CN114285606A - 一种针对物联网管理的DDoS多点协作式防御方法 - Google Patents

Abstract

本发明涉及物联网智能化安全管理，特别涉及一种针对物联网管理的DDoS多点协作式防御方法，包括构建基于边缘计算和区块链的多点协作式防御模型，依据节点的计算能力和存储能力将节点划分为共识节点、验证节点、普通节点，节点间共享其自身生成的防御信息；每个节点基于所设计的EdgeDefense防御方法进行单点防御和生成防御的信息；本发明相比于传统的单点防御，多点协作式防御模型将孤立的各节点通过区块链有机地结合起来，实现了网络内的多点协作式防御。利用区块链进行防御信息的共享，充分利用了区块链去中心化、防篡改、匿名性和可追溯性的特点，实现了防御信息的可信互享。

Description

一种针对物联网管理的DDoS多点协作式防御方法

技术领域

本发明涉及物联网智能化安全管理，特别涉及一种针对物联网管理的DDoS多点协作式防御方法。

背景技术

物联网是一种将现实世界的物体与网络连接起来的网络范式。据最近的一项统计研究预测，2020年至2025年，全球物联网市场规模将增加12750亿美元，接入网络的物联网设备将大幅增加。可以预见，物联网未来的应用范围将涉及家用、军事、医疗、工业、能源、运输等诸多行业。

尽管物联网的市场和服务领域正在快速扩大，但其安全问题一直是严峻的挑战。其中，DDoS(Distributed Denial of Service,DDoS)是物联网中最常见的攻击。DDoS攻击是指攻击者试图通过分布式攻击源妨碍或阻止合法用户访问特定网络服务或资源的攻击系列，具有范围大、破坏性大等特点。由于物联网设备的功能相对单一，计算和存储能力有限且采用更倾向于实现功能的轻量级协议，很难在其上实现有效的安全保护机制。因此，大多数物联网设备并不安全。攻击者可以利用不安全的物联网设备以发起更大规模的DDoS攻击。例如，Mirai病毒在2016年8月发布的前20小时内感染了65000台设备，被控制的物联网设备组成了一个僵尸网络来发起更大规模DDoS攻击，导致OVH、Dyn等主流站点瘫痪。此外，随着5G技术的成熟，边缘计算在物联网中得到了广泛的应用。物联网设备收集的数据被发送到一个或多个边缘服务器，这些服务器处理所有收集的数据并将结果发送给用户或设备。由于单个边缘服务器的计算和存储能力不足，很容易受到分布式拒绝服务攻击。攻击者会利用巨大的攻击流量向目标边缘服务器发起攻击。DDoS的攻击手段多种多样，不限于上述两种，如果不加以有效的防护，会中断物联网中的正常服务，甚至造成区域性的服务中断，且会以极快的速度进行扩散传播，造成不可估量的经济损失。

在大型物联网应用中，在感知终端方面有规模大、类型多、能耗限制等实际问题。通信方面，通常会使用多尺度物联融合技术，使通信网关智能感知所处的通信环境，并自主选择最佳的通信方式和通信信道，实现多维通信终端的彼此直通、移动中继和自组织组网通信能力。监测网络规模大、数量多。复杂的物联网网络和多样的终端情况等为DDoS提供了大量机会，整体系统易受DDoS的损害。同时，大型的物联网应用通常都会有对应的智能管理与维护功能。如此一来，如上文所述，智能管理与维护不应只关注于功能正常与否，设备是否损坏，还应考虑到物联网安全的层面。

针对DDoS攻击，在传统网络和物联网中，国内外诸多学者进行了相关的防御研究，主要分为以下几个方面：

基于统计：网络中的熵通常能反映出当前网络的一个状态，当DDoS攻击发生时，网络中某些特征的熵值会发生变化。Jiewen等人提出基于联合熵的数据包多特征分布式拒绝攻击检测算法，该算法选择流量持续时间、数据包长度、源地址和目的端口作为特征来计算联合熵，在检测不同类型的洪泛DDoS攻击时体现了良好的效果，但是该算法无法检测物联网中常见的慢请求/响应攻击。田俊峰等人提出了SDN网络中基于条件熵和分层自增长的自组织神经网络的DDoS攻击检测方法。首先，依据DDoS的阶段性特征，定位网络中的受损交换机以发现可疑攻击流。然后，依据可疑攻击流种类的多样性特征，以条件熵的形式提取了四元组特征向量，将其作为神经网络的输入特征进行更加精确的分析，该方法能有效检测SDN中的DDoS攻击。Shunsuke等人将熵分为长期熵和短期熵，短期熵用于早期检测而长期熵用于攻击分类,所提方法可以有效检测ICMP和UDP洪泛攻击。

