CN111988306B - 基于变分贝叶斯的网内DDoS攻击流量检测方法和系统 - Google Patents

基于变分贝叶斯的网内DDoS攻击流量检测方法和系统 Download PDF

Info

Publication number
CN111988306B
CN111988306B CN202010828239.3A CN202010828239A CN111988306B CN 111988306 B CN111988306 B CN 111988306B CN 202010828239 A CN202010828239 A CN 202010828239A CN 111988306 B CN111988306 B CN 111988306B
Authority
CN
China
Prior art keywords
switch
target
estimation
flow data
mixture model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010828239.3A
Other languages
English (en)
Other versions
CN111988306A (zh
Inventor
姚海鹏
何文吉
买天乐
忻向军
江亮
赵韶峰
王惠
高凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Communications Communication Network Technology Co ltd
Beijing University of Posts and Telecommunications
Original Assignee
China Communications Communication Network Technology Co ltd
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Communications Communication Network Technology Co ltd, Beijing University of Posts and Telecommunications filed Critical China Communications Communication Network Technology Co ltd
Priority to CN202010828239.3A priority Critical patent/CN111988306B/zh
Publication of CN111988306A publication Critical patent/CN111988306A/zh
Application granted granted Critical
Publication of CN111988306B publication Critical patent/CN111988306B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于变分贝叶斯的网内DDoS攻击流量检测方法和系统,应用于交换机群,交换机群包括多个交换机,方法包括:获取流经每个交换机的流量数据;获取流量数据的多个目标特征向量;目标特征向量为可以判断流量数据是否为DDoS攻击流量的特征向量;基于多个目标特征向量,建立交换机群的高斯混合模型;高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布;基于每个交换机的流量数据,利用变分贝叶斯推断对高斯混合模型进行参数估计,得到多个估计结果;一个交换机对应于一个估计结果;基于多个估计结果,判断流量数据是否为DDoS攻击流量。本发明缓解了现有技术中存在的内存效率低下的技术问题。

