短的训练时间内获得较高的检测准确率，则将选择8作为所提出的算法的隐含层节点数的数量。

S1340、使用完成参数配置后的极限学习机算法计算所述联合熵特征得到目标配置参数；

S1350、根据所述目标配置参数设置所述极限学习机算法的输出权重。

系统在极限学习机算法完成配置后利用极限学习机算法对提取的联合熵特征进行计算生成目标配置参数，再根据目标配置参数设置极限学习机算法的输出权重，在实施时，使用极限学习机算法进行训练得到矩阵H，进而再计算出矩阵H的Moor-Penrose广义逆，最终得到输出权重

在一些实施例中，根据预设的算法参数数据设置极限学习机算法的相应参数还包括极限学习机算法输入权重和偏置值，请参照图5，图5是本发明一个实施例设置输入权重和偏置值的基本流程示意图。

如图5所示，步骤S1333之后还包括：

S1334、获取随机生成的第一参数值和第二参数值；

第一参数值和第二参数值是由系统随机生成的，在实施时，可以采用线性同余法、乘同余法、混合同余法或者蒙特卡罗法等，例如线性同余法(LCG)是个产生伪随机数的方法，其基本思想是通过对前一个数进行线性运算并取模从而得到下一个数。

S1335、根据所述第一参数值和第二参数值分别设置所述极限学习机算法的输入权重和偏置值。

系统将随机生成的第一参数值作为输入权重ω，并将第二参数值所谓偏置b，在一个实施例中，请参照图17，图17是本发明一个实施例DDoS攻击检测的方法的流程图。如图17所示，其流程包括：

获取流量，然后提取了能充分反映DDoS攻击特性的联合熵特征，其中，联合熵特征主要包括：源地址与目的地址联合熵、目的地址和目的端口联合熵、字节与目的地址联合熵以及协议与源地址联合熵，对联合熵特征进行归一化处理，并且这些联合熵特征将会作为极限学习机的输入变量。

随机选择参数作为输入权重ω和偏置b，同时选择合适的激励函数g(x)和输入层与输出层之间的隐含层节点数，进一步使用极限学习机进行训练得到矩阵H，进而再计算出矩阵H的Moor-Penrose广义逆，最终得到输出权重

3.对

已经打过标签的数据集进行特征提取，通过极限学习机对数据集进行训练并分类，从而区分DDoS攻击流量和正常访问流量，输出DDoS攻击检测的准确率和误报率。

通过选择最优的激励函数和隐含层节点数，以进一步得到更高准确率、较低误报率的极限学习机算法。

本发明提供的提出的DDoS攻击检测的方法在物联网环境下结合了DDoS攻击的特性，利用了Tsallis熵与极限学习机的优点，能够在较短的时间内识别出DDoS攻击，并且具有较高的识别准确率，检测效果优于其他机器学习方法，满足物联网环境下的DDoS攻击防护的需求。

在一些实施例中，请参照图6，图6是本发明一个实施例获取物联网流量的基本流程示意图。

如图6所示，步骤S1100包括：

S1101、获取所述目标设备的物联网数据接口；

物联网数据接口是指目标设备与物联网进行数据传输的接口，数据传输包括有线数据传输方式和无线数据传输方式，数据传输指的是依照适当的规程，经过一条或多条链路，在数据源和数据宿之间传送数据的过程，有线数据传输方式可以采用USB接口、串口等。无线数据传输方式是指利用无线数传模块将工业现场设备输出的数据或者各种物理量进行远程传输，包括但不限于GPRS、2G、3G、4G、MDS数传电台、WiFi、ZigBee等。通过该物联网数据接口即可监测目标设备在物联网环境下的数据流量。

S1102、根据预设时间阈值获取所述物联网数据接口传输的所述物联网流量。

系统根据数据接口获取预设时间阈值内的物联网流量，其中，预设时间阈值是系统预先设置的实际范围，预设时间阈值包括但不限于5分钟、30分钟或者24小时等，在该预设时间阈值时间段内，目标设备在物联网环境下产生的流量均为物联网流量，以预设时间阈值为1分钟为例，系统从零开始计时并监测目标设备的物联网数据，当到达1分钟时，系统停止监测目标设备的物联网数据，并将计算清零，此时，获取得到的全部物联网数据即为目标设备的物联网流量。

为解决上述技术问题，本发明实施例还提供一种DDoS攻击检测的装置。

具体请参阅图7，图7为本实施例DDoS攻击检测的装置基本结构示意图。

如图7所示，一种DDoS攻击检测的装置，包括：第一获取模块2100、第一处理模块2200、第一训练模块2300和第一执行模块2400，其中，第一获取模块2100用于获取目标设备的物联网流量；第一处理模块2200用于根据预设的DDoS攻击特性对所述物联网流量进行特征提取得到联合熵特征；第一训练模块2300用于使用所述联合熵特征训练极限学习机算法，得到DDoS攻击检测算法；第一执行模块2400用于采用所述DDoS攻击检测算法进行DDoS攻击检测。

在一些实施方式中，DDoS攻击检测的装置还包括：第一处理子模块和第一执行子模块，其中，第一处理子模块用于将所述联合熵特征进行归一化处理后生成特征训练集；第一执行子模块用于使用所述特征训练集训练所述极限学习机算法，得到所述DDoS攻击检测算法。

