智能化DDoS攻击检测方法、设备及系统
申请人信息
- 申请人:中国电子科技集团公司第十四研究所
- 申请人地址:210039 江苏省南京市雨花台区国睿路8号
- 发明人: 中国电子科技集团公司第十四研究所
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 智能化DDoS攻击检测方法、设备及系统 |
| 专利类型 | 发明申请 |
| 申请号 | CN202311650444.5 |
| 申请日 | 2023/12/4 |
| 公告号 | CN117768161A |
| 公开日 | 2024/3/26 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 中国电子科技集团公司第十四研究所 |
| 发明人 | 翟永; 郭俊华 |
| 地址 | 江苏省南京市雨花台区国睿路8号 |
摘要文本
本发明公开了一种智能化DDoS攻击检测方法、设备及系统,属于计算机网络安全技术领域。本发明包括:采集网络流量数据,对网络流量数据的数据包包头进行解析,产生数据包的各个特征值;对数据包进行特征处理和编码;将数据包中特征值组成一个特征序列;将特征序列输入数据处理神经网络,输出概率判断结果;使用交叉熵损失函数训练网络参数;根据输出结果进行DDoS攻击检测,若流量包特征序列经过数据处理神经网络后输出的预测概率大于预设的预测阈值,则将该流量包归为DDoS攻击流量包。本发明能够兼顾DDoS控制对灵敏度、准确性、大流量处理等方面的技术要求。
专利主权项内容
(更多数据,详见马克数据网) 1.一种智能化DDoS攻击检测方法,其特征在于,包括:采集网络流量数据,对网络流量数据的数据包包头进行解析,产生数据包的各个特征值;对网络流量数据的数据包进行特征处理和编码,包括对数据包的包大小和包数量进行归一化处理,对IP地址进行哈希处理,将其映射到连续的数字空间中,对网络流量包中的部分特征值进行二进制编码,对TTL进行归一化处理,将时间戳转换为相对时间,并计算每个流量包的时间差;将特征处理和编码后的特征值进行归一化处理,组成一个特征向量,进行排序并组成特征序列;将所述特征序列输入数据处理神经网络进行特征序列训练,包括:特征序列分别输入Transformer网络模块和LSTM网络模块的输入层,在所述Transformer网络模块实现在数据序列空间层次自注意力机制下进行神经网络自主学习,在所述LSTM网络模块实现数据在字节层次和数据包层次的时间维度学习;将Transformer网络模块和LSTM网络模块的输出进行级联,再输入全连接层中,全连接层将加权和向量映射到预测类别的概率分布上,输入softmax分类器中进行分类,并使用dropout分类输出概率判断结果;在输出概率判断结果前,使用交叉熵损失函数训练Transformer网络模块和LSTM网络模块参数;根据特征序列训练后的数据处理神经网络输出结果进行DDoS攻击检测,若流量包经特征序列训练后的数据处理神经网络输出的预测概率大于预设的预测阈值,则将该流量包归为DDoS攻击流量包,否则归为正常流量包。