[发明专利]一种基于人工智能进行DDoS攻击识别的网络安全预警方法

说明书

本发明涉及一种基于人工智能进行DDoS攻击识别的网络安全预警方法，属于数字信息的传输领域。本发明构建了目标企业中各主机对应的主机行为码和报文特征码，并计算各主机对应的各周期的局部变动域；根据各主机对应的各周期的局部变动域计算各主机在使用过程中各观测时间段对应的跟踪指标的标准差；根据所述各段观测时间对应的跟踪指标的标准差计算各段分析时间对应的网络行为异常指数；判断该主机在使用过程中是否出现连续两次以上网络行为异常指数增大的情况，若出现，则判定该主机发起了DDoS攻击，并向管理人员进行预警。本发明实现了对主机是否发起了DDoS攻击的更有效地判断和预警。

技术领域

本发明涉及数字信息的传输领域，具体涉及一种基于人工智能进行DDoS攻击识别的网络安全预警方法。

背景技术

分布式拒绝服务攻击(Distributed Denial of Service，DDoS)一直都是网络安全领域的重点研究对象，它在日常工作中严重威胁了网络安全的发展，对网络环境的影响巨大。DDoS攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

当网络设备遭受DDoS攻击时，最明显的现象就是网络设备接收到大量的不明报文及数据流。对于企业而言，一个公司的网络出口通常对应单一IP，若企业内部出现了异常的主机，有可能对其他用户造成影响，因此企业安全网关需要对异常行为进行抑制和预警。然而一个企业内部的业务流量是非常多样化的，难以准确有效地过滤异常流量，亦无法区分正常的突发流量。目前的流量检测方法主要是基于深度报文检测（Deep PacketInspection，DPI），此种方式只能确定流量类型，在对客户端具体行为的分析上存在局限性，因此不能有效地判断企业的网络设备是否遭受了DDoS攻击。

发明内容

为了解决现有方法不能有效地对企业的网络设备是否遭受了DDoS攻击进行判断的问题，本发明提供了一种基于人工智能进行DDoS攻击识别的网络安全预警方法。

本发明的一种基于人工智能进行DDoS攻击识别的网络安全预警方法，包括以下步骤：

获取目标企业的各主机对应的浏览器指纹和所属部门，根据所述各主机对应的浏览器指纹和所属部门构建各主机对应的主机行为码；获取各主机对应的通信报文信息，根据各主机对应的通信报文信息构建各主机对应的报文特征码；

根据各主机对应的各周期的主机行为码和报文特征码计算各主机对应的各周期的局部变动域；所述各周期包括当前周期和设定数量的历史周期；

根据各主机对应的各周期的局部变动域计算各主机在使用过程中各观测时间段对应的跟踪指标的标准差，一个观测时间段包括多个周期；根据所述各段观测时间对应的跟踪指标的标准差计算各段分析时间对应的网络行为异常指数；判断该主机在使用过程中是否出现连续两次以上网络行为异常指数增大的情况，若出现，则判定该主机发起了DDoS攻击，并向管理人员进行预警。

进一步地，所述根据所述各主机对应的浏览器指纹和所属部门构建各主机对应的主机行为码，包括：

将各主机对应的部门的ONE-Hot编码和对应的浏览器指纹的ONE-Hot编码进行合并，得到各主机对应的主机行为码，其中，为合并函数，为主机所属部门对应的ONE-Hot编码，为主机对应的浏览器指纹对应的ONE-Hot编码。

进一步地，所述根据各主机对应的通信报文信息构建各主机对应的报文特征码，包括：

对于目标企业内任一主机的通信报文，利用词袋模型在对通信报文进行分词，得到该主机的通信报文对应的所有词汇，对常见词汇和领域中因常见协议而导致重复出现的词汇进行排除；

使用CountVectorizer技术将上述排除后剩余的词汇进行转换，得到该主机对应的报文特征码。