CN115473748A

CN115473748A - 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备

Info

Publication number: CN115473748A
Application number: CN202211417442.7A
Authority: CN
Inventors: 张永健; 王高峰; 康艳梅; 刘文杰
Original assignee: International Relations, University of
Current assignee: International Relations, University of
Priority date: 2022-11-14
Filing date: 2022-11-14
Publication date: 2022-12-13
Anticipated expiration: 2042-11-14
Also published as: CN115473748B

Abstract

本发明公开了基于BiLSTM‑ELM的DDoS攻击分类检测方法、装置及设备，该方法包括：从网络攻击流量中获取原始数据集；对所述原始数据集进行数据预处理，得到低维度数据集；通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征；将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测，得到分类结果；其中，所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM‑ELM网络分类模型。

Description

基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备

技术领域

本发明涉及网络安全领域，尤其涉及一种基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备。

背景技术

分布式拒绝服务攻击（Distributed denial of service attack，DDoS）是拒绝服务攻击DoS的一种进阶版本，依靠分布式的攻击源发起的庞大规模的拒绝服务攻击。这种攻击是通过操纵大量的“僵尸”计算机，创建一个攻击网络，同时以猛烈的频率和速度对同一台计算机或网络发起攻击，由于消耗大量的资源，导致目标系统或网络在一段时间内中断或暂停服务，无法对正常服务做出反应。

DDoS是目前影响全球网络设施安全的主要因素之一，攻击者不断提升攻击手段的复杂度和使用变幻多样的攻击手法，以高强度、新颖的手法持续获得显著的攻击效果，现有的防御技术对日益严峻的DDoS攻击更加难以缓解。

因此，面对DDoS攻击所带来的安全问题，如何准确识别检测出DDoS攻击种类，并针对性完善安全防护措施，对于网络安全的防护具有重要研究意义。

发明内容

本发明提供了一种基于双向长短词记忆-极限学习机BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备，解决了如何准确地对DDoS攻击进行分类技术问题。

一种基于BiLSTM-ELM的DDoS攻击分类检测方法，包括：

获取原始数据集；

对所述原始数据集进行数据预处理，得到低维度数据集；

通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征；

将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测，得到分类结果；

其中，所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。

在本发明的一种实施例中，所述通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征，具体包括：对所述低维度数据集进行序列编码处理，得到符合双向长短词记忆BiLSTM网络数据形式的输入序列；通过所述BiLSTM网络中的前向传递层提取所述输入序列中的前向特征；通过所述BiLSTM网络中的后向传递层提取所述输入序列中的后向特征；通过所述BiLSTM网络中的输出层整合所述前向特征和后向特征后输出时序特征。

在本发明的一种实施例中，所述将所述时序特征输入到训练好的极限学习机ELM 网络中进行分类检测，得到分类结果，具体包括：将所述时序特征输入到训练好的极限学习机ELM网络中；通过所述ELM网络中的输入层将所述时序特征映射到隐含层，通过以下公式计算出隐含层的输出矩阵

：

；其中，x为时序特征，

为隐含层中的L个隐含节点，

为隐含层的输出矩阵；根据所述隐含层的输出结果和所述隐含层与输出层之间的网络参数计算得到输出层的分类结果。

在本发明的一种实施例中，所述BiLSTM网络中神经网络的层数为六层，其中，六层中每层包括前向传递层和后向传递层，且每层100个隐藏层节点。

在本发明的一种实施例中，所述ELM网络中的隐含层中隐含节点的个数为150个。

在本发明的一种实施例中，通过Adam自适应学习率算法对所述BiLSTM-ELM网络分类模型进行优化。

在本发明的一种实施例中，在根据所述隐含层结果和所述隐含层与输出层之间的网络参数计算得到输出层的分类结果之前，所述方法还包括：

根据以下公式确定所述ELM隐含层与输出层之间的网络参数β：

其中，β为网络参数，H为隐含层的输出矩阵，

为ELM网络隐含层输出矩阵

的穆尔-彭罗斯Moore-Penrose广义逆矩阵，

为输出矩阵H的转置，

为矩阵

的逆矩阵，K为输出层输出矩阵。

一种基于BiLSTM-ELM的DDoS攻击分类检测装置，包括：

数据获取模块，用于获取原始数据集；

数据预处理模块，用于对所述原始数据集进行数据预处理，得到低维度数据集；

入侵检测模块，用于通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征；将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测，得到分类结果；其中，所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。

