CN112468439A - 基于深度学习方法的物联网DDoS攻击流量检测系统 - Google Patents
基于深度学习方法的物联网DDoS攻击流量检测系统 Download PDFInfo
- Publication number
- CN112468439A CN112468439A CN202011167972.1A CN202011167972A CN112468439A CN 112468439 A CN112468439 A CN 112468439A CN 202011167972 A CN202011167972 A CN 202011167972A CN 112468439 A CN112468439 A CN 112468439A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- model
- function
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 60
- 238000000034 method Methods 0.000 title claims abstract description 15
- 238000013135 deep learning Methods 0.000 title claims abstract description 12
- 238000012549 training Methods 0.000 claims abstract description 51
- 238000007781 pre-processing Methods 0.000 claims abstract description 22
- 238000013508 migration Methods 0.000 claims abstract description 12
- 230000005012 migration Effects 0.000 claims abstract description 12
- 230000006870 function Effects 0.000 claims description 51
- 238000013136 deep learning model Methods 0.000 claims description 23
- 238000013526 transfer learning Methods 0.000 claims description 22
- 238000000605 extraction Methods 0.000 claims description 18
- 238000013075 data extraction Methods 0.000 claims description 10
- 230000007123 defense Effects 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000011160 research Methods 0.000 abstract description 2
- 238000012360 testing method Methods 0.000 description 17
- 238000013461 design Methods 0.000 description 13
- 238000002474 experimental method Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 101100127285 Drosophila melanogaster unc-104 gene Proteins 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013401 experimental design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明为一种基于深度学习方法的物联网DDoS攻击流量检测系统,由数据预处理模块、迁移学习训练检测模块、结果输出分析模块和节点信息共享模块组成,数据预处理模块和迁移学习训练检测模块连接,所述迁移学习训练检测模块和结果输出分析模块连接,所述结果输出分析模块和节点信息共享模块连接;本发明填补了物联网DDoS流量检测软件领域的空白,方便科研人员使用,本发明开为一整套基于深度学习方法的流量检测系统,系统中集成了数据特征值自动提取功能、深度学习模型再训练功能、结果分析显示功能和检测节点间恶意攻击信息共享功能,用户仅需输入测试数据,系统通过调用自动特征提取功能模块和迁移学习训练检测模块即可为用户反馈检测结果。
Description
技术领域
本发明涉及物联网检测领域,具体涉及一种基于深度学习方法的物联网DDoS攻击流量检测系统。
背景技术
随着信息技术的发展,物联网(Internet of Things,IoT)设备广泛普及,但基于成本和实用性等因素的考量,IoT设备的网络安全问题经常被生产商忽略。黑客善于利用安全漏洞感染大量物联网设备进而组建僵尸网络,并以僵尸网络为跳板发起分布式拒绝服务(Distributed Denial of Service,DDoS)攻击。因此,物联网领域的安全问题亟需解决,DDoS攻击流量检测软件设计作为网络安全领域的一个分支,也亟需更新。
