(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210997276.6 (22)申请日 2022.08.19 (71)申请人 厦门轨道建 设发展集团有限公司 地址 361000 福建省厦门市思明区厦禾路 1236-1238号 申请人 厦门服云信息科技有限公司 (72)发明人 史永飞　付志波　陈奋　陈荣有　 孙晓波　龚利军　 (74)专利代理 机构 厦门市精诚新创知识产权代 理有限公司 3 5218 专利代理师 赵薇 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种DDOS攻击识别方法、 终端设备及存储介 质 (57)摘要 本发明涉及一种DDOS攻击识别方法、 终端设 备及存储介质， 该方法中包括： 采集历史DDOS攻 击事件中的流量数据； 提取用于识别DDOS攻击流 量的第一特征和用于识别DDOS攻击严重程度的 第二特征， 并构建对应的第一训练集和第二训练 集； 构建用于识别流量数据是否为DDOS攻击流量 的第一分类预测模型， 通过第一训练集进行训 练； 构建用于识别流量数据的DDOS攻击严重程度 的第二分类预测模型， 通过第二训练集进行训 练； 通过训练后的第一分类预测模 型和第二训练 模型分别识别待识别流量数据是否为DDOS攻击 流量和DDOS攻击严重程度。 本发明帮助预测出现 DDOS攻击的可能性以及严重程度， 提高了系统对 于DDOS攻击的响应 速度。 权利要求书2页 说明书9页 附图1页 CN 115473695 A 2022.12.13 CN 115473695 A 1.一种DDOS攻击识别方法， 其特 征在于， 包括以下步骤： S1： 采集历史D DOS攻击事 件中的流 量数据； S2： 对采集的流量数据进行用于识别DDOS攻击流量的第一特征进行提取， 基于提取的 第一特征构建第一训练集， 并设定标签为是否为攻击流量； 对采集的流量数据进行用于识 别DDOS攻击严重程度的第二特征进行提取， 基于提取的第二特征构建第二训练集， 并设定 标签为严重程度等级； S3： 构建用于识别流量数据是否为DDOS攻击流量的第一分类预测模型， 通过第一训练 集对第一分类预测模型进 行训练； 构建用于识别流量数据的DDOS攻击严重程度的第二分类 预测模型， 通过第二训练集对第二分类预测模型进行训练； S4： 当接收到待识别流量数据时， 通过训练后的第一分类预测模型识别待识别流量数 据是否为DDOS攻击流量， 通过训练后的第二分类预测模 型识别待识别流量数据的DDOS攻击 严重程度。 2.根据权利 要求1所述的DD OS攻击识别方法， 其特征在于： 步骤S1中流量数据包括正常 流量和攻击流量， 其中攻击流量选取包含了至少一次完整DDOS攻击事件的流量， 正常流量 的时长大于攻击流 量。 3.根据权利 要求1所述的DD OS攻击识别方法， 其特征在于： 步骤S1还包括对采集的流量 数据进行 预处理， 剔除其中的不完整 TCP、 UDP和ICMP会话。 4.根据权利 要求1所述的DD OS攻击识别方法， 其特征在于： 第一特征包括： 协议、 源IP地 址、 源端口、 目的IP地址、 目的端口、 源MAC地址、 目的MAC地址、 会话流量大小、 会话持续时 间、 会话最高流量速度、 会话最低流量速度、 会话流量速度标准差、 会话流量速度中位数、 是 否是攻击流量； 第二特征包括： 攻击开始时间段、 攻击会话个数、 被攻击服务、 攻击严重程 度。 5.根据权利要求4所述的DD OS攻击识别方法， 其特征在于： 源IP地址、 源端口、 目的IP地 址、 目的端口、 源MAC地址、 目的MAC地址、 攻击开始时间段、 被攻击服务这些特征均采用WOE 编码方式进 行编码， WOE编码中正例为攻击会话个数或被攻击会话个数， 负例为 非攻击会话 个数或非被攻击会话个数。 6.根据权利要求1所述的DDOS攻击识别方法， 其特征在于： 会话流量大小、 会话持续时 间、 会话最高流量速度、 会话最低流量速度、 会话流量速度标准差、 会话流量速度中位数、 攻 击会话个数和D DOS攻击严重程度这些 特征还需要 进行z‑score标准化。 7.根据权利 要求1所述的DD OS攻击识别方法， 其特征在于： 第一分类预测模型采用LSTM 二分类模 型， 损失函数采用二元 交叉熵损失； 第二分类预测模型采用LSTM多分类模型， 损失 函数采用交叉熵损失。 8.根据权利要求1所述的DDOS攻击识别方法， 其特征在于： 当通过训练后的第一分类预 测模型识别到待识别流量数据为DDOS攻击流量时， 根据通过训练后的第二分类预测模型识 别到的待识别流 量数据的D DOS攻击严重程度的不同启动对应的防护规则； 防护规则包括： 限制单个IP的最大初始连接数以及最大并发连接数； 限制单个IP每秒建立的连接数量； 对判断为 攻击流量的IP地址进行封锁； 对判断为D DOS攻击会话的目的端口进行限制。权　利　要　求　书 1/2 页 2 CN 115473695 A 29.一种DDOS攻击识别终端设备， 其特征在于： 包括处理器、 存储器以及存储在所述存储 器中并在所述处理器上运行的计算机程序， 所述处理器执行所述计算机程序时实现如权利 要求1～8中任一所述方法的步骤。 10.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于： 所述计算机程序被处 理器执行时实现如权利要求1～8中任一所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115473695 A 3