為解決HTTP慢速拒絕服務(wù)（SHDoS）攻擊流量檢測在攻擊頻率變化時(shí)出現(xiàn)的準(zhǔn)確率降低的問題,提出一種基于一維卷積神經(jīng)網(wǎng)絡(luò)（CNN）的SHDoS攻擊流量檢測方法。首先,該方法在多種攻擊頻率下對三種類型的SHDoS攻擊流量進(jìn)行報(bào)文采樣和數(shù)據(jù)流提取;之后,設(shè)計(jì)了一種數(shù)據(jù)流轉(zhuǎn)換算法,將采集的攻擊數(shù)據(jù)流轉(zhuǎn)換為一維序列并進(jìn)行去重;最后,使用一維CNN構(gòu)建分類模型,該模型通過卷積核來提取序列片段,并從片段中學(xué)習(xí)攻擊樣本的局部模式,從而使模型對多種攻擊頻率的數(shù)據(jù)流都具備檢測能力。實(shí)驗(yàn)結(jié)果顯示,與基于循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）、長短期記憶（LSTM）網(wǎng)絡(luò)及雙向長短期記憶（Bi-LSTM）網(wǎng)絡(luò)構(gòu)建的分類模型相比,該模型對未知攻擊頻率的樣本同樣具有較好的檢測能力,在驗(yàn)證集上的檢測準(zhǔn)確率和精確率分別達(dá)到了96.76%和94.13%。結(jié)果表明所提方法能夠滿足對不同攻擊頻率的SHDoS流量進(jìn)行檢測的需求。 

【文章來源】：計(jì)算機(jī)應(yīng)用. 2020,40(10)北大核心CSCD

【文章頁數(shù)】：7 頁

【部分圖文】：

典型應(yīng)用場景

在模型應(yīng)用的過程中，SHDo S防御組件通過旁路監(jiān)聽獲取原始報(bào)文，再從報(bào)文中動(dòng)態(tài)提取數(shù)據(jù)流，并轉(zhuǎn)換為一維序列后加入緩沖隊(duì)列。攻擊檢測模型從緩沖隊(duì)列中周期性讀取序列并進(jìn)行攻擊檢測，進(jìn)而檢測出攻擊數(shù)據(jù)流和惡意主機(jī)。2.2 數(shù)據(jù)處理方法設(shè)計(jì)

圖3舉例展示了若干個(gè)數(shù)據(jù)流樣本經(jīng)過算法處理后生成的序列結(jié)構(gòu)。對其中的負(fù)載報(bào)文而言，R和S指報(bào)文的收發(fā)方向?yàn)榻邮栈虬l(fā)送，H和D指負(fù)載內(nèi)容為HTTP頭部或數(shù)據(jù)；對控制報(bào)文而言，A指普通響應(yīng)報(bào)文，Z指通告滑動(dòng)窗口耗盡的響應(yīng)報(bào)文；另外，P指1 s的時(shí)間間隔，N指序列尾部填充空值。2.2.4 樣本序列去重

【參考文獻(xiàn)】：
期刊論文
[1]基于集成學(xué)習(xí)的DoS攻擊流量檢測技術(shù)[J]. 馬澤文,劉洋,徐洪平,易航.  信息網(wǎng)絡(luò)安全. 2019(09)
[2]基于Xgboost算法的網(wǎng)絡(luò)入侵檢測研究[J]. 張陽,姚原崗.  信息網(wǎng)絡(luò)安全. 2018(09)
[3]AR-OSELM算法在網(wǎng)絡(luò)入侵檢測中的應(yīng)用研究[J]. 魏書寧,陳幸如,焦永,王進(jìn).  信息網(wǎng)絡(luò)安全. 2018(06)
[4]Convolutional neural networks for time series classification[J]. Bendong Zhao,Huanzhang Lu,Shangfeng Chen,Junliang Liu,Dongya Wu.  Journal of Systems Engineering and Electronics. 2017(01)



本文編號(hào)：3227733