在一些实施方式中，所述联合熵特征包括源地址与目的地址联合熵、目的地址和目的端口联合熵、字节与目的地址联合熵以及协议与源地址联合熵中的任意一种。

在一些实施方式中，DDoS攻击检测的装置还包括：参数配置子模块、第二处理子模块和第二执行子模块，其中，参数配置子模块用于根据预设的算法参数数据对所述极限学习机算法进行参数配置；第二处理子模块用于使用完成参数配置后的极限学习机算法计算所述联合熵特征得到目标配置参数；第二执行子模块用于根据所述目标配置参数设置所述极限学习机算法的输出权重。

在一些实施方式中，DDoS攻击检测的装置还包括：第一获取子模块、第三处理子模块和第三执行子模块，其中，第一获取子模块用于获取预设的目标函数和节点参数；第三处理子模块用于将所述目标函数作为所述极限学习机算法的激励函数；第三执行子模块用于根据所述节点参数设置所述极限学习机算法的输入层和输出层之间的隐含层节点数。

在一些实施方式中，DDoS攻击检测的装置还包括：第二获取子模块和第四执行子模块，其中，第二获取子模块用于获取随机生成的第一参数值和第二参数值；第四执行子模块用于根据所述第一参数值和第二参数值分别设置所述极限学习机算法的输入权重和偏置值。

在一些实施方式中，DDoS攻击检测的装置还包括：第三获取子模块和第五执行子模块，其中，第三获取子模块用于获取所述目标设备的物联网数据接口；第五执行子模块用于根据预设时间阈值获取所述物联网数据接口传输的所述物联网流量。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

为解决上述技术问题，本发明实施例还提供计算机设备。具体请参阅图8，图8为本实施例计算机设备基本结构框图。

如图8所示，该计算机设备包括通过系统总线连接的处理器、非易失性存储介质、存储器和网络接口。其中，该计算机设备的非易失性存储介质存储有操作系统、数据库和计算机可读指令，数据库中可存储有控件信息序列，该计算机可读指令被处理器执行时，可使得处理器实现一种DDoS攻击检测的方法。该计算机设备的处理器用于提供计算和控制能力，支撑整个计算机设备的运行。该计算机设备的存储器中可存储有计算机可读指令，该计算机可读指令被处理器执行时，可使得处理器执行一种DDoS攻击检测的方法。该计算机设备的网络接口用于与终端连接通信。本领域技术人员可以理解，图中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本实施方式中处理器用于执行图7中第一获取模块2100、第一处理模块2200、第一训练模块2300和第一执行模块2400，存储器存储有执行上述模块所需的程序代码和各类数据。网络接口用于向用户终端或服务器之间的数据传输。本实施方式中的存储器存储有DDoS攻击检测的装置中执行所有子模块所需的程序代码及数据，服务器能够调用服务器的程序代码及数据执行所有子模块的功能。

计算机通过获取目标设备的物联网流量，然后根据预设的DDoS攻击特性对该物联网流量进行特征提取得到联合熵特征，将该联合熵特征对极限学习机算法进行训练得到DDoS攻击检测算法，即可使用该DDoS攻击检测算法进行DDoS攻击检测，通过结合DDoS攻击的特性，提取适用于物联网环境的流量特征，并采用极限学习机算法进行训练和流量检测分类，检测分类准确率高且训练时长短，能准确且及时地检测出物联网环境下的DDoS攻击。

本发明还提供一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行上述任一实施例所述DDoS攻击检测的方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)等非易失性存储介质，或随机存储记忆体(Random Access Memory，RAM)等。

应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

以上所述仅是本发明的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种DDoS攻击检测的方法，其特征在于，包括下述步骤：

获取目标设备的物联网流量；

采用所述DDoS攻击检测算法进行DDoS攻击检测。

2.根据权利要求1所述的DDoS攻击检测的方法，其特征在于，所述使用所述联合熵特征训练极限学习机算法，得到DDoS攻击检测算法的步骤，包括如下述步骤：

将所述联合熵特征进行归一化处理后生成特征训练集；

3.根据权利要求1或2所述的DDoS攻击检测的方法，其特征在于，所述联合熵特征包括源地址与目的地址联合熵、目的地址和目的端口联合熵、字节与目的地址联合熵以及协议与源地址联合熵中的任意一种。

4.根据权利要求1所述的DDoS攻击检测的方法，其特征在于，训练极限学习机算法的方法，还包括如下述步骤：

5.根据权利要求4所述的DDoS攻击检测的方法，其特征在于，所述根据预设的算法参数数据对所述极限学习机算法进行参数配置的步骤，包括如下述步骤：

获取预设的目标函数和节点参数；

将所述目标函数作为所述极限学习机算法的激励函数；

6.根据权利要求5所述的DDoS攻击检测的方法，其特征在于，所述根据所述节点参数设置所述极限学习机算法的输入层和输出层之间的隐含层节点数的步骤之后，还包括如下述步骤：

获取随机生成的第一参数值和第二参数值；

根据所述第一参数值和第二参数值分别设置所述极限学习机算法的输入权重和偏置值。

7.根据权利要求1所述的DDoS攻击检测的方法，其特征在于，所述获取目标设备的物联网流量的步骤，包括如下述步骤：

获取所述目标设备的物联网数据接口；

8.一种DDoS攻击检测的装置，其特征在于，包括：

第一获取模块，用于获取目标设备的物联网流量；

9.一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行如权利要求1至7中任一项权利要求所述DDoS攻击检测的方法的步骤。

10.一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如权利要求1至7中任一项权利要求所述DDoS攻击检测的方法的步骤。