本發(fā)明屬于ddos攻擊識(shí)別，具體涉及一種基于機(jī)器學(xué)習(xí)的ddos攻擊識(shí)別方法。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重。分布式拒絕服務(wù)攻擊（ddos）是一種常見(jiàn)的網(wǎng)絡(luò)攻擊手段，給網(wǎng)絡(luò)服務(wù)提供商和用戶帶來(lái)了巨大損失?，F(xiàn)有ddos攻擊識(shí)別方法常常采用機(jī)器學(xué)習(xí)模型進(jìn)行識(shí)別，現(xiàn)有技術(shù)一般考慮對(duì)機(jī)器學(xué)習(xí)模型的結(jié)構(gòu)進(jìn)行改進(jìn)，從而提升ddos攻擊的識(shí)別準(zhǔn)確率，但是并未考慮機(jī)器學(xué)習(xí)模型的參數(shù)優(yōu)化，因此現(xiàn)有的ddos攻擊識(shí)別方法存在識(shí)別率低、誤報(bào)率高、實(shí)時(shí)性差等問(wèn)題，亟需一種高效、準(zhǔn)確的識(shí)別方法。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明提供一種基于機(jī)器學(xué)習(xí)的ddos攻擊識(shí)別方法，用以解決現(xiàn)有技術(shù)因未考慮機(jī)器學(xué)習(xí)模型的參數(shù)優(yōu)化，導(dǎo)致識(shí)別率低以及誤報(bào)率高的問(wèn)題。

2、一種基于機(jī)器學(xué)習(xí)的ddos攻擊識(shí)別方法，包括：

3、獲取預(yù)先存儲(chǔ)或者通過(guò)人機(jī)交互輸入的關(guān)于ddos攻擊的網(wǎng)絡(luò)流量特征以及網(wǎng)絡(luò)流量特征標(biāo)簽；

4、采用機(jī)器學(xué)習(xí)模型構(gòu)建攻擊檢測(cè)模型，根據(jù)網(wǎng)絡(luò)流量特征以及網(wǎng)絡(luò)流量特征標(biāo)簽，并采用多層次搜索算法對(duì)攻擊檢測(cè)模型進(jìn)行訓(xùn)練，得到訓(xùn)練之后的攻擊檢測(cè)模型；

5、將訓(xùn)練之后的攻擊檢測(cè)模型部署于待檢測(cè)系統(tǒng)中，并實(shí)時(shí)獲取待檢測(cè)系統(tǒng)對(duì)應(yīng)的實(shí)時(shí)網(wǎng)絡(luò)流量特征，調(diào)度訓(xùn)練之后的攻擊檢測(cè)模型對(duì)實(shí)時(shí)網(wǎng)絡(luò)流量特征進(jìn)行識(shí)別，得到ddos攻擊識(shí)別結(jié)果。

6、進(jìn)一步地，還包括：

7、當(dāng)待檢測(cè)系統(tǒng)檢測(cè)到的新攻擊特征之后，采用增量學(xué)習(xí)算法或者遷移學(xué)習(xí)算法對(duì)攻擊檢測(cè)模型進(jìn)行更新，并以更新之后的攻擊檢測(cè)模型對(duì)ddos攻擊進(jìn)行識(shí)別。

8、進(jìn)一步地，采用機(jī)器學(xué)習(xí)模型構(gòu)建攻擊檢測(cè)模型，包括：采用cnn-lstm模型構(gòu)建攻擊檢測(cè)模型。

9、進(jìn)一步地，根據(jù)網(wǎng)絡(luò)流量特征以及網(wǎng)絡(luò)流量特征標(biāo)簽，并采用多層次搜索算法對(duì)攻擊檢測(cè)模型進(jìn)行訓(xùn)練，得到訓(xùn)練之后的攻擊檢測(cè)模型，包括：

10、針對(duì)攻擊檢測(cè)模型的超參數(shù)，采用隨機(jī)初始化方法對(duì)超參數(shù)種群進(jìn)行初始化，得到用于訓(xùn)練的種群；其中，所述種群包含多個(gè)個(gè)體，每個(gè)個(gè)體包含攻擊檢測(cè)模型的待訓(xùn)練超參數(shù)；

11、針對(duì)任意一個(gè)個(gè)體，將個(gè)體所包含的超參數(shù)應(yīng)用至攻擊檢測(cè)模型中，并以網(wǎng)絡(luò)流量特征作為攻擊檢測(cè)模型的輸入，以網(wǎng)絡(luò)流量特征標(biāo)簽作為攻擊檢測(cè)模型的期望輸出，獲取每個(gè)個(gè)體對(duì)應(yīng)的損失函數(shù)值；

12、根據(jù)每個(gè)個(gè)體對(duì)應(yīng)的損失函數(shù)值，獲取每個(gè)個(gè)體對(duì)應(yīng)的適應(yīng)度，并根據(jù)每個(gè)個(gè)體對(duì)應(yīng)的適應(yīng)度獲取最優(yōu)個(gè)體；

13、在多鄰域信息探索方法對(duì)種群中每個(gè)個(gè)體進(jìn)行鄰域探索，得到鄰域探索之后的個(gè)體；

14、針對(duì)鄰域探索之后的個(gè)體，采用種群信息交互方法對(duì)種群中每個(gè)個(gè)體進(jìn)行擴(kuò)充搜索，得到擴(kuò)充搜索之后的個(gè)體；

15、針對(duì)擴(kuò)充搜索之后的個(gè)體，采用最優(yōu)區(qū)域圍繞搜索方法對(duì)種群中每個(gè)個(gè)體進(jìn)行圍繞搜索，得到圍繞搜索之后的個(gè)體；

16、針對(duì)圍繞搜索之后的個(gè)體，采用自適應(yīng)變異搜索方法對(duì)種群中每個(gè)個(gè)體進(jìn)行變異搜索，得到變異搜索之后的個(gè)體；

17、重復(fù)執(zhí)行鄰域探索、擴(kuò)充搜索、圍繞搜索以及變異搜索，直至滿足訓(xùn)練結(jié)束條件之后，在種群中確定出最優(yōu)個(gè)體，并采用最優(yōu)個(gè)體作為攻擊檢測(cè)模型的最終超參數(shù)，得到訓(xùn)練之后的攻擊檢測(cè)模型。

18、進(jìn)一步地，根據(jù)每個(gè)個(gè)體對(duì)應(yīng)的損失函數(shù)值，獲取每個(gè)個(gè)體對(duì)應(yīng)的適應(yīng)度，并根據(jù)每個(gè)個(gè)體對(duì)應(yīng)的適應(yīng)度獲取最優(yōu)個(gè)體，包括：

19、將每個(gè)個(gè)體對(duì)應(yīng)的損失函數(shù)值與預(yù)設(shè)的常數(shù)項(xiàng)相加，并取倒數(shù)，得到每個(gè)個(gè)體對(duì)應(yīng)的適應(yīng)度；其中，預(yù)設(shè)的常數(shù)項(xiàng)小于0.0001；

20、根據(jù)每個(gè)個(gè)體對(duì)應(yīng)的適應(yīng)度，確定適應(yīng)度最大的個(gè)體為最優(yōu)個(gè)體。

21、進(jìn)一步地，在多鄰域信息探索方法對(duì)種群中每個(gè)個(gè)體進(jìn)行鄰域探索，得到鄰域探索之后的個(gè)體，包括：

22、以當(dāng)前訓(xùn)練次數(shù)為基礎(chǔ)，確定鄰域探索量為：

23、

24、其中，表示第t-1次訓(xùn)練過(guò)程中的第 i個(gè)個(gè)體， i=1,2,…,k，k表示種群中個(gè)體總數(shù)，表示最優(yōu)個(gè)體，e表示自然常數(shù)，表示（0,1）之間的隨機(jī)數(shù)，r表示控制因子，表示第t-1次訓(xùn)練過(guò)程中更新量，表示第t次訓(xùn)練過(guò)程中更新量；

25、根據(jù)所述鄰域探索量，對(duì)種群中每個(gè)個(gè)體進(jìn)行鄰域初步探索，得到鄰域探索位置為：

26、

27、

28、其中，表示第一鄰域探索位置，表示第二鄰域探索位置，表示鄰域探索范圍因子；

29、根據(jù)所述第一鄰域探索位置以及第二鄰域探索位置，確定最終鄰域探索量為：

30、

31、其中，表示第t-1次訓(xùn)練過(guò)程中的第 i個(gè)個(gè)體對(duì)應(yīng)的最終鄰域探索量，表示鄰域探索步長(zhǎng)，且=c·，c表示步長(zhǎng)衰減因子，且c設(shè)置為（0.2,0.4）之間的常數(shù)項(xiàng)，表示符號(hào)函數(shù)，表示第一鄰域探索位置對(duì)應(yīng)的適應(yīng)度，表示第二鄰域探索位置對(duì)應(yīng)的適應(yīng)度；

32、根據(jù)所述最終鄰域探索量，對(duì)種群中每個(gè)個(gè)體進(jìn)行鄰域探索，得到鄰域探索之后的個(gè)體為：

33、

34、其中，表示（0,1）之間的權(quán)重參數(shù)，表示鄰域探索之后的個(gè)體。

35、進(jìn)一步地，針對(duì)鄰域探索之后的個(gè)體，采用種群信息交互方法對(duì)種群中每個(gè)個(gè)體進(jìn)行擴(kuò)充搜索，得到擴(kuò)充搜索之后的個(gè)體，包括：

36、針對(duì)鄰域探索之后的個(gè)體，確定種群信息交互個(gè)體為：

37、

38、其中，表示第t次訓(xùn)練過(guò)程中的種群信息交互個(gè)體，表示第 t-1次訓(xùn)練過(guò)程中第 j個(gè)個(gè)體，表示個(gè)體對(duì)應(yīng)的適應(yīng)度，表示種群中個(gè)體總數(shù)；

39、根據(jù)所述種群信息交互個(gè)體，對(duì)種群中每個(gè)個(gè)體進(jìn)行擴(kuò)充搜索，得到擴(kuò)充搜索之后的個(gè)體為：

40、

41、其中，表示（0,1）之間的隨機(jī)數(shù)，表示擴(kuò)充搜索之后的個(gè)體。

42、進(jìn)一步地，針對(duì)擴(kuò)充搜索之后的個(gè)體，采用最優(yōu)區(qū)域圍繞搜索方法對(duì)種群中每個(gè)個(gè)體進(jìn)行圍繞搜索，得到圍繞搜索之后的個(gè)體，包括：

43、針對(duì)擴(kuò)充搜索之后的個(gè)體，生成圍繞搜索控制因子為：

44、

45、

46、

47、其中，表示第一圍繞搜索控制因子，表示第二圍繞搜索控制因子，表示第t次訓(xùn)練過(guò)程中的自適應(yīng)衰減因子，表示（0,1）之間的隨機(jī)數(shù)，表示預(yù)設(shè)常數(shù)因子，表示自適應(yīng)衰減因子的最大值，表示自適應(yīng)衰減因子的最小值，e表示自然常數(shù)，t表示預(yù)設(shè)的最大訓(xùn)練次數(shù)；

48、根據(jù)所述第一圍繞搜索控制因子以及所述第二圍繞搜索控制因子，對(duì)種群中每個(gè)個(gè)體進(jìn)行圍繞搜索，得到圍繞搜索之后的個(gè)體為：

49、

50、其中，表示第t-1次訓(xùn)練過(guò)程中最優(yōu)個(gè)體，表示第t-1次訓(xùn)練過(guò)程中第 m個(gè)擴(kuò)充搜索之后的個(gè)體，表示圍繞搜索之后的個(gè)體，表示除之外的隨機(jī)個(gè)體，e表示自然常數(shù)。

51、進(jìn)一步地，針對(duì)圍繞搜索之后的個(gè)體，采用自適應(yīng)變異搜索方法對(duì)種群中每個(gè)個(gè)體進(jìn)行變異搜索，得到變異搜索之后的個(gè)體，包括：

52、以當(dāng)前訓(xùn)練次數(shù)為基礎(chǔ)，生成自適應(yīng)變異搜索系數(shù)為：

53、

54、

55、其中，表示自適應(yīng)變異搜索系數(shù)，表示縮放因子，表示自然常數(shù)，表示[-2.5，2.5]之間的隨機(jī)數(shù)，表示縮放因子的上限值，表示縮放因子的調(diào)整參數(shù)，t表示最大訓(xùn)練次數(shù)；

56、根據(jù)所述自適應(yīng)變異搜索系數(shù)，對(duì)種群中每個(gè)個(gè)體進(jìn)行變異搜索，得到變異搜索之后的個(gè)體為：

57、

58、其中，表示第t-1次訓(xùn)練過(guò)程中第k個(gè)個(gè)體，表示變異搜索之后的個(gè)體，表示除之外的隨機(jī)個(gè)體。

59、進(jìn)一步地，訓(xùn)練結(jié)束條件，包括：在當(dāng)前訓(xùn)練次數(shù)大于或者等于最大訓(xùn)練次數(shù)時(shí)，則滿足訓(xùn)練結(jié)束條件。

60、本發(fā)明提供的一種基于機(jī)器學(xué)習(xí)的ddos攻擊識(shí)別方法，通過(guò)采用機(jī)器學(xué)習(xí)模型構(gòu)建攻擊檢測(cè)模型，初步實(shí)現(xiàn)了ddos攻擊識(shí)別，采用采用多層次搜索算法對(duì)攻擊檢測(cè)模型進(jìn)行訓(xùn)練，得到訓(xùn)練之后的攻擊檢測(cè)模型，重點(diǎn)關(guān)注機(jī)器學(xué)習(xí)模型的參數(shù)優(yōu)化，以提升攻擊檢測(cè)模型的識(shí)別準(zhǔn)確率，最終提升ddos攻擊識(shí)別率，降低誤報(bào)率，極大地提升了安全防護(hù)性能。