CN115766140A - 分布式拒绝服务DDoS攻击检测方法及装置 - Google Patents

分布式拒绝服务DDoS攻击检测方法及装置 Download PDF

Info

Publication number
CN115766140A
CN115766140A CN202211370987.7A CN202211370987A CN115766140A CN 115766140 A CN115766140 A CN 115766140A CN 202211370987 A CN202211370987 A CN 202211370987A CN 115766140 A CN115766140 A CN 115766140A
Authority
CN
China
Prior art keywords
sequence
flow
predicted value
network data
neural network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211370987.7A
Other languages
English (en)
Inventor
刘超
李煊
王志豪
王剑楠
冉茂莹
逯云松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Network Communication and Security Zijinshan Laboratory
Original Assignee
Network Communication and Security Zijinshan Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Network Communication and Security Zijinshan Laboratory filed Critical Network Communication and Security Zijinshan Laboratory
Priority to CN202211370987.7A priority Critical patent/CN115766140A/zh
Publication of CN115766140A publication Critical patent/CN115766140A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种分布式拒绝服务DDoS攻击检测方法及装置,涉及网络安全技术领域,所述方法包括:分别确定各网络数据流的统计特征;基于各网络数据流的统计特征,生成至少一个关联流序列;将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取LSTM神经网络模型输出的至少一个预测值序列;基于预设阈值和每一个预测值序列中包括的各预测值,判断各网络数据流是否是DDoS攻击流量。本发明通过基于各网络数据流的统计特征生成关联流序列,并将关联流序列作为LSTM神经网络模型的输入数据实现对网络数据流的DDoS攻击检测,不仅提高了DDoS攻击检测的准确性,而且提高了检测模型的泛化能力。

Description

分布式拒绝服务DDoS攻击检测方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种分布式拒绝服务DDoS攻击检测方法及装置。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是最常见的网络攻击之一。在DDoS攻击中,攻击者使用多个攻击源向网络中发送大量的无效数据包,侵占目标主机的资源(如CPU、网络带宽等),导致目标主机无法为用户正常提供服务,因此及时而准确地检测DDoS攻击是进行有效防御的前提。
现有的DDoS攻击检测方法总体上可分为两类。其中,较传统的一类方法是基于规则(或专家知识)的检测方法,其将与规则匹配上的数据流量判定为攻击流量,该方法易于实施,但缺乏灵活性,且由于实际网络攻击特征的多样性,规则很难完全覆盖,从而影响检测效果。另一类方法是基于机器学习的检测方法,其使用数据训练模型,用训练好的模型进行检测,该方法利用了机器学习在挖掘大量数据中隐含规律和复杂模式的强大能力,故与基于规则的检测方法相比,基于机器学习的检测方法具有更好的优越性。
但是,机器学习方法通常将网络数据视为一系列的数据流(Traffic Flows),以每个数据流的统计特征作为模型输入和判断DDoS攻击的依据。然而,单个数据流的统计特征并不足以反映网络通信的真实意图,孤立地基于单个数据流很难判断其是正常流量还是攻击流量。例如,同样的一个HTTP请求,在不同的通信中,其既可能是合法的正常流量,也可能是由工具软件自动生成的DDoS攻击流量,这不仅取决于该数据流自身,还取决于与它相关数据流的行为。而在攻击流量与正常流量的特征较为相似的情况下,由于缺少了对相关数据流的考察,导致得到的检测模型无法准确区分攻击流量与正常流量。同时,由于真实的攻击意图并不能在机器学习方法的输入特征中充分体现,则导致模型对训练数据过拟合,得到的检测模型泛化能力较差。
发明内容
针对现有技术存在的问题,本发明提供一种分布式拒绝服务DDoS攻击检测方法及装置。
第一方面,本发明提供一种分布式拒绝服务DDoS攻击检测方法,包括:
分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;
基于所述各网络数据流的统计特征,生成至少一个关联流序列;
将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
可选地,根据本发明提供的一种分布式拒绝服务DDoS攻击检测方法,所述基于所述各网络数据流的统计特征,生成至少一个关联流序列,包括:
确定数据流最小关联时间和关联流序列最大长度;
基于所述各网络数据流的统计特征、所述数据流最小关联时间和所述关联流序列最大长度,生成至少一个关联流序列;
其中,每一个关联流序列中包括的网络数据流的个数小于所述关联流序列最大长度,不同关联流序列之间的时间间隔大于所述数据流最小关联时间,任意一个关联流序列中包括的各网络数据流的源IP地址和目的IP地址相同。
可选地,根据本发明提供的一种分布式拒绝服务DDoS攻击检测方法,在将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列之前,所述方法还包括:
搭建LSTM神经网络模型;
基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取所述训练完成的LSTM神经网络模型;
其中,所述目标损失函数是基于负对数似然损失函数和L2正则化确定的。
可选地,根据本发明提供的一种分布式拒绝服务DDoS攻击检测方法,在所述基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取所述训练完成的LSTM神经网络模型之前,所述方法还包括:
确定正则化参数;
基于所述正则化参数、LSTM神经网络模型的待学习参数的L2范数,以及所述负对数似然损失函数,确定所述目标损失函数。
可选地,根据本发明提供的一种分布式拒绝服务DDoS攻击检测方法,所述目标损失函数的表达式为:
Figure BDA0003925490620000031
其中,rt表示预测值;yt表示真实类别,取值为1或0;m表示所述关联流序列最大长度;λ表示所述正则化参数;
Figure BDA0003925490620000032
表示LSTM神经网络模型的待学习参数W的L2范数。
可选地,根据本发明提供的一种分布式拒绝服务DDoS攻击检测方法,所述方法还包括:
基于网格搜索法对所述正则化参数、所述数据流最小关联时间和所述关联流序列最大长度进行优化,分别确定所述正则化参数、所述数据流最小关联时间和所述关联流序列最大长度的最优取值。
可选地,根据本发明提供的一种分布式拒绝服务DDoS攻击检测方法,所述基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量,包括:
判断目标预测值序列中包括的目标预测值是否大于所述预设阈值;
在确定所述目标预测值大于所述预设阈值的情况下,确定与所述目标预测值相对应的网络数据流为DDoS攻击流量;
其中,所述目标预测值序列为所述至少一个预测值序列中的任意一个,所述目标预测值为所述目标预测值序列中包括的任意一个预测值。
第二方面,本发明还提供一种分布式拒绝服务DDoS攻击检测装置,包括:
确定模块,用于分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;
生成模块,用于基于所述各网络数据流的统计特征,生成至少一个关联流序列;
获取模块,用于将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
判断模块,用于基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
第三方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述分布式拒绝服务DDoS攻击检测方法。
第四方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述分布式拒绝服务DDoS攻击检测方法。
本发明提供的分布式拒绝服务DDoS攻击检测方法及装置,通过基于各网络数据流的源IP地址、目的IP地址和时间信息,生成至少一个关联流序列,由于同一个关联流序列中包括的各网络数据流之间具有较强的时间关联性,而不同关联流序列中包括的网络数据流之间的时间关联性较弱,则基于关联流序列进行攻击检测可以有效区分网络数据流特征较为相似的攻击流量和正常流量,进而将每一个关联流序列再作为对信息具有记忆特性的LSTM神经网络模型的输入数据,基于LSTM神经网络模型实现对各网络数据流的DDoS攻击检测,不仅提高了DDoS攻击检测的准确性,而且提高了检测模型的泛化能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的分布式拒绝服务DDoS攻击检测方法的流程示意图之一;
图2是本发明提供的LSTM神经网络总体结构示意图;
图3是本发明提供的LSTM神经网络的单元结构示意图;
图4是本发明提供的分布式拒绝服务DDoS攻击检测方法的流程示意图之二;
图5是本发明提供的分布式拒绝服务DDoS攻击检测装置的结构示意图;
图6是本发明提供的电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于更加清晰地理解本发明各实施例,首先对一些相关的背景知识进行如下介绍。
分布式拒绝服务DDoS攻击:通过大规模互联网流量淹没目标服务器或其相关基础设施,即破坏目标服务器的服务或网络正常流量的恶意行为。DDoS攻击通常利用多台受劫持计算机系统作为攻击源以达到攻击效果,利用的机器可以是计算机,也包括其他联网资源如物联网(Internet of Things,IoT)设备。
数据流(traffic flow):在分组交换网络中,数据流是从源主机到目的设备的一系列数据分组,该目的设备可以是另一台主机、多播组或广播域。实时流测量系统RFC 2722将数据流定义为“与呼叫或连接等效的人工逻辑”。
长短期记忆(Long Short Term Memory,LSTM)神经网络:是一种用于人工智能和深度学习领域的人工神经网络。与标准的前馈神经网络不同,LSTM具有反馈连接,此循环神经网络不仅可以处理单个数据点,还可以处理整个数据序列。LSTM网络非常适合基于时间序列数据进行分类、处理和预测,因为时间序列中的重要事件之间可能存在未知持续时间的滞后。例如,LSTM被用于手写识别、语音识别、机器翻译和机器人控制等。
下面结合图1-图6描述本发明提供的分布式拒绝服务DDoS攻击检测方法及装置。
图1是本发明提供的分布式拒绝服务DDoS攻击检测方法的流程示意图之一,如图1所示,该方法包括:
步骤100,分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源网际协议(Internet Protocol,IP)地址、目的IP地址和时间信息;
步骤110,基于所述各网络数据流的统计特征,生成至少一个关联流序列;
步骤120,将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
步骤130,基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
具体地,在本发明实施例中,为了克服现有的基于机器学习的DDoS检测方法无法准确区分数据流特征较为相似的攻击流量和正常流量,而且,由于网络通信的真实攻击意图不能在现有的机器学习方法的输入特征中充分体现,导致检测模型对训练数据过拟合,得到的检测模型泛化能力较差的缺陷,本发明通过基于各网络数据流的源IP地址、目的IP地址和时间信息,生成至少一个关联流序列,由于同一个关联流序列中包括的各网络数据流之间具有较强的时间关联性,而不同关联流序列中包括的网络数据流之间的时间关联性较弱,则基于关联流序列进行攻击检测可以有效区分网络数据流特征较为相似的攻击流量和正常流量,进而将每一个关联流序列再作为对信息具有记忆特性的LSTM神经网络模型的输入数据,基于LSTM神经网络模型实现对各网络数据流的DDoS攻击检测,不仅提高了DDoS攻击检测的准确性,而且提高了检测模型的泛化能力。
可以理解的是,网络数据流是从源主机到目的设备的一系列数据分组,它们具有相同的源IP地址、目的IP地址、源端口号、目的端口号和通信协议。
可选地,可以采集网络数据,并使用CICFlowMeter(流量特征提取工具)工具将采集的网络数据划分为多个网络数据流。
可选地,可以提取各网络数据流的统计特征,该统计特征可以包括但不限于网络数据流的源IP地址、目的IP地址和时间信息。
可选地,在本发明实施例中,时间信息可以是各网络数据流中包括的数据包对应的时间。
可选地,网络数据流的统计特征还可以包括网络数据流的持续时间、前向数据包总数、后向数据包总数、前向数据包最大长度、前向数据包最小长度、前向数据包平均长度、后向数据包最大长度、后向数据包最小长度和后向数据包平均长度等。
可以理解的是,单个网络数据流的统计特征并不足以反映网络通信的真实意图,孤立地基于单个网络数据流也很难判断其是正常流量还是攻击流量。攻击意图通常反映在多个连续的网络数据流中,他们具有某种时间关联性。特别是,DDoS攻击通常通过自动化工具发起,用于发起DDoS攻击的自动化工具将会在短时间内生成大量几乎相同或特征相似的数据流,这意味着在DDoS攻击的数据流之间具有关联性,而有效地挖掘和分析这种关联性将是在进行攻击检测时区分正常流量和攻击流量的关键。
因此,在本发明实施例中,通过基于各网络数据流的统计特征,即基于各网络数据流的源IP地址、目的IP地址和时间信息,生成至少一个关联流序列,该关联流序列可以反映各网络数据流之间的时间关联性质,有效区分数据流特征较为相似的攻击流量和正常流量,尤其是对于自动化工具生成的大量几乎相同或特征相似的攻击数据流能够有效区分,提高DDoS攻击检测的准确性。
可以理解的是,在基于各网络数据流的统计特征生成的至少一个关联流序列中,每一个关联流序列中包括有多个网络数据流,且同一个关联流序列中包括的多个网络数据流之间具有较强的时间关联性,而不同关联流序列中包括的网络数据流之间具有较弱的时间关联性。
而且,在本发明实施例中,可以将生成的每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取LSTM神经网络模型输出的至少一个预测值序列,再基于预设阈值和每一个预测值序列中包括的各预测值,判断各网络数据流是否是DDoS攻击流量;通过利用LSTM神经网络对信息的记忆特性,实现对较长时间网络数据流中蕴含的规律和可能的攻击意图进行挖掘,并通过在模型输入数据中充分反映这些规律和可能的攻击意图,使得得到的LSTM神经网络检测模型能够适用于不同数据输入,提高检测模型的泛化能力。
可以理解的是,在本发明实施例中,每输入一个关联流序列至LSTM神经网络模型,则LSTM神经网络模型会输出一个预测值序列,即关联流序列与预测值序列一一对应。
可选地,预设阈值可以基于实际应用进行适应性设置,本发明实施例对此不作具体限定。
优选地,在本发明实施例中,预设阈值为0.5。
本发明提供的分布式拒绝服务DDoS攻击检测方法,通过基于各网络数据流的源IP地址、目的IP地址和时间信息,生成至少一个关联流序列,由于同一个关联流序列中包括的各网络数据流之间具有较强的时间关联性,而不同关联流序列中包括的网络数据流之间的时间关联性较弱,则基于关联流序列进行攻击检测可以有效区分网络数据流特征较为相似的攻击流量和正常流量,进而将每一个关联流序列再作为对信息具有记忆特性的LSTM神经网络模型的输入数据,基于LSTM神经网络模型实现对各网络数据流的DDoS攻击检测,不仅提高了DDoS攻击检测的准确性,而且提高了检测模型的泛化能力。
可选地,所述基于所述各网络数据流的统计特征,生成至少一个关联流序列,包括:
确定数据流最小关联时间和关联流序列最大长度;
基于所述各网络数据流的统计特征、所述数据流最小关联时间和所述关联流序列最大长度,生成至少一个关联流序列;
其中,每一个关联流序列中包括的网络数据流的个数小于所述关联流序列最大长度,不同关联流序列之间的时间间隔大于所述数据流最小关联时间,任意一个关联流序列中包括的各网络数据流的源IP地址和目的IP地址相同。
具体地,在本发明实施例中,可以首先确定数据流最小关联时间和关联流序列最大长度,然后基于各网络数据流的源IP地址、目的IP地址、时间信息、数据流最小关联时间和关联流序列最大长度,将各网络数据流转化为至少一个关联流序列。
可选地,可以先基于各网络数据流的源IP地址和目的IP地址,将各个网络数据流划分到不同的数据流列表中,其中,一个数据流列表中包括的各网络数据流的源IP地址和目的IP地址相同;进而计算每一个数据流列表中相邻网络数据流之间的间隔时间,即对每一个数据流列表中的相邻网络数据流的时间关联性进行分析,确定数据流最小关联时间,以便基于数据流最小关联时间将各数据流列表中的各网络数据流划分为一个个关联流序列。
可以理解的是,对于两个相邻的关联流序列,前一个关联流序列中包括的最后一个网络数据流与后一个关联流序列中包括的第一个网络数据流之间的时间间隔大于数据流最小关联时间,使得不同关联流序列之间的时间关联性较弱,而同一个关联流序列内部的网络数据流之间的时间关联性较强。可选地,在本发明实施例中,生成的每一个关联流序列中包括的网络数据流的个数小于关联流序列最大长度。
可以理解的是,为了便于后续的处理,在本发明实施例中对关联流序列的长度进行了限定,即每一个关联流序列中包括的网络数据流的个数小于关联流序列最大长度。
可选地,在本发明实施例中,生成的至少一个关联流序列中的不同关联流序列之间的时间间隔大于数据流最小关联时间,使得不同关联流序列之间具有较弱的时间关联,而同一个关联流序列内部的网络数据流之间具有较强的时间关联。
可选地,在本发明实施例中,生成的任意一个关联流序列中包括的各网络数据流的源IP地址和目的IP地址相同。
可选地,数据流最小关联时间和关联流序列最大长度可以基于实际应用进行适应性设置,本发明实施例对此不作具体限定。
本发明提供的分布式拒绝服务DDoS攻击检测方法,通过基于各网络数据流的统计特征、数据流最小关联时间和关联流序列最大长度生成关联流序列,使得关联流序列可以充分反映各网络数据流之间的时间关联性质,以及各网络数据流中蕴含的规律和可能的攻击意图。
可选地,在将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列之前,所述方法还包括:
搭建LSTM神经网络模型;
基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取所述训练完成的LSTM神经网络模型;
其中,所述目标损失函数是基于负对数似然损失函数和L2正则化确定的。
具体地,在本发明实施例中,在将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取LSTM神经网络模型输出的至少一个预测值序列之前,先搭建LSTM神经网络模型,并基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取训练完成的LSTM神经网络模型,其中,目标损失函数可以是基于负对数似然损失函数和L2正则化确定的。
可以理解的是,L2正则化可以避免神经网络模型过拟合,因此在本发明实施例中,通过在目标损失函数中引入L2正则化,可以提高LSTM神经网络模型的泛化能力。
可选地,可以基于目标损失函数,使用自适应矩估计(Adaptive MomentEstimation,Adam)优化器对LSTM神经网络模型进行训练,并设定学习率为0.001。
图2是本发明提供的LSTM神经网络总体结构示意图,如图2所示,LSTM神经网络由一系列LSTM单元连接而成,每个LSTM单元的计算不是仅仅基于当前输入量,还会基于之前所有的输入量,从而达到对序列信息的记忆效果。
图3是本发明提供的LSTM神经网络的单元结构示意图,如图3所示,在每个LSTM单元中,引入细胞状态(cell state)来记忆序列信息,用控制门函数(gate functions)调整记忆的信息随时间的变化情况。其中控制门函数包括输入门(it)、遗忘门(ft)和输出门(ot),各个控制门基于如下方法计算:
(1)遗忘门:用于忘记过去的某些信息,计算出的ft表征过去的信息有多大比例被保留下来,计算公式如下:
ft=σ(Wfxxt+Wfhht-1+bf)
(2)输入门:用于记忆当前的某些信息,计算出的it表征有多大比例的当前信息被后续使用,计算公式如下:
it=σ(Wixxt+Wihht-1+bi)
(3)信息合并:按照遗忘门与输入门所计算出的比例,将过去的信息ct-1与现在的信息xt合并,从而更新细胞状态,计算公式如下:
ct=ft*ct-1+it*tanh(Wcxxt+Wchht-1+bc)
(4)输出门:计算当前的输出值ht,ht是细胞状态ct的一个非线性变换,该输出值将被用来进行DDoS攻击检测分类,计算公式如下:
ot=σ(Woxxt+Wohht-1+bo)
ht=ot*tanh(ct)
(5)预测结果计算:根据每个LSTM单元的输出值ht计算预测结果,计算公式如下:
Figure BDA0003925490620000131
其中,在上述公式中,σ是sigmoid激活函数,*表示按元素相乘,具有不同下标的W和b分别是LSTM单元中的权重和偏置。具体来说,Wfx和Wfh分别是遗忘门对输入xt和前一个LSTM单元输出的ht-1的权重,bf是遗忘门的偏置;Wix和Wih分别是输入门对输入xt和ht-1的权重,bi是输入门的偏置;Wcx和Wch分别是信息合并部分对输入xt和ht-1的权重,bc是信息合并部分的偏置;Wox和Woh分别是输出门对输入xt和ht-1的权重,bo是输出门的偏置,
Figure BDA0003925490620000132
是LSTM单元输出的ht的权重,
Figure BDA0003925490620000133
是计算预测结果的偏置。
可选地,在本发明实施例中,搭建的LSTM神经网络模型可以包含两个隐含层,其中第一个隐含层包括96个神经元,第二个隐含层包括48个神经元。
本发明提供的分布式拒绝服务DDoS攻击检测方法,通过基于负对数似然损失函数和L2正则化确定的目标损失函数对LSTM神经网络模型进行训练,可以提高LSTM神经网络模型的泛化能力。
可选地,在所述基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取所述训练完成的LSTM神经网络模型之前,所述方法还包括:
确定正则化参数;
基于所述正则化参数、LSTM神经网络模型的待学习参数的L2范数,以及所述负对数似然损失函数,确定所述目标损失函数。
具体地,在本发明实施例中,在基于目标损失函数训练搭建的LSTM神经网络模型之前,先基于正则化参数、LSTM神经网络模型的待学习参数的L2范数,以及负对数似然损失函数,确定目标损失函数,进而再基于目标损失函数训练搭建的LSTM神经网络模型。
可以理解的是,本发明通过在目标损失函数中引入LSTM神经网络模型待学习参数的L2范数,可以避免LSTM神经网络模型过拟合,提高LSTM神经网络模型的泛化能力。
可选地,所述目标损失函数的表达式为:
Figure BDA0003925490620000141
其中,rt表示预测值;yt表示真实类别,取值为1或0;m表示所述关联流序列最大长度;λ表示正则化参数;
Figure BDA0003925490620000142
表示LSTM神经网络模型的待学习参数W的L2范数。
具体地,在本发明实施例中,可以基于如上述表达式的目标损失函数训练LSTM神经网络模型,由上述表达式可以看出,在负对数似然损失函数的基础上引入了L2正则化,可以避免LSTM神经网络模型过拟合,提高LSTM神经网络模型的泛化能力。
可选地,所述方法还包括:
基于网格搜索法对所述正则化参数、所述数据流最小关联时间和所述关联流序列最大长度进行优化,分别确定所述正则化参数、所述数据流最小关联时间和所述关联流序列最大长度的最优取值。
具体地,在本发明实施例中,还可以基于网格搜索法对正则化参数λ、数据流最小关联时间和关联流序列最大长度进行优化,从而分别确定正则化参数的最优取值、数据流最小关联时间的最优取值和关联流序列最大长度的最优取值。
可选地,所述正则化参数的最优取值范围为0.1至0.5,所述数据流最小关联时间的最优取值范围为0.1秒至1秒,所述关联流序列最大长度的最优取值范围为30至80。
本发明提供的分布式拒绝服务DDoS攻击检测方法,通过基于网格搜索法对正则化参数λ、数据流最小关联时间和关联流序列最大长度进行优化,可以进一步提高DDoS攻击检测的准确性。
可选地,所述基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量,包括:
判断目标预测值序列中包括的目标预测值是否大于所述预设阈值;
在确定所述目标预测值大于所述预设阈值的情况下,确定与所述目标预测值相对应的网络数据流为DDoS攻击流量;
其中,所述目标预测值序列为所述至少一个预测值序列中的任意一个,所述目标预测值为所述目标预测值序列中包括的任意一个预测值。
具体地,在本发明实施例中,可以将预设阈值与目标预测值序列中包括的各预测值进行比较,在确定目标预测值序列中的目标预测值大于预设阈值的情况下,确定与目标预测值相对应的网络数据流为DDoS攻击流量,其中,目标预测值序列为LSTM神经网络模型输出的至少一个预测值序列中的任意一个,目标预测值为所述目标预测值序列中包括的任意一个预测值。
本发明提供的分布式拒绝服务DDoS攻击检测方法,通过基于预设阈值和LSTM神经网络模型输出的预测值序列,可以准确确定各网络数据流是否为DDoS攻击流量。
图4是本发明提供的分布式拒绝服务DDoS攻击检测方法的流程示意图之二,如图4所示,该方法包括:
步骤400,数据流划分与特征提取。
可选地,可以采集网络数据,并使用CICFlowMeter工具将采集的网络数据划分为多个网络数据流,并为每个数据流提取84个特征,作为各网络数据流的统计特征。
步骤410,生成关联流序列。
可选地,在本发明实施例中,为了确定网络数据流的时间关联性质,则将相互关联的一系列网络数据流组成关联流序列,以便更准确地判断网络数据流是否为DDoS攻击流量。
可选地,生成关联流序列时,可以遵从以下两个标准:①关联流序列是同一对主机间的数据流,即它们有相同的源IP地址和目的IP地址;②关联流序列在时间上邻近。
根据上述两个标准,可以采用关联流序列生成算法生成关联流序列,在该算法中,可以遍历每个网络数据流,先提取遍历到的网络数据流的源IP地址和目的IP地址作为所属关联流序列的标识seq_id,再根据seq_id依次将各个网络数据流加入到对应的列表中暂存,于是每个列表记录了具有相同源IP地址和目的IP地址的一系列网络数据流。进一步,计算每个列表中相邻网络数据流之间的间隔时间。较短的间隔时间表征网络数据流之间具有较强的时间关联,较长的间隔时间表征网络数据流之间的时间关联性较弱或没有时间关联。因此可以在一定范围内选取网络数据流之间最长的时间间隔作为分界,将网络数据流划分为一个个关联流序列,各个关联流序列内部的网络数据流之间相互的时间间隔较短,有较强的时间关联,而不同关联流序列中的网络数据流之间相互的时间间隔较长,时间关联性较弱或没有时间关联。
可以理解的是,在关联流序列生成算法中,包括两个参数,分别为数据流最小关联时间τ和关联流序列最大长度m。网络数据流之间的时间间隔至少达到τ才会将他们分为不同的关联流序列;m是关联流序列最大长度,出于后续处理需要,关联流序列的长度不能无限制,一旦达到最大长度m之后可以将关联流序列强制分割。
具体地,关联流序列生成算法的输入为:从步骤400得到的各个网络数据流flowi(i=1,2,…n),数据流最小关联时间参数τ,关联流序列最大长度参数m;关联流序列生成算法的输出为:关联流序列的列表correlation_list;关联流序列生成算法具体包括如下步骤(1)-步骤(3):
(1)遍历每个网络数据流,提取各网络数据流的(源IP地址,目的IP地址)二元组,作为所属关联流序列的标识seq_id;
(2)根据关联流序列的seq_id,将各网络数据流添加到对应的列表中暂存,该列表是所有具有相同(源IP地址,目的IP地址)二元组的一系列网络数据流组成的暂存列表。同时计算并记录新添加的网路数据流与该列表中前一个相邻网络数据流之间的时间间隔;
(3)当列表中包含的网络数据流的数量达到关联流序列最大长度参数m时,从该列表中找到时间间隔最长的两个相邻网络数据流,记为网络数据流flowp和网络数据流flowq
情况1:如果该时间间隔大于等于数据流最小关联时间τ,就以网络数据流flowp和网络数据流flowq之间作为截断,从该暂存列表的第一个网络数据流开始、直到网络数据流flowp终止,为生成的一个关联流序列。同时暂存列表进行更新,将从第一个网络数据流开始,直到网络数据流flowp终止的部分(即刚刚生成的关联流序列部分)删去,剩下的从网络数据流flowq开始的部分保留,用作后续继续处理;
情况2:如果该时间间隔小于数据流最小关联时间参数τ,就以关联流序列最大长度m作为截断,暂存列表的全部m个网络数据流作为生成的一个关联流序列。同时暂存列表进行更新,变为空列表;
按以上步骤处理完所有的网络数据流,将依次生成多个关联流序列。
步骤420,构造LSTM神经网络并使用关联流序列数据训练。
为了对生成的关联流序列进行检测分析,充分利用其中蕴含的时间关联性质,可以基于LSTM神经网络实现DDoS攻击检测,因其具有能够记忆序列信息的能力。LSTM神经网络的输入是步骤400生成的关联流序列的统计特征,可记为x1,…,xm,其中每个xi都是一个向量,表示关联流序列中的一个网络数据流的特征。参数m是关联流序列最大长度,对于长度不足m的关联流序列,可以采用空值将其填充到长度m以保证数据对齐。
步骤430,对模型中的超参数进行优化。
可选地,可以使用网格搜索法,对本发明实施例提供的分布式拒绝服务DDoS攻击检测方法中涉及的三个超参数即数据流最小关联时间τ、关联流序列最大长度m和正则化参数λ进行优化,优选确定τ=0.5s、m=50和λ=0.3为当前模型下的最优超参数。
步骤440,使用优化好的模型进行DDoS攻击检测。
具体地,在完成了LSTM神经网络模型的训练和超参数的优化之后,可以基于LSTM神经网络模型进行DDoS攻击检测,具体包括如下步骤(1)-步骤(3):
(1)使用CICFlowMeter工具将采集到的网络数据划分为网络数据流,并为每个网络数据流提取84个特征;
(2)基于得到的各网络数据流及各网络数据流的特征,使用关联流序列生成算法生成关联流序列;
(3)将得到的关联流序列作为输入数据,使用训练好的LSTM神经网络模型进行计算,得到预测结果。例如,对于关联流序列(x1,…xm),使用LSTM神经网络模型计算得到预测值序列(r1,…rm),那么对于其中任意一个网络数据流xt,可以根据它的预测值rt与阈值0.5的大小关系确定该网络数据流是否为DDoS攻击流量,若rt大于阈值0.5,则确定该网络数据流xt为DDoS攻击流量,若rt小于阈值0.5,则确定该网络数据流xt为正常流量。
本发明提供的分布式拒绝服务DDoS攻击检测方法,通过基于各网络数据流的源IP地址、目的IP地址和时间信息,生成至少一个关联流序列,由于同一个关联流序列中包括的各网络数据流之间具有较强的时间关联性,而不同关联流序列中包括的网络数据流之间的时间关联性较弱,则基于关联流序列进行攻击检测可以有效区分网络数据流特征较为相似的攻击流量和正常流量,进而将每一个关联流序列再作为对信息具有记忆特性的LSTM神经网络模型的输入数据,基于LSTM神经网络模型实现对各网络数据流的DDoS攻击检测,不仅提高了DDoS攻击检测的准确性,而且提高了检测模型的泛化能力。
下面对本发明提供的分布式拒绝服务DDoS攻击检测装置进行描述,下文描述的分布式拒绝服务DDoS攻击检测装置与上文描述的分布式拒绝服务DDoS攻击检测方法可相互对应参照。
图5是本发明提供的分布式拒绝服务DDoS攻击检测装置的结构示意图,如图5所示,该装置包括:确定模块510、生成模块520、获取模块530和判断模块540;其中:
确定模块510用于分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;
生成模块520用于基于所述各网络数据流的统计特征,生成至少一个关联流序列;
获取模块530用于将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
判断模块540用于基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
具体地,本发明实施例提供的分布式拒绝服务DDoS攻击检测装置,可以通过确定模块510分别确定各网络数据流的统计特征,该统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;然后基于各网络数据流的统计特征,通过生成模块520生成至少一个关联流序列;进一步通过获取模块530将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取LSTM神经网络模型输出的至少一个预测值序列,其中关联流序列与预测值序列一一对应;最后基于预设阈值和每一个预测值序列中包括的各预测值,通过判断模块540判断各网络数据流是否是DDoS攻击流量。
本发明提供的分布式拒绝服务DDoS攻击检测装置,通过基于各网络数据流的源IP地址、目的IP地址和时间信息,生成至少一个关联流序列,由于同一个关联流序列中包括的各网络数据流之间具有较强的时间关联性,而不同关联流序列中包括的网络数据流之间的时间关联性较弱,则基于关联流序列进行攻击检测可以有效区分网络数据流特征较为相似的攻击流量和正常流量,进而将每一个关联流序列再作为对信息具有记忆特性的LSTM神经网络模型的输入数据,基于LSTM神经网络模型实现对各网络数据流的DDoS攻击检测,不仅提高了DDoS攻击检测的准确性,而且提高了检测模型的泛化能力。
可选地,所述生成模块还用于:
确定数据流最小关联时间和关联流序列最大长度;
基于所述各网络数据流的统计特征、所述数据流最小关联时间和所述关联流序列最大长度,生成至少一个关联流序列;
其中,每一个关联流序列中包括的网络数据流的个数小于所述关联流序列最大长度,不同关联流序列之间的时间间隔大于所述数据流最小关联时间,任意一个关联流序列中包括的各网络数据流的源IP地址和目的IP地址相同。
可选地,所述分布式拒绝服务DDoS攻击检测装置还包括搭建模块和训练模块;
所述搭建模块用于搭建LSTM神经网络模型;
所述训练模块用于基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取所述训练完成的LSTM神经网络模型;
其中,所述目标损失函数是基于负对数似然损失函数和L2正则化确定的。
可选地,在所述基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取所述训练完成的LSTM神经网络模型之前,所述训练模块还用于:
确定正则化参数;
基于所述正则化参数、LSTM神经网络模型的待学习参数的L2范数,以及所述负对数似然损失函数,确定所述目标损失函数。
可选地,所述目标损失函数的表达式为:
Figure BDA0003925490620000211
其中,rt表示预测值;yt表示真实类别,取值为1或0;m表示所述关联流序列最大长度;λ表示正则化参数;
Figure BDA0003925490620000212
表示LSTM神经网络模型的待学习参数W的L2范数。
可选地,所述分布式拒绝服务DDoS攻击检测装置还包括优化模块;
所述优化模块用于基于网格搜索法对所述正则化参数、所述数据流最小关联时间和所述关联流序列最大长度进行优化,分别确定所述正则化参数、所述数据流最小关联时间和所述关联流序列最大长度的最优取值。
可选地,所述判断模块还用于:
判断目标预测值序列中包括的目标预测值是否大于所述预设阈值;
在确定所述目标预测值大于所述预设阈值的情况下,确定与所述目标预测值相对应的网络数据流为DDoS攻击流量;
其中,所述目标预测值序列为所述至少一个预测值序列中的任意一个,所述目标预测值为所述目标预测值序列中包括的任意一个预测值。
本发明提供的分布式拒绝服务DDoS攻击检测装置,通过基于各网络数据流的源IP地址、目的IP地址和时间信息,生成至少一个关联流序列,由于同一个关联流序列中包括的各网络数据流之间具有较强的时间关联性,而不同关联流序列中包括的网络数据流之间的时间关联性较弱,则基于关联流序列进行攻击检测可以有效区分网络数据流特征较为相似的攻击流量和正常流量,进而将每一个关联流序列再作为对信息具有记忆特性的LSTM神经网络模型的输入数据,基于LSTM神经网络模型实现对各网络数据流的DDoS攻击检测,不仅提高了DDoS攻击检测的准确性,而且提高了检测模型的泛化能力。
在此需要说明的是,本发明实施例提供的上述分布式拒绝服务DDoS攻击检测装置,能够实现上述分布式拒绝服务DDoS攻击检测方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
图6是本发明提供的电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行上述各方法所提供的分布式拒绝服务DDoS攻击检测方法,该方法包括:
分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;
基于所述各网络数据流的统计特征,生成至少一个关联流序列;
将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的分布式拒绝服务DDoS攻击检测方法,该方法包括:
分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;
基于所述各网络数据流的统计特征,生成至少一个关联流序列;
将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的分布式拒绝服务DDoS攻击检测方法,该方法包括:
分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;
基于所述各网络数据流的统计特征,生成至少一个关联流序列;
将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种分布式拒绝服务DDoS攻击检测方法,其特征在于,包括:
分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;
基于所述各网络数据流的统计特征,生成至少一个关联流序列;
将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
2.根据权利要求1所述的分布式拒绝服务DDoS攻击检测方法,其特征在于,所述基于所述各网络数据流的统计特征,生成至少一个关联流序列,包括:
确定数据流最小关联时间和关联流序列最大长度;
基于所述各网络数据流的统计特征、所述数据流最小关联时间和所述关联流序列最大长度,生成至少一个关联流序列;
其中,每一个关联流序列中包括的网络数据流的个数小于所述关联流序列最大长度,不同关联流序列之间的时间间隔大于所述数据流最小关联时间,任意一个关联流序列中包括的各网络数据流的源IP地址和目的IP地址相同。
3.根据权利要求2所述的分布式拒绝服务DDoS攻击检测方法,其特征在于,在将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列之前,所述方法还包括:
搭建LSTM神经网络模型;
基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取所述训练完成的LSTM神经网络模型;
其中,所述目标损失函数是基于负对数似然损失函数和L2正则化确定的。
4.根据权利要求3所述的分布式拒绝服务DDoS攻击检测方法,其特征在于,在所述基于目标损失函数对搭建的LSTM神经网络模型进行训练,获取所述训练完成的LSTM神经网络模型之前,所述方法还包括:
确定正则化参数;
基于所述正则化参数、LSTM神经网络模型的待学习参数的L2范数,以及所述负对数似然损失函数,确定所述目标损失函数。
5.根据权利要求4所述的分布式拒绝服务DDoS攻击检测方法,其特征在于,所述目标损失函数的表达式为:
Figure FDA0003925490610000021
其中,rt表示预测值;yt表示真实类别,取值为1或0;m表示所述关联流序列最大长度;λ表示所述正则化参数;
Figure FDA0003925490610000022
表示LSTM神经网络模型的待学习参数W的L2范数。
6.根据权利要求4所述的分布式拒绝服务DDoS攻击检测方法,其特征在于,所述方法还包括:
基于网格搜索法对所述正则化参数、所述数据流最小关联时间和所述关联流序列最大长度进行优化,分别确定所述正则化参数、所述数据流最小关联时间和所述关联流序列最大长度的最优取值。
7.根据权利要求1-6任一项所述的分布式拒绝服务DDoS攻击检测方法,其特征在于,所述基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量,包括:
判断目标预测值序列中包括的目标预测值是否大于所述预设阈值;
在确定所述目标预测值大于所述预设阈值的情况下,确定与所述目标预测值相对应的网络数据流为DDoS攻击流量;
其中,所述目标预测值序列为所述至少一个预测值序列中的任意一个,所述目标预测值为所述目标预测值序列中包括的任意一个预测值。
8.一种分布式拒绝服务DDoS攻击检测装置,其特征在于,包括:
确定模块,用于分别确定各网络数据流的统计特征,所述统计特征包括网络数据流的源IP地址、目的IP地址和时间信息;
生成模块,用于基于所述各网络数据流的统计特征,生成至少一个关联流序列;
获取模块,用于将每一个关联流序列分别输入至训练完成的LSTM神经网络模型,获取所述LSTM神经网络模型输出的至少一个预测值序列,所述关联流序列与所述预测值序列一一对应;
判断模块,用于基于预设阈值和每一个预测值序列中包括的各预测值,判断所述各网络数据流是否是DDoS攻击流量。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述分布式拒绝服务DDoS攻击检测方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述分布式拒绝服务DDoS攻击检测方法。
CN202211370987.7A 2022-11-03 2022-11-03 分布式拒绝服务DDoS攻击检测方法及装置 Pending CN115766140A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211370987.7A CN115766140A (zh) 2022-11-03 2022-11-03 分布式拒绝服务DDoS攻击检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211370987.7A CN115766140A (zh) 2022-11-03 2022-11-03 分布式拒绝服务DDoS攻击检测方法及装置

Publications (1)

Publication Number Publication Date
CN115766140A true CN115766140A (zh) 2023-03-07

Family

ID=85357748

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211370987.7A Pending CN115766140A (zh) 2022-11-03 2022-11-03 分布式拒绝服务DDoS攻击检测方法及装置

Country Status (1)

Country Link
CN (1) CN115766140A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117278262A (zh) * 2023-09-13 2023-12-22 武汉卓讯互动信息科技有限公司 基于深度神经网络的ddos安全防御系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117278262A (zh) * 2023-09-13 2023-12-22 武汉卓讯互动信息科技有限公司 基于深度神经网络的ddos安全防御系统
CN117278262B (zh) * 2023-09-13 2024-03-22 武汉卓讯互动信息科技有限公司 基于深度神经网络的ddos安全防御系统

Similar Documents

Publication Publication Date Title
CN112165485B (zh) 一种大规模网络安全态势智能预测方法
CN106911669B (zh) 一种基于深度学习的ddos检测方法
Agrawal et al. NovelADS: A novel anomaly detection system for intra-vehicular networks
CN109889538B (zh) 用户异常行为检测方法及系统
CN109067773B (zh) 一种基于神经网络的车载can网络入侵检测方法及系统
Sun et al. Adaptive intrusion detection in the networking of large-scale lans with segmented federated learning
Ortet Lopes et al. Towards effective detection of recent DDoS attacks: A deep learning approach
Yamany et al. OQFL: An optimized quantum-based federated learning framework for defending against adversarial attacks in intelligent transportation systems
Meng et al. Semi-supervised anomaly detection in dynamic communication networks
Srinivasan et al. Enhancing the security in cyber-world by detecting the botnets using ensemble classification based machine learning
CN115766140A (zh) 分布式拒绝服务DDoS攻击检测方法及装置
CN107347064B (zh) 基于神经网络算法的云计算平台态势预测方法
Wan et al. Shielding federated learning: A new attack approach and its defense
Chen et al. Anomaly detection on dynamic bipartite graph with burstiness
CN114565106A (zh) 基于孤立森林的联邦学习中毒攻击的防御方法
Thangasamy et al. A Novel Framework for DDoS Attacks Detection Using Hybrid LSTM Techniques.
Gao et al. The prediction role of hidden markov model in intrusion detection
Parras et al. Inverse reinforcement learning: a new framework to mitigate an Intelligent Backoff Attack
Park et al. Distributed learning-based intrusion detection in 5G and beyond networks
CN116051304A (zh) 基于级联间关系的信息传播预测系统
CN113420791B (zh) 边缘网络设备接入控制方法、装置及终端设备
Thirumalairaj et al. Hybrid cuckoo search optimization based tuning scheme for deep neural network for intrusion detection systems in cloud environment
Ren et al. Edge DDoS attack detection method based on software defined networks
Udayakumar et al. Anomaly detection for internet of things security attacks based on recent optimal federated deep learning model
Li et al. Cyberspace attack detection based on advanced initialized recurrent neural network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination