[发明专利]慢速拒绝服务攻击检测方法及相关设备

说明书

本申请提供一种慢速拒绝服务攻击检测方法，对检测区间内的流量进行分段采集提取第一特征，并将提取到的第一特征生成第一特征矩阵输入卷积神经网络进一步提取第二特征得到第二特征矩阵，之后对第二特征矩阵池化并将池化后的矩阵二分类得到服务攻击检测结果。通过上述方法进行慢速拒绝服务攻击检测，能够充分考虑时间间隔内流量的时序特征，进而能够更好的检测慢速拒绝服务攻击。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种慢速拒绝服务攻击检测方法及相关设备。

背景技术

慢速拒绝服务攻击是拒绝服务攻击的变种，其产生的攻击效果类似于拒绝服务攻击，但是攻击的隐蔽性更强。主要是通过一些特殊的数据包，长时间的占据服务器连接，使得服务器无法响应正常用户的请求。由于特殊的数据包能够长时间的占据服务器连接，所以攻击者不需要一直进行高速率的发包，只需要在一小段时间内发送大量的数据包占据连接，因此，慢速拒绝服务攻击的平均速率与正常流量差别不大。相关的HTTP/2慢速拒绝服务检测方法中，在进行流量攻击检测时并没有考虑到流量的时序特征。

发明内容

有鉴于此，本申请的目的在于提出一种慢速拒绝服务攻击检测方法及相关设备。

基于上述目的，本申请提供了一种慢速拒绝服务攻击检测方法，包括：

根据预设采样间隔按照时间序列获取多个区间流量；

分别提取多个所述区间流量中对应的多个第一特征的值，以生成第一特征矩阵；

通过卷积神经网络计算所述第一特征矩阵的第二特征，以得到第二特征矩阵；

将所述第二特征矩阵池化为第三特征矩阵；

通过全连接层和分类网络将所述第三特征矩阵二分类，得到慢速拒绝服务攻击检测结果。

在一些实施方式中，所述分别提取多个所述区间流量中对应的多个第一特征的值，生成第一特征矩阵，包括：

对于所述多个区间流量中的每一个区间流量，根据区间流量中的HTTP/2协议二进制帧的属性定义多个第一特征对应的多个提取规则，分别将所述区间流量中满足提取规则的HTTP/2协议二进制帧的数量作为对应的第一特征的值；

根据全部的第一特征的值生成所述第一特征矩阵，其中，所述第一特征矩阵的列元素表示在一个区间流量内的多个第一特征。

在一些实施方式中，所述通过卷积神经网络计算所述第一特征矩阵的第二特征，以得到第二特征矩阵，包括：

对所述第一特征矩阵进行一维卷积操作，得到特征提取矩阵；

对所述特征提取矩阵进行批标准化操作，通过激活函数将批标准化后的特征提取矩阵转换为第二特征矩阵。

在一些实施方式中，所述卷积神经网络包括第一卷积神经网络、第二卷积神经网络和第三卷积神经网络，所述通过卷积神经网络提取所述第一特征矩阵的第二特征，以得到第二特征矩阵，包括：

通过所述第一卷积神经网络对所述第一特征矩阵进行第一一维卷积操作，得到第一特征提取矩阵；对所述第一特征提取矩阵进行第一批标准化操作，通过第一激活函数将批标准化后的第一特征提取矩阵转换为第一中间特征矩阵；

通过所述第二卷积神经网络对所述第一中间特征矩阵进行第二一维卷积操作，得到第二特征提取矩阵；对所述第二特征提取矩阵进行第二批标准化操作，通过第二激活函数将批标准化后的第二特征提取矩阵转换为第二中间特征矩阵；

通过所述第三卷积神经网络对所述第二中间特征矩阵进行第三一维卷积操作，得到第三特征提取矩阵；对所述第三特征提取矩阵进行第三批标准化操作，通过第三激活函数将批标准化后的第三特征提取矩阵转换为第二特征矩阵；