【技术实现步骤摘要】
基于LSTM预测模型的DDoS攻击检测方法及装置
本专利技术涉及网络通信技术
,特别涉及一种基于LSTM预测模型的DDoS攻击检测方法及装置。
技术介绍
分布式拒绝服务(DistributedDenialofService,简称DDoS)攻击是目前黑客经常采用并且难以防范的攻击手段。近年来随着电子加密虚拟货币的快速发展和物联网设备的持续增加,DDoS攻击方式更趋于多样化,对因特网的安全产生了巨大的威胁。现有技术中,ZhengY等人从数据包级和会话级进行分析,提出了一种基于PCC时间序列的检测算法,但此检测方法不能够很好地区分DDoS攻击和flashcrowd事件,导致误报率较高。NezhadSMT等人基于ARIMA时间序列模型和计算机网络中的混沌系统,提出了一种DoS和DDoS攻击检测的算法,但该方法只是使用了一定数量的数据包和源IP地址信息,使用报文信息较少且只能检测类型单一的DDoS攻击。AndrysiakT等人利用条件变分法来优化时间序列模型参数以检测DDoS攻击,该检测方法在一定程度上提高DDoS攻击的检测率,但其算法复杂度较高,使其检测结果存在一定...
【技术保护点】
1.一种基于LSTM预测模型的DDoS攻击检测方法,其特征在于,所述方法包括:对正常网络流量按照一定的取样周期进行n次取样,计算得到n个正常网络的IP数据包统计特征值,其中n∈N;根据n个所述正常网络的IP数据包统计特征值,对待训练的LSTM预测模型进行训练;使用网格搜索和超参数最优法确定选择性丢弃神经元的概率Dropout=0.2,来修正所述LSTM预测模型,缓解过拟合现象;根据修正后的所述LSTM预测模型,计算未来某个时段的IP数据包统计特征值的预测值;根据所述预测值,判断当前网络是否发生DDoS攻击。
【技术特征摘要】
1.一种基于LSTM预测模型的DDoS攻击检测方法,其特征在于,所述方法包括:对正常网络流量按照一定的取样周期进行n次取样,计算得到n个正常网络的IP数据包统计特征值,其中n∈N;根据n个所述正常网络的IP数据包统计特征值,对待训练的LSTM预测模型进行训练;使用网格搜索和超参数最优法确定选择性丢弃神经元的概率Dropout=0.2,来修正所述LSTM预测模型,缓解过拟合现象;根据修正后的所述LSTM预测模型,计算未来某个时段的IP数据包统计特征值的预测值;根据所述预测值,判断当前网络是否发生DDoS攻击。2.如权利要求1所述的方法,其特征在于,所述LSTM预测模型包括忘记门、输入门、输出门、状态单元及输出结果,分别通过以下公式计算获得:it=σ(Wi[ht-1,Xt]+bi)ft=σ(Wf[ht-1,Xt]+bf)ot=σ(Wo[ht-1,Xt]+bo)ht=ot*tanh(Ct)其中,it表示输入门,ft表示忘记门,ot表示输出门,ct表示状态单元,Wi是输入门的权重矩阵,bi是输入门的偏置项,Wf表示忘记门的权重矩阵,bf是忘记门的偏置项,Wo是输出门的权重矩阵,bo是输出门的偏置项,门激活函数为sigmoid(σ),其值域是(0,1),输出的激活函数为tanh函数。3.如权利要求1所述的方法,其特征在于,所述根据修正后的所述LSTM预测模型,计算未来某个时段的IP数据包统计特征值的预测值的步骤包括:根据n个所述正常网络的IP数据包统计特征值,利用静态预测的方法,计算第n+1个所述IP数据包统计特征值的预测值;根据n个所述正常网络的IP数据包统计特征值及每个所述IP数据包统计特征值的预测值,计算下一个所述预测的IP数据包统计特征值。4.如权利要求1所述的方法,其特征在于,所述根据所述预测值,判断当前网络是否发生DDoS攻击的步骤包括:统计所述正常网络的IP数据包统计特征值的区间为[a,b],统计所述预测的IP数据包统计特征值的区间为[c,d];计算所述预测的IP数据包统计特征值与所述正常网络的IP数据包统计特征值的平均误差Ave;获取所述预测的IP数据包统计特征值区间[c,d]的最大值Max;根据所述平均误差Ave和所述最大值Max,计算所述误差阈值U=Max+Ave;计算当前网络的IP数据包统计特征值与对应的所述预测的IP数据包统计特征值的偏差;将所述偏差与所述阈值进行比较,来判断当前网络是否发生DDoS攻击:若所述偏差大于所述阈值,当前网络发生DDoS攻击;若所述偏差小于所述阈值,当前网络未发生DDoS攻击。5.如权利要求1-4任一项权利要求所述的方法,其特征在于,所述IP数据包统计特征值的计算公式为:IPDCF=∑{Packet}Δt其中,Packet为IP数据包的个数,Δt为所述...
【专利技术属性】
技术研发人员:程杰仁,唐湘滟,黄梦醒,罗逸涵,
申请(专利权)人:海南大学,
类型:发明
国别省市:海南,46
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。