[发明专利]慢速拒绝服务攻击检测方法及相关设备

权利要求书

1.一种慢速拒绝服务攻击检测方法，其特征在于，包括：

根据预设采样间隔按照时间序列获取多个区间流量；

分别提取多个所述区间流量中对应的多个第一特征的值，以生成第一特征矩阵；

通过卷积神经网络计算所述第一特征矩阵的第二特征，以得到第二特征矩阵；

将所述第二特征矩阵池化为第三特征矩阵；

通过全连接层和分类网络将所述第三特征矩阵二分类，得到慢速拒绝服务攻击检测结果；

所述分别提取多个所述区间流量中对应的多个第一特征的值，生成第一特征矩阵，包括：

对于所述多个区间流量中的每一个区间流量，根据区间流量中的HTTP/2协议二进制帧的属性定义多个第一特征对应的多个提取规则，分别将所述区间流量中满足提取规则的HTTP/2协议二进制帧的数量作为对应的第一特征的值；

根据全部的第一特征的值生成所述第一特征矩阵，其中，所述第一特征矩阵的列元素表示在一个区间流量内的多个第一特征。

2.根据权利要求1所述的方法，其特征在于，所述通过卷积神经网络计算所述第一特征矩阵的第二特征，以得到第二特征矩阵，包括：

对所述第一特征矩阵进行一维卷积操作，得到特征提取矩阵；

对所述特征提取矩阵进行批标准化操作，通过激活函数将批标准化后的特征提取矩阵转换为第二特征矩阵。

3.根据权利要求1所述的方法，其特征在于，所述卷积神经网络包括第一卷积神经网络、第二卷积神经网络和第三卷积神经网络，所述通过卷积神经网络提取所述第一特征矩阵的第二特征，以得到第二特征矩阵，包括：

通过所述第一卷积神经网络对所述第一特征矩阵进行第一一维卷积操作，得到第一特征提取矩阵；对所述第一特征提取矩阵进行第一批标准化操作，通过第一激活函数将批标准化后的第一特征提取矩阵转换为第一中间特征矩阵；

通过所述第二卷积神经网络对所述第一中间特征矩阵进行第二一维卷积操作，得到第二特征提取矩阵；对所述第二特征提取矩阵进行第二批标准化操作，通过第二激活函数将批标准化后的第二特征提取矩阵转换为第二中间特征矩阵；

通过所述第三卷积神经网络对所述第二中间特征矩阵进行第三一维卷积操作，得到第三特征提取矩阵；对所述第三特征提取矩阵进行第三批标准化操作，通过第三激活函数将批标准化后的第三特征提取矩阵转换为第二特征矩阵；

其中，所述第一卷积神经网络、第二卷积神经网络和第三卷积神经网络对应的特征通道数递进增加。

4.根据权利要求2或3所述的方法，其特征在于，所述激活函数为ReLU；所述批标准化操作通过BatchNormalization层进行；所述池化通过GlobalAveragePooling1D层进行。

5.根据权利要求1所述的方法，其特征在于，所述提取规则由至少一个原子规则的逻辑运算组成，所述原子规则用于表示任一HTTP/2协议二进制帧的属性的值的范围。

6.根据权利要求5所述的方法，其特征在于，所述原子规则包括：响应于确定任一HTTP/2协议二进制帧的属性的值在预设的区间内，该HTTP/2协议二进制帧的属性的值满足原子规则。

7.一种慢速拒绝服务攻击检测装置，其特征在于，包括：

获取模块，被配置为按照时间序列获取预设采样间隔的多个区间流量；

提取模块，被配置为分别提取多个所述区间流量中对应的多个第一特征的值，以生成第一特征矩阵；还用于对于所述多个区间流量中的每一个区间流量，根据区间流量中的HTTP/2协议二进制帧的属性定义多个第一特征对应的多个提取规则，分别将所述区间流量中满足提取规则的HTTP/2协议二进制帧的数量作为对应的第一特征的值；根据全部的第一特征的值生成所述第一特征矩阵，其中，所述第一特征矩阵的列元素表示在一个区间流量内的多个第一特征；

计算模块，被配置为通过卷积神经网络计算所述第一特征矩阵的第二特征，以得到第二特征矩阵；

池化模块，被配置为将所述第二特征矩阵池化为第三特征矩阵；

分类模块，被配置为通过全连接层和分类网络将所述第三特征矩阵二分类，得到慢速拒绝服务攻击检测结果。