本发明属于网络,特别涉及一种基于1d-textcnn的面向云服务的异常攻击检测方法及系统。
背景技术:
1、面向云服务的异常攻击行为是指利用云计算平台的特性或漏洞,对云服务或云用户进行的恶意活动。分布式拒绝服务攻击为代表的异常攻击,是这类攻击行为的重要组成部分。分布式拒绝服务(ddos)攻击是一种常见的网络攻击形式,应用层ddos攻击是一种针对特定应用程序或服务发起的网络攻击,利用应用程序或服务中的漏洞,获取敏感数据的访问权限,或者中断应用程序或服务的正常运行。应用层攻击通常是更大规模的威胁(如勒索软件攻击)的一部分。
2、云服务提供商是常见的ddos攻击目标,因为它们为其他企业托管数据和应用程序,黑客可以通过一次攻击造成大范围的中断。ddos攻击会给云服务提供商和云服务用户带来严重的损失,包括业务中断、财务损失、声誉损害、法律责任等。正是因为云服务经常面临大量的ddos攻击,所以为了降低ddos攻击的风险和影响,云服务提供商和用户都需要采取有效的防护措施。其中如何利用云服务商大数据,根据租户的业务类型来建立ddos攻击检测模型,是一项亟待解决的问题。
3、在云服务环境下繁多的ddos攻击种类中,cc攻击(challenge collapsar attack,cc)属于其中的典型案例。cc攻击是一种针对应用服务器或应用程序的攻击,其利用获取信息的标准的get/post请求,如请求涉及数据库操作的uri或其他消耗系统资源的uri,造成服务器资源耗尽,无法响应正常请求。
4、目前,云服务环境中的ddos攻击类型多且复杂,国内外对云服务环境的应用层ddos攻击的检测方法研究主要围绕统计、基于机器学习以及基于深度学习进行。
5、1)基于统计的方法:erhan等利用流量特征统计变化的优势,提出两种统计信号处理方法(erhan d,anarim e.istatistikselile ddostespitiddosdetection using statistical methods[c]//2020 28th signal processing andcommunications applications conference(siu).piscataway:ieee,2020:1-4)。wang等采用三个草图和两个布隆过滤器利用指数加权移动平均值算法计算来分析(wang c,miu tt n,luo x,et al.skyshield:a sketch-based defense system against applicationlayer ddos attacks[j].ieee transactions on information forensics andsecurity,2017:559-573)。
6、2)基于机器学习的方法:she等引入了一种基于聚类的http泛洪攻击检测方法(she c y,wen w set al.applicationlayer ddosdetection by kmeans algorithm[c]//international conference on electrical and electronics engineering andcomputer science.china:atlantis press,2016:0),khundrakpam等利用多层感知器(multi-layer perceptron,mlp)分类算法和遗传算法作为学习算法来检测ddos攻击(khundrakpam j s,khelchandra t,tanmay d.entropy-based application layer ddosattack detection using artificial neural networks[j].entropy,2016,18(10):1-17)。
7、3)基于深度学习的方法(顾玥,李丹,高凯辉.基于机器学习和深度学习的网络流量分类研究[j].电信科学,2021,37(3):9(gu y,li d,gao kh.research on networktraffic classification based on machine learning and deep learning[j].telecommunications science,2021,37(3):9.)):lotfollahi等将数据包的原始字节作为特征输入,利用稀疏自动编码机模型进行流量分类(lotfollahi m,siavoshani m j,zade r s h,et al.deep packet:a novel approach for encrypted trafficclassification using deep learning[j].soft computing,2020,24(3):1999-2012)。wang等提取流字节作为输入特征,提取特征作为分类算法的输入,用于区分攻击与正常配置文件(wang w,zhu m,wang j l,et al.end-to-end encrypted trafficclassification with one-dimensional convolution neural networks[c]//proceedings of 2017ieee international conference on intelligence and securityinformatics(isi).piscataway:ieee press.2017:43-48)。
8、当前的技术方法主要存在以下缺点:
9、1)基于统计的方法,一方面较难捕捉异常攻击相关文本中的语义和结构信息,另一方面该方法依赖特定的信号处理方法或数据结构。
10、2)基于机器学习的方法,需要人工设计特征或选择合适的学习算法,在处理高维跟稀疏的文本数据需要降维或聚类等处理,过往的方法忽略了文本信息特征。
11、3)基于深度学习的方法,需要处理复杂和冗余的数据包或流字节,难以进行高效和灵活的文本分类。
技术实现思路
1、本发明的目的在于克服现有技术的不足,提供一种能够有效地在云服务日志中检测到异常攻击,特别是应用层ddos攻击异常行为的基于1d-textcnn的异常攻击检测方法,并提供一种进行该检测的系统。
2、本发明的目的是通过以下技术方案来实现的:基于1d-textcnn的异常攻击检测方法,其应用于云服务环境,包括:
3、s1、数据预处理:将云服务数据根据字段进行文本特征提取,形成文本特征向量;
4、s2、进行模型训练:使用文本特征向量训练1d-textcnn模型,得到训练后的1d-textcnn模型;
5、s3、数据分类:使用训练后的1d-textcnn模型对待分类的云服务数据样本进行分类。
6、所述步骤s1的数据预处理包括文本分词、去停顿词、文本映射。
7、所述1d-textcnn模型包括输入层、词嵌入层、卷积层、池化层、降维层、暂退层、全连接层、分类器层,按顺序前后级联;
8、词嵌入层:对输入深度祌经网络的文本数据进行词向量化训练,将url参数向量形成一个长宽分别为序列长度和词向量维度的特征矩阵,得到给定长度为n的url参数文本序列x=[x1,x2,…,xn],x∈rd为第i个字所对应的词向量;
9、卷积层:卷积核的宽度设置成与词向量的维度一致,卷积核沿着词向量的堆叠方向即纵向滑动进行卷积操作,从而由特定卷积核对之前嵌入层输入的词向量执行卷积操作,来提取多组局部特征;
10、池化层:从卷积层获得的特征中提取出局部最优特征;
11、降维层:用来对输入进来的值进行维度转化,即将前面的层级结构获得的二维特征转化为一维特征;
12、暂退层:即dropout层,以设定的概率p暂时随机去除神经网络部分神经元使之不参与训练,以1-p的概率保留剩余神经元;
13、全连接层:将上一层的每一个神经元与这一层的神经元一一相连,将之前层级提取的特征进行整合,学习特征的高层含义;
14、分类器:使用softmax函数来输出一个0到1之间的数,代表分类标签,即该样本分到某类的概率;模输出的标签和样本真实标签比较得到误差更新值,通过随机梯度下降和反向传播对网络结构中的参数进行更新。
15、所述1d-textcnn模型的训练步骤的操作包括:
16、s21、将文本特征向量按照一定比例划分为训练集与测试集;
17、s22、将训练集输入到初始权重的1d-textcnn模型中,采用采用二元交叉熵作为损失函数,使用adam优化器自适应改变学习率,early stop的训练模式,训练得到训练后的1d-textcnn模型;
18、s23、将测试集输入到训练后的1d-textcnn模型中,得到测试集的分类结果,与测试集标签对比得到预测的准确率,通过调节超参数、优化预处理过程,使得1d-textcnn模型预测准确率达到最优。
19、所述步骤s3的操作包括:
20、s31、对待分类的云服务数据进行预处理,得到文本特征向量;
21、s32、加载训练后的1d-textcnn模型,将s31得到的文本特征向量输入1d-textcnn模型,进行预测,得到该云服务数据的分类结果。
22、基于1d-textcnn模型的异常攻击检测装置,用于执行本发明所述的异常攻击检测,该装置包括:
23、预处理单元:用于将云服务数据根据字段进行文本特征提取,形成文本特征向量;
24、训练单元:使用文本特征向量训练1d-textcnn模型,得到训练后的1d-textcnn模型;
25、分类单元:使用训练后的1d-textcnn模型对待分类的云服务数据样本进行分类。
26、本发明的有益效果是:本发明提出了面向云服务环境基于1d-textcnn模型的异常攻击检测方法,其中以ddos攻击为异常攻击检测的重心。同时,基于异常攻击者所带url、url参数、ua、referer等参数,提取相应的异常攻击特征向量,并依此使用1d-textcnn网络训练异常攻击检测模型。本发明提出的方法能够有效地在云服务日志中检测到异常攻击,特别是应用层ddos攻击异常行为,并且有着较高的准确率。
1.基于1d-textcnn的异常攻击检测方法,其特征在于,应用于云服务环境,包括:
2.根据权利要求1所述的基于1d-textcnn的异常攻击检测方法,其特征在于,所步骤s1的数据预处理包括文本分词、去停顿词、文本映射。
3.根据权利要求1所述的基于1d-textcnn的异常攻击检测方法,其特征在于,所述1d-textcnn模型包括输入层、词嵌入层、卷积层、池化层、降维层、暂退层、全连接层、分类器层,按顺序前后级联;
4.根据权利要求3所述的基于1d-textcnn的异常攻击检测方法,其特征在于,所述的1d-textcnn模型的训练步骤的操作包括:
5.根据权利要求1所述的基于1d-textcnn的异常攻击检测方法,其特征在于,所述步骤s3的操作包括:
6.基于1d-textcnn的异常攻击检测装置,用于执行权利要求1~5任意一项所述的异常攻击检测,其特征在于,该装置包括:
