本發(fā)明涉及ddos攻擊防御,特別是指一種基于流量特征多維協(xié)同攔截的ddos攻擊防御方法及裝置。
背景技術(shù):
1、ddos攻擊,及分布式拒絕服務(wù)攻擊,是對全球網(wǎng)絡(luò)組織的重大威脅。這些攻擊有可能導(dǎo)致網(wǎng)絡(luò)癱瘓,使合法用戶無法訪問網(wǎng)絡(luò),并嚴(yán)重破壞服務(wù)的可用性和完整性。因此,檢測和緩解ddos攻擊的能力對于確保關(guān)鍵網(wǎng)絡(luò)設(shè)施的安全性至關(guān)重要。從所用核心技術(shù)方面來看,ddos入侵檢測系統(tǒng)可分為如下三類:
2、1.基于簽名的入侵檢測系統(tǒng):基于簽名的入侵檢測系統(tǒng)是一種常見的入侵檢測技術(shù),它通過預(yù)先定義好的攻擊特征模式來識別已知的攻擊行為。首先,系統(tǒng)會(huì)收集大量已知的攻擊行為特征,并將其建立成一個(gè)攻擊特征庫。當(dāng)系統(tǒng)監(jiān)測到網(wǎng)絡(luò)流量或系統(tǒng)行為時(shí),會(huì)將其與特征庫中的模式進(jìn)行匹配比對。如果發(fā)現(xiàn)匹配的攻擊特征,就會(huì)觸發(fā)警報(bào),提示系統(tǒng)管理員采取相應(yīng)的防御措施。這類系統(tǒng)的優(yōu)點(diǎn)在于檢測效率高,可以快速識別已知的攻擊行為。但簽名的編寫需要深入的安全專業(yè)知識,可擴(kuò)展性較差。
3、2.基于統(tǒng)計(jì)異常的入侵檢測系統(tǒng):基于統(tǒng)計(jì)異常的入侵檢測系統(tǒng)是一種利用統(tǒng)計(jì)分析技術(shù)來識別網(wǎng)絡(luò)異常行為的入侵檢測方法。與傳統(tǒng)的基于簽名的檢測系統(tǒng)不同,這種方法關(guān)注于發(fā)現(xiàn)網(wǎng)絡(luò)活動(dòng)中的異常模式,而不是預(yù)先定義的攻擊特征。首先,系統(tǒng)會(huì)收集大量正常網(wǎng)絡(luò)活動(dòng)的數(shù)據(jù),并為正常行為構(gòu)建分布模型,考慮了數(shù)據(jù)包的中位數(shù)、均值、眾數(shù)和標(biāo)準(zhǔn)差等統(tǒng)計(jì)指標(biāo)。當(dāng)監(jiān)測到新的網(wǎng)絡(luò)活動(dòng)時(shí),系統(tǒng)會(huì)根據(jù)分布模型檢測低概率事件并將其標(biāo)記為潛在入侵。這類系統(tǒng)可以自適應(yīng)學(xué)習(xí),隨著時(shí)間的推移不斷優(yōu)化檢測模型,提高檢測精度,但其依賴于大量的歷史數(shù)據(jù),且檢測結(jié)果受限于檢測閾值,容易產(chǎn)生誤報(bào)、漏報(bào)的情況。
4、3.基于機(jī)器學(xué)習(xí)的入侵檢測系統(tǒng):為了解決上述解決方案的局限性,許多研究探索使用機(jī)器學(xué)習(xí)技術(shù)來搭建網(wǎng)絡(luò)入侵檢測系統(tǒng),其中深度學(xué)習(xí)系統(tǒng)可以從數(shù)據(jù)包的細(xì)粒度特征中推導(dǎo)出更加復(fù)雜的特征表示,已被證明可以有效地區(qū)分正常流量與ddos攻擊流量。這類系統(tǒng)無需手動(dòng)提取特征,具有較強(qiáng)的泛化能力,準(zhǔn)確率更高。
5、近年來,由于多種攻擊方式的出現(xiàn),ddos攻擊變得更加難以檢測。例如,攻擊者使用多臺(tái)設(shè)備、多種攻擊方式組合進(jìn)行ddos攻擊。在這種場景下,現(xiàn)有的ddos入侵檢測系統(tǒng)仍面臨一些挑戰(zhàn):
6、首先,在實(shí)際應(yīng)用時(shí),系統(tǒng)需要快速響應(yīng)和檢測攻擊,不能夠等待收集所有的數(shù)據(jù)包特征后再由模型進(jìn)行計(jì)算。其次,對特征信息的挖掘不足,數(shù)據(jù)包的到達(dá)序列和到達(dá)時(shí)間是區(qū)分ddos攻擊流量與正常流量的一個(gè)重要特征。最后,ddos攻擊手段持續(xù)演變,每當(dāng)新型攻擊方式出現(xiàn)時(shí),由于缺乏足夠的樣本數(shù)據(jù),有效攔截這些新興的少樣本攻擊成為了一項(xiàng)極具挑戰(zhàn)性的任務(wù)。
7、綜上所述,為實(shí)現(xiàn)ddos攻擊的入侵檢測系統(tǒng),現(xiàn)有方法存在缺陷,有待進(jìn)一步研究。
技術(shù)實(shí)現(xiàn)思路
1、為了解決現(xiàn)有技術(shù)中當(dāng)新型攻擊方式出現(xiàn)時(shí),缺乏足夠的樣本數(shù)據(jù),有效攔截這些新興的少樣本攻擊的技術(shù)問題,本發(fā)明實(shí)施例提供了一種基于流量特征多維協(xié)同攔截的ddos攻擊防御方法及裝置。所述技術(shù)方案如下:
2、一方面,提供了一種基于流量特征多維協(xié)同攔截的ddos攻擊防御方法,其特征在于,所述方法包括:
3、s1、基于翻滾時(shí)間窗口,獲取流量數(shù)據(jù)包,對流量數(shù)據(jù)包進(jìn)行預(yù)處理,構(gòu)建流量數(shù)據(jù)包的特征矩陣;
4、s2、引入多頭注意力機(jī)制進(jìn)行流量特征提取,構(gòu)建ddos入侵檢測二分類模型;
5、s3、對ddos入侵檢測二分類模型進(jìn)行訓(xùn)練,獲得ddos入侵檢測模型;
6、s4、獲取實(shí)際應(yīng)用場景的目標(biāo)數(shù)據(jù),基于遷移學(xué)習(xí)的自適應(yīng)架構(gòu)對ddos入侵檢測模型進(jìn)行更新,將目標(biāo)數(shù)據(jù)輸入至更新后的ddos入侵檢測模型,完成基于流量特征多維協(xié)同攔截的ddos攻擊防御。
7、可選地,s1中,基于翻滾時(shí)間窗口,獲取流量數(shù)據(jù)包,對流量數(shù)據(jù)包進(jìn)行預(yù)處理,構(gòu)建流量數(shù)據(jù)包的特征矩陣,包括:
8、給定一個(gè)雙向流量和預(yù)定義的長度為t秒的時(shí)間窗口;
9、捕獲[t0,t0+t]時(shí)間窗口內(nèi)的所有數(shù)據(jù)包,對所有數(shù)據(jù)包不利于模型泛化的屬性進(jìn)行刪除;
10、將屬于同一雙向流量的流量數(shù)據(jù)包屬性按時(shí)間順序排列,形成形狀為[n,f]的流量數(shù)據(jù)包的特征矩陣;其中,n是預(yù)先設(shè)定的單個(gè)時(shí)間窗口內(nèi)為每個(gè)雙向流量收集的最大數(shù)據(jù)包數(shù)量,f是刪除不利于模型泛化屬性后剩余的屬性數(shù)量;不利于模型泛化的屬性,包括:ip地址、tcp/udp端口、鏈路層封裝類型以及應(yīng)用層類型;
11、基于上述過程遍歷地對(t0+t,t0+2t]時(shí)間窗口至(t0+nt,t0+(n+1)t]時(shí)間窗口內(nèi)的所有數(shù)據(jù)包進(jìn)行捕獲、不利于模型泛化的屬性刪除以及屬于同一雙向流量的流量數(shù)據(jù)包屬性按時(shí)間順序排列;獲得n個(gè)流量數(shù)據(jù)包的特征矩陣;
12、流量每收集一定時(shí)間t的特征矩陣即被發(fā)送給入侵檢測模型。
13、可選地,s1中還包括:
14、當(dāng)單個(gè)時(shí)間窗口內(nèi)數(shù)據(jù)包數(shù)量大于n時(shí),多余的數(shù)據(jù)流會(huì)被截?cái)啵欢^短的數(shù)據(jù)流則為每個(gè)屬性值進(jìn)行歸一化操作,將屬性值映射到[0,1],并且對樣本進(jìn)行零填充,使每個(gè)t時(shí)間窗口的數(shù)據(jù)包長度固定為n;
15、其中,[t0,t0+t]時(shí)間窗口內(nèi)捕獲的數(shù)據(jù)包被表示為epack(t0,t0+t);
16、在對時(shí)間窗口進(jìn)行遍歷時(shí),將預(yù)處理的數(shù)據(jù)包打上標(biāo)簽;針對ddos攻擊流量,在該流量上捕獲的每個(gè)時(shí)間窗口的數(shù)據(jù)包序列epack均被標(biāo)記為1,而正常流量上捕獲的每個(gè)epack被標(biāo)記為0。
17、可選地,s2中,引入多頭注意力機(jī)制進(jìn)行流量特征提取,構(gòu)建ddos入侵檢測二分類模型,包括:
18、引入多頭注意力機(jī)制;其中,多頭注意力機(jī)制為具有多個(gè)通道的自注意力機(jī)制;其中,自注意力機(jī)制包括:query、key、value;第一個(gè)多頭注意力機(jī)制的輸入是einput;
19、在超參數(shù)優(yōu)化過程中,疊加多個(gè)多頭注意力機(jī)制,當(dāng)多個(gè)多頭注意力機(jī)制制疊加時(shí),每個(gè)多頭注意力機(jī)制的輸入均為上一個(gè)多頭注意力機(jī)制的輸出;通過自注意力機(jī)制對query、key、value進(jìn)行計(jì)算并加權(quán),生成目標(biāo)向量的attention值;
20、基于多頭注意力機(jī)制連接輕量級的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行特征提取,捕獲數(shù)據(jù)包序列的特征信息及多尺度依賴關(guān)系;根據(jù)多頭注意力機(jī)制提取的特征信息對流量數(shù)據(jù)進(jìn)行二分類。
21、可選地,通過自注意力機(jī)制對query、key、value進(jìn)行計(jì)算并加權(quán),生成目標(biāo)向量的attention值,包括:
22、計(jì)算query和key的相似度,通過點(diǎn)積操作來量化它們之間的相關(guān)性,并對value進(jìn)行加權(quán),生成目標(biāo)向量的attention值:
23、
24、其中,dk代表隱藏層的維度。
25、可選地,基于多頭注意力機(jī)制連接輕量級的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行特征提取,捕獲數(shù)據(jù)包序列的特征信息及多尺度依賴關(guān)系;根據(jù)多頭注意力機(jī)制提取的特征信息對流量數(shù)據(jù)進(jìn)行二分類,包括:
26、將多頭注意力機(jī)制模塊的輸出作為卷積神經(jīng)網(wǎng)絡(luò)的輸入:
27、f={f1,f2,…,fn}
28、其中fi代表特征矩陣中的第i行,即在考慮數(shù)據(jù)包之間依賴關(guān)系后提取到的第i個(gè)數(shù)據(jù)包的特征信息;特征矩陣f的維度與預(yù)處理得到的矩陣維度相同,即[n,f];
29、采用k個(gè)尺寸為h×f的卷積核,在特征矩陣f上以1為步長提取和學(xué)習(xí)包含有用信息的局部特征,檢測ddos流量和正常流量,每個(gè)卷積核都會(huì)生成一個(gè)大小為(n-h+1)的激活圖a;
30、將所有的激活圖a堆疊起來,得到大小為(n-h+1)×k的激活矩陣a;
31、利用最大池化層,沿著激活矩陣a的第一個(gè)維度向下采樣,利用sigmoid函數(shù)來構(gòu)建分類層。
32、可選地,s3中,對ddos入侵檢測二分類模型進(jìn)行訓(xùn)練,包括:
33、在訓(xùn)練模型時(shí),采用二元交叉熵?fù)p失函數(shù):
34、
35、其中,n表示該批次的樣本數(shù)量,yi代表樣本的真實(shí)標(biāo)簽,pi代表入侵檢測模型的預(yù)測結(jié)果。
36、可選地,s4中,獲取實(shí)際應(yīng)用場景的目標(biāo)數(shù)據(jù),基于遷移學(xué)習(xí)的自適應(yīng)架構(gòu)對ddos入侵檢測模型進(jìn)行更新,包括:
37、將源域數(shù)據(jù)標(biāo)記為s;
38、通過源域數(shù)據(jù)s訓(xùn)練ddos入侵檢測模型,使所述ddos入侵檢測模型學(xué)習(xí)到ddos攻擊的一般特征和規(guī)律;獲得源域數(shù)據(jù)s上最優(yōu)的參數(shù)并將作為后續(xù)微調(diào)時(shí)的初始參數(shù)。
39、另一方面,提供了一種基于流量特征多維協(xié)同攔截的ddos攻擊防御裝置,該裝置應(yīng)用于基于流量特征多維協(xié)同攔截的ddos攻擊防御方法,該裝置包括:
40、數(shù)據(jù)處理模塊,用于基于翻滾時(shí)間窗口,獲取流量數(shù)據(jù)包,對流量數(shù)據(jù)包進(jìn)行預(yù)處理,構(gòu)建流量數(shù)據(jù)包的特征矩陣;
41、模型構(gòu)建模塊,用于引入多頭注意力機(jī)制進(jìn)行流量特征提取,構(gòu)建ddos入侵檢測二分類模型;
42、模型初步訓(xùn)練模塊,用于對ddos入侵檢測二分類模型進(jìn)行訓(xùn)練,獲得ddos入侵檢測模型;
43、攻擊防御模塊,用于獲取實(shí)際應(yīng)用場景的目標(biāo)數(shù)據(jù),基于遷移學(xué)習(xí)的自適應(yīng)架構(gòu)對ddos入侵檢測模型進(jìn)行更新,將目標(biāo)數(shù)據(jù)輸入至更新后的ddos入侵檢測模型,完成基于流量特征多維協(xié)同攔截的ddos攻擊防御。
44、另一方面,提供一種基于流量特征多維協(xié)同攔截的ddos攻擊防御設(shè)備,所述基于流量特征多維協(xié)同攔截的ddos攻擊防御設(shè)備包括:處理器;存儲(chǔ)器,所述存儲(chǔ)器上存儲(chǔ)有計(jì)算機(jī)可讀指令,所述計(jì)算機(jī)可讀指令被所述處理器執(zhí)行時(shí),實(shí)現(xiàn)如上述基于流量特征多維協(xié)同攔截的ddos攻擊防御方法中的任一項(xiàng)方法。
45、另一方面,提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述存儲(chǔ)介質(zhì)中存儲(chǔ)有至少一條指令,所述至少一條指令由處理器加載并執(zhí)行以實(shí)現(xiàn)上述基于流量特征多維協(xié)同攔截的ddos攻擊防御方法中的任一項(xiàng)方法。
46、本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果至少包括:
47、本發(fā)明實(shí)施例中,基于翻滾時(shí)間窗口方式對流量進(jìn)行數(shù)據(jù)預(yù)處理,為后面構(gòu)建的ddos攻擊防御模型提供數(shù)據(jù)支持;其次,在流量特征提取過程中引入多頭注意力機(jī)制,捕捉流量內(nèi)數(shù)據(jù)包序列特征信息及多尺度依賴關(guān)系;最后,基于遷移學(xué)習(xí)的自適應(yīng)架構(gòu)設(shè)計(jì)變換場景下ddos攻擊防御方法,提高系統(tǒng)的適應(yīng)性和魯棒性。