[发明专利]基于分布式机器学习和区块链的物联网DDoS检测、防御方法、检测装置及存储介质

权利要求书

1.一种基于分布式机器学习和区块链的物联网DDoS检测装置，其特征在于，包括流量监听及过滤模块、机器学习模块和区块链模块；所述流量监听及过滤模块用于接收边缘节点发出的流量，并对异常流量进行过滤和特征提取；所述机器学习模块用于学习检测异常流量；所述区块链模块用于存储异常流量；所述流量监听及过滤模块将提取到的特征传输至区块链模块；边缘节点从区块链模块中获取异常流量数据传输至机器学习模块；

所述流量监听及过滤模块，通过建立规则对异常流量实现过滤，建立规则具体的方法具体包括：

S1.1.在单位时间内，某源ip发送了超过设置上限的访问次数v，则判定为异常；

S1.2.流量监听及过滤模块接收到syn报文后先使用特定的cookie进行回应，若源端不进行回应，则为异常；

S1.3.收到UDP报文时，对其包大小、访问端口等进行判断，若超出阈值则记录为异常；

所述提取流量的特征值具体包括连接的基本特征、基于时间的网络流量特征和基于主机的网络流量特征；

所述机器学习模块通过对异常连接信息进行分析校验检测异常流量，具体的检测异常流量方法是：包括如下步骤：

S4.1.将原始数据集分为m组，从中有放回的随机抽选i个样本集；

S4.2.在样本集中从所有特征中随机选择k个特征，在每组样本数据集上用决策树算法对其进行建模，生成i个决策树模型；

S4.3.输入新的异常连接时，每棵决策树都要进行投票表决，确定选择哪类；

所述投票的具体方法是：如下公式计算得到：

其中，表示多分类模型系统，表示单棵决策树分类模型，y表示目标变量，表示示性函数，表示当括号内条件成立时取值为1，否则为0。

2.一种基于分布式机器学习和区块链的物联网DDoS检测方法，该方法基于权利要求1所述的一种基于分布式机器学习和区块链的物联网DDoS检测装置实现，其特征在于，包括以下步骤：

S1.流量监听模块获取边缘节点输入的流量，判断流量是否为异常连接，如是执行步骤S3，如否执行步骤S2；

S2.提取流量的特征值，将流量的特征值输入至分布式机器学习训练模型中；

S3.提取流量的特征值，记录异常连接信息，对其进行签名后将其上传至区块链中；

S4.其他边缘节点共享区块链中的异常连接信息，并将该信息输入至分布式机器学习训练模型中对异常连接信息进行分析校验；包括如下步骤：

S4.1.将原始数据集分为m组，从中有放回的随机抽选i个样本集；

S4.2.在样本集中从所有特征中随机选择k个特征，在每组样本数据集上用决策树算法对其进行建模，生成i个决策树模型；

S4.3.输入新的异常连接时，每棵决策树都要进行投票表决，确定选择哪类；

投票的具体方法是：如下公式计算得到：

其中，表示多分类模型系统，表示单棵决策树分类模型，y表示目标变量，表示示性函数，表示当括号内条件成立时取值为1，否则为0；

S5.当2/3边缘节点验证器为DDoS攻击后，同步广播给所有边缘节点和流量监听及过滤模块，所有边缘节点将包含攻击信息的区块记录在本地，并对计算正确的边缘节点对应的分布式机器学习训练模型分发便签；

S6.流量监听及过滤模块收到广播后对DDoS攻击流量进行拦截；

S7.根据便签数量确定最优分布式机器学习训练模型，并使全网同步此模型。

3.根据权利要求2所述的方法，其特征在于，步骤S1所述流量监听及过滤模块，通过建立规则对异常流量实现过滤，建立规则具体的方法具体包括：

S1.1.在单位时间内，某源ip发送了超过设置上限的访问次数v，则判定为异常；

S1.2.流量监听及过滤模块接收到syn报文后先使用特定的cookie进行回应，若源端不进行回应，则为异常；

S1.3.收到UDP报文时，对其包大小、访问端口等进行判断，若超出阈值则记录为异常。

4.根据权利要求3所述的方法，其特征在于，步骤S2和步骤S3所述提取流量的特征值具体包括连接的基本特征、基于时间的网络流量特征和基于主机的网络流量特征。