CN114448661B - 慢速拒绝服务攻击检测方法及相关设备 - Google Patents
慢速拒绝服务攻击检测方法及相关设备 Download PDFInfo
- Publication number
- CN114448661B CN114448661B CN202111547117.8A CN202111547117A CN114448661B CN 114448661 B CN114448661 B CN 114448661B CN 202111547117 A CN202111547117 A CN 202111547117A CN 114448661 B CN114448661 B CN 114448661B
- Authority
- CN
- China
- Prior art keywords
- feature
- matrix
- feature matrix
- interval
- neural network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 239000011159 matrix material Substances 0.000 claims abstract description 155
- 238000000605 extraction Methods 0.000 claims abstract description 65
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 45
- 238000001514 detection method Methods 0.000 claims abstract description 31
- 238000011176 pooling Methods 0.000 claims abstract description 10
- 230000006870 function Effects 0.000 claims description 24
- 230000004913 activation Effects 0.000 claims description 22
- 238000010606 normalization Methods 0.000 claims description 14
- 238000005070 sampling Methods 0.000 claims description 13
- 238000013528 artificial neural network Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24133—Distances to prototypes
- G06F18/24137—Distances to cluster centroïds
- G06F18/2414—Smoothing the distance, e.g. radial basis function networks [RBFN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Computer Hardware Design (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种慢速拒绝服务攻击检测方法,对检测区间内的流量进行分段采集提取第一特征,并将提取到的第一特征生成第一特征矩阵输入卷积神经网络进一步提取第二特征得到第二特征矩阵,之后对第二特征矩阵池化并将池化后的矩阵二分类得到服务攻击检测结果。通过上述方法进行慢速拒绝服务攻击检测,能够充分考虑时间间隔内流量的时序特征,进而能够更好的检测慢速拒绝服务攻击。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种慢速拒绝服务攻击检测方法及相关设备。
背景技术
慢速拒绝服务攻击是拒绝服务攻击的变种,其产生的攻击效果类似于拒绝服务攻击,但是攻击的隐蔽性更强。主要是通过一些特殊的数据包,长时间的占据服务器连接,使得服务器无法响应正常用户的请求。由于特殊的数据包能够长时间的占据服务器连接,所以攻击者不需要一直进行高速率的发包,只需要在一小段时间内发送大量的数据包占据连接,因此,慢速拒绝服务攻击的平均速率与正常流量差别不大。相关的HTTP/2慢速拒绝服务检测方法中,在进行流量攻击检测时并没有考虑到流量的时序特征。
发明内容
有鉴于此,本申请的目的在于提出一种慢速拒绝服务攻击检测方法及相关设备。
基于上述目的,本申请提供了一种慢速拒绝服务攻击检测方法,包括:
根据预设采样间隔按照时间序列获取多个区间流量;
分别提取多个所述区间流量中对应的多个第一特征的值,以生成第一特征矩阵;
通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵;
将所述第二特征矩阵池化为第三特征矩阵;
通过全连接层和分类网络将所述第三特征矩阵二分类,得到慢速拒绝服务攻击检测结果。
在一些实施方式中,所述分别提取多个所述区间流量中对应的多个第一特征的值,生成第一特征矩阵,包括:
对于所述多个区间流量中的每一个区间流量,根据区间流量中的HTTP/2协议二进制帧的属性定义多个第一特征对应的多个提取规则,分别将所述区间流量中满足提取规则的HTTP/2协议二进制帧的数量作为对应的第一特征的值;
根据全部的第一特征的值生成所述第一特征矩阵,其中,所述第一特征矩阵的列元素表示在一个区间流量内的多个第一特征。
在一些实施方式中,所述通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵,包括:
对所述第一特征矩阵进行一维卷积操作,得到特征提取矩阵;
对所述特征提取矩阵进行批标准化操作,通过激活函数将批标准化后的特征提取矩阵转换为第二特征矩阵。
在一些实施方式中,所述卷积神经网络包括第一卷积神经网络、第二卷积神经网络和第三卷积神经网络,所述通过卷积神经网络提取所述第一特征矩阵的第二特征,以得到第二特征矩阵,包括:
通过所述第一卷积神经网络对所述第一特征矩阵进行第一一维卷积操作,得到第一特征提取矩阵;对所述第一特征提取矩阵进行第一批标准化操作,通过第一激活函数将批标准化后的第一特征提取矩阵转换为第一中间特征矩阵;
通过所述第二卷积神经网络对所述第一中间特征矩阵进行第二一维卷积操作,得到第二特征提取矩阵;对所述第二特征提取矩阵进行第二批标准化操作,通过第二激活函数将批标准化后的第二特征提取矩阵转换为第二中间特征矩阵;
通过所述第三卷积神经网络对所述第二中间特征矩阵进行第三一维卷积操作,得到第三特征提取矩阵;对所述第三特征提取矩阵进行第三批标准化操作,通过第三激活函数将批标准化后的第三特征提取矩阵转换为第二特征矩阵;
其中,所述第一卷积神经网络、第二卷积神经网络和第三卷积神经网络对应的特征通道数递进增加。
在一些实施方式中,所述激活函数为ReLU;所述批标准化操作通过BatchNormalization层进行;所述池化通过GlobalAveragePooling1D层进行。
在一些实施方式中,所述提取规则由至少一个原子规则的逻辑运算组成,所述原子规则用于表示任一HTTP/2协议二进制帧的属性的值的范围。
在一些实施方式中,所述原子规则包括:响应于确定任一HTTP/2协议二进制帧的属性的值在预设的区间内,该HTTP/2协议二进制帧的属性的值满足原子规则。
基于同一构思,本申请还提供了一种慢速拒绝服务攻击检测装置,包括:
获取模块,被配置为按照时间序列获取预设采样间隔的多个区间流量;
提取模块,被配置为分别提取多个所述区间流量中对应的多个第一特征的值,以生成第一特征矩阵;
计算模块,被配置为通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵;
池化模块,被配置为将所述第二特征矩阵池化为第三特征矩阵;
分类模块,被配置为通过全连接层和分类网络将所述第三特征矩阵二分类,得到慢速拒绝服务攻击检测结果。
基于同一构思,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任一项所述的方法。
基于同一构思,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机实现如上任一项所述的方法。
从上面所述可以看出,本申请提供的慢速拒绝服务攻击检测方法,对检测区间内的流量进行分段采集提取第一特征,并将提取到的第一特征生成第一特征矩阵输入卷积神经网络进一步提取第二特征得到第二特征矩阵,之后对第二特征矩阵池化并将池化后的矩阵二分类得到慢速拒绝服务攻击检测结果。通过上述方法进行慢速拒绝服务攻击检测,能够充分考虑时间间隔内流量的时序特征,进而能够更好的检测慢速拒绝服务攻击。
附图说明
为了更清楚地说明本申请或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的慢速拒绝服务攻击检测方法流程图;
图2a为拒绝服务攻击模式示意图;
图2b为慢速拒绝服务攻击模式示意图;
图3为本申请实施例的慢速拒绝服务攻击检测模型结构示意图;
图4为本申请实施例的慢速拒绝服务攻击检测装置示意图;
图5为本申请实施例的电子设备结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本申请进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,相关的拒绝服务攻击检测方法还难以满足网络安全检测的需要。申请人在实现本申请的过程中发现,相关的HTTP/2协议检测方法在采集数据时使用的方式都是统计某个时间间隔内选取的特征数量,然后使用分类或者异常检测的方法判断是否为攻击流量。这种数据采集方式,忽略了检测区间内的时序特征,只考虑了检测区间内的平均特征,而对于慢速拒绝服务攻击来说,特点之一就是某段时间的速率大,整体速率低。这就导致慢速拒绝服务攻击的时序特征可能与平均特征不同。
有鉴于此,本说明书一个或多个实施例提供了一种慢速拒绝服务攻击检测方法,参考图1,本说明书一个实施例的慢速拒绝服务攻击检测方法,包括以下步骤:
步骤S101、根据预设采样间隔按照时间序列获取多个区间流量;
慢速拒绝服务攻击是拒绝服务攻击的变种,其产生的攻击效果类似于拒绝服务攻击,但是攻击的隐蔽性更强。参考图2a,图2b,图2a为拒绝服务攻击模式,其往往需要大量的流量进行持续整个攻击时间段的攻击,所以导致攻击流量与正常流量之间的速率差异较大,整个攻击时间段都为攻击的生效区间;图2b为慢速拒绝服务攻击模式,其主要是通过一些特殊的数据包,长时间的占据服务器连接,使得服务器无法响应正常用户的请求。由于特殊的数据包能够长时间的占据服务器连接,所以攻击者不需要一直进行高速率的发包,只需要在一小段时间内发送大量的数据包占据连接就可以在发送数据包之后的一段时间内生效,即图中的生效区间内生效,因此,慢速拒绝服务攻击的平均速率与正常流量差别不大。为了检测到慢速拒绝服务,在本申请中,将一个时间窗口分为多个采样间隔,对每个采样间隔进行分别采样,从而能够获得一小段区间内的异常流量数据。
在本步骤中,令一个时间窗口的长度T,其含有T/t个长度为t的采样间隔。若对该时间窗口内的流量进行慢速拒绝服务攻击检测,则首先需要按照时间序列即时间先后的顺序采集每个采样间隔的区间流量。时间窗口的长度T和采样间隔的长度t可以根据实际情况进行选择,本申请中不做限定。
在一些实施例中,可以使用wireshark的命令行工具tshark进行一段时间的流量采集。
步骤S102、分别提取多个所述区间流量中对应的多个第一特征的值,以生成第一特征矩阵;
在本步骤中,对于所述多个区间流量中的每一个区间流量,根据区间流量中的HTTP/2协议二进制帧的属性定义多个第一特征对应的多个提取规则,分别将所述区间流量中满足提取规则的HTTP/2协议二进制帧的数量作为对应的第一特征的值;然后根据全部的第一特征的值生成所述第一特征矩阵,其中,所述第一特征矩阵的列元素表示在一个区间流量内的多个第一特征。
作为一个具体的示例,第一特征矩阵表示如下:sample={[f1_1,f2_1,f3_1,f4_1,f5_1,f6_1…],…,[f1_[T/t],f2_[T/t],f3_[T/t],f4_[T/t],f5_[T/t],f6_[T/t],…]}。序列长度由选取的时间窗口T与时间间隔t有关。
作为一个具体的示例,首先根据区间流量中的HTTP/2协议二进制帧的属性定义一系列的原子规则,原子规则包括:响应于确定任一HTTP/2协议二进制帧的属性的值在预设的区间内,该HTTP/2协议二进制帧的属性的值满足原子规则。如表1所示。原子规则指的是对某个HTTP/2协议二进制帧的属性进行一种检测,检测是包括对某个HTTP/2协议二进制帧的属性进行以下几种判断之一:
1.等于:属性等于某个值
2.大于:属性大于某个值
3.小于:属性小于某个值
4.左闭右开区间:属性大于等于某个值,小于某个值
5.左闭右闭区间:属性大于等于某个值,小于等于某个值
6.左开右闭区间:属性大于某个值,小于等于某个值
7.左开右开:属性大于某个值,小于某个值
参考表1,为原子规则数据库表,用于表示原子规则的表现形式。
表1
在定义好原子规则之后,可以通过逻辑运算来得到第一特征的提取规则。提取规则由至少一个原子规则的逻辑运算组成。在一个区间流量的第一特征提取过程中,可以有多个提取规则对应的不同第一特征,多个不同第一特征的值组成了第一特征矩阵的列元素,即当权区间的区间流量对应的多个第一特征的值。第一特征矩阵的行则表示多个采样间隔的区间流量。例如:”1&(4|3)|!2”,表达式中的数字代表规则id,&代表与操作,|代表或操作,!代表非操作,()代表提升运算优先级。通过逻辑运算,可以得到区间流量对应于”1&(4|3)|!2”该提取规则的第一特征的值。
根据RFC7540标准,定义了32种HTTP/2协议二进制帧具有的属性,如表2所示:
表2
用户通过对32各种自定义的规则原子进行逻辑运算组合,就可以得到所需的第一特征的多个提取规则,由于不同应用服务器的实现不同,因此面临的威胁也可能不同,所以通过自定义规则的方式,就可以应对不同的应用场景。
步骤S103、通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵;
在本步骤中,考虑到攻击流量可能具有不同的请求速率,映射到图像特征来说就是图像上不同尺度的特征,因此,使用卷积神经网络来进行时间序列第二特征的计算。
步骤S104、将所述第二特征矩阵池化为第三特征矩阵;
在本步骤中,因为卷积核的数量是固定的,所以经过池化后,会得到固定维度的特征。通过池化操作,可以使得本申请的方案具有自适应性,在改变输入的维度时,不需要改变方法流程,对于对应的神经网络模型来说不必去改变结构,只需要重新训练即可。
在一些实施例中,池化操作可以采用GlobalAveragePooling1D进行。
步骤S105、通过全连接层和分类网络将所述第三特征矩阵二分类,得到慢速拒绝服务攻击检测结果。
在一些实施例中,检测结果为检测的流量是慢速拒绝服务攻击的概率值,可以将概率值通过转换函数转换为0和1的分类结果,分类结果为0是正常流量,为1是攻击流量。
从上面所述可以看出,本申请实施例对检测区间内的流量进行分段采集提取第一特征,并将提取到的第一特征生成第一特征矩阵输入卷积神经网络进一步提取第二特征得到第二特征矩阵,之后对第二特征矩阵池化并将池化后的矩阵二分类得到慢速拒绝服务攻击检测结果。通过上述方法进行慢速拒绝服务攻击检测,能够充分考虑时间间隔内流量的时序特征,进而能够更好的检测慢速拒绝服务攻击。
在另外一些实施例中,对于前述实施例中所述的通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵,包括:
对所述第一特征矩阵进行一维卷积操作,得到特征提取矩阵;
对所述特征提取矩阵进行批标准化操作,通过激活函数将批标准化后的特征提取矩阵转换为第二特征矩阵。
在本实施例中,激活函数可以是sigmoid、tanh、ReLU。
作为一个示例,采用ReLU作为激活函数。相比于sigmoid、tanh,导数更加好求,反向传播就是不断的更新参数的过程,因为其导数不复杂形式简单。同时可以防止梯度消失。当数值过大或者过小,sigmoid,tanh的导数接近于0,ReLU为非饱和激活函数不存在这种现象。并且在一维卷积操作后通过加入BatchNormalization层(批标准化层)进行批标准化操作,这是考虑到实际的网络环境可能十分复杂,由于各种代理,网关的存在以及网络拥塞状况的变化,使得网络流量的分布不稳定,因此通过BatchNormalization让卷积神经网络的输出分布更加稳定。
在另外一些实施例中,对于前述实施例中所述的卷积神经网络包括第一卷积神经网络、第二卷积神经网络和第三卷积神经网络,所述通过卷积神经网络提取所述第一特征矩阵的第二特征,以得到第二特征矩阵,包括:
通过所述第一卷积神经网络对所述第一特征矩阵进行第一一维卷积操作,得到第一特征提取矩阵;对所述第一特征提取矩阵进行第一批标准化操作,通过第一激活函数将批标准化后的第一特征提取矩阵转换为第一中间特征矩阵;
通过所述第二卷积神经网络对所述第一中间特征矩阵进行第二一维卷积操作,得到第二特征提取矩阵;对所述第二特征提取矩阵进行第二批标准化操作,通过第二激活函数将批标准化后的第二特征提取矩阵转换为第二中间特征矩阵;
通过所述第三卷积神经网络对所述第二中间特征矩阵进行第三一维卷积操作,得到第三特征提取矩阵;对所述第三特征提取矩阵进行第三批标准化操作,通过第三激活函数将批标准化后的第三特征提取矩阵转换为第二特征矩阵;
其中,所述第一卷积神经网络、第二卷积神经网络和第三卷积神经网络对应的特征通道数递进增加。
在本实施例中,选择三层卷积神经网络串联的方式是考虑到了性能和效率,层数过多会导致检测时间变长,通过实验发现三层就具有很好的效果。作为一个具体的示例,参考图3,这里的一层卷积神经网络可以是进行一维卷积操作的卷积层(Conv1D)+进行批标准化操作的批标准化层(BatchNormalization)+激活函数(ReLU)。每一层有不同的feature_map(卷积核个数)以及kernal_size(就是卷积核大小)。在本示例中,首先采集设备(包括获取模块和提取模块)对数据进行预处理(其中,获取模块被配置为根据预设采样间隔按照时间序列获取多个区间流量;提取模块被配置为分别获取多个所述区间流量中对应的多个第一特征的值,以生成第一特征矩阵);然后通过第一卷积神经网络1的进行一维卷积操作的卷积层11(Conv1D)+进行批标准化操作的批标准化层12(BatchNormalization)+激活函数13(ReLU)对第一特征矩阵进行处理得到第一中间特征矩阵,假设第一特征矩阵为1*m*n的矩阵,通过第一卷积神经网络1后得到的第一中间特征矩阵为1*m*16的矩阵;之后通过第二卷积神经网络2进行一维卷积操作的卷积层21(Conv1D)+进行批标准化操作的批标准化层22(BatchNormalization)+激活函数23(ReLU)对第一中间特征矩阵进行处理得到第二中间特征矩阵(1*m*32);再之后通过第三卷积神经网络3进行一维卷积操作的卷积层31(Conv1D)+进行批标准化操作的批标准化层32(BatchNormalization)+激活函数33(ReLU)对第二中间特征矩阵进行处理得到第二特征矩阵(1*m*64);通过三层卷积神经网络后,将第二特征矩阵通过池化层4(GlobalAveragePooling1D)池化为第三特征矩阵(1*64);最后,通过全连接层5(Dense)和分类网络6(Softmax)将第三特征矩阵二分类,得到服务攻击检测结果:一个(1*2)的矩阵,第二维的两个值就分别代表属于正常流量的概率和属于攻击流量的概率。其中,使用三层卷积神经网络的好处是可以逐步深入的提取特征,特征提取是通过每一层不同的卷积核来提取的。
作为一个具体的实施场景,使用模拟生成的流量以及人工提取的特征对按照本申请的方法构建的模型的效果进行测试,参考表3,选取以下几种特征:
表3
共收集了10h的正常流量数据以及10h的异常流量数据,以5min为时间间隔,共计240条样本,使用192条样本用于训练,48条样本用于测试。使用生成的48条数据进行测试时,发现模型在训练集与测试集上的预测准确率都达到了100%,主要的原因是生成的数据集过于规则化,正常流量和攻击流量是完全分开的,而在实际的场景中,攻击流量可能会混杂在正常流量中,具有更大的检测难度。
在实际的应用场景中,针对不同的目标HTTP/2服务器,用户可以设置更合适的第一特征对应的提取规则,获得更好的检测效果。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种慢速拒绝服务攻击检测装置。
参考图4,所述慢速拒绝服务攻击检测装置,包括:
获取模块401,被配置为按照时间序列获取预设采样间隔的多个区间流量;
提取模块402,被配置为分别提取多个所述区间流量中对应的多个第一特征的值,以生成第一特征矩阵;
计算模块403,被配置为通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵;
池化模块404,被配置为将所述第二特征矩阵池化为第三特征矩阵;
分类模块405,被配置为通过全连接层和分类网络将所述第三特征矩阵二分类,得到慢速拒绝服务攻击检测结果。
作为一个可选的实施例,提取模块402,还用于:
对于所述多个区间流量中的每一个区间流量,根据区间流量中的HTTP/2协议二进制帧的属性定义多个第一特征对应的多个提取规则,分别将所述区间流量中满足提取规则的HTTP/2协议二进制帧的数量作为对应的第一特征的值;
根据全部的第一特征的值生成所述第一特征矩阵,其中,所述第一特征矩阵的列元素表示在一个区间流量内的多个第一特征。
作为一个可选的实施例,计算模块403还用于:
对所述第一特征矩阵进行一维卷积操作,得到特征提取矩阵;
对所述特征提取矩阵进行批标准化操作,通过激活函数将批标准化后的特征提取矩阵转换为第二特征矩阵。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的慢速拒绝服务攻击检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的慢速拒绝服务攻击检测方法。
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的慢速拒绝服务攻击检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的慢速拒绝服务攻击检测方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的慢速拒绝服务攻击检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种慢速拒绝服务攻击检测方法,其特征在于,包括:
根据预设采样间隔按照时间序列获取多个区间流量;
分别提取多个所述区间流量中对应的多个第一特征的值,以生成第一特征矩阵;
通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵;
将所述第二特征矩阵池化为第三特征矩阵;
通过全连接层和分类网络将所述第三特征矩阵二分类,得到慢速拒绝服务攻击检测结果;
所述分别提取多个所述区间流量中对应的多个第一特征的值,生成第一特征矩阵,包括:
对于所述多个区间流量中的每一个区间流量,根据区间流量中的HTTP/2协议二进制帧的属性定义多个第一特征对应的多个提取规则,分别将所述区间流量中满足提取规则的HTTP/2协议二进制帧的数量作为对应的第一特征的值;
根据全部的第一特征的值生成所述第一特征矩阵,其中,所述第一特征矩阵的列元素表示在一个区间流量内的多个第一特征。
2.根据权利要求1所述的方法,其特征在于,所述通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵,包括:
对所述第一特征矩阵进行一维卷积操作,得到特征提取矩阵;
对所述特征提取矩阵进行批标准化操作,通过激活函数将批标准化后的特征提取矩阵转换为第二特征矩阵。
3.根据权利要求1所述的方法,其特征在于,所述卷积神经网络包括第一卷积神经网络、第二卷积神经网络和第三卷积神经网络,所述通过卷积神经网络提取所述第一特征矩阵的第二特征,以得到第二特征矩阵,包括:
通过所述第一卷积神经网络对所述第一特征矩阵进行第一一维卷积操作,得到第一特征提取矩阵;对所述第一特征提取矩阵进行第一批标准化操作,通过第一激活函数将批标准化后的第一特征提取矩阵转换为第一中间特征矩阵;
通过所述第二卷积神经网络对所述第一中间特征矩阵进行第二一维卷积操作,得到第二特征提取矩阵;对所述第二特征提取矩阵进行第二批标准化操作,通过第二激活函数将批标准化后的第二特征提取矩阵转换为第二中间特征矩阵;
通过所述第三卷积神经网络对所述第二中间特征矩阵进行第三一维卷积操作,得到第三特征提取矩阵;对所述第三特征提取矩阵进行第三批标准化操作,通过第三激活函数将批标准化后的第三特征提取矩阵转换为第二特征矩阵;
其中,所述第一卷积神经网络、第二卷积神经网络和第三卷积神经网络对应的特征通道数递进增加。
4.根据权利要求2或3所述的方法,其特征在于,所述激活函数为ReLU;所述批标准化操作通过BatchNormalization层进行;所述池化通过GlobalAveragePooling1D层进行。
5.根据权利要求1所述的方法,其特征在于,所述提取规则由至少一个原子规则的逻辑运算组成,所述原子规则用于表示任一HTTP/2协议二进制帧的属性的值的范围。
6.根据权利要求5所述的方法,其特征在于,所述原子规则包括:响应于确定任一HTTP/2协议二进制帧的属性的值在预设的区间内,该HTTP/2协议二进制帧的属性的值满足原子规则。
7.一种慢速拒绝服务攻击检测装置,其特征在于,包括:
获取模块,被配置为按照时间序列获取预设采样间隔的多个区间流量;
提取模块,被配置为分别提取多个所述区间流量中对应的多个第一特征的值,以生成第一特征矩阵;还用于对于所述多个区间流量中的每一个区间流量,根据区间流量中的HTTP/2协议二进制帧的属性定义多个第一特征对应的多个提取规则,分别将所述区间流量中满足提取规则的HTTP/2协议二进制帧的数量作为对应的第一特征的值;根据全部的第一特征的值生成所述第一特征矩阵,其中,所述第一特征矩阵的列元素表示在一个区间流量内的多个第一特征;
计算模块,被配置为通过卷积神经网络计算所述第一特征矩阵的第二特征,以得到第二特征矩阵;
池化模块,被配置为将所述第二特征矩阵池化为第三特征矩阵;
分类模块,被配置为通过全连接层和分类网络将所述第三特征矩阵二分类,得到慢速拒绝服务攻击检测结果。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任意一项所述的方法。
9.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,其特征在于,所述计算机指令用于使计算机执行权利要求1至6任一所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111547117.8A CN114448661B (zh) | 2021-12-16 | 2021-12-16 | 慢速拒绝服务攻击检测方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111547117.8A CN114448661B (zh) | 2021-12-16 | 2021-12-16 | 慢速拒绝服务攻击检测方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448661A CN114448661A (zh) | 2022-05-06 |
| CN114448661B true CN114448661B (zh) | 2023-05-05 |
Family
ID=81363343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111547117.8A Active CN114448661B (zh) | 2021-12-16 | 2021-12-16 | 慢速拒绝服务攻击检测方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448661B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115361242B (zh) * | 2022-10-24 | 2023-03-24 | 长沙市智为信息技术有限公司 | 一种基于多维特征网络的Web攻击检测方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109729091A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于多特征融合和CNN算法的LDoS攻击检测方法 |
| CN110719272A (zh) * | 2019-09-27 | 2020-01-21 | 湖南大学 | 一种基于lr算法的慢速拒绝服务攻击检测方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621425B (zh) * | 2009-05-21 | 2012-01-25 | 北京邮电大学 | 一种检测低速率拒绝服务攻击的方法及装置 |
| US20160036837A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
| CN107483473B (zh) * | 2017-09-05 | 2020-04-17 | 上海海事大学 | 一种云环境的低速拒绝服务攻击数据流检测方法 |
| WO2020159439A1 (en) * | 2019-01-29 | 2020-08-06 | Singapore Telecommunications Limited | System and method for network anomaly detection and analysis |
| US11159408B2 (en) * | 2019-06-25 | 2021-10-26 | Intel Corporation | Link performance prediction technologies |
| CN110381052B (zh) * | 2019-07-16 | 2021-12-21 | 海南大学 | 基于CNN的DDoS攻击多元信息融合方法及装置 |
| CN110351291B (zh) * | 2019-07-17 | 2021-07-13 | 海南大学 | 基于多尺度卷积神经网络的DDoS攻击检测方法及装置 |
| CN110661802A (zh) * | 2019-09-27 | 2020-01-07 | 湖南大学 | 一种基于pca-svm算法的慢速拒绝服务攻击检测方法 |
| CN110572413A (zh) * | 2019-09-27 | 2019-12-13 | 湖南大学 | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 |
| CN112788062B (zh) * | 2021-01-29 | 2022-03-01 | 湖南大学 | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 |
| CN113206859B (zh) * | 2021-05-17 | 2022-03-15 | 北京交通大学 | 一种针对低速率DDoS攻击的检测方法和系统 |
| CN113242260B (zh) * | 2021-06-09 | 2023-02-21 | 中国银行股份有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
-
2021
- 2021-12-16 CN CN202111547117.8A patent/CN114448661B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109729091A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于多特征融合和CNN算法的LDoS攻击检测方法 |
| CN110719272A (zh) * | 2019-09-27 | 2020-01-21 | 湖南大学 | 一种基于lr算法的慢速拒绝服务攻击检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| Yihang Zhang;Yijie Shi.A Slow Rate Denial-of-Service Attack Against HTTP/2.《2018 IEEE 4th International Conference on Computer and Communications (ICCC)》.2019,全文. * |
| 陈旖;张美璟;许发见.基于一维卷积神经网络的HTTP慢速DoS攻击检测方法.计算机应用.2020,(第10期),第53-56页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448661A (zh) | 2022-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109816009B (zh) | 基于图卷积的多标签图像分类方法、装置及设备 | |
| CN108141645A (zh) | 具有成对深度排序的视频重点检测 | |
| CN110929839B (zh) | 训练神经网络的方法和装置、电子设备和计算机存储介质 | |
| CN114580263A (zh) | 基于知识图谱的信息系统故障预测方法及相关设备 | |
| CN113177209B (zh) | 基于深度学习的加密流量分类方法及相关设备 | |
| CN111223006A (zh) | 一种异常用电检测方法及装置 | |
| CN113886181B (zh) | 应用于AIOps故障预警的动态阈值预测方法、设备及介质 | |
| CN107679626A (zh) | 机器学习方法、装置、系统、存储介质及设备 | |
| CN116822803B (zh) | 基于智能算法的碳排放数据图构建方法、装置与设备 | |
| CN114448661B (zh) | 慢速拒绝服务攻击检测方法及相关设备 | |
| CN114721835A (zh) | 边缘数据中心服务器能耗预测方法、系统、设备及介质 | |
| CN111062431A (zh) | 图像聚类方法、图像聚类装置、电子设备及存储介质 | |
| CN113298116A (zh) | 基于注意力权重的图嵌入特征提取方法、装置及电子设备 | |
| CN113792876B (zh) | 骨干网络的生成方法、装置、设备以及存储介质 | |
| CN112910890B (zh) | 基于时间卷积网络的匿名网络流量指纹识别方法及设备 | |
| CN114760087A (zh) | 软件定义工业互联网中的DDoS攻击检测方法及系统 | |
| CN111798263A (zh) | 一种交易趋势的预测方法和装置 | |
| CN116628600A (zh) | 基于随机森林的不平衡数据采样方法及装置 | |
| CN108133234B (zh) | 基于稀疏子集选择算法的社区检测方法、装置及设备 | |
| CN115314239A (zh) | 基于多模型融合的隐匿恶意行为的分析方法和相关设备 | |
| CN115348190A (zh) | 一种物联网设备检测方法、系统和设备 | |
| CN115987549A (zh) | 移动终端的异常行为检测方法、装置及存储介质 | |
| CN103778329A (zh) | 一种构造数据补足值的方法 | |
| CN114819088A (zh) | 网络结构搜索方法、装置、可读存储介质及电子设备 | |
| CN113783795A (zh) | 加密流量分类方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |