CN115473695A - 一种ddos攻击识别方法、终端设备及存储介质 - Google Patents
一种ddos攻击识别方法、终端设备及存储介质 Download PDFInfo
- Publication number
- CN115473695A CN115473695A CN202210997276.6A CN202210997276A CN115473695A CN 115473695 A CN115473695 A CN 115473695A CN 202210997276 A CN202210997276 A CN 202210997276A CN 115473695 A CN115473695 A CN 115473695A
- Authority
- CN
- China
- Prior art keywords
- attack
- ddos attack
- traffic
- flow
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种DDOS攻击识别方法、终端设备及存储介质,该方法中包括:采集历史DDOS攻击事件中的流量数据;提取用于识别DDOS攻击流量的第一特征和用于识别DDOS攻击严重程度的第二特征,并构建对应的第一训练集和第二训练集;构建用于识别流量数据是否为DDOS攻击流量的第一分类预测模型,通过第一训练集进行训练;构建用于识别流量数据的DDOS攻击严重程度的第二分类预测模型,通过第二训练集进行训练;通过训练后的第一分类预测模型和第二训练模型分别识别待识别流量数据是否为DDOS攻击流量和DDOS攻击严重程度。本发明帮助预测出现DDOS攻击的可能性以及严重程度,提高了系统对于DDOS攻击的响应速度。
Description
技术领域
本发明涉及容器技术领域,尤其涉及一种DDOS攻击识别方法、终端设备及存储介质。
背景技术
近年来,随着容器编排技术的发展,大量的企业都开始采用基于容器编排技术的微服务架构来实现自己的服务系统,这类服务系统大多都会采用kubernetes ingress定制整个系统的服务入口。由于互联网上针对服务系统的DDOS攻击比较常见,且有巨大的危害性。因此基于kubernetes ingress的DDOS防护需求也是一个安全领域所关注的重点。
虽然一些主流的kubernetes ingress服务组件提供一些配置用于防止DDOS攻击,但是大多数的kubernetes ingress服务组件都需要人工配置DDOS防护规则,无法快速实时的响应攻击行为;同时,大多数的kubernetes ingress服务组件提供的防护配置并不能完全覆盖所有的场景,在具体的防护场景中还需要加上其它的工具共同来完成,这提高了DDOS攻击的防护成本;而在防护DDOS的攻击过程中,由于攻击方的策略以及攻击方式也在不断的变化,防守方需要持续的投入人力进行的流量监控和分析,可能会导致因为人工投入的可维持性低而导致防守失败的情况。
发明内容
为了解决上述问题,本发明提出了一种DDOS攻击识别方法、终端设备及存储介质。
具体方案如下:
一种DDOS攻击识别方法,包括以下步骤:
S1:采集历史DDOS攻击事件中的流量数据;
S2:对采集的流量数据进行用于识别DDOS攻击流量的第一特征进行提取,基于提取的第一特征构建第一训练集,并设定标签为是否为攻击流量;对采集的流量数据进行用于识别DDOS攻击严重程度的第二特征进行提取,基于提取的第二特征构建第二训练集,并设定标签为严重程度等级;
S3:构建用于识别流量数据是否为DDOS攻击流量的第一分类预测模型,通过第一训练集对第一分类预测模型进行训练;构建用于识别流量数据的DDOS攻击严重程度的第二分类预测模型,通过第二训练集对第二分类预测模型进行训练;
S4:当接收到待识别流量数据时,通过训练后的第一分类预测模型识别待识别流量数据是否为DDOS攻击流量,通过训练后的第二分类预测模型识别待识别流量数据的DDOS攻击严重程度。
进一步的,步骤S1中流量数据包括正常流量和攻击流量,其中攻击流量选取包含了至少一次完整DDOS攻击事件的流量,正常流量的时长大于攻击流量。
进一步的,步骤S1还包括对采集的流量数据进行预处理,剔除其中的不完整TCP、UDP和ICMP会话。
进一步的,第一特征包括:协议、源IP地址、源端口、目的IP地址、目的端口、源MAC地址、目的MAC地址、会话流量大小、会话持续时间、会话最高流量速度、会话最低流量速度、会话流量速度标准差、会话流量速度中位数、是否是攻击流量;第二特征包括:攻击开始时间段、攻击会话个数、被攻击服务、攻击严重程度。
进一步的,源IP地址、源端口、目的IP地址、目的端口、源MAC地址、目的MAC地址、攻击开始时间段、被攻击服务这些特征均采用WOE编码方式进行编码,WOE编码中正例为攻击会话个数或被攻击会话个数,负例为非攻击会话个数或非被攻击会话个数。
进一步的,会话流量大小、会话持续时间、会话最高流量速度、会话最低流量速度、会话流量速度标准差、会话流量速度中位数、攻击会话个数和DDOS攻击严重程度这些特征还需要进行z-score标准化。
进一步的,第一分类预测模型采用LSTM二分类模型,损失函数采用二元交叉熵损失;第二分类预测模型采用LSTM多分类模型,损失函数采用交叉熵损失。
进一步的,当通过训练后的第一分类预测模型识别到待识别流量数据为DDOS攻击流量时,根据通过训练后的第二分类预测模型识别到的待识别流量数据的DDOS攻击严重程度的不同启动对应的防护规则;防护规则包括:
限制单个IP的最大初始连接数以及最大并发连接数;
限制单个IP每秒建立的连接数量;
对判断为攻击流量的IP地址进行封锁;
对判断为DDOS攻击会话的目的端口进行限制。
一种DDOS攻击识别终端设备,包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
本发明采用如上技术方案,通过对系统中是否存在DDOS攻击流量以及DDOS攻击的严重程度进行预测,可以帮助预测未来系统中可能出现的DDOS攻击的可能性,以及严重程度的可能性。这样不仅大大提高了系统对于DDOS攻击的响应速度,也可以根据预判的程度对系统进行防护策略的微调,避免过度配置对服务性能的损耗。
附图说明
图1所示为本发明实施例一的流程图。
图2所示为该实施例中一个完整的TCP会话数据示意图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
现结合附图和具体实施方式对本发明进一步说明。
实施例一:
本发明实施例提供了一种DDOS攻击识别方法,如图1所示,所述方法包括以下步骤:
S1:采集历史DDOS攻击事件中的流量数据。
本实施例中采用的是在kubernetes ingress组件中通过监听本地80和443端口采集的流量数据,并从中根据过往的安全事件中,选取一些包含了一次或者几次完整DDOS攻击事件中所在的时间段下的所有流量(包含正常的通信流量)。在流量选取的时候,需要保证正常的通信流量的时长要大于攻击流量的时长,这样可以更好的帮助LSTM模型学习两者之间的特征差别。同时,对于这些流量需要做一些预处理,把一些不完整的TCP和UDP以及ICMP会话给删除掉,从而避免一些噪声数据对识别效果的干扰。如图2所示,为一个完整的TCP会话数据。
S2:对采集的流量数据进行用于识别DDOS攻击流量的第一特征进行提取,基于提取的第一特征构建第一训练集,并设定标签为是否为攻击流量;对采集的流量数据进行用于识别DDOS攻击严重程度的第二特征进行提取,基于提取的第二特征构建第二训练集,并设定标签为严重程度等级。
第一特征提取时,首先,对原始流量数据进行特征信息的提取,以7元组作为分类的基本特征(协议、源IP地址、源端口、目的IP地址、目的端口、源MAC地址、目的MAC地址),之后提取一组扩展的特征向量(会话流量大小、会话持续时间、会话最高流量速度、会话最低流量速度、会话流量速度标准差、会话流量速度中位数),将这些特征值组合为一条特征向量,在这个基础上通过人工对此次安全事件进行回溯,根据分析结果将这些特征向量打上是否是DDOS攻击流量的标签后,将这样的数据集用作训练识别DDOS攻击流量的第一训练集。
第二特征提取时,将原始流量数据再次进行特征分析。根据前面提取的特征向量中继续进行分析,提取出攻击开始时间段,攻击会话个数,被攻击服务(通过被攻击IP和被攻击端口映射得来的服务分类)这几个特征,将它们放在一起构成一个新的特征向量,并通过人工分析来对这些特征向量按照对应的DDOS攻击行为严重程度分类打标签。将这样的数据及用作训练识别DDOS攻击行为程度的第二训练集。
进一步的,在特征提取的过程之中,部分特征需要进行编码才能够进行训练,为了避免整数编码引入自然排序可能导致的性能不佳以及意外结果,本实施例中针对一些特征的需要采用一些方式重新编码。
本实施例中设定协议的特征处理方式为采用独热编码,如表1所示。
表1
| TCP | UDP | ICMP |
| 1 | 0 | 0 |
| 0 | 1 | 0 |
| 0 | 0 | 1 |
源IP地址和目的IP地址的特征处理方式采用将数据分组处理,转化为标准评分卡的格式,并采用WOE的方式对原始自变量进行编码。评分卡建立格式示例如表2所示(表中符号“/”表示或)。
表2
源端口和目的端口的特征处理方式采用将数据分组处理,转化为标准评分卡的格式,并采用WOE的方式对原始自变量进行编码。评分卡建立格式示例如表3所以。
表3
源MAC地址和目的MAC地址的特征处理方式采用将数据分组处理,转化为标准评分卡的格式,并采用WOE的方式对原始自变量进行编码。评分卡建立格式示例如表4所示。
表4
攻击开始时间段的特征处理方式采用将原始数据中的时间戳分组处理为一天之内的时间段分组,转化为标准评分卡的格式,并采用WOE的方式对原始自变量进行编码。评分卡建立格式示例如表5所示。
表5
被攻击服务的特征处理方式采用将目的IP地址和端口映射的服务的关系数据,将会话映射到对应的服务上面。将上述数据转化为标准评分卡的格式,并采用WOE的方式对原始自变量进行编码。评分卡建立格式示例如表6所示。
表6
DDOS攻击的严重程度的特征处理方式是按照人工对攻击回溯的过程中制定的严重程度的标准,将等级在1-9的范围中进行打分标注,分值越大,表明程度越严重。
另外,对于特征中这些维度的数据:会话流量大小、会话持续时间、会话最高流量速度、会话最低流量速度、会话流量速度标准差、会话流量速度中位数、攻击会话个数、DDOS攻击严重程度,还需要将它们进行z-score标准化,以消除不同维度之间的数值差异,其转换公式为:
其中,x为需要被标准化的原始值,μ为均值,δ为标准差且不为0。
将上述数据进行处理后汇总,形成一个如下格式的特征向量数据,其中:
(1)识别DDOS攻击流量的第一特征向量包括:协议、源IP地址、源端口、目的IP地址、目的端口、源MAC地址、目的MAC地址、会话流量大小、会话持续时间、会话最高流量速度、会话最低流量速度、会话流量速度标准差、会话流量速度中位数、是否是攻击流量。
根据上述的第一特征向量格式,可以得到一个攻击流量的特征向量示例为:4,-0.03046370619807664,-0.30279234277680755,-0.03059370619207363,-0.02043350619207293,-0.03156370619817659,-0.03059400619107333,372,6980580.0,284580.0,1893221.083,4002873.5,1。这样的一个向量是一个步长为1,维度为14的特征向量。
(2)识别DDOS攻击严重程度的第二特征向量包括:攻击开始时间段、攻击会话个数、被攻击服务、攻击严重程度。
根据上述的第二特征向量格式,可以得到一个攻击策略的特征向量示例为:-0.05043370719807361,1944123,0.4054651081081644,3。这样的一个向量是一个步长为1,纬度为4的特征向量。
S3:构建用于识别流量数据是否为DDOS攻击流量的第一分类预测模型,通过第一训练集对第一分类预测模型进行训练;构建用于识别流量数据的DDOS攻击严重程度的第二分类预测模型,通过第二训练集对第二分类预测模型进行训练。
(1)第一分类预测模型采用LSTM二分类Many-to-one模型。首先,该模型被定义为一个样本数量为1并且步长为N(N为训练中使用的特征向量的个数)的一个14维特征作为基本输入,并且使用relu作激活函数的模型。其次,采用自适应矩估计(Adam)作为模型的收敛优化算法,并采用二元交叉熵(binary_crossentropy)作为模型的损失函数。
针对模型的训练方案是周期(epoch)重复,通过设定重复周期为200次,并在每一个周期训练完成后,保持状态反复的进行强化。将训练数据的20%用于评估训练效果。为了避免过度拟合还需要加上dropout层对训练的特征参数进行20%的随机丢弃。
(2)第二分类预测模型采用LSTM多分类Many-to-one模型。首先,该模型被定义为一个样本为1且步长为N(N为训练中使用的特征向量的个数)的一个4维特征作为基本输入,并且使用relu作激活函数的模型。其次,采用自适应矩估计(Adam)作为模型的收敛优化算法,并采用交叉熵(categorical_crossentropy)作为模型的损失函数。
针对模型的训练方案是周期(epoch)重复,通过设定重复周期为200次,并在每一个周期训练完成后,保持状态反复的进行强化。将训练数据的20%用于评估训练效果。为了避免过度拟合还需要加上dropout层对训练的特征参数进行20%的随机丢弃。
S4:当接收到待识别流量数据时,通过训练后的第一分类预测模型识别待识别流量数据是否为DDOS攻击流量,通过训练后的第二分类预测模型识别待识别流量数据的DDOS攻击严重程度。
由于根据两个分离预测模型可以得到两个待识别流量数据两个方面的信息,一个是是否是攻击流量,另一个是攻击的严重程度。当通过训练后的第一分类预测模型识别到待识别流量数据为DDOS攻击流量时,根据通过训练后的第二分类预测模型识别到的待识别流量数据的DDOS攻击严重程度的不同启动对应的防护规则。
防护规则的生成主要是针对会话的基础信息进行以下几类攻击进行防护:
(1)限制单个IP的最大初始连接数以及最大并发连接数(攻击程度越严重,限制对指定服务访问的数值就越大)。
(2)限制单个IP每秒建立的连接数量(攻击程度越严重,限制对指定服务访问的数值就越大)。
(3)对判断为攻击流量的IP地址进行封锁(将判断为DDOS攻击会话的源地址进行封锁)。
(4)对判断为DDOS攻击会话的目的端口进行相应的限制(攻击程度越严重,限制的配置数值就越大)。
本发明实施例具有如下的改进:
(1)针对大多数kubernetes ingress需要人工介入分析DDOS攻击特征,进而导致对实时突发状况响应速度不足、数据量过大导致人工分析劳动强度过大以及出错概率增高的情况。本实施例通过在kubernetes ingress服务组件中利用操作系统特性将流量通过镜像的方式接收并进行分析,提取出这些网络流量中关于连接本身的特征信息以及自身在指定时间段内呈现的一些其它特征信息(会话流量大小、会话持续时间、会话最高流量速度、会话最低流量速度、会话流量速度标准差、会话流量速度中位数),最后将这些特征组合形成一个关于这个连接自身的特征向量,并将这些特征向量通过LSTM算法模型进行训练,来预测什么样的流量可能是攻击流量;同时在这些特征基础上进一步分析得出攻击开始时间,攻击会话个数,被攻击服务(通过被攻击IP和被攻击端口映射得来的服务分类)这样的特征数据集,通过LSTM算法模型进行训练,来预测什么时候可能受到攻击以及可能的攻击力度。从而通过对攻击流量的特征识别以及攻击严重程度的特征识别这两个方面来确保对DDOS攻击更加准确的识别和更加快速的响应。
(2)由于DDOS攻击的手段组合多样,为了避免过度冗余的策略设计导致kubernetes ingress服务组件在面对DDOS攻击的过程中出现大幅度的性能下降问题。装置采用了将攻击流量和攻击策略组合成一个攻击分类的训练数据集,并为不同的组合映射不同的防护配置方案。在上述两种特征都已经被识别的基础上,将这些特征对应的策略应用到实际的防护场景中。当DDOS攻击结束后,又能够主动的根据流量特征分析判断环境是否安全并清除不需要的规则,从而避免了规则本身对kubernetes ingress组件日常服务的性能影响。
(3)针对无法提供足够配置进行DDOS防护的kubernetes ingress服务组件,本实施例提供了扩展方案,利用操作系统内核特性来配置相应的防护策略到kubernetesingress服务组件中,实现了最大程度的防护场景的覆盖支持。同时,针对已经提供了内部策略接口的kubernetes ingress服务组件,本是合理也提供控制其接口实施防护配置的能力,最大程度的提高kubernetes ingress服务组件功能的复用能力,避免了对kubernetesingress组件本身提供的防护能力的闲置。
实施例二:
本发明还提供一种DDOS攻击识别终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
进一步地,作为一个可执行方案,所述DDOS攻击识别终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述DDOS攻击识别终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述DDOS攻击识别终端设备的组成结构仅仅是DDOS攻击识别终端设备的示例,并不构成对DDOS攻击识别终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述DDOS攻击识别终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述DDOS攻击识别终端设备的控制中心,利用各种接口和线路连接整个DDOS攻击识别终端设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述DDOS攻击识别终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
所述DDOS攻击识别终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)以及软件分发介质等。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
Claims (10)
1.一种DDOS攻击识别方法,其特征在于,包括以下步骤:
S1:采集历史DDOS攻击事件中的流量数据;
S2:对采集的流量数据进行用于识别DDOS攻击流量的第一特征进行提取,基于提取的第一特征构建第一训练集,并设定标签为是否为攻击流量;对采集的流量数据进行用于识别DDOS攻击严重程度的第二特征进行提取,基于提取的第二特征构建第二训练集,并设定标签为严重程度等级;
S3:构建用于识别流量数据是否为DDOS攻击流量的第一分类预测模型,通过第一训练集对第一分类预测模型进行训练;构建用于识别流量数据的DDOS攻击严重程度的第二分类预测模型,通过第二训练集对第二分类预测模型进行训练;
S4:当接收到待识别流量数据时,通过训练后的第一分类预测模型识别待识别流量数据是否为DDOS攻击流量,通过训练后的第二分类预测模型识别待识别流量数据的DDOS攻击严重程度。
2.根据权利要求1所述的DDOS攻击识别方法,其特征在于:步骤S1中流量数据包括正常流量和攻击流量,其中攻击流量选取包含了至少一次完整DDOS攻击事件的流量,正常流量的时长大于攻击流量。
3.根据权利要求1所述的DDOS攻击识别方法,其特征在于:步骤S1还包括对采集的流量数据进行预处理,剔除其中的不完整TCP、UDP和ICMP会话。
4.根据权利要求1所述的DDOS攻击识别方法,其特征在于:第一特征包括:协议、源IP地址、源端口、目的IP地址、目的端口、源MAC地址、目的MAC地址、会话流量大小、会话持续时间、会话最高流量速度、会话最低流量速度、会话流量速度标准差、会话流量速度中位数、是否是攻击流量;第二特征包括:攻击开始时间段、攻击会话个数、被攻击服务、攻击严重程度。
5.根据权利要求4所述的DDOS攻击识别方法,其特征在于:源IP地址、源端口、目的IP地址、目的端口、源MAC地址、目的MAC地址、攻击开始时间段、被攻击服务这些特征均采用WOE编码方式进行编码,WOE编码中正例为攻击会话个数或被攻击会话个数,负例为非攻击会话个数或非被攻击会话个数。
6.根据权利要求1所述的DDOS攻击识别方法,其特征在于:会话流量大小、会话持续时间、会话最高流量速度、会话最低流量速度、会话流量速度标准差、会话流量速度中位数、攻击会话个数和DDOS攻击严重程度这些特征还需要进行z-score标准化。
7.根据权利要求1所述的DDOS攻击识别方法,其特征在于:第一分类预测模型采用LSTM二分类模型,损失函数采用二元交叉熵损失;第二分类预测模型采用LSTM多分类模型,损失函数采用交叉熵损失。
8.根据权利要求1所述的DDOS攻击识别方法,其特征在于:当通过训练后的第一分类预测模型识别到待识别流量数据为DDOS攻击流量时,根据通过训练后的第二分类预测模型识别到的待识别流量数据的DDOS攻击严重程度的不同启动对应的防护规则;防护规则包括:
限制单个IP的最大初始连接数以及最大并发连接数;
限制单个IP每秒建立的连接数量;
对判断为攻击流量的IP地址进行封锁;
对判断为DDOS攻击会话的目的端口进行限制。
9.一种DDOS攻击识别终端设备,其特征在于:包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~8中任一所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1~8中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210997276.6A CN115473695A (zh) | 2022-08-19 | 2022-08-19 | 一种ddos攻击识别方法、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210997276.6A CN115473695A (zh) | 2022-08-19 | 2022-08-19 | 一种ddos攻击识别方法、终端设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115473695A true CN115473695A (zh) | 2022-12-13 |
Family
ID=84367697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210997276.6A Pending CN115473695A (zh) | 2022-08-19 | 2022-08-19 | 一种ddos攻击识别方法、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115473695A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117811767A (zh) * | 2023-11-16 | 2024-04-02 | 万郡绿建科技有限公司 | 风险ip地址的预警方法、装置、存储介质及电子设备 |
-
2022
- 2022-08-19 CN CN202210997276.6A patent/CN115473695A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117811767A (zh) * | 2023-11-16 | 2024-04-02 | 万郡绿建科技有限公司 | 风险ip地址的预警方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109587156B (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| CN111953670B (zh) | 基于Meek传输插件的自适应混淆方法、系统及计算机存储介质 | |
| CN112333706A (zh) | 物联网设备异常检测方法、装置、计算设备及存储介质 | |
| CN112769623A (zh) | 边缘环境下的物联网设备识别方法 | |
| CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| CN115473695A (zh) | 一种ddos攻击识别方法、终端设备及存储介质 | |
| CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| CN113408707A (zh) | 一种基于深度学习的网络加密流量识别方法 | |
| CN114301850B (zh) | 一种基于生成对抗网络与模型压缩的军用通信加密流量识别方法 | |
| CN114362988A (zh) | 网络流量的识别方法及装置 | |
| CN115378619A (zh) | 敏感数据访问方法及电子设备、计算机可读存储介质 | |
| CN111291078A (zh) | 一种域名匹配检测方法及装置 | |
| Dahanayaka et al. | Robust open-set classification for encrypted traffic fingerprinting | |
| CN115150165B (zh) | 一种流量识别方法及装置 | |
| CN112241742A (zh) | 一种跨域异常流量检测方法、系统、电子设备和存储介质 | |
| CN111835720A (zh) | 基于特征增强的vpn流量web指纹识别方法 | |
| CN114997299B (zh) | 一种资源受限环境下的射频指纹识别方法 | |
| CN115118466B (zh) | 一种策略生成方法、装置、电子设备和存储介质 | |
| CN113055334B (zh) | 终端用户的网络行为的监管方法和装置 | |
| CN112437085B (zh) | 一种网络攻击的识别方法及装置 | |
| CN117786570A (zh) | 网络异常流量分类方法、装置、设备和存储介质 | |
| WO2023098222A1 (zh) | 多业务场景的识别方法和决策森林模型的训练方法 | |
| CN114363005A (zh) | 基于机器学习的icmp检测方法、系统、设备及介质 | |
| EP3790228B1 (en) | Configuration method and apparatus of network device, and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |