CN112968891B - 网络攻击防御方法、装置及计算机可读存储介质 - Google Patents

Abstract

本申请公开了一种网络攻击防御方法、装置及计算机可读存储介质。其中，方法包括预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型；当检测到频繁流量攻击，发送反攻击控制指令；当接收到反攻击控制指令，将网络流量通信数据输入至网络防攻击模型中，得到相应的网络防御处理方式；根据网络防御处理方式执行网络攻击防御操作。本申请可有效防御频繁流量攻击，提升通信网络的抗干扰性能。

Description

网络攻击防御方法、装置及计算机可读存储介质

技术领域

本申请涉及云计算技术领域，特别是涉及一种网络攻击防御方法、装置及计算机可读存储介质。

背景技术

随着云计算技术和互联网的快速发展，信息化逐渐覆盖到社会的各个领域，网络在日常生活和工作中不可或缺，为了保证网络数据安全性，防止网络攻击的技术应用而生。现有技术中防止网络攻击的方法有很多，常见的有通过用户日常安全维护的方法，例如检查日志、安装安全软件、修补漏洞等等。这种方法依靠主观判断，纯手动进行日常安全运维，其优点是经过测验、防攻击准确；缺点是事后处理，耗时耗力，不能对未出现的危险攻击信息进行事先阻止。尤其是对于一些无解攻击来说，实现起来更为艰难，且后果更严重。

为了解决上述方法的弊端，相关技术采用防火墙技术防御网络攻击，但这种方法只能解决一些常见的网络攻击，如木马病毒等。而对于如DDOS攻击(Distributed denialof service attack，分布式拒绝服务攻击)、CC(Challenge Collapsar Attack，挑战黑洞)攻击和ARP欺骗等不一般的攻击，防火墙是无法防御的，只有使用DDOS云防护才能有效防止这类不一般攻击。所以，只要有DDOS云防护以及日常安全运维的双重保障，网络防攻击安全还算比较有保障的。但是，流量攻击通常是一种十分粗暴的手段，其通过消耗带宽、消耗网络资源、或者不断请求网络来打垮服务器，以致网络无法正常运转。当面对这种攻击的时候，唯有DDOS云防护能防止此种攻击，将攻击流量引到高防节点上面，以确保源服务器网络不受攻击的影响。但是，由于DDOS云防护对不同维度的网络流量特征无法进行整合，DDOS云防护并不能真正有效地防御频繁流量攻击。

发明内容

本申请提供了一种网络攻击防御方法、装置及计算机可读存储介质，可有效防御频繁流量攻击，提升通信网络的抗干扰性能。

为解决上述技术问题，本发明实施例提供以下技术方案：

本发明实施例一方面提供了一种网络攻击防御方法，包括：

预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型；

当检测到频繁流量攻击，发送反攻击控制指令；

当接收到反攻击控制指令，将网络流量通信数据输入至所述网络防攻击模型中，得到相应的网络防御处理方式；

根据所述网络防御处理方式执行网络攻击防御操作。

可选的，所述通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型之前，还包括：

若当前网络流量样本为非线性结构样本，对所述当前网络流量样本进行映射操作，以确定所述当前网络流量样本的线性超平面。

可选的，所述当检测到频繁流量攻击之前，还包括：

根据预先定义的流量攻击类型实时检测是否遭受频繁流量攻击。

可选的，所述预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型之后，还包括：

预先构建网络通信加密线程和模型加密线程；

当检测到存在网络通信，调用所述网络通信加密线程对当前网络通信过程采用排列码加解密算法进行加密处理；

当检测到所述网络防攻击模型处于工作状态，调用所述模型加密线程对所述网络防攻击模型采用排列码加解密算法进行加密处理。

可选的，所述当检测到频繁流量攻击之后，还包括：

将当前实施所述频繁流量攻击的网络用户存储至攻击流量名单表中，并将所述网络用户和相应的网络流量攻击信息存入拦截记录中。

可选的，所述当检测到频繁流量攻击之后，还包括：

将所述拦截记录和所述攻击流量名单表上传至网络服务器中。

本发明实施例另一方面提供了一种网络攻击防御装置，包括：

模型预训练模块，用于预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型；

防攻击指令下发模块，用于当检测到频繁流量攻击，发送反攻击控制指令；

模型处理模块，用于当接收到反攻击控制指令，将网络流量通信数据输入至所述网络防攻击模型中，得到相应的网络防御处理方式；

防攻击模块，用于根据所述网络防御处理方式执行网络攻击防御操作。

可选的，所述模型预训练模块包括样本处理子模块，用于若当前网络流量样本为非线性结构样本，对所述当前网络流量样本进行映射操作，以确定所述当前网络流量样本的线性超平面。

本发明实施例还提供了一种网络攻击防御装置，包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如前任一项所述网络攻击防御方法的步骤。

本发明实施例最后还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有网络攻击防御程序，所述网络攻击防御程序被处理器执行时实现如前任一项所述网络攻击防御方法的步骤。

本申请提供的技术方案的优点在于，通过对不同维度的网络流量特征进行有效整合从而从根本上对类型网络流量集合建立流量攻击分类的网络防攻击模型，可主动分析网络的潜在安全威胁并给出相应的处理措施，实现可对频繁网络攻击进行有效预防及处理，有效防御频繁流量攻击，提升通信网络的抗干扰性能。

此外，本发明实施例还针对网络攻击防御方法提供了相应的实现装置及计算机可读存储介质，进一步使得所述方法更具有实用性，所述装置及计算机可读存储介质具有相应的优点。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

为了更清楚的说明本发明实施例或相关技术的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络攻击防御方法的流程示意图；

图2为本发明实施例提供的加密处理流程示意图；

图3为本发明实施例提供的网络攻击防御装置的一种具体实施方式结构图；

图4为本发明实施例提供的网络攻击防御装置的另一种具体实施方式结构图；

图5为本发明实施例提供的一种网络攻击防御系统的原理示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等是用于区别不同的对象，而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可包括没有列出的步骤或单元。

在介绍了本发明实施例的技术方案后，下面详细的说明本申请的各种非限制性实施方式。

首先参见图1，图1为本发明实施例提供的一种网络攻击防御方法的流程示意图，本发明实施例可包括以下内容：

S101：预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型。

本申请采用支持向量机算法，利用统计学的计量方式，借助构建分类超平面结构，对线性样本进行集中分类，从而优化线性不可分问题，真正优化样本，并映射到高维的目标。本步骤中所建立的网络防攻击模型的基本形式可表示为

其中，u、v为满足网络防攻击模型函数的随机参数，

为网络防攻击模型函数的结果集，G(u,v)为网络防攻击模型函数的防攻击集，H(u,v)为网络防攻击模型函数的攻击集，H(u,v)为0或者也可不为0。基于上述建立通信网络系统的目标函数为

式中：

为目标函数结果集，

为目标函数参数，Q为

的逆矩阵，表示通信网络中的攻击值，λ为权重参数，其为固定的常数，g为随机产生的数值，H为通信网络中的防攻击值，n为样本数。采用不同的Q值可以反映出不同状态下的网络耐受性能。通过对

的

进行求导，并求极值，可以得到：

式中：T为矩阵的转置，γ为权重参数，通信网络中的攻击值Q可为

R_n为样本n产生的防攻击值，R_f为样本f产生的防攻击值。

建立向量机的防攻击训练集T为T＝(x₁,y₁),…,(x_i,y_i)∈(X×Y)^l；其中，(x_i,y_i)为样本点，x_i∈X＝Rⁿ，Rⁿ为n维欧式空间，作为特征空间；y_i∈Y＝1,-1，且i＝1,…l，l为权值参数，其为固定常数。

可以发现，线性判别函数f(x)为f(x)＝x·w+b，x为线性判别函数的x坐标，w、b为超平面参数。

上述的求极值过程可简化成f(x)＝x·w+b＝0，该函数的应用条件为y_iw·x_i+b≥0。基于此，样本的训练集T₀为T₀＝(x_j,y_j)∈(X×Y)^n'，其中，x_j为第j个特征向量或者是第j个实例样本，y_j为x_j的类标记，n'为样本实例总数，x_j∈X＝Rⁿ，Rⁿ为n维欧式空间；y_j∈Y＝1,-1，且j＝1,…n'。