基于信任：在RPL网络中易遭受黑洞攻击。Airehrour等人提出了基于信任的解决方案，所提机制统计父节点发送和传递的数据包数量，计算每个节点的信任值，统计节点能成功转发的数据包比率，计算节点间的反馈值。黑洞攻击者由于频繁丢弃数据包，因此会有一个较低的反馈值，可以利用反馈值来检测黑洞攻击者。但作者没有说明如何利用信任值防范黑洞攻击，而且所有节点处于混杂模式，受电量的限制。Alaba等人提出了一种环境感知的信任管理系统，依据节点环境及其状态动态获取信任评分，并针对不同的节点服务提出了不同的信任计算方法，集中式设计虽可以帮助减少网络开销，但易导致单点故障。

基于协议：利用现有物联网协议，通过增强现有方法或在现有方法之上构建新方法可有效解决安全漏洞。Ghada等人为6LoWPAN链路提出一个端到端的安全协议，该安全协议使用链接消息身份验证代码和高级加密标准来加密实体之间的数据包有效载荷，该方案可以有效抵御拒绝服务攻击，但当添加新节点时，系统的性能会降低，从而导致所提出的模型需要更长的处理时间。Alan等人在使用CoAP协议的资源受限物联网中，设置数据包有效载荷的阈值，超过该阈值的数据包被归类为恶意数据包并被丢弃。

基于机器学习：Saikat等人设计了一个网络入侵检测系统，该系统使用MLP、SVM、IBK、DR-C4.5共四种机器学习分类器，四种分类器并行工作，构建不同的数据模型，最后通过多数表决的方法输出最终模型，该系统可以识别多种DDoS攻击。针对SDN网络，Deepa等人提出了将SVM和SOM相结合的联合机器学习DDoS攻击检测模型，与上述两种机器学习模型单独实现相比，SVM和SOM的联合模型在DDoS攻击的检测中取得了更高的准确性、检测率和更低的误报率。Sun Wenwen等人利用熵来检测流量是否异常，检测到异常后使用BiLSTM模型对实时流量进行分类，以实现DDoS攻击检测。Cheng Jieren等人基于MEFF时间序列，分别利用CNN和SVM建立了DDoS攻击信息融合分类模型,所提出的信息融合方法能够有效融合多元素数据,提高了监测精度。

但是上述物联网和传统网络中的DDoS检测和防御方案仍然具有一定的局限性。因此，迫切需要高效、不需要复杂开销的DDoS攻击防御方法来最大程度降低DDoS攻击对物联网的破坏程度。

发明内容

为了降低DDoS攻击对物联网的破坏程度，本发明提出一种针对物联网管理的DDoS多点协作式防御方法，包括以下步骤：

101、构建基于边缘计算和区块链的多点协作式防御模型，依据节点的计算能力和存储能力将节点划分为共识节点、验证节点、普通节点，节点间共享其自身生成的防御信息；

102、在该模型中对当前节点收到的数据流进行异常检测，初步判断是否存在数据流异常情况；

103、发生数据流异常时，将数据流与特征匹配表中的攻击数据流特征进行匹配，当数据流全部特征与特征匹配表中某一类攻击数据流全部特征相似性达到设定阈值，则将该数据流归类为特征匹配表中对应的攻击数据流类型并根据其所属的攻击类型做出丢弃数据包或关闭会话的缓解操作；

104、将数据流特征与特征匹配表中的攻击数据流特征相似性小于设置阈值的数据流输入基于LSTM-Attention的流识别模块进行识别；

105、将基于LSTM-Attention的流识别模块识别得到的合法流发送到目的地，将攻击流输入1D-CNN流分类模型进行分类，并将分类得到的合法流送往目的地；

106、将1D-CNN流分类模型识别得到的攻击流的特征信息更新至特征匹配表，将该表作为防御信息通过区块链共享给网络中其他节点，并根据其攻击类型做出丢弃数据包或关闭会话的缓解操作；

