一种基于多模态融合分析的DDoS攻击识别方法及系统与流程

本发明属于网络安全，具体涉及一种基于多模态融合分析的ddos攻击识别方法及系统。

背景技术：

1、随着互联网的普及，越来越多的个人和企业依赖于网络服务，这为分布式阻断服务（distributed denial of service，ddos）攻击提供了广泛的目标。ddos攻击是一种网络攻击手段，其目的是通过使目标服务器或网络资源过载，从而使其无法为合法用户提供服务。攻击者通过感染大量计算机，构建僵尸网络（botnet），利用这些被控制的计算机发起大规模的协同攻击。随着ddos攻击技术的发展，其手段日益复杂，攻击频率和规模也在不断增长，因此识别和防御ddos攻击成为了网络安全领域的重要课题。

2、现有的ddos攻击识别技术，存在以下缺陷：

3、1）识别准确性不足：现有技术往往依赖于单一的数据源或特征进行ddos攻击识别，这可能导致误报率和漏报率较高，并且可能无法有效区分正常流量和恶意流量，特别是在面对复杂多变的攻击手段时；

4、2）防御策略的实时性不足：现有防御系统在检测到攻击后，响应时间较长，无法及时阻断攻击，导致服务可用性受损，并且防御策略的更新往往依赖于人工干预，缺乏自动化的实时调整能力。

技术实现思路

1、为了解决现有技术存在的识别准确性不足和防御策略的实时性不足的问题，本发明目的在于提供一种基于多模态融合分析的ddos攻击识别方法及系统。

2、本发明所采用的技术方案为：

3、一种基于多模态融合分析的ddos攻击识别方法，包括如下步骤：

4、基于云数据中心，构建hfish蜜罐链网、多模态融合模型、ddos攻击识别模型以及防御策略生成模型；

5、基于hfish蜜罐链网，采集实时多模态数据，并使用多模态融合模型，对实时多模态数据进行多模态融合，得到实时多模态融合特征；

6、使用ddos攻击识别模型，对实时多模态融合特征进行ddos攻击识别，得到实时识别结果；

7、使用防御策略生成模型，对实时识别结果进行防御策略生成，得到实时ddos攻击防御策略。

8、进一步地，基于云数据中心，构建hfish蜜罐链网、多模态融合模型、ddos攻击识别模型以及防御策略生成模型，包括如下步骤：

9、基于云数据中心，构建若干hfish蜜罐，设置hfish管理模块，并根据hfish管理模块和若干hfish蜜罐，构建hfish蜜罐链网；

10、采集若干历史多模态数据，并根据若干历史多模态数据，使用特征融合算法，构建多模态融合模型，并生成若干历史多模态融合特征；

11、根据若干历史多模态融合特征，使用深度学习算法，构建ddos攻击识别模型，并生成若干历史识别结果；

12、采集云数据中心在不同历史识别结果的若干历史ddos防御信息和若干历史ddos防御决策；

13、根据若干历史ddos防御信息和若干历史ddos防御决策，使用强化学习算法，构建防御策略生成模型，并生成若干历史防御策略生成经验。

14、进一步地，基于云数据中心，构建若干hfish蜜罐，设置hfish管理模块，并根据hfish管理模块和若干hfish蜜罐，构建hfish蜜罐链网，包括如下步骤：

15、基于云数据中心，采集若干应用程序的基本信息，根据基本信息，生成对应的hfish蜜罐要素；

16、根据hfish蜜罐要素，在应用程序处构建对应的hfish蜜罐，并在hfish蜜罐中设置流量探针；

17、设置hfish管理模块，并将所有hfish蜜罐连接至hfish管理模块，得到hfish蜜罐链网。

18、进一步地，多模态融合模型基于cnn-lstm-mlp算法构建；

19、ddos攻击识别模型基于rf算法构建；

20、防御策略生成模型基于dqn算法构建。

21、进一步地，根据若干历史多模态融合特征，使用深度学习算法，构建ddos攻击识别模型，并生成若干历史识别结果，包括如下步骤：

22、根据历史多模态融合特征和历史识别结果的数据结构，构建第二输入层和第二输出层；

23、使用rf算法构建攻击识别模块，并结合第二输入层和第二输出层，构建初始的ddos攻击识别模型；

24、使用初始的ddos攻击识别模型，生成历史多模态融合特征的若干特征关键评分，并根据若干特征关键评分，提取对应的若干历史关键特征；

25、基于若干历史关键特征，使用若干历史多模态融合特征，对初始的ddos攻击识别模型进行优化训练，得到最终的ddos攻击识别模型，并生成若干历史识别结果。

26、进一步地，根据若干历史ddos防御信息和若干历史ddos防御决策，使用强化学习算法，构建防御策略生成模型，并生成若干历史防御策略生成经验，包括如下步骤：

27、将防御策略生成问题作为dqn算法的模拟环境，设置防御策略生成模型的智能体和经验回放池；

28、根据同一历史识别结果的若干历史ddos防御信息，定义dqn算法的状态空间，并根据对应的若干历史ddos防御决策，定义dqn算法的动作空间；

29、根据状态空间和动作空间，构建防御策略生成模型的深度q网络，并根据历史ddos防御决策对历史ddos防御信息的影响情况，构建奖励函数；

30、根据奖励函数、智能体、深度q网络以及经验回放池，构建的初始的防御策略生成模型；

31、遍历所有历史识别结果的若干历史ddos防御信息和若干历史ddos防御决策，对进行优化训练，得到最终的防御策略生成模型；

32、将每次优化训练生成的若干历史防御策略生成经验存储至最终的防御策略生成模型的经验回放池。

33、进一步地，基于hfish蜜罐链网，采集实时多模态数据，并使用多模态融合模型，对实时多模态数据进行多模态融合，得到实时多模态融合特征，包括如下步骤：

34、使用hfish蜜罐链网中的hfish蜜罐，采集实时多模态数据，并发送至hfish管理模块；

35、使用hfish蜜罐链网中的hfish管理模块，将实时多模态数据发送至多模态融合模型；

36、使用多模态融合模型，提取实时多模态数据的实时非结构化特征和实时结构化特征；

37、对实时非结构化特征和实时结构化特征对进行多模态融合，得到实时多模态融合特征。

38、进一步地，使用ddos攻击识别模型，对实时多模态融合特征进行ddos攻击识别，得到实时识别结果，包括如下步骤：

39、将实时多模态融合特征输入ddos攻击识别模型；

40、根据ddos攻击识别模型的若干特征关键评分，提取实时多模态融合特征的若干实时关键特征；

41、根据若干实时关键特征，进行ddos攻击识别，得到实时识别结果。

42、进一步地，使用防御策略生成模型，对实时识别结果进行防御策略生成，得到实时ddos攻击防御策略，包括如下步骤：

43、若实时识别结果为存在ddos攻击，则根据实时识别结果，在经验回放池中提取若干匹配历史防御策略生成经验，否则，结束ddos攻击识别；

44、对若干匹配历史防御策略生成经验进行解析，得到若干实时ddos防御决策，并提取实时ddos防御信息；

45、根据实时ddos防御信息，更新防御策略生成模型的状态空间，得到更新的状态空间；

46、根据若干实时ddos防御决策，更新防御策略生成模型的动作空间，得到更新的动作空间；

47、根据更新的状态空间，使用奖励函数，获取更新的动作空间中可能动作的实时奖励值；

48、根据实时奖励值，使用智能体，更新深度q网络在更新的动作空间内所有可能动作的q值，得到可能动作的更新的q值；

49、重复上述q值更新步骤，直到迭代次数达到迭代次数阈值，并使用贪婪策略，具有最高的更新的q值的可能动作作为执行动作；

50、根据执行动作，得到实时ddos攻击防御策略，并将生成的实时防御策略生成经验存储至防御策略生成模型的经验回放池。

51、一种基于多模态融合分析的ddos攻击识别系统，用于实现ddos攻击识别方法，系统部署于云数据中心，且系统包括依次连接的模型构建单元、多模态融合单元、ddos攻击识别单元以及ddos攻击防御单元。

52、本发明的有益效果为：

53、本发明公开了一种基于多模态融合分析的ddos攻击识别方法及系统，通过多模态融合模型对多模态数据进行特征融合，并使用ddos攻击识别模型进行自动化、智能化的高效ddos攻击识别，提高了ddos攻击识别的准确性和鲁棒性，降低了误报率和漏报率，在面对复杂多变的攻击手段时，能够准确的区分正常流量和恶意流量，提高了ddos攻击识别的可靠性；通过构建攻击诱捕hfish蜜罐网络，使用主动防御技术，主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击，从而可以对攻击行为进行捕获和分析，提高了安全防御手段的有效性，提高了安全防护等级和安全性；通过防御策略生成模型实时生成和调整ddos防御策略，大幅提高了防御系统的实时性、响应速度以及适应性，能够及时阻断攻击，避免服务可用性受损；防御策略生成模型能够根据网络环境和攻击模式的变化自动调整，提高了防御策略的灵活性和有效性，实现了防御策略的实时调整与更新。

54、本发明的其他有益效果将在具体实施方式中进一步进行说明。