本發(fā)明涉及ddos攻擊防御,特別是指一種基于流量特征多維協(xié)同攔截的ddos攻擊防御方法及裝置���。
背景技術(shù):
1����、ddos攻擊����,及分布式拒絕服務(wù)攻擊,是對全球網(wǎng)絡(luò)組織的重大威脅����。這些攻擊有可能導(dǎo)致網(wǎng)絡(luò)癱瘓,使合法用戶無法訪問網(wǎng)絡(luò)��,并嚴(yán)重破壞服務(wù)的可用性和完整性���。因此�����,檢測和緩解ddos攻擊的能力對于確保關(guān)鍵網(wǎng)絡(luò)設(shè)施的安全性至關(guān)重要�。從所用核心技術(shù)方面來看���,ddos入侵檢測系統(tǒng)可分為如下三類:
2�、1.基于簽名的入侵檢測系統(tǒng):基于簽名的入侵檢測系統(tǒng)是一種常見的入侵檢測技術(shù)�����,它通過預(yù)先定義好的攻擊特征模式來識別已知的攻擊行為�。首先,系統(tǒng)會(huì)收集大量已知的攻擊行為特征�,并將其建立成一個(gè)攻擊特征庫�����。當(dāng)系統(tǒng)監(jiān)測到網(wǎng)絡(luò)流量或系統(tǒng)行為時(shí)�����,會(huì)將其與特征庫中的模式進(jìn)行匹配比對���。如果發(fā)現(xiàn)匹配的攻擊特征,就會(huì)觸發(fā)警報(bào)��,提示系統(tǒng)管理員采取相應(yīng)的防御措施��。這類系統(tǒng)的優(yōu)點(diǎn)在于檢測效率高,可以快速識別已知的攻擊行為����。但簽名的編寫需要深入的安全專業(yè)知識,可擴(kuò)展性較差����。
3、2.基于統(tǒng)計(jì)異常的入侵檢測系統(tǒng):基于統(tǒng)計(jì)異常的入侵檢測系統(tǒng)是一種利用統(tǒng)計(jì)分析技術(shù)來識別網(wǎng)絡(luò)異常行為的入侵檢測方法��。與傳統(tǒng)的基于簽名的檢測系統(tǒng)不同����,這種方法關(guān)注于發(fā)現(xiàn)網(wǎng)絡(luò)活動(dòng)中的異常模式,而不是預(yù)先定義的攻擊特征���。首先����,系統(tǒng)會(huì)收集大量正常網(wǎng)絡(luò)活動(dòng)的數(shù)據(jù)�,并為正常行為構(gòu)建分布模型,考慮了數(shù)據(jù)包的中位數(shù)��、均值�����、眾數(shù)和標(biāo)準(zhǔn)差等統(tǒng)計(jì)指標(biāo)���。當(dāng)監(jiān)測到新的網(wǎng)絡(luò)活動(dòng)時(shí)���,系統(tǒng)會(huì)根據(jù)分布模型檢測低概率事件并將其標(biāo)記為潛在入侵。這類系統(tǒng)可以自適應(yīng)學(xué)習(xí)�,隨著時(shí)間的推移不斷優(yōu)化檢測模型,提高檢測精度���,但其依賴于大量的歷史數(shù)據(jù)�,且檢測結(jié)果受限于檢測閾值,容易產(chǎn)生誤報(bào)���、漏報(bào)的情況��。
4��、3.基于機(jī)器學(xué)習(xí)的入侵檢測系統(tǒng):為了解決上述解決方案的局限性��,許多研究探索使用機(jī)器學(xué)習(xí)技術(shù)來搭建網(wǎng)絡(luò)入侵檢測系統(tǒng)�,其中深度學(xué)習(xí)系統(tǒng)可以從數(shù)據(jù)包的細(xì)粒度特征中推導(dǎo)出更加復(fù)雜的特征表示��,已被證明可以有效地區(qū)分正常流量與ddos攻擊流量�。這類系統(tǒng)無需手動(dòng)提取特征,具有較強(qiáng)的泛化能力���,準(zhǔn)確率更高��。
5����、近年來,由于多種攻擊方式的出現(xiàn)���,ddos攻擊變得更加難以檢測�。例如���,攻擊者使用多臺(tái)設(shè)備、多種攻擊方式組合進(jìn)行ddos攻擊����。在這種場景下,現(xiàn)有的ddos入侵檢測系統(tǒng)仍面臨一些挑戰(zhàn):
6���、首先�����,在實(shí)際應(yīng)用時(shí)����,系統(tǒng)需要快速響應(yīng)和檢測攻擊��,不能夠等待收集所有的數(shù)據(jù)包特征后再由模型進(jìn)行計(jì)算�。其次,對特征信息的挖掘不足,數(shù)據(jù)包的到達(dá)序列和到達(dá)時(shí)間是區(qū)分ddos攻擊流量與正常流量的一個(gè)重要特征���。最后�,ddos攻擊手段持續(xù)演變��,每當(dāng)新型攻擊方式出現(xiàn)時(shí)����,由于缺乏足夠的樣本數(shù)據(jù),有效攔截這些新興的少樣本攻擊成為了一項(xiàng)極具挑戰(zhàn)性的任務(wù)�����。
7���、綜上所述����,為實(shí)現(xiàn)ddos攻擊的入侵檢測系統(tǒng)��,現(xiàn)有方法存在缺陷��,有待進(jìn)一步研究��。
技術(shù)實(shí)現(xiàn)思路
1、為了解決現(xiàn)有技術(shù)中當(dāng)新型攻擊方式出現(xiàn)時(shí)���,缺乏足夠的樣本數(shù)據(jù)����,有效攔截這些新興的少樣本攻擊的技術(shù)問題���,本發(fā)明實(shí)施例提供了一種基于流量特征多維協(xié)同攔截的ddos攻擊防御方法及裝置。所述技術(shù)方案如下:
2����、一方面,提供了一種基于流量特征多維協(xié)同攔截的ddos攻擊防御方法����,其特征在于,所述方法包括:
3��、s1��、基于翻滾時(shí)間窗口��,獲取流量數(shù)據(jù)包��,對流量數(shù)據(jù)包進(jìn)行預(yù)處理,構(gòu)建流量數(shù)據(jù)包的特征矩陣��;
4�、s2、引入多頭注意力機(jī)制進(jìn)行流量特征提取���,構(gòu)建ddos入侵檢測二分類模型���;
5、s3����、對ddos入侵檢測二分類模型進(jìn)行訓(xùn)練,獲得ddos入侵檢測模型��;
6�����、s4�����、獲取實(shí)際應(yīng)用場景的目標(biāo)數(shù)據(jù)��,基于遷移學(xué)習(xí)的自適應(yīng)架構(gòu)對ddos入侵檢測模型進(jìn)行更新,將目標(biāo)數(shù)據(jù)輸入至更新后的ddos入侵檢測模型��,完成基于流量特征多維協(xié)同攔截的ddos攻擊防御��。
7��、可選地�����,s1中����,基于翻滾時(shí)間窗口��,獲取流量數(shù)據(jù)包��,對流量數(shù)據(jù)包進(jìn)行預(yù)處理��,構(gòu)建流量數(shù)據(jù)包的特征矩陣���,包括:
8��、給定一個(gè)雙向流量和預(yù)定義的長度為t秒的時(shí)間窗口�����;
9�、捕獲[t0,t0+t]時(shí)間窗口內(nèi)的所有數(shù)據(jù)包��,對所有數(shù)據(jù)包不利于模型泛化的屬性進(jìn)行刪除���;
10�、將屬于同一雙向流量的流量數(shù)據(jù)包屬性按時(shí)間順序排列����,形成形狀為[n,f]的流量數(shù)據(jù)包的特征矩陣��;其中���,n是預(yù)先設(shè)定的單個(gè)時(shí)間窗口內(nèi)為每個(gè)雙向流量收集的最大數(shù)據(jù)包數(shù)量����,f是刪除不利于模型泛化屬性后剩余的屬性數(shù)量��;不利于模型泛化的屬性��,包括:ip地址、tcp/udp端口�、鏈路層封裝類型以及應(yīng)用層類型;
11�、基于上述過程遍歷地對(t0+t,t0+2t]時(shí)間窗口至(t0+nt��,t0+(n+1)t]時(shí)間窗口內(nèi)的所有數(shù)據(jù)包進(jìn)行捕獲�、不利于模型泛化的屬性刪除以及屬于同一雙向流量的流量數(shù)據(jù)包屬性按時(shí)間順序排列;獲得n個(gè)流量數(shù)據(jù)包的特征矩陣����;
12、流量每收集一定時(shí)間t的特征矩陣即被發(fā)送給入侵檢測模型��。
13����、可選地����,s1中還包括:
14、當(dāng)單個(gè)時(shí)間窗口內(nèi)數(shù)據(jù)包數(shù)量大于n時(shí)�����,多余的數(shù)據(jù)流會(huì)被截?cái)啵欢^短的數(shù)據(jù)流則為每個(gè)屬性值進(jìn)行歸一化操作�,將屬性值映射到[0,1]����,并且對樣本進(jìn)行零填充,使每個(gè)t時(shí)間窗口的數(shù)據(jù)包長度固定為n����;
15、其中�,[t0,t0+t]時(shí)間窗口內(nèi)捕獲的數(shù)據(jù)包被表示為epack(t0���,t0+t)�����;
16�����、在對時(shí)間窗口進(jìn)行遍歷時(shí)�,將預(yù)處理的數(shù)據(jù)包打上標(biāo)簽��;針對ddos攻擊流量,在該流量上捕獲的每個(gè)時(shí)間窗口的數(shù)據(jù)包序列epack均被標(biāo)記為1��,而正常流量上捕獲的每個(gè)epack被標(biāo)記為0�。
17、可選地�����,s2中�,引入多頭注意力機(jī)制進(jìn)行流量特征提取,構(gòu)建ddos入侵檢測二分類模型��,包括:
18�����、引入多頭注意力機(jī)制�;其中,多頭注意力機(jī)制為具有多個(gè)通道的自注意力機(jī)制���;其中,自注意力機(jī)制包括:query���、key���、value�����;第一個(gè)多頭注意力機(jī)制的輸入是einput���;
19、在超參數(shù)優(yōu)化過程中�,疊加多個(gè)多頭注意力機(jī)制,當(dāng)多個(gè)多頭注意力機(jī)制制疊加時(shí)��,每個(gè)多頭注意力機(jī)制的輸入均為上一個(gè)多頭注意力機(jī)制的輸出���;通過自注意力機(jī)制對query�、key���、value進(jìn)行計(jì)算并加權(quán)�,生成目標(biāo)向量的attention值����;
20、基于多頭注意力機(jī)制連接輕量級的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行特征提取,捕獲數(shù)據(jù)包序列的特征信息及多尺度依賴關(guān)系���;根據(jù)多頭注意力機(jī)制提取的特征信息對流量數(shù)據(jù)進(jìn)行二分類�����。
21��、可選地����,通過自注意力機(jī)制對query�、key、value進(jìn)行計(jì)算并加權(quán)����,生成目標(biāo)向量的attention值,包括:
22���、計(jì)算query和key的相似度����,通過點(diǎn)積操作來量化它們之間的相關(guān)性���,并對value進(jìn)行加權(quán)��,生成目標(biāo)向量的attention值:
23�����、
24���、其中,dk代表隱藏層的維度��。
25�����、可選地����,基于多頭注意力機(jī)制連接輕量級的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行特征提取,捕獲數(shù)據(jù)包序列的特征信息及多尺度依賴關(guān)系�����;根據(jù)多頭注意力機(jī)制提取的特征信息對流量數(shù)據(jù)進(jìn)行二分類�����,包括:
26、將多頭注意力機(jī)制模塊的輸出作為卷積神經(jīng)網(wǎng)絡(luò)的輸入:
27��、f={f1�,f2,…,fn}
28�����、其中fi代表特征矩陣中的第i行�����,即在考慮數(shù)據(jù)包之間依賴關(guān)系后提取到的第i個(gè)數(shù)據(jù)包的特征信息�;特征矩陣f的維度與預(yù)處理得到的矩陣維度相同,即[n�����,f]��;
29�����、采用k個(gè)尺寸為h×f的卷積核,在特征矩陣f上以1為步長提取和學(xué)習(xí)包含有用信息的局部特征�����,檢測ddos流量和正常流量��,每個(gè)卷積核都會(huì)生成一個(gè)大小為(n-h+1)的激活圖a�;
30���、將所有的激活圖a堆疊起來��,得到大小為(n-h+1)×k的激活矩陣a����;
31����、利用最大池化層,沿著激活矩陣a的第一個(gè)維度向下采樣�����,利用sigmoid函數(shù)來構(gòu)建分類層�����。
32、可選地��,s3中���,對ddos入侵檢測二分類模型進(jìn)行訓(xùn)練�,包括:
33���、在訓(xùn)練模型時(shí)����,采用二元交叉熵?fù)p失函數(shù):
34���、
35�、其中���,n表示該批次的樣本數(shù)量��,yi代表樣本的真實(shí)標(biāo)簽��,pi代表入侵檢測模型的預(yù)測結(jié)果��。
36����、可選地,s4中����,獲取實(shí)際應(yīng)用場景的目標(biāo)數(shù)據(jù),基于遷移學(xué)習(xí)的自適應(yīng)架構(gòu)對ddos入侵檢測模型進(jìn)行更新���,包括:
37、將源域數(shù)據(jù)標(biāo)記為s�����;
38��、通過源域數(shù)據(jù)s訓(xùn)練ddos入侵檢測模型�����,使所述ddos入侵檢測模型學(xué)習(xí)到ddos攻擊的一般特征和規(guī)律�;獲得源域數(shù)據(jù)s上最優(yōu)的參數(shù)并將作為后續(xù)微調(diào)時(shí)的初始參數(shù)。
39���、另一方面�����,提供了一種基于流量特征多維協(xié)同攔截的ddos攻擊防御裝置����,該裝置應(yīng)用于基于流量特征多維協(xié)同攔截的ddos攻擊防御方法,該裝置包括:
40�、數(shù)據(jù)處理模塊,用于基于翻滾時(shí)間窗口�,獲取流量數(shù)據(jù)包,對流量數(shù)據(jù)包進(jìn)行預(yù)處理��,構(gòu)建流量數(shù)據(jù)包的特征矩陣����;
41、模型構(gòu)建模塊�,用于引入多頭注意力機(jī)制進(jìn)行流量特征提取,構(gòu)建ddos入侵檢測二分類模型�����;
42��、模型初步訓(xùn)練模塊,用于對ddos入侵檢測二分類模型進(jìn)行訓(xùn)練��,獲得ddos入侵檢測模型����;
43、攻擊防御模塊��,用于獲取實(shí)際應(yīng)用場景的目標(biāo)數(shù)據(jù)��,基于遷移學(xué)習(xí)的自適應(yīng)架構(gòu)對ddos入侵檢測模型進(jìn)行更新���,將目標(biāo)數(shù)據(jù)輸入至更新后的ddos入侵檢測模型,完成基于流量特征多維協(xié)同攔截的ddos攻擊防御��。
44��、另一方面��,提供一種基于流量特征多維協(xié)同攔截的ddos攻擊防御設(shè)備�����,所述基于流量特征多維協(xié)同攔截的ddos攻擊防御設(shè)備包括:處理器�;存儲(chǔ)器�,所述存儲(chǔ)器上存儲(chǔ)有計(jì)算機(jī)可讀指令�����,所述計(jì)算機(jī)可讀指令被所述處理器執(zhí)行時(shí)�,實(shí)現(xiàn)如上述基于流量特征多維協(xié)同攔截的ddos攻擊防御方法中的任一項(xiàng)方法。
45����、另一方面,提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)��,所述存儲(chǔ)介質(zhì)中存儲(chǔ)有至少一條指令���,所述至少一條指令由處理器加載并執(zhí)行以實(shí)現(xiàn)上述基于流量特征多維協(xié)同攔截的ddos攻擊防御方法中的任一項(xiàng)方法�。
46����、本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果至少包括:
47、本發(fā)明實(shí)施例中����,基于翻滾時(shí)間窗口方式對流量進(jìn)行數(shù)據(jù)預(yù)處理,為后面構(gòu)建的ddos攻擊防御模型提供數(shù)據(jù)支持;其次���,在流量特征提取過程中引入多頭注意力機(jī)制����,捕捉流量內(nèi)數(shù)據(jù)包序列特征信息及多尺度依賴關(guān)系��;最后�����,基于遷移學(xué)習(xí)的自適應(yīng)架構(gòu)設(shè)計(jì)變換場景下ddos攻擊防御方法�����,提高系統(tǒng)的適應(yīng)性和魯棒性��。