最终，网络通信的防流量攻击向量机函数为：

x·w+b＝0，||w||＝1；

式中，||w||为w的二范数，Δ为超平面参数，y为线性判别函数的y坐标。

本申请中，网络防攻击模型的训练样本包括多种类型的流量攻击样本数据，流量攻击类型例如可为：通过流量阀值进行检测，并进行会话检查的YN-ACK及ACK flood攻击；基于传输层的源合法性验证技术的SYN flood攻击。每种类型的流量攻击样本数据由相应类型的流量攻击特征和相应的防攻击处理方式组成，且每类的流量攻击特征为将该类型不同维度的网络流量特征进行整合所得。对于基于支持向量机训练得到的模型来说，给定一个包含正例和反例的样本集合，其目的是寻找一个超平面来对样本进行分割，把样本中的正例和反例用超平面分开，但是不是简单地分开，其原则是使正例和反例之间的间隔最大。基本原理是在样本空间或特征空间中求取最优超平面，使得超平面与不同种类样本集之间的距离最大，从而达到最大的泛化能力。在采用支持向量机模型进行分析的过程中，可结合通信系统的实际需求，建立健全、具有针对性的防攻击机制，有效转化非线性问题的同时，针对具体特征优化数据处理效果，构建系统化分类超平面，实现运行效率的全面优化。网络防攻击模型基于支持向量机算法可以建立最优分类超平面，对网络流量样本不同维度的网络流量特征进行整合，利用类型网络流量集合建立分类模型，从而判定处理方式和分类基本模型，并结合特征空间和反例样本结构对最优化分类超平面进行集中处理和求解。

S102：当检测到频繁流量攻击，发送反攻击控制指令。

本步骤中可预先定义的流量攻击类型如YN-ACK及ACK flood攻击等，然后可根据预先定义的流量攻击类型实时检测或者是按照固定的频率检测是否遭受频繁流量攻击。频繁流量攻击具体判定规则可为：(1)在一定的时间周期T内，网络被某种流量攻击的次数超过阈值Mx，则认为该网络被这种流量攻击；(2)在一定的时间周期T内，网络被多种不同流量攻击，并且多种不同流量攻击次数之加权平均值超过阈值My，则认为该网络被频繁流量攻击。在本步骤中，反攻击控制指令是用于指示执行采集网络流量通信数据并将网络流量通信数据输入至网络防攻击模型，并根据网络防攻击模型的输出结果执行防御操作，执行主语所在端包括多个功能模块，这个反攻击控制指令是由防攻击指令下发模块下发给模型处理模块的，模型处理模块接收到这个指令执行S103步骤。

S103：当接收到反攻击控制指令，将网络流量通信数据输入至网络防攻击模型中，得到相应的网络防御处理方式。

在本实施例中，当检测到存在网络流量攻击时就会下发反攻击控制指令，这时采集网络通信系统中的网络流量通信数据，并将采集的网络流量通信数据输入至网络防攻击模型，网络防攻击模型对网络流量通信数据进行处理得到与网络流量通信数据所属网络攻击类型对应的网络防御处理方式。

S104：根据网络防御处理方式执行网络攻击防御操作。

在本发明实施例提供的技术方案中，通过对不同维度的网络流量特征进行有效整合从而从根本上对类型网络流量集合建立流量攻击分类的网络防攻击模型，可主动分析网络的潜在安全威胁并给出相应的处理措施，实现可对频繁网络攻击进行有效预防及处理，有效防御频繁流量攻击，提升通信网络的抗干扰性能。在通信网络的攻击预防过程中，还可实现对存储空间的区分，并进一步建立保护应用程序目标文件的体系，真正落实访问控制，为网络通信系统过滤不良文件。

不可避免的，网络流量特征可能存在非线性数据结构，一般而言，在线性结构不可分的情况下要对向量机进行特殊化处理，尤其是在低维度空间内，由于找不到线性超平面，要想有效打开线性样本，就要对其进行映射操作，从而全面分离样本。

在本实施例中，若当前网络流量样本为非线性结构样本，对当前网络流量样本进行映射操作，以确定当前网络流量样本的线性超平面。

若当前网络流量通信数据对应的网络流量数据为非线性结构数据，在将其输入网络防攻击模型之前，可对当前网络流量数据进行映射操作，以确定当前网络流量样本的线性超平面。

作为一种可选的实施方式，为了提高网络防御效率，节省系统网络防护所占用资源，当网络用户通过流量访问网络并对网络进行攻击后，该网络流量被攻击流量，可将实施流量攻击的网络用户进行存储并拦截，也即将当前实施频繁流量攻击的网络用户存储至攻击流量名单表中，并将网络用户和相应的网络流量攻击信息存入拦截记录中。将拦截记录和攻击流量名单表上传至网络服务器中。

可以理解的是，要想提高安全性能，网络通信过程中还存在一个必须要解决的问题，就是加密网络通信。传统的DES、AES算法，无论在理论上还是技术上，破密难度充其量是2n，所以必须创立新的加密思路。如果在同一加密解密过程中，明文都可映射成密文，而密文也都可映射成明文，这样就形成了多对多的分组密码。在多对多的情况下，如果加密过程中记住的不仅仅是加密的结果，而且加密的密钥中还包含着由明文到密文的路径，解密时再顺原路变换回去，由明文到密文的路径远远大于2n，而明文到密文的路径和密文到明文的路径都是一对一的。由这个新概念就产生了排列码加密解密方法。因此，针对上述技术问题，本申请在实现网络防御攻击过程中对整个网络通信过程进行了加密处理，可包括下述内容：

预先构建网络通信加密线程和模型加密线程；

当检测到存在网络通信，调用网络通信加密线程对当前网络通信过程采用排列码加解密算法进行加密处理；

当检测到网络防攻击模型处于工作状态，调用模型加密线程对网络防攻击模型采用排列码加解密算法进行加密处理。网络防攻击模型处于工作状态是指网络防攻击模型是否对输入的网络流量数据进行处理，若是，则网络流量数据处于工作状态，若否，则网络流量数据不处于工作状态。

本实施例采用排列码加解密算法，例如n的全排列共有n！种不同的排列，可称为有n！个排列码，对这n！个排列码进行全排列，共有(n！)！个排列码编码方案，每个排列码编码方案都对应着一个算法，因此共有(n！)！个算法。该算法加密速度快，加密强度高。具体处理第一个分组把可用任何方法存入到密钥寄存器中的若干字节信息当作整数处理，就可以计算出n！中的一个排列，再用若干字节来确定加非门的位置，以后的分组可用这个整数加一个任意整数，假如所得整数大于n！，再取n！的模再加1做密钥，或加一个伪随机数做密钥，加一个伪随机数来改变加非门的位置。具体的加密流程可请参阅图2所示，打开数据库buffer指针，处理密码生成4组，生成256个排列。从中读取一个字节明文，判断是否满足结束阈值，若不满足结束阈值，把读取的字节分解，继续往下执行；若满足结束阈值，直接结束。分别执行低4位4轮加密、高4位4轮加密；把数组中的元素合成字节，写入一个字节的明文；读取一个字节的明文，跳转执行上述“判断是否满足结束阈值”的步骤。

由上可知，本发明实施例通过加密算法来保证整个网络通信系统使用过程的安全性。

需要说明的是，本申请中各步骤之间没有严格的先后执行顺序，只要符合逻辑上的顺序，则这些步骤可以同时执行，也可按照某种预设顺序执行，图1-图2只是一种示意方式，并不代表只能是这样的执行顺序。

本发明实施例还针对网络攻击防御方法提供了相应的装置，进一步使得方法更具有实用性。其中，装置可从功能模块的角度和硬件的角度分别说明。下面对本发明实施例提供的网络攻击防御装置进行介绍，下文描述的网络攻击防御装置与上文描述的网络攻击防御方法可相互对应参照。

基于功能模块的角度，参见图3，图3为本发明实施例提供的网络攻击防御装置在一种具体实施方式下的结构图，该装置可包括：

模型预训练模块301，用于预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型。

防攻击指令下发模块302，用于当检测到频繁流量攻击，发送反攻击控制指令。

模型处理模块303，用于当接收到反攻击控制指令，将网络流量通信数据输入至网络防攻击模型中，得到相应的网络防御处理方式。

防攻击模块304，用于根据网络防御处理方式执行网络攻击防御操作。

可选的，在本实施例的一些实施方式中，上述模型预训练模块301可包括样本处理子模块，用于若当前网络流量样本为非线性结构样本，对当前网络流量样本进行映射操作，以确定当前网络流量样本的线性超平面。

作为一种可选的实施方式，上述防攻击指令下发模块302可包括监控子模块，用于根据预先定义的流量攻击类型实时检测是否遭受频繁流量攻击。

可选的，在本实施例的另一些实施方式中，上述装置可包括加密处理模块，加密处理模块用于预先构建网络通信加密线程和模型加密线程；当检测到存在网络通信，调用网络通信加密线程对当前网络通信过程采用排列码加解密算法进行加密处理；当检测到网络防攻击模型处于工作状态，调用模型加密线程对网络防攻击模型采用排列码加解密算法进行加密处理。

作为另一种可选的实施方式，上述装置例如还可以包括攻击流量存储模块、拦截记录模块和信息上传模块；

攻击流量存储模块用于将当前实施频繁流量攻击的网络用户存储至攻击流量名单表中；

拦截记录模块用于将网络用户和相应的网络流量攻击信息存入拦截记录中；

信息上传模块用于将拦截记录和攻击流量名单表上传至网络服务器中。

本发明实施例网络攻击防御装置的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

由上可知，本发明实施例可有效防御频繁流量攻击，提升通信网络的抗干扰性能。

上文中提到的网络攻击防御装置是从功能模块的角度描述，进一步的，本申请还提供一种网络攻击防御装置，是从硬件角度描述。图4为本申请实施例提供的另一种网络攻击防御装置的结构图。如图4所示，该装置包括存储器40，用于存储计算机程序；

处理器41，用于执行计算机程序时实现如上述实施例提到的网络攻击防御方法的步骤。

其中，处理器41可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器41可以采用DSP(Digital Signal Processing，数字信号处理)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)、PLA(Programmable Logic Array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器41也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称CPU(Central ProcessingUnit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器41可以在集成有GPU(Graphics Processing Unit，图像处理器)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器41还可以包括AI(Artificial Intelligence，人工智能)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器40可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器40还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器40至少用于存储以下计算机程序401，其中，该计算机程序被处理器41加载并执行之后，能够实现前述任一实施例公开的网络攻击防御方法的相关步骤。另外，存储器40所存储的资源还可以包括操作系统402和数据403等，存储方式可以是短暂存储或者永久存储。其中，操作系统402可以包括Windows、Unix、Linux等。数据403可以包括但不限于网络攻击防御结果对应的数据等。

在一些实施例中，网络攻击防御装置还可包括有显示屏42、输入输出接口43、通信接口44、电源45以及通信总线46。

本领域技术人员可以理解，图4中示出的结构并不构成对网络攻击防御装置的限定，可以包括比图示更多或更少的组件，例如还可包括传感器47。

本发明实施例所述网络攻击防御装置的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

由上可知，本发明实施例可有效防御频繁流量攻击，提升通信网络的抗干扰性能。

可以理解的是，如果上述实施例中的网络攻击防御方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、磁碟或者光盘等各种可以存储程序代码的介质。

基于此，本发明实施例还提供了一种计算机可读存储介质，存储有网络攻击防御程序，所述网络攻击防御程序被处理器执行时如上任意一实施例所述网络攻击防御方法的步骤。

本发明实施例所述计算机可读存储介质的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

由上可知，本发明实施例可有效防御频繁流量攻击，提升通信网络的抗干扰性能。

为了使所属领域技术人员更加清楚明白本申请的技术方案，本申请还结合图5提供了一种网络攻击防御系统的示意性例子，可包括：

系统预先建立文件访问流程，应用程序需要调用API函数进行文件访问和读取，从而保证创建过程、打开操作以及读写执行指令得以全面落实，提高存储安全性。优化文件存储空间的区分结构，对保护模型的安装过程以及安装规则进行整合，在保护程序启动的基础上整合程序目标文件，实现访问控制。此外，还可创建用户交互模块，使其可对资源管理器、用户自定义授权、自动捕获数据结构等进行集中整合，对不同数据结构的整合可以为流量类型的整合提供依据，优化整体方案的实效性。数据整合过程可为：通过数据交换、采集形成基础业务数据，再通过数据整合进一步的数据ETL(数据抽取、转换、加载)，按照定制的标准信息规范进行匹配映射、数据格式转换，并对重复数据进行数据清洗、过滤、聚合、最后多维加载后形成标准化数据。可以采用数据同步工具和ETL工具完成数据抽取、同步等整合工作。

本实施例的网络攻击防御系统可包括控制模块、反攻击策略模块、通信模块、加解密算法模块、分析模块和向量机分类模型模块。分析模块与反攻击策略模块建立通信，统计并定义流量攻击类型，所定义的流量攻击类型用于生成反攻击策略的更新。控制模块、反攻击策略模块和网络流量通信，控制模块接收来自反攻击策略模块的反攻击控制指令，对网络流量通信进行控制，其通过反攻击策略模块的反攻击控制指令控制通信过程，包括反攻击策略模块和网络流量之间、分析模块与反攻击策略模块之间的通信过程。反攻击策略模块记录和更新本地网络流量记录，并通过通信模块将本地网络流量记录上传至网络服务器；加解密算法模块提供一种加密算法来保证整个装置使用过程的安全性；分析模块也与反攻击策略模块建立通信，统计并定义流量攻击类型，所定义的流量攻击类型用于生成反攻击策略的更新；向量机分类模型模块对不同维度的网络流量特征进行整合，利用类型网络流量集合建立分类模型，从而判定处理方式和分类基本模型。并结合特征空间和反例样本结构对最优化分类超平面进行集中处理和求解。

优选地，反攻击策略模块还可进一步包括拦截记录模块和攻击流量存储模块；拦截记录模块与网络用户模块、攻击流量存储模块以及通信模块通信，当网络用户通过流量访问网络并对网络进行攻击后，该网络流量被存入攻击流量存储模块；控制模块自动将该流量定义为攻击流量，并存入拦截记录；通过通信模块将拦截记录以及攻击流量名单上传至网络服务器。

由上可知，本发明实施例可有效防御频繁流量攻击，提升通信网络的抗干扰性能。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

以上对本申请所提供的一种网络攻击防御方法、装置及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (10)

1.一种网络攻击防御方法，其特征在于，包括：

预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型；

当检测到频繁流量攻击，发送反攻击控制指令；

当接收到反攻击控制指令，将网络流量通信数据输入至所述网络防攻击模型中，得到相应的网络防御处理方式；

根据所述网络防御处理方式执行网络攻击防御操作；

其中，所述基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型，包括：

所述网络防攻击模型的基本形式为

其中，u、v为满足网络防攻击模型函数的随机参数，

为网络防攻击模型函数的结果集，G(u,v)为网络防攻击模型函数的防攻击集，H(u,v)为网络防攻击模型函数的攻击集；基于所述网络防攻击模型的基本形式建立通信网络系统的目标函数为

式中，

为目标函数结果集，

为目标函数参数，Q为

的逆矩阵，表示通信网络中的攻击值，λ为权重参数，g为随机产生的数值，H为通信网络中的防攻击值，n为样本数；

通过对

的

进行求导，并求极值，可以得到：

其中

式中：T为矩阵的转置，γ为权重参数，通信网络中的攻击值Q为

R_n为样本n产生的防攻击值，R_f为样本f产生的防攻击值；

建立向量机的防攻击训练集T`为T`＝{(x₁，y₁)，…，(x_i，y_i)}∈(X×Y)^l；其中，(x_i,y_i)为样本点，x_i∈X＝Rⁿ，Rⁿ为n维欧式空间，作为特征空间；y_i∈Y＝{1，-1}，且i＝1,…l，l为权值参数；

线性判别函数f(x)为f(x)＝x·w+b，x为线性判别函数的x坐标，w、b为超平面参数；上述求极值过程简化成f(x)＝x·w+b＝0，该函数的应用条件为y_i[w·x_i+b]≥0，样本的训练集T₀为T₀＝{(x_j，y_j)}∈(X×Y)^n`，其中，x_j为第j个实例样本，y_j为x_j的类标记，n'为样本实例总数，x_j∈X＝Rⁿ；y_j∈Y＝{1，-1}，且j＝1,…n'；

最终，网络通信的防流量攻击向量机函数为：

x·w+b＝0，||w||＝1；

式中，||w||为w的二范数，Δ为超平面参数，y为线性判别函数的y坐标。

2.根据权利要求1所述的网络攻击防御方法，其特征在于，所述通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型之前，还包括：

若当前网络流量样本为非线性结构样本，对所述当前网络流量样本进行映射操作，以确定所述当前网络流量样本的线性超平面。

3.根据权利要求2所述的网络攻击防御方法，其特征在于，所述当检测到频繁流量攻击之前，还包括：

根据预先定义的流量攻击类型实时检测是否遭受频繁流量攻击。

4.根据权利要求1至3任意一项所述的网络攻击防御方法，其特征在于，所述预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型之后，还包括：

预先构建网络通信加密线程和模型加密线程；

当检测到存在网络通信，调用所述网络通信加密线程对当前网络通信过程采用排列码加解密算法进行加密处理；

当检测到所述网络防攻击模型处于工作状态，调用所述模型加密线程对所述网络防攻击模型采用排列码加解密算法进行加密处理。

5.根据权利要求4所述的网络攻击防御方法，其特征在于，所述当检测到频繁流量攻击之后，还包括：

将当前实施所述频繁流量攻击的网络用户存储至攻击流量名单表中，并将所述网络用户和相应的网络流量攻击信息存入拦截记录中。

6.根据权利要求5所述的网络攻击防御方法，其特征在于，所述当检测到频繁流量攻击之后，还包括：

将所述拦截记录和所述攻击流量名单表上传至网络服务器中。

7.一种网络攻击防御装置，其特征在于，包括：

模型预训练模块，用于预先基于支持向量机算法、通过对不同维度的网络流量样本进行整合训练得到网络防攻击模型；

防攻击指令下发模块，用于当检测到频繁流量攻击，发送反攻击控制指令；

模型处理模块，用于当接收到反攻击控制指令，将网络流量通信数据输入至所述网络防攻击模型中，得到相应的网络防御处理方式；

防攻击模块，用于根据所述网络防御处理方式执行网络攻击防御操作；

其中，所述模型预训练模块还用于：所述网络防攻击模型的基本形式为

其中，u、v为满足网络防攻击模型函数的随机参数，

为网络防攻击模型函数的结果集，G(u,v)为网络防攻击模型函数的防攻击集，H(u,v)为网络防攻击模型函数的攻击集；基于所述网络防攻击模型的基本形式建立通信网络系统的目标函数为

式中，

为目标函数结果集，

为目标函数参数，Q为

的逆矩阵，表示通信网络中的攻击值，λ为权重参数，g为随机产生的数值，H为通信网络中的防攻击值，n为样本数；

通过对

的

进行求导，并求极值，可以得到：

其中

式中：T为矩阵的转置，γ为权重参数，通信网络中的攻击值Q为

R_n为样本n产生的防攻击值，R_f为样本f产生的防攻击值；

建立向量机的防攻击训练集T`为T`＝{(x₁，y₁)，…，(x_i，y_i)}∈(X×Y)^l；其中，(x_i,y_i)为样本点，x_i∈X＝Rⁿ，Rⁿ为n维欧式空间，作为特征空间；y_i∈Y＝{1，-1}，且i＝1,…l，l为权值参数；

线性判别函数f(x)为f(x)＝x·w+b，x为线性判别函数的x坐标，w、b为超平面参数；上述求极值过程简化成f(x)＝x·w+b＝0，该函数的应用条件为y_i[w·x_i+b]≥0，样本的训练集T₀为T₀＝{(x_j，y_j)}∈(X×Y)^n`，其中，x_j为第j个实例样本，y_j为x_j的类标记，n'为样本实例总数，x_j∈X＝Rⁿ；y_j∈Y＝{1，-1}，且j＝1,…n'；

最终，网络通信的防流量攻击向量机函数为：

x·w+b＝0，||w||＝1；

式中，||w||为w的二范数，Δ为超平面参数，y为线性判别函数的y坐标。

8.根据权利要求7所述的网络攻击防御装置，其特征在于，所述模型预训练模块包括样本处理子模块，用于若当前网络流量样本为非线性结构样本，对所述当前网络流量样本进行映射操作，以确定所述当前网络流量样本的线性超平面。

9.一种网络攻击防御装置，其特征在于，包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至6任一项所述网络攻击防御方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有网络攻击防御程序，所述网络攻击防御程序被处理器执行时实现如权利要求1至6任一项所述网络攻击防御方法的步骤。

Images