【技术实现步骤摘要】
一种DDoS攻击检测方法
[0001]本专利技术涉及
DDoS
攻击检测
,尤其涉及一种
DDoS
攻击检测方法
。
技术介绍
[0002]DDoS(Distributed Denial of Service,
分布式拒绝服务
)
攻击是目前黑客常使用的攻击方式,通过耗尽攻击者主机的资源,拒绝合法用户的正常访问非常容易使得攻击对象的金钱
、
服务和名誉受到严重损害
。
随着网络技术的不断升级更新,
DDOS
攻击手段越来越难以被察觉,且破坏力日益增大
。
因此如何快速检测并区分出正常流量和攻击流量,已成为国内外众多研究学者最新关注的研究热点
。
[0003]随着深度学习的飞速发展,大量的研究人员开始将深度学习引入到
DDoS
攻击检测中来
。
深度学习通过多层神经元或感知机构建网络模型,并对模型进行训练,以便从海量数据中分析并学习其中的内在规律<...
【技术保护点】
【技术特征摘要】
1.
一种
DDoS
攻击检测方法,其特征在于,包括以下步骤:
S1,
数据预处理阶段
,
对数据集进行数据清洗
、one
‑
hot
编码和归一化处理;
S2
,特征选择阶段
,
即先采用随机森林算法来计算流量数据的特征重要性,并根据其重要性进行排序;然后,通过皮尔逊相关分析来计算特征之间的相关性,结合
S1
结果进行特征选择,减少数据冗余;
S3,
采用
CNN
和
BiLSTM
模型分别进行空间维度和时间维度的特征提取,对二者提取到的特征进行融合后,再利用自注意力机制分配以不同的权重;
S4
,分类阶段,将训练好的结果输入
softmax
分类器进行分类处理
。2.
如权利要求1所述的一种
DDoS
攻击检测方法,其特征在于,所述预处理阶段的过程分为三个步骤:首先对
CIC
‑
IDS2017
和
CIC
‑
DDoS2019
数据集进行数据清洗,然后进行
one
‑
hot
编码,最后进行归一化处理;
S1
‑1,数据清洗主要是对异常数据进行处理,采用
Scikit
‑
learn
中
KNN Imputer
方法进行处理,当样本数据大量缺失时,对缺失值进行拟合;样本数据缺失较少时,采用众数来填充;该方法通过欧几里得距离矩阵寻找最近邻,帮助估算观测中出现的缺失值;
S1
‑2,采用
one
‑
hot
编码对
CIC
‑
IDS2017
数据集进行处理,将原始数据集中的符号性特征转化为数值型特征,以确保所有数据都是数值的,从而便于学习数据特征;
S1
‑3,由于数据集归一化可以将流量特征的方差降低到一定范围内,并减少异常值的影响,故数据经过
one
‑
hot
编码后,使用最小
‑
最大归一化将特征值归一化为0到1之间的值,如下式所示:其中,
h
i
,
j
表示数据集中第
i
行和第
j
列的特征值
。3.
如权利要求1所述的一种
DDoS
攻击检测方法,其特征在于...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。