无线网络中DDoS攻击检测方法、云服务器及移动终端

本发明涉及无线通信技术领域，尤其涉及一种无线网络中ddos攻击检测方法、云服务器及移动终端。

背景技术：

雾无线接入网络(常简称为f-ran)是一种新型的5g无线接入网架构，其核心是利用用户和边缘网络设备的计算和存储功能，实现本地业务分发、分布式信号处理和分布式资源管理等功能。f-ran通过异构网络和c-ran演进而来，完全兼容其他5g系统。一些5g先进技术，例如大规模mimo、认知无线电、毫米波通信和非正交多址技术都可以直接应用到f-ran中。f-ran利用网络边缘设备的实时crsp和灵活crrm功能，可以实现网络对流量和无线环境动态变化的自适应过程，通过对于d2d、无线中继、分布式协作和大规模集中式协作等不同模式的智能化选择，实现以用户为中心的网络功能，匹配环境区域内的业务需求。

f-ran的快速发展引起了许多安全问题，其主要原因为管理大量通信设备十分的困难又不方便。其中，高调且破坏性极大的分布式拒绝服务(ddos)攻击是首要的安全问题之一。分布式拒绝服务攻击(常简称为ddos攻击)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。相对其他攻击手段ddos的技术要求和发动攻击的成本低，攻击响应速度快，攻击效果可视。另一方面，ddos具有攻击易防守难的特征，服务提供商为了保证正常客户的需求需要耗费大量的资源才能和攻击发起方进行对抗。目前ddos攻击在互联网行业愈演愈烈，并成为全球范围内难以攻克的一个顽疾。

技术实现要素：

针对现有技术存在的问题，本发明提供一种无线网络中ddos攻击检测方法、云服务器及移动终端。

本发明提供一种无线网络中ddos攻击检测方法，包括：接收无线ap发送的特征数据，所述特征数据是无线ap接收目标终端的传输数据流信息后，经特征提取得到；将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果；将所述检测结果，经由所述无线ap，发送至对应的目标终端，以用于所述目标终端根据所述攻击地址信息，对交互终端进行防御；其中，所述循环神经网络模型，根据确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到，所述传输数据流信息，包括交互终端的地址信息和交互终端所发数据流的时间信息。

根据本发明的无线网络中ddos攻击检测方法，所述传输数据流信息还包括，目标终端与交互终端的收发数据状态、发送端口和连接时间。

根据本发明的无线网络中ddos攻击检测方法，所述循环神经网络模型为lstm网络模型。

根据本发明的无线网络中ddos攻击检测方法，将所述特征数据，输入预训练的循环神经网络模型之前，还包括：获取来自多个交互终端的传输数据流信息对应的特征数据，所述多个交互终端中包括具备ddos攻击的类型和普通类型；以ddos攻击类型和普通类型，作为数据流信息的标签，得到多个样本，对构建的lstm网络模型进行训练，得到所述预训练的循环神经网络模型。

本发明提供一种无线网络中ddos攻击检测方法，包括：每隔预设周期，向无线ap发送与交互终端的传输数据流信息，以使所述无线ap对所述传输数据流信息进行特征提取，并将提取的特征数据发送至云服务器；通过所述无线ap，接收云服务器发送的攻击地址信息；根据所述攻击地址信息，对交互终端进行防御；其中，所述攻击地址信息，是所述云服务器根据所述特征数据，输入预训练的循环神经网络模型得到；所述循环神经网络模型，是以确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到；所述传输数据流信息中，包括交互终端的地址信息和交互终端所发数据流的时间信息。

根据本发明的无线网络中ddos攻击检测方法，还包括：接收到交互终端的连接请求后，若所述交互终端在可信授权固件列表中，则连接并进行数据传输，否则不予连接。

本发明还提供一种云服务器，包括：接收模块，用于接收无线ap发送的特征数据，所述特征数据是无线ap接收目标终端的传输数据流信息后，经特征提取得到；处理模块，用于将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果；发送模块，用于将所述检测结果，经由所述无线ap，发送至对应的目标终端，以用于所述目标终端根据所述攻击地址信息，对交互终端进行防御；其中，所述循环神经网络模型，根据确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到，所述传输数据流信息包括交互终端的地址信息和交互终端所发数据流的时间信息。

本发明还提供一种移动终端，其特征在于，包括：发送模块，用于每隔预设周期，向无线ap发送与交互终端的传输数据流信息，以使所述无线ap对所述传输数据流信息进行特征提取，并将提取的特征数据发送至云服务器；接收模块，用于通过所述无线ap，接收云服务器发送的攻击地址信息；应用模块，用于根据所述攻击地址信息，对交互终端进行防御；其中，所述攻击地址信息，是所述云服务器根据所述特征数据，输入预训练的循环神经网络模型得到；所述循环神经网络模型，是以确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到；所述传输数据流信息中包括交互终端的地址信息和交互终端所发数据流的时间信息。

本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述无线网络中ddos攻击检测方法的步骤。

本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述无线网络中ddos攻击检测方法的步骤。

本发明提供的无线网络中ddos攻击检测方法、云服务器及移动终端，将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果，可实现数据流全时段的动态检测。由于框架贴合雾无线接入网，可以很好的在雾无线接入网中使用。采用循环神经网络对攻击进行检测，可以提高检测的准确性和检测效率。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的无线网络中ddos攻击检测方法的流程示意图；

图2是本发明提供的无线网络中ddos攻击检测方法的应用场景图；

图3是本发明提供的无线网络中ddos攻击检测装置的结构示意图；

图4是本发明提供的电子设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

考虑到目前雾无线接入网络的ddos攻击问题，本发明提出一种无线网络中ddos攻击的检测方法，能够实现无线接入网中对不同节点进行控制，完成流量监控、攻击检测等功能，实现对流量性质进行分析，提高无线接入网络的安全性以及可靠性。本发明实施例以雾无线接入网络为例进行说明，需要说明的是，对于其他构架的无线网络同样适用。

下面结合图1-图4描述本发明的无线网络中ddos攻击检测方法、云服务器及移动终端。图1是本发明提供的无线网络中ddos攻击检测方法的流程示意图，如图1所示，本发明提供无线网络中ddos攻击检测方法，以云服务器作为执行主体实现，该方法包括：

101、接收无线ap发送的特征数据，所述特征数据是无线ap接收目标终端的传输数据流信息后，经特征提取得到。

以雾无线接入网络为例，本发明的ddos攻击抵御方法从框架上来说，从下到上依次为边缘计算层、雾计算层和云计算层，分别对应运行在f-ran的终端层、接入层与云计算网络层。图2是本发明提供的无线网络中ddos攻击检测方法的应用场景图，如图2所示。

在边缘计算层，主要包括目标终端，或称用户节点，(f-ue)收到与之交互终端的连接请求，根据请求信息进行安全检查,使用严格的访问控制机制，通过协议确认安全后完成自动连接。

f-ue节点对流量进行监控，并以t为周期向无线ap(雾无线网络为f-ap)传输流量数据信息，包括自身与周边交互终端(或称交互节点)的地址信息和交互时间信息。可选地，还可包括与交互节点的收发状态、端口、连接时间等特征。每一个经过本节点的数据包都会被记录下来，作为ddos攻击判定的依据。

f-ue节点可以时刻获取在网络中的流量情况，收集网络中的数据流信息，故可以被监视以防止未经授权的物理访问，边缘计算层可以尽可能的保护ddos受害节点。

在雾计算层，f-ap节点对传输数据流信息进行切割，提取数据特征并整理为向量；随后打包单位时间t内全部流量数据特征，发送至云计算层，即云服务器。本发明中的传输数据流，是交互节点，是除目标节点外的交互节点，并且向目标节点传输数据流，而传输数据流信息，则是交互节点发送至目标节点的传输数据流中的相关信息。

102、将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果；所述循环神经网络模型，根据确定的攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到。

云服务器，雾无线网络中对应为云计算层bbu池，根据传输数据流信息提取的特征进行分析，其是存储和分析大数据的主要场所。云服务器为云计算级别，可以观察到所有流。但是，由于大量的攻击流与大量的正常数据包混合在一起，很难对攻击流做出响应。云计算具有计算能力强、服务成本低、可扩展性强等优点，因此可以使用循环神经网络来检测ddos攻击。循环神经网络有助于数据特征的概率分析，有助于对数据的检测。

基于此，bbu池利用循环神经网络模型对传输流量信息的特征数据进行检测，并排查出攻击ip。

103、将所述检测结果，经由所述无线ap，发送至对应的目标终端，以用于所述目标终端根据所述攻击地址信息，对交互终端进行防御。

云计算层将结果发送至f-ap节点，f-ap节点据此防御攻击，向f-ue节点发出指令，拒绝指定ip发来的服务请求，完成对攻击的抵御。

本发明的无线网络中ddos攻击检测方法，将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果，可实现数据流全时段的动态检测。由于框架贴合雾无线接入网，可以很好的在雾无线接入网中使用。采用循环神经网络对攻击进行检测，可以提高检测的准确性和检测效率。

在一个可选实施例中，所述传输数据流信息还包括，目标终端与交互终端的收发数据状态、发送端口和连接时间。上述实施例已作说明，具体可参见上述实施例。

在一个可选实施例中，所述循环神经网络模型为lstm网络模型。lstm网络，是一种特殊的循环神经网络，能够学习长期依赖关系，在各种问题上都表现出色，现已被广泛使用。lstm被明确设计为避免长期依赖问题，模型默认需要长时间记住信息。与rnn相比，将lstm应用于时间序列异常检测可以有效地解决长距离相关的问题。结合lstm，本方法可以在合理的时间内主动应对ddos攻击。

在一个可选实施例中，将所述特征数据，输入预训练的循环神经网络模型之前，还包括：获取来自多个交互终端的传输数据流信息对应的特征数据，所述多个交互终端中包括具备ddos攻击的类型和普通类型；以ddos攻击类型和普通类型，作为数据流信息的标签，得到多个样本，对构建的lstm网络模型进行训练，得到所述预训练的循环神经网络模型。

作为一个优选实施例，传输数据流信息具体包括：数据流源ip地址、数据流目的ip地址、数据流源端口、数据流目的端口、数据流持续时间、转发方向的总数据包数、发送的两个数据包之间的最短时间、在初始窗口中前传发送的字节数、在初始窗口中后传发送的字节数、在前传方向观察到的最小段尺寸和在后传方向观察到的最小段尺寸。

移动终端相关的数据流数量较大，可以获取大量的数据特征。为防止数据采集量过大，减慢系统响应速度，同时为了得到准确的检测结果，lstm模型只录入部分重要特征，lstm模型主要对数据流量采集上述信息。

具体而言，在利用lstm模型检测前，需先对流量数据进行整形。首先将上述传输数据流信息数据转换为浮点数格式，其中，读取的ip地址需先转化为十进制形式数，后转化为浮点数格式。数据整形后将上述重要数据转化为一个一维向量。据此，大量数据流将整合为一个矩阵以待输入lstm模型。

当利用lstm检测模型对流量进行检测时，需利用历史数据进行训练后完成模型并进行检测。lstm的核心是细胞状态，它通过一种被称为门的结构对细胞状态进行删除或者添加信息。门能够有选择性的决定让哪些信息通过。门的结构是一个sigmoid层和一个点乘操作的组合。lstm由三个门来控制细胞状态，这三个门分别称为忘记门、输入门和输出门。

lstm的第一步就是决定细胞状态需要丢弃哪些信息。这部分操作是通过一个称为忘记门的sigmoid单元来处理的。它通过查看和信息来输出一个0-1之间的向量，该向量里面的0-1值表示细胞状态中的哪些信息保留或丢弃多少。0表示不保留，1表示都保留。

下一步是决定给细胞状态添加哪些新的信息。首先，利用和通过一个称为输入门的操作来决定更新哪些信息。然后利用和通过一个tanh层得到新的候选细胞信息，这些信息可能会被更新到细胞信息中。将更新旧的细胞信息c_{t-1}，变为新的细胞信息c_{t}。更新的规则就是通过忘记门选择忘记旧细胞信息的一部分，通过输入门选择添加候选细胞信息c_{t}的一部分得到新的细胞信息c_{t}。

更新完细胞状态后需要根据输入的和来判断输出细胞的哪些状态特征，这里需要将输入经过一个称为输出门的sigmoid层得到判断条件，然后将细胞状态经过tanh层得到一个-1～1之间值的向量，该向量与输出门得到的判断条件相乘就得到了最终该单元的输出。将结果返回给f-ap节点，以对攻击流量进行抵御。

本发明还提供一种无线网络中ddos攻击检测方法，以用户的移动终端作为执行主体，该方法包括：每隔预设周期，向无线ap发送与交互终端的传输数据流信息，以使所述无线ap对所述传输数据流信息进行特征提取，并将提取的特征数据发送至云服务器；通过所述无线ap，接收云服务器发送的攻击地址信息；根据所述攻击地址信息，对交互终端进行防御；其中，所述攻击地址信息，是所述云服务器根据所述特征数据，输入预训练的循环神经网络模型得到；所述循环神经网络模型，是以确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到；所述传输数据流信息中包括交互终端的地址信息和交互终端所发数据流的时间信息。

在一个可选实施例中，该方法还包括：接收到交互终端的连接请求后，若所述交互终端在可信授权固件列表中，则连接并进行数据传输，否则不予连接。

f-ue收到连接请求，并根据请求信息进行安全检查。通过协议确认安全后完成自动连接，互相发送数据与请求。f-ue使用严格的访问控制机制，以保证连接的安全性。

具体方法流程可参见上述以云服务器为执行主体的实施例，此处不再赘述。

本发明的无线网络中ddos攻击检测方法，能够实现在无线接入网中对不同节点进行控制，基于lstm神经网络模型，通过在该环境中的信息传输，触发各个节点完成流量监控、特征提取、攻击检测等功能，对流量性质进行分析，可用于节点状态评估，提高无线接入网络的安全性以及可靠性，在网络遭到ddos攻击时维持系统的稳定性。

下面对本发明提供的无线网络中ddos攻击检测装置进行描述，下文描述的无线网络中ddos攻击检测装置与上文描述的无线网络中ddos攻击检测方法可相互对应参照。

图3是本发明提供的云服务器的结构示意图，如图3所示，该云服务器包括：接收模块301、发送模块302和发送模块303。其中，接收模块301用于接收无线ap发送的特征数据，所述特征数据是无线ap接收目标终端的传输数据流信息后，经特征提取得到；处理模块302用于将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果；发送模块303用于将所述检测结果，经由所述无线ap，发送至对应的目标终端，以用于所述目标终端根据所述攻击地址信息，对交互终端进行防御；其中，所述循环神经网络模型，根据确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到，所述传输数据流信息包括交互终端的地址信息和交互终端所发数据流的时间信息。

本发明还提供一种移动终端，该移动终端包括：发送模块，用于每隔预设周期，向无线ap发送与交互终端的传输数据流信息，以使所述无线ap对所述传输数据流信息进行特征提取，并将提取的特征数据发送至云服务器；接收模块，用于通过所述无线ap，接收云服务器发送的攻击地址信息；应用模块，用于根据所述攻击地址信息，对交互终端进行防御；其中，所述攻击地址信息，是所述云服务器根据所述特征数据，输入预训练的循环神经网络模型得到；所述循环神经网络模型，是以确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到；所述传输数据流信息中包括交互终端的地址信息和交互终端所发数据流的时间信息。

本发明实施例提供的装置实施例是为了实现上述各方法实施例的，具体流程和详细内容请参照上述方法实施例，此处不再赘述。

本发明实施例提供的无线网络中ddos攻击检测装置，将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果，可实现数据流全时段的动态检测。由于框架贴合雾无线接入网，可以很好的在雾无线接入网中使用。采用循环神经网络对攻击进行检测，可以提高检测的准确性和检测效率。

图4是本发明提供的电子设备的结构示意图，如图4所示，该电子设备可以包括：处理器(processor)401、通信接口(communicationsinterface)402、存储器(memory)403和通信总线404，其中，处理器401，通信接口402，存储器403通过通信总线404完成相互间的通信。处理器401可以调用存储器403中的逻辑指令，以执行无线网络中ddos攻击检测方法，该方法包括：接收无线ap发送的特征数据，所述特征数据是无线ap接收目标终端的传输数据流信息后，经特征提取得到；将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果；将所述检测结果，经由所述无线ap，发送至对应的目标终端，以用于所述目标终端根据所述攻击地址信息，对交互终端进行防御；其中，所述循环神经网络模型，根据确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到，所述传输数据流信息，包括交互终端的地址信息和交互终端所发数据流的时间信息。

此外，上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的无线网络中ddos攻击检测方法，该方法包括：接收无线ap发送的特征数据，所述特征数据是无线ap接收目标终端的传输数据流信息后，经特征提取得到；将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果；将所述检测结果，经由所述无线ap，发送至对应的目标终端，以用于所述目标终端根据所述攻击地址信息，对交互终端进行防御；其中，所述循环神经网络模型，根据确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到，所述传输数据流信息，包括交互终端的地址信息和交互终端所发数据流的时间信息。

又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的无线网络中ddos攻击检测方法，该方法包括：接收无线ap发送的特征数据，所述特征数据是无线ap接收目标终端的传输数据流信息后，经特征提取得到；将所述特征数据，输入预训练的循环神经网络模型，输出包括攻击地址信息的检测结果；将所述检测结果，经由所述无线ap，发送至对应的目标终端，以用于所述目标终端根据所述攻击地址信息，对交互终端进行防御；其中，所述循环神经网络模型，根据确定的ddos攻击地址作为标签，对应的传输数据流信息作为样本，进行训练后得到，所述传输数据流信息，包括交互终端的地址信息和交互终端所发数据流的时间信息。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。