您所在的位置: 成果库 分布式边端协同的DDoS攻击实时监测方法

分布式边端协同的DDoS攻击实时监测方法

成果类型:: 发明专利

发布时间: 2023-08-30 11:08:23

科技成果产业化落地方案
方案提交机构:成果发布人| 熊鹏 | 2023-08-30 11:08:23

本发明涉及一种本发明为一种分布式边端协同的DDoS攻击实时监测方法,首先边缘服务器利用k‑means算法表示模型边界,通过拆分特征向量的方式为设备构建单独的识别监测模型组,并将模型组的相关参数返回设备端。然后设备通过模型组对产生的数据流进行实时监测,将发现可疑数据提交给服务器进行分析。最后,由服务器利用增加了阈值选择和判断的k近邻算法进行细粒度的攻击识别。本发明能够主动及时的发现边缘环境中的DDoS攻击,解决了DDoS攻击持续时间缩短造成的漏报问题;利用基于特征向量拆分的方式为每个设备构建单分类模型能够降低对模型的训练和存储开销;基于距离阈值的细粒度识别能够发现更新的良性数据,并对模型进行动态更新。

1.一种分布式边端协同的DDoS攻击实时监测方法,其特征在于,包括以下步骤:a.对每个设备构造基于数据流的行为特征子向量集合;b.对得到的行为特征子向量集合进行标准化和PCA降维处理;c.通过肘部法则确定参数k的取值,并使用k‑means聚类算法对处理好的特征子向量集合进行聚类,得到k个聚类圆,每个聚类的圆周组合起来表示该设备在空间分布中的边界,形成单分类模型;d.使用已知的攻击数据和良性数据作为训练样本训练K‑NN分类器,并确定攻击阈值的最值,得到基于阈值的细粒度分类模型;e.设备使用单分类模型对流入流出的数据进行实时监测,并判断数据是否位于该设备单分类模型的边界内,如果数据位于该设备单分类模型的边界内则该数据为良性数据,否则进行下一步的阈值判断。

物联网是一种新兴的技术,它为不同功能的设备提供统一的连接,并在日常生活、关键的基础设施系统等不同领域实现自动化操作。这些设备被用作智能环境基础设施的基本组成部分,承担传感、驱动和控制等最基本但又不可或缺的任务。然而,仅依靠这些设备并不足以完全完成各种智能环境下需求的复杂的任务。在这种情况下,这些物联网设备需要一个高性能的计算平台来卸载计算,并协助它们做出决策。

边缘计算技术的基本思想是采用具有增强计算能力的边缘服务器的层次结构来处理由物联网设备,即边缘设备卸载的异构计算任务。边缘计算有能力提供位置感知、带宽充足、实时、低成本的服务,从而能够更好的支持新兴的智能城市应用程序。然而,边缘网络计算资源有限,极易被耗尽,而边缘物联网中的设备功能单一,结构简单,很容易受到攻击者的入侵。一个受损设备可以感染大量相同网络设备从而组建僵尸网络,发起大规模DDoS攻击,随着物联网环境越来越复杂,DDoS攻击的攻击持续的时间开始缩短,边缘物联网安全受到极大威胁。

现有的基于DDoS攻击检测的研究均利用有监督的机器学习算法进行模型训练,被动地进行定时的攻击监测。但由于DDoS攻击的攻击持续的时间不断缩短,传统的被动检测方法难以及时发现攻击,造成漏报,且物联网中的设备接入、更新频繁,基于机器学习的多分类器进行重训练会造成巨大的存储和计算开销。且现有的检测方案基于已知的正常数据和攻击数据进行模型训练,难以区分更新数据,从而导致发生误报。

有鉴于此,亟需提供一种可以在边缘环境中能够动态更新的实时监测模型,准确地识别攻击数据,发现设备更新,从而实现模型自动更新,且改进检测模型的性能、提高认证率是边缘DDoS攻击检测走向实际应用的需求。


河北大学,坐落于河北省保定市,是教育部与河北省人民政府“部省合建”的重点综合性高校,也是河北省重点支持的国家一流大学建设一层次高校,“教育部留学出国人员培训与研究中心”试点高校;入选国家中西部高校综合实力提升工程、中西部高校基础能力建设工程、卓越工程师教育培养计划、卓越法律人才教育培养计划、国家级大学生创新创业训练计划、全国首批深化创新创业教育改革示范高校。为中西部“一省一校”联盟成员,具有研究生院和推荐免试研究生资格高校。

本发明为一种分布式边端(边缘服务器‑设备)协同的DDoS攻击实时监测方法。首先边缘服务器利用k‑means算法表示模型边界,通过拆分特征向量的方式为设备构建单独的识别监测模型组,并将模型组的相关参数返回设备端。然后设备通过模型组对产生的数据流进行实时监测,将发现可疑数据提交给服务器进行分析。最后,由服务器利用增加了阈值选择和判断的k近邻算法进行细粒度的攻击识别,即识别更新的良性数据和攻击数据的具体类别,并将更新的良性数据存储在服务器进行模型更新。

分布式的实时攻击监测方案能够主动及时的发现边缘环境中的DDoS攻击,解决了DDoS攻击持续时间缩短造成的漏报问题;利用基于特征向量拆分的方式为每个设备构建单独的识别监测模型组能够应对降低模型的训练和存储开销;基于距离阈值的细粒度识别能够发现更新的良性数据,并对模型进行动态更新。

技术转让,许可,合作所需资金需双方协商,此项技术想尽快落地保定,希望具备此项技术研发的技术方,能够尽快承接此项目。