CN115622768B - 一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置 - Google Patents
一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置 Download PDFInfo
- Publication number
- CN115622768B CN115622768B CN202211231655.0A CN202211231655A CN115622768B CN 115622768 B CN115622768 B CN 115622768B CN 202211231655 A CN202211231655 A CN 202211231655A CN 115622768 B CN115622768 B CN 115622768B
- Authority
- CN
- China
- Prior art keywords
- service attack
- distributed denial
- drdos
- sample
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000012549 training Methods 0.000 claims abstract description 34
- 238000011156 evaluation Methods 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims abstract description 16
- 230000003068 static effect Effects 0.000 claims abstract description 11
- 238000007781 pre-processing Methods 0.000 claims abstract description 8
- 238000010606 normalization Methods 0.000 claims abstract description 5
- 238000012360 testing method Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 10
- 208000037170 Delayed Emergence from Anesthesia Diseases 0.000 claims description 8
- 238000011176 pooling Methods 0.000 claims description 8
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims 1
- 238000013528 artificial neural network Methods 0.000 abstract description 5
- 238000013135 deep learning Methods 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 3
- 239000000284 extract Substances 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000015556 catabolic process Effects 0.000 description 2
- 238000006731 degradation reaction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000013100 final test Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 238000002203 pretreatment Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Landscapes
- Image Analysis (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,包括如下步骤:(1)捕获网络中的数据流量并将数据流量按照类别分成若干个样本;(2)对步骤(1)中的样本预处理:删除包含缺失值、畸形值、静态特征和常数特征的样本;对于取值是数值类别特征的样本,将其进行归一化处理;(3)将预处理好的样本按照类别分类处理成若干个尺寸一致的图像;(4)将所述步骤(3)中若干个图像输入多层语义残差网络模型中进行训练、评估,并输出分布式拒绝服务攻击的具体类型。本发明将分布式拒绝服务攻击识别分类与深度学习方法相结合,通过神经网络自动提取特征,不断优化调整模型,实现能够快速且准确的识别出分布式拒绝服务攻击的技术效果。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置。
背景技术
现如今随着信息技术的高速发展,互联网已经成为人类生活不可或缺的一部分。互联网作为网络信息基础性设施,在社会生产、生活中发挥着无可替代的作用。随着网络技术的发展和成熟,网络中承载的应用及业务由最初的网页、邮件以及即时通信等发展到目前日臻完善的各种社区、在线游戏等,网络中承载的业务越来越丰富。但是随之而来的网络安全问题也逐渐增多,网络受到的攻击方式也越来越多。分布式拒绝服务攻击是目前网络中最常见、最复杂的一种攻击手段,攻击的防范难度越来越大。其利用多个分布式攻击源向被攻击目标发送超出其处理能力的海量数据包来消耗可用系统和宽带资源,从而导致网络服务瘫痪。
