本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域，尤其是一種基于cnn-bigru的ddos攻擊檢測方法及系統(tǒng)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的快速發(fā)展和普及，網(wǎng)絡(luò)安全問題日益嚴(yán)峻。特別是分布式拒絕服務(wù)(ddos)攻擊作為一種常見的網(wǎng)絡(luò)安全威脅，對網(wǎng)絡(luò)基礎(chǔ)設(shè)施和服務(wù)的可用性造成了嚴(yán)重威脅。傳統(tǒng)的ddos檢測方法往往依賴于單一數(shù)據(jù)源或特定模型，無法有效應(yīng)對攻擊者日益變化和復(fù)雜化的攻擊手法。

2、當(dāng)前的解決方案大多基于單一數(shù)據(jù)源的特征提取和分析，缺乏對多模態(tài)數(shù)據(jù)，如時序數(shù)據(jù)、圖像數(shù)據(jù)等的綜合利用。因此，需要一種能夠綜合多種數(shù)據(jù)模態(tài)特征的高效方法，以提升ddos攻擊檢測系統(tǒng)對各種攻擊形式的適應(yīng)能力和檢測準(zhǔn)確率。

技術(shù)實(shí)現(xiàn)思路

1、(一)解決的技術(shù)問題

2、為了解決上述技術(shù)問題，本發(fā)明提供一種基于cnn-bigru的ddos攻擊檢測方法及系統(tǒng)。所述方法為一種基于格拉姆角場(gramian?angular?field，gaf)轉(zhuǎn)換的特征融合方法，并結(jié)合卷積神經(jīng)網(wǎng)絡(luò)(cnn)和雙向門控循環(huán)單元(bigru)的混合模型(gaf-cnn-bigru)，用于ddos攻擊檢測。該方法通過將時序數(shù)據(jù)轉(zhuǎn)換為二維紋理圖像，利用cnn有效地捕獲空間信息，再通過bigru模型結(jié)合時序特征，從而綜合利用多模態(tài)數(shù)據(jù)，提高了對ddos攻擊的檢測精度和泛化能力。

3、(二)技術(shù)方案

4、為了解決上述存在的技術(shù)問題，實(shí)現(xiàn)發(fā)明目的，本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的：

5、一種基于cnn-bigru的ddos攻擊檢測方法，其特征在于，包括如下步驟：

6、s1：計算cic?2019?d(d)os數(shù)據(jù)集中的每個特征與ddos攻擊標(biāo)簽特征之間的spearman秩相關(guān)系數(shù)，根據(jù)spearman秩相關(guān)系數(shù)絕對值大小確定與ddos攻擊相關(guān)性顯著的特征；

7、s2：基于格拉姆角差場將時間序列特征轉(zhuǎn)換為2d紋理圖像；

8、s3:將每個單變量時間序列轉(zhuǎn)換后的二維圖像輸入cnn-bigru網(wǎng)絡(luò)模型，訓(xùn)練模型直至收斂；

9、s4：將樣本輸入到訓(xùn)練好的gaf-cnn-bigru網(wǎng)絡(luò)模型中，將模型輸出的概率分布進(jìn)行平均概率融合，然后從融合后的輸出中獲取預(yù)測概率最高的結(jié)果并輸出。

10、進(jìn)一步的，所述步驟s1還包括：

11、s11：計算每個特征與ddos攻擊標(biāo)簽特征之間的spearman秩相關(guān)系數(shù)，具體為：分別對兩個特征數(shù)據(jù)進(jìn)行排序，并給每個數(shù)據(jù)點(diǎn)分配一個秩，如果有相同的值，分配它們的平均秩，計算秩差、秩差平方和以及spearman秩相關(guān)系數(shù)。

12、進(jìn)一步的，所述

13、秩差通過以下公式計算得到：

14、di＝r(xi)-r(yi)

15、所述秩差平方和通過以下公式計算得到：

16、

17、所述spearman秩相關(guān)系數(shù)通過以下公式計算得到：

18、

19、其中，n為數(shù)據(jù)對的數(shù)量。

20、進(jìn)一步的，所述步驟s1還包括：

21、s12：選擇與ddos攻擊相關(guān)性顯著的特征；

22、s13：計算與ddos攻擊相關(guān)性顯著的特征之間的spearman秩相關(guān)系數(shù)，過濾部分相關(guān)性大于閾值的特征，保留多個代表性特征。

23、進(jìn)一步的，選擇spearman秩相關(guān)系數(shù)大于0.8的特征為與ddos攻擊相關(guān)性顯著的特征。

24、進(jìn)一步的，所述步驟s2還包括：

25、s21：將從cic?2019?d(d)os數(shù)據(jù)集選擇的特征數(shù)據(jù)的單變量時間序列進(jìn)行歸一化處理；

26、s22：將每個單變量時間序列從笛卡爾坐標(biāo)系轉(zhuǎn)換為極坐標(biāo)系；

27、按照以下公式對歸一化處理后的數(shù)據(jù)進(jìn)行編碼，映射到極坐標(biāo)系上：

28、

29、式中表示歸一化后的特征數(shù)據(jù)，φi是對應(yīng)的數(shù)據(jù)點(diǎn)在極坐標(biāo)中的角度，n是時間序列數(shù)據(jù)的長度，是歸一化后的時間序列數(shù)據(jù)集，ri是第i個數(shù)據(jù)點(diǎn)的半徑，ti為xi對應(yīng)的時間戳按照數(shù)據(jù)點(diǎn)的索引歸一化到[0,1]范圍內(nèi)，表示時間戳集合；

30、s23：將映射到極坐標(biāo)系上的數(shù)據(jù)利用格拉姆角差場得到二維圖像；具體計算方法如下：

31、

32、gadf＝cos(φi-φj)

33、

34、式中，gadf為二維圖像矩陣，i為單位行向量[1,1,1,...,1],表示的轉(zhuǎn)置，表示的轉(zhuǎn)置。

35、進(jìn)一步的，所述步驟s3中cnn-bigru網(wǎng)絡(luò)模型包括順次設(shè)置的一個及以上的卷積層和池化層、雙向門控制單元、全連接層和輸出層。

36、進(jìn)一步的，所述步驟s4中所述將模型輸出的概率分布進(jìn)行平均概率融合的具體實(shí)現(xiàn)方式為：對于每個待預(yù)測的樣本，使用gaf-cnn-bigru模型進(jìn)行預(yù)測，得到各個模型對每個類別的預(yù)測概率；對于每個類別，將各個模型的預(yù)測概率進(jìn)行平均，得到一個平均概率值；選擇平均概率值最大的類別作為最終的預(yù)測結(jié)果。

37、本發(fā)明還提供一種基于cnn-bigru的ddos攻擊檢測系統(tǒng)，其包括：

38、攻擊相關(guān)特征獲取模塊，其用于計算cic?2019?d(d)os數(shù)據(jù)集中的每個特征與ddos攻擊標(biāo)簽特征之間的spearman秩相關(guān)系數(shù)，根據(jù)spearman秩相關(guān)系數(shù)絕對值大小確定與ddos攻擊相關(guān)性顯著的特征；

39、紋理圖像生成模塊，其用于將時間序列特征基于格拉姆角差場轉(zhuǎn)換為2d紋理圖像；

40、網(wǎng)絡(luò)模型建立與訓(xùn)練模塊，其用于將每個單變量時間序列轉(zhuǎn)換后的二維圖像輸入cnn-bigru網(wǎng)絡(luò)模型，訓(xùn)練模型直至收斂；

41、預(yù)測結(jié)果計算模塊，其用于將樣本輸入到訓(xùn)練好的gaf-cnn-bigru網(wǎng)絡(luò)模型中，將模型輸出的概率分布進(jìn)行平均概率融合，然后從融合后的輸出中獲取預(yù)測概率最高的結(jié)果并輸出。

42、此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提供一種計算機(jī)可讀存儲介質(zhì),所述計算機(jī)可讀存儲介質(zhì)上存儲有基于cnn-bigru的ddos攻擊檢測方法的程序指令，所述基于cnn-bigru的ddos攻擊檢測的程序指令可被一個或者多個處理器執(zhí)行，以實(shí)現(xiàn)如上所述的潔基于cnn-bigru的ddos攻擊檢測方法的步驟。

43、(三)有益效果

44、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果為：

45、通過將時序數(shù)據(jù)轉(zhuǎn)換為二維紋理圖像，利用cnn有效地捕獲空間信息，再通過bigru模型結(jié)合時序特征，從而綜合利用多模態(tài)數(shù)據(jù)，提高了對ddos攻擊的檢測精度和泛化能力。

技術(shù)特征：

1.一種基于cnn-bigru的ddos攻擊檢測方法，其特征在于，包括如下步驟：

2.根據(jù)權(quán)利要求1所述的基于cnn-bigru的ddos攻擊檢測方法，其特征在于，所述步驟s1還包括：

3.根據(jù)權(quán)利要求2所述的基于cnn-bigru的ddos攻擊檢測方法，其特征在于，所述

4.根據(jù)權(quán)利要求1所述的基于cnn-bigru的ddos攻擊檢測方法，其特征在于，所述步驟s1還包括：

5.根據(jù)權(quán)利要求4所述的基于cnn-bigru的ddos攻擊檢測方法，其特征在于，選擇spearman秩相關(guān)系數(shù)大于0.8的特征為與ddos攻擊相關(guān)性顯著的特征。

6.根據(jù)權(quán)利要求1所述的基于cnn-bigru的ddos攻擊檢測方法，其特征在于，所述步驟s2還包括：

7.根據(jù)權(quán)利要求1所述的基于cnn-bigru的ddos攻擊檢測方法，其特征在于，所述步驟s3中cnn-bigru網(wǎng)絡(luò)模型包括順次設(shè)置的一個及以上的卷積層和池化層、雙向門控制單元、全連接層和輸出層。

8.根據(jù)權(quán)利要求1所述的基于cnn-bigru的ddos攻擊檢測方法，其特征在于，所述步驟s4中所述將模型輸出的概率分布進(jìn)行平均概率融合的具體實(shí)現(xiàn)方式為：對于每個待預(yù)測的樣本，使用gaf-cnn-bigru模型進(jìn)行預(yù)測，得到各個模型對每個類別的預(yù)測概率；對于每個類別，將各個模型的預(yù)測概率進(jìn)行平均，得到一個平均概率值；選擇平均概率值最大的類別作為最終的預(yù)測結(jié)果。

9.一種基于如權(quán)利要求1-8任意項(xiàng)所述的基于cnn-bigru的ddos攻擊檢測方法的系統(tǒng)，其包括：

10.一種計算機(jī)可讀存儲介質(zhì)，其特征在于，所述計算機(jī)可讀存儲介質(zhì)上存儲有基于cnn-bigru的ddos攻擊檢測方法的程序指令，所述基于cnn-bigru的ddos攻擊檢測的程序指令可被一個或多個處理器執(zhí)行，以實(shí)現(xiàn)如權(quán)利要求1-8之一所述的基于cnn-bigru的ddos攻擊檢測方法的步驟。

技術(shù)總結(jié)
本發(fā)明公開了一種基于CNN?BiGRU的DDOS攻擊檢測方法及系統(tǒng)，所述方法包括根據(jù)Spearman秩相關(guān)系數(shù)絕對值大小確定與DDOS攻擊相關(guān)性顯著的特征，基于格拉姆角差場將時間序列特征轉(zhuǎn)換為2D紋理圖像，將每個單變量時間序列轉(zhuǎn)換后的二維圖像輸入CNN?BiGRU網(wǎng)絡(luò)模型，訓(xùn)練模型直至收斂，將樣本輸入到訓(xùn)練好的GAF?CNN?BiGRU網(wǎng)絡(luò)模型中，將模型輸出的概率分布進(jìn)行平均概率融合，然后從融合后的輸出中獲取預(yù)測概率最高的結(jié)果并輸出。本發(fā)明實(shí)現(xiàn)了識別出更復(fù)雜的攻擊特征，豐富了數(shù)據(jù)的表達(dá)能力，同時融合可以幫助模型更全面、更深入地理解和分析數(shù)據(jù)，提高檢測的精確度和泛化能力。

技術(shù)研發(fā)人員：楊志邦,周彬,蔡宇輝,余思洋,楊圣洪,李肯立,唐偉,段明星,呂婷
受保護(hù)的技術(shù)使用者：湖南匡安網(wǎng)絡(luò)技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/23