[发明专利]基于卷积神经网络的DDoS攻击检测方法

权利要求书

1.一种基于卷积神经网络的DDoS攻击检测方法，其特征在于通过研究DDoS攻击与检测的现状和发展趋势，分析DDoS攻击原理、类型以及SVM的工作原理和网络流数据处理方法并引入卷积神经网络对模型进行训练，学习各种网络安全指标，以实现对网络的全面评估；

步骤 1）网络流的采集；按网络流采集模式和采集原理的不同，采用了基于网络探针的网络流采集方法和基于云服务模型的网络流采集方法两种高效可靠的采集方法；网络探针通常被安插在距离路由出口较近的位置，也可以被安插在任何一处网络区间上，用来获取相应网段的网络流信息并监听所有通过网络总线的通信；

由于此方法通常在局域网范围内使用且网络探针不经过路由，所以它对整个计算机网络带宽不会产生太大影响；此外，它在网络流检测和分析时还能够提供更为详尽的数据信息；但安装网络探针连接接口的传输速率、监测主机的缓存和数据处理能力都将影响着网络流采集的准确度和效率；因此，该方法只能检测到一定范围内的网络流信息，对于大量网络信息流的传输处理将会更加复杂、实现成本更高以及适用性相对较差；云服务是面向用户提供公用化互联网基础设施的服务，它不仅可以高效地利用计算机集群的整体资源对网络流进行测量，还可以有效地缓解单一测量节点的采集压力，能更好地处理复杂多样的海量网络数据；与传统网络流采集方法相比，基于云服务模型的网络流采集方法以一对多的模式宏观控制计算节点，借助云平台采集到所有主机共享的资源，从而节省了大量的采集时间和系统开销；

步骤 2）数据特征分析；实际网络环境中存在噪声、延迟和拥塞等外在因素，若要有效地检测出的DDoS攻击，选择一组能够综合反映该攻击的特征是确保分类器加快学习速度、降低计算复杂度、提升准确率和稳定性的核心因素；

由于网络攻击事件和时间有很强的关联性，当发生大规模DDoS攻击时，黑客会对目标主机进行持续的发包；而以2s为一个时间间隔，统计出当前目标主机连接数与其之前连接个数或个数比值和服务前后错误连接个数占总连接数的百分比；当受害者在某一时间段内检测到主机或服务器接收到大量的连接请求，相比攻击前的数值，这些指标都会异常剧增；经实验及相关研究证明，基于固定时间间隔对网络流量进行统计能有效地体现DDoS攻击的特点；因此，本发明选择九项指标作为发生DDoS攻击行为的判断依据；

步骤 3）数据归一化；由于样本中可能存在缺省值、奇异点或噪声的干扰，这会影响模型的分类准确率，因此，需要对数据作归一化处理，解决数据指标之间量纲的影响，以加快梯度下降求最优解的速度；通过分析了以下两种常用的数据归一化方法：Z-scoreStandardization和Min-Max Scaling，其中Z-Score标准化，是对原始数据的均值和标准差进行数值上的统一，经过处理的数据基本符合标准正态分布，即“Z-分布”，样本平均值为0，方差为1，转化函数为：

其中为所有样本数据的均值，为所有样本数据的标准差；

步骤 4）基于主成分分析的特征提取；首先从网络流数据集中抽取10000个记录样本作为训练集，计算九项指标的方差贡献率，判断所有指标值的方差贡献率之和是否大于85%，若满足条件则输出主成分个数m，反之进行下一次迭代计算，直到满足条件为止；再者，高维向量x通过特征向量矩阵投影到一个低维的向量空间中，在得到结果矩阵T后确定相应主成分的个数为 m，最后将训练集中的9个特征指标转化为3个综合指标，得到新的训练集；3个相互正交的新特征是原始特征的线性组合，即横坐标为主成分，3个特征值累计方差之和占总方差的百分比约为97%，舍去剩余贡献率非常低特征值，降维后的各个主成分都能够反映原始特征的大部分信息，且所含信息互不重复；主成分分析法使数据分析的过程简单化，既达到了重构出所对应的原始高维向量的目的，又获得了更加科学有效的数据信息；

步骤 5） 攻击检测；针对数据分布不规则、含有奇异值或噪声点的问题，通过引入了V-SVM，增加了能够控制支持向量和错误向量个数的参数V和变量p，对数据集进行了预处理，充分体现参数V的价值，提高DDoS攻击的检测效率、降低分类误报率。