107、在未检测到网络数据流异常时，依然随机选取部分数据流输入基于LSTM-Attention的流识别模块以识别不易察觉的DDoS攻击。

进一步的，对存在异常的数据流与特征匹配表中的攻击数据流特征进行匹配包括以下步骤：

构建特征匹配表，即在对应攻击流数据集中对每一类型攻击数据流基于互信息法选择出该类攻击最具代表性的8个特征，并计算出对应的特征的值在数据集中的均值和标准差；

提取待检测流量的所有特征，将提取的特征与特征匹配表中的特征进行比较，若提取的特征的值与特征匹配表中某一攻击类型的特征值的差值在设定的阈值范围内，则将该数据流归类为对应的攻击类型数据流。进一步的，对数据流与特征匹配表中的异常数据流特征进行匹配时，若特征相似性达到设定阈值则将该数据流进行对应分类，并根据分类结果做出丢弃数据包或关闭会话的操作；数据流相似性判定的阈值范围为[-k_cσ_i，+k_cσ_i]，其中，k_c为构建特征匹配表时四种类别攻击数据流对应特征的偏差参数，取值为4.47，σ_i为构建特征匹配表时某类攻击数据流的第i个特征的标准差。

进一步的，相似性阈值范围根据切比雪夫不等式确定，即：

其中，

为数据分布在[-k_cσ_i，+k_cσ_i]范围之外的概率；X为参与匹配的数据流某一特征的值，μ_i为特征匹配表中预设的某类攻击数据流的第i个特征所对应的均值，σ_i为特征匹配表中预设的某类攻击数据流的第i个特征所对应的标准差。进一步的，基于LSTM-Attention的流识别模块包括LSTM网络和Attention层；从输入检测的流的所有特征中选择n个特征作为LSTM网络的输入，输出n个隐藏状态；所有输出的隐藏状态送入Attention层获取特征的注意力权重，利用该权重对特征进行加权。

进一步的，基于LSTM-Attention的流识别模块对数据的处理过程包括：

若{X₁,X₂,X₃,X₄…,X_n}为输入LSTM网络的n个特征向量，LSTM网络根据这n各特征向量输出n个隐藏状态{h₁,h₂,h₃,h₄,…,h_n}；

输出的隐藏状态{h₁,h₂,h₃,h₄,…,h_n}被送入Attention层，以得到注意力权重向量a，第j个隐藏状态的注意力权重表示为：

注意力权重向量a与所有隐藏状态进行加权求和，最后输出加权隐藏状态向量v，表示为：

其中，f(h_j,h_N)是注意力机制的得分函数。进一步的，注意力机制的得分函数f(h_i,h_N)表示为：

f(h_j,h_N)＝vtanh(Wh_j+Uh_N+b)；

其中，U和W为权重矩阵，b为偏置。

进一步的，将攻击流的特征更新至特征匹配表中的过程包括以下步骤：

将一个包含8个特征的攻击流的恶意特征集合表示为：Feature＝{feature₁,feature₂,…feature_i}(1≤i≤8)；

将一个包含8个特征的攻击流的恶意特征值集合表示为：

F_value＝{f_value1,f_value2...f_valuei}(1≤i≤8)；

计算Feature中feature_i所对应的均值μ_i和标准差σ_i，记为fvalue_i＝<μ_i,σ_i>，1≤i≤8；

用计算得到的所有fvalue_i构成新的F_value，1≤i≤8；

将计算得到的F_value作为新的特征信息，更新至特征匹配表中，特征匹配中以新的特征信息作为匹配基准进行分类并缓解攻击。

进一步的，将节点自身更新后的新的特征匹配表当做防御信息，在共识节点共识后，验证节点验证后，添加至区块链上，共享至模型中的其他节点，使得其他节点提前建立起对DDoS的防御。

本发明相比于传统的单点防御，多点协作式防御模型将孤立的各节点通过区块链有机地结合起来，实现了网络内的多点协作式防御。利用区块链进行防御的共享，充分利用了区块链去中心化、防篡改、匿名性和可追溯性的特点，实现了防御信息的可信互享。

附图说明

图1为本发明基于边缘计算和区块链的多点协作式防御模型结构示意图；

图2为本发明一种针对物联网管理的DDoS多点协作式防御方法中每个服务器上的EdgeDefense防御方法流程图；

图3为标准LSTM内部结构；

图4为本发明采用的LSTM-Attention流识别模型结构；

图5为本发明采用的1D-CNN流分类模型结构；

图6为本发明采用的LSTM-Attention模型与现有技术的性能对比；

图7为本发明采用的1D-CNN模型与现有技术的性能对比。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出一种针对物联网管理的DDoS多点协作式防御方法，包括以下步骤：

101、构建基于边缘计算和区块链的多点协作式防御模型，依据节点的计算能力和存储能力将节点划分为共识节点、验证节点、普通节点，节点间共享其自身生成的防御信息；

102、在该模型中对当前节点收到的数据流进行异常检测，初步判断是否存在数据流异常情况；

103、发生数据流异常时，将数据流与特征匹配表中的攻击数据流特征进行匹配，当数据流全部特征与特征匹配表中某一类攻击数据流全部特征相似性达到设定阈值，则将该数据流归类为特征匹配表中对应的攻击数据流类型并根据其所属的攻击类型做出丢弃数据包或关闭会话的缓解操作；

104、将数据流特征与特征匹配表中的攻击数据流特征相似性小于设置阈值的数据流输入基于LSTM-Attention的流识别模块进行识别；

105、将基于LSTM-Attention的流识别模块识别得到的合法流发送到目的地，将攻击流输入1D-CNN流分类模型进行分类，并将分类得到的合法流送往目的地；

106、将1D-CNN流分类模型识别得到的攻击流的特征信息更新至特征匹配表，将该表作为防御信息通过区块链共享给网络中其他节点，并根据其攻击类型做出丢弃数据包或关闭会话的缓解操作；

107、在未检测到网络数据流异常时，依然随机选取部分数据流输入基于LSTM-Attention的流识别模块以识别不易察觉的DDoS攻击。

在本实施例采用的物联网DDoS攻击多点协作式防御模型如图1所示，模型内部的物联网设备能将任务卸载至边缘服务器，设备依据其返回的计算结果完成相应功能，各边缘服务器运行EdgeDefense对流经的网络流进行检测，在发生DDoS攻击时会采取防御措施并生成防御信息。根据边缘服务器的计算和存储能力，将其划分为共识节点、验证节点和普通节点，共识节点和验证节点参与区块的验证，区块链中存有共享的防御信息。如果出现DDoS攻击，处于不同位置的受攻击服务器将生成的防御信息通过区块链进行全网共享。因此，未遭受或遭受不同类型DDoS攻击的边缘服务器能提前更新防御规则以抵御在下一时段可能遭受的类似DDoS攻击。

EdgeDefense防御方法如图2所示。来自网络内部和网络外部的流经过边缘服务器时，均接受EdgeDefense的检测。异常检测阶段，初步感知网络中是否疑似发生DDoS攻击；发生异常时，初步缓解阶段以特征匹配的方式分类并处理可疑流，起到初步缓解攻击的作用；网络流分析阶段，首先识别可疑流中的攻击流，并将合法流送至目的地，然后对识别出的攻击流进行分类，并利用其特征和值生成新的特征信息以更新初步缓解阶段的特征匹配表，等特征匹配表更新完成以后，将新的特征匹配表视为生成的防御信息，最后采取与初步缓解阶段相同的缓解策略进行二次缓解。此外，当未检测到异常时，依然随机抽取流经的网络流输入至LSTM-Attention进行识别检测，以识不易察觉的DDoS攻击。

在物联网中，EdgeDefense以边缘服务器为中心和载体，作为一个在线检测模块对流经其的网络流进行实时检测，完成DDoS攻击进行检测、识别、分类、缓解以及生成防御信息。该防御方法的工作主要分为三个阶段：

(1)异常检测：网络流量异常检测。

引起网络异常的原因有多种，如网络过载、DDoS攻击、网络设备的错误操作等。但是，正常情况下的物联网流量具有有限的突发性。因此，网络流特征的突变极有可能是DDoS攻击引起的。据此，异常检测采用基于瞬时参数(瞬时频率和瞬时幅度)的分析算法，通过分析网络流量数据的瞬时参数来反映网络流量异常，在时域和频域设置报警阈值，即δ_t和δ_f，达到阈值判定为异常。

(2)初步缓解：结合异常检测，应用缓解规则对不同种类攻击采取对应防御措施，以有效减轻攻击危害。

当检测到异常情况时，必须要有一个策略来最小化异常情况所造成的影响，且该过程应该是不需要人为干预的。EdgeDefense的初步缓解阶段由异常检测和缓解策略共同完成。