发明内容
根据以上技术问题,本发明提供一种基于深度学习方法的物联网DDoS攻击流量检测系统,其特征在于由数据预处理模块、迁移学习训练检测模块、结果输出分析模块和节点信息共享模块组成,数据预处理模块和迁移学习训练检测模块连接,所述迁移学习训练检测模块和结果输出分析模块连接,所述结果输出分析模块和节点信息共享模块连接;
所述数据预处理模块是对用户的输入数据进行预处理,转换为适合作为深度学习模型输入的数据,基于不同的深度学习模型,此模块又可细分为特征提取和灰度图像生成两个分支,其中特征提取分支主要基于Scapy库搭建,负责提取pcap数据包中的特征值,并将提取得到的特征值作为Page-Net模型的输入;灰度图像生成分支负责将用户输入的数据流信息通过维度转换等方式,以字节为基础单元生成二维灰度图像,作为ResC3D等模型的输入数据;
所述迁移学习训练检测模块中集成了两类功能:一是根据用户的选择调用深度学习模型,实现流量检测工作;二是引入迁移学习的概念,支持用户使用本地数据训练深度学习模型,以提高检测模型的泛化能力;
所述检测结果输出分析模块负责接收深度学习模块的输出结果,在完成预警功能的同时,还负责更新恶意IP文档,以供信息共享模块使用;
所述节点信息共享模块通过搭建HTTP服务器的形式,将结果分析模块的输出结果以HTTP post的形式在各个检测系统节点间进行共享。
所述数据预处理模块分别Page-Net模型、ResC3D模型两个模型,所述Page-Net模型包括数据提取单元、特征提取单元,所述ResC3D模型包括数据提取单元、灰度图像生成单元;所述Page-Net模型的数据提取单元实现数据提取功能;
所述迁移学习训练检测模块分别Page-Net模型、ResC3D模型两个模型,所述Page-Net模型包括数据检测单元、模型迁移学习训练单元,所述ResC3D模型包括数据检测单元、模型迁移学习训练单元;
所述结果输出分析模块包括预警提示单元、结果分析单元、结果输出单元;
所述节点信息共享模块包括模块初始化单元、结果接收单元、信息共享单元;
所述迁移学习训练的核心算法为Fine-tuning,。Fine-tuning的基本思想是以经过训练的模型参数为基准,初始化深度学习模型,得到源网络,再利用现有数据对源网络进行训练,生成目标网络。
所述节点信息共享模块实现方法为:
(ⅰ)初始化每个节点的HTTP服务器,使其处于运转状态,以实时监听其他节点的检测结果;
(ⅱ)若防御网络中任意一节点检测到恶意流量,则会对恶意攻击的IP地址进行识别提取,并更新本地恶意IP文档,而后,节点从HTTP服务器状态自动转换为客户端状态,利用HTTP post机制将检测到的恶意攻击IP地址信息打包,以发出服务请求的模式将打包的信息传递给其他节点;
(ⅲ)防御网络中的其他节点在接收到服务请求之后,将接收到数据包中的IP地址解析出来,而后与自己的恶意IP文档进行对比,若没有重复,则将新的恶意IP地址存储在恶意IP文档中;
(ⅳ)防御网络中各个节点恢复到初始化状态,继续监听。
所述节点信息共享模块通过使用Python环境中搭建HTTP服务器来实现。
本发明的有益效果为:本发明填补了物联网DDoS流量检测软件领域的空白,方便科研人员使用,本发明开发设计了一整套基于深度学习方法的流量检测系统,系统中集成了数据特征值自动提取功能、深度学习模型再训练功能、结果分析显示功能和检测节点间恶意攻击信息共享功能,用户仅需输入测试数据,系统通过调用自动特征提取功能模块和迁移学习训练检测模块即可为用户反馈检测结果。
附图说明
图1为本发明系统架构图。
图2为本发明功能模块图。
图3为本发明核心代码展示。
图4为本发明核心代码展示。
图5为本发明数据特征提取界面。
图6为本发明核心代码展示。
图7为本发明软件系统界面。
图8为本发明检测结果显示。
图9为本发明恶意IP文档生成流程。
图10为本发明信息共享实现流程。
图11为本发明实施例3特征值提取代码。
图12为本发明实施例3二维灰度图像集。
图13为本发明实施例3模型再训练界。
图14为本发明实施例3检测结果显示界面。
图15为本发明实施例3恶意IP文档更新。
图16为本发明实施例3节点共享实验设计。
具体实施方式
实施例1
本发明系统使用,用户将数据输入本发明系统后,首先由数据预处理模块通过调用特征提取函数或灰度图像生成函数提取特征值或生成灰度图像集,完成特征自动提取工作。若用户选择使用训练功能,软件系统会调用迁移学习训练检测模块的训练函数对深度学习模型进行再训练。若用户选择测试功能,系统会自动调用深度学习模型对数据进行检测,并将检测结果输送至结果输出模块。结果输出模块接收数据后,若发现异常,则启动预警机制,并将异常信息输送至信息共享模块进行共享。
实施例2
1、数据预处理模块设计与实现
ⅰ)Page-Net模型数据预处理算法介绍:
当用户选择使用Page-Net模型时,系统会自动调用特征提取模块,特征提取的具体设计算法如表2所示,功能实现的核心代码如图3所示。
ⅱ)ResC3D等模型数据预处理算法介绍:
当用户选择使用ResC3D等模型时,系统会自动调用二维灰度图像生成模块,具体设计算法如表3中所列,功能实现的核心代码如图4所示。
表2 Page-Net模型数据预处理算法
表3 ResC3D等模型数据预处理算法
ⅲ)模型界面设计展示:
