一种基于分布式协作学习的DDoS主动防御系统及方法技术方案

本发明专利技术公开了一种基于分布式协作学习的DDoS主动防御系统及方法，该系统包括DDoS攻击检测模块、边缘设备分布学习模块、决策强化学习模块和主动防御模块；采用CNN神经网络充分发掘数据流量的时间特征和空间特征；将CNN神经网络模型和轻量级模型引入物联网DDoS攻击流量检测；边缘节点上传环境信息给云服务器，控制节点下放主动防御决策给边缘节点；实现边缘节点做出协作学习决策，部署拓扑构造策略；选择主动防御措施。与现有技术相比，本发明专利技术实现了应用于端

【技术实现步骤摘要】
一种基于分布式协作学习的DDoS主动防御系统及方法


[0001]本专利技术涉及物联网安全领域，特别是涉及一种DDoS主动防御系统及方法。

技术介绍

[0002]分布式拒绝服务(DDoS)攻击，是当今互联网中最具有威胁的网络攻击之一。鉴于DDos有多种攻击组合方式，如攻击者使用多个协议组合的多向量DDoS攻击方式，使得传统的检测和防御方案难以实施。例如，传统的基于签名的入侵检测系统不能应对此类攻击，而现有的基于统计异常的检测系统也受到定义检测阈值要求的限制。使用深度学习技术的主动防御技术正在被探索以解决现有解决方案的局限性，此类方法通过从数据包的低级粒度特征中获得流量的高级特征表示，从而有效区分DDoS攻击流量和良性流量。
[0003]现有的基于深度学习的DDoS攻击检测技术，学习模型的训练和推断过程都是在高性能服务器或云端进行的。各个边缘设备需要将大量的模型数据上传给云服务器，这样会给边缘设备网络造成的巨大压力，无法实时处理跨多个捕获时间窗口分割流量的检测，从而影响对DDoS主动防御的时效性。
[0004]模型与数据集是深度学习的关键。在现有解决方案中，采用集中式深度学习的检测方法对硬件资源和带宽等有较高的要求。进一步地，主动防御的实时快速在线检测的需求，使得集中式的边缘智能学习策略已经无法完美解决DDoS攻击的主动防御实时检测问题。本专利技术亟待解决以下的技术问题：
[0005](1)单节点特征提取缺少全局流量信息；
[0006](2)边缘设备的资源受限，DDoS攻击检测时间冗长；<br/>[0007](3)DDoS攻击检测的准确度较低导致主动防御效果不优。

技术实现思路

[0008]针对上述现有技存在的技术问题，同时为缓解大量训练数据传输对骨干网络的压力以及主动防御的延迟，本专利技术提出一种基于分布式协作学习的DDoS主动防御系统及方法，针对物联网数据流的分布式在线DDoS检测技术，从而实现对DDoS攻击的主动防御。
[0009]本专利技术利用如下的技术方案来实现：
[0010]一种基于分布式协作学习的DDoS主动防御系统，该系统包括DDoS攻击检测模块、边缘设备分布学习模块、决策强化学习模块和主动防御模块，其中：
[0011]所述DDoS攻击检测模块，其采用CNN神经网络充分发掘数据流量的时间特征和空间特征，结合边缘网络的部署要求，将CNN神经网络模型和轻量级模型引入物联网DDoS攻击流量检测；
[0012]所述边缘网络分布式学习模块，其构建出分布式协作学习的边缘网络拓扑模型，加入了不同于云服务器的控制节点，从而缓解大量训练数据传输对骨干网络的压力以及主动防御的延迟；其中的分布式协作学习的边缘网络拓扑模型中设置有边缘节点和控制节点：边缘节点是小型基站或物联网边缘设备，其负责上传环境信息给云服务器；控制节点是
云服务器，其负责收集来自边缘节点上传的环境信息包括网络中可用的信道子载波的数量，在每个迭代周期向各个边缘节点下放主动防御决策；
[0013]所述决策强化学习模块，其使用深度强化学习算法，帮助边缘节点在资源受限的情况下做出协作学习决策，有效地实时分布式协作学习和进行拓扑构造策略的部署；
[0014]所述主动防御模块，其根据发现边缘节点出现遭受DDoS攻击的异常情况后，选择防御措施。
[0015]一种基于分布式协作学习的DDoS主动防御方法，该方法具体包括以下步骤：
[0016]步骤1、采用CNN神经网络充分发掘数据流量的时间特征和空间特征，结合边缘网络的部署要求，将CNN神经网络模型和轻量级模型引入物联网DDoS攻击流量检测；
[0017]步骤2、边缘节点上传环境信息给云服务器，控制节点下放主动防御决策给边缘节点；
[0018]步骤3、利用深度强化学习算法实现边缘节点做出协作学习决策，部署拓扑构造策略；
[0019]步骤4、根据发现边缘节点出现遭受DDoS攻击的异常情况后，选择主动防御措施。
[0020]与现有技术相比，本专利技术能够达成以下技术效果：
[0021]1)把深度学习模型下放到各个边缘服务器，将实时检测下沉到端和边缘侧，实现了应用于端
‑
边设备架构下，针对物联网数据流的分布式在线DDoS检测技术，实现延迟更低、鲁棒性更好的智能防御引擎；
[0022]2)检测攻击的模型更加轻量化，适用于边缘网络环境，节点间的交互机制和学习机制提升了主动防御的精确度，有效降低了时延。
附图说明
[0023]图1为本专利技术的一种基于分布式协作学习的DDoS主动防御系统模块图；
[0024]图2为本专利技术的CNN神经网络架构图；
[0025]图3为本专利技术的边缘网络拓扑模型结构图；
[0026]图4为本专利技术的一种基于分布式协作学习的DDoS主动防御方法流程图；
[0027]附图标记：
[0028]100、DDoS攻击检测模块，200、边缘设备分布学习模块，300、决策强化学习模块，400、主动防御模块。
具体实施方式
[0029]下面结合附图及实施例对本专利技术作进一步详细说明。
[0030]如图1所示，为本专利技术的一种基于分布式协作学习的DDoS主动防御系统模块图。该系统包括DDoS攻击检测模块100、边缘设备分布学习模块200、决策强化学习模块300和主动防御模块400。其中：
[0031]所述DDoS攻击检测模块100，其采用CNN神经网络充分发掘数据流量的时间特征和空间特征，结合边缘网络的部署要求，将CNN神经网络模型和轻量级模型引入物联网DDoS攻击流量检测，该模块包括以下步骤：
[0032]步骤1
‑
1、将物联网数据流量中每个数据包中的特征转换为长度为W的一维向量x，
一维向量x中上午每一个元素为一个特征的量化值，一维向量x表示数据包流的空间特征。
[0033]步骤1
‑
2：H个连续数据包的特征构成二维张量X，表示为H
×
W，其中，每行为一个数据包的一维向量x，每列为不同数据包的同类特征，二维张量X表示数据包流的时间特征，体现了同一种特征随时间的变化；
[0034]步骤1
‑
3：将特征数据作为CNN神经网络的输入，如图2所示，为本专利技术的CNN神经网络架构图。首先经过两个卷积层的处理，其中，第一卷积层C1采用16个卷积核，卷积核大小为3
×
3，采用了补零的方式，输出特征图大小为16
×
H
×
W；第二卷积层C2采用32个卷积核，大小为3
×
3，输出特征图大小为32
×
(H
‑
2)
×
(W
‑
2)；
[0035]步骤1
‑
4、将第二卷积层的输出特征图作为三层全连接层D1
‑
D3的输入，第一全连接层D1、第二全连接层D2、第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于分布式协作学习的DDoS主动防御系统，其特征在于，该系统包括DDoS攻击检测模块、边缘设备分布学习模块、决策强化学习模块和主动防御模块，其中：所述DDoS攻击检测模块，其采用CNN神经网络充分发掘数据流量的时间特征和空间特征，结合边缘网络的部署要求，将CNN神经网络模型和轻量级模型引入物联网DDoS攻击流量检测；所述边缘网络分布式学习模块，其构建出分布式协作学习的边缘网络拓扑模型，加入了不同于云服务器的控制节点，从而缓解大量训练数据传输对骨干网络的压力以及主动防御的延迟；其中的分布式协作学习的边缘网络拓扑模型中设置有边缘节点和控制节点：边缘节点是小型基站或物联网边缘设备，其负责上传环境信息给云服务器；控制节点是云服务器，其负责收集来自边缘节点上传的环境信息包括网络中可用的信道子载波的数量，在每个迭代周期向各个边缘节点下放主动防御决策；所述决策强化学习模块，其使用深度强化学习算法，帮助边缘节点在资源受限的情况下做出协作学习决策，有效地实时分布式协作学习和进行拓扑构造策略的部署；所述主动防御模块，其根据发现边缘节点出现遭受DDoS攻击的异常情况后，选择防御措施。2.如权利要求1所述的一种基于分布式协作学习的DDoS主动防御系统，其特征在于，所述DDoS攻击检测模块进一步包括以下处理：将物联网数据流量中每个数据包中的特征转换为长度为W的一维向量x，一维向量x中上午每一个元素为一个特征的量化值，一维向量x表示数据包流的空间特征；H个连续数据包的特征构成二维张量X，表示为H
×
W，其中，每行为一个数据包的一维向量x，每列为不同数据包的同类特征，二维张量X表示数据包流的时间特征，体现了同一种特征随时间的变化；构建边缘网络：特征数据作为CNN神经网络的输入，首先经过两个卷积层的处理，其中，第一卷积层C1采用16个卷积核，卷积核大小为3
×
3，采用了补零的方式，输出特征图大小为16
×
H
×
W；第二卷积层C2采用32个卷积核，大小为3
×
3，输出特征图大小为32
×
(H
‑
2)
×
(W
‑
2)；第二卷积层的输出特征图作为三层全连接层D1
‑
D3的输入，第一全连接层D1、第二全连接层D2、第一全连接层D3的层数分别为64、32和2。3.如权利要求1所述的一种基于分布式协作学习的DDoS主动防御系统，其特征在于，所述决策强化学习模块进一步包括以下处理：使用深度强化学习建立模型得出防御策略R0表达式如下：其中，s
t
为第t次获取环境中的状态空间集合，a
t
为第t次历元下采取的策略行动集合，γ
t
∈[0，1]为奖励贴现因子，T为模型收敛前的总时间；进行分布式协作学习，学习过程具体如下：控制节点获取当前环境下的状态空间s
t
，包括各个边缘节点的网络拓扑结构、可用子信道、可用带宽、信道增益、信道白噪音等参数；将获取的s
t
参数传入训练好的模型中，通过模型学习得出防御策略R0对应的行为a
t
，并将行为a
t
下发到边缘节点；边缘节点接到行为指令后实施行为a
t
；
完成行为a
t
后，由奖励函数r(s
t
，a
t
)进行一个reward反馈，增强深度强化学...

【专利技术属性】
技术研发人员：张朝昆，李丹阳，石善炜，曲雯毓，刘秀龙，
申请(专利权)人：天津大学，
类型：发明
国别省市：