一种基于反向传播神经网络算法的DDoS攻击检测系统及方法技术方案

一种基于反向传播神经网络算法的DDoS攻击检测系统，包括数据采集模块、数据预处理模块、资源调度模块、规则库模块、数据分析模块和响应模块。数据采集模块用于收集网络流量；数据预处理模块用于对原始网络流量数据进行预处理；资源调度模块用于分配合适的数据分析模块进行数据分析；规则库模块用于过滤具有入侵特征的数据；数据分析模块用于对规则库模块规则进行实时更新；响应模块用于检测出入侵行为并进行响应和告警。本发明专利技术的有益效果为：提高了攻击检测的准确性；改善了传统基于特征检测算法只能对已知的攻击模式具有检测力，对未知的攻击则无能为力的局面；改进了传统的反向传播神经网络算法收敛速度慢、精度低的不足的缺点。

A DDoS attack detection system and method based on back propagation neural network algorithm

A DDoS attack detection system based on back propagation neural network algorithm, including data acquisition module, data preprocessing module, resource scheduling module, rule base module, data analysis module and response module. The data acquisition module is used to collect network traffic; data preprocessing module is used to preprocess the original network traffic data; resource scheduling module data analysis module is used to analyze the appropriate data distribution; rule base module is used for filtering with intrusion feature data; data analysis module is used for real-time updating of the rule base module module for response rules; detect intrusion and response and alarm. The result of this invention is to improve the accuracy of detection; improves the traditional feature detection algorithm based on the only known attack patterns with detection of the unknown attack force, is incapable of action of the situation; the shortcoming of improved BP neural network algorithm convergence of traditional slow speed and low accuracy.

【技术实现步骤摘要】
一种基于反向传播神经网络算法的DDoS攻击检测系统及方法
本专利技术涉及网络安全
，尤其涉及一种基于反向传播神经网络算法的DDoS攻击检测系统及方法。
技术介绍
在网络技术的大力推动下，Internet网络得到空前的发展并带来人类生活方式的重大改变。如今网络技术的应用已渗透到经济、文化、军事、政治等社会生活的各个方面，每天都有成千上万的公司、企业、个人在上网，网络用户在飞速增长。随着人们对网络越发依赖，网络安全问题也日益突出。攻击者出于经济、政治、军事、报复等目的，利用计算机及网络的漏洞，对目标机发起各种攻击，造成了极大的网络安全危害。DDoS(分布式拒绝服务)攻击作为一种借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS(拒绝服务)攻击，从而成倍地提高拒绝服务攻击的威力的网络攻击方式是危害最大、最易于达到攻击效果、最难以抵御的一种攻击，已成为网络安全面临的重要威胁之一。随着越来越多的公司使用虚拟化数据中心和云服务，DDoS攻击开始移师云计算，并且攻击方式由数据暴力泛滥转向为向应用基础设施发起攻击。尽管当前针对DDoS攻击的入侵检测系统的研究已经较为成熟，但由于云服务器所具有的一些有别于普通主机的特性，所以不能将已有的入侵检测技术直接应用到云计算中，这就需要对云计算中的分布式拒绝服务攻击入侵检测技术展开专门的研究。尽早的检测到DDoS攻击有利于早期防御，可尽量把攻击造成的损失降到最低，因此击检测是对抗DDoS攻击的重要一环。目前常用的入侵检测可分为基于特征的检测与基于异常的检测两类。基于特征的检测方法是根据已知的攻击行为建立特征库，当出现这些攻击特征时，就认为是发生了攻击。常用的基于特征的检测技术有专家系统、模式匹配等，但是缺陷在于只能对已知的攻击模式具有检测力，对未知的攻击则无能为力。基于异常的检测方法是通过建立主体的正常行为模型，来发现其异常行为，从而对未知攻击也具有检测能力。常用的基于异常的检测技术有量化分析、统计方法、神经网络、遗传算法等，缺陷在于一是这类攻击使用的数据包与合法数据包相似，因而检测过程中容易把合法数据包误报成攻击数据包；二是难以区分网络流量瞬时拥塞和DDoS攻击。另外传统的神经网络算法存在收敛速度慢、精度低的不足的缺点。
技术实现思路
针对现有技术的不足，本专利技术提供了一种基于反向传播神经网络算法的DDoS攻击检测系统及方法，通过使用动态规则库，改善了传统基于特征检测算法只能对已知的攻击模式具有检测力，对未知的攻击则无能为力的局面；本专利技术使用改进的反向传播神经网络算法，改进了传统的反向传播神经网络算法收敛速度慢、精度低的不足的缺点。为了实现上述目的，本专利技术采用以下的技术方案：本专利技术提供了一种基于反向传播神经网络算法的DDoS攻击检测系统，包括数据采集模块、数据预处理模块、资源调度模块、规则库模块、数据分析模块和响应模块。数据采集模块，被配置用于收集虚拟机产生的网络流量；数据预处理模块，被配置用于对采集到的原始网络流量数据进行预处理；资源调度模块，被配置用于接收经过预处理的网络流量数据，根据数据分析模块的负载情况和选择策略分配合适的数据分析模块进行数据分析；规则库模块，被配置用于过滤具有入侵特征的数据；数据分析模块，被配置用于使用反向传播神经算法对规则库模块规则进行实时更新；响应模块，被配置用于检测出入侵行为是进行响应和告警。优选的，所述数据预处理模块包括协议分析、特征提取和数据处理三部分。协议分析用于对数据包所采用协议类型进行识别，以便数据分析程序根据数据包类型选择相应程序；特征提取，用于提取数据包的特征；数据处理，用于去掉数据包的次要属性特征，将剩余数值的属性转换为反向传播神经网络能够处理的特征向量。优选的，所述协议分析采用对高层协议进行分析的方法，进一步对应用层协议进行分析。优选的，所述规则库模块中规则由两部分组成，一部分为自带规则，一部分由数据分析模块中的反向传播神经网络算法实时更新。优选的，所述规则库模块规则更新方式包括实时更新和通过管理员进行更新。优选的，所述数据分析模块采用分布式分析结构，设置多个分析服务器。优选的，所述响应分为三种。取消连接，当检测系统判定某一连接为攻击事件后，对该连接进行取消；消息回避，当某一系统已被入侵并留有后门时，取消连接也无法完全解决问题，采用消息回避技术拒绝传递攻击者所发送的数据包。自动隔离，当某一时间接收大量攻击时，由系统自动切断路由来避免遭受进一步攻击。优选的，所述系统进一步包括云存储模块，用于记录产生的攻击事件和响应并生成统计报表。本专利技术还提供了一种基于反向传播神经网络算法的DDoS攻击检测方法,其特征在于，包括如下步骤：数据采集模块通过对关键网段进行监听来采集网络流量；通过数据预处理模块对采集到的原始流量数据进行预处理；通过资源调度模块接收经过预处理的流量数据，根据数据分析模块的负载情况和选择策略分配合适的数据分析模块进行数据分析；通过规则库模块过滤符合规则库规则的流量数据，将不符合规则的流量数据引入数据分析模块进行分析；数据分析模块利用反向传播神经网络算法对规则库规则进行实时更新；在数据分析模块或规则库模块检测出入侵时通过响应模块进行响应或告警。优选的，所述反向传播神经网络算法基于改进共轭梯度算法。本专利技术的有益效果为：提供了一种基于反向传播神经网络算法的DDoS攻击检测系统及方法，通过使用动态规则库，改善了传统基于特征检测算法只能对已知的攻击模式具有检测力，对未知的攻击则无能为力的局面；本专利技术使用改进的反向传播神经网络算法，改进了传统的反向传播神经网络算法收敛速度慢、精度低的不足的缺点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。图1所示为根据本专利技术所公开的一个检测系统的系统流程图；图2所示为根据本专利技术所公开的一个检测系统数据预处理模块的系统结构图；图3所示为根据本专利技术所公开的一个检测系统规则库模块的系统结构图；图4所示为根据本专利技术所公开的一个检测系统数据分析模块的系统结构图；图5所示为根据本专利技术所公开的一个检测系统响应的系统结构图。具体实施方式以下将结合实施例和附图对本专利技术的构思、具体结构及产生的技术效果进行清楚、完整的描述，以充分地理解本专利技术的目的、方案和效果。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。附图中各处使用的相同的附图标记指示相同或相似的部分。图1所示为根据本专利技术所公开的一个检测系统的系统流程图。根据本专利技术的一个实施例，数据采集模块采集网络流量，数据预处理模块对采集的网络流量进行预处理后，发送至资源调度模块，资源调度模块接收经过预处理的流量数据，根据数据分析模块的负载情况和选择策略分配合适的数据分析模块进行数据分析，流量数据通过规则库模块进行过滤，符合规则库规则的流量数据被过滤掉发送至响应模块进行处理，不符合规则的流量数据发送至数据分析模块进行分析，数据分析模块通过改进的反向传播神经网络算法更新规则库。参照图2所示的根本文档来自技高网...

【技术保护点】
一种基于反向传播神经网络算法的DDoS攻击检测系统，包括数据采集模块、数据预处理模块、资源调度模块、规则库模块、数据分析模块和响应模块，其特征在于：数据采集模块，被配置用于收集虚拟机产生的网络流量；数据预处理模块，被配置用于对采集到的原始网络流量数据进行预处理；资源调度模块，被配置用于接收经过预处理的网络流量数据，根据数据分析模块的负载情况和选择策略分配合适的数据分析模块进行数据分析；规则库模块，被配置用于过滤具有入侵特征的数据；数据分析模块，被配置用于使用反向传播神经算法对规则库模块规则进行实时更新；响应模块，被配置用于检测出入侵行为时进行响应和告警。

【技术特征摘要】
1.一种基于反向传播神经网络算法的DDoS攻击检测系统，包括数据采集模块、数据预处理模块、资源调度模块、规则库模块、数据分析模块和响应模块，其特征在于：数据采集模块，被配置用于收集虚拟机产生的网络流量；数据预处理模块，被配置用于对采集到的原始网络流量数据进行预处理；资源调度模块，被配置用于接收经过预处理的网络流量数据，根据数据分析模块的负载情况和选择策略分配合适的数据分析模块进行数据分析；规则库模块，被配置用于过滤具有入侵特征的数据；数据分析模块，被配置用于使用反向传播神经算法对规则库模块规则进行实时更新；响应模块，被配置用于检测出入侵行为时进行响应和告警。2.根据权利要求1中所述的一种基于反向传播神经网络算法的DDoS攻击检测系统，其特征在于，所述数据预处理模块包括协议分析、特征提取和数据处理三部分：协议分析：用于对数据包所采用协议类型进行识别，以便数据分析程序根据数据包类型选择相应程序；特征提取：用于提取数据包的特征；数据处理：用于去掉数据包的次要属性特征，将剩余数值的属性转换为反向传播神经网络能够处理的特征向量。3.根据权利要求2中所述的一种基于反向传播神经网络算法的DDoS攻击检测系统，其特征在于，所述协议分析采用对高层协议进行分析的方法，进一步对应用层协议进行分析。4.根据权利要求1中所述的一种基于反向传播神经网络算法的DDoS攻击检测系统，其特征在于，所述规则库模块中规则由两部分组成，一部分为自带规则，一部分由数据分析模块中的反向传播神经网络算法实时更新。5.根据权利要求4中所述的一种基于反向传播神经网络算法的DDoS攻击检测系统，其特征在于，所述规则库模块规则更...

【专利技术属性】
技术研发人员：黄惟，
申请(专利权)人：长沙市智为信息技术有限公司，
类型：发明
国别省市：湖南,43