一种基于识别模型的DDoS攻击防御方法
- 国知局
- 2024-12-26 14:55:06
本发明涉及数字信息的传输,特别涉及一种基于识别模型的ddos攻击防御方法。
背景技术:
1、分布式拒绝服务攻击(ddos)是一种集团行为,借助数百甚至数千台被入侵后安装了攻击进程的主机同时发起攻击。它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,通过成百上千台攻击代理主机向目标主机发送大量经过伪装、无法识别来源的服务请求数据包,这些数据包所请求的服务往往要消耗大量的系统资源或网络带宽,导致系统或网络不胜负荷,以至于瘫痪而停止提供正常的网络服务。ddos攻击的直接表现包括网络阻塞、系统宕机、响应缓慢等,无法处理正常请求,影响正常用户访问,造成经济损失,甚至在被攻击时可能被黑客入侵窃取资料,危害信息安全。
2、目前,分布式拒绝服务攻击ddos作为一种发动成本简单、造成危害性大的攻击,通过大量无效访问占用服务器资源,导致服务器瘫痪,无法处理正常请求,从而影响正常用户访问,且很难做到完美防御。
3、相关技术中,针对ddos的不同攻击特性,诞生了许多防御方法,边界过滤法聚焦于移除伪造报文,但需全局部署报文源地址检查功能,实施难度大;速率限制法就速率问题本身进行数据合并限制,但计算需要限制的流量宽带会占用过多服务器资源,导致资源利用率低;攻击源追踪法可以从攻击根源解决问题,但人力成本过高且会造成网络拥塞;采样法在全网络范围内覆盖率低,效率低下;动态安全关联法结合攻击源追踪法,由多个节点人员同时工作,效率高,但是建立安全关联和信息认证会对路由器造成较大影响,且需要管理员互相协作,实施难度大。
4、综上所述,相关技术中,构建成本较高,无法有效缓解服务器压力,且实施难度大,不利于推广应用,有待改进。
技术实现思路
1、本发明提供一种基于识别模型的ddos攻击防御方法,以解决相关技术中,构建成本较高,无法有效缓解服务器压力,且实施难度大,不利于推广应用等技术问题。
2、本发明第一方面实施例提供一种基于识别模型的ddos攻击防御方法,包括以下步骤:获取来自目标数据源的训练数据;利用所述训练数据进行模型训练,得到初始攻击识别模型;将所述初始攻击识别模型接入对应服务器,以利用所述服务器对所述初始攻击识别模型进行调试,得到调试结果;在预设时长内,判断所述调试结果是否满足预设正常报警条件,其中,如果所述调试结果满足所述预设正常报警条件,则将所述初始攻击识别模型作为实际攻击识别模型,以利用所述实际攻击识别模型进行ddos攻击识别,否则,基于所述调试结果重新训练所述初始攻击识别模型,直至满足预设迭代停止条件,得到所述实际攻击识别模型,以利用所述实际攻击识别模型进行所述ddos攻击识别。
3、可选地,在本发明的一个实施例中,所述获取来自目标数据源的训练数据,包括:从所述目标服务器中截取满足预设数据条件的实际数据,作为所述训练数据;和/或,对所述目标服务器发起多次模拟ddos攻击,从所述目标服务器中截取满足所述预设数据条件的模拟数据,作为所述训练数据。
4、可选地,在本发明的一个实施例中,在利用所述训练数据进行模型训练之前,还包括:将所述训练数据截取为多个预设长度的时间片,并对所述时间片进行清洗,得到清洗后的有效时间片;基于所述有效时间片中的数据,为每个所述有效时间片进行标签,得到正在遭受ddos攻击标签的有效时间片和未遭受ddos攻击的有效时间片;将所述有效时间片进行分组,得到满足预设ddos攻击特征显著性条件的第一组数据和不满足所述预设ddos攻击特征显著性条件的第二组数据;打乱所述第一组数据和所述第二组数据中全部的有效时间片,将所述第一组数据中的有效时间片进行随机组合,得到多个第一随机时间片对,将所述第二组数据中的有效时间片进行随机组合,得到多个第二随机时间片对。
5、可选地,在本发明的一个实施例中,所述利用所述训练数据进行模型训练,得到初始攻击识别模型,包括:构建初步模型,并利用所述初步模型逐一识别所述第一组数据中的第一随机时间片对的状态码,得到初步识别模型,其中,所述状态码由所述第一随机时间片对中每个有效时间片对应的标签得到;将所述第二组数据输入至所述初步识别模型中,计算所述初步识别模型的正确率,并判断所述正确率是否大于或等于预设阈值;如果所述正确率大于或等于所述预设阈值,则将所述初步识别模型作为所述初始攻击识别模型;如果所述正确率小于所述预设阈值,则利用所述第二组数据重复所述第一组数据的识别过程,直至所述正确率大于或等于所述预设阈值,得到所述初始攻击识别模型。
6、可选地,在本发明的一个实施例中,所述基于所述调试结果重新训练所述初始攻击识别模型,直至满足预设迭代停止条件,得到所述实际攻击识别模型,以利用所述实际攻击识别模型进行所述ddos攻击识别,包括:在所述调试结果为受到未识别的ddos攻击的情况下,获取新的训练数据,并利用所述新的训练数据进行模型训练,得到新的初始攻击识别模型;在所述调试结果为未受到所述未识别的ddos攻击的情况下,判断识别到的所述ddos攻击是否正确,如果所述ddos攻击识别正确,则在所述预设时长内,对所述初始攻击识别模型进行多次调试,直至每个调试结果均为未受到所述未识别的ddos攻击,得到所述实际攻击识别模型,否则,调整所述初步识别模型的参数,并利用满足预设相似条件的时间片对重新训练所述初步识别模型,直至得到所述初始攻击识别模型,并重新对所述初始攻击识别模型进行调试。
7、本发明第二方面实施例提供一种基于识别模型的ddos攻击防御装置,包括:获取模块,用于获取来自目标数据源的训练数据;训练模块,用于利用所述训练数据进行模型训练,得到初始攻击识别模型;调试模块,用于将所述初始攻击识别模型接入对应服务器,以利用所述服务器对所述初始攻击识别模型进行调试,得到调试结果;识别模块,用于在预设时长内,判断所述调试结果是否满足预设正常报警条件,其中,如果所述调试结果满足所述预设正常报警条件,则将所述初始攻击识别模型作为实际攻击识别模型,以利用所述实际攻击识别模型进行ddos攻击识别,否则,基于所述调试结果重新训练所述初始攻击识别模型,直至满足预设迭代停止条件,得到所述实际攻击识别模型,以利用所述实际攻击识别模型进行所述ddos攻击识别。
8、可选地,在本发明的一个实施例中,所述获取模块包括:第一截取单元,用于从所述目标服务器中截取满足预设数据条件的实际数据,作为所述训练数据;和/或,第二截取单元,用于对所述目标服务器发起多次模拟ddos攻击,从所述目标服务器中截取满足所述预设数据条件的模拟数据,作为所述训练数据。
9、可选地,在本发明的一个实施例中,还包括:处理模块,用于将所述训练数据截取为多个预设长度的时间片,并对所述时间片进行清洗,得到清洗后的有效时间片;标签模块,用于基于所述有效时间片中的数据,为每个所述有效时间片进行标签,得到正在遭受ddos攻击标签的有效时间片和未遭受ddos攻击的有效时间片;分组模块,用于将所述有效时间片进行分组,得到满足预设ddos攻击特征显著性条件的第一组数据和不满足所述预设ddos攻击特征显著性条件的第二组数据;组合模块,用于打乱所述第一组数据和所述第二组数据中全部的有效时间片,将所述第一组数据中的有效时间片进行随机组合,得到多个第一随机时间片对,将所述第二组数据中的有效时间片进行随机组合,得到多个第二随机时间片对。
10、可选地,在本发明的一个实施例中,所述训练模块包括:构建单元,用于构建初步模型,并利用所述初步模型逐一识别所述第一组数据中的第一随机时间片对的状态码,得到初步识别模型,其中,所述状态码由所述第一随机时间片对中每个有效时间片对应的标签得到;计算单元,用于将所述第二组数据输入至所述初步识别模型中,计算所述初步识别模型的正确率,并判断所述正确率是否大于或等于预设阈值;第一确定单元,用于在所述正确率大于或等于所述预设阈值的情况下,将所述初步识别模型作为所述初始攻击识别模型;第二确定单元,用于在所述正确率小于所述预设阈值的情况下,利用所述第二组数据重复所述第一组数据的识别过程,直至所述正确率大于或等于所述预设阈值,得到所述初始攻击识别模型。
11、可选地,在本发明的一个实施例中,所述识别模块包括:第一训练单元,用于在所述调试结果为受到未识别的ddos攻击的情况下,获取新的训练数据,并利用所述新的训练数据进行模型训练,得到新的初始攻击识别模型;第二训练单元,用于在所述调试结果为未受到所述未识别的ddos攻击的情况下,判断识别到的所述ddos攻击是否正确,如果所述ddos攻击识别正确,则在所述预设时长内,对所述初始攻击识别模型进行多次调试,直至每个调试结果均为未受到所述未识别的ddos攻击,得到所述实际攻击识别模型,否则,调整所述初步识别模型的参数,并利用满足预设相似条件的时间片对重新训练所述初步识别模型,直至得到所述初始攻击识别模型,并重新对所述初始攻击识别模型进行调试。
12、本发明第三方面实施例提供一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如上述实施例所述的一种基于识别模型的ddos攻击防御方法。
13、本发明第四方面实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上述实施例所述的一种基于识别模型的ddos攻击防御方法。
14、本发明第五方面实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被执行时,以用于实现如上的一种基于识别模型的ddos攻击防御方法。
15、本发明实施例可以利用来自目标数据源的训练数据进行模型训练,得到初始攻击识别模型,并利用服务器对初始攻击识别模型进行调试,得到调试结果,从而在预设时长内,判断调试结果是否满足预设正常报警条件,如果调试结果满足预设正常报警条件,则将初始攻击识别模型作为实际攻击识别模型,否则,基于调试结果重新训练初始攻击识别模型,直至满足预设迭代停止条件,得到实际攻击识别模型,以利用所述实际攻击识别模型进行ddos攻击识别,结合机器学习与ddos防御,在防御过程中,利用模型对数据变化敏感的特点,通过分析请求发起间隔、时间变化趋势、空间分布规律、请求包体特征等短时间内变化,识别ddos攻击,以在数据进入服务器前进行甄别,对可疑请求进行拦截,同时在投入使用后可以进行不断学习、实时修正,从而降低经济、人力成本,便于推广应用。由此,解决了相关技术中,构建成本较高,无法有效缓解服务器压力,且实施难度大,不利于推广应用等技术问题。
16、本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
本文地址:https://www.jishuxx.com/zhuanli/20241226/343850.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。
下一篇
返回列表