Description

基于变分贝叶斯的网内DDoS攻击流量检测方法和系统
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于变分贝叶斯的网内DDoS攻击流量检测方法和系统。
背景技术
分布式拒绝服务攻击(Distributed denial of service,DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。DDoS是基于拒绝服务(Denial ofService,DoS)的分布式、协同的大规模攻击方式,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
现有主流的DDoS检测技术有:
1.PISA(Protocol independent switch architecture)协议独立的交换机架构,利用match-action表及可编程交换语言。每一个交换机存储流量计数、本地阈值,与中央协调器进行交互,达到对异常流量检测的目的。将目光集中到分布式交换机对流量检测的处理上。收集进入网络每一个交换机的流量,在本地通过算法计算当前的流量阈值,将阈值的信息汇报到中央协调器,再下发到交换机,将该预先设定的阈值与接受的流量比较,判断是否为异常流量。算法上使用的是自适应top-k算法。
2.基于SDN控制器,组合分类器。多层级、多模块构建DDoS攻击流量检测系统。在网络层部署机器学习算法和分类器,对到达的流量分析、检测,攻击未达物联网(TheInternet of Things,IoT)设备时已被拦截。
但是以上传统的DDoS攻击检测机制是基于中间设备或SDN控制器,缺乏全网监控信息,或者存在严重的南向通信开销和检测延迟。
目前提出的基于可编程交换机的异常流量检测算法,为了支持自适应阈值需要有很高的内存开销,每次有新的流量到来需重新计算,存在着内存效率低下的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种基于变分贝叶斯的网内DDoS攻击流量检测方法和系统,以缓解了现有技术中存在的内存效率低下的技术问题。
第一方面,本发明实施例提供了一种基于变分贝叶斯的网内DDoS攻击流量检测方法,应用于交换机群,所述交换机群包括多个交换机,所述方法包括:获取流经每个交换机的流量数据;获取所述流量数据的多个目标特征向量;所述目标特征向量为可以判断所述流量数据是否为DDoS攻击流量的特征向量;基于所述多个目标特征向量,建立所述交换机群的高斯混合模型;所述高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布;基于所述每个交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到多个估计结果;一个交换机对应于一个估计结果;基于所述多个估计结果,判断所述流量数据是否为DDoS攻击流量。
进一步地,获取所述流量数据的多个目标特征向量,包括:提取所述流量数据的所有特征向量;利用随机森林算法对所述特征向量进行分类,确定每个特征向量所属类别;基于每个特征向量所属的类别在判断所述流量数据是否为DDoS攻击流量时的权重,对所述特征向量进行排序;将排序之后的特征向量中,排在前面N个的特征向量作为目标特征向量;N为正整数。
进一步地,基于所述每个交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到多个估计结果,包括:基于目标交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到目标估计结果;所述目标交换机为所述交换机群中的一个交换机。
进一步地,基于目标交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到目标估计结果,包括:利用变分贝叶斯推断,将对所述高斯混合模型的参数估计转化为对目标自然参数向量的优化;基于目标交换机的流量数据,对目标自然参数向量进行优化,得到初始自然参数向量;所述目标交换机为所述交换机群中的一个交换机;获取与所述目标交换机相邻的多个交换机对所述目标自然参数向量进行优化时所得到的多个自然参数中间量;基于所述多个自然参数中间量对所述初始自然参数向量进行迭代计算,得到优化之后的自然参数向量;其中,所述迭代计算为随机梯度下降计算方法;基于所述优化之后的自然参数向量,对所述高斯混合模型进行参数估计,得到估计结果。
进一步地,基于所述多个估计结果,判断所述流量数据是否为DDoS攻击流量,包括:将所述多个估计结果发送到服务器终端,以使所述服务器终端基于所述多个估计结果,判断所述流量数据是否为DDoS攻击流量;所述服务器终端为与所述交换机群相连接的终端。
第二方面,本发明实施例还提供了一种基于变分贝叶斯的网内DDoS攻击流量检测系统,应用于交换机群,所述交换机群包括多个交换机,所述系统包括:第一获取模块,第二获取模块,模型建立模块,估计模块和判断模块,其中,所述第一获取模块,用于获取流经每个交换机的流量数据;所述第二获取模块,用于获取所述流量数据的多个目标特征向量;所述目标特征向量为可以判断所述流量数据是否为DDoS攻击流量的特征向量;所述模型建立模块,用于基于所述多个目标特征向量,建立所述交换机群的高斯混合模型;所述高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布;所述估计模块,用于基于所述每个交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到多个估计结果;一个交换机对应于一个估计结果;所述判断模块,用于基于所述多个估计结果,判断所述流量数据是否为DDoS攻击流量。
进一步地,所述第二获取模块,还用于:提取所述流量数据的所有特征向量;利用随机森林算法对所述特征向量进行分类,确定每个特征向量所属类别;基于每个特征向量所属的类别在判断所述流量数据是否为DDoS攻击流量时的权重,对所述特征向量进行排序;将排序之后的特征向量中,排在前面N个的特征向量作为目标特征向量;N为正整数。
进一步地,所述估计模块,还用于:基于目标交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到目标估计结果;所述目标交换机为所述交换机群中的一个交换机。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法的步骤。
第四方面,本发明实施例还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述第一方面所述方法。
本发明提供了一种基于变分贝叶斯的网内DDoS攻击流量检测方法和系统,通过在交换机群部署分布式变分贝叶斯推断算法,在传统变分贝叶斯的基础之上将推断问题转化为优化为题,可以使得各个交换机之间交互合作,对交换机处理的流量进行特征向量分析以及DDoS检测,缓解了现有技术中存在的内存效率低下的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于变分贝叶斯的网内DDoS攻击流量检测方法的流程图;
图2为本发明实施例提供的一种交换机群系统的模型示意图;
图3为本发明实施例提供的一种基于变分贝叶斯的网内DDoS攻击流量检测系统的示意图;
图4为本发明实施例提供的一种路由节点的网络拓扑图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
图1是根据本发明实施例提供的一种基于变分贝叶斯的网内DDoS攻击流量检测方法的流程图,该方法应用于交换机群,交换机群包括多个交换机,每个交换机之间可以协同合作,且相邻之间的交换机可以交换数据信息,其中,相邻之间的交换机指处于可直接通信距离之内的交换机。如图1所示,该方法具体包括如下步骤:
步骤S102,获取流经每个交换机的流量数据。
步骤S104,获取流量数据的多个目标特征向量;目标特征向量为可以判断流量数据是否为DDoS攻击流量的特征向量。
例如,目标特征向量可以是以下至少之一:过去两秒内,与当前连接具有相同目标主机的连接中,与当前连接具有相同服务的百分比;前100个连接中,与当前连接具有相同目标主机相同服务的连接数;过去两秒内,与当前连接具有相同的目标主机的连接数;前100个连接中,与当前连接具有相同目标主机的连接中,出现SYN错误的连接所占的百分比;过去两秒内,与当前连接具有相同服务的连接数;前100个连接中,与当前连接具有相同的目标主机的连接数等。
步骤S106,基于多个目标特征向量,建立交换机群的高斯混合模型;高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布。
给定的数据特征可知,所有数据是在ΔT内收集的,将当前需要处理的ΔT内一组流量特征向量作为该流量数据的组成成分,每个节点收到的所有流量数据,在每个成分上都可以拟合成一个高斯分布,则所有的成分向量构成高斯混合模型。
具体地,高斯混合模型的数学形式如下:
Figure GDA0002701745730000061
其中,每个p(x|ωjj)都是一个高斯成分,共由c个成分组成,且满足约束条件:
Figure GDA0002701745730000062
每个成分都是高斯分布。
步骤S108,基于每个交换机的流量数据,利用变分贝叶斯推断对高斯混合模型进行参数估计,得到多个估计结果;一个交换机对应于一个估计结果。
具体地,每个交换机基于本地的流量数据利用变分贝叶斯推断,对高斯混合模型进行参数估计,在参数估计过程中,与相邻的交换机进行数据交换并进行交互迭代计算,最终每个交换机得到各自对应的估计结果。
步骤S110,基于多个估计结果,判断流量数据是否为DDoS攻击流量。
具体地,将多个估计结果发送到服务器终端,以使服务器终端基于多个估计结果,判断流量数据是否为DDoS攻击流量;服务器终端为与交换机群相连接的终端。
本发明提供了一种基于变分贝叶斯的网内DDoS攻击流量检测方法,通过在交换机群部署分布式变分贝叶斯推断算法,在传统变分贝叶斯的基础之上将推断问题转化为优化为题,可以使得各个交换机之间交互合作,对交换机处理的流量进行特征向量分析以及DDoS检测,缓解了现有技术中存在的内存效率低下的技术问题。
可选地,步骤S104还包括:
步骤S1041,提取流量数据的所有特征向量;
步骤S1042,利用随机森林算法对特征向量进行分类,确定每个特征向量所属类别;
步骤S1043,基于每个特征向量所属的类别在判断流量数据是否为DDoS攻击流量时的权重,对特征向量进行排序;
步骤S1044,将排序之后的特征向量中,排在前面N个的特征向量作为目标特征向量;N为正整数。
可选地,步骤S108中,针对于一个交换机,还包括:基于目标交换机的流量数据,利用变分贝叶斯推断对高斯混合模型进行参数估计,得到目标估计结果;目标交换机为交换机群中的一个交换机。具体地,包括如下步骤:
步骤S1081,利用变分贝叶斯推断,将对高斯混合模型的参数估计转化为对目标自然参数向量的优化。
步骤S1082,基于目标交换机的流量数据,对目标自然参数向量进行优化,得到初始自然参数向量;目标交换机为交换机群中的一个交换机。
步骤S1083,获取与目标交换机相邻的多个交换机对目标自然参数向量进行优化时所得到的多个自然参数中间量。
步骤S1084,基于多个自然参数中间量对初始自然参数向量进行迭代计算,得到优化之后的自然参数向量。其中,迭代计算为随机梯度下降计算方法。
步骤S1085,基于优化之后的自然参数向量,对高斯混合模型进行参数估计,得到估计结果。
具体地,关于DDoS攻击流量检测的后验概率p(x|θ)的近似解析表达式和证据(logevidence)的下界l(Q),又称为变分自由能(variational free energy),变分自由能可以写成一个能量项与一个熵项相加的形式:
l(Q(Z))=EQ[logP(z,x)]+H[Q(z)]
由朴素平均场理论(
Figure GDA0002701745730000081
mean field theory),可以将优化问题的优化空间限制在较易刻画的分布子集中。假定为未观测变量的变分后验分布能够在z={z1,…,zM}上分解成:
Figure GDA0002701745730000082
在共轭指数族分布下,Q(z)可重参数化为:
Figure GDA0002701745730000083
其中,
Figure GDA0002701745730000084
是qm的最佳分布,自然参数可以看作为超参数的函数,且不用考虑局部变量和隐变量{yi}。混合系数为{πi},Dirichlet分布的自然参数向量为:
Figure GDA0002701745730000085
Normal-Wishart分布的自然参数向量为:
Figure GDA0002701745730000091
引入属于指数族的联合分布
Figure GDA0002701745730000092
的全局自然参数向量
Figure GDA0002701745730000093
Figure GDA0002701745730000094
该全局自然参数向量就是节点间交换的消息。
由于变分分布的形式已给定,且在迭代过程中保持不变,上面给出的最佳分布可以由它的自然参数向量
Figure GDA0002701745730000095
确定和表示。
最小化KL散度等价于最大化变分自由能,推断问题变为分布函数优化问题。变分自由能的优化求解问题则可以直接用参数空间中的自然参数向量来优化,取代用概率空间中的变分分布优化。
Figure GDA0002701745730000096
Q*是最大化全局下界l(Q)的最优变分分布,
Figure GDA0002701745730000097
是最大化局部下界li的最优分布。即,完整观测数据的对数证据的全局下界式严格小于等于所有节点上重复观测数据的对数证据的下界的平均值,故不能单独最大化每个节点上的局部下界去达到一个全局最优。
VBE:
Figure GDA0002701745730000098
VBM:
Figure GDA0002701745730000099
给定全局自然参数
Figure GDA00027017457300000910
VBE的优化可以在各个节点上独自解决。
固定隐变量变分分布情况下,每个节点的全局模型参数的“最优”变分分布是
Figure GDA00027017457300000911
对应的自然参数向量是
Figure GDA00027017457300000912
即,局部下界li
Figure GDA00027017457300000913
固定情况下,在
Figure GDA00027017457300000914
处取到最大:
Figure GDA0002701745730000101
对li关于
Figure GDA0002701745730000102
求导置零,可得:
Figure GDA0002701745730000103
上式是各个节点上计算得到的局部最优自然参数的平均值。如果建立一个融合中心,可以得到所有节点的局部最优自然参数,则可设计一个集中式的VB算法。但考虑DDoS攻击中占用大量的网络资源,同时兼顾低成本网络系统,本发明实施例提出了分布式估计方法去处理这个问题。
迭代过程(1)式和(2)式即为随机变分推断的分布式实现,每个节点使用本地数据执行一次梯度上升步骤,(2)式将所有的局部估计扩散到整个网络,可看为是随着VB迭代过程逐渐采集全局充分统计量得过程。基于梯度的方法能够将上一步的估计量
Figure GDA0002701745730000104
考虑到(1)式中,而该
Figure GDA0002701745730000105
是通过在整个网络是扩散所有节点估计值获得的结果。因此,梯度上升的收敛值(1)式是全局目标函数的解,而不是局部目标函数li的解。
基于梯度的分布式估计方法,不直接在每个节点上使用一阶条件得到局部最优
Figure GDA0002701745730000106
而使用随机梯度及一个扩散过程近似地获得全局自然参数。
Figure GDA0002701745730000107
表示节点i上经过一次梯度上升得到的中间量,对于每次迭代t,节点i上的更新方程为:
Figure GDA0002701745730000108
Figure GDA0002701745730000109
Figure GDA00027017457300001010
表示在黎曼空间上的自然梯度,ηt是步长,{ωij}是非负权重。一个分布的参数空间具有黎曼度量结构,这种情况下,自然梯度沿着最陡峭的方向。
整合出每个节点i计算全局自然参数的迭代公式:
Figure GDA00027017457300001011
上式第一项把信息扩散到整个网络中,第二项使用本地数据和从邻居获得的信息逐渐更新估计量。
自然梯度下降步骤中,选择时变步长
Figure GDA0002701745730000111
在全局网络上,每个节点使用本地数据计算中间量
Figure GDA0002701745730000112
然后传送给邻居,并从邻居接收消息
Figure GDA0002701745730000113
由于中间路由的通信维度与分布式处理后的计算量比集中式处理降低很多,本发明实施例提供的方法很大程度上节约了通信资源和能量。Server端对每个处理时间段内的结果收集、记忆,并对下一时间段的处理集中调控。
可选地,图2是根据本发明实施例提供的一种交换机群系统的模型示意图。如图2所示,该系统包括集中式处理平台(即上述服务器终端)、协同合作的交换机群和边缘交换机,其中,集中式处理平台将内存中的流量信息下发控制交换机本轮处理,然后协同合作的交换机群中单个交换机进行本地流量检测,得到流量检测结果,并与邻居交换机本地流量检测结果进行交互迭代计算;同时,边缘交换机在本地运行DDoS检测算法,得到交换机本地流量检测结果;最后将各个交换机本轮流量检测信息反馈到集中式处理平台,由集中式处理平台对流量信息进行DDoS攻击判断。
本发明实施例提供的基于变分贝叶斯的网内DDoS攻击流量检测方法,利用基于分布式变分贝叶斯的算法对DDoS攻击流量检测,该算法在传统变分贝叶斯的基础之上将推断问题转变为优化问题,并以局部最优协调集中式处理达到求解全局最优的目的;该算法能够确定对到达流量针对DDoS的特征提取关键的指标,这些特征在交换机收集到的流量中可以直接得到,方便构建流量特征模型;建立了集中式与分布式结合的网内DDoS安全机制,利用了中央处理器的内存与计算能力,同时协调交换机的功能。
实施例二:
图3是根据本发明实施例提供的一种基于变分贝叶斯的网内DDoS攻击流量检测系统的示意图,该系统应用于交换机群,交换机群包括多个交换机。如图3所示,该系统包括:第一获取模块10,第二获取模块20,模型建立模块30,估计模块40和判断模块50。
具体地,第一获取模块10,用于获取流经每个交换机的流量数据。
第二获取模块20,用于获取流量数据的多个目标特征向量;目标特征向量为可以判断流量数据是否为DDoS攻击流量的特征向量。
模型建立模块30,用于基于多个目标特征向量,建立交换机群的高斯混合模型;高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布。
估计模块40,用于基于每个交换机的流量数据,利用变分贝叶斯推断对高斯混合模型进行参数估计,得到多个估计结果;一个交换机对应于一个估计结果。
判断模块50,用于基于多个估计结果,判断流量数据是否为DDoS攻击流量。
本发明提供了一种基于变分贝叶斯的网内DDoS攻击流量检测系统,通过在交换机群部署分布式变分贝叶斯推断算法,在传统变分贝叶斯的基础之上将推断问题转化为优化为题,可以使得各个交换机之间交互合作,对交换机处理的流量进行特征向量分析以及DDoS检测,缓解了现有技术中存在的内存效率低下的技术问题。
可选地,第二获取模块20,还用于:提取流量数据的所有特征向量;利用随机森林算法对特征向量进行分类,确定每个特征向量所属类别;基于每个特征向量所属的类别在判断流量数据是否为DDoS攻击流量时的权重,对特征向量进行排序;将排序之后的特征向量中,排在前面N个的特征向量作为目标特征向量;N为正整数。
可选地,估计模块40,还用于:基于目标交换机的流量数据,利用变分贝叶斯推断对高斯混合模型进行参数估计,得到目标估计结果;目标交换机为交换机群中的一个交换机。
下面是利用本发明实施例提供的一种基于变分贝叶斯的网内DDoS攻击流量检测方法,或一种基于变分贝叶斯的网内DDoS攻击流量检测系统的应用举例。例如,考虑一个具有20(N=20)个路由节点的网络,每个节点i有Ni个6维观测数据,则路由节点的网络拓扑图如图4所示。
在遭受DDoS攻击过程中,单个的收集的流量信息可以看作为该N组具有6个成分的GMM生成的。使用贝叶斯方法对混合模型建模可以避免极大似然容易过拟合的问题,但在贝叶斯混合模型中,后验概率很难计算。变分贝叶斯方法能为后验概率提供一个近似解析解。
定义1(邻居节点)N个节点组成的路由网络,由一系列节点V={1,2,…,N}和一系列的边γ组成,每条边(i,j)∈γ连接一对不同的无序节点对。对于每个节点i∈V,用Ni={j|(i,j)∈γ}表示节点i的一组邻居,(i≠j)。
据此,本发明实施例基于分布式变分贝斯推断算法的高斯混合模型(dVB-GMM):在单个节点i上利用VB将推断问题转变为优化变分自由能
Figure GDA0002701745730000131
函数,根据共轭指数族的重参化将分布优化问题转变为自然参数向量的优化问题。在全局网络上,每个节点使用本地数据计算中间量
Figure GDA0002701745730000132
然后传送给邻居,并从邻居接收消息
Figure GDA0002701745730000133
由于中间路由的通信维度与分布式处理后的计算量比集中式处理降低很多,本发明实施例提供的方法和系统很大程度上节约了通信资源和能量。Server端对每个处理时间段内的结果收集、记忆,并对下一时间段的处理集中调控。
本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例一中的方法的步骤。
本发明实施例还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行权利上述实施例一中的方法。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (5)

1.一种基于变分贝叶斯的网内DDoS攻击流量检测方法,其特征在于,应用于交换机群,所述交换机群包括多个交换机,所述方法包括:
获取流经每个交换机的流量数据;
获取所述流量数据的多个目标特征向量;所述目标特征向量为可以判断所述流量数据是否为DDoS攻击流量的特征向量;
基于所述多个目标特征向量,建立所述交换机群的高斯混合模型;所述高斯混合模型中的每一个高斯成分对应于一个目标特征向量的高斯分布;
基于所述每个交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到多个估计结果;一个交换机对应于一个估计结果;
基于所述多个估计结果,判断所述流量数据是否为DDoS攻击流量;
基于所述每个交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到多个估计结果,包括:
基于目标交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到目标估计结果;所述目标交换机为所述交换机群中的一个交换机;
基于目标交换机的流量数据,利用变分贝叶斯推断对所述高斯混合模型进行参数估计,得到目标估计结果,包括:
利用变分贝叶斯推断,将对所述高斯混合模型的参数估计转化为对目标自然参数向量的优化;
基于目标交换机的流量数据,对目标自然参数向量进行优化,得到初始自然参数向量;所述目标交换机为所述交换机群中的一个交换机;
获取与所述目标交换机相邻的多个交换机对所述目标自然参数向量进行优化时所得到的多个自然参数中间量;
基于所述多个自然参数中间量对所述初始自然参数向量进行迭代计算,得到优化之后的自然参数向量;其中,所述迭代计算为随机梯度下降计算方法;
基于所述优化之后的自然参数向量,对所述高斯混合模型进行参数估计,得到估计结果;
利用变分贝叶斯推断,将对所述高斯混合模型的参数估计转化为对目标自然参数向量的优化,包括:
高斯混合模型的数学形式如下:
Figure 477597DEST_PATH_IMAGE001
,其中,每个p(x|ωjj)都是一个高斯成分,共由c个成分组成,且满足约束条件:
Figure 354286DEST_PATH_IMAGE002
,每个成分都是高斯分布;
关于DDoS攻击流量检测的后验概率
Figure 176748DEST_PATH_IMAGE003
的近似解析表达式和证据的下界l(Q),又称为变分自由能,变分自由能写成一个能量项与一个熵项相加的形式:
l(Q(Z))=EQ[logP(z,x)]+H[Q(z)]
由朴素平均场理论,将优化问题的优化空间限制在较易刻画的分布子集中;将未观测变量的变分后验分布在z={z1,...,zM}上分解成:
Figure 443781DEST_PATH_IMAGE004
在共轭指数族分布下,将Q(z)重参数化为:
q* m(zm)=h(zm)exp{Φ m *Tμ(zm)-A(Φ m *)};
其中,q* m是qm的最佳分布,自然参数为超参数的函数,且不考虑局部变量和隐变量{yi};混合系数为{πi},Dirichlet分布的自然参数向量为:
Φ πi=[αi1-1,…,αiK-1]T
Normal-Wishart分布的自然参数向量为:
Figure 455731DEST_PATH_IMAGE005
引入属于指数族的联合分布
Figure 124610DEST_PATH_IMAGE006
的全局自然参数向量Φ θ,i
Figure 117973DEST_PATH_IMAGE007
,该全局自然参数向量就是节点间交换的消息。
2.根据权利要求1所述的方法,其特征在于,获取所述流量数据的多个目标特征向量,包括:
提取所述流量数据的所有特征向量;
利用随机森林算法对所述特征向量进行分类,确定每个特征向量所属类别;
基于每个特征向量所属的类别在判断所述流量数据是否为DDoS攻击流量时的权重,对所述特征向量进行排序;
将排序之后的特征向量中,排在前面N个的特征向量作为目标特征向量;N为正整数。
3.根据权利要求1所述的方法,其特征在于,基于所述多个估计结果,判断所述流量数据是否为DDoS攻击流量,包括:
将所述多个估计结果发送到服务器终端,以使所述服务器终端基于所述多个估计结果,判断所述流量数据是否为DDoS攻击流量;所述服务器终端为与所述交换机群相连接的终端。
4.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至3任一项所述的方法的步骤。
5.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1-3任一项所述方法。
CN202010828239.3A 2020-08-17 2020-08-17 基于变分贝叶斯的网内DDoS攻击流量检测方法和系统 Active CN111988306B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010828239.3A CN111988306B (zh) 2020-08-17 2020-08-17 基于变分贝叶斯的网内DDoS攻击流量检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010828239.3A CN111988306B (zh) 2020-08-17 2020-08-17 基于变分贝叶斯的网内DDoS攻击流量检测方法和系统

Publications (2)

Publication Number Publication Date
CN111988306A CN111988306A (zh) 2020-11-24
CN111988306B true CN111988306B (zh) 2021-08-24

Family

ID=73435630

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010828239.3A Active CN111988306B (zh) 2020-08-17 2020-08-17 基于变分贝叶斯的网内DDoS攻击流量检测方法和系统

Country Status (1)

Country Link
CN (1) CN111988306B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788063B (zh) * 2021-01-29 2022-03-01 湖南大学 基于RF-GMM的SDN中LDoS攻击检测方法
CN113242225B (zh) * 2021-04-30 2021-12-31 北京理工大学 基于流数据的黎曼流形结构的DDoS攻击检测方法
CN113514824B (zh) * 2021-07-06 2023-09-08 北京信息科技大学 安防雷达的多目标跟踪方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101383694A (zh) * 2007-09-03 2009-03-11 电子科技大学 基于数据挖掘技术的拒绝服务攻击防御方法和系统
CN109831392A (zh) * 2019-03-04 2019-05-31 中国科学技术大学 半监督网络流量分类方法
CN111262858A (zh) * 2020-01-16 2020-06-09 郑州轻工业大学 基于sa_soa_bp神经网络的网络安全态势预测方法
CN111262851A (zh) * 2020-01-14 2020-06-09 中移(杭州)信息技术有限公司 Ddos攻击检测方法、装置、电子设备及存储介质
US10693901B1 (en) * 2015-10-28 2020-06-23 Jpmorgan Chase Bank, N.A. Techniques for application security

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8015132B2 (en) * 2008-05-16 2011-09-06 Samsung Electronics Co., Ltd. System and method for object detection and classification with multiple threshold adaptive boosting
CN101594352B (zh) * 2009-07-02 2012-06-27 西安电子科技大学 基于新颖发现和窗函数的分类融合入侵检测方法
CN102957579B (zh) * 2012-09-29 2015-09-16 北京邮电大学 一种网络异常流量监测方法及装置
CN108632278A (zh) * 2018-05-08 2018-10-09 北京理工大学 一种基于pca与贝叶斯相结合的网络入侵检测方法
CN111314331B (zh) * 2020-02-05 2020-11-03 北京中科研究院 一种基于条件变分自编码器的未知网络攻击检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101383694A (zh) * 2007-09-03 2009-03-11 电子科技大学 基于数据挖掘技术的拒绝服务攻击防御方法和系统
US10693901B1 (en) * 2015-10-28 2020-06-23 Jpmorgan Chase Bank, N.A. Techniques for application security
CN109831392A (zh) * 2019-03-04 2019-05-31 中国科学技术大学 半监督网络流量分类方法
CN111262851A (zh) * 2020-01-14 2020-06-09 中移(杭州)信息技术有限公司 Ddos攻击检测方法、装置、电子设备及存储介质
CN111262858A (zh) * 2020-01-16 2020-06-09 郑州轻工业大学 基于sa_soa_bp神经网络的网络安全态势预测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《DDoS攻击检测研究及包过滤系统的设计》;付礼;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;20131115(第11期);第I139-116页 *

Also Published As

Publication number Publication date
CN111988306A (zh) 2020-11-24

Similar Documents

Publication Publication Date Title
CN111988306B (zh) 基于变分贝叶斯的网内DDoS攻击流量检测方法和系统
EP3304823B1 (en) Method and apparatus for computing cell density based rareness for use in anomaly detection
CN103281245B (zh) 确定业务路由路径的方法及装置
CN108833376B (zh) 面向软件定义网络的DoS攻击检测方法
CN112187891B (zh) 基于多业务的边缘计算节点集合的负载优化方法及装置
Tariq et al. Distributed spectral cluster management: A method for building dynamic publish/subscribe systems
CN112149967A (zh) 基于复杂系统理论的电力通信网脆弱性评估方法和系统
CN113271318B (zh) 网络威胁感知系统及方法
Zhao et al. H-trust: A robust and lightweight group reputation system for peer-to-peer desktop grid
CN113641500A (zh) 一种综合信任评价的海上边缘计算卸载方法
CN103747003A (zh) 对等僵尸网络核心节点检测方法及检测装置
CN109688106A (zh) 一种数据协同采集方法及系统
CN114785548B (zh) 流量智能监测平台
CN115277115A (zh) 一种用于解决网络上鲁棒信息传播问题的方法及系统
CN113344743B (zh) 一种智能电网的故障危害指数计算与脆弱性评估方法
CN102045186B (zh) 一种事件分析方法及系统
CN109041065B (zh) 一种面向两跳多副本自组网的节点信任管理方法
Huff et al. DHA-FL: Enabling efficient and effective AIoT via decentralized hierarchical asynchronous federated learning
Zhang et al. Maintenance of large scale wireless sensor networks
CN113114677A (zh) 一种僵尸网络检测方法及装置
CN106612523B (zh) 一种基于信息论的分布式无线网络可信路由建立方法
CN113572690B (zh) 面向可靠性的用电信息采集业务的数据传输方法
CN110351751A (zh) 一种基于抽样的动态分布式系统的共识方法
CN110009579A (zh) 一种基于头脑风暴优化算法的图像复原方法及系统
Makhloufi et al. Situated vs. global aggregation schemes for autonomous management systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant