一种基于DDAE-CATBOOST的DDoS攻击流量分类方法技术

本发明专利技术涉及DDoS攻击流量检测技术领域，且公开了一种基于DDAE

【技术实现步骤摘要】
一种基于DDAE
‑
CATBOOST的DDoS攻击流量分类方法


[0001]本专利技术涉及DDoS攻击流量检测
，具体为一种基于DDAE
‑
CATBOOST的DDoS攻击流量分类方法。

技术介绍

[0002]分布式拒绝服务攻击是一种相对来说实施简单但攻击效果非常强大的网络攻击手段，其主要特征是通过控制多台设备向目标网络同时发动攻击，进而造成目标网络瘫痪。据腾讯云发布的2020年上半年DDoS威胁报告显示，2020年上半年最大的DDoS攻击峰值流量已经达到2.3T，云上DDoS攻击次数大幅增长45％，百G以上的攻击次数成倍增长，DDoS攻击形势十分严峻。因此，目前市场上急需可靠的针对DDOS攻击的预防检测方案。
[0003]近年来随着机器学习技术的兴起，研究人员逐渐开始尝试利用机器学习相关的技术来对分布式拒绝服务攻击的数据流量进行分析，将数据流量区分为正常流量和攻击流量，从而达到能够即时监控攻击发生的目的，减少因攻击带来的损失。在传统检测手段中，多是通过分析数据包的特征，编写程序手动检测。何慧等人提出可以分析目的IP相似度从而实现DDOS攻击检测的方法，优点是能够分析出那些并不引起总流量显著变化的DDoS攻击，但缺点是面对如今网络流量庞大的互联网时代，该方法多少有点捉襟见肘。陈伟等人提出可以分析攻击前后的变化点从而检测到攻击发生，该方法优点是计算量小，可以进行实时分析，但该方法需要网络服务商配合在攻击源端进行分析，同时该方法也只针对SYN泛洪攻击进行分析，存在一定的局限性。在机器学习领域中，研究人员通过构建模型学习DDoS流量的数据特征，从而实现DDoS的流量分类。杨可心等人构建了BP神经网络学习模型来对数据包长度、数据包发送时间间隔等六项特征进行学习训练，该方法能够有效的区分攻击流量和正常流量，但该方法训练的特征较少，且只针对TCP的DDoS攻击流量进行训练，难以覆盖现今种类繁多的DDoS攻击。肖甫等人使用改进的KNN算法对数据流中的提取的五个特征进行训练，并同SVM算法进行对比，效果更好，检测准确率高达98％，但该方法同样存在着训练特征选取较少的问题。
[0004]针对以上方法存在的训练特征较少，检测的攻击类别过于单一等问题，本文提出了一种基于DDAE
‑
CATBOOST的DDoS攻击流量分类方法。

技术实现思路

[0005](一)解决的技术问题
[0006]针对现有技术的不足，本专利技术提供了一种基于DDAE
‑
CATBOOST的DDoS攻击流量分类方法，解决了上述
技术介绍
中所存在的问题。
[0007](二)技术方案
[0008]为实现上述目的，本专利技术提供如下技术方案：一种基于DDAE
‑
CATBOOST的DDoS攻击流量分类方法，包括DDAE
‑
CATBOOST模型，所述DDAE
‑
CATBOOST模型分为两个部分，分别是基于深度去噪自编码的DDoS特征降维算法和基于贝叶斯优化的CatBoost的DDoS流量分类方
法，通过选择使用改进的自动编码器网络对特征进行降维，并重新生成新的特征样本集，自动编码器相比PCA可以更好的学习特征之间的非线性关系，同时剔除掉无用的特征，对新样本集使用CatBoost算法进行分类，从而得到最后的分类结果。
[0009]优选的，所述基于深度去噪自编码器的DDoS特征降维算法原理如下：
[0010]自编码器是一种无监督学习方法，包括编码器部分和解码器部分，其主要是通过构建神经网络，对原数据进行降维编码，再对编码后的数据进行还原解码并尽可能还原成降维前的数据，自编码器中的编码器和解码器部分原理表示如下：
[0011]y＝f
θ
(x)＝(Wx+b)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
[0012]H＝g
θ
(x)＝(W
′
y+b
′
)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
[0013]在上式中，x，y，H分别是输入原数据，特征表达，输出原数据，f
θ
()，g
θ
()分别为编码函数和解码函数，W，b，W
′
，b
′
分别为编码函数和解码函数的权重矩阵和偏置顶，θ＝[W，B]，θ
′
＝[W
′
，b
′
]分别为编码函数的参数和解码函数的参数。
[0014]由于DDoS特征繁多，简单的网络结构难以实现很好的降维效果，因此本方法使用深度自编码器网络，深度自编码器网络可以比自编码器获取更抽象更细致的特征，并对输入数据添加噪声，从而提高模型的鲁棒性，增强网络的学习能力，在DDAE
‑
CATBOOST中使用dropout方法对输入数据进行处理，实现添加噪声的效果。完整的深度去噪自编码网络如图1所示。
[0015]优选的，所述基于贝叶斯优化的CatBoost的DDoS流量分类方法原理如下：
[0016]CatBooost是一种基于梯度提升决策树的Boosting算法，它使用对称决策树作为基学习器，并且每一颗树都是基于上一棵树的训练结果而建立的，对称决策树的优势在于使得整棵树的结构是平衡的，从而降低算法给的训练时间，相比其他Boosting算法，CatBoost的参数更少，更易使用，本方法选择使用贝叶斯优化对CatBoost的部分参数进行调优，贝叶斯优化通过最大化采集函数来选择下一个评估点，然后又根据评估点评估目标函数，然后将该次评估结果添加到概率代理模型中，以下是改进的CatBoost的算法公式：
[0017]F＝BayesianOptimization(∑fb)
ꢀꢀꢀꢀ
(3)
[0018]其中，F表示经过贝叶斯优化参数后的算法模型，∑fb表示CatBoost算法模型，即由多个对称决策树f集成的强学习器，b表示CatBoost对应的参数集。
[0019](三)有益效果
[0020]本专利技术提供了一种基于DDAE
‑
CATBOOST的DDoS攻击流量分类方法，具备以下有益效果：
[0021]本专利技术通过DDAE
‑
CATBOOST可以实现自动从数据集中提取特征，并将攻击流量区分为正常流量、DDoS反射基攻击和DDoS探索基攻击，相较于现有技术，DDAE
‑
CATBOOST利用多达20个特征维度对攻击类别进行分析，并对DDoS的十余种攻击类别按照攻击方式进行区分，更方便管理人员采取针对性的防御措施，并且通过对比实验表明，DDAE
‑
CATBOOST能够有效地对DDoS攻击流量进行分类，且准确率较高，使用简单，完全能够将其部署到商业网络安全领域中去。
附图说明
[0022]图1为本专利技术中深度去噪自编码器网络结构图；...

【技术保护点】

【技术特征摘要】
1.一种基于DDAE
‑
CATBOOST的DDoS攻击流量分类方法，包括DDAE
‑
CATBOOST模型，其特征在于：所述DDAE
‑
CATBOOST模型分为两个部分，分别是基于深度去噪自编码的DDoS特征降维算法和基于贝叶斯优化的CatBoost的DDoS流量分类方法，通过选择使用改进的自动编码器网络对特征进行降维，并重新生成新的特征样本集，自动编码器相比PCA可以更好的学习特征之间的非线性关系，同时剔除掉无用的特征，对新样本集使用CatBoost算法进行分类，从而得到最后的分类结果。2.根据权利要求1所述的一种基于DDAE
‑
CATBOOST的DDoS攻击流量分类方法，其特征在于：所述基于深度去噪自编码器的DDoS特征降维算法原理如下：自编码器是一种无监督学习方法，包括编码器部分和解码器部分，其主要是通过构建神经网络，对原数据进行降维编码，再对编码后的数据进行还原解码并尽可能还原成降维前的数据，自编码器中的编码器和解码器部分原理表示如下：y＝f
θ
(x)＝(Wx+b)
ꢀꢀꢀ
(1)H＝g
θ
(x)＝(W
′
y+b
′
)
ꢀꢀꢀ
(2)在上式中，x，y，H分别是输入原数据，特征表达，输出原数据，f
θ
()，g
θ
()分别为编码函数和解码函数，W，b，W
’
，b
’
分别为编码函数和解码函数...

【专利技术属性】
技术研发人员：李鲁群，李幸睿，常梦磊，罗述翔，
申请(专利权)人：上海师范大学，
类型：发明
国别省市：