软件系统启动后的界面如图5中(a)所示,在“选择模型”后的选择框中提供了模型列表供用户选择,用户可根据需要选择Page-Net模型或ResC3D等模型。在选定检测模型后,用户可根据软件的提示选择相应的测试数据,点击“选择pcap文件”按钮,软件系统将为用户弹出文件选择菜单栏,辅助用户选择文件,对话框如图5中(b)所示。选择相应的文件后,软件系统将会根据用户选择检测模型的不同而自动调用特征提取算法,进行特征提取。而后将提取得到的特征值或二维灰度图像分别传送至Page-Net模型或ResC3D等模型中进行检测。此处特征值选取的种类和数量及灰度图像的生成规则与第三章、第四章中内容一致。
2、迁移学习训练检测模块设计与实现
(1)迁移学习设计理念
迁移学习的基本概念是利用大量与检测目标(Target Data)没有直接相关性的数据(Source Data),辅助深度学习模型的训练,进而得到最好的检测效果。考虑到实验中使用的数据均为带标签数据,本节中使用Fine-tuning作为迁移学习训练的核心算法。Fine-tuning的基本思想是以经过训练的模型参数为基准,初始化深度学习模型,得到源网络,再利用现有数据对源网络进行训练,生成目标网络,此功能模块的部分核心代码如图6所示。
(2)界面展示
首先进入到系统的主界面,如图7中(a)所示,通过“模型选择”下拉菜单栏对需要进行训练的深度学习模型进行选择。通过单击“重新训练模型”,启动迁移学习训练模块,软件系统将会弹出迁移学习训练界面,如图7中(b)所示。
在迁移学习训练界面,软件系统为用户提供了“训练轮数”功能,支持用户根据现有数据的规模设置训练轮数。软件系统还为用户提供了“数据标签”功能,支持用户为训练数据设置标签。界面的主窗口为用户提供详细的训练过程信息。由于Page-Net模型和ResC3D等模型的训练选择及过程等信息一致,这里做统一介绍,不再细分。
用户可通过单击左上角“选择pcap文件”进行文件选择,文件选择界面与数据预处理界面一致,这里不再展示。在选择文件及标签工作完成后,单击“开始训练”按钮,软件系统将对深度学习模型进行训练。软件系统还为用户提供了初始化功能,用户可通过单击主界面的“恢复默认模型”按钮,将深度学习模型的参数恢复至训练前状态。
3、结果显示与分析模块设计与实现
(1)检测结果显示功能
在选定模型和pcap文件后,软件系统将会把检测结果的具体信息显示到主界面中,如图8中所示。
(2)检测结果信息传递功能
此功能负责将检测得到的DDoS攻击流量的源IP地址信息保存至恶意IP文档中,而后传送至信息共享模块,具体工作流程如图5-9所示。
4、节点间信息共享模块设计与实现
(1)信息共享模块的实现
为实现功能,首先应在各个节点上部署可在广域网上访问的轻量级HTTP服务器并实现节点间的相互访问。功能实现的流程如图10所示,实现算法如下:
(ⅰ)初始化每个节点的HTTP服务器,使其处于运转状态,以实时监听其他节点的检测结果。
(ⅱ)若防御网络中任意一节点检测到恶意流量,则会对恶意攻击的IP地址进行识别提取,并更新本地恶意IP文档。而后,节点从HTTP服务器状态自动转换为客户端状态,利用HTTP post机制将检测到的恶意攻击IP地址信息打包,以发出服务请求的模式将打包的信息传递给其他节点。
(ⅲ)防御网络中的其他节点在接收到服务请求之后,将接收到数据包中的IP地址解析出来,而后与自己的恶意IP文档进行对比,若没有重复,则将新的恶意IP地址存储在恶意IP文档中。
(ⅳ)防御网络中各个节点恢复到初始化状态,继续监听。
节点信息共享模块的部分内容目前已进行专利申请,因此未将核心代码进行展示。
(2)共享模型算法设计之比较
在共享模型的设计和实现这一部分,本章考虑了诸多方案,如以太坊智能合约、kafka、JDK环境下基于Java语言的server-client共享数据等,上述各类算法的设计思想如表4所示。
表4 共享模型算法设计
最终选择使用Python环境中搭建HTTP服务器来实现节点间信息的共享,理由如下:
(1)此方案的开发环境与深度学习模型相同,不仅维护方便,模块间的接口兼容性也更好。其他几种算法的实现需要搭建相应的软件运行环境、配置环境变量或实现虚拟操作系统等,复杂度较高。
(2)目前Python开发环境的兼容性、通用性较好,使用的范围也较为广泛,共享机制在Python环境下开发有助于后续功能的扩充及现实环境中的部署。
实施例3
本系统中的各种功能使用测试如下:
1、数据预处理功能测试
(1)Page-Net数据提取功能测试
为测试Page-Net数据提取功能,我们在源代码中增加了打印数据包特征的语句,在运行软件检测功能以后,命令行中有图11所示的输出。其中,每一行表示一个数据包的时间间隔、协议、IP发散度和包长度四个特征。在图11中,5个数据包特征为一组特征值,图中显示了2组。
(2)灰度图像数据提取功能测试
测试实验中,首先利用pkt2flow工具将pcap数据文件转换成数据流,由于操作系统及平台等因素的限制,此部分并未集成到检测软件中。在软件主界面菜单栏“选择模型”中选择使用ResC3D模型,而后选择数据流的pcap包,将数据流输入至ResC3D特征提取模块,借助Numpy中的fromfile函数将pcap文件转换为字节,而后使用reshape函数对数据进行维度转换,即可得到如图12所示的二维灰度图像集合,每个图像集合中包含16个16×16的图像元素。