现有技术中,进行分布式拒绝服务攻击识别一般是通过基于预定义的静态规则对数据包内容和数据包信息进行过滤,这种技术的特点是通过规则对正常流量和恶意流量的数据包内容进行过滤,而且现如今当加密的流量流经网络时,这些技术无法检查数据包的内容,从而无法将恶意流量的数据包进行过滤,进而导致识别效率低下,无法有效防御复杂的分布式拒绝服务攻击。
发明内容
本发明为了解决现有技术中分布式拒绝服务攻击识别率低的技术问题;提出了一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置,以实现能够快速且准确的识别出分布式拒绝服务攻击的技术效果。
本发明为达到上述目的,采用如下技术方案:
一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,包括如下步骤:
(1)捕获网络中的数据流量并将数据流量按照类别分成若干个样本;
(2)对步骤(1)中的样本预处理:
删除包含缺失值特征或畸形值特征的样本;删除包含静态特征和常数特征的样本;对于取值是数值类别特征的样本,将其进行归一化处理,并映射到(0,1) 之间;
(3)将预处理好的样本按照类别分类处理成若干个尺寸一致的图像,对处理好的图像赋予不同的属性内容,所述属性内容为正常流量和分布式拒绝服务攻击类型的行为名称;
(4)将所述步骤(3)中若干个不同属性内容的图像输入多层语义残差网络模型中进行训练、评估,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型。
进一步的,所述步骤(1)中若干个所述样本的文件类别分别为:BENIGN、Syn、UDPLag、DrDoS_DNS、DrDoS_LDAP、DrDoS_MSSQL、DrDoS_NetBIOS、DrDoS_NTP、 DrDoS_SNMP、DrDoS_SSDP、DrDoS_UDP和TFTP。
进一步的,所述步骤(2)中样本预处理还包括对于取值是字符串类别特征的样本,将其转化为数值类别特征样本。
进一步的,所述步骤(2)中所述畸形值的样本为包含字符数值的样本。所述字符数值包括nan数值、-inf数值或+inf数值中的任意一种。
进一步的,所述步骤(2)中所述静态特征包括流ID、源IP、源端口、目的端口、目的IP、协议或时间戳中的任意一种。
进一步的,所述步骤(2)中所述常数特征包括BwdPSHFlags、FwdURGFlags、BwdURGFlags、FINFlagCount、PSHFlagCount、ECEFlagCount、FwdAvg Bytes/Bulk、FwdAvgPackets/Bulk、FwdAvgBulkRate、BwdAvgBytes/Bulk、 BwdAvgPackets/Bulk、BwdAvgBulkRate、RSTFlagCount、FwdHeaderLength、 SubflowFwdPackets、SubflowFwdBytes、SubflowBwdPackets或SubflowBwd Bytes中的任意一种。
进一步的,所述步骤(4)中所述多层语义残差网络模型包括依次设置的卷积层、4个连续的残差块、平均池化层和输出层。
进一步的,所述步骤(4)中将步骤(3)中若干个不同属性内容的图像输入多层语义残差网络模型中进行训练、评估,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型的过程为:将若干个不同属性内容的图像按照设定比例分为训练集和测试集;将训练集放入多层语义残差网络模型中进行训练,设定不同的训练次数,通过计算在测试集上预测的准确率,得到最优测试次数;将测试集放入训练好的多层语义残差网络模型中,按照最后测试次数进行测试,得到分类的准确率,最后输出准确率最高的分布式拒绝服务攻击的具体类型。
进一步的,所述步骤(5)中输出分布式拒绝服务攻击的具体类型为BENIGN、DrDoS_DNS、DrDoS_LDAP、DrDoS_MSSQL、DrDoS_NetBIOS、DrDoS_NTP,DrDoS_SNMP、 DrDoS_SSDP,DrDoS_UDP、Syn、TFTP或UDPLag中的任意一种。
一种基于多层语义残差网络的分布式拒绝服务攻击识别装置,包括:
数据分类模块:用于捕获网络中的数据流量并将数据流量按照类别分成若干个样本;
数据预处理模块:用于删除包含缺失值特征或畸形值特征的样本;;删除包含静态特征和常数特征的样本;对于取值是数值类别特征的样本,将其进行归一化处理,并映射到(0,1)之间;
图像处理模块:用于将预处理好的样本按照类别分类处理成若干个尺寸一致的图像,对处理好的图像赋予不同的属性内容,所述属性内容为正常流量和分布式拒绝服务攻击类型的行为名称;
模型训练及评估模块:用于将所述图像处理模块中不同属性内容的图像输入多层语义残差网络模型中进行训练、评估,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型。
本发明的有益效果是:
1、本发明提供的一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置将分布式拒绝服务攻击识别分类与深度学习方法相结合,通过神经网络自动提取特征,不断优化调整模型,从而能够快速且准确的识别出分布式拒绝服务攻击。具体为,本发明首先通过将网络截取的包含有正常流量和恶意流量(包含分布式拒绝服务攻击产生的流量)的数据流量按照类别分成若干个样本,再通过对分类好的若干个样本进行预处理并最终处理成图像形式的数据集,然后将该图像形式的数据集输入设计多层语义残差网络模型中进行训练、评估,最后输出高精确度的分布式拒绝服务攻击的具体类型。
2、本发明采用的多层语义残差网络模型在残差网络的基础上加了多层语义机制,该模型将4个连续的残差块输出拼接,充分学习了所有网络的语义,将低维特征和高维特征充分融合起来,增强了网络层的语义表示。能够有效缓解过拟合问题的发生,提高输出精确度。
附图说明
图1为本发明实施例中一种基于多层语义残差网络的分布式拒绝服务攻击识别方法的流程图;
图2为本发明实施例中步骤(1)中数据流量分类流程图;
图3为本发明实施例中步骤(2)的数据预处理流程图;
图4为本发明实施例中多层语义残差网络模型的结构示意图;
图5为本发明实施例中多层语义残差网络模型中残差学习的结构图。
具体实施方式
本发明实施例通过提供一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置,以解决现有技术中分布式拒绝服务攻击识别率低的技术问题。
本发明采用的总体思路如下:
本发明实施例通过将分布式拒绝服务攻击识别分类与深度学习方法相结合,通过神经网络自动提取特征,不断优化调整模型,从而能够快速且准确的识别出分布式拒绝服务攻击。
但是,由于网络流量数据集一般是低维的形式,其格式通常是pcap格式, csv格式,txt格式。而本发明实施例中的多层语义残差网络模型则是解决图像处理以及解决计算机视觉问题的模型,如果直接将网络流量数据作为输入应用于多层语义残差网络模型进行训练则会容易出现过拟合的情况,因此网络流量数据集一般无法直接作为多层语义残差网络模型的输入形式。基于此,本发明实施例通过将网络中捕获的包含有正常流量和恶意流量(包含分布式拒绝服务攻击产生的流量)的数据流量按照类别分成若干个样本,再通过对分类好的若干个样本进行预处理并最终处理成多层语义残差网络模型能够接受的图像形式的数据集,以缓解多类型分布式拒绝服务攻击分类细分准确率不高的问题。然后再将该图像形式的数据集输入设计多层语义残差网络模型中进行训练、评估,最后达到输出高精确度的分布式拒绝服务攻击的具体类型的技术效果。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。除非另作定义,此处使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。
本发明专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,除非上下文清楚地指明其它情况,否则单数形式的“一个”、“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现在“包括”或者“包含”前面的元件或者物件涵盖出现在“包括”或者“包含”后面列举的特征、整体、步骤、操作、元素和/或组件,并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。在附图的流程图示出的步骤可以在诸如一组可执行指令的计算机系统中执行。
如图1所示,一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,包括如下步骤
(1)将网络中捕获的包含有正常流量和恶意流量(包含分布式拒绝服务攻击产生的流量)的数据流量按照类别分成若干个样本;其中若干个所述样本的文件类别分别为:BENIGN、Syn、UDPLag、DrDoS_DNS、DrDoS_LDAP、DrDoS_MSSQL、 DrDoS_NetBIOS、DrDoS_NTP、DrDoS_SNMP、DrDoS_SSDP、DrDoS_UDP和TFTP。
(2)对步骤(1)中的样本进行如下预处理:
删除包含缺失值特征或畸形值特征的样本;其中所述畸形值的样本为包含字符数值的样本。所述字符数值包括nan数值、-inf数值或+inf数值中的任意一种。
删除包含静态特征和常数特征的样本;其中所述静态特征包括流ID、源IP、源端口、目的端口、目的IP、协议或时间戳中的任意一种。所述步骤(2)中所述常数特征包括BwdPSHFlags、FwdURGFlags、BwdURGFlags、FINFlagCount、 PSHFlagCount、ECEFlagCount、FwdAvgBytes/Bulk、FwdAvgPackets/Bulk、 FwdAvgBulkRate、BwdAvgBytes/Bulk、BwdAvgPackets/Bulk、BwdAvgBulk Rate、RSTFlagCount、FwdHeaderLength、SubflowFwdPackets、SubflowFwd Bytes、SubflowBwdPackets或SubflowBwdBytes中的任意一种。
对于取值是字符串类别特征的样本,将其转化为数值类别特征样本。
对于取值是数值类别特征的样本,将其进行归一化处理,并映射到(0,1)之间。
通过上述预处理后剩余流量样本中保留了60个独特而重要的特征。在实际的应用过程中,预处理后剩余流量样本中保留的特征数量并不局限于上述的60 个,该保留的数据流量特征是根据实际获取的数据流量按照上述预处理方法处理后实际剩余的样本流量特征而定。
(3)将预处理好的剩余的样本按照类别分类处理成若干个尺寸均为60*60的图像,并对处理好的图像赋予不同的属性内容,所述属性内容为正常流量和分布式拒绝服务攻击类型的行为名称。
(4)将所述步骤(3)中不同属性内容的图像按照8:2的比例分为训练集和测试集;在实际的应用过程中所述训练集和测试集的比例并不局限于8:2,本领域的技术人员能够根据实际的需要确定这两者的比例,但是一般情况下为了保证最终测试的准确性,所述训练集的占比高于测试集的占比。其具体使用过程为,将所述训练集放入多层语义残差网络模型中进行训练,设定不同的训练次数,通过计算在测试集上预测的准确率,得到最优测试次数;将测试集放入训练好的多层语义残差网络模型中,按照最后测试次数进行测试,得到分类的准确率,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型。
其中,所述多层语义残差网络模型包括依次设置的卷积层、4个连续的残差块、平均池化层和输出层。其具体的设计原理及工作过程如下:
目前,深度学习针对网络深度遇到的主要问题是梯度消失和梯度爆炸,传统的解决方案是数据的初始化和正则化,这样虽然解决了梯度的问题,深度加深了,但是却带来了另外的问题,就是网络性能的退化,即深度加深了,错误率却上升了,得不偿失。而残差网络在输入层和输出层之间增加跳跃连接,可以用来设计解决退化问题,其同时也解决了梯度问题,使得网络的性能也提升了。但是还有一个问题是现有的残差网络学习模型主要是学习神经网络中的最后一层的语义表示,而神经网络中不同层次的图像表示捕获了不同层次或尺度的特征,具有不同的识别能力。因此,为了进一步提高残差网络学习模型的精确度,本实施例以残差网络为基础增加了多层语义机制,主要为将4个连续的残差块输出拼接,充分学习了所有网络的语义,将低维特征和高维特征充分融合起来,增强了网络层的语义表示。如图4所示,该模型的具体结构为:包括依次设置的卷积层、4个连续的残差块、平均池化层和输出层。其工作过程如下:
多层语义残差网络模型的输入为若干个60*60的图像,模型第一层为卷积层,使用大小n*n的卷积核自动提取流量特征,缩小图片尺寸,然后通过BatchNorm2d 对所有图片样本的数据元素进行标准化处理,接着引入relu激活函数,Relu会使一部分神经元的输出为0,这样就造成了网络的稀疏性,并且减少了参数的相互依存关系,缓解了过拟合问题的发生。
多层语义残差网络模型的二到五层为4个连续的残差块,对于一个堆积层结构当输入为x时其学习到的特征记为H(x)。而通过残差网络后可以学习到F(x), 所以采用残差学习相比于采用原始特征更加容易。当残差为0时,堆积层仅做恒等映射,网络性能不会下降,但实际应用时残差不会为0,这会使得堆积层在输入特征上学习到新的特征,从而拥有一个更好的性能。残差学习的结构如图5 所示。这有点类似于电路中的短路,所以是一种短路连接(shortcutconnection)。
多层语义残差网络模型的第六层是平均池化层,与传统的全连接层不同,本发明实施例对每个特征图的整张图片进行全局均值池化,这样每张特征图都可以得到一个输出。采用均值池化操作,能够大大减小网络参数,避免过拟合,另一方面它有一个特点,每张特征图相当于一个输出特征,这个特征就表示了后续输出类的特征。
多层语义残差网络模型的第七层为输出层,输出类别为BENIGN、DrDoS_DNS、DrDoS_LDAP、Syn、UDPLag、DrDoS_MSSQL、DrDoS_NetBIOS、DrDoS_NTP,DrDoS_SNMP、 DrDoS_SSDP,DrDoS_UDP或TFTP中的任意一种。
在实际的应用过程中所述多层语义残差网络模型的具体结构并不局限于上述的结构,本领的技术人员能够根据实际的需要并依据上述的设计原理确定其具体的结构。
基于上述的一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,本发明实施例还提供一种基于多层语义残差网络的分布式拒绝服务攻击识别装置,包括:
数据分类模块:用于将网络中捕获的包含有正常流量和恶意流量(包含分布式拒绝服务攻击产生的流量)的数据流量按照类别分成若干个样本。
数据预处理模块:用于删除包含缺失值特征或畸形值特征的样本;删除包含静态特征和常数特征的样本;对于取值是字符串类别特征的样本,将其转化为数值类别特征样本;对于取值是数值类别特征的样本,将其进行归一化处理,并映射到(0,1)之间。
图像处理模块:用于将预处理好的样本按照类别分类处理成若干个尺寸一致的图像,对处理好的图像赋予不同的属性内容,所述属性内容为正常流量和分布式拒绝服务攻击类型的行为名称。
模型训练及评估模块:用于将所述图像处理模块中不同属性内容的图像输入多层语义残差网络模型中进行训练、评估,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型。
最后应说明的是:这些实施方式仅用于说明本发明而不限制本发明的范围。此外,对于所属领域的技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明的保护范围之中。
Claims (8)
1.一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,其特征在于:包括如下步骤:
(1)捕获网络中的数据流量并将数据流量按照类别分成若干个样本;
(2)对步骤(1)中的样本预处理:
删除包含缺失值特征或畸形值特征的样本;删除包含静态特征和常数特征的样本;对于取值是数值类别特征的样本,将其进行归一化处理,并映射到(0,1)之间;
(3)将预处理好的样本按照类别分类处理成若干个尺寸一致的图像,对处理好的图像赋予不同的属性内容,所述属性内容为正常流量和分布式拒绝服务攻击类型的行为名称;
(4)将所述步骤(3)中若干个不同属性内容的图像输入多层语义残差网络模型中进行训练、评估,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型;
所述多层语义残差网络模型包括依次设置的卷积层、4个连续的残差块、平均池化层和输出层;
所述将步骤(3)中若干个不同属性内容的图像输入多层语义残差网络模型中进行训练、评估,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型的过程为:将若干个不同属性内容的图像按照设定比例分为训练集和测试集;将训练集放入多层语义残差网络模型中进行训练,设定不同的训练次数,通过计算在测试集上预测的准确率,得到最优测试次数;将测试集放入训练好的多层语义残差网络模型中,按照最后测试次数进行测试,得到分类的准确率,最后输出准确率最高的分布式拒绝服务攻击的具体类型。
2.根据权利要求1所述的一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,其特征在于:所述步骤(1)中若干个所述样本的文件类别分别为:BENIGN、 Syn、UDPLag、DrDoS_DNS、 DrDoS_LDAP、 DrDoS_MSSQL、 DrDoS_NetBIOS、DrDoS_NTP、DrDoS_SNMP、DrDoS_SSDP、DrDoS_UDP和TFTP。
3.根据权利要求1所述的一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,其特征在于:所述步骤(2)中样本预处理还包括对于取值是字符串类别特征的样本,将其转化为数值类别特征样本。
4.根据权利要求1所述的一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,其特征在于:所述步骤(2)中所述畸形值的样本为包含字符数值的样本,所述字符数值包括nan数值、-inf数值或+inf数值中的任意一种。
5.根据权利要求1所述的一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,其特征在于:所述步骤(2)中所述静态特征包括流ID、源IP、源端口、目的端口、目的IP、协议或时间戳中的任意一种。
6.根据权利要求1所述的一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,其特征在于:所述步骤(2)中所述常数特征包括Bwd PSH Flags、Fwd URG Flags、BwdURG Flags、FIN Flag Count、PSH Flag Count、ECE Flag Count、Fwd Avg Bytes/Bulk、FwdAvg Packets/Bulk、Fwd Avg Bulk Rate、Bwd Avg Bytes/Bulk、Bwd Avg Packets/Bulk、Bwd Avg Bulk Rate、RST Flag Count、Fwd Header Length、Subflow Fwd Packets、Subflow Fwd Bytes、Subflow Bwd Packets或Subflow Bwd Bytes中的任意一种。
7.根据权利要求1所述的一种基于多层语义残差网络的分布式拒绝服务攻击识别方法,其特征在于:所述步骤(4)中输出分布式拒绝服务攻击的具体类型为BENIGN、Syn、DrDoS_DNS、DrDoS_LDAP、 DrDoS_MSSQL、DrDoS_NetBIOS、DrDoS_NTP,DrDoS_SNMP、DrDoS_SSDP,DrDoS_UDP、TFTP或UDPLag中的任意一种。
8.一种基于多层语义残差网络的分布式拒绝服务攻击识别装置,其特征在于,包括:
数据分类模块:用于捕获网络中的数据流量并将数据流量按照类别分成若干个样本;
数据预处理模块:用于删除包含缺失值特征或畸形值特征的样本;删除包含静态特征和常数特征的样本;对于取值是数值类别特征的样本,将其进行归一化处理,并映射到(0,1)之间;
图像处理模块:用于将预处理好的样本按照类别分类处理成若干个尺寸一致的图像,对处理好的图像赋予不同的属性内容,所述属性内容为正常流量和分布式拒绝服务攻击类型的行为名称;
模型训练及评估模块:用于将所述图像处理模块中不同属性内容的图像输入多层语义残差网络模型中进行训练、评估,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型;
其中,所述多层语义残差网络模型包括依次设置的卷积层、4个连续的残差块、平均池化层和输出层;
所述模型训练及评估模块中将所述图像处理模块中不同属性内容的图像输入多层语义残差网络模型中进行训练、评估,并输出评估所得准确率最高的分布式拒绝服务攻击的具体类型的过程为:将若干个不同属性内容的图像按照设定比例分为训练集和测试集;将训练集放入多层语义残差网络模型中进行训练,设定不同的训练次数,通过计算在测试集上预测的准确率,得到最优测试次数;将测试集放入训练好的多层语义残差网络模型中,按照最后测试次数进行测试,得到分类的准确率,最后输出准确率最高的分布式拒绝服务攻击的具体类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211231655.0A CN115622768B (zh) | 2022-10-08 | 2022-10-08 | 一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211231655.0A CN115622768B (zh) | 2022-10-08 | 2022-10-08 | 一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115622768A CN115622768A (zh) | 2023-01-17 |
| CN115622768B true CN115622768B (zh) | 2024-05-14 |
Family
ID=84861010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211231655.0A Active CN115622768B (zh) | 2022-10-08 | 2022-10-08 | 一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115622768B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111768214A (zh) * | 2019-03-14 | 2020-10-13 | 北京京东尚科信息技术有限公司 | 产品属性的预测方法、系统、设备和存储介质 |
| KR20220055923A (ko) * | 2020-10-27 | 2022-05-04 | 주식회사 케이티 | 지도 학습 및 비지도 학습이 결합된 하이브리드 학습을 통해 디도스 공격을 탐지하는 방법 |
| CN114531273A (zh) * | 2022-01-11 | 2022-05-24 | 北京理工大学 | 一种防御工业网络系统分布式拒绝服务攻击的方法 |
-
2022
- 2022-10-08 CN CN202211231655.0A patent/CN115622768B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111768214A (zh) * | 2019-03-14 | 2020-10-13 | 北京京东尚科信息技术有限公司 | 产品属性的预测方法、系统、设备和存储介质 |
| KR20220055923A (ko) * | 2020-10-27 | 2022-05-04 | 주식회사 케이티 | 지도 학습 및 비지도 학습이 결합된 하이브리드 학습을 통해 디도스 공격을 탐지하는 방법 |
| CN114531273A (zh) * | 2022-01-11 | 2022-05-24 | 北京理工大学 | 一种防御工业网络系统分布式拒绝服务攻击的方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于卷积神经网络的拒绝服务攻击数据流检测;谢洁;韩德志;;现代计算机(专业版);20180915(26);全文 * |
| 基于深度特征的腹部CT影像肝脏占位性病变辅助诊断研究;夏开建;《博士电子期刊》;20210315;第2021年卷(第3期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115622768A (zh) | 2023-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shapira et al. | FlowPic: A generic representation for encrypted traffic classification and applications identification | |
| US7657104B2 (en) | Identifying image type in a capture system | |
| CN112163594A (zh) | 一种网络加密流量识别方法及装置 | |
| CN111860628A (zh) | 一种基于深度学习的流量识别与特征提取方法 | |
| CN112804253B (zh) | 一种网络流量分类检测方法、系统及存储介质 | |
| CN113328985B (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| CN108833437A (zh) | 一种基于流量指纹和通信特征匹配的apt检测方法 | |
| CN113364787A (zh) | 一种基于并联神经网络的僵尸网络流量检测方法 | |
| CN110868404B (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
| CN111367908A (zh) | 一种基于安全评估机制的增量式入侵检测方法及系统 | |
| CN112491894A (zh) | 一种基于时空特征学习的物联网网络攻击流量监测系统 | |
| Wu et al. | TDAE: Autoencoder-based automatic feature learning method for the detection of DNS tunnel | |
| CN112686287A (zh) | 一种基于非因果时间卷积神经网络的加密流量分类方法 | |
| Liu et al. | Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection | |
| CN115622768B (zh) | 一种基于多层语义残差网络的分布式拒绝服务攻击识别方法与装置 | |
| Hu et al. | Attribute-based zero-shot learning for encrypted traffic classification | |
| CN111211948B (zh) | 基于载荷特征和统计特征的Shodan流量识别方法 | |
| CN113726809B (zh) | 基于流量数据的物联网设备识别方法 | |
| CN116094971A (zh) | 一种工控协议识别方法、装置、电子设备及存储介质 | |
| CN116170237A (zh) | 一种融合gnn和acgan的入侵检测方法 | |
| CN116032515A (zh) | 一种在SDN上基于Transformer的DDoS攻击检测方法 | |
| CN115865486A (zh) | 基于多层感知卷积神经网络的网络入侵检测方法及系统 | |
| Lu et al. | Anti-attack intrusion detection model based on MPNN and traffic spatiotemporal characteristics | |
| Yin et al. | Tor Traffic’s Representation and Classification Based on Packet Timing Characteristics | |
| CN111835720A (zh) | 基于特征增强的vpn流量web指纹识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |