本发明专利技术提供了一种基于混合策略的物联网DDoS检测系统,包括位于网关处的基于统计的检测模块、位于边缘服务器的基于机器学习的检测模块、流量处理模块,与外界交互的网络流量首先会被基于统计的检测模块收集并提取流量特征,通过基于统计的方法区分良性网络流和恶意流,检测潜在的DDoS攻击威胁;对于基于统计的检测模块无法判断的疑似恶意流量,基于机器学习的检测模块会负责进一步的精确识别和分类DDoS攻击流;所述流量处理模块:对良性流量予以放行,对恶意流量进行防御。本发明专利技术的有益效果是:本发明专利技术通过基于统计的检测模块、基于机器学习的检测模块和流量处理模块,高效准确的检测网络通信中可能遭受到的DDoS攻击。检测网络通信中可能遭受到的DDoS攻击。检测网络通信中可能遭受到的DDoS攻击。
【技术实现步骤摘要】
一种基于混合策略的物联网DDoS检测系统
[0001]本专利技术涉及物联网
,尤其涉及一种基于混合策略的物联网DDoS检测系统。
技术介绍
[0002]自首次报告DDoS攻击事件以来,网络研究界一直在探索DDoS检测和缓解技术。按照检测方法区分主要可分为基于统计的方法和基于机器学习的方法。测量网络流量的统计属性是DDoS检测的常用方法,DDoS攻击会导致某些流量属性的分布产生变化,通常通过设定阈值与之比较来识别DDoS攻击。基于机器学习的方法在网络异常检测中的应用已得到了广泛的研究,包括支持向量机(SVM)、k
‑
最近邻(k
‑
NN)、随机森林、朴素贝叶斯等传统机器学习方法已被应用在DDoS检测领域中,具有较高的精度与低误报率。此外,长期短期记忆(LSTM)网络、卷积神经网络(CNN)等深度学习模型被用于DDoS检测,拥有更高的攻击检测与分类精度。
[0003]
技术介绍
的缺陷:
[0004]前物联网DDoS检测和缓解方法许多依赖于远程云服务器,并非所有物联网设备都具备这一类设施,物联网设备本身的资源受限导致许多防御手段难以直接应用。此外,当前已有工作主要针对单一类别的DDoS攻击(例如UDP泛洪攻击)进行检测与缓解,而对当今越来越多的混合DDoS攻击应对不足,而物联网设备的大规模增长也会增加此类攻击的攻击面。针对DDoS攻击的检测结果也仅限于识别是否受到攻击,或者仅区分恶意流量与良性流量而没有具体恶意流量的识别结果。在物联网设备数量急速增长的今天,DDoS攻击的种类和规模也在不断的变化,已有的相关技术不能很好地应对这些攻击,还有很大的提升空间。
技术实现思路
[0005]本专利技术提供了一种基于混合策略的物联网DDoS检测系统,包括位于网关处的基于统计的检测模块、位于边缘服务器的基于机器学习的检测模块、流量处理模块,
[0006]与外界交互的网络流量首先会被基于统计的检测模块收集并提取流量特征,通过基于统计的方法区分良性网络流和恶意流,检测潜在的DDoS攻击威胁;
[0007]对于基于统计的检测模块无法判断的疑似恶意流量,基于机器学习的检测模块会负责进一步的精确识别和分类DDoS攻击流;
[0008]所述流量处理模块:对良性流量予以放行,对恶意流量进行防御。
[0009]作为本专利技术的进一步改进,基于机器学习的检测模块的识别结果反馈到基于统计的检测模块,以更新恶意流量的特征值。
[0010]作为本专利技术的进一步改进,基于统计的检测模块在物联网网络的网关处收集流量,并利用流量分析工具进行处理,提取流量特征;通过规则过滤表记录常见的已知DDoS流量的特征值,通过与规则过滤表中的已知DDoS流量特征进行比较来识别恶意流量。
[0011]作为本专利技术的进一步改进,规则过滤表中常见的已知DDoS流量特征包括流量速
率、正向流量数据包长度、数据包间隔标准差,如果流的特征值与已知DDoS攻击的各项特征值偏差在设定范围内,则认为该流量是恶意流量。
[0012]作为本专利技术的进一步改进,在所述基于统计的检测模块中,流量分析工具为CICFlowMeter,使用CICFlowMeter为每个流生成多个特征,针对生成的多个特征,采用方差过滤技术进行特征选择。
[0013]作为本专利技术的进一步改进,在所述基于统计的检测模块中,拟定表示时刻t时的流量T(t),构成如下:
[0014]T(t)=S(t)+A(t)
[0015]其中,S(t)表示稳定的流量速率与噪声之和,A(t)表示由未知来源引起的异常,
[0016]对网络流量进行预测,得到预测的流量速率S'(t),通过计算T(t)与S'(t)的差值D(t),即D(t)=T(t)
‑
S'(t),来作为判断攻击的标志,当D(t)在某个时间间隔Δt内低于阈值δ时,随机选择一部分流并发送它们到基于机器学习的检测模块进行进一步分析;如果D(t)在Δt中频繁地高于δ,将所有流引导至基于机器学习的检测模块。
[0017]作为本专利技术的进一步改进,在所述基于机器学习的检测模块中,采用流量分析工具对流量进行处理,生成双向流并提取流量特征,对于生成的所有特征,采取结合了交叉验证的递归式特征消除进行特征选择,得到的多个特征用于机器学习模型的训练。
[0018]作为本专利技术的进一步改进,所述机器学习模型采用CNN
‑
LSTM模型,通过CNN
‑
LSTM模型进行流量分类识别,所述CNN
‑
LSTM模型包括用于特征提取和融合的卷积神经网络和用于处理序列问题的长短期记忆网络;所述卷积神经网络由卷积层和池化层组成,卷积层用于提取特征,池化层采用最大池化,池化层能降低中间隐含层的维度,减少接下来各层的运算量。
[0019]作为本专利技术的进一步改进,在所述基于机器学习的检测模块中,输入层会将处理好的输入数据传入卷积神经网络,其中数个卷积层相连,采取不同尺寸的卷积核提取输入特征,激活函数采用Relu,padding采用same模式;多个相连的卷积层之后连接最大池化层,池化层之后还使用了dropout来减轻网络的过拟合,最后通过全连接层输出特征信息,并使用L2正则和dropout的trick进行优化;
[0020]所述长短期记忆网络提取卷积神经网络输出的深层次序列特征,每层使用sigmoid函数进行非线性运算,使用Dropout层进行处理,最后通过全连接层,使用Softmax作为激活函数进行多分类;
[0021]最终输出形状为n的特征,其中n是数据集具有的流量类别的数量;
[0022]识别完成后,若识别到是恶意攻击,则会根据攻击的特征生成更新数据发送至基于统计的检测模块,用于规则过滤表中匹配特征值的添加与更新;对于检测到的每一种DDoS攻击,会首先使用聚类算法根据特征值向量进行聚类,每一个类的聚类中心作为该DDoS攻击的更新数据。
[0023]作为本专利技术的进一步改进,在所述流量处理模块中,对于识别完成的流量,如果是良性流量,则按照原本的路径将其转发至目的地;如果是恶意流量,根据严重程度采取不同的必要手段进行限制;同时,在检测到网络内部的物联网设备流量疑似攻击或者异常时,通过流量处理模块限制其对外通信,生成报告。
[0024]本专利技术的有益效果是:本专利技术通过基于统计的检测模块、基于机器学习的检测模
块和流量处理模块,高效准确的检测网络通信中可能遭受到的DDoS攻击。
附图说明
[0025]图1是本专利技术的系统架构图;
[0026]图2是本专利技术的工作流程图;
[0027]图3是CNN
‑
LSTM模型图。
具体实施方式
[0028]如图1所示,本专利技术公开了一种基于混合策略的物联网DDoS检测系统,包括位于网关处的基于统计的检测模块、位于边缘服务器的基于机器学习的检测模块、流量处理模块。
[0029]基于统计的检测模块包本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于混合策略的物联网DDoS检测系统,其特征在于:包括位于网关处的基于统计的检测模块、位于边缘服务器的基于机器学习的检测模块、流量处理模块,与外界交互的网络流量首先会被基于统计的检测模块收集并提取流量特征,通过基于统计的方法区分良性网络流和恶意流,检测潜在的DDoS攻击威胁;对于基于统计的检测模块无法判断的疑似恶意流量,基于机器学习的检测模块会负责进一步的精确识别和分类DDoS攻击流;所述流量处理模块:对良性流量予以放行,对恶意流量进行防御。2.根据权利要求1所述的物联网DDoS检测系统,其特征在于:基于机器学习的检测模块的识别结果反馈到基于统计的检测模块,以更新恶意流量的特征值。3.根据权利要求1所述的物联网DDoS检测系统,其特征在于:基于统计的检测模块在物联网网络的网关处收集流量,并利用流量分析工具进行处理,提取流量特征;通过规则过滤表记录常见的已知DDoS流量的特征值,通过与规则过滤表中的已知DDoS流量特征进行比较来识别恶意流量。4.根据权利要求3所述的物联网DDoS检测系统,其特征在于:规则过滤表中常见的已知DDoS流量特征包括流量速率、正向流量数据包长度、数据包间隔标准差,如果流的特征值与已知DDoS攻击的各项特征值偏差在设定范围内,则认为该流量是恶意流量。5.根据权利要求3所述的物联网DDoS检测系统,其特征在于:在所述基于统计的检测模块中,流量分析工具为CICFlowMeter,使用CICFlowMeter为每个流生成多个特征,针对生成的多个特征,采用方差过滤技术进行特征选择。6.根据权利要求3所述的物联网DDoS检测系统,其特征在于:在所述基于统计的检测模块中,拟定表示时刻t时的流量T(t),构成如下:T(t)=S(t)+A(t)其中,S(t)表示稳定的流量速率与噪声之和,A(t)表示由未知来源引起的异常,对网络流量进行预测,得到预测的流量速率S'(t),通过计算T(t)与S'(t)的差值D(t),即D(t)=T(t)
‑
S'(t),来作为判断攻击的标志,当D(t)在某个时间间隔Δt内低于阈值δ时,随机选择一部分流并发送它们到基于机器学习的检测模块进行进一步分析;如果D(t)在Δt中频繁地高于δ,将所有流引导至基于机器学习的检测模块。7.根据权利要求1所述的物...
【专利技术属性】
技术研发人员:张伟哲,尹书君,冯禹铭,
申请(专利权)人:哈尔滨工业大学深圳,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。