CN115473748A - 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 - Google Patents
基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 Download PDFInfo
- Publication number
- CN115473748A CN115473748A CN202211417442.7A CN202211417442A CN115473748A CN 115473748 A CN115473748 A CN 115473748A CN 202211417442 A CN202211417442 A CN 202211417442A CN 115473748 A CN115473748 A CN 115473748A
- Authority
- CN
- China
- Prior art keywords
- network
- elm
- bilstm
- data set
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/049—Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Biomedical Technology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
Abstract
本发明公开了基于BiLSTM‑ELM的DDoS攻击分类检测方法、装置及设备,该方法包括:从网络攻击流量中获取原始数据集;对所述原始数据集进行数据预处理,得到低维度数据集;通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM‑ELM网络分类模型。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备。
背景技术
分布式拒绝服务攻击(Distributed denial of service attack,DDoS)是拒绝服务攻击DoS的一种进阶版本,依靠分布式的攻击源发起的庞大规模的拒绝服务攻击。这种攻击是通过操纵大量的“僵尸”计算机,创建一个攻击网络,同时以猛烈的频率和速度对同一台计算机或网络发起攻击,由于消耗大量的资源,导致目标系统或网络在一段时间内中断或暂停服务,无法对正常服务做出反应。
DDoS是目前影响全球网络设施安全的主要因素之一,攻击者不断提升攻击手段的复杂度和使用变幻多样的攻击手法,以高强度、新颖的手法持续获得显著的攻击效果,现有的防御技术对日益严峻的DDoS攻击更加难以缓解。
因此,面对DDoS攻击所带来的安全问题,如何准确识别检测出DDoS攻击种类,并针对性完善安全防护措施,对于网络安全的防护具有重要研究意义。
发明内容
本发明提供了一种基于双向长短词记忆-极限学习机BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备,解决了如何准确地对DDoS攻击进行分类技术问题。
一种基于BiLSTM-ELM的DDoS攻击分类检测方法,包括:
获取原始数据集;
对所述原始数据集进行数据预处理,得到低维度数据集;
通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;
将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;
其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
在本发明的一种实施例中,所述通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征,具体包括:对所述低维度数据集进行序列编码处理,得到符合双向长短词记忆BiLSTM网络数据形式的输入序列;通过所述BiLSTM网络中的前向传递层提取所述输入序列中的前向特征;通过所述BiLSTM网络中的后向传递层提取所述输入序列中的后向特征;通过所述BiLSTM网络中的输出层整合所述前向特征和后向特征后输出时序特征。
在本发明的一种实施例中,所述将所述时序特征输入到训练好的极限学习机ELM
网络中进行分类检测,得到分类结果,具体包括:将所述时序特征输入到训练好的极限学习
机ELM网络中;通过所述ELM网络中的输入层将所述时序特征映射到隐含层,通过以下公式
计算出隐含层的输出矩阵:;其中,x为
时序特征,为隐含层中的L个隐含节点,为隐含层的
输出矩阵;根据所述隐含层的输出结果和所述隐含层与输出层之间的网络参数计算得到输
出层的分类结果。
在本发明的一种实施例中,所述BiLSTM网络中神经网络的层数为六层,其中,六层中每层包括前向传递层和后向传递层,且每层100个隐藏层节点。
在本发明的一种实施例中,所述ELM网络中的隐含层中隐含节点的个数为150个。
在本发明的一种实施例中,通过Adam自适应学习率算法对所述BiLSTM-ELM网络分类模型进行优化。
在本发明的一种实施例中,在根据所述隐含层结果和所述隐含层与输出层之间的网络参数计算得到输出层的分类结果之前,所述方法还包括:
