申请/专利权人：上海海事大学

申请日：2017-09-05

公开（公告）日：2020-04-17

公开（公告）号：CN107483473B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.04.17#授权;2018.01.09#实质审查的生效;2017.12.15#公开

摘要：本发明公开了一种云环境的低速拒绝服务攻击数据流检测方法，通过计算雷尼信息熵识别云环境的各种低速数据流，通过构建基于卷积神经网络的层次模型提取低速数据流的局部特征信息，并在线检测各种低速拒绝服务攻击数据流。若低速数据流通过卷积神经网络和矩阵化分类器模型后的实际输出与期望输出的差异超过阈值时，说明该低速数据流异常；若实际输出与期望输出的差异在阈值范围内，说明该低速数据流正常。然后，通过优先级排队控制和合理分配云环境中的带宽等资源，消除各种低速拒绝服务攻击流对云环境的影响。本发明能有效检测云环境的各种低速拒绝服务攻击数据流，并消除其对合法云用户带宽等资源的影响。

主权项：1.一种云环境的低速拒绝服务攻击数据流检测方法，其特征在于，包含以下步骤：S1，搜集云环境正常状态下的数据流；所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态；S2，用信息熵对搜集的数据流预处理，得到训练卷积神经网络所用的训练样本；预处理的数据流中每条数据包括，源IP、目的IP、数据报长、连接持续时间、源端口发送字节数；S3，构造卷积神经网络包含1个输入层，2个卷积层，1个下采样层，1个全连接层，1个输出层，输出层连接矩阵型分类器；S4，用训练样本训练卷积神经网络，通过数层特征提取和特征映射之后，以特征向量的形式体现全局的特征信息；将特征向量矩阵化并输入相应矩阵型分类器和调和模型参数，直到误差在一定范围完成卷积神经网络多矩阵化分类器模型构建；S5，按事先设置的时间间隔，实时在线收集云环境中数据流，并实时传送检测低速拒绝服务攻击；选取数据流中部分常规特征信息，所选取的部分常规特征信息种类由步骤S2得出，计算互雷尼信息熵，进行低速拒绝服务攻击数据流初步识别；将低速数据流通过步骤S4训练得到的卷积神经网络多矩阵化分类器模型进一步检测，若低速数据流通过模型后的实际输出与期望输出的差异超过阈值，说明该低速数据流异常；若数据流通过模型后的实际输出与期望输出的差异在阈值范围内，说明该低速数据流正常；S6，根据检测结果将数据流进行优先级排队控制，消除低速拒绝服务攻击数据流对云环境的影响。

全文数据：一种云环境的低速拒绝服务攻击数据流检测方法技术领域[0001]本发明特别涉及一种云环境的低速拒绝服务攻击数据流检测方法。背景技术[0002]低速率拒绝服务攻击（low-ratedenial-of-service,简称LDoS是一种新型的拒绝服务攻击，以一种智能方式发送低速流量攻击，能够绕过基于高速率特征的检测机制，试图溢出在机器中运行的服务。[0003]目前针对低速率拒绝服务攻击的检测方法主要有，针对TCP拥塞控制机制的Shrew攻击、随机化端系统的最小超时等待时间、控制路由器队列缓冲区、算法匹配、数学工具如小波特征。发明内容[0004]本发明的目的是提供一种云环境的低速拒绝服务攻击数据流检测方法，能有效检测云环境下低速拒绝服务攻击数据流，消除低速拒绝服务攻击数据流对云环境的影响，为云用户分配合理的资源。[0005]为了实现以上目的，本发明是通过以下技术方案实现的：[0006]—种云环境的低速拒绝服务攻击数据流检测方法，其特点是，包含以下步骤：[0007]SI，搜集云环境正常状态下的数据流;所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态；[0008]S2,用信息熵对搜集的数据流预处理，得到训练卷积神经网络所用的训练样本;预处理的数据流中每条数据包括，源IP、目的IP、数据报长、连接持续时间、源端口发送字节数；[0009]S3,构造卷积神经网络包含1个输入层，2个卷积层，1个下采样层，1个全连接层，1个输出层，输出层连接矩阵型分类器；[0010]S4,用训练样本训练卷积神经网络，通过数层特征提取和特征映射之后，以特征向量的形式体现全局的特征信息;将特征向量矩阵化并输入相应矩阵型分类器和调和模型参数，直到误差在一定范围完成卷积神经网络多矩阵化分类器模型构建；[0011]S5,按事先设置的时间间隔，实时在线收集云环境中数据流，并实时传送检测低速拒绝服务攻击;选取数据流中部分常规特征信息，所选取的部分常规特征信息种类由步骤S2得出，计算互雷尼信息熵，进行低速拒绝服务攻击数据流初步识别;将低速数据流通过步骤S4训练得到的卷积神经网络多矩阵化分类器模型进一步检测，若低速数据流通过模型后的实际输出与期望输出的差异超过阈值，说明该低速数据流异常;若数据流通过模型后的实际输出与期望输出的差异在阈值范围内，说明该低速数据流正常。[0012]S6,根据检测结果将数据流进行优先级排队控制，消除低速拒绝服务攻击数据流对云环境的影响。[0013]所述的步骤S2中对搜集的数据流预处理为：[0014]Al，数据集合表示为:A=W，a2，··％，··▲};此处分别统计源IP、目的IP、数据报长、连接持续时间、源端口、目的端口、源端口发送字节数、目的端口发送字节数、连接状态、过去两秒与同一主机的连接数特征信息的种数数据项，记为:K={ki，k2，…kn};[0015]A2,分别统计Δt时间内数据集合中，η种特征信息出现的kj种属性值的次数N与总次数[0016]A3,分别计算出h种属性值出现的概率P，并分别计算η种特征信息的信息熵Η，[0017]选取熵值中的10种特征信息并求其η个At时间的信息熵均值，作为训练卷积神经网络的数据集；[0018]A4,选定一个报文概率分布模版，同样是选取熵值中的10种特征信息，并根据η个At时间特征信息出现次数与总次数的均值计算出概率值，确定[0019]所述的步骤S3具体包含：[0020]BI，由步骤S2和A3得到预处理后的训练样本，每条数据的10个特征数据都构成一个10维向量，X=[XI，Χ2,‘"ΧΙΟ];[0021]Β2,构造卷积神经网络，包含1个输入层，2个卷积层，1个下采样层，1个全连接层，I个输出层；[0022]B3，构建输入层，所述的输入层直接输入数据集中的每个10维目标特征向量；[0023]B4,构建Cl层卷积层，卷积计算时，将卷积核与特征做点乘，再加上一个偏置后得到该特征对应的卷积结果;输出6个特征映射，即对输入的特征向量提取6种不同的特征;卷积核的大小是1X3,卷积核卷积操作滑动步长为1;卷积后产生6个特征向量，每个特征向量维数是8;[0024]B5,构建S2层下采样层，所述S2层下采样层的输出特征映射数量和所述的Cl卷积层输出的特征映射数量是相同的，为6;下采样层的采样区域为1X2,无重叠采样，对每个区域内的2个值计算平均值，作为特征向量中对应的值;S2层下采样层输入的是Cl卷积层产生的6个IX8的特征向量，下采样后输出的是6个IX4的特征向量；[0025]B6,构建C3层卷积层，输出16个特征映射，需要训练的卷积核数量为16,提取16种不同的特征;卷积核的大小是IX3,卷积核卷积操作滑动步长为1;输入的数据是S2层下采样层产生的6个特征向量，使用16个不同的卷积核分别对6个特征向量做卷积运算，卷积后产生16个IX2的特征向量；[0026]B7，构建F4层全连接层，所述的F4层全连接层与C3层卷积层采用全连接方式，输入的是C3卷积层产生的16个1X2的特征向量，有28个单元，计算方式是将输入向量与权重向量做点乘，再加上一个偏置后获得结果，最后利用Sigmoid函数产生单元对应单元的一个状态，计算后产生30个输出；[0027]B8,构建输出层，所述的输出层连接矩阵型分类器。[0028]所述的步骤S3中矩阵型分类器用于：[0029]将特征向量矩阵化为多个不同的矩阵表示；[0030]把不同的矩阵表示形式输入到相应的矩阵型分类器中，通过加权加和的方式得出实际输出。[0031]所述的步骤4中卷积神经网络矩阵型分类器的训练流程，分为前向传播和反向传播两个步骤，训练阶段算法流程如下：[0032]Dl，使用高斯分布方式初始化网络的权值，其中偏置值设定为常量；[0033]D2,训练样本通过卷积神经网络层次结构进行前向传播，层层计算得到输出；[0034]D3,计算网络的实际输出与预测输出之间的误差值，如果误差值小于一个预定设定的阈值或者训练迭代次数达到预定阈值，停止网络训练，否则继续进行网络训练；[0035]D4,按照极小化方式将误差进行反向传播，逐步更新网络的权值；[0036]D5，重新回至IJD2，继续训练下去。[0037]所述的步骤S5中通过计算互雷尼信息熵进行初步识别低速拒绝服务攻击数据流包含以下步骤：[0038]El，α级互雷尼信息熵，定义为：，其中ρ=ρι，Ρ2,…，pk,…，Ρη和q=qi，q2,…，qk,…，qn为2个1¾散的概率分布，0α1;[0039]Ε2,当p=q时，Ia=O;如果令α=〇.5,则._称为互雷尼信息熵的对称表达式；[0040]Ε3,将实时在线收集的云环境中数据流用信息熵预处理方式处理，求出报文值概率分布[0041]Ε4.根据所述实时在线的报文值概率分布与模板库中的报文值概率分布计算互雷尼信息熵，信息熵值越接近〇，表示实时在线的报文值概率分布与模板库中的报文值概率分布越相近，初步检测识别为正常，值越偏离0,表示两者差别越大，初步检测识别为异常。[0042]所述的步骤S6中优先级排队控制具体为：[0043]根据步骤S5所述低速拒绝服务攻击数据流初步识别结果和卷积神经网络多矩阵化分类器模型低速拒绝服务攻击数据流检测结果对应为恰当的优先级，建立多个优先级不同的队列;若数据流通过计算互雷尼信息熵和模型检测均为正常，将此队列划为高优先级，其它结果依次从高到低划分;优先级高的队列分配的带宽资源、计算资源和存储资源比优先级低的队列分配的带宽资源、计算资源和存储资源多;或，优先级低的队列在高峰时段不分配带宽资源、计算资源和存储资源。[0044]本发明与现有技术相比，具有以下优点：[0045]1、保障了云环境下低速拒绝服务攻击数据流检测的实时性。通过实时在线收集云环境中数据流并实时传送进行在线检测，互雷尼信息熵结合卷积神经网络多矩阵化分类器模型能快速检测低速拒绝服务攻击数据流。[0046]2、提高了云环境下低速拒绝服务攻击数据流检测的准确性。通过计算互雷尼信息熵对低速拒绝服务攻击数据流初步检测后，再用卷积神经网络多矩阵化分类器模型进行检测，双重检测机制大大提高了检测的准确性。[0047]保证了云环境下其他云用户的正常使用。通过实时在线收集云环境中数据流进行检测，并不影响其他云用户的使用。同时通过优先级排队控制，消除低速服务攻击数据流的影响，为云用户合理分配带宽等资源，更加保证了云用户的正常使用。附图说明[0048]图1为本发明一种云环境的低速拒绝服务攻击数据流检测方法的流程图；[0049]图2为卷积神经网络和矩阵化分类器模型的结构图；[0050]图3为优先级排队控制的结构图。具体实施方式[0051]以下结合附图，通过详细说明一个较佳的具体实施例，对本发明做进一步阐述。[0052]如图1所示，一种云环境的低速拒绝服务攻击数据流检测方法，包含以下步骤：[0053]SI，搜集云环境正常状态下的数据流;所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态；[0054]S2,用信息熵对搜集的数据流预处理，得到训练卷积神经网络所用的训练样本;预处理的数据流中每条数据包括，源IP、目的IP、数据报长、连接持续时间、源端口发送字节数；[0055]S3,构造卷积神经网络包含1个输入层，2个卷积层，1个下采样层，1个全连接层，1个输出层，输出层连接矩阵型分类器；[0056]S4,用训练样本训练卷积神经网络，通过数层特征提取和特征映射之后，以特征向量的形式体现全局的特征信息;将特征向量矩阵化并输入相应矩阵型分类器和调和模型参数，直到误差在一定范围完成卷积神经网络多矩阵化分类器模型构建；[0057]S5,按事先设置的时间间隔，实时在线收集云环境中数据流，并实时传送检测低速拒绝服务攻击;选取数据流中部分常规特征信息，所选取的部分常规特征信息种类由步骤S2得出，计算互雷尼信息熵，进行低速拒绝服务攻击数据流初步识别;将低速数据流通过步骤S4训练得到的卷积神经网络多矩阵化分类器模型进一步检测，若低速数据流通过模型后的实际输出与期望输出的差异超过阈值，说明该低速数据流异常;若数据流通过模型后的实际输出与期望输出的差异在阈值范围内，说明该低速数据流正常。[0058]S6，根据检测结果将数据流对应为恰当的优先级，进行优先级排队控制，消除低速拒绝服务攻击数据流对云环境的影响。[0059]上述的步骤S2中对搜集的数据流预处理为：[0060]△1，数据集合表示为:六={1，2，〜1，〜„};此处分别统计源1?、目的1?、数据报长、连接持续时间、源端口、目的端口、源端口发送字节数、目的端口发送字节数、连接状态、过去两秒与同一主机的连接数特征信息的种数数据项，记为:K={ki，k2，-Ikj，…kn};[0061]A2,分别统计Δt时间内数据集合中，η种特征信息出现的kj种属性值的次数N与总次数[0062]A3,分别计算出h种属性值出现的概率P，[0063]并分别计算η种特征信息的信息熵H，；选取熵值较大的10种特征信息并求其η个Λt时间的信息熵均值，作为训练卷积神经网络的数据集；[0064]所述熵值较大的10种特征信息，这里为源IP、目的IP、数据报长、连接持续时间、源端口发送字节数、目的端口发送字节数、连接状态、过去两秒与同一主机的连接数，前100个连接中与同一主机的连接数，前1〇〇个连接中与不同主机连接百分比。[0065]A4,选定一个报文概率分布模版，同样是选取熵值较大的10种特征信息，并根据η个At时间特征信息出现次数与总次数的均值计算出概率值，确定[0066]如图2所示，卷积神经网络包含1个输入层Input，2个卷积层Cl、C3，1个下采样层S2，1个全连接层F4，1个输出层Output;卷积层卷积计算时和全连接计算类似，将卷积核与特征做点乘，再加上一个偏置后得到该特征对应的卷积结果;但卷积层有多个卷积核，属于局部连接网络，相同的卷积核共享相同的卷积核权值和偏置值。下采样层进行子抽样，减少数据处理量并保留有用信息。[0067]上述的步骤S3具体包含：[0068]BI，由步骤S2和A3得到预处理后的训练样本，每条数据的10个特征数据都构成一个10维向量，X=[XI，Χ2,‘"ΧΙΟ];[0069]Β2，构造卷积神经网络，包含1个输入层，2个卷积层，1个下采样层，1个全连接层，I个输出层；[0070]B3，构建输入层，所述的输入层直接输入数据集中的每个10维目标特征向量；[0071]B4,构建Cl层卷积层，卷积计算时，将卷积核与特征做点乘，再加上一个偏置后得到该特征对应的卷积结果;输出6个特征映射，也就是说Cl卷积层需要通过学习的卷积核数量是6,即对输入的特征向量提取6种不同的特征;卷积核的大小是1X3,卷积核卷积操作滑动步长为1;卷积后产生6个特征向量，每个特征向量维数是8;[0072]B5,构建S2层下采样层，所述S2层下采样层的输出特征映射数量和前面的Cl卷积层输出的特征映射数量是相同的，为6;下采样层的采样区域为1X2,无重叠采样，对每个区域内的2个值计算平均值，作为特征向量中对应的值;S2层下采样层输入的是Cl卷积层产生的6个IX8的特征向量，下采样后输出的是6个IX4的特征向量；[0073]B6,构建C3层卷积层，输出16个特征映射，需要训练的卷积核数量为16,提取16种不同的特征;卷积核的大小是IX3,卷积核卷积操作滑动步长为1;输入的数据是S2层下采样层产生的6个特征向量，使用16个不同的卷积核分别对6个特征向量做卷积运算，卷积后产生16个IX2的特征向量；[0074]B7，构建F4层全连接层，所述的F4层全连接层与C3层卷积层采用全连接方式，输入的是C3卷积层产生的16个1X2的特征向量，有28个单元，计算方式是将输入向量与权重向量做点乘，再加上一个偏置后获得结果，最后利用Sigmoid函数产生单元对应单元的一个状态，计算后产生30个输出；[0075]B8,构建输出层，所述的输出层连接矩阵型分类器。[0076]上述的步骤S3中矩阵型分类器用于：[0077]Cl，将特征向量（IX30矩阵化为多个不同的矩阵表示（如3X10、10X3、15X2、2X15、5X6、6X5;[0078]C2,把不同的矩阵表示形式输入到相应的矩阵型分类器中，通过加权加和的方式得出实际输出。[0079]上述的步骤4中卷积神经网络矩阵型分类器的训练流程，分为前向传播和反向传播两个步骤，训练阶段算法流程如下：[0080]Dl，使用高斯分布方式初始化网络的权值，其中偏置值设定为常量；[0081]D2,训练样本通过卷积神经网络层次结构进行前向传播，层层计算得到输出；[0082]D3,计算网络的实际输出与预测输出之间的误差值，如果误差值小于一个预定设定的阈值或者训练迭代次数达到预定阈值，停止网络训练，否则继续进行网络训练；[0083]D4,按照极小化方式将误差进行反向传播，逐步更新网络的权值；[0084]D5，重新回到D2，继续训练下去。[0085]上述的步骤S5中通过计算互雷尼信息熵进行初步识别低速拒绝服务攻击数据流包含以下步骤：[0086]El，α级互雷尼信息熵，定义为：」，其中ρ=ρι，Ρ2,…，pk,…，Ρη和q=qi，q2,…，qk,…，qn为2个1¾散的概率分布，0α1;[0087]Ε2,当p=q时，Ia=O;如果令α=〇.5,则称为互雷尼信息熵的对称表达式；[0088]Ε3,将实时在线收集的云环境中数据流用雷尼信息熵预处理，求出报文值概率分布[0089]Ε4.根据所述实时在线的报文值概率分布与模板库中的报文值概率分布计算互雷尼信息熵，信息熵值越接近〇，表示实时在线的报文值概率分布与模板库中的报文值概率分布越相近，初步检测识别为正常，值越偏离〇,表示两者差别越大，初步检测识别为异常。[0090]所述的步骤S6中优先级排队控制具体为：[0091]根据步骤S5所述低速拒绝服务攻击数据流初步识别结果和卷积神经网络多矩阵化分类器模型低速拒绝服务攻击数据流检测结果对应为恰当的优先级，建立多个优先级不同的队列;若数据流通过计算互雷尼信息熵和模型检测均为正常，将此队列划为高优先级，其它结果依次从高到低划分;优先级高的队列分配的带宽资源、计算资源和存储资源比优先级低的队列分配的带宽资源、计算资源和存储资源多;或，优先级低的队列在高峰时段不分配带宽资源、计算资源和存储资源。[0092]如图3所示，优先级排队控制根据低速拒绝服务攻击数据流初步识别结果和卷积神经网络多矩阵化分类器模型低速拒绝服务攻击数据流检测结果进行队列管理，对应为恰当的优先级，建立多个优先级不同的队列;若数据流通过计算互雷尼信息熵和模型检测均为正常，将此队列划为高优先级，其它结果依次从高到低划分;依次按照高优先级队列、中优先级队列、低优先级队列轮询的方式为每个队列提供轮询调度服务;优先级高的队列分配更多带宽资源、计算资源和存储资源，优先级低的队列分配更少或在高峰时段不分配带宽资源、计算资源和存储资源。[0093]综上所述，本发明一种云环境的低速拒绝服务攻击数据流检测方法，能有效检测云环境下低速拒绝服务攻击数据流，消除低速拒绝服务攻击数据流对云环境的影响，为云用户分配合理的资源。[0094]尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。

权利要求：1.一种云环境的低速拒绝服务攻击数据流检测方法，其特征在于，包含以下步骤：Si，搜集云环境正常状态下的数据流;所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态；S2,用信息熵对搜集的数据流预处理，得到训练卷积神经网络所用的训练样本;预处理的数据流中每条数据包括，源IP、目的IP、数据报长、连接持续时间、源端口发送字节数；S3，构造卷积神经网络包含1个输入层，2个卷积层，1个下采样层，1个全连接层，1个输出层，输出层连接矩阵型分类器；54,用训练样本训练卷积神经网络，通过数层特征提取和特征映射之后，以特征向量的形式体现全局的特征信息;将特征向量矩阵化并输入相应矩阵型分类器和调和模型参数，直到误差在一定范围完成卷积神经网络多矩阵化分类器模型构建；55,按事先设置的时间间隔，实时在线收集云环境中数据流，并实时传送检测低速拒绝服务攻击;选取数据流中部分常规特征信息，所选取的部分常规特征信息种类由步骤S2得出，计算互雷尼信息熵，进行低速拒绝服务攻击数据流初步识别;将低速数据流通过步骤S4训练得到的卷积神经网络多矩阵化分类器模型进一步检测，若低速数据流通过模型后的实际输出与期望输出的差异超过阈值，说明该低速数据流异常;若数据流通过模型后的实际输出与期望输出的差异在阈值范围内，说明该低速数据流正常；56,根据检测结果将数据流进行优先级排队控制，消除低速拒绝服务攻击数据流对云环境的影响。2.如权利要求1所述的云环境的低速拒绝服务攻击数据流检测方法，其特征在于，所述的步骤S2中对搜集的数据流预处理为：A1，数据集合表示为:4={1，2，‘"1^};此处分别统计源1?、目的1?、数据报长、连接持续时间、源端口、目的端口、源端口发送字节数、目的端口发送字节数、连接状态、过去两秒与同一主机的连接数特征信息的种数数据项，记为:K={ki，k2，…kn};A2,分别统计Δt时间内数据集合中，η种特征信息出现的kj种属性值的次数N与总次数A3,分别计算出h种属性值出现的概率P并分别计算η种特征信息的信息熵H，：.选取熵值中的10种特征信息并求其η个At时间的信息熵均值，作为训练卷积神经网络的数据集；A4，选定一个报文概率分布模版，同样是选取熵值中的10种特征信息，并根据η个△t时间特征信息出现次数与总次数的均值计算出概率值，确定3.如权利要求1所述的云环境的低速拒绝服务攻击数据流检测方法，其特征在于，所述的步骤S3具体包含：BI，由步骤S2和A3得到预处理后的训练样本，每条数据的10个特征数据都构成一个10维向量，X=[XI，X2,‘"χιο];B2，构造卷积神经网络，包含1个输入层，2个卷积层，1个下采样层，1个全连接层，1个输出层；B3，构建输入层，所述的输入层直接输入数据集中的每个10维目标特征向量；B4,构建Cl层卷积层，卷积计算时，将卷积核与特征做点乘，再加上一个偏置后得到该特征对应的卷积结果;输出6个特征映射，即对输入的特征向量提取6种不同的特征;卷积核的大小是IX3,卷积核卷积操作滑动步长为1;卷积后产生6个特征向量，每个特征向量维数是8;B5,构建S2层下采样层，所述S2层下采样层的输出特征映射数量和所述的Cl卷积层输出的特征映射数量是相同的，为6;下采样层的采样区域为1X2,无重叠采样，对每个区域内的2个值计算平均值，作为特征向量中对应的值;S2层下采样层输入的是Cl卷积层产生的6个IX8的特征向量，下采样后输出的是6个IX4的特征向量；B6,构建C3层卷积层，输出16个特征映射，需要训练的卷积核数量为16,提取16种不同的特征;卷积核的大小是IX3,卷积核卷积操作滑动步长为1;输入的数据是S2层下采样层产生的6个特征向量，使用16个不同的卷积核分别对6个特征向量做卷积运算，卷积后产生16个IX2的特征向量；B7，构建F4层全连接层，所述的F4层全连接层与C3层卷积层采用全连接方式，输入的是C3卷积层产生的16个IX2的特征向量，有28个单元，计算方式是将输入向量与权重向量做点乘，再加上一个偏置后获得结果，最后利用Sigmoid函数产生单元对应单元的一个状态，计算后产生30个输出；B8,构建输出层，所述的输出层连接矩阵型分类器。4.如权利要求1所述的云环境的低速拒绝服务攻击数据流检测方法，其特征在于，所述的步骤S3中矩阵型分类器用于：将特征向量矩阵化为多个不同的矩阵表示；把不同的矩阵表示形式输入到相应的矩阵型分类器中，通过加权加和的方式得出实际输出。5.如权利要求1所述的云环境的低速拒绝服务攻击数据流检测方法，其特征在于，所述的步骤4中卷积神经网络矩阵型分类器的训练流程，分为前向传播和反向传播两个步骤，训练阶段算法流程如下：Dl，使用高斯分布方式初始化网络的权值，其中偏置值设定为常量；D2,训练样本通过卷积神经网络层次结构进行前向传播，层层计算得到输出；D3,计算网络的实际输出与预测输出之间的误差值，如果误差值小于一个预定设定的阈值或者训练迭代次数达到预定阈值，停止网络训练，否则继续进行网络训练；D4，按照极小化方式将误差进行反向传播，逐步更新网络的权值；D5，重新回到D2，继续训练下去。6.如权利要求2所述的云环境的低速拒绝服务攻击数据流检测方法，其特征在于，所述的步骤S5中通过计算互雷尼信息熵进行初步识别低速拒绝服务攻击数据流包含以下步骤：El，α级互雷尼信息熵，定义为：，其中P=ρι，ρ2,…，Pk,…，Ρη和q=qi，q2,…，qk,…，qn为2个呙散的概率分布，0α1;E2,当p=q时，Ia=O;如果令α=0.5,则称为互雷尼信息熵的对称表达式；Ε3,将实时在线收集的云环境中数据流用信息熵预处理方式处理，求出报文值概率分布Ε4.根据所述实时在线的报文值概率分布与模板库中的报文值概率分布计算互雷尼信息熵，信息熵值越接近〇，表不实时在线的报文值概率分布与模板库中的报文值概率分布越相近，初步检测识别为正常，值越偏离0,表示两者差别越大，初步检测识别为异常。7.如权利要求1所述的云环境的低速拒绝服务攻击数据流检测方法，其特征在于，所述的步骤S6中优先级排队控制具体为：根据步骤S5所述低速拒绝服务攻击数据流初步识别结果和卷积神经网络多矩阵化分类器模型低速拒绝服务攻击数据流检测结果对应为恰当的优先级，建立多个优先级不同的队列;若数据流通过计算互雷尼信息熵和模型检测均为正常，将此队列划为高优先级，其它结果依次从高到低划分;优先级高的队列分配的带宽资源、计算资源和存储资源比优先级低的队列分配的带宽资源、计算资源和存储资源多；或，优先级低的队列在高峰时段不分配带宽资源、计算资源和存储资源。

百度查询： 上海海事大学 一种云环境的低速拒绝服务攻击数据流检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD