CN114978720A - 一种分布式拒绝服务攻击可视化表征的智能检测方法 - Google Patents

Abstract

本发明公开了一种分布式拒绝服务攻击可视化表征的智能检测方法，涉及网络空间安全和人工智能领域，采集网络流量传输数据包，对采集到的网络流量传输数据包进行平行坐标图可视化预处理；针对每一个窗口期内的网络流量传输数据平行坐标图进行数据标注；面向混杂DDOS攻击的可视化表征，构建智能卷积神经网络模型即智能检测模型；将待检测的网络传输数据包样本输入智能检测模型，给出攻击检测判断结果，实现面向混杂DDOS攻击的高效识别和检测。

Description

一种分布式拒绝服务攻击可视化表征的智能检测方法

技术领域

本发明涉及网络空间安全和人工智能领域，尤其涉及到一种分布式拒绝服务攻击可视化表征的智能检测方法。

背景技术

随着信息技术的不断发展，网络空间延伸到社会的各个领域，网络安全问题也越来越受到重视。在众多的攻击方式中，拒绝服务(Denial of Service，DOS)攻击因为易于实施并且具有很大危害性，成为亟待解决的网络安全问题之一。拒绝服务攻击利用目标系统网络服务功能缺陷或漏洞，直接消耗其系统资源，使得该目标系统无法提供正常的服务，从而达到拒绝服务的效果。虽然随着系统CPU处理速度、存储容量、网络带宽都在不断地提升，目标抗DOS攻击的能力不断加强，但具备高隐蔽性、强攻击性的新型DOS仍对网络和系统造成的巨大损伤，特别是混杂具有慢速率、模糊性的分布式拒绝服务(Distributed Denialof Service，DDOS)攻击，其攻击方式是采用多台空间分布的攻击机对目标机发送大量报文数据，使整个网络处于阻塞或者瘫痪状态，耗尽目标资源达到拒绝服务的效果，并且可以将正常业务报文淹没，导致用户不能够再进行任何通信交互操作，攻击力更强，对整个网络系统的威胁性也更大。

目前，针对DDOS攻击大多采用的定量分析检测的方法，通过设定单位时间节点吞吐量、包到达数目等阈值判读攻击行为，但针对具备慢速率、高隐蔽性的DDOS攻击，其攻击判别阈值难于界定，仅依靠人为阈值的方法降低了检测准确率。

发明内容

针对现有技术上的不足，本发明提出一种分布式拒绝服务攻击可视化表征的智能检测方法；

一种分布式拒绝服务攻击可视化表征的智能检测方法，具体为以下步骤：

步骤1：采集网络流量传输数据包，对采集到的网络流量传输数据包进行平行坐标图可视化预处理；针对每一个窗口期内的网络流量传输数据平行坐标图进行数据标注；

步骤1.1：采集网络流量传输数据包；将网络流量传输数据包进行信息提取，提取信息参数，包括：源IP地址，目的IP地址，源端口号，目的端口号、协议类型信息；

步骤1.2：设置网络流量窗口期以及构建信息矩阵；

根据应用场景设置网络流量窗口期阈值G；在固定阈值G内，对步骤1.1采集到的网络流量传输数据信息参数构建信息矩阵F表示为：

其中，矩阵的行数表示为N，表示在时间窗口期内收到的同一关键参数的报文个数；矩阵的列数为K，表示提取信息参数的不同种类数据，包括：发包数据的源IP地址，目的IP地址，源端口号，目的端口号、协议类型，不同种类表示不同的报文信息特征，N，K均为正整数；其中，

表示发包数据的源IP地址在时间窗口期内收到的第N个报文；

步骤1.3：生成网络流量传输数据包平行坐标图；

根据获得的信息矩阵F，将其映射为网络流量传输数据包的平行坐标图，作为网络流量传输数据包的可视化表示；将提取的信息参数作为图的节点，包括源IP地址，目的IP地址，源端口号，目的端口号、协议类型；同时，确定时间窗口，在窗口期内收集数据报文，构建数据平行坐标图；

例如源IP，纵轴表示网络流量传输数据包的数目，单位为数据包个数，在时间窗口期内，每出现一条从源IP到目的IP的数据报文，则连接一条直线；目的IP到源端口号同样连接一条直线；每一条报文连接一条源端口号到目的端口号的直线；最终，将每条线由目的端口号连接到对应的协议类型；

步骤1.4：针对每一个窗口期内的网络流量传输数据包平行坐标图进行数据标注；

面向应用场景采集数据，进行二分类标注，包括是DDOS攻击和非DDOS攻击两类，构建有监督数据集；

步骤2：面向混杂DDOS攻击的可视化表征，构建智能卷积神经网络模型即智能检测模型；

步骤2.1：构建面向混杂DDOS攻击的平行坐标图的卷积层，实现网络流量传输数据特征提取；卷积层是通过卷积核来提取特征，卷积核是一个矩阵，从左上角开始，卷积核的大小就对应着平行坐标图像矩阵范围，然后相乘再相加得出一个值；按照这种顺序，每隔一个步长的像素就进行一次卷积操作，然后得到一个经过卷积操作得出的值，将整个矩阵进行这样的卷积核窗口滑动，会形成一个卷积和矩阵，该矩阵中元素经过一层卷积层输出，再经过激活函数计算处理输出就得到网络流量传输数据特征；

步骤2.2：构建激活函数层；

激活函数采用Relu函数；

Relu＝max(0,x)

x表示采集到的任意一种网络流量传输数据关键参数；

步骤2.3：构建池化层；

采用最大池化方式，选取指定区域内最大的一个数来代表整片区域，设区域内输入A，A＝(a₁，a₂，…，a_k，a_n)，a_k表示输入的任意一种网络传输数据信息参数的第k个；n＝1，2，…，N；则池化层输出Y表示为：

Y＝max{a₁，a₂，…，a_k，a_n}

步骤2.4：构建全连接层；

全连接层将网络流量传输数据包信息参数时间窗口期内的“可视化特征表示”映射到样本标记空间，全连接层输出为：

其中，设全连接层共有L层，

表示第l层第i单元的输出值；f为全连接层激活函数，W为神经网络权值，b为偏移量；

待模型达到训练迭代次数或满足训练准确率要求后，智能检测模型训练完毕；

步骤3：将待检测的网络传输数据包样本按步骤1处理后，输入智能检测模型，给出攻击检测判断结果。

本发明的有益技术效果：

本发明针对多种类型的混杂DDOS攻击，通过建立面向源IP、目的IP、源端口、目的端口及协议类型的平行坐标图的可视化表征方法，将全流量网络数据行为映射为分布式信息交互的可视化表达，在此基础上，构建卷积神经网络的深度学习模型，实现面向混杂DDOS攻击的高效识别和检测。本发明利用人工智能卷积神经网络模型，实现面向DDOS攻击平行坐标图的人工智能自动识别和判断。

附图说明

图1本发明实施例一种混杂拒绝服务攻击可视化表征的智能检测方法的网络传输数据平行坐标图。

图2本发明实施例一种分布式拒绝服务攻击可视化表征的智能检测方法框图。

具体实施方式

下面结合附图和实施例对本发明做进一步说明；

一种分布式拒绝服务攻击可视化表征的智能检测方法，如图2所示，具体为以下步骤：

步骤1：采集网络流量传输数据包，对采集到的网络流量传输数据包进行平行坐标图可视化预处理；针对每一个窗口期内的网络流量传输数据平行坐标图进行数据标注；

步骤1.1：采集网络流量传输数据包；将网络流量传输数据包进行信息提取，提取信息参数，包括：源IP地址，目的IP地址，源端口号，目的端口号、协议类型信息；

步骤1.2：设置网络流量窗口期以及构建信息矩阵；

根据应用场景设置网络流量窗口期阈值G；在固定阈值G内，对步骤1.1采集到的网络流量传输数据信息参数构建信息矩阵F表示为：

其中，矩阵的行数表示为N，表示在时间窗口期内收到的同一关键参数的报文个数；矩阵的列数为K，表示提取信息参数的不同种类数，包括：发包数据的源IP地址，目的IP地址，源端口号，目的端口号、协议类型，不同种类表示不同的报文信息特征，N，K均为正整数；其中，

表示发包数据的源IP地址在时间窗口期内收到的第N个报文；

设网络流量数据采集时间窗口期为5分钟，即将5分钟内采集的数据进行一个数据块存储，按源地址和进行存储，构建信息矩阵F表示为，

其中，SRC_IP_i表示在一个网络流量窗口期内的第i个源IP地址；DST_IP_i表示在一个网络流量窗口期内的第i个目的IP地址；SRC_port_i表示在一个网络流量窗口期内的第i个源端口号；DST_port_i表示在一个网络流量窗口期内的第i个目的端口号；protocol表示传输数据包的协议类型。

步骤1.3：生成网络流量传输数据平行坐标图；生成如图1所示的平行坐标图；

根据获得的信息矩阵F，将其映射为网络流量传输数据包的平行坐标图，作为网络流量传输数据包的可视化表示；将提取的信息参数作为图的节点，包括源IP地址，目的IP地址，源端口号，目的端口号、协议类型；同时，确定时间窗口，在窗口期内收集数据报文，构建数据平行坐标图；

例如源IP，纵轴表示网络流量传输数据包的数目，单位为数据包个数，在时间窗口期内，每出现一条从源IP到目的IP的数据报文，则连接一条直线；目的IP到源端口号同样连接一条直线；每一条报文连接一条源端口号到目的端口号的直线；最终，将每条线由目的端口号连接到对应的协议类型；

步骤1.4：针对每一个窗口期内的网络流量传输数据包平行坐标图进行数据标注；

针对每一个网络传输数据平行坐标图进行标注，根据有监督公开数据集标签进行标注，或面向应用场景采集数据，人为进行二分类标注，包括是DDOS攻击和非DDOS攻击两类；本发明训练数据集为有监督数据集；针对每一个网络传输数据平行坐标图进行标注，1表示DDOS攻击；0表示非DDOS攻击。

步骤2：面向混杂DDOS攻击的可视化表征，构建智能卷积神经网络模型即智能检测模型；

步骤2.1：构建面向混杂DDOS攻击的平行坐标图的卷积层，实现网络流量传输数据特征提取；卷积层是通过卷积核来提取特征，卷积核是一个矩阵，从左上角开始，卷积核的大小就对应着平行坐标图像矩阵范围，然后相乘再相加得出一个值；按照这种顺序，每隔一个步长的像素就进行一次卷积操作，然后得到一个经过卷积操作得出的值，将整个矩阵进行这样的卷积核窗口滑动，会形成一个卷积和矩阵，该矩阵中元素经过一层卷积层输出，再经过激活函数计算处理输出就得到网络流量传输数据特征；

构建面向混杂DDOS攻击的平行坐标图的卷积序层。此卷积层中具有128个卷积核个数，3*3是卷积核的大小，步长为1，padding设置为same模式。

表1卷积层的参数设置

其中，num_output为卷积核的个数，kernel_size为卷积核大小，stride为卷积核的步长，Padding是否进行边缘扩充,取值为valid或者same。

步骤2.2：构建激活函数层；

激活函数采用Relu函数；

Relu＝max(0,x)

x表示采集到的任意一种网络流量传输数据关键参数；

步骤2.3：构建池化层；

采用最大池化方式，选取指定区域内最大的一个数来代表整片区域，设区域内输入A，A＝(a₁，a₂，…，a_k，a_n)，a_k表示输入的任意一种网络传输数据信息参数的第k个；n＝1，2，…，N；则池化层输出Y表示为：

Y＝max{a₁，a₂，…，a_k，a_n}

此次模型采取的池化方法是最大池化方法，即选取指定区域中的最大值作为输出。池化层的卷积核大小设置为2*2，如下表所示：

表6.10池化层的参数设置

步骤2.4：构建全连接层；

全连接层将网络流量传输数据包信息参数时间窗口期内的“可视化特征表示”映射到样本标记空间，全连接层输出为：

其中，设全连接层共有L层，

表示第l层第i单元的输出值；f为全连接层激活函数，W为神经网络权值，b为偏移量；

例如：设全连接层为三层，其权重参数数量分别为：128，64，64。计算公式如下所示：

其中，

表示第l层第i单元的输出值；f为激活函数；W为神经网络权值，b为偏移，x_i为输入。

在卷积层、池化层和激活函数层等操作的基础上，原始数据映射到隐层特征空间；全连接层将混杂DDOS攻击行为可视化表示映射到样本标记空间，最终实现数据、特征与标记的关联映射和有效训练，完成面向分布式拒绝服务攻击智能检测模型建模。

待模型达到训练迭代次数，并满足训练准确率要求后，智能检测模型训练完毕；设定迭代次数为1000，训练准确率为95％，满足其中任意一个训练结束。

步骤3：将待检测的网络传输数据样本按步骤1处理后，输入智能检测模型，给出攻击检测判断结果。

Claims (3)

1.一种分布式拒绝服务攻击可视化表征的智能检测方法，其特征在于，具体包括以下步骤：

步骤1：采集网络流量传输数据包，对采集到的网络流量传输数据包进行平行坐标图可视化预处理；针对每一个窗口期内的网络流量传输数据平行坐标图进行数据标注；面向应用场景采集数据，进行二分类标注，包括是DDOS攻击和非DDOS攻击两类，构建有监督数据集；

步骤2：面向混杂DDOS攻击的可视化表征，构建智能卷积神经网络模型即智能检测模型；

步骤3：将待检测的网络传输数据包样本按步骤1处理后，输入智能检测模型，给出攻击检测判断结果。

2.根据权利要求1所述的一种分布式拒绝服务攻击可视化表征的智能检测方法，其特征在于，步骤1具体为：

步骤1.1：采集网络流量传输数据包；将网络流量传输数据包进行信息提取，提取信息参数，包括：源IP地址，目的IP地址，源端口号，目的端口号、协议类型信息；

步骤1.2：设置网络流量窗口期以及构建信息矩阵；

根据应用场景设置网络流量窗口期阈值G；在固定阈值G内，对步骤1.1采集到的网络流量传输数据信息参数构建信息矩阵F表示为：

其中，矩阵的行数表示为N，表示在时间窗口期内收到的同一关键参数的报文个数；矩阵的列数为K，表示提取信息参数的不同种类数据，包括：发包数据的源IP地址，目的IP地址，源端口号，目的端口号、协议类型，不同种类表示不同的报文信息特征，N，K均为正整数；其中，

表示发包数据的源IP地址在时间窗口期内收到的第N个报文；

步骤1.3：生成网络流量传输数据包平行坐标图；

根据获得的信息矩阵F，将其映射为网络流量传输数据包的平行坐标图，作为网络流量传输数据包的可视化表示；将提取的信息参数作为图的节点，包括源IP地址，目的IP地址，源端口号，目的端口号、协议类型；同时，确定时间窗口，在窗口期内收集数据报文，构建数据平行坐标图；

例如源IP，纵轴表示网络流量传输数据包的数目，单位为数据包个数，在时间窗口期内，每出现一条从源IP到目的IP的数据报文，则连接一条直线；目的IP到源端口号同样连接一条直线；每一条报文连接一条源端口号到目的端口号的直线；最终，将每条线由目的端口号连接到对应的协议类型；

步骤1.4：针对每一个窗口期内的网络流量传输数据包平行坐标图进行数据标注；

面向应用场景采集数据，进行二分类标注，包括是DDOS攻击和非DDOS攻击两类，构建有监督数据集。

3.根据权利要求1所述的一种分布式拒绝服务攻击可视化表征的智能检测方法，其特征在于，步骤2具体为：

步骤2.1：构建面向混杂DDOS攻击的平行坐标图的卷积层，实现网络流量传输数据特征提取；卷积层是通过卷积核来提取特征，卷积核是一个矩阵，从左上角开始，卷积核的大小就对应着平行坐标图像矩阵范围，然后相乘再相加得出一个值；按照这种顺序，每隔一个步长的像素就进行一次卷积操作，然后得到一个经过卷积操作得出的值，将整个矩阵进行这样的卷积核窗口滑动，会形成一个卷积和矩阵，该矩阵中元素经过一层卷积层输出，再经过激活函数计算处理输出就得到网络流量传输数据特征；

步骤2.2：构建激活函数层；

激活函数采用Relu函数；

Relu＝max(0，x)

x表示采集到的任意一种网络流量传输数据关键参数；

步骤2.3：构建池化层；

采用最大池化方式，选取指定区域内最大的一个数来代表整片区域，设区域内输入A，A＝(a₁，a₂，…，a_k，a_n)，a_k表示输入的任意一种网络传输数据信息参数的第k个；n＝1，2，…，N；则池化层输出Y表示为：

Y＝max{a₁，a₂，…，a_k，a_n}

步骤2.4：构建全连接层；

全连接层将网络流量传输数据包信息参数时间窗口期内的“可视化特征表示”映射到样本标记空间，全连接层输出为：

其中，设全连接层共有L层，

表示第l层第i单元的输出值；f为全连接层激活函数，W为神经网络权值，b为偏移量；

待模型达到训练迭代次数或满足训练准确率要求后，智能检测模型训练完毕。

Images