根据以下公式确定所述ELM隐含层与输出层之间的网络参数β:
一种基于BiLSTM-ELM的DDoS攻击分类检测装置,包括:
数据获取模块,用于获取原始数据集;
数据预处理模块,用于对所述原始数据集进行数据预处理,得到低维度数据集;
入侵检测模块,用于通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
一种基于BiLSTM-ELM的DDoS攻击分类检测设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通过总线通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被执行,以实现:
获取原始数据集;
对所述原始数据集进行数据预处理,得到低维度数据集;
通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;
将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;
其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
一种非易失性存储介质,存储有计算机可执行指令,所述计算机可执行指令由处理器执行,以实现下述步骤:
获取原始数据集;
对所述原始数据集进行数据预处理,得到低维度数据集;
通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;
将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;
其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
本发明提供了一种基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备,至少包括以下有益效果:通过使用BiLSTM提取DDoS攻击的时序特征,与具有高效学习能力、较强的泛化能力等优点的ELM充分结合,充分利用了极限学习机的高效学习能力和较强泛化能力,提高了分类的效率和灵敏度,以及对DDoS检测分类的准确率,降低分类误报率。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测方法步骤示意图;
图2为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测流程示意图;
图3为本发明实施例提供的BiLSTM-ELM模型结构图;
图4为本发明实施例提供的BiLSTM网络展开图;
图5为本发明实施例提供的ELM网络模型架构图;
图6为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测装置示意图;
图7为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测设备示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合本发明具体实施例对本发明进行清楚、完整的描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本领域普通技术人员显式地和隐式地理解的是,本发明所描述的实施例在不冲突的情况下,可以与其它实施例相结合。除非另作定义,本发明所涉及的技术术语或者科学术语应当为本发明所属技术领域内具有一般技能的人士所理解的通常意义。本发明所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本发明所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;本发明所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
在对DDoS攻击检测方面,较少研究者对不同的DDoS攻击类型进行分类,本发明提出一种基于双向长短词记忆-极限学习机(Bi-directional Long Short-Term Memory-Extreme Learning Machine,BiLSTM-ELM)网络检测模型,作为入侵检测模型,并使用该入侵检测模型对CICDDoS2019数据集中不同的DDoS攻击进行分类。在训练阶段,BiLSTM网络负责完成对数据集CICDDoS2019的数据特征提取和运算,再利用ELM网络工作效率高、结果准确率高且泛化能力强的优势完成最终的分类任务。
基于BiLSTM-ELM的DDoS攻击检测研究包括:分析数据集、制作训练集和测试集、选择合适的特征、数据归一化处理、主成分分析处理数据、通过BiLSTM网络学习数据深度特征并训练极限学习机网络、对DDoS攻击实现检测和分类。
首先,对数据集CICDDoS2019进行去除冗余数据和标准化等数据预处理操作,生成标准数据集,再通过主成分分析(PCA)对数据集进行降维和去除相关性,重构数据样本,用于训练和测试本发明提供的模型。
其次,针对数据集中存在的不同DDoS攻击类型,并结合DDoS攻击本质上是时间序列数据,t+1时刻与t时刻相关强相关的特点,构造基于BiLSTM-ELM网络的入侵检测模型,通过BiLSTM网络对数据的特征值进行提取,然后利用ELM快速学习且泛化性好的优势对DDoS攻击的不同手段完成功能最终的分类工作。通过不断优化参数设置并测试该模型在不同结构下的分类效果,评估该模型对DDoS攻击的检测效果。
最后,研究基于BiLSTM-ELM网络的入侵检测模型对不同DDoS攻击手段的分类效果。
通过研究DDoS攻击的原理、CICDDoS2019数据集特征、主成分分析法、双向长短期记忆网络及极限学习机网络理论,设计了能够反映DDoS攻击的检测方法并对不同的DDoS攻击类型进行分类,有效地实现DDoS攻击检测分类过程。如图1所示为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测流程示意图。针对DDoS攻击,从网络流量中获取到待分类的DDoS攻击的原始数据集,对该原始数据集进行数据预处理,主要包括清洗原始数据集中的脏数据、去除原始数据集中的非重要特征、对数据进行归一化处理、对数据进行主成分分析得到降维数据;将数据预处理后的数据集输入至训练好的入侵检测网络模型,通过BiLSTM提取输入的数据集中的时序特征,ELM根据该时序特征对数据集进行分类,最终得到分类结果,完成了对DDoS攻击的原始数据集的分类。下面进行具体说明。
图2为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测方法的步骤示意图,可以包括以下步骤:
S210:获取原始数据集。
具体地,在训练模型前要对数据集进行准备。由加拿大通信安全机构(CSE)和加拿大网络安全研究所(CIC)2019年联合开展的项目获取的CICDDoS2019数据集,包含DDoS攻击和正常流量,是一个新的、高质量、现实的网络防御数据集,用于检测DDoS攻击并对攻击手段进行分类。该数据集第一次采集包括了12种不同的DDoS攻击类型:UDP、SNMP、NetBIOS、LDAP、TFTP、NTP、SYN、WebDDoS、MSSQL、UDP-Lag、DNS和SSDP。第二次采集包括了7种不同的DDoS攻击类型:SYN、MSSQL、UDP-Lag、LDAP、UDP、Portmap和NetBIOS。
本发明即使用上述数据集作为原始数据集对模型进行训练,并采用了Benign、LDAP、MSSQL、Portmap、Syn和UDP共6种数据类型用于实验。
在使用训练完成后的BiLSTM-ELM模型时,获取待分类的DDoS攻击数据作为原始数据集,该待分类的DDoS攻击数据可以从网络攻击流量中获取,将获取到的待分类的DDoS攻击数据进行预处理然后输入BiLSTM-ELM模型进行分类后即可得到分类结果。
S220:对原始数据集进行数据预处理,得到低维度数据集。
在本发明的一种实施例中,对原始数据集进行数据预处理,具体包括:对原始数据集进行数据清洗,得到去除缺失值和去除无穷大数值的有效数据集;将有效数据集中的非重要特征字段删除,得到重要字段数据集;对重要字段数据集进行数据归一化处理,得到标准化数据集;对标准化数据集进行主成分分析,得到低维度数据集。
在本发明的一种实施例中,对原始数据集进行数据清洗,得到去除缺失值和去除无穷大数值的有效数据集。
进一步地,确定原始数据集中的特定字段;确定特定字段内是否含有无效数据,无效数据至少包括以下一种:包括缺失值、无穷大的数值数据、网址数据、重复字段、错误值;删除无效数据,得到有效数据集。
具体地,通过分析原始数据集可知,原始数据集中字段名为Flow Bytes/s数据中含有大量的缺失值(NaN)和无穷大的数值数据(Infinity)、字段名为Flow Packets/s的数据中含有大量的无穷大的数值数据(Infinity)、字段名为SimillarHTTP的数据中含有大量的网址等脏数据信息,上述这些数据信息的存在会造成深度学习系统出现数值错误。因此,将含有缺失值(NaN)和无穷大的数值数据(Infinity)的一行数据全部删除,将非重要数据列SimillarHTTP进行删除操作。按照80%和20%的比例抽取数据训练集和测试集。
在本发明的一种实施例中,将有效数据集中的非重要特征字段删除,得到重要字段数据集。
进一步地,对有效数据集进行数据分析,确定重要特征字段;根据预设规则将重要特征字段中不符合预设规则的字段标记为非重要特征字段;对非重要特征字段所在的行进行删除操作,得到重要字段数据集;其中,不符合预设规则的字段至少包括以下一种:值全为0的字段、根据网络变化的特征字段、对各类型DDoS攻击的重要性无影响的字段。
具体地,对有效数据集进行数据特征分析。实际网络环境中存在噪声、延迟和拥塞等外在因素,若要有效地检测出的DDoS攻击,选择一组能够综合反映该攻击的特征是确保分类器加快学习速度、降低计算复杂度、提升准确率和稳定性的核心因素;由于网络攻击事件和时间有很强的相关性,当发生大规模DDoS攻击时,黑客会对目标主机进行持续的发包;通过原始数据集的初步分析,将其中含有的缺失值和无穷大的数值数据的一行数据全部删除,获得有效数据,之后再通过对有效数据集进行分析筛选重要特征字段,对该数据集中数据全为0的字段、因网络而异的特征字段以及对各类型DDOS攻击的重要性无影响的非重要特征字段进行删除操作。
在本发明的一种实施例中,对重要字段数据集进行数据归一化处理,得到标准化数据集。
进一步地,确定重要字段数据集的均值;根据均值确定重要字段数据集的标准差;根据标准差和均值对重要字段数据集进行区间缩放,得到标准化数据集;其中,标准化数据集的均值为0,方差为1。
具体地,对数据进行归一化处理。由于样本中可能存在奇异点或噪声的干扰,这会影响模型的分类准确率,因此,需要对数据作归一化处理,解决数据指标之间量纲的影响,以加快梯度下降求最优解的速度;对数据进行归一化可以采用两种常用的数据归一化方法:零均值归一化Z-score Standardization和线性函数归一化Min-Max Scaling。
Z-Score标准化,是对原始数据的均值和标准差进行数值上的统一,通过使用该方
法可以转化不同量级的数据为同一量级数据,然后能够用计算出的Z-Score值进行统一衡
量,使得数据之间标准统一化,提升了可比性。具体步骤是按照公式通过对数据集中的原始
数据序列的均值(mean)和标准差(standard
deviation)进行运算,产生新的数据序列,新的数据
序列均值为0,方差为1,并且没有量纲,从而完成原始数据序列的标准化。
根据以下公式得到新的数据序列:
在本发明的一种实施例中,对标准化数据集进行主成分分析,得到低维度数据集。
进一步地,对标准化数据集进行中心化处理;计算中心化处理后的标准化数据集的协方差矩阵;分解协方差矩阵的特征值;根据指定的低维空间维数取与维数对应个数的协方差矩阵的特征向量;根据特征向量确定投影矩阵,根据投影矩阵对标准化数据集进行主成分分析,得到降维后的低维度数据集。
具体地,对标准化数据集进行基于主成分分析的特征提取。训练使用的数据集CICDDoS2019除了包含正常数据和攻击数据的特征数据之外,还包含有大量无用的数据信息,在之前的预处理步骤中,虽然将一些全零的、无关的、非重要的字段进行删除操作,但仍存在一些冗余的数据。由于这些冗余数据信息的存在,不仅会造成模型的最终检测分类效果不佳,而且在模型的训练和检测过程中会消耗大量的运算能力。因此,降低训练的数据集CICDDoS2019的维度,去除其中的冗余信息,可以避免对检测效果带来负面影响。比如使用经典的线性降维方法PCA,降低数据维度,避免带来维度灾难问题,而且对原始数据信息的损失较小。PCA算法如下:
通过使用主成分分析法,将数据集维度由n维降至f维,比如由60维降为36维,较大幅度降低了数据维度,减少冗余数据的干扰,使得计算的复杂性大大降低。
在获得低维度数据集后,通过BiLSTM-ELM模型对低温度数据集进行分类处理得到分类结果,如图3所示为BiLSTM-ELM模型结构图。在训练过程中,BiLSTM负责完成对输入的数据集CICDDoS2019的数据特征提取和运算,然后利用极限学习机ELM层工作效率高、结果准确率高且泛化能力强的优势完成最终的分类任务。
S230:通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征。
具体地,双向长短词记忆(Bi-directional Long Short-Term Memory,BiLSTM)网络,是由前向LSTM与后向LSTM组合而成。长短词记忆模型(Long Short-Term Memory,LSTM)是循环神经网络(Recurrent Neural Network,RNN)的一种。LSTM由于其设计的特点,非常适合用于对时序数据的建模。BiLSTM网络是基于LSTM网络的改进,包含前向LSTM和后向LSTM,其能够同时考虑影响此刻的历史状态及未来状态。其网络展开图如图4所示。
在本发明的一种实施例中,对所述低维度数据集进行序列编码处理,得到符合双向长短词记忆BiLSTM网络数据形式的输入序列;通过所述BiLSTM网络中的前向传递层提取所述输入序列中的前向特征;通过所述BiLSTM网络中的后向传递层提取所述输入序列中的后向特征;通过所述BiLSTM网络中的输出层整合所述前向特征和后向特征后输出时序特征。
具体地,BiLSTM网络结构包括输入层、前向传递层、后向传递层和输出层四层。输
入层是该网络结构的第一层,对输入的数据进行序列编码操作处理,作用是将输入数据转
化为符合BiLSTM网络的数据形式。前向传递层(也称正向传输层)是该网络的第二层,主要
功能是提取输入序列的前向特征。后向传递层(也称反向传输层)是该网络的第三层,主要
功能是提取输入序列的后向特征;输出层是该网络的第四层,主要功能是整合第二层和第
三层输出的数据,最后输出时序特征。BiLSTM模型在时刻分别按照下列公式提取前向特
征、后向特征以及输出结果。
其中,为t时刻的前向特征,为t时刻的后向特征,为输出的t时刻的时序
特征,R为输入层与前向传递层之间的权重,W为前向传递层中t-1时刻的前向特征与t时刻
的前向特征之间的权重,为输入层与后向传递层之间的权重,为后向传递层中t+1
时刻的后向特征与t时刻的后向特征之间的权重,为前向传递层与输出层之间的权重,为后向传递层与输出层之间的权重。
S240:将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果。
极限学习机(Extreme Learning Machine, ELM)或“超限学习机”是一类基于前馈神经网络(Feedforward Neuron Network,FNN)构建的机器学习系统或方法,适用于监督学习和非监督学习问题。ELM算法具有诸多优点,包括:简单易用(求解直接)、学习速度快(学习过程易于收敛)、训练参数少(算法随机初始化每个隐层的权重和偏置项,且不需调整每次迭代的各项参数)、泛化性能强等优点。该算法可用于分类、回归、聚类、特征学习等诸多领域。如图5所示为基于ELM算法的网络模型架构图。
在本发明的一种实施例中,所述将所述时序特征输入到训练好的极限学习机ELM
网络中进行分类检测,得到分类结果,具体包括:将所述时序特征输入到训练好的极限学习
机ELM网络中;通过所述ELM网络中的输入层将所述时序特征映射到隐含层,通过以下公式
计算出隐含层的输出矩阵:;其中,x为时序特
征,,为隐含层中的L个隐含节点,为隐含层的输出矩阵;根
据所述隐含层的输出结果和所述隐含层与输出层之间的网络参数计算得到输出层的分类
结果。
具体地,ELM训练过程随机初始化的权重值和偏置值分别用w,b表示。输入层输入
的内容为训练样本集e,H表示中间的隐含层,由图3可知,将输入层数据映射到隐含层是通
过全连接方式。通过以下公式可以计算出隐含层的结果:
上式中,=是连接ELM网络输入层输入节点与隐含层第个
隐含节点的权重向量;=是连接ELM网络输出层输出节点与第个隐含
节点的权重向量;是ELM网络隐含层第i个隐含节点的阈值。隐含层的输出是输入层输入
的数据乘以对应权重w,然后再加上偏差,最后再通过一个非线性函数求和得到。
ELM网络经过隐含层的非线性映射得到输出结果出,上面的式子用以下公式表示:
在ELM训练过程中,采用随机生成方式确定权重值w和偏差值b,通过计算唯一需要求解的网络参数β,即可计算出网络的输出结果。根据线性代数知识可知,上面公式具有唯一的最小范数最小二乘解,即可以通过以下公式求得参数β。
由上述介绍可知,ELM具有很多优点,因此在使用BiLSTM网络模型提取数据特征值之后,再使用ELM网络模型进行分类。
通过BiLSTM-ELM网络分类模型对攻击检测分类。针对数据集中存在的不同DDoS攻击类型,并结合DDoS攻击本质上是时间序列数据,t+1时刻与t时刻强相关的特点,构造基于BiLSTM-ELM网络的入侵检测模型,通过BiLSTM网络对数据的特征值进行提取,然后利用ELM快速学习且泛化性好的优势对DDoS攻击检测和不同手段的最终分类工作,提高DDoS攻击的检测效率、降低分类误报率。
BiLSTM-ELM模型可采取多种方式进行优化处理,解决可能出现的深度学习问题和不足。比如L2正则化、早停法、自适应学习率算法、Dropout方法等。
在本发明的一种实施例中,参数的调节对于神经网络实验模型非常重要,它们能够直接影响模型的最终检测效果。神经网络的参数不仅繁多,而且十分难以调节。首先对模型的部分参数进行固定,在通过实现选取最优实验参数,固定的参数包括:学习率的初始设置值为1e-4(科学计数法,1*10-4),训练批量的大小为batch_size=64,将交叉熵损失函数作为模型的损失函数。
在本发明的一种实施例中,通过Adam自适应学习率算法对所述BiLSTM-ELM网络分类模型进行优化。
具体地,自适应学习率算法,包括AdaDelta算法、Adagrad算法、Adam算法、Nadam、RMSProp算法是都是自适应学习率算法。模型使用Adam算法作为起点对数据集CICDDoS2019进行训练和测试,通过实验对比上述不同优化算法对模型的优化效果,寻找最适合本发明中BiLSTM-ELM模型的自适应学习率算法。通过实验分析,Adam自适应学习率算法相较于其它算法而言,更适合BiLSTM-ELM模型。
在本发明的一种实施例中,所述BiLSTM网络中神经网络的层数为六层,其中,六层中的每一层包括前向传递层和后向传递层,且每层100个隐藏层节点。
具体地,模型中的BiLSTM网络在处理数据集中样本的特征信息时,起着至关重要的重要作用,因此BiLSTM网络的合适设置非常关键,不同的网络结构具备不同的记忆模块,而记忆模块则是LSTM网络模型的核心,对处理长距离依赖信息有至关重要的作用,可以决定记录的信息中哪些特征被遗忘。本模型中的BiLSTM网络使用六层且每层100个隐藏层节点时,模型的效果最优。
在本发明的一种实施例中,所述ELM网络中的隐含层中隐含节点的个数设置为150个。
具体地,在极限学习机算法中,隐含层中的节点数量是影响网络泛化能力的重要因素,通过实验分析,相对于150个隐含层节点,使用过多或者过少的隐含层节点数时,模型的检测效果有所降低。因此选取检测效果最优的隐含层节点数目,即将极限学习隐含层节点数设为150。
以上为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测方法,基于同样的发明思路,本发明实施例还提供了相应的一种基于BiLSTM-ELM的DDoS攻击分类检测装置,如图6所示。
数据获取模块601,用于获取原始数据集;数据预处理模块602,用于对原始数据集进行数据预处理,得到低维度数据集;入侵检测模块603,用于通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
本发明实施例还提供了相应的一种基于BiLSTM-ELM的DDoS攻击分类检测设备,如图7所示。
本实施例提供了一种基于BiLSTM-ELM的DDoS攻击分类检测设备,包括:
至少一个处理器701;以及,与至少一个处理器701通过总线703通信连接的存储器702;其中,存储器702存储有可被至少一个处理器执行的指令,指令被至少一个处理器701执行,以使至少一个处理器701能够执行:
获取原始数据集;对原始数据集进行数据预处理,得到低维度数据集;通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
基于同样的思路,本发明的一些实施例还提供了上述方法对应的介质。
本发明的一些实施例提供的一种存储介质,存储有计算机可执行指令,计算机可执行指令由处理器执行,以实现下述步骤:
获取原始数据集;对原始数据集进行数据预处理,得到低维度数据集;通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
本发明中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备和介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例提供的设备和介质与方法是一一对应的,因此,设备和介质也具有与其对应的方法类似的有益技术效果,由于上面已经对方法的有益技术效果进行了详细说明,因此,这里不再赘述设备和介质的有益技术效果。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程方法商品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程方法商品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程方法商品或者方法中还存在另外的相同要素。
以上仅为本发明的实施例而已,并不用于限制本发明。虽然,上文中已经用一般性说明及具体实施方案对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种基于BiLSTM-ELM的DDoS攻击分类检测方法,其特征在于,包括:
获取原始数据集;
对所述原始数据集进行数据预处理,得到低维度数据集;
通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;
将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;
其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
2.根据权利要求1所述的方法,其特征在于,所述通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征,具体包括:
对所述低维度数据集进行序列编码处理,得到符合双向长短词记忆BiLSTM网络数据形式的输入序列;
通过所述BiLSTM网络中的前向传递层提取所述输入序列中的前向特征;
通过所述BiLSTM网络中的后向传递层提取所述输入序列中的后向特征;
通过所述BiLSTM网络中的输出层整合所述前向特征和后向特征后输出时序特征。
4.根据权利要求1所述的方法,其特征在于,所述BiLSTM网络中神经网络的层数为六层,其中,六层中每层包括前向传递层和后向传递层,且每层100个隐藏层节点。
5.根据权利要求1所述的方法,其特征在于,所述ELM网络中的隐含层中隐含节点的个数为150个。
6.根据权利要求1所述的方法,其特征在于,通过Adam自适应学习率算法对所述BiLSTM-ELM网络分类模型进行优化。
8.一种基于BiLSTM-ELM的DDoS攻击分类检测装置,其特征在于,包括:
数据获取模块,用于获取原始数据集;
数据预处理模块,用于对所述原始数据集进行数据预处理,得到低维度数据集;
入侵检测模块,用于通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
9.一种基于BiLSTM-ELM的DDoS攻击分类检测设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通过总线通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被执行,以实现:
获取原始数据集;
对所述原始数据集进行数据预处理,得到低维度数据集;
通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;
将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;
其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
10.一种非易失性存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令由处理器执行,以实现下述步骤:
获取原始数据集;
对所述原始数据集进行数据预处理,得到低维度数据集;
通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征;
将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测,得到分类结果;
其中,所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211417442.7A CN115473748B (zh) | 2022-11-14 | 2022-11-14 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211417442.7A CN115473748B (zh) | 2022-11-14 | 2022-11-14 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115473748A true CN115473748A (zh) | 2022-12-13 |
CN115473748B CN115473748B (zh) | 2023-04-07 |
Family
ID=84338065
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211417442.7A Active CN115473748B (zh) | 2022-11-14 | 2022-11-14 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115473748B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115834248A (zh) * | 2023-02-06 | 2023-03-21 | 山东省计算中心(国家超级计算济南中心) | 面向信息物理系统的攻击和异常数据流检测方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109347889A (zh) * | 2018-12-24 | 2019-02-15 | 沈阳航空航天大学 | 一种针对软件定义网络的混合型DDoS攻击检测的方法 |
CN109981691A (zh) * | 2019-04-30 | 2019-07-05 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 |
CN112383518A (zh) * | 2020-10-30 | 2021-02-19 | 广东工业大学 | 一种僵尸网络检测方法及装置 |
CN112769752A (zh) * | 2020-12-15 | 2021-05-07 | 浙江大学 | 一种基于机器学习集成模型的网络入侵检测方法 |
CN112788007A (zh) * | 2020-12-30 | 2021-05-11 | 海南大学 | 基于卷积神经网络的DDoS攻击检测方法 |
US20210406368A1 (en) * | 2020-06-30 | 2021-12-30 | Microsoft Technology Licensing, Llc | Deep learning-based analysis of signals for threat detection |
US20220263846A1 (en) * | 2019-07-26 | 2022-08-18 | Sony Group Corporation | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF |
-
2022
- 2022-11-14 CN CN202211417442.7A patent/CN115473748B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109347889A (zh) * | 2018-12-24 | 2019-02-15 | 沈阳航空航天大学 | 一种针对软件定义网络的混合型DDoS攻击检测的方法 |
CN109981691A (zh) * | 2019-04-30 | 2019-07-05 | 山东工商学院 | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 |
US20220263846A1 (en) * | 2019-07-26 | 2022-08-18 | Sony Group Corporation | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF |
US20210406368A1 (en) * | 2020-06-30 | 2021-12-30 | Microsoft Technology Licensing, Llc | Deep learning-based analysis of signals for threat detection |
CN112383518A (zh) * | 2020-10-30 | 2021-02-19 | 广东工业大学 | 一种僵尸网络检测方法及装置 |
CN112769752A (zh) * | 2020-12-15 | 2021-05-07 | 浙江大学 | 一种基于机器学习集成模型的网络入侵检测方法 |
CN112788007A (zh) * | 2020-12-30 | 2021-05-11 | 海南大学 | 基于卷积神经网络的DDoS攻击检测方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115834248A (zh) * | 2023-02-06 | 2023-03-21 | 山东省计算中心(国家超级计算济南中心) | 面向信息物理系统的攻击和异常数据流检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115473748B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109450842B (zh) | 一种基于神经网络的网络恶意行为识别方法 | |
CN107493277B (zh) | 基于最大信息系数的大数据平台在线异常检测方法 | |
JP2019061565A (ja) | 異常診断方法および異常診断装置 | |
CN109446804B (zh) | 一种基于多尺度特征连接卷积神经网络的入侵检测方法 | |
CN111600919A (zh) | 基于人工智能的web检测方法和装置 | |
CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
CN114172688B (zh) | 基于gcn-dl的加密流量网络威胁关键节点自动提取方法 | |
CN115473748B (zh) | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 | |
Boggs et al. | Synthetic data generation and defense in depth measurement of web applications | |
CN113194064A (zh) | 基于图卷积神经网络的webshell检测方法及装置 | |
Megantara et al. | Feature importance ranking for increasing performance of intrusion detection system | |
CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
Liu et al. | Multi-step attack scenarios mining based on neural network and Bayesian network attack graph | |
CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
Tian et al. | A transductive scheme based inference techniques for network forensic analysis | |
CN113746780A (zh) | 基于主机画像的异常主机检测方法、装置、介质和设备 | |
Xin et al. | Research on feature selection of intrusion detection based on deep learning | |
CN117082118A (zh) | 基于数据推导及端口预测的网络连接方法 | |
Gu et al. | Learning-based intrusion detection for high-dimensional imbalanced traffic | |
CN116248330A (zh) | 一种基于因果图的网络攻击路径识别方法 | |
Jaiganesh et al. | Kernelized extreme learning machine with levenberg-marquardt learning approach towards intrusion detection | |
Shah et al. | Group feature selection via structural sparse logistic regression for ids | |
Haneef et al. | A FEATURE SELECTION TECHNIQUE FOR INTRUSION DETECTION SYSTEM BASED ON IWD AND ACO. | |
CN114205855A (zh) | 一种面向5g切片的馈线自动化业务网络异常检测方法 | |
Ghanbari et al. | Detecting DDoS attacks using an adaptive-wavelet convolutional neural network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |