CN117749493A - 基于DDoS的网络流量预测方法、装置、设备和介质 - Google Patents
基于DDoS的网络流量预测方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN117749493A CN117749493A CN202311766916.3A CN202311766916A CN117749493A CN 117749493 A CN117749493 A CN 117749493A CN 202311766916 A CN202311766916 A CN 202311766916A CN 117749493 A CN117749493 A CN 117749493A
- Authority
- CN
- China
- Prior art keywords
- network
- decision
- attack
- processing
- network traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 238000003066 decision tree Methods 0.000 claims abstract description 197
- 238000012545 processing Methods 0.000 claims abstract description 126
- 238000001514 detection method Methods 0.000 claims abstract description 37
- 239000011159 matrix material Substances 0.000 claims description 25
- 238000012549 training Methods 0.000 claims description 17
- 238000000638 solvent extraction Methods 0.000 claims description 14
- 230000006399 behavior Effects 0.000 description 52
- 230000008569 process Effects 0.000 description 21
- 238000012544 monitoring process Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 206010000117 Abnormal behaviour Diseases 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000001681 protective effect Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000036626 alertness Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供的基于DDoS的网络流量预测方法、装置、设备和介质,应用于网络安全领域。通过将获取到的网络流量数据输入至多个候选决策树中,并采用检测处理算法对每个决策结果进行检测处理,可以在确定了采集次数达到预设采集次数时,根据决策处理结果确定与网络流量数据对应的网络预测结果。该方法通过使用多个候选决策树对网络流量数据进行决策处理,解决了无法对大规模的网络流量进行异常检测的问题,进而可以更好地检测和预防潜在的网络攻击,从而提高网络的安全性。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种基于DDoS的网络流量预测方法、装置、设备和介质。
背景技术
随着互联网的普及和技术的发展,分布式拒绝服务攻击(DDoS)已成为网络安全领域的关键问题。DDoS攻击主要利用多台计算机或网络设备作为攻击源,通过发送大量无效或伪造的请求来消耗目标服务器的资源,导致正常用户无法访问目标网站或服务。此外,僵尸网络作为一种新型的网络攻击方式,也给当前的互联网和用户带来了巨大的威胁。
然而,在现有的技术中,网络流量检测的方式相对单一且简单,无法对大规模的网络流量进行有效的检测。例如,第一种方式,仅对单个区域进行监测,没有综合考虑整个监测网络的情况,因此监测的准确性受到限制。第二种方式,则需要提前按照网络流量的协议类型分类,再分别进行监测判断。然而,这些网络流量检测方式都无法对大规模的网络流量进行有效的检测。
因此,当前亟需解决的技术问题是如何对大规模的网络流量进行异常检测,以更准确地识别和分类网络流量,并提高监测的准确性和效率。
发明内容
本申请提供一种基于DDoS的网络流量预测方法、装置、设备和介质,用以解决无法对大规模的网络流量进行异常检测的问题。
第一方面,本申请提供一种基于DDoS的网络流量预测方法,该方法包括:
实时获取当前周期的网络流量数据,并将网络采集计数器的采集次数加一,所述网络流量数据用于指示网络中传输的数据量,所述网络采集计数器用于记录所述网络流量数据的采集次数;
将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,所述候选决策树是根据历史周期的网络流量数据包训练得到的;
采用检测处理算法对每个决策结果数量依次进行检测处理,得到决策处理总个数;
在所述采集次数达到预设采集次数时,根据所述决策处理总个数,对网络进行预测处理,得到网络预测结果。
可选的,所述将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,包括:
将所述网络流量数据分别输入至所述多个候选决策树中,得到与每个候选决策树对应的多个决策结果;
依次根据多个决策结果,确定所述每个候选决策树的总行数,所述总行数包括:多个子行、与每个子行对应的样本内容;
依次对多个子行数的样本内容进行同行比较,以确定每个子行数之间是否存在相同值;
若是,则在每个子行数之间的相同值大于预设子行数之间的相同值时,依次确定所述每个候选决策树的决策结果数量。
可选的,所述检测处理算法包括:第一预设无网络攻击范围、第一预设疑似网络攻击范围,所述采用检测处理算法对每个决策结果数量依次进行检测处理,得到决策处理总个数,包括:
依次判断每个决策结果数量是否处于所述第一预设无网络攻击范围;
若否,则依次判断所述每个决策结果数量是否处于所述第一预设疑似网络攻击范围;
若是,则确定疑似攻击决策树,所述疑似攻击决策树的数量不唯一,所述目标决策数与所述与所述多个候选决策树存在关联关系;
根据所述疑似攻击决策树,确定所述决策处理总个数。
可选的,所述网络预测结果包括:疑似攻击,所述根据所述决策处理总个数,对网络进行预测处理,得到网络预测结果,包括:
判断所述决策处理总个数是否处于第二预设无网络攻击范围;
若否,则判断所述决策处理总个数是否处于第二预设疑似网络攻击范围;
若是,则确定所述网络预测结果为所述疑似攻击。
可选的,所述确定所述网络预测结果为所述疑似攻击之后,所述方法还包括:
根据所述疑似攻击,生成预警提示信息,所述预警提示信息用于提示网络管理员网络在当前周期内存在疑似攻击现象;
将所述预警提示信息发送至安全系统,所述安全系统为所述网络管理员使用的网络平台。
可选的,所述实时获取当前周期的网络流量数据之后,所述方法还包括:
对所述网络流量数据进行初步分析,得到流量数据分布结果,所述流量数据分布结果用于指示所述网络流量数据在网络环境中的数据特征;
按照目标处理规则对所述流量数据分布结果进行规则处理,得到新的网络流量数据。
可选的,所述方法还包括:
在所述采集次数达到预设采集次数时,根据多个网络流量数据,生成网络流量数据包;
按照目标处理规则对所述网络流量数据包进行处理分析,得到模型矩阵;
采用随机划分算法,对所述模型矩阵进行随机划分处理,得到多个目标决策树。
第二方面,本申请提供一种基于DDoS的网络流量预测装置,该装置包括:
获取模块,用于实时获取当前周期的网络流量数据,所述网络流量数据用于指示网络中传输的数据量;
控制模块,用于将网络采集计数器的采集次数加一,所述网络采集计数器用于记录所述网络流量数据的采集次数;
输入模块,用于将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,所述候选决策树是根据历史周期的网络流量数据包训练得到的;
处理模块,用于采用检测处理算法对每个决策结果数量依次进行检测处理,得到决策处理总个数;
所述处理模块,还用于在所述采集次数达到预设采集次数时,根据所述决策处理总个数,对网络进行预测处理,得到网络预测结果。
可选的,所述输入模块,还用于将所述网络流量数据分别输入至所述多个候选决策树中,得到与每个候选决策树对应的多个决策结果;
所述装置还包括;确定模块;
所述确定模块,用于依次根据多个决策结果,确定所述每个候选决策树的总行数,所述总行数包括:多个子行、与每个子行对应的样本内容;
所述装置还包括:比较模块;
所述比较模块,用于依次对多个子行数的样本内容进行同行比较,以确定每个子行数之间是否存在相同值;
所述确定模块,还用于在每个子行数之间存在相同值时,在每个子行数之间的相同值大于预设子行数之间的相同值时,依次确定所述每个候选决策树的决策结果数量。
可选的,所述装置还包括:判断模块;
所述判断模块,用于依次判断每个决策结果数量是否处于所述第一预设无网络攻击范围;
所述判断模块,还用于在每个决策结果数量不处于所述第一预设无网络攻击范围时,依次判断所述每个决策结果数量是否处于所述第一预设疑似网络攻击范围;
所述确定模块,还用于在每个决策结果数量处于所述第一预设疑似网络攻击范围时,确定疑似攻击决策树,所述疑似攻击决策树的数量不唯一,所述目标决策数与所述与所述多个候选决策树存在关联关系;
所述确定模块,还用于根据所述疑似攻击决策树,确定所述决策处理总个数。
可选的,所述判断模块,还用于判断所述决策处理总个数是否处于第二预设无网络攻击范围;
所述判断模块,还用于在所述决策处理总个数不处于第二预设无网络攻击范围时,判断所述决策处理总个数是否处于第二预设疑似网络攻击范围;
所述确定模块,还用于在所述决策处理总个数处于第二预设无网络攻击范围时,确定所述网络预测结果为所述疑似攻击。
可选的,所述装置还包括:生成模块;
所述生成模块,用于根据所述疑似攻击,生成预警提示信息,所述预警提示信息用于提示网络管理员网络在当前周期内存在疑似攻击现象;
所述装置还包括:发送模块;
所述发送模块,用于将所述预警提示信息发送至安全系统,所述安全系统为所述网络管理员使用的网络平台。
可选的,所述装置还包括:分析模块;
所述分析模块,用于对所述网络流量数据进行初步分析,得到流量数据分布结果,所述流量数据分布结果用于指示所述网络流量数据在网络环境中的数据特征;
所述处理模块,还用于按照目标处理规则对所述流量数据分布结果进行规则处理,得到新的网络流量数据。
可选的,所述生成模块,还用于在所述采集次数达到预设采集次数时,根据多个网络流量数据,生成网络流量数据包;
所述处理模块,还用于按照目标处理规则对所述网络流量数据包进行处理分析,得到模型矩阵;
所述处理模块,还用于采用随机划分算法,对所述模型矩阵进行随机划分处理,得到多个目标决策树。
第三方面,本申请提供一种基于DDoS的网络流量预测设备,包括:
存储器;
处理器;
其中,所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如上述第一方面及第一方面各种可能的实现方式所述的基于DDoS的网络流量预测方法。
第四方面,本申请提供一种计算机存储介质,其上存储有计算机执行指令,所述计算机执行指令被处理器执行以实现如上述第一方面及第一方面各种可能的实现方式所述的基于DDoS的网络流量预测方法。
本申请提供的基于DDoS的网络流量预测方法,通过将获取到的网络流量数据输入至多个候选决策树中,并采用检测处理算法对每个决策结果进行检测处理,可以在确定了采集次数达到预设采集次数时,根据决策处理结果确定与网络流量数据对应的网络预测结果。该方法通过使用多个候选决策树对网络流量数据进行决策处理,解决了无法对大规模的网络流量进行异常检测的问题,进而可以更好地检测和预防潜在的网络攻击,从而提高网络的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是本申请提供的基于DDoS的网络流量预测方法的流程图一;
图2是本申请提供的基于DDoS的网络流量预测方法的流程图二;
图3是本申请提供的基于DDoS的网络流量预测方法的流程图三;
图4是本申请提供的基于DDoS的网络流量预测装置的结构示意图;
图5是本申请提供的基于DDoS的网络流量预测设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。
本申请实施例中,“示例性的”或者“例如”等词用于表示例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
首先,对本申请涉及的名词进行解释。
分布式拒绝服务攻击(DDoS):攻击者通过控制多台计算机,或利用客户端/服务器技术联合多个计算机作为攻击平台,对一个或多个目标发动攻击。由于攻击点分布在不同的地方,这种攻击被称为分布式拒绝服务攻击。
DDoS攻击的主要目的是通过消耗目标系统的资源,使其无法正常响应合法用户的请求,从而达到拒绝服务的目的。这种攻击可以造成目标系统服务不可用,进而影响正常的业务运行。
随着互联网的普及和技术的发展,网络安全问题日益突出,其中分布式拒绝服务攻击(DDoS)已成为网络安全领域的重要问题之一。DDoS攻击利用多台计算机或网络设备作为攻击源,通过发送大量无效或伪造的请求来消耗目标服务器的资源,导致正常用户无法访问目标网站或服务。这种攻击方式对互联网和用户造成了巨大的威胁,严重影响了网络的安全和稳定性。
同时,随着网络技术的发展,僵尸网络作为一种新型的网络攻击方式也逐渐浮出水面。僵尸网络是由被黑客控制的计算机或网络设备组成的网络,这些设备被黑客植入恶意程序,可以按照黑客的指令进行攻击。利用僵尸网络,攻击者可以发起更大规模的DDoS攻击,攻击流量分布更广、危害更大,给当前互联网和用户带来非常大的威胁。
然而,在现有的技术中,网络流量检测的方式相对单一且简单,无法对大规模的网络流量进行有效的检测。例如,第一种方式,仅对单个区域进行监测,没有综合考虑整个监测网络的情况,因此监测的准确性受到限制。第二种方式,则需要提前按照网络流量的协议类型分类,再分别进行监测判断。然而,这些网络流量检测方式都无法对大规模的网络流量进行有效的检测。
因此,当前亟需解决的技术问题是如何对大规模的网络流量进行异常检测,以更准确地识别和分类网络流量,并提高监测的准确性和效率。
本申请提供的基于DDoS的网络流量预测方法,通过将获取到的网络流量数据输入至多个候选决策树中,并采用检测处理算法对每个决策结果进行检测处理,可以在确定了采集次数达到预设采集次数时,根据决策处理结果确定与网络流量数据对应的网络预测结果。该方法通过使用多个候选决策树对网络流量数据进行决策处理,解决了无法对大规模的网络流量进行异常检测的问题,进而可以更好地检测和预防潜在的网络攻击,从而提高网络的安全性。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图1是本申请实施例提供的一种基于DDoS的网络流量预测方法的流程图一。如图1所示,本实施例示出的一种基于DDoS的网络流量预测方法,包括:
S101:实时获取当前周期的网络流量数据,并将网络采集计数器的采集次数加一,所述网络流量数据用于指示网络中传输的数据量,所述网络采集计数器用于记录所述网络流量数据的采集次数。
其中,当前周期例如可以为1h。实时例如可以为1min。
通过实时获取当前周期的网络流量数据,就意味着可以从网络中得到每一时刻的网络流量数据,从而可以实时监测网络流量的变化。而通过网络采集计数器对每次的采集次数进行记录,就意味着可更加准确的确定出当前周期的执行情况。
可以理解的,由于实时获取当前周期的网络流量数据意味着在每个时间点都会进行数据采集。因此,通过获得网络中每一时刻的网络流量数据,从而能够实时监测网络流量的变化。而通过实时获取当前周期的网络流量数据,就可以迅速获得大量数据,以便通过大量数据识别出流量的变化趋势、异常行为等,从而能够在网络问题发生时迅速做出响应,采取相应的措施,确保网络的稳定和安全。
同时,由于网络采集计数器可以记录每次采集网络流量数据的次数,所以当计数器达到预设的采集次数时,就可以判断当前周期的采集工作已经结束。因此通过这种计数的方式,就可以更加准确地确定每个采集周期的执行情况,从而可以确保网络流量数据的完整性和准确性。
S102:将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,所述候选决策树是根据历史周期的网络流量数据包训练得到的。
其中,决策结果数量用于指示网络流量数据在每个候选决策树存在相同数据的行数量。
在得到了当前时刻的网络流量数据之后,通过将当前周期的网络流量数据分别输入至具有先后顺序的多个候选决策树中,就可以从多个划分好的决策树中,确定出网络流量数据在每个候选决策树存在相同数据时,每个候选决策树具有相同数据的行数量。
可以理解的,由于每个候选决策树是通过历史周期的网络流量数据训练得到的,而历史周期的网络流量数据包通过包括了较多历史网络流量数据,因此,通过对历史周期的网络流量数据包进行划分处理,例如按照训练时间的先后或者按照某个特定的评估指标进行排序,就可以得到具有先后顺序的多个候选决策树。
而将新的网络流量数据输入至具有先后顺序的多个候选决策树时,每个决策树会尝试找到历史数据中最相似的特征,并将其分类为相同的类别或做出相似的预测。
因此,如果当前数据与某个决策树中的历史数据特征相同,那么这个决策树的分类结果中就会包含这个特征的出现。通过统计每个决策树中出现相同特征的次数,就可以得到网络流量数据在每个候选决策树中存在相同数据的数据量大小。
S103:采用检测处理算法对每个决策结果数量依次进行检测处理,得到决策处理总个数。
其中,检测处理算法用于指示网络是否在每个候选决策树中存在流量攻击行为。决策处理总个数是指具有流量攻击行为的候选决策树所对应的数量。
通过使用检测处理算法,就意味着可以对网络在每个候选决策树中的决策结果进行检测,进而确定哪些决策树存在流量攻击行为。从而通过这种方式,就能够计算出具有流量攻击行为的候选决策树的数量。
可以理解的,由于网络流量数据复杂且多变的,其中可能包含各种正常和异常的行为,所以为了准确识别和分类这些行为,需要采用检测处理算法对网络流量数据进行检测处理,以便更好地理解网络流量数据的特征和行为,并及时发现并处理潜在的异常流量行为。
若检测处理算法指示网络在某个候选决策树中存在流量攻击行为,则表明当前网络在该候选决策树中存在异常现象。若检测算法指示网络在某个候选决策树中未存在流量攻击行为,则表明当前网络在该候选决策树中没有存在异常现象。
可以理解的,如果检测处理算法指示网络在某个候选决策树中存在流量攻击行为,就意味着网络流量数据在该决策树的处理结果中表现出了与正常行为不符的特征或模式,可能是由于流量攻击或其他异常行为导致的。
如果检测算法指示网络在某个候选决策树中未存在流量攻击行为,就意味着网络流量数据在该决策树的处理结果中表现出了正常的、预期内的行为。
例如,假设当前有4个候选决策树,检测处理算法均指示这4个候选决策树都存在流量攻击行为,因此,可以确定决策处理总个数为4。
S104:在所述采集次数达到预设采集次数时,根据所述决策处理总个数,对网络进行预测处理,得到网络预测结果。
其中,预设采集次数用于指示在当前周期内,应该进行多少次采集操作。例如,如果当前周期为1h,那么在一个小时内,如果按照每分钟进行采集,就会执行60次采集操作。
网络预测结果包括:无攻击行为、疑似攻击。无攻击行为用于指示在当前周期内,网络没有遭受任何形式的攻击。疑似攻击用于指示在当前周期内,网络可能存在攻击行为。
可以理解的,如果网络流量数据在当前周期中没有表现出任何异常行为或模式,所有的流量都是正常的、预期的流量,那么就可以确定网络在当前周期内没有受到攻击。如果网络流量数据在当前周期内表现出一些异常行为或模式,这些异常可能是由于攻击者试图入侵网络、窃取数据、破坏服务等原因造成的,那么就可以确定网络在当前周期内存在疑似攻击行为。
根据决策处理总个数对网络进行预测处理的目的是为了确定当前网络是否存在疑似攻击行为。
可以理解的,当采集次数达到预设的采集次数时,系统会根据之前统计的决策处理总个数(即具有流量攻击行为的候选决策树的数量)来对网络的安全状况进行预测处理,从而得确定网络在当前周期内是否存在疑似攻击行为。
例如,假设当前有一个网络安全系统,该系统使用9个决策树来分析网络流量数据。每个决策树都会对流量数据进行分类或预测,以确定是否存在流量攻击行为。而通过在一段时间内,系统按照预设的采集次数(60次)对网络流量数据进行采集。假设预设的采集次数是每分钟采集一次。在采集过程中,系统会逐一分析每个决策树的结果,并统计具有流量攻击行为的候选决策树的数量(数量为7个)。
当采集次数达到预设值时,系统会停止采集新的数据,并开始进行预测处理。根据之前统计的决策处理总个数(即具有流量攻击行为的候选决策树的数量7),系统会对网络的安全状况进行预测,从而可以确定出该网络可能存在攻击行为。
可选的,在采集次数达到预设采集次数时,本申请提供的方法还包括:根据多个网络流量数据,生成网络流量数据包;按照目标处理规则对所述网络流量数据包进行处理分析,得到模型矩阵;采用随机划分算法,对所述模型矩阵进行随机划分处理,得到多个目标决策树。
其中,用于从网络流量数据包中提取出具有代表性的特征。这些特征例如包括:IP值,目的端口,协议类型、数据包字节数。
随机划分算法指的是按照一定的规则和策略,将模型矩阵随机划分为若干个子矩阵。每个子矩阵例如包含模型矩阵中的一部分行或列。
通过多个网络流量数据生成网络流量数据包,就意味着可以将当前周期内所有采集到的网络流量数据汇聚在一起,从而形成大规模的网络流量数据包。同时,在得到了网络流量数据包之后,按照目标处理规则对网络流量数据包进行处理分析,就意味着可将具有代表性的提取出来,从而根据提取结果形成模型矩阵。此外,在得到了模型矩阵之后,采随机划分算法,对模型矩阵进行随机划分处理,就意味着可以得到多个具有先后顺序的子矩阵。
可以理解的,由于网络流量数据包含了在某个特定时间段内采集到的所有网络流量数据。这些数据可能包括来自不同源头的流量、不同目的地的流量、不同类型的数据包等。因此,通过将所有这些数据汇聚在一起,就可以得到一个更全面、更详细的网络流量数据视图。
同时,通过将具有代表性的特征提取出来,就可以得到一个更简洁、更精炼的网络流量模型矩阵。这个模型矩阵可能是一个二维矩阵,其中行和列分别表示不同的特征维度,而矩阵中的元素则表示相应特征的值。以便更好地理解网络流量的特性和行为。例如,可以通过分析矩阵中的元素值来了解不同特征之间的关联性和影响,从而更好地预测网络的未来行为或响应。
此外,通过采用随机划分算法对模型矩阵进行随机划分处理,就意味着可以得到多个具有先后顺序的子矩阵。这些子矩阵有助于更深入地了解网络流量的特性和行为,从而支持其他网络分析和应用。
本实施例提供的基于DDoS的网络流量预测方法,首先,在采集当前周期的网络流量数据的同时,将网络采集计数器的采集次数加一,然后,将网络流量数据分别输入至多个历史候选决策树中,得到与每个候选决策树对应的决策结果数量,接着,采用检测处理算法对每个决策结果数量进行依次检测处理,就可以得到具有流量攻击行为的候选决策树的总个数,最后,在采集次数达到预设采集次数时,根据总个数,对网络进行预测处理,就可以得到网络预测结果。该方法通过使用多个候选决策树对网络流量数据进行决策处理,解决了无法对大规模的网络流量进行异常检测的问题,进而提高了网络攻击检测的准确性,从而可以更好地了解网络的安全状况。同时,该方法还可以及时发现并应对潜在的网络攻击行为,从而有助于提高网络的安全性和稳定性。
图2是本申请实施例提供的基于DDoS的网络流量预测方法的流程图二。本实施例是在图1实施例的基础上,对基于DDoS的网络流量预测方法的具体实现过程进行详细说明。如图2所示,本实施例示出的基于DDoS的网络流量预测方法,包括:
S201:实时获取当前周期的网络流量数据。
其中,步骤S201的解释说明参见上述是实施例的解释说明类似,在此不再说明。
S202:对所述网络流量数据进行初步分析,得到流量数据分布结果,所述流量数据分布结果用于指示所述网络流量数据在网络环境中的数据特征。
其中,通过对网络流量数据进行初步分析,就意味着可以对网络流量数据进行基本的、快速的处理和分析,以了解其整体特征和规律。这种初步分析可能包括统计流量的来源、目的地、大小、时间分布等基本信息。
可以理解的,流量数据分布结果是对网络流量数据初步分析后得到的输出结果。这个结果通常描述了网络流量在不同维度上的分布情况,例如哪些IP地址或端口产生了大量的流量,流量的时间分布是怎样的,以及流量的大小分布等。
S203:按照目标处理规则对所述流量数据分布结果进行规则处理,得到新的网络流量数据。
其中。目标处理规则例如可以可以是一系列预设的处理逻辑、算法或条件,用于对流量数据分布结果进行特定的转换、筛选或操作。例如,这些规则可能包括识别并剔除异常流量、合并相似的流量、对流量进行分类等。
通过目标处理规则对流量数据分布结果进行规则处理,就意味着可以得到具有代表性的网络流量数据内容,如IP值,目的端口port,协议类型,数据包字节数等。
可以理解的,网络流量数据通常包含多种信息,如IP地址、目的端口、协议类型、数据包大小等。在初步分析后,就得到了这些数据的基本分布情况。但是,为了更深入地理解和分析这些数据,对这些数据进一步的处理。例如,可以剔除异常的、非法的或不相关的数据,以确保数据的准确性和可靠性。同时,还可以根据实际需求对数据进行分类、聚合或转换,以得到更具代表性的数据内容。
S204:将网络采集计数器的采集次数加一,所述网络采集计数器用于记录所述网络流量数据的采集次数。
其中,步骤S204的解释说明参见上述是实施例的解释说明类似,在此不再说明
S205:将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量。
其中,步骤S205的解释说明和上述步骤S102的解释说明类似,在此不再赘述。
S206:所述检测处理算法包括:第一预设无网络攻击范围,依次判断每个决策结果数量是否处于所述第一预设无网络攻击范围;若是,则执行步骤S207;若否,则执行步骤S208。
其中,第一预设无网络攻击范围例如可以[0,M),其中M是在实际网络环境中反复训练得出的最优值。
通过依次判断每个候选决策树的决策结果数量是否处于第一预设无网络攻击范围,就可以确定网络是否在每个候选决策树中不存在流量攻击行为。
可以理解的,候选决策树是一种用于分析网络流量数据的决策树模型。每个候选决策树都会根据输入的网络流量数据生成一个决策结果。如果决策结果数量处于第一预设无网络攻击范围,那么可以认为网络在该候选决策树中不存在流量攻击行为。
若某个决策结果数量处于第一预设无网络攻击范围,则表明与该决策结果数量对应的候选决策树中不存在流量攻击行为,此时,可以确定无攻击决策树以及与无攻击决策树对应的总个数。
若某个决策结果数量不处于第一预设无网络攻击范围,则表明与该决策结果数量对应的候选决策树中不存在流量攻击行为,此时,可以确定与该决策结果数量是否处于第一预设疑似网络攻击范围。
可以理解的,由于候选决策树的数量存在多个,因此当确定了某个决策结果数量处于第一预设无网络攻击范围时,就可以先确定与该决策结果数量对应的候选决策树中不存在流量攻击行为,从而可以将不具有流量攻击行为的候选决策树确定为无攻击决策树,直至得到所有的无攻击决策树的总个数。
同时,当确定了某个决策结果数量不处于第一预设无网络攻击范围时,就可以先确定与该决策结果数量对应的候选决策树中可能存在流量攻击行为,因此,还需要判断该决策结果数量是否第一预设疑似网络攻击范围,以便更好更好地了解网络流量在每个候选决策树中的行为动作。
S207:确定无攻击决策树以及与无攻击决策树对应的总个数。
其中,无攻击决策树是指那些根据输入的网络流量数据生成决策结果数量处于第一预设无网络攻击范围的决策树。这些决策树可以被认为是正常的、没有受到网络攻击的决策树。
通过确定无攻击决策树,可以更好地了解网络流量的正常行为,并确定哪些部分的网络流量是安全的、没有受到攻击的。这有助于提高网络的安全性和稳定性,并减少潜在的网络攻击行为对网络的影响。
同时,通过计算无攻击决策树的总个数,可以进一步了解网络流量的整体安全状况。如果无攻击决策树的总个数较多,那么可以认为网络流量的整体安全性较高;如果无攻击决策树的总个数较少,那么可能需要进一步分析网络流量数据,以确定是否存在潜在的网络攻击行为。
S208:所述检测处理算法包括:第一预设疑似网络攻击范围,依次判断所述每个决策结果数量是否处于所述第一预设疑似网络攻击范围;若是,则执行步骤S209;若否,则执行步骤S201。
其中,第一预设疑似网络攻击范围例如可以为(M,n],n是根据实际网络变化状况进行动态变化的。
第一预设疑似网络攻击范围和第一预设无网络攻击范围不同,但二者之间存在界限值。例如,第一预设无网络攻击范围为[0,6),那么第一预设疑似网络攻击范围(6,10]。
通过设定第一预设疑似网络攻击范围和第一预设无网络攻击范围,就可以更准确地分类和识别网络流量数据中的正常行为和潜在的攻击行为,以便提高网络的安全性和稳定性,并减少潜在的网络攻击行为对网络的影响。
通过依次判断每个候选决策树的决策结果数量是否处于第一预设疑似网络攻击范围,就可以确定网络是否在每个候选决策树中存在流量攻击行为。
若某个决策结果数量处于第一预设疑似网络攻击范围,则表明与该决策结果数量对应的候选决策树中存在流量攻击行为,此时,可以将与决策结果数量对应的候选决策树确定为疑似攻击决策树。
若某个决策结果数量不处于第一预设无网络攻击范围,则表明与该决策结果数量对应的候选决策树中不存在流量攻击行为,此时,还需要重新实时获取当前周期的网络流量数据。
可以理解的,由于候选决策树的数量存在多个,因此当确定了某个决策结果数量处于第一预设疑似网络攻击范围时,就可以先确定与该决策结果数量对应的候选决策树中存在流量攻击行为,从而可以将具有流量攻击行为的候选决策树确定为疑似攻击决策树,以便得到所有的疑似攻击决策树的总个数。
同时,当确定了某个决策结果数量不处于第一预设无网络攻击范围时,就可以先确定与该决策结果数量对应的候选决策树中不存在流量攻击行为。此时,还需要重新实时获取当前周期的网络流量数据,以便进行进一步的分析和处理。
S209:确定疑似攻击决策树。
其中,疑似攻击决策树是指那些根据输入的网络流量数据生成决策结果数量处于第一预设疑似网络攻击范围的决策树。
通过确定疑似攻击决策树,就可以更好地确定网络在当前周期内是否潜在攻击行为,以便及时准确的采取相应的防护措施。
S210:根据所述疑似攻击决策树,确定所述决策处理总个数。
其中,当确定了多个具有疑似攻击行为的候选决策树时,也就确定了网络流量数据在该多个疑似攻击决策树段内存在疑似攻击,因此,通过确定具有疑似攻击行为的疑似攻击决策树的总个数,就可以更好的判断整个网络是否存在疑似攻击行为。
可以理解的,通过确定具有疑似攻击行为的疑似攻击决策树的总个数,就可以更好地判断整个网络是否存在疑似攻击行为。这是因为,如果多个决策树都显示网络流量数据存在疑似攻击行为,那么这种攻击行为的可能性就更高。
S211:在所述采集次数达到预设采集次数时,判断所述决策处理总个数是否处于第二预设无网络攻击范围;若是,则执行步骤S212;若否,则执行步骤S213。
其中,第二预设无网络攻击范围例如可以为[0,T),T是在实际网络环境中反复训练得出的最优值。
当采集次数达到预设采集次数时,判断决策处理总个数是否处于第二预设无网络攻击范围的目的是为了确定整个网络在当前周围内是否未遭受网络攻击。
若决策处理总个数处于第二预设无网络攻击范围,就表明整个网络在当前周围内未遭受网络攻击,此时,可以确定网络预测结果为无攻击行为。
若决策处理总个数不处于第二预设无网络攻击范围,就表明整个网络整个网络在当前周围内疑似遭受网络攻击,此时,可以判断决策处理总个数是否处于第二预设疑似网络攻击范围。
可以理解的,如果决策处理总个数(即需要进一步分析的疑似攻击决策树的数量)处于第二预设无网络攻击范围内,那么就可以认为整个网络未存在攻击行为。在这种情况下,就可以确定网络是安全的。
相反,如果决策处理总个数不处于第二预设无网络攻击范围内,那么就可以不能认为网络是安全的。因此在这种情况下,就需要将决策处理总个数和第二预设疑似网络攻击范围结合起来确定是否存在疑似攻击。
S212:所述网络预测结果包括:无攻击行为,确定所述网络预测结果为所述无攻击行为。
S213:判断所述决策处理总个数是否处于第二预设疑似网络攻击范围;若是,则执行步骤S214;若否,则执行步骤S215。
其中,第二预设无网络攻击范围例如可以为[T,K]。K是根据实际网络变化状况进行动态变化的。
判断决策处理总个数是否处于第二预设疑似网络攻击范围的目的是为了预测整个网络在当前周期内是否会遭受网络攻击。
若决策处理总个数处于第二预设疑似网络攻击范围,则表明整个网络整个网络在当前周期内会遭受网络攻击,此时可以确定疑似攻击。
若决策处理总个数不处于第二预设疑似网络攻击范围,则表明整个网络整个网络在当前周期内未遭受网络攻击,此时可以重新实时采集下一周期的网络流量数据。
S214:所述网络预测结果包括:疑似攻击,确定所述网络预测结果为所述疑似攻击。
其中,当确定了网络预测结果为疑似攻击时,就意味着网络在当前周期内会遭受到网络攻击,因此为了避免这一情况的发生,需要告知网络管理员进行对网络进行维护。
可以理解的,通过确定网络预测结果为疑似攻击,可以及时发现潜在的网络攻击行为,并采取相应的防护措施来保护网络的安全性和稳定性。同时,还有助于减少潜在的网络攻击行为对网络的影响,提高网络的安全性和稳定性。
S215:重新实时获取下一周期的网络流量数据。
其中,步骤S215的解释说明参见上述实施例的解释说明。
S216:根据所述疑似攻击,生成预警提示信息。
其中,预警提示信息用于提示网络管理员网络在当前周期内存在疑似攻击现象。
生成预警提示信息的目的是为了提醒网络管理员在网络当前周期内存在疑似攻击现象。预警提示信息例如可以包括关于疑似攻击行为的详细信息,例如攻击类型、攻击时间、攻击来源等,这些信息有助于管理员评估网络的安全状况并采取相应的措施来保护网络的安全性和稳定性。
通过生成预警提示信息,就可以提高网络管理员对网络攻击行为的警觉性,并促使他们及时采取相应的防护措施来保护网络的安全性和稳定性。同时,还有助于减少潜在的网络攻击行为对网络的影响,提高网络的安全性和稳定性。
可以理解的,由于预警提示信息是一种警告机制,它通过向网络管理员提供关于疑似攻击行为的提示,帮助管理员及时发现和处理潜在的网络攻击行为。
S217:将所述预警提示信息发送至安全系统。
其中,安全系统为网络管理员使用的网络平台。
由于网络管理员需要及时了解网络的安全状况,以便在发生疑似攻击时能够迅速响应。因此,将预警提示信息直接发送至网络管理员使用的安全系统平台,可以确保管理员实时接收到这些信息,从而快速做出决策。
本申请实施例提供的基于DDoS的网络流量预测方法,在采集到当前周期的网络流量数据之后,首先,通过一系列处理规则,得到新的网络流量数据,然后,将网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,接着,通过检测处理算法对多个决策结果数量依次进行比较,以确定出存在疑似攻击的候选决策树,然后,通过对存在疑似攻击的候选决策树的进一步判断,可以确定出整个网络在当前周期内是否存在疑似攻击,最后,在确定了整个网络在当前周期内存在疑似攻击时,生成预警提示信息,并将预警提示信息发送至发全系统,以提示网络管理员网络在当前周期内存在疑似攻击现象。该方法通过综合考虑了多个决策树的结果,降低了误报率和漏报率,提高了攻击检测的可靠性。同时,该方法通过生成预警提示信息并发送至安全系统,有助于网络管理员及时采取相应的防护措施,提高网络的安全性和稳定性。此外,该方法采用模块化设计,易于扩展和维护。随着网络流量数据量的增加,可以方便地增加新的处理规则和决策树模型,提高系统的处理能力和可维护性。
图3是本申请实施例提供的基于DDoS的网络流量预测方法的流程图三。本实施例是在图2实施例的基础上,对将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量的具体实现过程进行详细说明。如图3所示,本实施例示出的基于DDoS的网络流量预测方法,包括:
S301:将所述网络流量数据分别输入至所述多个候选决策树中,得到与每个候选决策树对应的多个决策结果。
其中,将网络流量数据分别输入至多个候选决策树中,就意味着对原始的网络流量数据进行分割或划分,从而得到与多个决策结果,以便更全面地分析网络流量的特征和行为。
可以理解的,通过将网络流量数据划分为多个候选子矩阵或决策树,可以更全面地分析网络流量的特征和行为,提高对网络安全性、异常检测和攻击识别的准确性。同时,这种分割方式还可以帮助处理大规模的网络流量数据,提高处理效率和响应速度。
例如,假设A决策树的矩阵形式为10*4,因此通过将网络流量数据输入值A决策树中,就可以得到10*4个决策结果。
S302:依次根据多个决策结果,确定所述每个候选决策树的总行数,所述总行数包括:多个子行、与每个子行对应的样本内容。
其中,通过依次确定每个候选决策树的总行数,就意味着可以得到每个候选决策树的子行数数量以及每个子行数对应的样本内容。
以A决策树为例,如果A决策树的矩阵形式为10*4,那么它的总行数就是10。这10行可能代表了不同的决策结果,每一行都有一个对应的子行数。这些子行数可能代表了不同的分类结果或判断结论。
同时,对于每个子行数,A决策树还会输出与该子行数对应的样本内容。这些样本内容可能包括IP值、目的端口、协议类型、数据包字节数等信息。这些信息可以用于进一步的分析和处理,例如识别网络攻击、异常流量等。
因此,通过依次确定每个候选决策树的总行数,不仅可以了解每个决策树模型对网络流量数据的分类或判断能力,还可以评估模型的性能和准确性。同时,通过对每个子行数和对应的样本内容进行分析,还可以更深入地了解网络流量数据的特征和行为,为后续的网络安全性分析提供更多的信息和线索。
S303:依次对多个子行数的样本内容进行同行比较,以确定每个子行数之间是否存在相同值;若是,则执行步骤S304;若否,则执行步骤S305。
其中,由于每个决策树均有多行样本内容,因此,通过对每个决策树的多行样本内容逐一进行同行比较,就可以确定当前行与其他行是否存在相同值,以便更好的确定出网络流量数据的特征和行为。
若确定每个子行数之间存在相同值,则表明当前行与其他行存在相同值,此时,可以判断每个子行数之间的相同值是否达到预设子行数之间的相同值。
若确定每个子行数之间不存在相同值,则表明当前行与其他行不存在相同值,此时,可以判断每个子行数之间的相同值是否达到预设子行数之间的相同值,此时可以重新实时获取当前周期的网络流量数据。
例如,B决策树的矩阵形式为3*4,即它有三行三列的样本内容。其中,第一行内容为192.168.1.1、80、TCP以及1234,第二行内容为192.168.1.2、443、HTTPS、5678以及第三行内容为192.168.1.1、80、HTTPS以及1234。因此,可以确定B决策树中的第一行内容和第三行内容存在相同值(即192.168.1.1、80和1234)。
S304:依次判断每个子行数之间的相同值是否达到预设子行数之间的相同值;若是,则执行步骤S306;若否,则执行步骤S305。
其中,预设子行数之间的相同值例如为3。
判断每个子行数之间的相同值是否达到预设子行数之间的相同值的目的是为了确定当前行数与其他行是否相同。
若每个子行数之间的相同值达到预设子行数之间的相同值,则表明当前行数与其他行相同,此时,可以确定每个候选决策树的决策结果数量。例如,C决策树(9*4)中的第一行与第五行之间有4个内容相同,并且达到预设子行数之间的相同值要求,此时就可以确定第一行与第五行之间存在相同值。
若每个子行数之间的相同值未达到预设子行数之间的相同值,则表明当前行数与其他行不相同,此时,可以确定重新实时获取当前周期的网络流量数据。例如,D决策树(15*4)中第一行与第三行之间有2个内容相同,但是未达到预设子行数之间的相同值要求,此时就可以确定第一行与第三行之间不存在相同值。
可以理解的,如果当前行与其他行相同,那么就可以认为网络流量数据在某个方面具有相似性或规律性;如果当前行与其他行不相同,那么就可以认为网络流量数据在某个方面存在异常或变化。以便更好地分析和识别网络流量数据的特征和行为。
S305:重新实时获取当前周期的网络流量数据。
其中,步骤S305的解释说明参见上述实施例的解释说明,再次不再赘述。
S306:确定所述每个候选决策树的决策结果数量。
其中,通过确定每个候选决策树的决策结果数量,就意味着可以确定每个候选决策树具有相同行数的数量。
可以理解的,通过对每个决策树的决策结果数量进行统计,就可以了解每个决策树对网络流量数据分类或判断的能力。如果某个决策树的决策结果数量较多,那么它可以更准确地反映网络流量数据的特征和行为。
例如,E决策树(15*4)中的第一行、第四行、第七行、第九行与第十三行之间均有相同值,并且达到预设子行数之间的相同值要求,此时就可以确定E决策树的决策结果数量为5。
本申请实施例提供的基于DDoS的网络流量预测方法,首先,将网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的多个决策结果,然后,依次根据多个决策结果,确定每个候选决策树的子行数、与每个子行数对应的样本内容,接着,依次对多个子行数的样本内容进行同行比较,以确定每个子行数之间是否存在相同值,然后,在确定了每个子行数之间存在相同值,且在确定了每个子行数之间的相同值达到预设子行数之间的相同值时,确定每个候选决策树的决策结果数量。该方法通过使用多个候选决策树对网络流量数据进行决策处理,解决了无法对大规模的网络流量进行异常检测的问题,进而可以更好地检测和预防潜在的网络攻击,从而提高网络的安全性。
图4为本申请提供的基于DDoS的网络流量预测装置的结构示意图。如图4所示,本申请提供一种基于DDoS的网络流量预测装置,该基于DDoS的网络流量预测装置400包括:
获取模块401,用于实时获取当前周期的网络流量数据,所述网络流量数据用于指示网络中传输的数据量;
控制模块402,用于将网络采集计数器的采集次数加一,所述网络采集计数器用于记录所述网络流量数据的采集次数;
输入模块403,用于将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,所述候选决策树是根据历史周期的网络流量数据包训练得到的;
处理模块404,用于采用检测处理算法对每个决策结果数量依次进行检测处理,得到决策处理总个数;
所述处理模块404,还用于在所述采集次数达到预设采集次数时,根据所述决策处理总个数,对网络进行预测处理,得到网络预测结果。
可选的,所述输入模块403,还用于将所述网络流量数据分别输入至所述多个候选决策树中,得到与每个候选决策树对应的多个决策结果;
所述装置还包括;确定模块405;
所述确定模块405,用于依次根据多个决策结果,确定所述每个候选决策树的总行数,所述总行数包括:多个子行、与每个子行对应的样本内容;
所述装置还包括:比较模块406;
所述比较模块406,用于依次对多个子行数的样本内容进行同行比较,以确定每个子行数之间是否存在相同值;
所述确定模块405,还用于在每个子行数之间存在相同值时,在每个子行数之间的相同值大于预设子行数之间的相同值时,依次确定所述每个候选决策树的决策结果数量。
可选的,所述装置还包括:判断模块407;
所述判断模块407,用于依次判断每个决策结果数量是否处于所述第一预设无网络攻击范围;
所述判断模块407,还用于在每个决策结果数量不处于所述第一预设无网络攻击范围时,依次判断所述每个决策结果数量是否处于所述第一预设疑似网络攻击范围;
所述确定模块405,还用于在每个决策结果数量处于所述第一预设疑似网络攻击范围时,确定疑似攻击决策树,所述疑似攻击决策树的数量不唯一,所述目标决策数与所述与所述多个候选决策树存在关联关系;
所述确定模块405,还用于根据所述疑似攻击决策树,确定所述决策处理总个数。
可选的,所述判断模块407,还用于判断所述决策处理总个数是否处于第二预设无网络攻击范围;
所述判断模块407,还用于在所述决策处理总个数不处于第二预设无网络攻击范围时,判断所述决策处理总个数是否处于第二预设疑似网络攻击范围;
所述确定模块405,还用于在所述决策处理总个数处于第二预设无网络攻击范围时,确定所述网络预测结果为所述疑似攻击。
可选的,所述装置还包括:生成模块408;
所述生成模块408,用于根据所述疑似攻击,生成预警提示信息,所述预警提示信息用于提示网络管理员网络在当前周期内存在疑似攻击现象;
所述装置还包括:发送模块409;
所述发送模块409,用于将所述预警提示信息发送至安全系统,所述安全系统为所述网络管理员使用的网络平台。
可选的,所述装置还包括:分析模块410;
所述分析模块410,用于对所述网络流量数据进行初步分析,得到流量数据分布结果,所述流量数据分布结果用于指示所述网络流量数据在网络环境中的数据特征;
所述处理模块404,还用于按照目标处理规则对所述流量数据分布结果进行规则处理,得到新的网络流量数据。
可选的,所述生成模块408,还用于在所述采集次数达到预设采集次数时,根据多个网络流量数据,生成网络流量数据包;
所述处理模块404,还用于按照目标处理规则对所述网络流量数据包进行处理分析,得到模型矩阵;
所述处理模块404,还用于采用随机划分算法,对所述模型矩阵进行随机划分处理,得到多个目标决策树。
图5为本申请提供的基于DDoS的网络流量预测设备的结构示意图。如图5所示,本申请提供一种基于DDoS的网络流量预测设备,该基于DDoS的网络流量预测设备500包括:接收器501、发送器502、处理器503以及存储器504。
接收器501,用于接收指令和数据;
发送器502,用于发送指令和数据;
存储器504,用于存储计算机执行指令;
处理器503,用于执行存储器504存储的计算机执行指令,以实现上述实施例中多模态预训练模型的训练方法所执行的各个步骤。具体可以参见前述多模态预训练模型的训练方法实施例中的相关描述。
可选地,上述存储器504既可以是独立的,也可以跟处理器503集成在一起。
当存储器504独立设置时,该电子设备还包括总线,用于连接存储器504和处理器503。
本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现如上述多模态预训练模型的训练设备所执行的多模态预训练模型的训练方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
至此,已经结合附图所示的优选实施方式描述了本申请的技术方案,但是,本领域技术人员容易理解的是,本申请的保护范围显然不局限于这些具体实施方式,以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种基于DDoS的网络流量预测方法,其特征在于,所述方法包括:
实时获取当前周期的网络流量数据,并将网络采集计数器的采集次数加一,所述网络流量数据用于指示网络中传输的数据量,所述网络采集计数器用于记录所述网络流量数据的采集次数;
将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,所述候选决策树是根据历史周期的网络流量数据包训练得到的;
采用检测处理算法对每个决策结果数量依次进行检测处理,得到决策处理总个数;
在所述采集次数达到预设采集次数时,根据所述决策处理总个数,对网络进行预测处理,得到网络预测结果。
2.根据权利要求1所述的方法,其特征在于,所述将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,包括:
将所述网络流量数据分别输入至所述多个候选决策树中,得到与每个候选决策树对应的多个决策结果;
依次根据多个决策结果,确定所述每个候选决策树的总行数,所述总行数包括:多个子行、与每个子行对应的样本内容;
依次对多个子行数的样本内容进行同行比较,以确定每个子行数之间是否存在相同值;
若是,则在每个子行数之间的相同值大于预设子行数之间的相同值时,依次确定所述每个候选决策树的决策结果数量。
3.根据权利要求1所述的方法,其特征在于,所述检测处理算法包括:第一预设无网络攻击范围、第一预设疑似网络攻击范围,所述采用检测处理算法对每个决策结果数量依次进行检测处理,得到决策处理总个数,包括:
依次判断每个决策结果数量是否处于所述第一预设无网络攻击范围;
若否,则依次判断所述每个决策结果数量是否处于所述第一预设疑似网络攻击范围;
若是,则确定疑似攻击决策树,所述疑似攻击决策树的数量不唯一,所述目标决策数与所述与所述多个候选决策树存在关联关系;
根据所述疑似攻击决策树,确定所述决策处理总个数。
4.根据权利要求1所述的方法,其特征在于,所述网络预测结果包括:疑似攻击,所述根据所述决策处理总个数,对网络进行预测处理,得到网络预测结果,包括:
判断所述决策处理总个数是否处于第二预设无网络攻击范围;
若否,则判断所述决策处理总个数是否处于第二预设疑似网络攻击范围;
若是,则确定所述网络预测结果为所述疑似攻击。
5.根据权利要求4所述的方法,其特征在于,所述确定所述网络预测结果为所述疑似攻击之后,所述方法还包括:
根据所述疑似攻击,生成预警提示信息,所述预警提示信息用于提示网络管理员网络在当前周期内存在疑似攻击现象;
将所述预警提示信息发送至安全系统,所述安全系统为所述网络管理员使用的网络平台。
6.根据权利要求1所述的方法,其特征在于,所述实时获取当前周期的网络流量数据之后,所述方法还包括:
对所述网络流量数据进行初步分析,得到流量数据分布结果,所述流量数据分布结果用于指示所述网络流量数据在网络环境中的数据特征;
按照目标处理规则对所述流量数据分布结果进行规则处理,得到新的网络流量数据。
7.根据所述1所述的方法,其特征在于,所述方法还包括:
在所述采集次数达到预设采集次数时,根据多个网络流量数据,生成网络流量数据包;
按照目标处理规则对所述网络流量数据包进行处理分析,得到模型矩阵;
采用随机划分算法,对所述模型矩阵进行随机划分处理,得到多个目标决策树。
8.一种基于DDoS的网络流量预测装置,其特征在于,包括:
获取模块,用于实时获取当前周期的网络流量数据,所述网络流量数据用于指示网络中传输的数据量;
控制模块,用于将网络采集计数器的采集次数加一,所述网络采集计数器用于记录所述网络流量数据的采集次数;
输入模块,用于将所述网络流量数据分别输入至多个候选决策树中,得到与每个候选决策树对应的决策结果数量,所述候选决策树是根据历史周期的网络流量数据包训练得到的;
处理模块,用于采用检测处理算法对每个决策结果数量依次进行检测处理,得到决策处理总个数;
所述处理模块,还用于在所述采集次数达到预设采集次数时,根据所述决策处理总个数,对网络进行预测处理,得到网络预测结果。
9.一种基于DDoS的网络流量预测设备,其特征在于,包括:
存储器;
处理器;
其中,所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-7中任一项所述的基于DDoS的网络流量预测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-7任一项所述的基于DDoS的网络流量预测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311766916.3A CN117749493A (zh) | 2023-12-20 | 2023-12-20 | 基于DDoS的网络流量预测方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311766916.3A CN117749493A (zh) | 2023-12-20 | 2023-12-20 | 基于DDoS的网络流量预测方法、装置、设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117749493A true CN117749493A (zh) | 2024-03-22 |
Family
ID=90258947
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311766916.3A Pending CN117749493A (zh) | 2023-12-20 | 2023-12-20 | 基于DDoS的网络流量预测方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117749493A (zh) |
-
2023
- 2023-12-20 CN CN202311766916.3A patent/CN117749493A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
EP2979424B1 (en) | Method and apparatus for detecting a multi-stage event | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
EP2979425B1 (en) | Method and apparatus for detecting a multi-stage event | |
US8549645B2 (en) | System and method for detection of denial of service attacks | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
Tufan et al. | Anomaly-based intrusion detection by machine learning: A case study on probing attacks to an institutional network | |
CN111600880A (zh) | 异常访问行为的检测方法、系统、存储介质和终端 | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
CN113408609A (zh) | 一种网络攻击检测方法及系统 | |
CN116319061A (zh) | 一种智能控制网络系统 | |
Marchetti et al. | Identification of correlated network intrusion alerts | |
Sumanth et al. | Raspberry Pi based intrusion detection system using k-means clustering algorithm | |
Chakir et al. | An efficient method for evaluating alerts of Intrusion Detection Systems | |
CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
CN116527307A (zh) | 一种基于社区发现的僵尸网络检测算法 | |
CN114499917B (zh) | Cc攻击检测方法及cc攻击检测装置 | |
CN117749493A (zh) | 基于DDoS的网络流量预测方法、装置、设备和介质 | |
Singh et al. | Detection and Mitigation of DDoS Attacks on SDN Controller in IoT Network using Gini Impurity | |
CN117040916A (zh) | 一种窃密检测方法装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |