CN114422277B - 防御网络攻击的方法、装置、电子设备和计算机可读介质 - Google Patents

防御网络攻击的方法、装置、电子设备和计算机可读介质 Download PDF

Info

Publication number
CN114422277B
CN114422277B CN202210335628.1A CN202210335628A CN114422277B CN 114422277 B CN114422277 B CN 114422277B CN 202210335628 A CN202210335628 A CN 202210335628A CN 114422277 B CN114422277 B CN 114422277B
Authority
CN
China
Prior art keywords
information
flow table
switch
target
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210335628.1A
Other languages
English (en)
Other versions
CN114422277A (zh
Inventor
苏英豪
郑霄
熊达鹏
王宇
钱克昌
朱诗兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Original Assignee
Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peoples Liberation Army Strategic Support Force Aerospace Engineering University filed Critical Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Priority to CN202210335628.1A priority Critical patent/CN114422277B/zh
Publication of CN114422277A publication Critical patent/CN114422277A/zh
Application granted granted Critical
Publication of CN114422277B publication Critical patent/CN114422277B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开的实施例公开了防御网络攻击方法、装置、电子设备和计算机可读介质。该方法的一具体实施方式包括:获取目标信息,其中,目标信息包括交换机信息以及与交换机对应的IP地址信息;根据交换机信息和IP地址信息,确定交换机对应的IP地址的信息熵;响应于信息熵满足预设条件,从目标信息对应的交换机获取流表项信息;对流表项信息进行特征提取,得到目标特征;根据目标特征,确定流表项信息是否为攻击流表项信息;响应于确定流表项信息为攻击流表项信息,针对流表项信息对应的交换机进行防御处理。该实施方式实现了更加准确的检测到网络攻击并且针对受到的攻击做出防御措施。

Description

防御网络攻击的方法、装置、电子设备和计算机可读介质
技术领域
本公开的实施例涉及计算机技术领域,具体涉及防御网络攻击的方法、装置、电子设备和计算机可读介质。
背景技术
软件定义网络(Software Define Network,SDN)作为一种新型的网络架构,实现了传统网络中的网络转发设备的控制平面和数据平面的分离。由于SDN采用了控制平面与数据平面相分离的架构,导致SDN环境下不仅存在着针对主机等设备的传统DDoS(Distributed denial of service attack,分布式拒绝服务攻击)攻击,还存在对于控制平面的饱和DDoS攻击。
传统网络的DDoS攻击的检测与缓解技术主要针对主机和服务器等设备的攻击进行防护,对于SDN网络中的交换机和控制器没有成熟防护策略,对于针对控制平面的饱和DDoS攻击无法做到很好的检测与缓解。
发明内容
本公开的内容部分用于以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
本公开的一些实施例提出了用于防御网络攻击的方法、装置、电子设备和计算机可读介质,来解决以上背景技术部分提到的技术问题。
第一方面,本公开的一些实施例提供了一种用于防御网络攻击的方法,该方法包括: 获取目标信息,其中,上述目标信息包括交换机信息以及与交换机对应的IP地址信息;根据上述交换机信息和上述IP地址信息,确定上述交换机对应的IP地址的信息熵;响应于上述信息熵满足预设条件,从上述目标信息对应的交换机获取流表项信息;对上述流表项信息进行特征提取,得到目标特征;根据上述目标特征,确定上述流表项信息是否为攻击流表项信息;响应于确定上述流表项信息为攻击流表项信息,针对上述流表项信息对应的交换机进行防御处理。
第二方面,本公开的一些实施例提供了一种防御网络攻击装置,装置包括:第一获取单元,被配置成获取目标信息,其中,上述目标信息包括交换机信息以及与交换机对应的IP地址信息;第一确定单元,被配置成根据上述交换机信息和上述IP地址信息,确定上述交换机对应的IP地址的信息熵;第二获取单元,被配置成响应于上述信息熵满足预设条件,从上述目标信息对应的交换机获取流表项信息;提取单元,被配置成对上述流表项信息进行特征提取,得到目标特征;第二确定单元,被配置成根据上述目标特征,确定上述流表项信息是否为攻击流表项信息;防御单元,被配置成响应于确定上述流表项信息为攻击流表项信息,针对上述流表项信息对应的交换机进行防御处理。
第三方面,本申请实施例提供了一种电子设备,该网络设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
第四方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
本公开的上述各个实施例中的一个实施例具有如下有益效果:首先获取目标信息,之后确定上述交换机对应的IP地址的信息熵,响应于上述信息熵满足预设条件,从目标信息对应的交换机获取流表项信息,而后对上述流表项信息进行特征提取,得到目标特征,接着根据上述目标特征,确定上述流表项信息是否为攻击流表项信息,响应于确定上述流表项信息为攻击流表项信息,针对上述流表项信息对应的交换机进行防御处理。从而能够更加准确的检测到网络攻击并且针对受到的攻击做出防御措施。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,元件和元素不一定按照比例绘制。
图1示出了根据本申请的防御网络攻击方法的一些实施例的时序图;
图2是根据本公开的防御网络攻击方法的一些实施例的流程图;
图3是根据本公开的防御网络攻击装置的一些实施例的结构示意图;
图4是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本公开。
图1示出了根据本申请的防御网络攻击方法的一些实施例的时序图。
如图1所示,在步骤101中,服务器可以获取目标信息,在这里,上述目标信息包括交换机信息以及与交换机对应的IP地址信息。之后如步骤102所示,服务器可以根据上述交换机信息和上述IP地址信息,确定上述交换机对应的IP地址的信息熵。在步骤103中,响应于上述信息熵满足预设条件,服务器可以从上述目标信息对应的交换机获取流表项信息。之后是步骤104,服务器可以对上述流表项信息进行特征提取,得到目标特征。在步骤105中,服务器可以根据上述目标特征,确定上述流表项信息是否为攻击流表项信息。最后是步骤106,响应于确定上述流表项信息为攻击流表项信息,服务器可以针对上述流表项信息对应的交换机进行防御处理。
可以理解的是,防御网络攻击方法可以是由服务器来执行,或者也可以是由终端设备来执行,上述方法的执行主体还可以包括上述终端设备与上述服务器通过网络相集成所构成的设备,或者还可以是各种软件程序来执行。其中,终端设备可以是具有信息处理能力的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计算机等等。执行主体也可以体现为服务器、软件等。当执行主体为软件时,可以安装在上述所列举的电子设备中。其可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的服务器数目仅仅是示意性的。根据实现需要,可以具有任意数目的服务器。
继续参考图2,示出了根据本公开的防御网络攻击方法的一些实施例的流程200。该防御网络攻击方法,包括以下步骤:
步骤201,获取目标信息。
在一些实施例中,防御网络攻击方法的执行主体(例如图1所示的服务器)可以通过有线连接方式或者无线连接方式获取目标信息。需要指出的是,上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultrawideband)连接、以及其他现在已知或将来开发的无线连接方式。
在这里,上述目标信息通常是指交换机发出的信息。上述目标信息包括交换机信息以及与交换机对应的IP地址信息。上述交换机信息通常是指发出上述目标信息的交换机的信息。
步骤202,根据交换机信息和IP地址信息,确定交换机对应的IP地址的信息熵。
在一些实施例中,基于步骤201中得到的交换机信息和IP地址信息,上述执行主体(例如图1所示的服务器)可以确定交换机对应的IP地址的信息熵。在这里,上述信息熵通常是指离散随机事件的出现概率。
作为示例,上述执行主体可以通过以下方式确定信息熵:步骤一,上述执行主体可以对交换机信息和IP地址信息进行统计,结果记为
Figure 178491DEST_PATH_IMAGE001
。其中,
Figure 324433DEST_PATH_IMAGE002
表示在当前采样周期内第i个交换机对应的IP地址集合,且
Figure 158046DEST_PATH_IMAGE003
表示第l个IP地址出现的概率,
Figure 731241DEST_PATH_IMAGE004
表示第i个交换机。
步骤二:将IP地址与其对应的概率值,通过信息熵公式计算出每个交换机
Figure 542815DEST_PATH_IMAGE005
对应的IP地址的信息熵值。
步骤203,响应于信息熵满足预设条件,从目标信息对应的交换机获取流表项信息。
在一些实施例中,响应于信息熵满足预设条件,上述执行主体可以从目标信息队友的交换机获取流表项信息。作为示例,上述预设条件可以是上述信息熵未达到预设的阈值,或上述信息熵与预设的阈值相差过大等。在这里,上述流表项信息通常是指包括交换机端口信息、IP地址信息、IP协议类型信息、匹配的数据包数信息、匹配的字节数信息和/或流表项存活时间信息的信息。
步骤204,对流表项信息进行特征提取,得到目标特征。
在一些实施例中,上述执行主体可以对流表项信息进行特征提取,以得到目标特征。在这里,上述特征提取的方式有多种,在此不再赘述。在这里,上述目标特征通常是指包括IP地址出现的概率、IP协议类型出现的概率、平均每包字节数和/或流表项的平均存在时间的特征。
在一些实施例的一些可选的实现方式中,上述执行主体可以在得到目标特征后,利用特征优化模型对目标特征进行优化和降维。在这里,上述特征优化模型通常用于表征目标特征和优化降维后的目标特征的对应关系。作为示例,上述特征优化模型可以是深度信念网络 (Deep Belief Network, DBN) 。
在一些实施例的一些可选的实现方式中,上述特征优化模型是根据以下步骤训练得到的:获取训练样本集,其中,上述训练样本集包括样本特征以及与样本特征对应的样本优化特征;将上述样本特征输入至待训练模型,得到样本特征的优化特征;将优化特征与样本优化特征进行对比,得到对比结果,确定上述对比结果的损失值;根据上述对比结果的损失值,确定待训练模型是否训练完成;响应于确定待训练模型训练完成,将待训练模型确定为特征优化模型。在这里,当上述损失值满足预设条件,则确定待训练模型训练完成。作为示例,上述预设条件可以是损失值到达阈值或大于阈值等。
在一些实施例的一些可选的实现方式中,响应于确定待训练模型未训练完成,调整待训练模型中的相关参数。在这里,当上述损失值未满足预设条件,则确定待训练模型未训练完成。
步骤205,根据目标特征,确定流表项信息是否为攻击流表项信息。
在一些实施例中, 上述执行主体可以根据目标特征,确定流表项信息是否为攻击流表项信息。作为示例,上述执行主体可以对上述目标特征进行分析,当该目标特征中的平均每包字节数与预设的平均每包字节数不同时,上述执行主体可以将流表项信息确定为攻击流表项信息。
在一些实施例的一些可选的实现方式中,上述执行主体可以将上述目标特征输入至预先训练的检测模型,得到检测结果。在这里,上述检测模型通常用于表征检测结果和目标特征的对应关系。作为示例,上述检测模型可以是由深度信念网络 (Deep BeliefNetwork, DBN) 和支持向量机(Support Vector Machine, SVM)组合成的神经网络。在这里,上述检测结果通常为确定为攻击流表项或确定为非攻击流表项。
之后,执行主体可以根据上述检测结果确定上述流表项信息是否为攻击流表项信息。
在这里,上述检测模型可以是根据以下步骤训练得到的:
1.初始化特征优化模型的隐藏层的层数和神经元个数,若隐藏层的层数为
Figure 226868DEST_PATH_IMAGE006
,则设置
Figure 903269DEST_PATH_IMAGE007
(DBN模型中隐藏层的层数等于RBM的个数)。
2.设置第
Figure 693371DEST_PATH_IMAGE008
个RBM的参数
Figure 729591DEST_PATH_IMAGE009
,以及最大迭代次数
Figure 745564DEST_PATH_IMAGE010
3.使用CD-k算法训练第
Figure 816420DEST_PATH_IMAGE008
个RBM,并更新参数
Figure 281817DEST_PATH_IMAGE009
Figure 743016DEST_PATH_IMAGE011
Figure 31522DEST_PATH_IMAGE012
Figure 956884DEST_PATH_IMAGE013
Figure 526272DEST_PATH_IMAGE014
Figure 271506DEST_PATH_IMAGE015
Figure 550653DEST_PATH_IMAGE016
4.若达到最大迭代次数
Figure 346833DEST_PATH_IMAGE010
,则训练结束,将参数
Figure 340983DEST_PATH_IMAGE009
带入第5步;否则将参数
Figure 839092DEST_PATH_IMAGE009
带入第3步继续训练。
5.若
Figure 266138DEST_PATH_IMAGE017
,设置
Figure 103775DEST_PATH_IMAGE018
,并且将参数
Figure 585004DEST_PATH_IMAGE009
带入到第2步;否则将参数
Figure 554097DEST_PATH_IMAGE009
带入第6步。
6.设置反向传播算法的最大迭代次数
Figure 256605DEST_PATH_IMAGE019
和误差阈值。
7.使用反向传播算法逐层更新RBM的参数
Figure 211398DEST_PATH_IMAGE009
8.若达到最大迭代次数
Figure 341159DEST_PATH_IMAGE019
或误差阈值,则结束训练;否则返回第7步。
9.将特征优化算法的输出结果作为输入来训练检测模型,通过调整参数C和gamma使得模型输出误差最小。
10.完成对检测模型的训练。
在这里,RBM(Restricted Boltzmann Machine,受限玻尔兹曼机)通常是指一种可用随机神经网络(stochastic neural network)来解释的概率图模型(probabilisticgraphical model)。CD-k算法通常是指对比散度(Contrastive Divergence,CD-k)。反向传播算法通常是指适合于多层神经元网络的一种学习算法,它建立在梯度下降法的基础上。
步骤206,响应于确定流表项信息为攻击流表项信息,针对流表项信息对应的交换机进行防御处理。
在一些实施例中,响应于确定流表项信息为攻击流表项信息,上述执行主体可以针对上述流表项信息对应的交换机进行防御处理。在这里,上述防御处理的方式有多种。作为示例,上述防御处理可以是对上述交换机进行限流处理等。
在一些实施例的一些可选的实现方式中,上述执行主体可以将上述攻击流表项信息队友的交换机的端口信息加入黑名单,并且对上述交换机端口进行封禁处理。当某一交换机的端口被加入黑名单后,到达该端口的网络流量会被丢弃,从而阻止流量触发Packet-In消息,实现缓解饱和DDoS攻击和保护控制器的目的。
本公开的上述各个实施例中的一个实施例具有如下有益效果:首先获取目标信息,之后确定上述交换机对应的IP地址的信息熵,响应于上述信息熵满足预设条件,从目标信息对应的交换机获取流表项信息,而后对上述流表项信息进行特征提取,得到目标特征,接着根据上述目标特征,确定上述流表项信息是否为攻击流表项信息,响应于确定上述流表项信息为攻击流表项信息,针对上述流表项信息对应的交换机进行防御处理。从而能够更加准确的检测到网络攻击并且针对受到的攻击做出防御措施。
进一步参考图3,作为对上述各图所示方法的实现,本公开提供了一种防御网络攻击装置的一些实施例,这些装置实施例与图2所示的那些方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图3所示,一些实施例的防御网络攻击装置300包括:第一获取单元,被配置成获取目标信息,其中,上述目标信息包括交换机信息以及与交换机对应的IP地址信息;第一确定单元,被配置成根据上述交换机信息和上述IP地址信息,确定上述交换机对应的IP地址的信息熵;第二获取单元,被配置成响应于上述信息熵满足预设条件,从上述目标信息对应的交换机获取流表项信息;提取单元,被配置成对上述流表项信息进行特征提取,得到目标特征;第二确定单元,被配置成根据上述目标特征,确定上述流表项信息是否为攻击流表项信息;防御单元,被配置成响应于确定上述流表项信息为攻击流表项信息,针对上述流表项信息对应的交换机进行防御处理。
在一些实施例的一些可选的实现方式中,上述防御网络攻击装置还包括优化单元,被配置成:利用特征优化模型,对上述目标特征进行优化和降维。
在一些实施例的一些可选的实现方式中,第二确定单元被进一步的配置成:将上述目标特征输入至预先训练的检测模型,得到检测结果;根据上述检测结果确定上述流表项信息是否为攻击流表项信息。
在一些实施例的一些可选的实现方式中,上述特征优化模型是根据以下步骤训练得到的:获取训练样本集,其中,上述训练样本集包括样本特征以及与样本特征对应的样本优化特征;将上述样本特征输入至待训练模型,得到样本特征的优化特征;将优化特征与样本优化特征进行对比,得到对比结果,确定上述对比结果的损失值;根据上述对比结果的损失值,确定待训练模型是否训练完成;响应于确定待训练模型训练完成,将待训练模型确定为特征优化模型。
在一些实施例的一些可选的实现方式中,上述防御网络攻击装置还包括调整单元,被配置成:响应于确定待训练模型未训练完成,调整待训练模型中的相关参数。
在一些实施例的一些可选的实现方式中,防御单元被进一步的配置用于:将上述攻击流表项信息队友的交换机的端口信息加入黑名单,并且对上述交换机端口进行封禁处理。
可以理解的是,该装置300中记载的诸单元与参考图2描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置300及其中包含的单元,在此不再赘述。
本公开的上述各个实施例中的一个实施例具有如下有益效果:首先获取目标信息,之后确定上述交换机对应的IP地址的信息熵,响应于上述信息熵满足预设条件,从目标信息对应的交换机获取流表项信息,而后对上述流表项信息进行特征提取,得到目标特征,接着根据上述目标特征,确定上述流表项信息是否为攻击流表项信息,响应于确定上述流表项信息为攻击流表项信息,针对上述流表项信息对应的交换机进行防御处理。从而能够更加准确的检测到网络攻击并且针对受到的攻击做出防御措施。
下面参考图4,其示出了适于用来实现本公开的一些实施例的电子设备(例如图1中的服务器)400的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储装置408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图4中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的一些实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的一些实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM 402被安装。在该计算机程序被处理装置401执行时,执行本公开的一些实施例的方法中限定的上述功能。
需要说明的是,本公开的一些实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取目标信息,其中,上述目标信息包括交换机信息以及与交换机对应的IP地址信息;根据上述交换机信息和上述IP地址信息,确定上述交换机对应的IP地址的信息熵;响应于上述信息熵满足预设条件,从上述目标信息对应的交换机获取流表项信息;对上述流表项信息进行特征提取,得到目标特征;根据上述目标特征,确定上述流表项信息是否为攻击流表项信息;响应于确定上述流表项信息为攻击流表项信息,针对上述流表项信息对应的交换机进行防御处理。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的一些实施例中的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括第一获取单元、第一确定单元、第二获取单元、提取单元、第二确定单元和防御单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,接收单元还可以被描述为“获取目标信息的单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (7)

1.一种用于防御网络攻击的方法,包括:
步骤100:获取目标信息,其中,所述目标信息包括交换机信息以及与交换机对应的IP地址信息;
步骤200:根据所述交换机信息和所述IP地址信息,确定所述交换机对应的IP地址的信息熵;
步骤300:若所述信息熵满足预设条件,则从所述目标信息对应的交换机获取流表项信息;所述流表项信息包括交换机端口信息、IP地址信息、IP协议类型信息、匹配的数据包数信息、匹配的字节数信息和流表项存活时间信息;
步骤400:对所述流表项信息进行特征提取,得到目标特征;所述目标特征包括IP地址出现的概率、IP协议类型出现的概率、平均每包字节数和流表项的平均存在时间;
步骤450:利用特征优化模型,对所述目标特征进行优化和降维;
步骤500:根据所述目标特征,确定所述流表项信息是否为攻击流表项信息;
步骤600:若所述流表项信息为攻击流表项信息,则针对所述流表项信息对应的交换机进行防御处理;
其中,所述步骤500包括:
步骤510:将所述目标特征输入至预先训练的检测模型,得到检测结果;
步骤520:根据所述检测结果确定所述流表项信息是否为攻击流表项信息;
其中,所述检测模型是由深度信念网络和支持向量机组合成的神经网络;所述检测模型根据以下步骤训练得到:
①初始化特征优化模型的隐藏层的层数n和神经元个数;
②设置第i个受限玻尔兹曼机的参数θ,以及最大迭代次数;
③使用CD-k算法训练第i个受限玻尔兹曼机,并更新参数θ;
④若达到最大迭代次数,则训练结束,将参数θ带入步骤⑤;否则将参数θ带入步骤③继续训练;
⑤若i<n,设置i=i+1,并且将参数θ带入到步骤②;否则将参数θ带入步骤⑥;
⑥设置反向传播算法的最大迭代次数和误差阈值;
⑦使用反向传播算法逐层更新受限玻尔兹曼机的参数θ;
⑧若达到最大迭代次数或误差阈值,则结束训练;否则返回步骤⑦;
⑨将特征优化模型的输出结果作为输入来训练检测模型,通过调整参数使得模型输出误差最小;
⑩完成对检测模型的训练。
2.根据权利要求1所述的方法,其中,所述特征优化模型是根据以下步骤训练得到的:
步骤452:获取训练样本集,其中,所述训练样本集包括样本特征以及与样本特征对应的样本优化特征;
步骤454:将所述样本特征输入至待训练模型,得到样本特征的优化特征;
步骤456:将优化特征与样本优化特征进行对比,得到对比结果,确定所述对比结果的损失值;
步骤458:根据所述对比结果的损失值,判断待训练模型是否训练完成;若判断待训练模型训练完成,则将待训练模型确定为特征优化模型。
3.根据权利要求2所述的方法,其中,所述步骤458还包括:
若判断待训练模型未训练完成,则调整待训练模型中的相关参数,重复训练过程。
4.根据权利要求1所述的方法,其中,所述步骤600包括:
将所述攻击流表项信息对应的交换机的端口信息加入黑名单,并且对所述交换机端口进行封禁处理。
5.一种用于防御网络攻击的装置,包括:
第一获取单元,被配置成获取目标信息,其中,所述目标信息包括交换机信息以及与交换机对应的IP地址信息;
第一确定单元,被配置成根据所述交换机信息和所述IP地址信息,确定所述交换机对应的IP地址的信息熵;
第二获取单元,被配置成响应于所述信息熵满足预设条件,从所述目标信息对应的交换机获取流表项信息;所述流表项信息包括交换机端口信息、IP地址信息、IP协议类型信息、匹配的数据包数信息、匹配的字节数信息和流表项存活时间信息;
提取单元,被配置成对所述流表项信息进行特征提取,得到目标特征;所述目标特征包括IP地址出现的概率、IP协议类型出现的概率、平均每包字节数和流表项的平均存在时间;第二确定单元,被配置成根据所述目标特征,确定所述流表项信息是否为攻击流表项信息;
防御单元,被配置成响应于确定所述流表项信息为攻击流表项信息,针对所述流表项信息对应的交换机进行防御处理;
其中,所述第二确定单元执行以下操作:
步骤510:将所述目标特征输入至预先训练的检测模型,得到检测结果;
步骤520:根据所述检测结果确定所述流表项信息是否为攻击流表项信息;
其中,所述提取单元还被配置成利用特征优化模型,对所述目标特征进行优化和降维;
所述检测模型是由深度信念网络和支持向量机组合成的神经网络;所述检测模型根据以下步骤训练得到:
①初始化特征优化模型的隐藏层的层数n和神经元个数;
②设置第i个受限玻尔兹曼机的参数θ,以及最大迭代次数;
③使用CD-k算法训练第i个受限玻尔兹曼机,并更新参数θ;
④若达到最大迭代次数,则训练结束,将参数θ带入步骤⑤;否则将参数θ带入步骤③继续训练;
⑤若i<n,设置i=i+1,并且将参数θ带入到步骤②;否则将参数θ带入步骤⑥;
⑥设置反向传播算法的最大迭代次数和误差阈值;
⑦使用反向传播算法逐层更新受限玻尔兹曼机的参数θ;
⑧若达到最大迭代次数或误差阈值,则结束训练;否则返回步骤⑦;
⑨将特征优化模型的输出结果作为输入来训练检测模型,通过调整参数使得模型输出误差最小;
⑩完成对检测模型的训练。
6.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。
7.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1-4中任一所述的方法。
CN202210335628.1A 2022-04-01 2022-04-01 防御网络攻击的方法、装置、电子设备和计算机可读介质 Active CN114422277B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210335628.1A CN114422277B (zh) 2022-04-01 2022-04-01 防御网络攻击的方法、装置、电子设备和计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210335628.1A CN114422277B (zh) 2022-04-01 2022-04-01 防御网络攻击的方法、装置、电子设备和计算机可读介质

Publications (2)

Publication Number Publication Date
CN114422277A CN114422277A (zh) 2022-04-29
CN114422277B true CN114422277B (zh) 2022-07-01

Family

ID=81264455

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210335628.1A Active CN114422277B (zh) 2022-04-01 2022-04-01 防御网络攻击的方法、装置、电子设备和计算机可读介质

Country Status (1)

Country Link
CN (1) CN114422277B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527378B (zh) * 2023-05-22 2023-12-26 杭州龙境科技有限公司 一种云手机监控管理方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109005157A (zh) * 2018-07-09 2018-12-14 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN109981691A (zh) * 2019-04-30 2019-07-05 山东工商学院 一种面向SDN控制器的实时DDoS攻击检测系统与方法
CN110572362A (zh) * 2019-08-05 2019-12-13 北京邮电大学 针对多类不均衡异常流量的网络攻击检测方法及装置
CN113378168A (zh) * 2021-07-04 2021-09-10 昆明理工大学 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101900154B1 (ko) * 2016-10-17 2018-11-08 숭실대학교산학협력단 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109005157A (zh) * 2018-07-09 2018-12-14 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN109981691A (zh) * 2019-04-30 2019-07-05 山东工商学院 一种面向SDN控制器的实时DDoS攻击检测系统与方法
CN110572362A (zh) * 2019-08-05 2019-12-13 北京邮电大学 针对多类不均衡异常流量的网络攻击检测方法及装置
CN113378168A (zh) * 2021-07-04 2021-09-10 昆明理工大学 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SDN中基于信息熵与DNN的DDoS攻击检测模型;张龙等;《计算机研究与发展》;20190515;第56卷(第05期);第909-917页 *
基于深度信念网络的Android恶意应用检测方法;赵薇等;《计算机工程与应用》;20180323;第54卷(第18期);第125-132页 *

Also Published As

Publication number Publication date
CN114422277A (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
Radoglou-Grammatikis et al. Modeling, detecting, and mitigating threats against industrial healthcare systems: a combined software defined networking and reinforcement learning approach
CN113408743B (zh) 联邦模型的生成方法、装置、电子设备和存储介质
CN109194684B (zh) 一种模拟拒绝服务攻击的方法、装置及计算设备
CN111553488B (zh) 一种针对用户行为的风险识别模型训练方法及系统
KR101719500B1 (ko) 캐싱된 플로우들에 기초한 가속
CN114422277B (zh) 防御网络攻击的方法、装置、电子设备和计算机可读介质
CN112214775A (zh) 对图数据的注入式攻击方法、装置、介质及电子设备
CN111866713A (zh) 一种定位方法、装置及电子设备
CN115955347A (zh) 一种入侵防御规则处理方法、装置、设备及介质
CN109905366A (zh) 终端设备安全验证方法、装置、可读存储介质及终端设备
CN115361450B (zh) 请求信息处理方法、装置、电子设备、介质和程序产品
CN116959059A (zh) 一种活体检测的方法、装置以及存储介质
CN111582456B (zh) 用于生成网络模型信息的方法、装置、设备和介质
CN113779335A (zh) 信息生成方法、装置、电子设备和计算机可读介质
US20180124018A1 (en) Coordinated application firewall
CN117424764B (zh) 系统资源访问请求信息处理方法、装置、电子设备和介质
CN111582482B (zh) 用于生成网络模型信息的方法、装置、设备和介质
CN116881914B (zh) 文件系统操作处理方法、系统、设备和计算机可读介质
CN112738808B (zh) 无线网络中DDoS攻击检测方法、云服务器及移动终端
CN114826707B (zh) 处理用户威胁的方法、装置、电子设备和计算机可读介质
CN114765634B (zh) 网络协议识别方法、装置、电子设备及可读存储介质
CN114499949B (zh) 设备绑定方法、装置、电子设备和计算机可读介质
CN112887213B (zh) 报文清洗方法和装置
CN110019567B (zh) 发现未知风险模式的方法、装置、电子设备及存储介质
CN117040908A (zh) 一种网站指纹识别防御方法、系统、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant