CN111131199B - 业务攻击流量清洗控制方法、装置、服务器及存储介质 - Google Patents
业务攻击流量清洗控制方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN111131199B CN111131199B CN201911267770.1A CN201911267770A CN111131199B CN 111131199 B CN111131199 B CN 111131199B CN 201911267770 A CN201911267770 A CN 201911267770A CN 111131199 B CN111131199 B CN 111131199B
- Authority
- CN
- China
- Prior art keywords
- traffic
- cleaning
- flow
- learning algorithm
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004140 cleaning Methods 0.000 title claims abstract description 165
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000003860 storage Methods 0.000 title claims abstract description 9
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 67
- 238000013527 convolutional neural network Methods 0.000 claims description 19
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 230000002787 reinforcement Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- ABEXEQSGABRUHS-UHFFFAOYSA-N 16-methylheptadecyl 16-methylheptadecanoate Chemical compound CC(C)CCCCCCCCCCCCCCCOC(=O)CCCCCCCCCCCCCCC(C)C ABEXEQSGABRUHS-UHFFFAOYSA-N 0.000 claims 1
- 241000764238 Isis Species 0.000 claims 1
- 238000005417 image-selected in vivo spectroscopy Methods 0.000 claims 1
- 238000012739 integrated shape imaging system Methods 0.000 claims 1
- 238000010926 purge Methods 0.000 claims 1
- 238000005406 washing Methods 0.000 claims 1
- 238000001914 filtration Methods 0.000 abstract description 10
- 238000004458 analytical method Methods 0.000 abstract description 3
- 239000011159 matrix material Substances 0.000 description 14
- 230000009471 action Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000005201 scrubbing Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及网络安全技术领域,公开了一种业务攻击流量清洗控制方法、装置、服务器及存储介质,包括获取目标业务的流量信息,其中,流量信息包括流量状态信息以及业务流量数据;根据预设的学习算法和流量状态信息进行计算生成流量清洗策略,其中,所述学习算法为用于根据流量状态信息生成对应清洗策略的增强学习算法;执行流量清洗策略对业务流量数据进行流量清洗生成第一清洗流量数据。本发明中,通过学习算法和流量状态信息进行学习生成流量清洗策略,执行该流量清洗策略对业务流量数据进行流量清洗,从而将攻击流量过滤掉得到第一清洗流量数据,能根据攻击流量进行学习分析以生成对应的清洗策略,提高流量清洗的智能化程度和清洗质量。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及DDoS攻击的业务攻击流量清洗控制方法、装置、服务器及存储介质。
背景技术
发明人发现现有技术中至少存在如下问题:随着网络的普及和发展,我们的生活和工作都越来越依赖与网络,与此相关的网络安全问题也随之突显出来,例如分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,就是目前对网络安全威胁最大的一类攻击,该类攻击的特点是易实现、难预防并且攻击效果明显,能够大幅度降低网络性能和服务质量,甚至使网络服务崩溃。
在当前可以通过DDoS处置系统来针对DDoS攻击,常见的DDoS处置系统主要包括流量牵引、流量清洗以及流量回注三部分,其中,清洗方法是DDoS处置系统的核心。目前实现异常流量的清洗思路分为两大类:一类是通过异常流量清洗产品来判断是否超过清洗阈值,如超过,再对该防护对象的所有数据流量启用清洗算法;还有一类是利用DDoS攻击的清洗设备缺省接受告警监测结果、直接启用算法。具体包括Pu Ding等人提出的基于BGP流量属性提供四层DDoS攻击流量清洗的方案、Zhe Zhang等人设计的基于流量清洗策略的DDoS攻击防御系统和Jianzheng Xu等人提出的流量分析和双阈值策略的防范机制等方案。
但是,发明人发现,基于BGP流量属性提供四层DDoS攻击流量清洗的方案利用BGPflow spec的流量控制策略可以将攻击流量全部丟弃或者进行流量限速,其会把系统中正常业务流量和异常流量全部过滤掉,影响系统的正常通信;而基于流量清洗策略的DDoS攻击防御系统则是根据预先配置好的多层过滤技术,对超过清洗阈值的流量数据进行层层过滤的精确清洗,清洗时间较长;另外,流量分析和双阈值策略的防范机制加入了源地址的可信任判定,使用双阈值并添加入侵检测以提高系统性能,但是需要在启用算法后,需要人工调整算法、策略,不具备智能性且提高了人力成本。
发明内容
本发明实施方式的目的在于提供一种业务攻击流量清洗控制方法、装置、服务器及存储介质,提高流量清洗的智能化程度和清洗质量。
为解决上述技术问题,本发明的实施方式提供了一种业务攻击流量清洗控制方法,包括以下步骤:获取目标业务的流量信息,其中,所述流量信息包括流量状态信息以及业务流量数据;根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,其中,所述学习算法为用于根据流量状态信息生成对应清洗策略的增强学习算法;执行所述流量清洗策略对所述业务流量数据进行流量清洗生成第一清洗流量数据。
本发明的实施方式还提供了一种业务攻击流量清洗控制装置,包括:第一获取模块,用于获取目标业务的流量信息,其中,所述流量信息包括流量状态信息以及业务流量数据;第一处理模块,用于根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,其中,所述学习算法为用于根据流量状态信息生成对应清洗策略的增强学习算法;第一执行模块,用于执行所述流量清洗策略对所述业务流量数据进行流量清洗生成第一清洗流量数据。
本发明的实施方式还提供了一种服务器,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述的业务攻击流量清洗控制方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述的业务攻击流量清洗控制方法。
本发明实施方式相对于现有技术而言,通过获取目标业务的流量信息,该流量信息中包括目标业务的业务流量数据以及流量状态信息,再通过学习算法和流量状态信息进行学习,产生与流量状态相适应的流量清洗策略,执行该流量清洗策略对业务流量数据进行流量清洗,从而将攻击流量过滤掉得到第一清洗流量数据,能根据攻击流量进行学习分析以生成对应的清洗策略,能有效提高流量清洗的智能化程度和清洗质量。
另外,通过采用Q-learning算法作为学习算法,Q-learning算法是增强学习算法中的经典算法,实现了不同种类的DDoS攻击,智能得出相应的清洗策略,全程智能化,无需人工干预。
另外,执行流量清洗策略后再利用训练好的CNN卷积神经网络模型进行二次检测,能有效提高流量清洗的质量。
另外,将进行二次检测后的正常业务流量回注至目标业务,避免过滤时会把系统中正常业务流量过滤掉,保障系统的正常通信。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是本发明实施例业务攻击流量清洗控制方法的基本流程示意图;
图2为本发明实施例获取目标业务的流量信息的流程示意图;
图3为本发明实施例生成流量清洗策略的具体流程示意图;
图4为本发明实施例二次流量清洗的流程示意图;
图5为本发明实施例业务攻击流量清洗控制装置的基本结构示意图;
图6为本发明实施例计算机设备基本结构框图;
图7为本发明实施例基于Q-learning算法训练流程示意图;
图8为本发明一个实施例的总体流程框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
本发明的第一实施方式涉及一种业务攻击流量清洗控制方法。具体流程如图1所示。
S1100、获取目标业务的流量信息,其中,所述流量信息包括流量状态信息以及业务流量数据;
流量信息是指业务进行网络服务时产生的数据流量信息,在一些实施例中,目标业务可以是特定的一些网络服务业务,例如网上订票、查看订座情况等,也可以指服务器提供的各项服务。流量信息包括包括业务流量数据以及流量状态信息,其中,业务流量数据是目标业务的业务流量,流量状态信息表征业务流量的状态,在一些实施例中,流量状态信息包括流量类型信息和流量大小。以DDoS(Distributed Denial of Service,分布式拒绝服务)攻击为例,DDoS攻击是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。目标业务遭受DDoS攻击时,系统获取该目标业务的流量信息,其中,该流量信息中包括目标业务正常的业务流量和DDoS攻击流量的流量状态信息和业务流量数据。
S1200、根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,其中,所述学习算法为用于根据流量状态信息生成对应清洗策略的增强学习算法;
系统获取目标业务的流量信息后,根据该流量信息中携带的流量状态信息和预设的学习算法进行学习,产生与该浏览状态信息相适应的流量清洗策略,在实施时,学习算法可以采用增强学习算法,该增强学习算法能根据流量状态信息生成对应清洗策略,例如,系统预设有针对特征过滤识别、源合法性认证、特殊控制报文过滤以及畸形报文过滤等的清洗策略,系统通过学习算法计算出目标业务的流量状态信息,并将流量状态信息与上述清洗策略进行匹配,从而匹配出与目标业务的流量状态对应的清洗策略作为流量清洗策略。
S1300、执行所述流量清洗策略对所述业务流量数据进行流量清洗生成第一清洗流量数据。
系统执行生成的流量清洗策略对目标业务的业务流量数据进行流量清洗得到第一清洗流量数据,由于流量清洗策略是根据攻击流量特征确定的,从而可以将目标业务中的流量中筛选出于攻击流量,以攻击流量为DDoS攻击流量为例,目标业务的流量中包括正常业务流量和攻击流量,系统根据DDoS攻击流量学习生成流量清洗策略并执行该策略,将目标业务中的DDoS攻击流量清洗过滤掉,生成的第一清洗流量数据就是目标业务中的正常业务流量,实现精确清洗。
本发明实施例通过获取目标业务的流量信息,该流量信息中包括目标业务的业务流量数据以及流量状态信息,再通过学习算法和流量状态信息进行学习,产生与流量状态相适应的流量清洗策略,执行该流量清洗策略对业务流量数据进行流量清洗,从而将攻击流量过滤掉得到第一清洗流量数据,能根据攻击流量进行学习分析以生成对应的清洗策略,能有效提高流量清洗的智能化程度和清洗质量。
在一些可选实施例中,如图2所示,所述获取目标业务的流量信息,具体包括:
S1101、获取预设的动态路由协议;
路由协议是一种指定数据包转送方式的网上协议,在一些实施例中,动态路由协议包括BGP和OSPF/ISIS中的至少一种, BGP(Border GatewayProtocol)是边界网关协议,OSPF(Open Shortest PathFirst)是一个基于链路状态的内部网关协议,ISIS(Intermediate System-to-IntermediateSystem,中间系统到中间系统)是它的无连接网络协议CLNP(ConnectionLess NetworkProtocol)设计的一种动态路由协议。
S1102、根据所述动态路由协议牵引所述目标业务的流量获取所述流量信息。
系统通过BGP、OSPF/ISIS等方式,将目标业务的流量牵引学习算法,系统获取目标业务的流量信息。目标业务的流量包括DDoS攻击流量和正常业务流量,当然,在实施时,如果目标业务没有被DDoS攻击时,目标业务的流量就是正常业务流量。通过采用BGP、OSPF/ISIS等方式能够妥善处理好不相关路由域间的多路连接的协议,提高数据传输的可靠性。
在一些可选实施例中,所述学习算法为Q-learning算法。Q-learning算法是一个经典的强化学习算法,其核心思想是通过不断地更新迭代找到最优的Q值,然后根据算法中最优Q的值来选取并执行动作A,估计[state-action]对的值函数最终得到一个最优策略,能有效提高流量清洗策略的生产效率。
在一些实施例中,Q-learning算法的输入是流量状态信息,流量状态信息包括DDoS攻击类型和攻击流量大小,输出是与DDoS攻击对应的清洗策略,在实施时,为了提高流量清洗策略针对DDoS攻击流量的精确度,可以只将DDoS攻击流量的流量类型和流量大小输入至Q-learning算法。
在一些实施例中,流量清洗策略的生成流程包括:
首先用一个四元组<S,A,R,Q>对DDoS流量清洗问题进行描述,具体包括:
S(State)—流量状态,是指具体的DDoS攻击类型和攻击流量大小。
A(Action)—动作,具体是指针对某种DDoS攻击类型,采用action1、action2、还是action3,其中,action1、action2、还是action3分别表示黑洞动作、流量清洗动作和混合清洗动作,以黑洞动作为例,action1是将攻击流量直接被牵引至黑洞地址,即将攻击流量全部过滤掉。
R(Reward)—奖励值,一般由用户自行设置的。执行不同的动作,得到不同的奖励值。
Q(Q-matrix)—Q矩阵,通过Q-learning算法学习得到的,初始的Q矩阵是一个零矩阵。
然后根据问题需求,利用 Q-learning算法,对Q矩阵进行训练。Q-learning算法的更新公式如下:。其中,分别表示当前状态和下一状态,表示执行的动作,表示奖励值。表示折扣因子,其取值范围为;表示学习因子,其取值范围为。
循环执行Q矩阵训练过程,直到流量状态为最终状态,得到训练后的Q矩阵。
在一些实施例中,请参照图7,图7是本发明一个实施例基于Q-learning算法训练流程示意图,如图7所示,算法训练流程包括:
Step1、初始化Q矩阵。
Step2、初始化流量状态。
Step3、判断所有episode是否已经训练结束。这里的一次episode是指完成为所有类型的DDoS攻击分配清洗策略。一个step指为每一种类型的DDoS攻击分配一个清洗策略。如果完成,将得到一个最优清洗策略;否则,进行Step 4。
Step4、判断此次episode的所有step是否全部完成。如果完成,则转入Step 3判断;否则,进行Step 5。
Step5、执行动作,并观察奖励值和下一流量状态。
Step6、更新流量状态,并根据新的奖励值,更新Q矩阵。如此循环,直到所有episode训练结束,得到完整的Q矩阵。
在一些可选实施例中,如图3所示,所述根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,包括:
S1201、根据所述流量状态信息建立原始问题,并将所述原始问题分割为多个子问题;
在实施时,以DDoS攻击为例,该原始问题表征DDoS流量清洗问题,可以用一个四元组<S,A,R,Q>对DDoS流量清洗问题进行描述,具体包括:
S(State)——流量状态,是指具体的DDoS攻击类型和攻击流量大小;
A(Action)——动作,具体是指针对某种DDoS攻击类型,采用action1(黑洞),action2(流量清洗)还是action3(混合清洗);
R(Reward)——奖励值,一般是根据经验自己设置的。执行不同的动作,得到不同的奖励值;
Q(Q-matrix)——Q矩阵,通过Q-learning算法学习得到的。初始的Q矩阵是一个零矩阵。
系统可以通过将原始问题的状态空间进行分割,得到多个子问题,其中,不同子问题之间通过边界状态传递Q值。某个子问题通过调用或访问上述保存于调度中心的同一数据库(完整的Q值表)中的另一子问题上一次对该边界状态学习的结果,实现Q值在不同子问题之间传递。
S1202、将所述多个子问题与多个计算节点进行匹配,并将各子问题发送至相匹配的计算节点;
系统从计算节点列表NodesList中按索引顺序依次选择计算节点;对于每个被选择的计算节点,根据子问题的优先级从高到低的顺序,选择相应的子问题分配给该计算节点。其中,该计算节点列表NodesList是用于表示保存计算节点信息的一个列表。
S1203、根据所述多个计算节点对多个子问题进行并行的强化学习;
每个计算节点只负责分割出的一个子问题,系统的数据库中保存着完整的由各计算节点学习到的知识,也就是完整的Q值表,Q值指的是在Q-learning算法中对状态动作对的估计值,写作Q(s,a),s∈S表示当前状态,a∈A表示在当前状态s下采取的动作,组合起来的(s,a)叫做状态动作对,Qlearning算法研究的内容就是对(s,a)的值进行估计。
S1204、根据所述多个子问题的学习结果和预设的收敛条件,判断所述原始问题是否已经收敛,如果所述原始问题已经收敛,则输出所述原始问题的最优策略作为所述流量清洗策略。
计算节点对于每个子问题采用Q-Learning算法进行强化学习,系统获取计算节点通过异步方式反馈的对子问题的学习结果,并根据所述多个子问题的学习结果和预设的收敛条件,判断原始问题是否已经收敛,在实施时,系统判断是否计算节点学习到的Q值更新达到了原始问题的预设收敛阈值,如果是,则该原始问题已经收敛。
在一些可选实施例中,如图4所示,所述执行所述流量清洗策略对所述业务流量数据进行流量清洗生成第一清洗流量数据后,包括:
S1400、将所述第一清洗流量数据输入至预设的清洗模型中,其中,所述清洗模型为训练至收敛的用于检测异常流量的卷积神经网络模型;
系统执行流量清洗策略后,利用清洗模型对第一清洗流量数据进行二次清洗,该清洗模型为训练好的CNN卷积神经网络模型,该CNN卷积神经网络模型对第一次清洗后的流量进行检测和分类。在实施时,系统对获取的业务流量数据进行特征提取,然后放入CNN卷积神经网络模型进行训练,该CNN卷积神经网络由一个卷积层和一个全连接层相连而成。使用tf.nn.softmax_cross_entropy_with_logits()函数来计算交叉熵,其中softmax的作用是分类,选择Relu作为激活函数,选择Optimizer优化器来最小化交叉熵损失。然后将第一清洗流量数据输入到训练好的CNN模型中,输入层进行计算处理后,将结果输入到模型的卷积层,再由全连接层处理完数据后通过输出层进行分类输出。
S1500、接收所述清洗模型输出的正常业务流量,并将所述正常业务流量回注至所述目标业务。
清洗模型对第一清洗流量数据进行分类过滤掉异常流量,系统接收清洗模型输出的正常业务流量,并将该正常业务流量回注到目标业务,在实施时,如果仍有异常流量,则进行再次清洗,直至无异常流量,则将全部的正常业务流量回注到目标业务,保证系统的正常通信。
在实施时,请参照图8,图8是本发明业务攻击流量清洗控制方法一个实施例的流程框图,如图8所示,本发明业务攻击流量清洗控制方法的流程包括:
步骤1、系统通过BGP、OSPF/ISIS等方式,将检测到的疑似DDoS攻击流量牵引至学习算法;
步骤2、根据牵引收集到的异常流量,通过Q-learning算法进行学习,产生最优的清洗策略,
步骤3、执行得到的清洗策略,并将执行后的结果(第一清洗流量数据)下发到CNN卷积神经网络模型进行二次检测。
步骤4、利用该CNN卷积神经网络模型对清洗后的第一清洗流量数据进行检测和分类。
步骤5、将CNN卷积神经网络模型输出的正常业务流量回注至目标业务。
本发明实施例基于Q-learning的DDoS攻击流量清洗方法可根据不同种类的DDoS攻击流量进行学习分析,得到一个最优的流量清洗策略并执行,全程智能化,无需人工干预,并在执行流量清洗策略后利用训练好的CNN模型进行二次检测,并将正常业务流量回注至目标业务,提高了数据清洗质量。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明第二实施方式涉及一种业务攻击流量清洗控制装置,如图5所示,包括:
第一获取模块2100,用于获取目标业务的流量信息,其中,所述流量信息包括流量状态信息以及业务流量数据;
第一处理模块2200,用于根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,其中,所述学习算法为用于根据流量状态信息生成对应清洗策略的增强学习算法;
第一执行模块2300,用于执行所述流量清洗策略对所述业务流量数据进行流量清洗生成第一清洗流量数据。
本实施例通过获取目标业务的流量信息,该流量信息中包括目标业务的业务流量数据以及流量状态信息,再通过学习算法和流量状态信息进行学习,产生与流量状态相适应的流量清洗策略,执行该流量清洗策略对业务流量数据进行流量清洗,从而将攻击流量过滤掉得到第一清洗流量数据,能根据攻击流量进行学习分析以生成对应的清洗策略,能有效提高流量清洗的智能化程度和清洗质量。
在一些可选实施例中,所述业务攻击流量清洗控制装置,还包括:
第一获取子模块,用于获取预设的动态路由协议;
第一执行子模块,用于根据所述动态路由协议牵引所述目标业务的流量获取所述流量信息。
在一些可选实施例中,所述动态路由协议包括BGP和OSPF/ISIS中的至少一种。
在一些可选实施例中,所述学习算法为Q-learning算法。
在一些可选实施例中,所述业务攻击流量清洗控制装置,还包括:
第一处理子模块,用于根据所述流量状态信息建立原始问题,并将所述原始问题分割为多个子问题;
第二执行子模块,用于将所述多个子问题与多个计算节点进行匹配,并将各子问题发送至相匹配的计算节点;
第二处理子模块,用于根据所述多个计算节点对多个子问题进行并行的强化学习;
第三执行子模块,用于根据所述多个子问题的学习结果和预设的收敛条件,判断所述原始问题是否已经收敛,如果所述原始问题已经收敛,则输出所述原始问题的最优策略作为所述流量清洗策略。
在一些可选实施例中,所述业务攻击流量清洗控制装置,还包括:
将所述原始问题的状态空间进行分割,得到多个子问题,其中,不同子问题之间通过边界状态传递Q值。
在一些可选实施例中,所述业务攻击流量清洗控制装置,还包括:
第二处理模块,用于将所述第一清洗流量数据输入至预设的清洗模型中,其中,所述清洗模型为训练至收敛的用于检测异常流量的卷积神经网络模型;
第二执行模块,用于接收所述清洗模型输出的正常业务流量,并将所述正常业务流量回注至所述目标业务。
不难发现,本实施方式为与第一实施方式相对应的系统实施例,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明第三实施方式涉及一种服务器,如图6所示,包括至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述的业务攻击流量清洗控制方法。
其中,存储器和处理器采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。
处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
本发明第四实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (9)
1.一种业务攻击流量清洗控制方法,其特征在于,包括:
获取目标业务的流量信息,其中,所述流量信息包括流量状态信息以及业务流量数据;
根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,其中,所述学习算法为用于根据流量状态信息生成对应清洗策略的增强学习算法;
执行所述流量清洗策略对所述业务流量数据进行流量清洗生成第一清洗流量数据;
其中,所述根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,包括:根据所述流量状态信息建立原始问题,并将所述原始问题分割为多个子问题;将所述多个子问题与多个计算节点进行匹配,并将各子问题发送至相匹配的计算节点;根据所述多个计算节点对多个子问题进行并行的强化学习;根据所述多个子问题的学习结果和预设的收敛条件,判断所述原始问题是否已经收敛,如果所述原始问题已经收敛,则输出所述原始问题的最优策略作为所述流量清洗策略。
2.根据权利要求1所述的业务攻击流量清洗控制方法,其特征在于,所述获取目标业务的流量信息,具体包括:
获取预设的动态路由协议;
根据所述动态路由协议牵引所述目标业务的流量获取所述流量信息。
3.根据权利要求2所述的业务攻击流量清洗控制方法,其特征在于,所述动态路由协议包括BGP和OSPF/ISIS中的至少一种。
4.根据权利要求1-3任一项所述的业务攻击流量清洗控制方法,其特征在于,所述学习算法为Q-learning算法。
5.根据权利要求1所述的业务攻击流量清洗控制方法,其特征在于,所述将所述原始问题分割为多个子问题,包括:
将所述原始问题的状态空间进行分割,得到多个子问题,其中,不同子问题之间通过边界状态传递Q值。
6.根据权利要求1所述的业务攻击流量清洗控制方法,其特征在于,所述执行所述流量清洗策略对所述业务流量数据进行流量清洗生成第一清洗流量数据后,包括:
将所述第一清洗流量数据输入至预设的清洗模型中,其中,所述清洗模型为训练至收敛的用于检测异常流量的卷积神经网络模型;
接收所述清洗模型输出的正常业务流量,并将所述正常业务流量回注至所述目标业务。
7.一种业务攻击流量清洗控制装置,其特征在于,包括:
第一获取模块,用于获取目标业务的流量信息,其中,所述流量信息包括流量状态信息以及业务流量数据;
第一处理模块,用于根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,其中,所述学习算法为用于根据流量状态信息生成对应清洗策略的增强学习算法,其中,所述根据预设的学习算法和所述流量状态信息进行计算生成流量清洗策略,包括:根据所述流量状态信息建立原始问题,并将所述原始问题分割为多个子问题;将所述多个子问题与多个计算节点进行匹配,并将各子问题发送至相匹配的计算节点;根据所述多个计算节点对多个子问题进行并行的强化学习;根据所述多个子问题的学习结果和预设的收敛条件,判断所述原始问题是否已经收敛,如果所述原始问题已经收敛,则输出所述原始问题的最优策略作为所述流量清洗策略;
第一执行模块,用于执行所述流量清洗策略对所述业务流量数据进行流量清洗生成第一清洗流量数据。
8.一种服务器,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至6中任一所述的业务攻击流量清洗控制方法。
9.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的业务攻击流量清洗控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911267770.1A CN111131199B (zh) | 2019-12-11 | 2019-12-11 | 业务攻击流量清洗控制方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911267770.1A CN111131199B (zh) | 2019-12-11 | 2019-12-11 | 业务攻击流量清洗控制方法、装置、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131199A CN111131199A (zh) | 2020-05-08 |
| CN111131199B true CN111131199B (zh) | 2022-06-03 |
Family
ID=70498619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911267770.1A Active CN111131199B (zh) | 2019-12-11 | 2019-12-11 | 业务攻击流量清洗控制方法、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131199B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112187710B (zh) * | 2020-08-17 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
| CN115037643B (zh) * | 2022-03-25 | 2023-05-30 | 武汉烽火技术服务有限公司 | 一种网络健康状态数据采集标注的方法和装置 |
| CN114971850A (zh) * | 2022-05-25 | 2022-08-30 | 北京鼎泰智源科技有限公司 | 一种小微企业放贷量化建模方法及装置 |
| CN115118473B (zh) * | 2022-06-20 | 2023-07-14 | 中国联合网络通信集团有限公司 | 数据处理方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| EP3282665A1 (en) * | 2016-08-10 | 2018-02-14 | Nokia Solutions and Networks Oy | Anomaly detection in software defined networking |
| CN109729090A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
| CN110011999A (zh) * | 2019-03-29 | 2019-07-12 | 东北大学 | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 |
| CN110113435A (zh) * | 2019-05-27 | 2019-08-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量清洗的方法和设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2649290C1 (ru) * | 2017-04-28 | 2018-03-30 | Акционерное общество "Лаборатория Касперского" | Система и способ фильтрации трафика при обнаружении DDoS-атаки |
-
2019
- 2019-12-11 CN CN201911267770.1A patent/CN111131199B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3282665A1 (en) * | 2016-08-10 | 2018-02-14 | Nokia Solutions and Networks Oy | Anomaly detection in software defined networking |
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| CN109729090A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
| CN110011999A (zh) * | 2019-03-29 | 2019-07-12 | 东北大学 | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 |
| CN110113435A (zh) * | 2019-05-27 | 2019-08-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量清洗的方法和设备 |
Non-Patent Citations (2)
| Title |
|---|
| DeepDefense: Identifying DDoS Attack via Deep Learning;Xiaoyong Yuan 等;《2017 IEEE International Conference on Smart Computing (SMARTCOMP)》;20170615;全文 * |
| 网络恶意流入侵检测和清洗技术的分析与应用;刘涛;《中国优秀硕士学位论文全文数据库 (信息科技辑)》;20111215;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131199A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111131199B (zh) | 业务攻击流量清洗控制方法、装置、服务器及存储介质 | |
| Yu et al. | An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks | |
| Xu et al. | Safe: Synergic data filtering for federated learning in cloud-edge computing | |
| Zhong et al. | A survey on graph neural networks for intrusion detection systems: methods, trends and challenges | |
| Park et al. | Fine‐grained traffic classification based on functional separation | |
| CN114143037B (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
| Natarajan | Cyber secure man-in-the-middle attack intrusion detection using machine learning algorithms | |
| CN107370732A (zh) | 基于神经网络和最优推荐的工控系统异常行为发现系统 | |
| Bhavsar et al. | FL-IDS: Federated learning-based intrusion detection system using edge devices for transportation IoT | |
| Zhao et al. | Secure IoT edge: Threat situation awareness based on network traffic | |
| CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| Huang et al. | CCID: Cross‐Correlation Identity Distinction Method for Detecting Shrew DDoS | |
| Hande et al. | Intrusion detection system using deep learning for software defined networks (SDN) | |
| Lent et al. | An unsupervised generative adversarial network system to detect ddos attacks in sdn | |
| CN116647353A (zh) | 基于层次特征的LDoS隐蔽攻击检测方法以及装置 | |
| CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
| CN114528972A (zh) | 移动边缘计算中深度学习模型训练方法及相应系统 | |
| Bhale et al. | A hybrid IDS for detection and mitigation of sinkhole attack in 6LoWPAN networks | |
| Zacaron et al. | Generative adversarial network models for anomaly detection in software-defined networks | |
| CN116132167B (zh) | 一种面向物联网的多协议僵尸网络检测方法 | |
| Yu et al. | Novel Intrusion Detection Strategies With Optimal Hyper Parameters for Industrial Internet of Things Based On Stochastic Games and Double Deep Q-Networks | |
| Feltus | AI'S Contribution to Ubiquitous Systems and Pervasive Networks Security-Reinforcement Learning vs Recurrent Networks. | |
| Salem | Adaptive Real-time Anomaly-based Intrusion Detection using Data Mining and Machine Learning Techniques | |
| Suguna et al. | Detection of edos attacks in sdn-based cloud model using deep learning based sdpn technique | |
| CN115802358A (zh) | 一种基于强化学习的多步DDoS预测中毒攻击及其防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |