System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种攻击检测方法、装置及电子设备。
技术介绍
1、由于天基网络可以有效地补充地面互联网的不足,特别是在尚有30亿人无法接入宽带网络的偏远地区,可以通过天基网络使其接入网络,因此将天基网络与地面互联网融合的天地一体化网络正在成为一种关键的发展趋势。
2、但与此同时,网络技术的飞速进步使分布式拒绝服务(英文:distributed denialof service,缩写为ddos)攻击的威胁逐渐加大。该ddos攻击是指处于不同位置的多个攻击者同时向一个或多个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器,并利用这些机器对目标同时实施攻击。
3、鉴于准确、高效、轻量化的检测方法是一切防御的基础,目前对于ddos攻击的防御措施主要聚焦在ddos攻击的检测上。
4、然而,现阶段主流的人工智能(英文:artificial intelligence,缩写为ai)技术需要耗费大量的资源进行预训练、样本收集等准备工作,而天基网络中的硬件设备由于在真空环境中,往往需要更高的抗辐照能力,其芯片处理能力及相应资源往往远低于目前地面硬件设备的芯片处理能力与相应资源,导致ai技术在天基网络中难以有效全盘部署,使得在天地一体化网络环境中,难以实现准确、高效、轻量化的ddos攻击检测。
技术实现思路
1、本申请提供了一种攻击检测方法、装置及电子设备,用以解决在天地一体化网络环境中,难以实现准确、高效、轻量化的ddos攻击检测的问题。具体实现
2、第一方面,本申请提供了一种攻击检测方法,所述方法包括:
3、基于分布式拒绝服务ddos攻击特征,组建标准特征库;
4、基于所述标准特征库,在天地一体化网络的训练数据中,确定每个记录周期中的突出特征,并将所述突出特征作为对应的所述记录周期中的观测结果;
5、基于多个所述观测结果生成的训练序列,训练初始隐马尔可夫hmm模型,得到目标hmm模型;
6、通过所述目标hmm模型处理基于所述天地一体化网络的待检测数据生成的测试序列,得到所述天地一体化网络的网络状态,并根据所述网络状态,确定所述天地一体化网络是否受到攻击。
7、通过上述申请实施例,基于ddos攻击特征组建的标准特征库,可以确定出天地一体化网络的每个记录周期中的突出特征,从而将突出特征作为对应记录周期中的观测结果,使得基于多个观测结果得到的训练序列包含了ddos攻击特征中最突出的特征,从而可以针对性地提取ddos攻击特征的信息,以便于更好的训练初始hmm模型,使得得到的目标hmm模型可以成为最优模型,进而使得根据目标hmm模型来处理基于天地一体化网络的待检测数据生成的测试序列时的准确率得以提高,有利于提高攻击检测的准确性。并且,由于hmm模型可以只需要少量的数据,就能得到优异的训练效果,从而可以降低计算资源与存储空间的消耗。因此通过hmm模型来进行攻击检测,天地一体化网络中的天基网络不需要大量资源就可以实现攻击检测,从而可以在天地一体化网络环境中,实现准确、高效、轻量化的ddos攻击检测。
8、在一种可能的实施方式中,所述基于所述标准特征库,在天地一体化网络的训练数据中,确定每个记录周期中的突出特征,并将所述突出特征作为对应的所述记录周期中的观测结果,包括:
9、在所述天地一体化网络的所述训练数据中,确定每个所述记录周期中的每一个所述ddos攻击特征对应的特征值;
10、针对每一个所述记录周期,均计算每一个所述ddos攻击特征对应的特征值与所述标准特征库中对应的标准特征值之间的偏离度;
11、确定每一个所述记录周期中的最大偏离度;
12、确定所述最大偏离度对应的所述ddos攻击特征为对应所述记录周期中的所述突出特征,并将所述突出特征作为对应的所述记录周期中的所述观测结果。
13、通过上述申请实施例,基于每一个记录周期中的每一个ddos攻击特征对应的特征值,与标准特征库中对应的标准特征值之间的偏离度,确定出了每一个记录周期中最突出的偏离特征(即突出特征),再将该突出特征作为对应记录周期中的观测结果,使得该观测结果为对应记录周期中与标准特征值偏离度最大的特征,从而为生成用于训练模型的训练序列提供了数据。
14、在一种可能的实施方式中,在所述基于多个所述观测结果生成的训练序列,训练初始隐马尔可夫hmm模型,得到目标hmm模型之前,还包括:
15、基于所述天地一体化网络的所述训练数据,生成初始状态转移概率a矩阵、初始观测概率b矩阵、初始概率π矩阵;
16、根据所述初始a矩阵、所述初始b矩阵、所述初始π矩阵,生成所述初始hmm模型。
17、通过上述申请实施例,基于天地一体化网络的历史数据生成的初始a矩阵、初始b矩阵、初始π矩阵,生成了初始hmm模型,从而利用天地一体化网络的历史数据,实现了初始hmm模型中的参数(即初始a矩阵、初始b矩阵、初始π矩阵)的初始化,进而实现了模型的精准启动,为得到最优的hmm模型奠定了基础。
18、在一种可能的实施方式中,所述基于所述天地一体化网络的所述训练数据,生成初始概率π矩阵,包括:
19、在所述天地一体化网络的所述训练数据中,统计所述天地一体化网络在每一个所述记录周期中运行正常时的正常时长、所述天地一体化网络在每一个所述记录周期中发生n种攻击时各自对应的攻击时长;其中,n为正整数;
20、针对每一个所述记录周期,计算所述正常时长与n个所述攻击时长之间的总时长,并分别计算所述正常时长与每一个所述攻击时长各自占所述总时长的比值;
21、基于各个比值,确定每一个所述记录周期中的所述初始π矩阵。
22、通过上述申请实施例,基于历史数据中的正常时长与攻击时长,快速确定出了初始π矩阵,为生成hmm的初始化提供了更加符合实际情况的初始参数,以便于精准启动hmm的训练。
23、在一种可能的实施方式中,所述基于所述天地一体化网络的所述训练数据,生成初始状态转移概率a矩阵,包括:
24、在所述天地一体化网络的所述训练数据中,确定所述天地一体化网络的每一种状态的下一个所述记录周期为各种状态的概率;
25、基于多个概率,确定每一个所述记录周期中的所述初始a矩阵。
26、通过上述申请实施例,快速确定出了初始a矩阵,为hmm的初始化提供了更加符合真实情况的初始参数,以便于精准启动hmm的训练。
27、在一种可能的实施方式中,所述基于所述天地一体化网络的所述训练数据,生成初始观测概率b矩阵,包括:
28、在所述天地一体化网络的所述训练数据中的每一个所述记录周期中,将所述天地一体化网络的每一种状态对应的时长分为多个时刻,并确定所述天地一体化网络在每一种状态下的每一个时刻中的突出特征;
29、确定在所述天地一体化网络的每一种状态下,每个观测结果本文档来自技高网...
【技术保护点】
1.一种攻击检测方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述基于所述标准特征库,在天地一体化网络的训练数据中,确定每个记录周期中的突出特征,并将所述突出特征作为对应的所述记录周期中的观测结果,包括:
3.如权利要求1所述的方法,其特征在于,在所述基于多个所述观测结果生成的训练序列,训练初始隐马尔可夫HMM模型,得到目标HMM模型之前,还包括:
4.如权利要求3所述的方法,其特征在于,所述基于所述天地一体化网络的所述训练数据,生成初始概率π矩阵,包括:
5.如权利要求3所述的方法,其特征在于,所述基于所述天地一体化网络的所述训练数据,生成初始状态转移概率A矩阵,包括:
6.如权利要求3所述的方法,其特征在于,所述基于所述天地一体化网络的所述训练数据,生成初始观测概率B矩阵,包括:
7.如权利要求1所述的方法,其特征在于,所述基于多个所述观测结果生成的训练序列,训练初始隐马尔可夫HMM模型,得到目标HMM模型,包括:
8.如权利要求1所述的方法,其特征在于,所述根据所述网络状
9.一种攻击检测装置,其特征在于,包括:
10.一种电子设备,其特征在于,包括:
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-8任一项所述的方法步骤。
...【技术特征摘要】
1.一种攻击检测方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述基于所述标准特征库,在天地一体化网络的训练数据中,确定每个记录周期中的突出特征,并将所述突出特征作为对应的所述记录周期中的观测结果,包括:
3.如权利要求1所述的方法,其特征在于,在所述基于多个所述观测结果生成的训练序列,训练初始隐马尔可夫hmm模型,得到目标hmm模型之前,还包括:
4.如权利要求3所述的方法,其特征在于,所述基于所述天地一体化网络的所述训练数据,生成初始概率π矩阵,包括:
5.如权利要求3所述的方法,其特征在于,所述基于所述天地一体化网络的所述训练数据,生成初始状态转移概率a矩阵,包括:
<...【专利技术属性】
技术研发人员:郭惟,常力元,宋悦,王文轩,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。