2、深度学习模型迁移训练功能测试
测试实验中,首先选择深度学习模型,而后单击“重新训练模型”进入迁移学习训练界面,单击“选择pcap文件”进行训练数据集的选取。软件系统会根据用户选择自动调用特征提取算法或二维灰度图像生成算法。
开始训练:训练数据集加载完成后,软件系统将自动启动训练机制对深度学习模型进行训练,并将训练的细节内容反馈给用户,如图13中(a)所示。
训练结束:软件系统根据用户设置的训练轮数完成训练后,将显示“训练结束”,如图13中(b)所示。至此,目标神经网络参数更新完毕,用户可以使用训练后的深度学习模型对数据进行检测。软件中集成的ResC3D等模型训练功能与Page-Net一致,且训练时间过长,这里不再展示。
3、检测结果显示功能测试
(1)检测结果显示功能:当软件系统根据用户的选择和输入数据完成检测后,会通过主界面展示的方式将检测结果反馈给用户,具体内容如图14中红色框图内显示的信息:
(2)恶意IP文档更新:测试实验中,我们首先生成用于存储恶意IP地址的文本文档,并将其命名为IP_blacklist.txt,当检测模块检测完成之后,会将恶意IP地址存储在恶意IP文档中,如图15所示。
4、检测系统节点共享测试
在共享功能验证实验中,我们使用三台电脑模拟检测系统信息共享节点。具体的节点实验配置如下:
A.Dell G3,Intel Core i5-9300(2.2GHz/L3 9M)8GB DDR3 RAM,64bit,Windows10
B.Acer Tx40-G1,Intel Core i5-6200U(2.3GHz)4GB DDR3 RAM,64bit,Windows10
C.iMac,Intel Core i5(2.3GHz)8GB DDR3 RAM,64bit,macOS
实验验证过程:实验中各节点之间是互相连通、可信的且拥有其他节点的通信地址。网络中任一检测节点识别到恶意流量信息后,会对攻击设备的IP地址进行识别并存储在恶意IP文档中,继而分享给网络中的其他节点。实验过程设计如图16所示。
由于节点间信息共享是软件系统在后台自动完成的,因此,为直观展示信息共享过程,我们专门设计了检测程序界面,模拟当任一节点(A.Dell G3)接收到来自其他节点(B.Acer Tx40-G1)传递的IP地址信息后更新恶意IP文档的过程。
下面结合检测程序进行展示,首先给出测试程序的主界面,在输入栏中输入IP地址信息模拟节点接收到来自其他节点的IP地址信息,单击测试按钮,系统会给出如下提示,因为在恶意IP文档中已经存在输入的IP地址,软件系统会自动忽略此信息,若在输入栏输入恶意IP文档中不存在的IP地址,则系统会自动的将此IP地址存储至恶意IP文档中。
此时恶意IP文档的内容也得到了更新。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本发明提到的各个部件为现有领域常见技术,本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (4)
1.一种基于深度学习方法的物联网DDoS攻击流量检测系统,其特征在于由数据预处理模块、迁移学习训练检测模块、结果输出分析模块和节点信息共享模块组成,数据预处理模块和迁移学习训练检测模块连接,所述迁移学习训练检测模块和结果输出分析模块连接,所述结果输出分析模块和节点信息共享模块连接;
所述数据预处理模块是对用户的输入数据进行预处理,转换为适合作为深度学习模型输入的数据,基于不同的深度学习模型,此模块又可细分为特征提取和灰度图像生成两个分支,其中特征提取分支主要基于Scapy库搭建,负责提取pcap数据包中的特征值,并将提取得到的特征值作为Page-Net模型的输入;灰度图像生成分支负责将用户输入的数据流信息通过维度转换等方式,以字节为基础单元生成二维灰度图像,作为ResC3D等模型的输入数据;
所述迁移学习训练检测模块中集成了两类功能:一是根据用户的选择调用深度学习模型,实现流量检测工作;二是引入迁移学习的概念,支持用户使用本地数据训练深度学习模型,以提高检测模型的泛化能力;
所述检测结果输出分析模块负责接收深度学习模块的输出结果,在完成预警功能的同时,还负责更新恶意IP文档,以供信息共享模块使用;
所述节点信息共享模块通过搭建HTTP服务器的形式,将结果分析模块的输出结果以HTTP post的形式在各个检测系统节点间进行共享。
2.按照权利要求1所述的一种基于深度学习方法的物联网DDoS攻击流量检测系统,其特征在于所述数据预处理模块分别Page-Net模型、ResC3D模型两个模型,所述Page-Net模型包括数据提取单元、特征提取单元,实现数据提权功能和特征提取功能,所述ResC3D模型包括数据提取单元、灰度图像生成单元,实现数据提取功能和灰度图像生成功能;
所述迁移学习训练检测模块分别Page-Net模型、ResC3D模型两个模型,所述Page-Net模型包括数据检测单元、模型迁移学习训练单元,实现数据检测功能、模型迁移学习训练功能,所述ResC3D模型包括数据检测单元、模型迁移学习训练单元,实现数据检测功能、模型迁移学习训练功能;
所述结果输出分析模块包括预警提示单元、结果分析单元、结果输出单元,实现预警提示功能、结果分析功能、结果输出功能;
所述节点信息共享模块包括模块初始化单元、结果接收单元、信息共享单元,实现模块初始化功能、结果接功能、信息共享功能。
3.按照权利要求1所述的一种基于深度学习方法的物联网DDoS攻击流量检测系统,其特征在于所述迁移学习训练的核心算法为Fine-tuning,Fine-tuning的基本思想是以经过训练的模型参数为基准,初始化深度学习模型,得到源网络,再利用现有数据对源网络进行训练,生成目标网络。
4.按照权利要求1所述的一种基于深度学习方法的物联网DDoS攻击流量检测系统,其特征在于所述节点信息共享模块实现方法为:
(ⅰ)初始化每个节点的HTTP服务器,使其处于运转状态,以实时监听其他节点的检测结果;
(ⅱ)若防御网络中任意一节点检测到恶意流量,则会对恶意攻击的IP地址进行识别提取,并更新本地恶意IP文档,而后,节点从HTTP服务器状态自动转换为客户端状态,利用HTTP post机制将检测到的恶意攻击IP地址信息打包,以发出服务请求的模式将打包的信息传递给其他节点;
(ⅲ)防御网络中的其他节点在接收到服务请求之后,将接收到数据包中的IP地址解析出来,而后与自己的恶意IP文档进行对比,若没有重复,则将新的恶意IP地址存储在恶意IP文档中;
(ⅳ)防御网络中各个节点恢复到初始化状态,继续监听。
所述节点信息共享模块通过使用Python环境中搭建HTTP服务器来实现。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011167972.1A CN112468439B (zh) | 2020-10-28 | 2020-10-28 | 基于深度学习方法的物联网DDoS攻击流量检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011167972.1A CN112468439B (zh) | 2020-10-28 | 2020-10-28 | 基于深度学习方法的物联网DDoS攻击流量检测系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112468439A true CN112468439A (zh) | 2021-03-09 |
CN112468439B CN112468439B (zh) | 2023-10-24 |
Family
ID=74835515
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011167972.1A Active CN112468439B (zh) | 2020-10-28 | 2020-10-28 | 基于深度学习方法的物联网DDoS攻击流量检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112468439B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113206859A (zh) * | 2021-05-17 | 2021-08-03 | 北京交通大学 | 一种针对低速率DDoS攻击的检测方法和系统 |
CN114465769A (zh) * | 2021-12-28 | 2022-05-10 | 尚承科技股份有限公司 | 学习网络行为特征的网络设备、处理系统与方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110011999A (zh) * | 2019-03-29 | 2019-07-12 | 东北大学 | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 |
CN110572362A (zh) * | 2019-08-05 | 2019-12-13 | 北京邮电大学 | 针对多类不均衡异常流量的网络攻击检测方法及装置 |
CN111224994A (zh) * | 2020-01-15 | 2020-06-02 | 南京邮电大学 | 一种基于特征选择的僵尸网络检测方法 |
KR20200095219A (ko) * | 2019-01-31 | 2020-08-10 | (주)에이알씨엔에스 | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 |
US10778705B1 (en) * | 2019-04-05 | 2020-09-15 | Hoseo University Academic Cooperation Foundation | Deep-learning-based intrusion detection method, system and computer program for web applications |
-
2020
- 2020-10-28 CN CN202011167972.1A patent/CN112468439B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200095219A (ko) * | 2019-01-31 | 2020-08-10 | (주)에이알씨엔에스 | 딥 러닝을 이용한 네트워크 공격 탐지 시스템 |
CN110011999A (zh) * | 2019-03-29 | 2019-07-12 | 东北大学 | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 |
US10778705B1 (en) * | 2019-04-05 | 2020-09-15 | Hoseo University Academic Cooperation Foundation | Deep-learning-based intrusion detection method, system and computer program for web applications |
CN110572362A (zh) * | 2019-08-05 | 2019-12-13 | 北京邮电大学 | 针对多类不均衡异常流量的网络攻击检测方法及装置 |
CN111224994A (zh) * | 2020-01-15 | 2020-06-02 | 南京邮电大学 | 一种基于特征选择的僵尸网络检测方法 |
Non-Patent Citations (1)
Title |
---|
韩长江等: "物联网分布式拒绝服务攻击流量检测研究概述", 《通信电源技术》, vol. 37, no. 3, pages 185 - 186 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113206859A (zh) * | 2021-05-17 | 2021-08-03 | 北京交通大学 | 一种针对低速率DDoS攻击的检测方法和系统 |
CN114465769A (zh) * | 2021-12-28 | 2022-05-10 | 尚承科技股份有限公司 | 学习网络行为特征的网络设备、处理系统与方法 |
CN114465769B (zh) * | 2021-12-28 | 2024-03-15 | 尚承科技股份有限公司 | 学习网络行为特征的网络设备、处理系统与方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112468439B (zh) | 2023-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109104441A (zh) | 一种基于深度学习的加密恶意流量的检测系统和方法 | |
US8732098B2 (en) | Hierarchical temporal memory (HTM) system deployed as web service | |
US20080208966A1 (en) | Hierarchical Temporal Memory (HTM) System Deployed as Web Service | |
CN112468439B (zh) | 基于深度学习方法的物联网DDoS攻击流量检测系统 | |
CN109246027B (zh) | 一种网络维护的方法、装置和终端设备 | |
KR102168496B1 (ko) | 전이 학습을 위한 환경분석 및 보정시스템과 그 방법 | |
US10848507B1 (en) | Reactive virtual security appliances | |
CN107360145A (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
CN107133578A (zh) | 一种基于文件传输的人脸表情识别方法及系统 | |
CN112929218B (zh) | 一种工控靶场虚实环境自动生成系统及装置 | |
CN107203470B (zh) | 页面调试方法和装置 | |
CN109614093B (zh) | 可视化智能合约系统以及智能合约的处理方法 | |
CN103901847A (zh) | 一种印刷机远程故障监测系统及方法 | |
CN104852823B (zh) | 进程的监测方法、装置和系统 | |
CN113778871A (zh) | Mock测试方法、装置、设备及存储介质 | |
CN113722717B (zh) | 一种安全漏洞测试方法、装置、设备及可读存储介质 | |
CN108388802A (zh) | 一种脚本注入攻击的告警方法及告警系统 | |
CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
CN111126440A (zh) | 一种基于深度学习的一体化工控蜜罐识别系统及方法 | |
CN113726545A (zh) | 基于知识增强生成对抗网络的网络流量生成方法及装置 | |
Shan et al. | NeuPot: A neural network-based honeypot for detecting cyber threats in industrial control systems | |
CN113391992A (zh) | 测试数据的生成方法和装置、存储介质及电子设备 | |
CN114205526B (zh) | 一种网络摄像机算法接入方法、系统、介质及电子终端 | |
CN110135159A (zh) | 恶意代码壳识别与静态脱壳方法和系统 | |
CN115242461A (zh) | 一种机器人操作系统ros安全测试系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |