基于多模态深度神经网络的应用层DDoS攻击检测模型

为进一步提升应用层DDoS攻击检测准确率,提出一种将流量与用户行为特征相结合且模型参数可高效更新的应用层DDoS攻击检测模型.为统一处理流量与用户行为特征的异源数据,利用多模态深度(Multimodal Deep Learning,MDL)神经网络从数据流量与网页日志中提取流量与用户行为深层特征后输入汇聚深度神经网络进行检测.为减少MDL神经网络参数更新时的灾难性遗忘现象,在模型参数更新过程中基于弹性权重保持(Elastic Weight Consolidation,EWC)算法为重要模型参数增加惩罚项,保持对初始训练数据集检测准确率的同时,提升对新数据集的检测性能.最后,基于K-Means算法获得模型初始训练数据集聚类,并筛选出新数据集中聚类外数据进行模型参数更新,防止EWC算法因数据相关性过高而失效.实验表明,所提应用层DDoS检测模型检测准确率可达98.2%,且相对MLP_Whole方法模型参数更新性能较好.

基于近攻击源部署的应用层DDOS检测方法

应用层DDoS的大流量攻击逐渐呈现高发态势,现有攻击检测方法均在大规模流量进入目标主机时才能根据检测结果进行反应,但以TB为单位的大流量进入主机后可能在检测系统预警前就已经发生宕机。为此,提出一种基于近攻击源部署的应用层DDoS攻击检测方法,将检测节点前向部署于近攻击源处,通过定时和强化学习将正常流量进行信息融合至目标处,在检测攻击的同时拦截攻击流量。实验结果表明,该系统具有良好的检测率和拦截率,能够削弱攻击流量对于目标主机的危害,以期为解决应用层DDoS的大流量攻击提出新的解决方法。

基于偏二叉树SVM多分类算法的应用层DDoS检测方法

针对基于流量特征的应用层DDo S检测方法侧重于检测持续型应用层DDo S攻击,而忽略检测上升型与脉冲型应用层DDo S攻击的问题,提出一种综合检测多类型应用层DDo S攻击的方法。首先通过Hash函数及开放定址防碰撞方法,对多周期内不同源IP地址建立索引,进而实现HTTP GET数的快速统计功能,以支持对刻画数据规模、流量趋势及源IP地址分布差异所需特征参数的实时计算;然后采用偏二叉树结构组合SVM分类器分层训练特征参数,并结合遍历与反馈学习的方法,提出基于偏二叉树SVM多分类算法的应用层DDo S检测方法,快速区分出非突发正常流量、突发正常流量及多类型App-DDo S流量。实验表明,所提算法通过划分检测类型、逐层训练检测模型,与传统基于SVM、Navie Bayes的检测方法相比,具有更高的检测率与更低的误检率,且能有效区分出具体攻击类型。