一种基于BiLSTM-ELM的DDoS攻击分类检测设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通过总线通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被执行，以实现：

获取原始数据集；

对所述原始数据集进行数据预处理，得到低维度数据集；

一种非易失性存储介质，存储有计算机可执行指令，所述计算机可执行指令由处理器执行，以实现下述步骤：

获取原始数据集；

对所述原始数据集进行数据预处理，得到低维度数据集；

本发明提供了一种基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备，至少包括以下有益效果：通过使用BiLSTM提取DDoS攻击的时序特征，与具有高效学习能力、较强的泛化能力等优点的ELM充分结合，充分利用了极限学习机的高效学习能力和较强泛化能力，提高了分类的效率和灵敏度，以及对DDoS检测分类的准确率，降低分类误报率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测方法步骤示意图；

图2为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测流程示意图；

图3为本发明实施例提供的BiLSTM-ELM模型结构图；

图4为本发明实施例提供的BiLSTM网络展开图；

图5为本发明实施例提供的ELM网络模型架构图；

图6为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测装置示意图；

图7为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测设备示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合本发明具体实施例对本发明进行清楚、完整的描述。显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本领域普通技术人员显式地和隐式地理解的是，本发明所描述的实施例在不冲突的情况下，可以与其它实施例相结合。除非另作定义，本发明所涉及的技术术语或者科学术语应当为本发明所属技术领域内具有一般技能的人士所理解的通常意义。本发明所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本发明所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；本发明所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

在对DDoS攻击检测方面，较少研究者对不同的DDoS攻击类型进行分类，本发明提出一种基于双向长短词记忆-极限学习机(Bi-directional Long Short-Term Memory-Extreme Learning Machine，BiLSTM-ELM)网络检测模型，作为入侵检测模型，并使用该入侵检测模型对CICDDoS2019数据集中不同的DDoS攻击进行分类。在训练阶段，BiLSTM网络负责完成对数据集CICDDoS2019的数据特征提取和运算，再利用ELM网络工作效率高、结果准确率高且泛化能力强的优势完成最终的分类任务。

基于BiLSTM-ELM的DDoS攻击检测研究包括：分析数据集、制作训练集和测试集、选择合适的特征、数据归一化处理、主成分分析处理数据、通过BiLSTM网络学习数据深度特征并训练极限学习机网络、对DDoS攻击实现检测和分类。

首先，对数据集CICDDoS2019进行去除冗余数据和标准化等数据预处理操作，生成标准数据集，再通过主成分分析（PCA）对数据集进行降维和去除相关性，重构数据样本，用于训练和测试本发明提供的模型。

其次，针对数据集中存在的不同DDoS攻击类型，并结合DDoS攻击本质上是时间序列数据，t+1时刻与t时刻相关强相关的特点，构造基于BiLSTM-ELM网络的入侵检测模型，通过BiLSTM网络对数据的特征值进行提取，然后利用ELM快速学习且泛化性好的优势对DDoS攻击的不同手段完成功能最终的分类工作。通过不断优化参数设置并测试该模型在不同结构下的分类效果，评估该模型对DDoS攻击的检测效果。

最后，研究基于BiLSTM-ELM网络的入侵检测模型对不同DDoS攻击手段的分类效果。

通过研究DDoS攻击的原理、CICDDoS2019数据集特征、主成分分析法、双向长短期记忆网络及极限学习机网络理论，设计了能够反映DDoS攻击的检测方法并对不同的DDoS攻击类型进行分类，有效地实现DDoS攻击检测分类过程。如图1所示为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测流程示意图。针对DDoS攻击，从网络流量中获取到待分类的DDoS攻击的原始数据集，对该原始数据集进行数据预处理，主要包括清洗原始数据集中的脏数据、去除原始数据集中的非重要特征、对数据进行归一化处理、对数据进行主成分分析得到降维数据；将数据预处理后的数据集输入至训练好的入侵检测网络模型，通过BiLSTM提取输入的数据集中的时序特征，ELM根据该时序特征对数据集进行分类，最终得到分类结果，完成了对DDoS攻击的原始数据集的分类。下面进行具体说明。

图2为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测方法的步骤示意图，可以包括以下步骤：

S210：获取原始数据集。

具体地，在训练模型前要对数据集进行准备。由加拿大通信安全机构（CSE）和加拿大网络安全研究所（CIC）2019年联合开展的项目获取的CICDDoS2019数据集，包含DDoS攻击和正常流量，是一个新的、高质量、现实的网络防御数据集，用于检测DDoS攻击并对攻击手段进行分类。该数据集第一次采集包括了12种不同的DDoS攻击类型：UDP、SNMP、NetBIOS、LDAP、TFTP、NTP、SYN、WebDDoS、MSSQL、UDP-Lag、DNS和SSDP。第二次采集包括了7种不同的DDoS攻击类型：SYN、MSSQL、UDP-Lag、LDAP、UDP、Portmap和NetBIOS。

本发明即使用上述数据集作为原始数据集对模型进行训练，并采用了Benign、LDAP、MSSQL、Portmap、Syn和UDP共6种数据类型用于实验。

在使用训练完成后的BiLSTM-ELM模型时，获取待分类的DDoS攻击数据作为原始数据集，该待分类的DDoS攻击数据可以从网络攻击流量中获取，将获取到的待分类的DDoS攻击数据进行预处理然后输入BiLSTM-ELM模型进行分类后即可得到分类结果。

S220：对原始数据集进行数据预处理，得到低维度数据集。

在本发明的一种实施例中，对原始数据集进行数据预处理，具体包括：对原始数据集进行数据清洗，得到去除缺失值和去除无穷大数值的有效数据集；将有效数据集中的非重要特征字段删除，得到重要字段数据集；对重要字段数据集进行数据归一化处理，得到标准化数据集；对标准化数据集进行主成分分析，得到低维度数据集。

在本发明的一种实施例中，对原始数据集进行数据清洗，得到去除缺失值和去除无穷大数值的有效数据集。

进一步地，确定原始数据集中的特定字段；确定特定字段内是否含有无效数据，无效数据至少包括以下一种：包括缺失值、无穷大的数值数据、网址数据、重复字段、错误值；删除无效数据，得到有效数据集。

具体地，通过分析原始数据集可知，原始数据集中字段名为Flow Bytes/s数据中含有大量的缺失值（NaN）和无穷大的数值数据（Infinity）、字段名为Flow Packets/s的数据中含有大量的无穷大的数值数据（Infinity）、字段名为SimillarHTTP的数据中含有大量的网址等脏数据信息，上述这些数据信息的存在会造成深度学习系统出现数值错误。因此，将含有缺失值（NaN）和无穷大的数值数据（Infinity）的一行数据全部删除，将非重要数据列SimillarHTTP进行删除操作。按照80%和20%的比例抽取数据训练集和测试集。

在本发明的一种实施例中，将有效数据集中的非重要特征字段删除，得到重要字段数据集。

进一步地，对有效数据集进行数据分析，确定重要特征字段；根据预设规则将重要特征字段中不符合预设规则的字段标记为非重要特征字段；对非重要特征字段所在的行进行删除操作，得到重要字段数据集；其中，不符合预设规则的字段至少包括以下一种：值全为0的字段、根据网络变化的特征字段、对各类型DDoS攻击的重要性无影响的字段。

具体地，对有效数据集进行数据特征分析。实际网络环境中存在噪声、延迟和拥塞等外在因素，若要有效地检测出的DDoS攻击，选择一组能够综合反映该攻击的特征是确保分类器加快学习速度、降低计算复杂度、提升准确率和稳定性的核心因素；由于网络攻击事件和时间有很强的相关性，当发生大规模DDoS攻击时，黑客会对目标主机进行持续的发包；通过原始数据集的初步分析，将其中含有的缺失值和无穷大的数值数据的一行数据全部删除，获得有效数据，之后再通过对有效数据集进行分析筛选重要特征字段，对该数据集中数据全为0的字段、因网络而异的特征字段以及对各类型DDOS攻击的重要性无影响的非重要特征字段进行删除操作。

在本发明的一种实施例中，对重要字段数据集进行数据归一化处理，得到标准化数据集。

进一步地，确定重要字段数据集的均值；根据均值确定重要字段数据集的标准差；根据标准差和均值对重要字段数据集进行区间缩放，得到标准化数据集；其中，标准化数据集的均值为0，方差为1。

具体地，对数据进行归一化处理。由于样本中可能存在奇异点或噪声的干扰，这会影响模型的分类准确率，因此，需要对数据作归一化处理，解决数据指标之间量纲的影响，以加快梯度下降求最优解的速度；对数据进行归一化可以采用两种常用的数据归一化方法：零均值归一化Z-score Standardization和线性函数归一化Min-Max Scaling。

Z-Score标准化，是对原始数据的均值和标准差进行数值上的统一，通过使用该方法可以转化不同量级的数据为同一量级数据，然后能够用计算出的Z-Score值进行统一衡量，使得数据之间标准统一化，提升了可比性。具体步骤是按照公式通过对数据集中的原始数据序列

的均值

(mean)和标准差

(standard deviation)进行运算，产生新的数据序列

，新的数据序列均值为0，方差为1，并且没有量纲，从而完成原始数据序列的标准化。

根据以下公式得到新的数据序列：

其中，

，n为数据序列中数据元素的个数。

在本发明的一种实施例中，对标准化数据集进行主成分分析，得到低维度数据集。

进一步地，对标准化数据集进行中心化处理；计算中心化处理后的标准化数据集的协方差矩阵；分解协方差矩阵的特征值；根据指定的低维空间维数取与维数对应个数的协方差矩阵的特征向量；根据特征向量确定投影矩阵，根据投影矩阵对标准化数据集进行主成分分析，得到降维后的低维度数据集。

具体地，对标准化数据集进行基于主成分分析的特征提取。训练使用的数据集CICDDoS2019除了包含正常数据和攻击数据的特征数据之外，还包含有大量无用的数据信息，在之前的预处理步骤中，虽然将一些全零的、无关的、非重要的字段进行删除操作，但仍存在一些冗余的数据。由于这些冗余数据信息的存在，不仅会造成模型的最终检测分类效果不佳，而且在模型的训练和检测过程中会消耗大量的运算能力。因此，降低训练的数据集CICDDoS2019的维度，去除其中的冗余信息，可以避免对检测效果带来负面影响。比如使用经典的线性降维方法PCA，降低数据维度，避免带来维度灾难问题，而且对原始数据信息的损失较小。PCA算法如下：

输入：数据样本

（本发明中的数据样本即标准化数据集），以及事先指定的低维空间维数

。

过程：第一步是对数据样本中的所有样本进行中心化：

；第二步是对数据样本中的样本计算协方差矩阵

；第三步是对第二步计算出的协方差矩阵

进行分解特征值；第四步：根据指定的低维空间维数

取所对应的特征向量

。

输出：投影矩阵

。

通过使用主成分分析法，将数据集维度由n维降至f维，比如由60维降为36维，较大幅度降低了数据维度，减少冗余数据的干扰，使得计算的复杂性大大降低。

在获得低维度数据集后，通过BiLSTM-ELM模型对低温度数据集进行分类处理得到分类结果，如图3所示为BiLSTM-ELM模型结构图。在训练过程中，BiLSTM负责完成对输入的数据集CICDDoS2019的数据特征提取和运算，然后利用极限学习机ELM层工作效率高、结果准确率高且泛化能力强的优势完成最终的分类任务。

S230：通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征。

具体地，双向长短词记忆（Bi-directional Long Short-Term Memory，BiLSTM）网络，是由前向LSTM与后向LSTM组合而成。长短词记忆模型（Long Short-Term Memory，LSTM）是循环神经网络（Recurrent Neural Network，RNN）的一种。LSTM由于其设计的特点，非常适合用于对时序数据的建模。BiLSTM网络是基于LSTM网络的改进，包含前向LSTM和后向LSTM，其能够同时考虑影响此刻的历史状态及未来状态。其网络展开图如图4所示。

在本发明的一种实施例中，对所述低维度数据集进行序列编码处理，得到符合双向长短词记忆BiLSTM网络数据形式的输入序列；通过所述BiLSTM网络中的前向传递层提取所述输入序列中的前向特征；通过所述BiLSTM网络中的后向传递层提取所述输入序列中的后向特征；通过所述BiLSTM网络中的输出层整合所述前向特征和后向特征后输出时序特征。

具体地，BiLSTM网络结构包括输入层、前向传递层、后向传递层和输出层四层。输入层是该网络结构的第一层，对输入的数据进行序列编码操作处理，作用是将输入数据转化为符合BiLSTM网络的数据形式。前向传递层（也称正向传输层）是该网络的第二层，主要功能是提取输入序列的前向特征。后向传递层（也称反向传输层）是该网络的第三层，主要功能是提取输入序列的后向特征；输出层是该网络的第四层，主要功能是整合第二层和第三层输出的数据，最后输出时序特征。BiLSTM模型在

时刻分别按照下列公式提取前向特征、后向特征以及输出结果。

其中，

为t时刻的前向特征，

为t时刻的后向特征，

为输出的t时刻的时序特征，R为输入层与前向传递层之间的权重，W为前向传递层中t-1时刻的前向特征与t时刻的前向特征之间的权重，

为输入层与后向传递层之间的权重，

为后向传递层中t+1 时刻的后向特征与t时刻的后向特征之间的权重，

为前向传递层与输出层之间的权重，

为后向传递层与输出层之间的权重。

在前向传递层提取特征时，

时刻的

与

有关；在后向传递层提取特征时，

时刻的

与

有关。

S240：将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测，得到分类结果。

极限学习机（Extreme Learning Machine, ELM）或“超限学习机”是一类基于前馈神经网络（Feedforward Neuron Network，FNN）构建的机器学习系统或方法，适用于监督学习和非监督学习问题。ELM算法具有诸多优点，包括：简单易用（求解直接）、学习速度快（学习过程易于收敛）、训练参数少（算法随机初始化每个隐层的权重和偏置项，且不需调整每次迭代的各项参数）、泛化性能强等优点。该算法可用于分类、回归、聚类、特征学习等诸多领域。如图5所示为基于ELM算法的网络模型架构图。

：

；其中，x为时序特征，

,

为隐含层中的L个隐含节点，

具体地，ELM训练过程随机初始化的权重值和偏置值分别用w，b表示。输入层输入的内容为训练样本集e，H表示中间的隐含层，由图3可知，将输入层数据映射到隐含层是通过全连接方式。通过以下公式可以计算出隐含层的结果

：

在本发明的一种实施例中，在根据所述隐含层结果和所述隐含层与输出层之间的网络参数计算得到输出层的分类结果之前，根据以下公式确定所述ELM隐含层与输出层之间的网络参数

：

其中，β为网络参数，H为隐含层的输出矩阵，

为ELM网络隐含层输出矩阵

的穆尔-彭罗斯Moore-Penrose广义逆矩阵，

为输出矩阵H的转置，

为矩阵

的逆矩阵，K为输出层输出矩阵。

具体地，对于单隐层神经网络，隐含层中含有L个隐含节点，若

表示激活函数，假设有任意N个样本

，其中

=

，n为输入层节点个数，

=

，m为输出层节点个数则按照下述公式进行建模。

上式中，

=

是连接ELM网络输入层输入节点与隐含层第

个隐含节点的权重向量；

=

是连接ELM网络输出层输出节点与第

个隐含节点的权重向量；

是ELM网络隐含层第i个隐含节点的阈值。隐含层的输出是输入层输入的数据乘以对应权重w，然后再加上偏差

，最后再通过一个非线性函数

求和得到。 ELM网络经过隐含层的非线性映射得到输出结果出

，上面的式子用以下公式表示：

式中，

在ELM训练过程中，采用随机生成方式确定权重值w和偏差值b，通过计算唯一需要求解的网络参数β，即可计算出网络的输出结果。根据线性代数知识可知，上面公式具有唯一的最小范数最小二乘解，即可以通过以下公式求得参数β。

上式中，

为ELM网络隐含层输出矩阵H的Moore-Penrose广义逆矩阵。

由上述介绍可知，ELM具有很多优点，因此在使用BiLSTM网络模型提取数据特征值之后，再使用ELM网络模型进行分类。

通过BiLSTM-ELM网络分类模型对攻击检测分类。针对数据集中存在的不同DDoS攻击类型，并结合DDoS攻击本质上是时间序列数据，t+1时刻与t时刻强相关的特点，构造基于BiLSTM-ELM网络的入侵检测模型，通过BiLSTM网络对数据的特征值进行提取,然后利用ELM快速学习且泛化性好的优势对DDoS攻击检测和不同手段的最终分类工作，提高DDoS攻击的检测效率、降低分类误报率。

BiLSTM-ELM模型可采取多种方式进行优化处理，解决可能出现的深度学习问题和不足。比如L2正则化、早停法、自适应学习率算法、Dropout方法等。

在本发明的一种实施例中，参数的调节对于神经网络实验模型非常重要，它们能够直接影响模型的最终检测效果。神经网络的参数不仅繁多，而且十分难以调节。首先对模型的部分参数进行固定，在通过实现选取最优实验参数，固定的参数包括：学习率的初始设置值为1e-4（科学计数法，1*10^-4），训练批量的大小为batch_size=64，将交叉熵损失函数作为模型的损失函数。

具体地，自适应学习率算法，包括AdaDelta算法、Adagrad算法、Adam算法、Nadam、RMSProp算法是都是自适应学习率算法。模型使用Adam算法作为起点对数据集CICDDoS2019进行训练和测试，通过实验对比上述不同优化算法对模型的优化效果，寻找最适合本发明中BiLSTM-ELM模型的自适应学习率算法。通过实验分析，Adam自适应学习率算法相较于其它算法而言，更适合BiLSTM-ELM模型。

在本发明的一种实施例中，所述BiLSTM网络中神经网络的层数为六层，其中，六层中的每一层包括前向传递层和后向传递层，且每层100个隐藏层节点。

具体地，模型中的BiLSTM网络在处理数据集中样本的特征信息时，起着至关重要的重要作用，因此BiLSTM网络的合适设置非常关键，不同的网络结构具备不同的记忆模块，而记忆模块则是LSTM网络模型的核心，对处理长距离依赖信息有至关重要的作用，可以决定记录的信息中哪些特征被遗忘。本模型中的BiLSTM网络使用六层且每层100个隐藏层节点时，模型的效果最优。

在本发明的一种实施例中，所述ELM网络中的隐含层中隐含节点的个数设置为150个。

具体地，在极限学习机算法中，隐含层中的节点数量是影响网络泛化能力的重要因素，通过实验分析，相对于150个隐含层节点，使用过多或者过少的隐含层节点数时，模型的检测效果有所降低。因此选取检测效果最优的隐含层节点数目，即将极限学习隐含层节点数设为150。

以上为本发明实施例提供的一种基于BiLSTM-ELM的DDoS攻击分类检测方法，基于同样的发明思路，本发明实施例还提供了相应的一种基于BiLSTM-ELM的DDoS攻击分类检测装置，如图6所示。

数据获取模块601，用于获取原始数据集；数据预处理模块602，用于对原始数据集进行数据预处理，得到低维度数据集；入侵检测模块603，用于通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征；将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测，得到分类结果；其中，所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。

本发明实施例还提供了相应的一种基于BiLSTM-ELM的DDoS攻击分类检测设备，如图7所示。

本实施例提供了一种基于BiLSTM-ELM的DDoS攻击分类检测设备，包括：

至少一个处理器701；以及，与至少一个处理器701通过总线703通信连接的存储器702；其中，存储器702存储有可被至少一个处理器执行的指令，指令被至少一个处理器701执行，以使至少一个处理器701能够执行：

获取原始数据集；对原始数据集进行数据预处理，得到低维度数据集；通过双向长短词记忆BiLSTM网络提取所述低维度数据集中的时序特征；将所述时序特征输入到训练好的极限学习机ELM网络中进行分类检测，得到分类结果；其中，所述BiLSTM网络和ELM网络为根据DDoS攻击训练集预先构造好的BiLSTM-ELM网络分类模型。

基于同样的思路，本发明的一些实施例还提供了上述方法对应的介质。

本发明的一些实施例提供的一种存储介质，存储有计算机可执行指令，计算机可执行指令由处理器执行，以实现下述步骤：

本发明中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备和介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本发明实施例提供的设备和介质与方法是一一对应的，因此，设备和介质也具有与其对应的方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述设备和介质的有益技术效果。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程方法商品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程方法商品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程方法商品或者方法中还存在另外的相同要素。

以上仅为本发明的实施例而已，并不用于限制本发明。虽然，上文中已经用一般性说明及具体实施方案对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。