CN111224919B - 一种ddos识别方法、装置、电子设备及介质 - Google Patents

一种ddos识别方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN111224919B
CN111224919B CN201811408438.8A CN201811408438A CN111224919B CN 111224919 B CN111224919 B CN 111224919B CN 201811408438 A CN201811408438 A CN 201811408438A CN 111224919 B CN111224919 B CN 111224919B
Authority
CN
China
Prior art keywords
feature
candidate
data stream
candidate feature
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811408438.8A
Other languages
English (en)
Other versions
CN111224919A (zh
Inventor
王晨光
智绪龙
冯剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201811408438.8A priority Critical patent/CN111224919B/zh
Publication of CN111224919A publication Critical patent/CN111224919A/zh
Application granted granted Critical
Publication of CN111224919B publication Critical patent/CN111224919B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DDOS识别方法、装置、电子设备及介质,用以解决现有技术中识别DDOS攻击的准确率不高的问题,该方法包括:获取待检测数据流;根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击。

Description

一种DDOS识别方法、装置、电子设备及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种分布式拒绝服务(DistributedDenial of Service,DDOS)识别方法、装置、电子设备及介质。
背景技术
现有技术中,流量检测的方法包括:基于网络端口的识别方法、基于深度报文检测的识别方法、基于行为特征的识别方法和基于数据挖掘的识别方法。
(1)基于网络端口的识别方法是基于端口号的网络流量识别方法,如果使用动态的端口或者直接使用某些固定端口,其检测准确率会较低。
(2)基于深度报文检测的识别方法是首先,建立一个规则库,此规则库是由数个提取的待检测的网络协议对应的规则组成;其次,捕获网络上的数据包,检测数据包内容,是否能够匹配规则库中的规则,如果能够匹配,则认为该数据包属于网络应用协议的数据包。
(3)基于行为特征的识别方法是依据网络应用的宏观行为特征对恶意流量进行识别的。通过此方法,能识别出已经存在的恶意流,但是,目前基于行为特征识别的研究存在实时性和可行性比较差的问题。
(4)基于数据挖掘的识别方法是利用数据挖掘进行分类的方法,包括:有监督、无监督与半监督的分类方法。有监督的分类方法其缺点是无法区分出新出现的异常流量模型;无监督的分类方法具有较高的识别率;半监督的分类方法是综合利用有标签的数据和没有标签的数据,进行正确的分类。
现有基于分类的检测算法的准确率很大程度上依赖于特征,如果选取的特征含有噪音数据,则会降低DDoS检测的准确率,增加计算的开销,严重影响网络的实时性和可用性的要求。
发明内容
本发明实施例提供了一种DDOS识别方法、装置、电子设备及介质,用以解决现有技术中识别DDOS攻击的准确率不高的问题。
本发明实施例提供了一种分布式拒绝服务DDOS识别方法,所述方法包括:
获取待检测数据流;
根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;
将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击。
进一步地,所述检测模型的训练过程包括:
针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述样本数据流对应每个特征的第二特征值;
根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练。
进一步地,所述获取待检测数据流之前,所述方法还包括:
针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;
针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;
针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;
如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;
针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;
将第一特征子集中的候选特征确定为目标特征。
进一步地,所述判断该第三准率是否满足更新条件包括:
如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,则该第三准确率满足更新条件;
其中,n为候选特征的总数量,F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率,F(S1)为第一特征子集的第一准确率,res为预设的第二阈值。
进一步地,所述目标静态特征包括:设定时间长度内出现的数据流中源地址出现频率、目的地址出现频率、目的端口出现频率、数据包长、协议类型、总包字节数、平均包字节数、字节数方差、平均包个数、包方差、包数标准差。
进一步地,所述目标相对特征包括:
接收数据包数量与发送数据包数量占比、数据包的请求频率熵、源地址熵、目的地址熵、源端口熵、目的端口熵、协议占比、数据流长度的熵、TCP标志位占比的熵。
本发明实施例提供了一种分布式拒绝服务DDOS识别装置,所述装置包括:
获取模块,用于获取待检测数据流;
第一确定模块,用于根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;
检测模块,用于将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击。
进一步地,所述检测模块,具体用于针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述样本数据流对应每个特征的第二特征值;
根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练。
进一步地,所述装置还包括:第二确定模块,用于针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;将第一特征子集中的候选特征确定为目标特征。
进一步地,所述第二确定模块,还用于判断该第三准率是否满足更新条件,如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,则该第三准确率满足更新条件;其中,n为候选特征的总数量,F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率,F(S1)为第一特征子集的第一准确率,res为预设的第二阈值。
本发明实施例提供了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一项所述方法的步骤。
本发明实施例提供了一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述任一项所述方法的步骤。
由于本发明实施例根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定该待检测数据流对应每个目标特征的第一特征值,将该第一特征值输入到预先训练完成的检测模型中,确定该待检测数据流是否为DDOS攻击,从而提高识别DDOS攻击的准确率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的一种分布式拒绝服务DDOS识别过程的示意图;
图2为本发明实施例3提供的一种对候选特征筛选过程的示意图;
图3为本发明实施例4提供的一种分布式拒绝服务DDOS识别装置结构示意图;
图4为本发明实施例5公开的一种电子设备的结构示意图。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的一种分布式拒绝服务DDOS识别过程的示意图,该过程具体包括以下步骤:
S101:获取待检测数据流。
本发明实施例提供的分布式拒绝服务DDOS识别方法应用于电子设备,该电子设备可以是个人电脑(PC)、平板电脑等设备,也可以为服务器、服务器集群等设备。
为了能够提高识别DDOS攻击的准确率,该电子设备获取待检测的数据流。本发明实施例中待检测的数据流可以是用户想要检测的数据流,并将该待检测的数据流输入到该电子设备中,从而使该电子设备基于该待检测数据流进行检测。另外在对待检测的数据流进行检测时,因为是基于预先训练完成的检测模型的,而检测模型进行训练的时候基于的样本数据流都是在设定时间长度内的数据流,因此该待检测的数据流也是在预设的时间长度内的数据流,该时间长度例如可以是20ms,50ms等。
S102:根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值。
为了能够提高DDOS攻击检测的准确率,在本发明实施例中预先选了能够有效识别DDOS攻击的目标静态特征和目标相对特征,其中,目标静态特征包括:设定时间长度内出现的数据流中源端口出现频率、目的地址出现频率、目的端口出现频率、数据包长、协议类型、总包字节数、平均包字节数、字节数方差、平均包个数、包方差、包数标准差。
其中,目标静态特征是针对设定时间长度内待检测数据流获取到的特征,具体的设定时间长度内出现的数据流中源地址出现频率是指,在设定时间长度内的数据流中统计出现的源地址,并确定每个源地址出现的次数,针对每个源地址,根据该源地址出现的次数,以及所有源地址出现的次数和的比值,确定该源地址出现频率;同样的,源端口出现频率、目的地址出现频率、目的端口出现频率也是按照上述方法进行计算,在这里不再详细赘述。
数据包长是指在该设定时间长度内的数据流中出现的数据包的总包长;协议类型是指在该设定时间长度内的数据流中出现的不同类型协议的数量;总包字节数是指该设定时间长度内的数据流中出现的所有数据包的总字节数,平均包字节数是指根据上述确定的数据包的总字节数以及数据包的总数量,确定的数据包的平均字节数;平均包个数是指该设定时间长度内的每个数据流中出现的数据包的个数的平均值,字节数方差是根据该设定时间长度内的数据流中出现的每个数据包的字节数以及数据包的平均字节数确定的、包方差是根据该设定时间长度内每个数据流中出现的数据包的数量,以及数据包数量的平均值确定的、包数标准差是指包方差的算术平方根。
目标相对特征包括:接收数据包数量与发送数据包数量占比、数据包的请求频率熵、源地址熵、目的地址熵、源端口熵、目的端口熵、协议占比、数据流长度的熵、TCP标志位占比的熵。
其中,接收数据包数量与发送数据包数量占比是指在预设时间长度的接收到的数据包数量与发送出去的数据包数量的比值;数据包的请求频率熵是根据预设时间长度内某个数据包的请求频率以及预设时间长度内出现的数据包总数确定的,源地址熵是根据预设时间长度某个源地址出现的频率以及预设时间长度内出现的源地址的总数确定、目的地址熵是根据预设时间长度某个目的地址出现的频率以及预设时间长度内出现的目的地址的总数确定;同样的,源端口熵、目的端口熵、数据流长度的熵、协议占比、TCP标志位占比的熵的也是按照上述方法计算,在这里不再赘述。
因此在进行检测时,针对该待检测的数据流,及预先保存的目标静态特征和目标动态特征,确定该数据流相对每个目标特征的第一特征值。
S103:将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击。
本发明实施例基于预先训练完成的检测模型,对数据流进行检测,具体的,在获取到了待检测数据流的对应每个目标特征的第一特征值后,按照检测模型训练时输入参数中每一维度对应目标特征,将对应的目标特征的第一特征值进行组合,构成输入参数,将包含每个第一特征值的输入参数输入到预先训练完成的检测模型中,基于该检测模型的输出,确定该待检测数据流是否为DDOS攻击。
由于本发明实施例提供的获取待检测数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定该待检测数据流对应每个目标特征的第一特征值,将该第一特征值输入到预先训练完成的检测模型中,确定该待检测数据流是否为DDOS攻击,从而提高识别DDOS攻击的准确率。
实施例2:
为了能够对DDOS攻击进行检测,在上述实施例的基础上,本发明实施例中,预先对检测模型进行了训练,所述检测模型的训练过程包括:
针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的静态特征和相对特征,确定所述样本数据流对应每个特征的第二特征值;
根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练。
为了提高识别DDOS攻击的准确率,该电子设备保存了样本集合,根据样本集合中的样本数据流,从而使该电子设备基于样本集合中的样本数据流,对检测模型进行训练。在对检测模型进行训练时,基于的样本数据流都是在设定时间长度内的数据流,该设定时间长度例如可以是20ms,30ms等。
为了能够提高DDOS攻击检测的准确率,在本发明实施例中预先确定了能够有效识别DDOS攻击的目标静态特征和目标相对特征,其中,目标静态特征包括:设定时间长度内出现的数据流中源地址出现频率、目的地址出现频率、目的端口出现频率、数据包长、协议类型、总包字节数、平均包字节数、字节数方差、平均包个数、包方差、包数标准差。
目标相对特征包括:接收数据包数量与发送数据包数量占比、数据包的请求频率熵、源地址熵、目的地址熵、源端口熵、目的端口熵、协议占比、数据流长度的熵、TCP标志位占比的熵。
因此,可以根据保存的识别DDOS攻击的目标静态特征和目标相对特征,确定每个样本数据流对应的每个特征的第二特征值。
具体的,为了能够对DDOS攻击进行检测,本发明实施例中提供了样本数据流。根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定该样本数据流对应每个特征的第二特征值。具体的,确定第二特征值的过程和确定第一特征值的过程类似,本发明实施例不再赘述。
为了对检测模型进行训练,预先对样本数据流是否为DDOS攻击数据流设置了标识信息,该标识信息唯一标识样本数据流是否为DDOS攻击。因此在进行训练时,根据每个样本数据流中是否设置有DDOS攻击的标识信息,以及样本数据流中每个特征的第二特征值,对该检测模型进行训练。
具体的,在对检测模型进行训练时,检测模型中包含输入参数,该输入参数中的每一维度对应样本数据流的特征,将对应的特征的第二特征值进行组合,构成输入参数。将包含每个第二特征值的输入参数输入到检测模型中,以及预先对DDOS攻击设置的标识信息,从而完成对检测模型的训练。
由于本发明实施例提供的针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述样本数据流对应每个特征的第二特征值,根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练,从而可以基于该检测模型识别DDOS攻击。
实施例3:
在上述各实施例的基础上,本发明实施例中,所述获取待检测数据流之前,所述方法还包括:
针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;
针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;
针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;
如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;
针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;
将第一特征子集中的候选特征确定为目标特征。
为了能够提高识别DDOS攻击的准确率,本发明实施例中,在对待检测数据流进行检测之前,对预先保存的每个候选静态特征和候选相对特征进行了筛选。
对于机器学习算法而言,特征对于分类结果是极其重要的,但是并不是特征越多对分类准确率的贡献就越大,故选取最优的特征子集,不仅能提高分类准确率,又能节约相应的计算资源。本发明实施例选用的随机森林方法不易产生过拟合、抗噪声能力强、能评估复杂的高维的特征向量,故选择其进行特征权重值的评估。本发明实施例中随机森林的特征评估方法选用ID3,节点的信息增益熵越大,即说明此特征的权重值较大。
随机森林(Random Forest,RF)算法属于集成机器学习算法的一种,随机森林算法是利用相关技术递归建立决策树,该相关技术有两种包括随机抽样技术bootstrap与节点随机分割技术,该技术是最后以投票的方式获得分类结果。
对于给定的分类器{h1(x),...,hN(x)},其中x为输入向量,y为对应的输出。样本点(x,y)的间隔函数(Margin Function)mg(x,y)衡量了分类器集合将样本分对的平均票数与将其错分为其他类的平均票数之差,mg(x,y)越大,表明分类器对这个样本的分类性能越好。间隔函数定义如下:
Figure BDA0001877939380000111
其中,avekI(hk(x)=y)为将x按照分类器hk(x)分类之后,输出为y的平均票数;
Figure BDA0001877939380000114
为将x按照分类器hk(x)分类之后,输出为j的平均票数,j和y不相等;
泛化误差表示期望的估值与不同训练集训练结果的离散程度,泛化误差的定义如下:
PE*=Px,y(mg(x,y)<0)
其中,Px,y(mg(x,y)<0)为mg(x,y)<0的概率;
随机森林分类强度用以下公式表示:
s=EX,Y(mg(x,y))
其中,EX,Y(mg(x,y))为mg(x,y)的期望值;
随机森林泛化误差的估计:
Figure BDA0001877939380000112
其中,ρ表示分类器集合{h1(x),...,hN(x)}间的相关度。
具体的,在本发明实施例中,当获取了识别DDOS攻击的每个候选特征后,可以根据随机森林的特征评估方法中的ID3,评估每个候选特征的多个权重值。
其中,ID3方法是基于信息增益进行特征挑选的,信息熵的熵值越大,表示评估的结果的不确定性就越大,如果信息熵的熵值为0,即表示评估的结果能够确定,信息熵的定义如下列式子所示:
Figure BDA0001877939380000113
其中,X为训练样本中选取的某一候选特征,c为候选特征的个数,Pi为选取的某一候选特征的概率。
如果将训练样本X按特征Y进行划分,则Y对X的期望如下列式子所示:
Figure BDA0001877939380000121
当训练样本的不确定性上升时,信息熵也会增加。信息增益的定义如下列式子所示:
Gain(X,Y)=Entropy(X)-EntropyY(X)
信息增益用熵作为衡量标准的,信息增益越大,表明选取的特征就越重要,对分类准确率的贡献越大。
在获取待检测数据流之前,针对每个样本数据流,在本发明实施例中,预先保存了候选静态特征和候选相对特征,其中,候选静态特征包括:设定时间长度内出现的数据流中内源地址出现频率、目的地址出现频率、源端口出现频率、目的端口出现频率、数据包长、协议类型、总包字节数、平均包字节数、字节数方差、平均包个数、包方差、包数标准差、数据流中的非零元素个数、流中最大数据包个数、流中第一个数据包个数。
其中,候选静态特征是针对设定时间长度内样本数据流获取到的特征,具体的,源端口出现频率是指,在设定时间长度内的数据流中统计出现的源端口,并确定每个源端口出现的次数,针对每个源端口,根据该源端口出现的次数,以及所有源端口出现的次数和的比值,确定该源端口出现频率;数据流中的非零元素个数是指数据流的数据包中的非零元素的个数总和;流中最大数据包个数是指该设定时间长内出现的每个数据流中包含的最大数据包的个数;流中第一个数据包个数是指设定时间长度内出现的每个数据流中,因为该数据流可能是某一大数据流的子数据流,该大数据流可能在多个设定时间长度内出现,因此统计该设定时间长度内的数据流为某一大数据流的第一个子数据流的个数。
候选相对特征包括:接收数据包数量与发送数据包数量占比、数据包的请求频率熵、源地址熵、目的地址熵、源端口熵、目的端口熵、协议占比、数据流长度的熵、TCP标志位占比的熵。候选相对特征的算法,在上述实施例中已经描述,在此不再赘述。
本发明实施例中,针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值。
针对每个候选特征,根据预先评估得到的每个候选特征对应的权重值的第一集合以及预设的随机抽样算法,经过多次随机取样,得到该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;具体的,可以是将第一集合中包含的权重值的中位数,确定为该候选特征的权重值。
例如:候选特征xi的集合为{xi|i=1,2,3,...,n},评估该集合中的候选特征的权重值,经过m次随机取样,得到候选特征xi的权重值的第一集合,其中第一集合的权重值分别为ω1(xi),ω2(xi),......,ωm(xi),候选特征xi的权重值ω(xi)取ω1(xi),ω2(xi),......,ωm(xi)的中位数。因此,候选特征{xi|i=1,2,3,...,n}相应的候选特征权重值第二集合为{ω(xi)|i=1,2,...,n}。
针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征划分到第一特征子集,也就是说第一特征子集中包括的都是权重值大于预设的第一阈值的候选特征,基于第一特征子集中的所有候选特征进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率。
如果该候选特征的权重值不大于预设的第一阈值,则将该候选特征归属于划分到第二特征子集,也就是说第二特征子集中包括的都是权重值不大于预设的第一阈值的候选特征,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率。如果该第二特征子集中包含5个候选特征,则针对5个候选特征中的每个进行DDOS攻击检测,则针对5个候选特征将会得到5个检测DDOS攻击的第二准确率。
针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率。
具体的,如图2所示,将候选特征权重值ω(xi)的第一阈值设为α,如果ω(xi)<α,那么候选特征xi将会被分到第二特征子集S2中,否则被添加至第一特征子集S1中,第二特征子集S2表示为S2={S2j|j=1,2,...,t}(j<i)。记录基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率为F(S1),以及针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率,针对第二特征子集中的每个候选特征,根据第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率,即第一特征子集S1分别与第二特征子集S2中的若干个子集S2'的各个变量组合得到的第三准确率为{F(S1&S2j)|j=1,2,......,k},由于随机森林是随机选择变量,因此,采用随机森林抽样多次求得其准确率。
具体的,第三准确率的学习过程是:采用随机森林将第一特征子集S1与第二特征子集S2中的每个候选特征组成特征集,针对每个特征集进行多次训练,即利用每个特征集进行多次DDOS攻击检测,根据检测结果确定每个特征集的多个第三准确率。例如:针对每个特征集S1&S2j进行多次训练,得到多个第三准确率;其中,第一特征子集S1与第二特征子集S2中的每个候选特征组成的每个特征集可以为S1&S21、S1&S22……和S1&S2j等,针对特征集S1&S21进行多次训练后,得到的第三准确率可以为F1(S1&S21)、F2(S1&S21)、F3(S1&S21)等。
第三准确率是衡量是否将某个候选特征添加到第一特征子集中的重要依据,为了确定该第三准确率是否满足更新第一特征子集的更新条件,本发明实施例中,所述判断该第三准率是否满足更新条件包括:
如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,则该第三准确率满足更新条件;
其中,n为候选特征的总数量,F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率,F(S1)为第一特征子集的第一准确率,res为预设的第二阈值。
具体的,该第三准确率的更新条件为1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,其中res为预设的第二阈值,如果该第三准确率满足更新条件,则认为候选特征S2j对分类准确率的贡献率比较高,将其添加至第一特征子集S1,更新第一特征子集S1
针对第二特征子集中的每个候选特征,根据确定的该候选特征的第三准确,判断该第三准率是否满足更新条件,从而对第一特征子集进行更新,根据最终更新后的第一特征子集S1,将该第一特征子集中包含的每个候选特征确定为目标特征。
为了能够更加准确地筛选出目标特征,本发明实施例预先使用KDD数据库做训练,包括正常(normal)和攻击(attack)两类数据流的41个特征。KDD Test+的攻击类型为39类,比KDD Train+的攻击类型多17种,所以选择KDD Train+作为训练集,KDD Test+作为测试集,可以更好的检测出未知的攻击,并且训练集与测试集的比例为4:1。通过上述随机森林,以及基于候选特征的第三准确率,确定是否进行更新的策略,41个特征经过分析评估,得到的特征子集包含28个特征,比原特征集减少13个特征,但是准确率、召回率及F-score值反而提高了,如下表所示:
Figure BDA0001877939380000151
表1
本发明实施例中,为了确定目标特征,使用在局域网内采集的DDoS攻击数据流,分别是由Tfn2k和Trinoo工具产生的,基于真实的DDoS攻击数据流,提取了24个候选特征,经过随机森林进行特征选择之后,目标特征只有20个。本发明实施例剔除了4个冗余的特征:源端口出现频率、数据流中的非零元素个数、流中最大数据包个数和流中第一个数据包个数;并且在剔除的目标特征中没有相对特征,故本发明实施例提取的候选相对特征都是对分类有贡献的特征。
与其他机器学习方法对比,本发明实施例中,基于确定待检测数据流对应每个目标特征的第一特征值,并将确定的第一特征值输入到预先训练完成的检测模型中,从而确定待检测数据流是否为DDOS攻击,采用本发明实施例的DDOS识别的方法,其在分类准确率、召回率、F-score分别为98.61%、98.67%、98.63%,均高于其他机器学习算法,具体的,如表2所示:
Figure BDA0001877939380000161
表2
通过表2可知,本发明实施例提供的分布式拒绝服务DDOS识别方法,提高了分类的准确率。
由于本发明实施例提供的对候选静态特征和候选相对特征进行筛选,从而确定对待检测数据流中的DDOS攻击识别的目标静态特征和目标相对特征。
实施例4:
图3为本发明实施例提供的一种分布式拒绝服务DDOS识别装置结构示意图,所述装置包括:
获取模块301,用于获取待检测数据流;
第一确定模块302,用于根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;
检测模块303,用于将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击。
进一步地,所述检测模块303,具体用于针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述样本数据流对应每个特征的第二特征值;根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练。
进一步地,所述装置还包括:第二确定模块304,用于针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;将第一特征子集中的候选特征确定为目标特征。
进一步地,所述第二确定模块304,具体用于判断该第三准率是否满足更新条件,如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,则该第三准确率满足更新条件;其中,n为候选特征的总数量,F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率,F(S1)为第一特征子集的第一准确率,res为预设的第二阈值。
由于本发明实施例提供的根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定该待检测数据流对应每个目标特征的第一特征值,将该第一特征值输入到预先训练完成的检测模型中,确定该待检测数据流是否为DDOS攻击,从而提高识别DDOS攻击的准确率。
实施例5:
图4为本发明实施例公开的一种电子设备的结构示意图,包括:处理器401、通信接口402、存储器403和通信总线404,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行以下步骤:
获取待检测数据流;
根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;
将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击。
进一步地,针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述样本数据流对应每个特征的第二特征值;
根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练。
进一步地,针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;
针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;
针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;
如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;
针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;
将第一特征子集中的候选特征确定为目标特征。
进一步地,判断该第三准率是否满足更新条件,如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,则该第三准确率满足更新条件;其中,n为候选特征的总数量,F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率,F(S1)为第一特征子集的第一准确率,res为预设的第二阈值。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
实施例6:
本发明实施例公开了一种计算机可读存储介质,其存储有可由终端执行的计算机程序,当所述程序在所述终端上运行时,使得所述终端执行以下步骤:
获取待检测数据流;
根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;
将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击。
进一步地,针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述样本数据流对应每个特征的第二特征值;
根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练。
进一步地,针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;
针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;
针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;
如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;
针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;
将第一特征子集中的候选特征确定为目标特征。
进一步地,判断该第三准率是否满足更新条件,如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,则该第三准确率满足更新条件;其中,n为候选特征的总数量,F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率,F(S1)为第一特征子集的第一准确率,res为预设的第二阈值。
上述实施例中的计算机可读存储介质可以是终端中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD)等。
综上所述,本发明实施例提供了一种DDOS识别方法、装置、电子设备及介质,该方法包括:获取待检测数据流;根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击。
由于本发明实施例提供的根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定该待检测数据流对应每个目标特征的第一特征值,将该第一特征值输入到预先训练完成的检测模型中,确定该待检测数据流是否为DDOS攻击,从而提高识别DDOS攻击的准确率。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者一个操作与另一个实体或者另一个操作区分开来,而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全应用实施例、或结合应用和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种分布式拒绝服务DDOS识别方法,其特征在于,所述方法包括:
获取待检测数据流;
根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;
将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击;
所述获取待检测数据流之前,所述方法还包括:
针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;
针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;
针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;
如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;
针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;
将第一特征子集中的候选特征确定为目标特征。
2.如权利要求1所述的方法,其特征在于,所述检测模型的训练过程包括:
针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述样本数据流对应每个特征的第二特征值;
根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练。
3.如权利要求1所述的方法,其特征在于,所述判断该第三准率是否满足更新条件包括:
如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,则该第三准确率满足更新条件;
其中,n为候选特征的总数量,F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率,F(S1)为第一特征子集的第一准确率,res为预设的第二阈值。
4.如权利要求1所述的方法,其特征在于,所述目标静态特征包括:设定时间长度内出现的数据流中源地址出现频率、目的地址出现频率、目的端口出现频率、数据包长、协议类型、总包字节数、平均包字节数、字节数方差、平均包个数、包方差、包数标准差。
5.一种分布式拒绝服务DDOS识别装置,其特征在于,所述装置包括:
获取模块,用于获取待检测数据流;
第一确定模块,用于根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;
检测模块,用于将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击;
其中,所述装置还包括:第二确定模块,用于针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;将第一特征子集中的候选特征确定为目标特征。
6.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器中存储有计算机程序,所述程序被所述处理器执行;
所述处理器,用于获取待检测数据流;根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述待检测数据流对应每个目标特征的第一特征值;将确定的每个第一特征值输入到预先训练完成的检测模型中,确定所述待检测数据流是否为DDOS攻击;
所述装置还包括:第二确定模块,用于针对每个样本数据流,根据预先保存的每个候选静态特征和候选相对特征,确定该样本数据流对应每个候选特征的第三特征值;针对每个候选特征,根据预先评估得到的该候选特征对应的权重值的第一集合,及预设的随机抽样算法,确定该候选特征对应的权重值的第二集合,根据该第二集合中包含的每个权重值,确定该候选特征的权重值;针对每个候选特征,判断该候选特征的权重值是否大于预设的第一阈值,如果是,则将该候选特征归属于第一特征子集,基于第一特征子集进行DDOS攻击检测,根据检测结果确定第一特征子集识别DDOS攻击的第一准确率;如果否,则将所述第二候选特征归属于第二特征子集,针对第二特征子集中的每个候选特征,采用该候选特征进行DDOS攻击检测,根据检测结果确定该候选特征识别DDOS攻击的第二准确率;针对第二特征子集中的每个候选特征,根据所述第一准确率、及该候选特征对应的第二准确率,采用随机森林抽样,确定该候选特征对应的第三准确率;判断该第三准率是否满足更新条件,如果是,将该候选特征添加到第一特征子集中;将第一特征子集中的候选特征确定为目标特征。
7.如权利要求6所述的电子设备,其特征在于,所述处理器,具体用于对所述检测模型进行训练,针对样本集合中的样本数据流,根据预先保存的识别DDOS攻击的目标静态特征和目标相对特征,确定所述样本数据流对应每个特征的第二特征值;根据每个样本数据流是否为DDOS攻击的标识信息,及对应的第二特征值,对所述检测模型进行训练。
8.如权利要求6所述的电子设备,其特征在于,所述处理器,具体用于如果1/n{∑((F(S1&S2j)-F(S1))/F(S1))}>res,则该第三准确率满足更新条件;其中,n为候选特征的总数量,F(S1&S2j)为该第二特征子集中的候选特征中第j个候选特征的第三准确率,F(S1)为第一特征子集的第一准确率,res为预设的第二阈值。
9.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1~4任一项所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求1~4任一项所述方法的步骤。
CN201811408438.8A 2018-11-23 2018-11-23 一种ddos识别方法、装置、电子设备及介质 Active CN111224919B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811408438.8A CN111224919B (zh) 2018-11-23 2018-11-23 一种ddos识别方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811408438.8A CN111224919B (zh) 2018-11-23 2018-11-23 一种ddos识别方法、装置、电子设备及介质

Publications (2)

Publication Number Publication Date
CN111224919A CN111224919A (zh) 2020-06-02
CN111224919B true CN111224919B (zh) 2022-05-13

Family

ID=70827030

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811408438.8A Active CN111224919B (zh) 2018-11-23 2018-11-23 一种ddos识别方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN111224919B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112801157A (zh) * 2021-01-20 2021-05-14 招商银行股份有限公司 扫描攻击的检测方法、装置和计算机可读存储介质
CN113242240B (zh) * 2021-05-10 2022-07-01 北京交通大学 一种可检测多种类应用层DDoS攻击的方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577660A (zh) * 2015-12-22 2016-05-11 国家电网公司 基于随机森林的dga域名检测方法
CN107483458A (zh) * 2017-08-29 2017-12-15 杭州迪普科技股份有限公司 网络攻击的识别方法及装置、计算机可读存储介质
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN108322463A (zh) * 2018-01-31 2018-07-24 平安科技(深圳)有限公司 DDoS攻击检测方法、装置、计算机设备和存储介质
CN108829715A (zh) * 2018-05-04 2018-11-16 慧安金科(北京)科技有限公司 用于检测异常数据的方法、设备和计算机可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577660A (zh) * 2015-12-22 2016-05-11 国家电网公司 基于随机森林的dga域名检测方法
CN107483458A (zh) * 2017-08-29 2017-12-15 杭州迪普科技股份有限公司 网络攻击的识别方法及装置、计算机可读存储介质
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN108322463A (zh) * 2018-01-31 2018-07-24 平安科技(深圳)有限公司 DDoS攻击检测方法、装置、计算机设备和存储介质
CN108829715A (zh) * 2018-05-04 2018-11-16 慧安金科(北京)科技有限公司 用于检测异常数据的方法、设备和计算机可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《Research on DDoS Attacks Detection Based on RDF-SVM》;Wang,Chenguang等;《2017 10TH INTERNATIONAL CONFERENCE ON INTELLIGENT COMPUTATION TECHNOLOGY AND AUTOMATION (ICICTA 2017)》;20171231;第161-165页 *
《工控环境下DDOS攻击抑制的研究》;王晨光;《硕士学位论文电子期刊》;20180615;第34-50页 *

Also Published As

Publication number Publication date
CN111224919A (zh) 2020-06-02

Similar Documents

Publication Publication Date Title
Park et al. Classification of attack types for intrusion detection systems using a machine learning algorithm
WO2017124942A1 (zh) 一种异常访问检测方法及设备
CN109644184B (zh) 用于从ipfix数据检测云上的ddos僵尸网络的聚类方法
KR20190109427A (ko) 침입 탐지를 위한 지속적인 학습
CN112953924A (zh) 网络异常流量检测方法、系统、存储介质、终端及应用
Grill et al. Learning combination of anomaly detectors for security domain
CN111144459A (zh) 一种类不平衡的网络流量分类方法、装置及计算机设备
CN106850338B (zh) 一种基于语义分析的r+1类应用层协议识别方法与装置
CN110493262B (zh) 一种改进分类的网络攻击检测方法及系统
CN108985048B (zh) 模拟器识别方法及相关装置
CN111224919B (zh) 一种ddos识别方法、装置、电子设备及介质
US11516240B2 (en) Detection of anomalies associated with fraudulent access to a service platform
CN114553591B (zh) 随机森林模型的训练方法、异常流量检测方法及装置
CN110162958B (zh) 用于计算设备的综合信用分的方法、装置和记录介质
CN111523588A (zh) 基于改进的lstm对apt攻击恶意软件流量进行分类的方法
CN111064719B (zh) 文件异常下载行为的检测方法及装置
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
CN109344913B (zh) 一种基于改进MajorClust聚类的网络入侵行为检测方法
Nalavade et al. Evaluation of k-means clustering for effective intrusion detection and prevention in massive network traffic data
CN113065748A (zh) 业务风险评估方法、装置、设备及存储介质
CN113033639A (zh) 一种异常数据检测模型的训练方法、电子设备及存储介质
Thanh et al. An approach to reduce data dimension in building effective network intrusion detection systems
CN117391214A (zh) 模型训练方法、装置及相关设备
CN111107079A (zh) 一种上传文件检测方法及装置
CN115758336A (zh) 一种资产识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant