[发明专利]基于卷积神经网络的DDoS攻击检测方法

说明书

本发明是基于卷积神经网络的DDoS攻击检测方法，通过研究了DDoS攻击与检测的现状和发展趋势，分析了DDoS攻击原理、类型以及SVM的工作原理和网络流数据处理的方法并引入卷积神经网络对模型进行训练，学习各种网络安全指标，以实现对网络的全面评估。首先，对数据进行Min‑Max归一化、PCA降维处理，通过核函数将预处理后的样本映射到高维特征空间，再引入参数V控制支持向量和错误向量的个数。然后，将初始模型转换为对偶模型，求出决策系数w和决策项b，最终获得最优分类超平面。基于卷积神经网络的DDoS攻击检测方不仅提高了分类准确率、降低了误报率，还确保了分类模型的稳定性和时效性，它更高效地检测了DDoS攻击，降低了网络安全的风险。

技术领域

本发明是基于卷积神经网络的分布式拒绝服务（Distributed Denial ofService，DDoS）攻击检测方法，主要研究了DDoS攻击与检测的现状和发展趋势，分析了DDoS攻击原理、类型、支持向量机以及卷积神经网络的工作原理和网络流数据处理的方法并进行攻击流量的异常检测，属于网络安全、大数据及分布式计算交叉领域。

背景技术

网络流（Network-Flows）是指在一段时间内，源IP和目的IP之间传输的具有相同源端口和目的端口的数据包的集合，它具有速度快、维数多、规模宏大等特点。网络流中单一的数据包或帧是没有具体含义的，将它的分析过程应用于实际网络场景才具有现实意义。而网络流异常检测是网络流分析技术的重要基础部分，流异常通常指对网络正常使用造成不良影响的网络流模式，表现为网络业务流量的异常升高或降低。其类型主要有DDoS异常流、Alpha Anomaly异常流、Port Scan异常流、Network Scan异常流、Worms异常流以及Flash Crowd异常流等。

DDoS是一种基于拒绝服务攻击（Denial of Service，DoS）特殊形式的大规模协同攻击。首先，攻击者通过识别网络中的漏洞在多台机器上安装恶意软件程序并控制它们。然后，攻击者在不需要了解受害者任何信息的情况下，根据攻击包的强度和用于攻击的主机数量，利用这些僵尸主机向受害者发送攻击数据包，对受害者网络产生不同程度的损害。如果“僵尸”的数量非常庞大，它可能会在很短的时间内破坏一个网络或者Web服务器。常见的DDoS攻击包括Smurf、Neptune和SYN Flood等，DDoS攻击者的首要目的就是破坏网络使得它不能为合法用户提供任何服务。

发明内容

技术问题：目前DDoS攻击手法隐蔽、破坏性强、组织性高，使得整个网络环境存在巨大的安全隐患。由于现有的网络设备和传统安全防御技术——防火墙和入侵检测系统（Intrusion Detection Systems，IDS）无法提供足够的安全保护。当前，国内外学者尝试着采用新型检测技术对网络实施安全保护，包括基于不同范围的网络流检测、基于不同网络攻击类型的检测以及基于不同检测原理的系统测试，但随着全球物联网、大数据以及云计算迅速发展的热潮，“互联网+”时代将被不断推进，DDoS攻击的流量峰值还会不断提升。它将呈现出态势多变、小规模攻击数量上升、攻击事件利益最大化以及攻击手段考虑投入产出比等特点，使得现有的网络态势评估方法无法有效评估DDoS的安全态势。

技术方案：网络流异常检测是当前Internet安全领域的热门话题。本发明基于DDoS攻击的原理、网格搜索法、支持向量机、交叉验证、主成分分析法及卷积神经网络理论设计了能够综合反映DDoS攻击的检测方法，有效地实现DDoS攻击检测过程。基于卷积神经网络的DDoS攻击检测研究包括：分析数据集、选择合适的特征，对数据进行归一化、主成分分析的处理，初始化分类模型并通过学习得到分类器。最后，分析实验结果并比较了方法的优劣，得出结论。

体系结构：