(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111547117.8 (22)申请日 2021.12.16 (71)申请人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 (72)发明人 张悦祥　周文安　王诗蕊　 (74)专利代理 机构 北京风雅颂专利代理有限公 司 11403 专利代理师 李弘 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 41/16(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 慢速拒绝 服务攻击检测方法及相关 设备 (57)摘要 本申请提供一种慢速拒绝服务攻击检测方 法， 对检测区间内的流量进行分段采集提取第一 特征， 并将提取到的第一特征生成第一特征矩阵 输入卷积神经网络进一步提取第二特征得到第 二特征矩阵， 之后对第二特征矩阵池化并将池化 后的矩阵二 分类得到服务攻击检测结果。 通过上 述方法进行慢速拒绝服务攻击检测， 能够充分考 虑时间间隔内流量的时序特征， 进而能够更好的 检测慢速拒绝 服务攻击。 权利要求书2页 说明书13页 附图4页 CN 114448661 A 2022.05.06 CN 114448661 A 1.一种慢速拒绝 服务攻击检测方法， 其特 征在于， 包括： 根据预设采样间隔按照时间序列获取多个区间流 量； 分别提取多个所述区间流 量中对应的多个第一特 征的值， 以生成第一特 征矩阵； 通过卷积神经网络计算所述第一特 征矩阵的第二特 征， 以得到第二特 征矩阵； 将所述第二特 征矩阵池化 为第三特 征矩阵； 通过全连接层和分类网络将所述第 三特征矩阵二分类， 得到慢速拒 绝服务攻击检测结 果。 2.根据权利要求1所述的方法， 其特征在于， 所述分别提取多个所述区间流量中对应的 多个第一特 征的值， 生成第一特 征矩阵， 包括： 对于所述多个区间流量中的每一个区间流量， 根据区间流量中的HTTP/2协议二进制帧 的属性定义多个第一特征对应的多个提取规则， 分别将所述区间流量中满足提取规则的 HTTP/2协议二进制帧的数量作为对应的第一特 征的值； 根据全部的第一特征的值生成所述第一特征矩阵， 其中， 所述第一特征矩阵的列元素 表示在一个区间流 量内的多个第一特 征。 3.根据权利要求1所述的方法， 其特征在于， 所述通过卷积神经网络计算所述第 一特征 矩阵的第二特 征， 以得到第二特 征矩阵， 包括： 对所述第一特 征矩阵进行一维卷积 操作， 得到特 征提取矩阵； 对所述特征提取矩阵进行批标准化操作， 通过激活函数将批标准化后的特征提取矩阵 转换为第二特 征矩阵。 4.根据权利要求1所述的方法， 其特征在于， 所述卷积神经网络包括第一卷积神经网 络、 第二卷积神经网络和第三卷积神经网络， 所述通过卷积神经网络提取所述第一特征矩 阵的第二特 征， 以得到第二特 征矩阵， 包括： 通过所述第 一卷积神经网络对所述第 一特征矩阵进行第 一一维卷积操作， 得到第 一特 征提取矩阵； 对所述第一特征提取矩阵进行第一批标准化操作， 通过第一激活函数将批标 准化后的第一特 征提取矩阵转换为第一中间特 征矩阵； 通过所述第 二卷积神经网络对所述第 一中间特征矩阵进行第 二一维卷积操作， 得到第 二特征提取矩阵； 对所述第二特征提取矩阵进行第二批标准化操作， 通过第二激活函数将 批标准化后的第二特 征提取矩阵转换为第二中间特 征矩阵； 通过所述第 三卷积神经网络对所述第 二中间特征矩阵进行第 三一维卷积操作， 得到第 三特征提取矩阵； 对所述第三特征提取矩阵进行第三批标准化操作， 通过第三激活函数将 批标准化后的第三特 征提取矩阵转换为第二特 征矩阵； 其中， 所述第一卷积神经网络、 第二卷积神经网络和第三卷积神经网络对应的特征通 道数递进增 加。 5.根据权利 要求3或4所述的方法， 其特征在于， 所述激活函数为ReLU； 所述批标准化操 作通过Batc hNormalization层进行； 所述池化 通过GlobalAvera gePooling1D层进行。 6.根据权利要求2所述的方法， 其特征在于， 所述提取规则由至少一个原子规则的逻辑 运算组成， 所述原子规则用于表示任一HT TP/2协议二进制帧的属性的值的范围。 7.根据权利 要求6所述的方法， 其特征在于， 所述原子规则 包括： 响应于确定任一HTTP/ 2协议二进制帧的属性的值在预设 的区间内， 该HTTP/2协议二进制帧的属性的值满足原子权　利　要　求　书 1/2 页 2 CN 114448661 A 2规则。 8.一种慢速拒绝 服务攻击检测装置， 其特 征在于， 包括： 获取模块， 被 配置为按照时间序列获取 预设采样间隔的多个区间流 量； 提取模块， 被配置为分别提取多个所述区间流量中对应的多个第一特征的值， 以生成 第一特征矩阵； 计算模块， 被配置为通过卷积神经网络计算所述第一特征矩阵的第二特征， 以得到第 二特征矩阵； 池化模块， 被 配置为将所述第二特 征矩阵池化 为第三特 征矩阵； 分类模块， 被配置为通过全连接层和分类网络将所述第三特征矩阵二分类， 得到慢速 拒绝服务攻击检测结果。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方 法。 10.一种非暂态计算机可读存储介质， 所述非暂态计算机可读存储介质存储计算机指 令， 其特征在于， 所述计算机指令用于使计算机执 行权利要求1至7任一所述方法。权　利　要　求　书 2/2 页 3 CN 114448661 A 3