一种基于深度学习的DDOS检测方法技术

本发明专利技术公开了一种基于深度学习的DDOS检测方法。该方法包含特征处理和模型检测两个阶段，特征处理阶段对输入的数据包进行特征提取，格式转换和维度重构；模型检测阶段将处理后的特征输入到深度学习网络模型进行检测，判断输入的数据包是否为DDOS攻击包。本发明专利技术利用了深度学习抽象化高层数据、自动学习、模型易于更新的特点，相比于传统DDOS检测方法，在检测精度、软硬件设备依赖性方面更具有优势。

【技术实现步骤摘要】
一种基于深度学习的DDOS检测方法
本专利技术涉及网络通信
，具体涉及一种基于深度学习的DDOS检测方法。
技术介绍
伴随着全球信息化进程的飞速发展，网络中的攻击者利用网络的系统架构以及网络中的服务器系统存在的安全漏洞，或窃取网络用户的个人信息，或破坏正常网络环境，或阻止目标主机的正常交互通信，网络环境正遭遇日益严重的安全问题挑战。随着近年来互联网用户数目呈现的爆炸式的增长，新型的网络应用，诸如社交网络、高清在线视频，以及创新性的服务模式，例如云计算、大数据的出现，都对传统网络提出了新的需求，传统的网络体系架构在网络的可控性、可扩展性以及安全性等方面的发展也逐渐出现瓶颈，一些新型的网络体系架构在此背景下相继被提出。2006年，美国斯坦福大学CleanSlate课题组提出了软件定义网络(SoftwareDefinedNetwork，SDN)的概念。软件定义网络(SoftwareDefinedNetworking，SDN)作为一种新型的网络体系架构，具有控制平面与数据平面分离、集中控制以及软件可编程的特征，为解决当前传统网络面临的瓶颈，研发网络新型应用以及未来互联网新技术提供了一种创新性的解决方案。SDN新型网络体系架构，其设计思想，决定了其具备数据与控制分离和集中控制两个主要特点，其中，集中控制主要是使用软件控制器对网络数据转发规则进行集中化管理，因此，在SDN网络体系架构中，由于集中化的控制管理，让计算机网络数据转发更加快捷高效，控制器与转发设备之间通过安全通道的连接，某种程度也增强了SDN网络架构的安全性。然而，从另一个角度说，正是由于SDN网络体系架构集中控制和转发分离的特点，因而让攻击者的攻击目标更加明确，某种程度也让SDN网络体系架构变得更加脆弱。OpenFlow技术的概念最早是由来自斯坦福大学的NickMcKeown教授提出的，进过多年的发展，随着OpenFlow协议标准化的制定与推广，OpenFlow协议目前已成为SDN网络体系架构的主流的南向接口协议之一。然而，SDN在带来网络体系架构方面革新的同时，也在安全防御体系方面带来了新的挑战。分布式拒绝服务攻击(DistributedDenialofService，DDoS)则是基于拒绝服务攻击(DenialofService，DoS)的基础上产生的一种特殊形式的拒绝服务攻击方式，它采用的是一种分布式、协作式的大规模网络攻击方式，主要的攻击目标瞄准为比较大的站点，例如商业公司，搜索引擎或者是政府部门的站点。由于DDoS不同于DoS攻击只需要一个电脑终端和一个调制解调器就可以实现，DDoS的攻击则是利用一批已经受控的机器向一个固定站点同时发起攻击，这样的攻击来势凶猛，令人难以防备，具有更强的破坏性。在SDN新型网络架构中，针对SDN网络体系架构数据控制分离、集中控制的特点，SDN网络体系架构对DDoS攻击的防御也是一个需要考虑的问题。2006年，机器学习领域的学界泰斗、加拿大多伦多大学的教授GeoffreyHinton与他的学生RuslanSalakhutdinov在世界顶级学术刊物《科学》上发表了一篇文章，开启了深度学习在学术界和工业界的浪潮。深度学习技术可通过学习一种深层的非线性的网络结构，来实现对复杂函数逼近，用以表征输入数据分布式表示，并且展现出了强大的从少数样本集中学习数据集本质特征的能力。深度学习技术的本质，是通过构建一种具有大量隐藏层的机器学习模型，以及通过海量的训练数据，来学习客体更有用的特征，从而达到最终能提升分类或预测准确性的目的。深度学习技术这种具有大量隐藏层的好处，是可以通过用较少的参数来表示出复杂的函数客体。由于深度学习的这些特点，近年来，深度学习技术的运用领域越来越广泛。防御DDOS攻击是保证网络安全的一个重要前提，因此本专利技术将深度学习技术运用于网络安全，提出了一种基于深度学习的DDOS防御方法。基于深度学习的DDoS检测方法具有高检测精度、对软硬件设备依赖小、深度学习网络模型易于更新等优点，弥补了现有DDoS攻击检测方案的不足。
技术实现思路
现有的DDoS攻击入侵检测方法对DDoS攻击行为存在相对较高的漏报率。与此同时，如今网络规模越来越庞大，网络环境愈来愈复杂化，复杂网络环境下的不确定因素或者网络用户的一些不确定性的错误操作，最终也可能会引起DDoS攻击检测系统的报警，进而产生误报，因此不可避免地存在较高的误报率，同时现有DDoS攻击检测系统对数据规模庞大的网络流量进行检测时，很难生效。本专利技术为了克服以上不足，提出了一种基于深度学习的DDOS检测方法。该方法采用深度学习作为DDoS检测方法，具有高检测精度、对软硬件设备依赖小、深度学习网络模型易于更新等优点，弥补了现有DDoS攻击检测方案的不足。该方法包含如下步骤：(1)对输入的m个数据包分别提取n个报文字段，作为特征值字段，并将这n个特征值字段，划分为文本类型字段、数值类型字段和布尔类型字段三种类型；(2)将布尔类型特征值字段转换为二进制值的格式后作为输入数据格式，将文本类型的特征值字段，通过BoW(BagofWord，词汇假设)的方法进行格式转换后作为输入数据格式，数值类型特征值字段作为输入数据格式，转换后的特征值个数为n′；(3)将特征转换后的m*n的二维特征矩阵，用一系列连续的窗口尺寸为T的时间窗进行切割，并为每个时间窗设置标签值y，标签值y为0，表示该时间窗口内数据包为正常包，标签值y为1，表示该时间窗口内数据包为DDOS攻击包；(4)对切割后的特征进行维度重构，得到(m-T)*T*n′的三维特征矩阵；(5)构建包含输入层，前向递归神经网络层，反向递归神经网络层，全连接隐层和输出层的深度学习网络模型；(6)将经过特征处理后的三维特征矩阵，输入到深度学习网络模型的输入层，输入层将处理的结果，同时输入到深度学习网络模型的前向递归神经网络层和反向递归神经网络层；(7)前向递归神经网络层和反向递归神经网络层将处理的结果同时输入到全连接隐层的输入层，并在全连接隐层的输入层对处理的结果进行合并；(8)全连接隐层处理完数据后通过输出层进行预测输出，检测是否为DDOS攻击。进一步地，所述文本类型的特征值字段格式转换过程中，将散列法运用到BoW(BagofWord，词汇假设)转换法当中，并将各个特征值字段进行标准化规范。进一步地，所述时间窗口T的尺寸是根据输入的m个数据包中DDOS攻击数据包，和正常数据包的分布统计信息确定的。进一步地，所述深度学习网络模型中前向递归神经网络层和反向递归神经网络层中采用LSTM网络模型，前向递归网络层和反向递归网络层相互独立。进一步地，所述深度学习网络模型中在输入层后面加入一个一维CNN网络层，在前向递归神经网络层，反向递归神经网络层和全连接层隐层后面分别加入一个批处理正规化层。本专利技术的有益效果是：该方法采用深度学习进行DDOS检测，包含特征处理和模型检测两个阶段，特征处理阶段对输入的数据包进行特征提取，格式转换和维度重构，模型检测阶段将处理后的特征输入到深度学习网络模型进行检测，判断输入的数据包是否为DDOS攻击包。采用了深度学习抽象化高层数据、自动学习、模型易于更新的特点，相比于传统DDOS检测方法，在检测精度、软硬件设备依本文档来自技高网...

【技术保护点】
一种基于深度学习的DDOS检测方法，其特征在于，该方法包含特征处理和模型检测两个阶段，特征处理阶段对输入的数据包进行特征提取，格式转换和维度重构；模型检测阶段将处理后的特征输入到深度学习网络模型进行检测，判断输入的数据包是否为DDOS攻击包。该方法包含如下步骤：(1)对输入的m个数据包分别提取n个报文字段，作为特征值字段，并将这n个特征值字段，划分为文本类型字段、数值类型字段和布尔类型字段三种类型；(2)将布尔类型特征值字段转换为二进制值的格式后作为输入数据格式，将文本类型的特征值字段，通过BoW(Bag of Word，词汇假设)的方法进行格式转换后作为输入数据格式，数值类型特征值字段作为输入数据格式，转换后的特征值个数为n′；(3)将特征转换后的m*n′的二维特征矩阵，用一系列连续的窗口尺寸为T的时间窗进行切割，并为每个时间窗设置标签值y，标签值y为0，表示该时间窗口内数据包为正常包，标签值y为1，表示该时间窗口内数据包为DDOS攻击包；(4)对切割后的特征进行维度重构，得到(m‑T)*T*n′的三维特征矩阵；(5)构建包含输入层，前向递归神经网络层，反向递归神经网络层，全连接隐层和输出层的深度学习网络模型；(6)将经过特征处理后的三维特征矩阵，输入到深度学习网络模型的输入层，输入层将处理的结果，同时输入到深度学习网络模型的前向递归神经网络层和反向递归神经网络层；(7)前向递归神经网络层和反向递归神经网络层将处理的结果同时输入到全连接隐层的输入层，并在全连接隐层的输入层对处理的结果进行合并；(8)全连接隐层处理完数据后通过输出层进行预测输出，检测是否为DDOS攻击。...

【技术特征摘要】
1.一种基于深度学习的DDOS检测方法，其特征在于，该方法包含特征处理和模型检测两个阶段，特征处理阶段对输入的数据包进行特征提取，格式转换和维度重构；模型检测阶段将处理后的特征输入到深度学习网络模型进行检测，判断输入的数据包是否为DDOS攻击包。该方法包含如下步骤：(1)对输入的m个数据包分别提取n个报文字段，作为特征值字段，并将这n个特征值字段，划分为文本类型字段、数值类型字段和布尔类型字段三种类型；(2)将布尔类型特征值字段转换为二进制值的格式后作为输入数据格式，将文本类型的特征值字段，通过BoW(BagofWord，词汇假设)的方法进行格式转换后作为输入数据格式，数值类型特征值字段作为输入数据格式，转换后的特征值个数为n′；(3)将特征转换后的m*n′的二维特征矩阵，用一系列连续的窗口尺寸为T的时间窗进行切割，并为每个时间窗设置标签值y，标签值y为0，表示该时间窗口内数据包为正常包，标签值y为1，表示该时间窗口内数据包为DDOS攻击包；(4)对切割后的特征进行维度重构，得到(m-T)*T*n′的三维特征矩阵；(5)构建包含输入层，前向递归神经网络层，反向递归神经网络层，全连接隐层和输出层的深度学习网络模型；(6)将经过特征处理后的三维特征矩阵，输入到深度学习网络模型的输...

【专利技术属性】
技术研发人员：李传煌，孙正君，龚梁，金蓉，王伟明，
申请(专利权)人：浙江工商大学，
类型：发明
国别省市：浙江,33