使用事件-条件-动作(ECA)模型构建缓解策略，该模型适用于动态管理策略。模型中，事件指的是特定的异常，并且异常与一组特定的条件相关，动作指的是对特定异常采取的措施。

当检测到网络异常时，则可能发生了某类DDoS攻击，在ECA模型中称某类DDoS攻击为事件。由于不同种类的DDoS攻击作用原理不同，因此，不同种类的DDoS攻击流包含独特的特征，其独特的特征在ECA模型中称为事件所对应的条件，这些特征有助于识别、分类并处理DDoS攻击流。

基于提出的概念，初步缓解阶段以特征匹配的方式初步分类可疑流，然后按其类型进行处理操作。本发明按攻击原理将DDoS攻击分为纯粹的洪泛攻击、反射攻击、协议攻击以及慢请求/响应攻击。特征匹配依靠一个特征匹配表，表内包含四个条目，每个条目对应一种攻击类型且包含对应攻击类型最具代表性的特征及其值。为得到不同种类的攻击最具代表性的特征，本发明构建包含相应类型的攻击流和合法流的数据集，利用互信息法选择出每类攻击最具代表性的8个特征。由于特征匹配阶段需要将可疑流的特征值和特征匹配表中各条目中对应的特征的值进行比对，以此来分类可疑流，因此，需要确定一个判定阈值。本发明使用切比雪夫不等式确定一个动态阈值。其中，X为参与匹配的数据流某一特征的值，μ_i为特征匹配表中预设的攻击数据流的第i个特征所对应的均值。k_c为构建特征匹配表时四种类别攻击数据流对应特征的偏差参数，σ_i为构建特征匹配表时某类异常数据流的第i个特征的标准差。当设置式(1)中的k_c＝4.47时，式(1)所表示的概率为0.05，这统计学中常用的阈值分界点，因此本发明将判定区间设定为[-k_cσ_i,+k_cσ_i]，1≤i≤8。

具体来说，每个条目包含攻击类型、攻击特征及其值和操作字段。以慢请求/响应条目为例，对应条目包含其8个特征1)Flow Byts/s；2)Flow Pkts/s；3)Flow IA T Mean；4)Flow IA T Std；5)Fwd IA T Mean；6)Subflow Bwd Pkts；7)Subflow Bwd Byts；8)InitBwd WinByts，每个特征的值为数据集中所有该类型攻击流对应特征的特征值的平均和其标准差组成的键值对，即<μ_i,σ_i>，操作字段为关闭会话。算法1显示了初步缓解过程。

(3)流分析：首先，先后识别和分类可疑流中潜在的DDoS攻击流。其次，利用其特征和值生成新的特征信息以更新初步缓解阶段的特征匹配表，等特征信息更新完成以后，将新的特征匹配表视为生成的防御信息，最后采取与初步缓解阶段相同的缓解策略进行二次缓解。

此部分是EdgeDefense的关键部分，其主要由流识别模块和流分类模块组成。进入流识别模块的可疑流通常包含大量的合法流，流识别模块需要从中区分出攻击流和合法流。这样做第一有利于在DDoS攻击发生时及时将合法流分离出来，将其路由至目的地，最大限度地保护合法流。第二有利于分类模块的分类，因为没有大量合法流的干扰，流分类模块的准确性能得到保证。流分类模块负责将来自流识别模块的流分类为合法流或上述四种攻击流之一，利用其特征和值生成新的特征信息以更新初步缓解阶段的特征匹配表，等特征匹配表更新完成以后，将新的特征匹配表视为生成的防御信息，最后采取与初步缓解阶段相同的缓解策略进行二次缓解。

在进行流分析时，采用基于LSTM和Attention的流识别模块。传统LSTM内部结构如图3所示，LSTM有三种门结构，输入门、遗忘门和输出门，其内部工作主要有三个阶段，分别是遗忘阶段、选择记忆阶段和输出阶段，内部各状态计算方式如下：

f_t＝σ(W_f·[h_t-1,x_t]+b_f) (2)

i_t＝σ(W_i·[h_t-1,x_t]+b_i) (3)

o_t＝σ(W_o[h_t-1,x_t]+b_o) (6)

h_t＝o_t·tanh(C_t) (7)

其中C_t-1、h_t-1和X_t为输入，f_t和i_t分别表示需要从上一状态遗忘和记忆的信息，

表示新的候选信息，C_t为当前单元所记忆的信息。其中，σ和tanh为激活函数，W_f、W_i、W_c、W_o分别是权重矩阵，b_f、b_i、b_c、o_t为对应偏置，h_t为t时刻输出的隐藏状态。

作为递归神经网络的重要一类，LSTM能够解决RNN梯度消失问题，可以发现时间序列中的长期和短期特征。DDoS攻击流是相关的时间序列，因此发明选用LSTM神经网络进行流识别。而标准LSTM不能获取每个时刻的输出信息对分类的影响程度。为此，本发明利用注意力机制以提取重要特征，设计了LSTM-Attention流识别模型，以提高攻击流和合法流的识别率，本发明设计的LSTM-Attention如图4所示。

{X₁,X₂,X₃,X₄…,X_n}为输入LSTM的n个特征向量，即，从每个流的所有特征中选择的n个特征，{h₁,h₂,h₃,h₄,…,h_n}为LSTM网络输出的n个隐藏状态。

所有输出的隐藏状态{h₁,h₂,h₃,h₄,…,h_n}被送入Attention层，以得到注意力权重向量a，然后a与所有隐藏状态进行加权求和，最后输出加权隐藏状态向量v。v的描述如下：

对于每个h_j，其注意力权重a_j能够反映h_j对最终结果的影响程度，a_j由以下公式计算。

其中h_N为前n个时刻LSTM网络输出的平均值，f(h_i,h_N)是注意力机制的得分函数。

f(h_j,h_N)＝vtanh(Wh_j+Uh_N+b) (11)

采用基于LSTM和Attention的流识别模块进行识别后再采用基于一维CNN的流分类模块进行二次识别。

CNN常用于图像分类，其可以通过卷积操作获得图像更高维的特征，实现较好的分类效果。由于每类DDoS攻击流有独特的特征，可利用CNN的卷积和池化操作来获得更具代表性的特征，以此来以较高精度实现攻击流的分类。如前所述，DDoS攻击流是时间序列而不是图像，因此，本发明使用传统二维CNN的变体，一维CNN实现分类，与二维CNN相比，它的结构和功能相同，但擅长处理时序序列数据。本发明设计的CNN结构如图5所示，其能将网络流分类为合法流或纯粹的洪泛攻击、反射攻击、协议攻击以及慢请求/响应攻击四种攻击之一。一维CNN完成分类之后,流分类模块利用已分类攻击流的特征和值生成新的特征信息以更新初步缓解阶段的特征匹配表，等特征匹配表更新完成以后，将新的特征匹配表视为生成的防御信息，最后采取与初步缓解阶段相同的缓解策略进行二次缓解。

算法2显示了流分析及攻击二次缓解的处理过程，算法3显示了特征信息的更新过程。

由于DDoS攻击的源头和发起时间具有很强的随机性，因此,需要网络内部进行多点协作防御才能完成最大限度的防御。在发生DDoS攻击时，部署有EdgeDefense服务器会生成防御信息,将防御信息存储在区块链中可安全、可信地与其他服务器共享防御信息。区块链中，每个节点都是对等的，因此需要共识算法保证所有对等节点间的一致性协作,区块链中常见的共识算法有PoW、PoS、PBFT。考虑到边缘服务器的计算能力有限且在物联网场景中不宜大幅增加通信复杂度，因此本发明选用PoS共识机制。

和

分别为共识节点i在第t个共识周期内为网络提供的时空证明容量和时空证明计算能力。因此共识节点i在t个共识周期内为网络提供的有效存储空间占比

有效计算能力占比

的值越大，共识节点能成功添加区块的概率越大。智能合约是运行于区块链上的可自动执行的脚本。通过智能合约，防御信息的拥有者可以将防御信息存储在去中心化网络中，以自动完成防御信息在节点间的共享。

为了对本发明效果进行进一步说明。整个防御方法的流程简单易实现，不涉及复杂的开销。将安全防御的任务转移到计算和存储能较强的边缘服务器，有效降低了物联网设备的负担，克服了由于环境和设备的限制而不能部署有效的DDoS防御方案的问题，并且整个防御方法充分考虑物联网合法服务的连续性，在防御的过程中最大限度地保证了物联网的合法服务不会大面积中断。

在预分类方面，采用特征匹配的方式进行攻击流的分类。相比于传统的固定比较阈值，本发明采用切比雪夫不等式设定动态阈值，并且参与对比的基准特征信息会随着实际网络流的情况进行更新，更符合实际场景，分类更加准确。

流识别方面，考虑网络流时序性的特点，将LSTM与Attention机制结合，Attention能有效有效捕捉出更有代表性的特征，与LSTM结合可有效提高攻击流和合法流的识别率。相同实验数据集下，与ID3、RF、

Bayes、LR、标准LSTM对比，在Precision方面分别提升了21％、22％、58％、74％、1.5％。在Recall方面分别提升了33.7％、42.7％、86.8％、96.7％、3.1％。在F1方面分别提升了29.8％、36.8％、93.8％、94.8％、2.3％。上述指标表面，本发明设计的LSTM-Attention模型对攻击流和合法流有更好的识别效果。详情见附件1。

流分类方面，考虑网络流时序性的特点，利用CNN善于捕捉高维特征的优势，设计了一维卷积神经网络(1D-CNN)流分类模型。相同实验数据集下，与KNN、SVM、MLP三个经典分类模型对比，在Precision方面分别提升了5.9％、10.9％、9.4％。在Recall方面分别提升了5.8％、12.7％、9.5％。在F1方面分别提升了5.9％、11.8％、9.5％。在Accuracy方面分别提升了6.5％、12.7％、9.8％。上述指标表面，本发明设计的1D-CNN模型对攻击流和合法流有更好的分类效果。

数据集中的每个流包含87个特征，为提高识别精度、降低过拟合风险、加快训练速度，本发明选择了40个特征来进行LSTM-Attention模型训练：如Flow ID、Source IP、Destination IP等这类可以标定攻击流的特征；如Total Length of Bwd Packets、FwdPacket Length Max、Fwd Packet Length Min等这类可以反映攻击流的总体情况的特征；此外，正常的物联网流量具有有限的突发性，因此与时间相关的特征也有助于区分攻击流与合法流，如Bwd IAT Std、Flow IAT Std等。为验证LSTM-Attention模型的性能，本发明与机器学习模型ID3、随机RF、

Bayes以及LR进行对比。同时为进一步验证LSTM-Attention和标准LSTM模型的性能差异，本发明在相同实验环境下训练了一个标准LSTM模型并将其作为实验对比模型。

实验结果如图6所示，实验分别对比了ID3、RF、

Bayes、LR、LSTM以及本发明所提LSTM-Attention模型的精确率、召回率、F1得分。LSTM-Attention模型的平均精确率达99.0％，平均召回率达98.7％，平均F1得分为98.8％，以上三个评价指标都优于前四种机器学习模型以及标准LSTM，且LSTM-Attention模型的平均准确率高达98.9％。因此，本发明所提LSTM-Attention模型对攻击流和合法流有更优的识别效果。表1显示了各模型的详细性能指标。

表1六种机器学习性能

考虑到1D-CNN可以通过组合较低层次的特征来获得较高层次的特征，本发明排除RST Flag Cnt、PSH Flag Cnt、ECE Flag Count三个对攻击分类没有影响的特征；一些常量特征，如Bwd PSH Flags、Fwd URG Flags、Bwd URG Flags等特征；一些具有相似值的特征，如RST Flag Count、Fwd Header Length等。最终选用66个网络流特征进行模型训练。为验证所设计1D-CNN模型的性能，本发明与经典分类模型进行对比，对比模型选择了KNN、SVM以及MLP，分别在相同的数据集上进行实验。

实验结果如图7显示，1D-CNN模型的平均准确率达99.0％，平均精确率达99.3％、平均召回率达98.9％、平均F1得分达99.1％，在准确率、精确率、F1得分、召回率方面，本发明设计的的1D-CNN模型都要优于另外三种模型，因此对DDoS攻击流有更好的分类效果。表2显示了各模型的详细性能指标。

表2四种机器学习

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (9)

1.一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，包括以下步骤：

101、构建基于边缘计算和区块链的多点协作式防御模型，依据节点的计算能力和存储能力将节点划分为共识节点、验证节点、普通节点，节点间共享其自身生成的防御信息；

102、在该模型中对当前节点收到的数据流进行异常检测，初步判断是否存在数据流异常情况；

103、发生数据流异常时，将数据流与特征匹配表中的攻击数据流特征进行匹配，当数据流全部特征与特征匹配表中某一类攻击数据流全部特征相似性达到设定阈值，则将该数据流归类为特征匹配表中对应的攻击数据流类型并根据其所属的攻击类型做出丢弃数据包或关闭会话的缓解操作；

104、将数据流特征与特征匹配表中的攻击数据流特征相似性小于设置阈值的数据流输入基于LSTM-Attention的流识别模块进行识别；

105、将基于LSTM-Attention的流识别模块识别得到的合法流发送到目的地，将攻击流输入1D-CNN流分类模型进行分类，并将分类得到的合法流送往目的地；

106、将1D-CNN流分类模型识别得到的攻击流的特征信息更新至特征匹配表，将该表作为防御信息通过区块链共享给网络中其他节点，并根据其攻击类型做出丢弃数据包或关闭会话的缓解操作；

107、在未检测到网络数据流异常时，依然随机选取部分数据流输入基于LSTM-Attention的流识别模块以识别不易察觉的DDoS攻击。

2.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，对存在异常的数据流与特征匹配表中的攻击数据流特征进行匹配包括以下步骤：

构建特征匹配表，即在对应攻击流数据集中对每一类型攻击数据流基于互信息法选择出该类攻击最具代表性的8个特征，并计算出对应的特征的值在数据集中的均值和标准差；

提取待检测流量的所有特征，将提取的特征与特征匹配表中的特征进行比较，若提取的特征的值与特征匹配表中某一攻击类型的特征值的差值在设定的阈值范围内，则将该数据流归类为对应的攻击类型数据流。

3.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，对数据流与特征匹配表中的攻击数据流特征进行匹配时，若特征相似性达到设定阈值则将该数据流进行对应分类，并根据分类结果做出丢弃数据包或关闭会话的操作；数据流相似性判定的阈值范围为[-k_cσ_i，+k_cσ_i]，其中，k_c为构建特征匹配表时四种类别攻击数据流对应特征的偏差参数，取值为4.47，σ_i为构建特征匹配表时某类攻击数据流的第i个特征的标准差。

4.根据权利要求3所述的一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，相似性阈值范围根据切比雪夫不等式确定，即：

其中，

为数据分布在[-k_cσ_i，+k_cσ_i]范围之外的概率；X为参与匹配的数据流某一特征的值，μ_i为特征匹配表中预设的某类攻击数据流的第i个特征所对应的均值，σ_i为特征匹配表中预设的某类攻击数据流的第i个特征所对应的标准差。

5.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，基于LSTM-Attention的流识别模块包括LSTM网络和Attention层；从输入检测的流的所有特征中选择n个特征作为LSTM网络的输入，输出n个隐藏状态；所有输出的隐藏状态送入Attention层获取特征的注意力权重，利用该权重对特征进行加权。

6.根据权利要求5所述的一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，基于LSTM-Attention的流识别模块对数据的处理过程包括：

若{X₁,X₂,X₃,X₄…,X_n}为输入LSTM网络的n个特征向量，LSTM网络根据这n各特征向量输出n个隐藏状态{h₁,h₂,h₃,h₄,…,h_n}；

输出的隐藏状态{h₁,h₂,h₃,h₄,…,h_n}被送入Attention层，以得到注意力权重向量a，第j个隐藏状态的注意力权重表示为：

注意力权重向量a与所有隐藏状态进行加权求和，最后输出加权隐藏状态向量v，表示为：

其中，f(h_j,h_N)是注意力机制的得分函数。

7.根据权利要求6所述的一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，注意力机制的得分函数f(h_j,h_N)表示为：

f(h_j,h_N)＝vtanh(Wh_j+Uh_N+b)；

其中，U和W为权重矩阵，b为偏置。

8.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，将攻击流的特征更新至特征匹配表中的过程包括以下步骤：

将一个包含8个特征的攻击流的恶意特征集合表示为：Feature＝{feature₁,feature₂,…feature_i}(1≤i≤8)；

将一个包含8个特征的攻击流的恶意特征值集合表示为：F_value＝{f_value1,f_value2...f_valuei}(1≤i≤8)；

计算Feature中feature_i所对应的均值μ_i和标准差σ_i，记为fvalue_i＝<μ_i,σ_i>，1≤i≤8；

用计算得到的所有fvalue_i构成新的F_value，1≤i≤8；

将计算得到的F_value作为新的特征信息，更新至特征匹配表中，特征匹配中以新的特征信息作为匹配基准进行分类并缓解攻击。

9.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法，其特征在于，将节点自身更新后的新的特征匹配表当做防御信息，在共识节点共识后，验证节点验证后，添加至区块链上，共享至模型中的其他节点，使得其他节点提前建立起对DDoS的防御。

Images