一种DDoS攻击检测方法、装置、设备以及存储介质制造方法及图纸

本发明专利技术公开了一种DDoS攻击检测方法、装置、设备以及存储介质，包括接收采集的实时网络流量数据，并对所述实时网络流量数据进行预处理；将所述实时网络流量数据传输至数据分析模块，所述数据分析模块包括DDoS攻击检测模型和训练模型；将所述实时网络流量数据与所述DDoS攻击检测模型对比，当存在一个以上相同的入侵特征数据时，启动告警响应操作，并过滤掉所述实时网络流量数据中的入侵特征数据，将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，实时更新所述DDoS攻击检测模型。采用对DDoS攻击检测模型不断更新的方法，加强了对未知攻击特征的检测能力，通过优化BP神经网络，改进了传统BP神经网络收敛速度慢、精度低的缺点。

A DDoS Attack Detection Method, Device, Device and Storage Media

The invention discloses a DDoS attack detection method, device, device and storage medium, including receiving collected real-time network traffic data and preprocessing the real-time network traffic data; transmitting the real-time network traffic data to data analysis module, which includes DDoS attack detection model and training model; and transmitting the real-time network traffic data. Compared with the DDoS attack detection model, when more than one identical intrusion characteristic data exists, the alarm response operation is initiated, and the intrusion characteristic data in the real-time network traffic data is filtered out. The remaining characteristic data in the real-time network traffic data is introduced into the training model for learning and training, and the DDoS attack detection model is updated in real time. By updating the detection model of DDoS attacks, the detection ability of unknown attack features is strengthened. By optimizing BP neural network, the shortcomings of slow convergence speed and low accuracy of traditional BP neural network are improved.

【技术实现步骤摘要】
一种DDoS攻击检测方法、装置、设备以及存储介质
本专利技术涉及计算机网络技术安全领域，特别是涉及一种DDoS攻击检测方法、装置、设备以及存储介质。
技术介绍
分布式拒绝服务(DistributedDenialofService，DDoS)攻击是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式，是当前网络攻击中的主要威胁。DDoS攻击主要是利用多个计算机去非法占用互联网资源，导致用户得不到网络响应，它对互联网与互联网服务造成了很大的威胁。DDoS攻击检测技术是应对DDoS攻击的关键技术，目前的DDoS攻击检测技术主要为将提取到的用户行为特征与已知的DDoS攻击特征进行匹配，从而发现存在DDoS攻击，但是检测DDoS攻击的准确度不高，很容易将正常行为判定为攻击行为，也缺乏对未知DDoS攻击的检测能力，如何对DDoS攻击检测技术进行不断完善成为了一个新的难题。
技术实现思路
为了克服现有技术的不足，本专利技术的目的在于提供一种DDoS攻击检测方法、装置、设备以及存储介质，采用对DDoS攻击检测模型不断更新的方法，改善了只对已知的攻击模式具有检测力，对未知的攻击无能为力的局面。本专利技术解决其问题所采用的技术方案是：第一方面，本专利技术提供了一种DDoS攻击检测方法，包括以下步骤：接收采集的实时网络流量数据，并对所述实时网络流量数据进行预处理；将所述实时网络流量数据传输至数据分析模块，所述数据分析模块包括DDoS攻击检测模型和训练模型；所述DDoS攻击检测模型包含众多入侵特征，用于检测所述实时网络流量数据中的入侵特征数据，所述训练模型使用优化BP神经网络算法对数据进行学习训练。将所述实时网络流量数据与所述DDoS攻击检测模型对比，当存在一个以上相同的入侵特征数据时，启动告警响应操作，并过滤掉所述实时网络流量数据中的入侵特征数据，将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，实时更新所述DDoS攻击检测模型。进一步，所述DDoS攻击检测模型以及所述训练模型的个数均不少于1个。进一步，所述实时更新所述DDoS攻击检测模型，包括训练模型实时更新或人工实时更新。通过人工实时更新能加强所述DDoS攻击检测模块扩展性，提高DDoS攻击检测的准确性。进一步，所述将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，包括：使用优化BP神经网络对所述训练模型进行学习训练，所述优化BP神经网络将固定学习率改为可变化学习率。进一步，所述将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，还包括以下步骤：将所述实时网络流量数据不符合入侵特征数据作为样本数据引入训练模型中；设置优化BP神经网络的所有参数，通过正向传播计算出所述样本数据的误差值；将所述误差值与预设误差值对比，当所述误差值大于所述预设误差值，计算调整权值，直至所述误差值小于所述预设误差值，结束训练过程。进一步，所述当所述误差值大于所述预设误差值，计算调整权值，还包括以下步骤：当所述误差值大于所述预设误差值,转至反向传播；通过反向传播计算调整权值，再通过正向传播计算出调整权值之后的所述样本数据的误差值，并将所述误差值与预设误差值进行对比。第二方面，本专利技术提供了一种DDoS攻击检测装置，包括以下装置：采集模块，用于从交换机上采集实时网络流量数据；预处理模块，用于对实时网络流量数据进行检测前的预处理，降低后续检测工作量；调度模块，用于读取数据分析模块负载情况，并将实时网络流量数据传输至数据分析模块，有利于减轻负载压力，提高检测速度；数据分析模块，用于检测实时网络流量数据是否具有入侵特征；更新模块，用于对DDoS攻击检测模型进行更新；告警响应模块，用于过滤实时网络流量数据中的入侵特征数据以及启动响应或者告警提示。第三方面，本专利技术提供了一种DDoS攻击检测设备，包括至少一个控制处理器和用于与所述至少一个控制处理器通信连接的存储器；所述存储器存储有可被所述至少一个控制处理器执行的指令，所述指令被所述至少一个控制处理器执行，以使所述至少一个控制处理器能够执行如上所述的DDoS攻击检测方法。第四方面，本专利技术提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行如上所述的DDoS攻击检测方法。本专利技术实施例中提供的一个或多个技术方案，至少具有如下有益效果：本专利技术采用一种DDoS攻击检测方法，接收采集的实时网络流量数据，并对所述实时网络流量数据进行预处理；将所述实时网络流量数据传输至数据分析模块，所述数据分析模块包括DDoS攻击检测模型和训练模型；将所述实时网络流量数据与所述DDoS攻击检测模型对比，当存在一个以上相同的入侵特征数据时，启动告警响应操作，并过滤掉所述实时网络流量数据中的入侵特征数据，将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，实时更新所述DDoS攻击检测模型。采用对DDoS攻击检测模型不断更新的方法，改善了只对已知的攻击模式具有检测力，对未知的攻击无能为力的局面，通过优化BP神经网络，改进了传统BP神经网络收敛速度慢、精度低的缺点。附图说明下面结合附图和实例对本专利技术作进一步说明。图1是本专利技术一个实施例所提供的一种DDoS攻击检测方法流程图；图2是本专利技术一个实施例所提供的一种DDoS攻击检测方法中进行优化BP神经网络学习训练流程图；图3是本专利技术一个实施例所提供的一种DDoS攻击检测设备的结构示意图。具体实施方式目前，互联网的发展浪潮已经遍布全世界，改变了人们的生活方式，处处影响着人们的衣食住行，互联网给人们带来便利的同时也带来许多安全风险，其中分布式拒绝服务就是安全风险中比较常见的，带来危害较为严重的一种。分布式拒绝服务(DDoS)是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式,DDoS攻击很难以抵御，危害极大，也成为网络安全面临的重要威胁之一。近年来，许多研究人员致力于DDoS攻击检测的各种关键技术的研究，虽然取得了部分成果，但是考虑到网络环境的日益复杂和网络攻击技术的发展，现有的DDoS攻击检测技术的准确性和实时性还有极大提高的空间，来满足人们对网络安全的迫切需要。常用的DDoS攻击检测方法主要包括误用检测技术和异常检测技术两种。误用检测技术是将采集并提取到的用户行为特征与已知的DDoS攻击特征进行匹配，从而发现攻击，它虽然能够准确识别已知攻击，但对已知攻击的变种或未知攻击无能为力，并且需要不断更新攻击特征库，可移植性差；异常检测技术是通过建立目标系统及用户的正常行为模型，监测系统和用户的活动是否偏离该模型，从而判断是否存在攻击行为，它虽然通用性强，能够识别多类攻击，但是容易将正常数据误判为攻击。本专利技术采用了一种DDoS攻击检测方法，包括以下步骤，接收采集的实时网络流量数据，并对所述实时网络流量数据进行预处理；将所述实时网络流量数据传输至数据分析模块，所述数据分析模块包括DDoS攻击检测模型和训练模型；将所述实时网络流量数据与所述DDoS攻击检测模型对比，当存在一个以上相同的入侵特征数据时，启动告警响应操作，并过滤掉所述实时网络流量数据中的入侵特征数据，将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，本文档来自技高网...

【技术保护点】
1.一种DDoS攻击检测方法，其特征在于，包括以下步骤：接收采集的实时网络流量数据，并对所述实时网络流量数据进行预处理；将所述实时网络流量数据传输至数据分析模块，所述数据分析模块包括DDoS攻击检测模型和训练模型；将所述实时网络流量数据与所述DDoS攻击检测模型对比，当存在一个以上相同的入侵特征数据时，启动告警响应操作，并过滤掉所述实时网络流量数据中的入侵特征数据，将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，实时更新所述DDoS攻击检测模型。

【技术特征摘要】
1.一种DDoS攻击检测方法，其特征在于，包括以下步骤：接收采集的实时网络流量数据，并对所述实时网络流量数据进行预处理；将所述实时网络流量数据传输至数据分析模块，所述数据分析模块包括DDoS攻击检测模型和训练模型；将所述实时网络流量数据与所述DDoS攻击检测模型对比，当存在一个以上相同的入侵特征数据时，启动告警响应操作，并过滤掉所述实时网络流量数据中的入侵特征数据，将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，实时更新所述DDoS攻击检测模型。2.根据权利要求1所述的一种DDoS攻击检测方法，其特征在于：所述DDoS攻击检测模型以及所述训练模型的个数均不少于1个。3.根据权利要求1所述的一种DDoS攻击检测方法，其特征在于：所述实时更新所述DDoS攻击检测模型，包括训练模型实时更新或人工实时更新。4.根据权利要求1所述的一种DDoS攻击检测方法，其特征在于，所述将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，包括：使用优化BP神经网络对所述训练模型进行学习训练，所述优化BP神经网络将固定学习率改为可变化学习率。5.根据权利要求4所述的一种DDoS攻击检测方法，其特征在于，所述将所述实时网络流量数据中剩余的特征数据引入所述训练模型进行学习训练，还包括以下步骤：将所述实时网络流量数据不符合入侵特征数据作为样本数据引入训练模型中；设置优化BP神经网络的所有参数，通过正向传播计算出所述样本数据的误差值；将所述误差值与预设误差...

【专利技术属性】
技术研发人员：黄惟，
申请(专利权)人：长沙市智为信息技术有限公司，
类型：发明
国别省市：湖南,43