基于場(chǎng)景模型與深度學(xué)習(xí)的云計(jì)算攻擊檢測(cè)

◆肖耀濤

基于場(chǎng)景模型與深度學(xué)習(xí)的云計(jì)算攻擊檢測(cè)

◆肖耀濤

（廣東郵電職業(yè)技術(shù)學(xué)院 廣東 510630）

為了實(shí)時(shí)精準(zhǔn)檢測(cè)各類云計(jì)算攻擊，保障云計(jì)算平臺(tái)運(yùn)行的安全性，本文提出了基于場(chǎng)景模型與深度學(xué)習(xí)的云計(jì)算攻擊檢測(cè)方法。構(gòu)建包含云計(jì)算攻擊報(bào)警信息的云計(jì)算攻擊場(chǎng)景模型，結(jié)合卷積神經(jīng)網(wǎng)絡(luò)與改進(jìn)遞歸神經(jīng)網(wǎng)絡(luò)創(chuàng)建包含輸入層、卷積層、遞歸層、全連接層及輸出層的深度學(xué)習(xí)網(wǎng)絡(luò)模型，對(duì)云計(jì)算攻擊場(chǎng)景模型內(nèi)數(shù)據(jù)實(shí)施分組、特征提取、格式轉(zhuǎn)換及維度重構(gòu)，獲得三維矩陣輸入深度學(xué)習(xí)網(wǎng)絡(luò)模型內(nèi)實(shí)施攻擊檢測(cè)。結(jié)果表明，該方法內(nèi)深度學(xué)習(xí)網(wǎng)絡(luò)在步幅為6、窗口尺寸為600時(shí)性能最佳；可實(shí)現(xiàn)不同類別攻擊的檢測(cè)，所檢測(cè)出的各類攻擊數(shù)據(jù)量與實(shí)際數(shù)量較為接近，檢測(cè)結(jié)果精準(zhǔn)可靠；能夠?qū)崿F(xiàn)對(duì)實(shí)際云計(jì)算攻擊的實(shí)時(shí)檢測(cè)，檢測(cè)結(jié)果與實(shí)際情況相吻合，為云計(jì)算平臺(tái)的安全運(yùn)行提供保障。

場(chǎng)景模型；深度學(xué)習(xí)；云計(jì)算攻擊；報(bào)警信息；卷積神經(jīng)網(wǎng)絡(luò)；遞歸神經(jīng)網(wǎng)絡(luò)

1 引言

作為一種全新信息共享運(yùn)算模型的云計(jì)算，已逐步發(fā)展為各個(gè)領(lǐng)域內(nèi)的關(guān)鍵技術(shù)。它是通過(guò)向以分散式計(jì)算機(jī)所構(gòu)成的資源池分配運(yùn)算任務(wù)，由用戶以實(shí)際需要為依據(jù)，對(duì)存儲(chǔ)系統(tǒng)及計(jì)算機(jī)實(shí)施訪問(wèn)[1]。其主要優(yōu)點(diǎn)包括低成本、易操作與可信度高等，能夠?yàn)閼?yīng)用企業(yè)的良性發(fā)展提供保障。然而，因網(wǎng)絡(luò)安全等問(wèn)題導(dǎo)致云計(jì)算使用中易遭受各種類別的攻擊，主要有掃描攻擊（Probing）、遠(yuǎn)程非法訪問(wèn)（R2L）及拒絕服務(wù)攻擊（DoS）等，其中尤為重要的為DoS攻擊[2-3]。尤其當(dāng)云計(jì)算平臺(tái)處于初期運(yùn)行時(shí)，攻擊者將通過(guò)持續(xù)搜索云主機(jī)安全漏洞的方式，將云用戶的關(guān)鍵數(shù)據(jù)信息等盜取，造成云用戶的重大損失。故而，為避免此類攻擊對(duì)云用戶帶來(lái)的危害，需采取相應(yīng)的措施及時(shí)檢測(cè)云計(jì)算攻擊[4]。

由于以往所使用的云入侵檢測(cè)系統(tǒng)（CIDS）不具備關(guān)聯(lián)性，在針對(duì)云計(jì)算攻擊時(shí)所能夠檢測(cè)到的報(bào)警數(shù)據(jù)大多層次較低且彼此獨(dú)立，所能夠呈現(xiàn)的僅為某個(gè)時(shí)間點(diǎn)的單步攻擊，無(wú)法對(duì)較為煩瑣的數(shù)步攻擊進(jìn)行識(shí)別。云計(jì)算攻擊場(chǎng)景模型具備較強(qiáng)的關(guān)聯(lián)性能，可有效應(yīng)對(duì)煩瑣的數(shù)步攻擊，完整地還原云計(jì)算攻擊場(chǎng)景，并能夠?qū)⒏鱾€(gè)攻擊報(bào)警數(shù)據(jù)間的關(guān)聯(lián)尋找到，是實(shí)施云計(jì)算攻擊檢測(cè)的基礎(chǔ)[5]。小波能譜熵和隱半馬爾可夫模型的攻擊檢測(cè)方法可實(shí)現(xiàn)對(duì)LDoS攻擊的檢測(cè)，該方法可達(dá)到近97%的檢測(cè)精度，但并未應(yīng)用到其他類型的云計(jì)算攻擊檢測(cè)中[6]；基于改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法是運(yùn)用改進(jìn)后的卷積神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的檢測(cè)，此方法可實(shí)現(xiàn)攻擊檢測(cè)，但檢測(cè)結(jié)果的漏報(bào)率稍高[7]。

卷積神經(jīng)網(wǎng)絡(luò)屬于一種與時(shí)間深度相關(guān)的深度學(xué)習(xí)算法，卷積神經(jīng)網(wǎng)絡(luò)可有效地降低網(wǎng)絡(luò)訓(xùn)練的權(quán)值參數(shù)量，同時(shí)可保證特征的穩(wěn)定性[8-10]。為此，本文提出了基于場(chǎng)景模型與深度學(xué)習(xí)的云計(jì)算攻擊檢測(cè)方法，通過(guò)初始攻擊報(bào)警數(shù)據(jù)構(gòu)建云計(jì)算攻擊場(chǎng)景模型，并結(jié)合卷積神經(jīng)網(wǎng)絡(luò)與改進(jìn)遞歸神經(jīng)網(wǎng)絡(luò)創(chuàng)建深度學(xué)習(xí)網(wǎng)絡(luò)模型，將攻擊場(chǎng)景模型內(nèi)數(shù)據(jù)輸入到網(wǎng)絡(luò)模型內(nèi)，實(shí)現(xiàn)對(duì)云計(jì)算攻擊的檢測(cè)，為提升云計(jì)算數(shù)據(jù)的安全性、保障云用戶的財(cái)產(chǎn)安全提供有效支撐。

2 基于場(chǎng)景模型與深度學(xué)習(xí)的云計(jì)算攻擊檢測(cè)方法

2.1 云計(jì)算攻擊場(chǎng)景模型構(gòu)建

定義1 初始攻擊報(bào)警。初始攻擊報(bào)警是指以云計(jì)算攻擊報(bào)警信息內(nèi)關(guān)鍵屬性所構(gòu)成的沒(méi)有被深度處理的攻擊報(bào)警，可通過(guò)Alarm={name，time，ip1，ip2，port1，port2}表示，此為一個(gè)多元組，其中，攻擊報(bào)警時(shí)間與名稱依次以time與name表示；攻擊報(bào)警的目標(biāo)端口與目標(biāo)地址依次以port2與ip2表示；攻擊報(bào)警的源端口與源地址依次以port1與ip1表示[11]。

定義2 超報(bào)警。超報(bào)警是指將數(shù)個(gè)相似或者重復(fù)的初始攻擊報(bào)警相融合后所獲得的報(bào)警，每個(gè)超報(bào)警均為單個(gè)攻擊過(guò)程，以Hyper alarm={attack_name，ip1_set，ip2_set}表示，其中，超報(bào)警中的初始攻擊報(bào)警目標(biāo)地址集以ip2_set表示，源地址集以ip1_set表示；某個(gè)超報(bào)警的攻擊過(guò)程名稱以attack_name表示。

定義3 攻擊場(chǎng)景。以Scene=〈Alarm1，Alarm2，…，Alarm〉代表通過(guò)初始攻擊報(bào)警所構(gòu)成的有序數(shù)據(jù)組，其中，云計(jì)算攻擊所生成的初始攻擊報(bào)警以Alarm1表示。各個(gè)攻擊場(chǎng)景對(duì)應(yīng)各個(gè)單獨(dú)的攻擊過(guò)程，各個(gè)初始攻擊報(bào)警之間需符合的約束條件包括：

（1）時(shí)序約束條件：隨意兩個(gè)前后鄰近初始攻擊報(bào)警以Alarm和Alarm表示，若其中＜，那么二者的時(shí)間屬性需符合的條件為Alarm_time≥Alarm_time。

（2）邏輯約束條件：兩個(gè)初始攻擊報(bào)警Alarm與Alarm間需符合選擇、并列或依賴三種關(guān)系中的隨意一種，三種關(guān)系依次為：①選擇關(guān)系——初始攻擊報(bào)警Alarm與Alarm所表示的攻擊內(nèi)隨機(jī)某個(gè)攻擊成功，也就是為其他單步攻擊奠定了基礎(chǔ)，具備傳遞性的并列關(guān)系；②并列關(guān)系——當(dāng)初始攻擊報(bào)警Alarm與Alarm所表示的所有攻擊均能夠成功，方可為其他單步攻擊奠定基礎(chǔ)，同樣具備傳遞性的并列關(guān)系；③依賴關(guān)系——當(dāng)＜時(shí)，實(shí)施以Alarm為代表的攻擊需在Alarm所表示的攻擊的基礎(chǔ)上。

將能夠代表現(xiàn)實(shí)攻擊過(guò)程同時(shí)呈現(xiàn)攻擊目的攻擊場(chǎng)景獲取作為云計(jì)算攻擊場(chǎng)景模型構(gòu)建的目標(biāo)[12]。構(gòu)建后的云計(jì)算攻擊場(chǎng)景模型能夠滿足：①惟一性——代表相同攻擊過(guò)程的不同場(chǎng)景不可包含于通過(guò)初始云計(jì)算攻擊報(bào)警數(shù)據(jù)集所構(gòu)建的云計(jì)算攻擊場(chǎng)景模型中；②確定性——同以攻擊場(chǎng)景Scene為代表的攻擊過(guò)程無(wú)關(guān)的攻擊報(bào)警不可存在于Scene內(nèi)，也就是說(shuō)，如果Alarm∈Scene，那么以Alarm為代表的攻擊行為一定存在于以Scene為代表的攻擊過(guò)程內(nèi)；③完整性——攻擊者實(shí)施攻擊的過(guò)程中所有單步攻擊均存在于攻擊場(chǎng)景Scene內(nèi)，也就是說(shuō)，若以攻擊場(chǎng)景Scene為代表的攻擊過(guò)程包含以Alarm為代表的攻擊行為，那么Alarm∈Scene。滿足以上條件的云計(jì)算攻擊場(chǎng)景模型結(jié)構(gòu)見(jiàn)圖1。通過(guò)融合攻擊報(bào)警預(yù)處理云計(jì)算初始攻擊報(bào)警，獲取到超報(bào)警；將所得超報(bào)警當(dāng)作輸入實(shí)施報(bào)警關(guān)聯(lián)；關(guān)聯(lián)時(shí)通過(guò)專家知識(shí)形式向關(guān)聯(lián)知識(shí)庫(kù)內(nèi)存儲(chǔ)所輸入的超報(bào)警、云計(jì)算攻擊本體內(nèi)的抽象描述等；實(shí)施關(guān)聯(lián)之后，獲取到抽象攻擊場(chǎng)景，此場(chǎng)景是以云計(jì)算攻擊本體內(nèi)抽象攻擊所構(gòu)成的；采用回溯所得到抽象攻擊場(chǎng)景的方式，獲取到現(xiàn)實(shí)攻擊場(chǎng)景，也就是以約束條件為依據(jù)，匹配對(duì)應(yīng)于抽象攻擊的初始攻擊，將由初始攻擊報(bào)警所構(gòu)成的攻擊場(chǎng)景獲取到。

圖1 云計(jì)算攻擊場(chǎng)景模型結(jié)構(gòu)圖

2.2 深度學(xué)習(xí)網(wǎng)絡(luò)模型

創(chuàng)建由輸入層、卷積層、遞歸層、全連接層以及輸出層構(gòu)成的深度學(xué)習(xí)網(wǎng)絡(luò)模型，模型的整體結(jié)構(gòu)如圖2所示。

圖2 深度學(xué)習(xí)網(wǎng)絡(luò)模型結(jié)構(gòu)圖

（1）卷積層設(shè)計(jì)

式中，、表示偏置；表示卷積層數(shù)。

非線性運(yùn)算式可表示為：

式中，表示激活函數(shù)。

由式（3）得出：

通過(guò)向前層反向傳遞誤差可獲得卷積層權(quán)重，運(yùn)算式為：

由此獲取到：

（2）遞歸層設(shè)計(jì)

遞歸神經(jīng)網(wǎng)絡(luò)通過(guò)遞歸方式實(shí)現(xiàn)其隱藏層信息的傳遞。它所需學(xué)習(xí)參數(shù)較少的原因是隱藏層內(nèi)各層均可共享參數(shù)[13]。此網(wǎng)絡(luò)的隱藏層中神經(jīng)元向前傳播步驟可表示為：

由于基礎(chǔ)遞歸神經(jīng)網(wǎng)絡(luò)的記憶模塊為隱藏層，該層直接同其余層相連，易造成梯度的爆炸與消失等現(xiàn)象。為解決此類現(xiàn)象，可通過(guò)將遺忘門、輸出與輸入門引入神經(jīng)元中，形成LSTM，即改進(jìn)遞歸神經(jīng)網(wǎng)絡(luò)[14]，提升網(wǎng)絡(luò)的記憶力，避免梯度消失等現(xiàn)象的發(fā)生。

2.3 云計(jì)算攻擊檢測(cè)

（1）特征處理

特征處理的過(guò)程主要包括數(shù)據(jù)分組、特征提取、格式轉(zhuǎn)換、時(shí)間窗維度分割與重構(gòu)等[15]。具體過(guò)程為：

①對(duì)所輸入的云計(jì)算攻擊場(chǎng)景模型內(nèi)n個(gè)攻擊報(bào)警數(shù)據(jù)實(shí)施分組，同時(shí)依次由各組數(shù)據(jù)內(nèi)提取出18個(gè)報(bào)文字段，將此字段當(dāng)作特征值字段，劃分其為布爾、數(shù)值以及文本三種類別字段。

式中，表示數(shù)據(jù)的標(biāo)準(zhǔn)化運(yùn)算分?jǐn)?shù)；表示特征值；表示特征值的標(biāo)準(zhǔn)差，表示期望。

（2）攻擊檢測(cè)

①將堆棧卷積神經(jīng)層應(yīng)用到輸入層之后的各層內(nèi)，實(shí)現(xiàn)對(duì)神經(jīng)元網(wǎng)絡(luò)的簡(jiǎn)化，并得到本地信息，另外，為提升輸入層神經(jīng)元網(wǎng)絡(luò)的訓(xùn)練效率，需結(jié)合批標(biāo)準(zhǔn)化方式實(shí)現(xiàn)；各層均具備126個(gè)神經(jīng)元，且卷積核數(shù)量與步幅分別為6和2，同時(shí)激活函數(shù)為神經(jīng)元的輸出，表示為：

②在卷積層后創(chuàng)建遞歸層，遞歸層的層數(shù)為，通過(guò)遞歸層可實(shí)現(xiàn)對(duì)內(nèi)存單元前時(shí)間戳的追蹤；將全連接層建立在遞歸層之上，并對(duì)激活函數(shù)實(shí)施設(shè)定，為減少運(yùn)算量并避免數(shù)據(jù)丟失問(wèn)題的發(fā)生，在此設(shè)定Relu為激活函數(shù)g，其式為：

③在此基礎(chǔ)上，通過(guò)網(wǎng)絡(luò)輸出層輸出攻擊分組概率值，實(shí)現(xiàn)云計(jì)算攻擊檢測(cè)。

3 實(shí)驗(yàn)結(jié)果分析

選取KDD CUP99數(shù)據(jù)集作為實(shí)驗(yàn)數(shù)據(jù)集，檢驗(yàn)本文方法對(duì)云計(jì)算系統(tǒng)運(yùn)行攻擊的檢測(cè)性能。實(shí)驗(yàn)數(shù)據(jù)集由R2L、U2R、DoS與Probing四種攻擊類別以及正常記錄組成，其中R2L攻擊包含guessing、spy及password等七種攻擊類別，U2R包含tuscan、ipsweep及rootkit等五種攻擊，DoS包含udpstorm、land、smurf及back等七種攻擊，Probing包含portsweep、nmap及Port_scanning三種攻擊。為降低本文方法中深度學(xué)習(xí)網(wǎng)絡(luò)模型的訓(xùn)練時(shí)長(zhǎng)，由實(shí)驗(yàn)數(shù)據(jù)集內(nèi)選出10000條數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)，其中7000條為訓(xùn)練數(shù)據(jù)，3000條為檢測(cè)數(shù)據(jù)，訓(xùn)練數(shù)據(jù)與檢測(cè)數(shù)據(jù)中的攻擊數(shù)據(jù)與正常數(shù)據(jù)均各占二分之一。

在應(yīng)用本文方法實(shí)施攻擊檢測(cè)之前，先確定本文方法內(nèi)深度學(xué)習(xí)網(wǎng)絡(luò)模型的窗口尺寸與步幅。設(shè)定1、6、11、16、21、26及31七種步幅，400、600、800、1000、1200及1400六種窗口尺寸，統(tǒng)計(jì)在所設(shè)定的步幅與窗口尺寸下，本文方法內(nèi)深度學(xué)習(xí)網(wǎng)絡(luò)模型的檢測(cè)F1值與精度變化情況，以此確定本文方法內(nèi)深度學(xué)習(xí)網(wǎng)絡(luò)模型的步幅和窗口尺寸。所得結(jié)果如圖3所示。通過(guò)圖3能夠得知，當(dāng)步幅與窗口尺寸分別為6和600時(shí)，本文方法內(nèi)深度學(xué)習(xí)網(wǎng)絡(luò)模型的檢測(cè)F1值與精度更高，網(wǎng)絡(luò)模型的性能更優(yōu)越。因此，在此設(shè)定本文方法內(nèi)深度學(xué)習(xí)網(wǎng)絡(luò)模型的步幅與窗口尺寸分別為6和600，并應(yīng)用設(shè)定此參數(shù)的本文方法實(shí)施攻擊檢測(cè)實(shí)驗(yàn)。

圖3（a） 不同步幅下的統(tǒng)計(jì)結(jié)果

圖3（b） 不同窗口尺寸下的統(tǒng)計(jì)結(jié)果

運(yùn)用訓(xùn)練數(shù)據(jù)對(duì)本文方法實(shí)施訓(xùn)練，檢驗(yàn)訓(xùn)練過(guò)程中隨著迭代次數(shù)的增長(zhǎng)本文方法的總體訓(xùn)練誤差收斂情況，為提升實(shí)驗(yàn)結(jié)果的可信度，對(duì)本文方法重復(fù)訓(xùn)練四次，統(tǒng)計(jì)每次的檢驗(yàn)結(jié)果，如圖4所示。由圖4能夠得出，本文方法的訓(xùn)練誤差在迭代次數(shù)的不斷增長(zhǎng)過(guò)程中，呈現(xiàn)明顯的下降趨勢(shì)，當(dāng)?shù)螖?shù)達(dá)到80次時(shí)，訓(xùn)練誤差逐漸出現(xiàn)收斂狀態(tài)，且重復(fù)訓(xùn)練中的訓(xùn)練誤差收斂情況較為接近，說(shuō)明，本文方法的訓(xùn)練收斂性較好，所設(shè)定的步幅與窗口尺寸等參數(shù)較為合理，可符合實(shí)驗(yàn)檢測(cè)需求。

圖4 本文方法總體訓(xùn)練誤差收斂情況

依據(jù)R2L、U2R、DoS與Probing四種主要攻擊類別將檢測(cè)數(shù)據(jù)分成A、B、C、D四組，通過(guò)本文方法構(gòu)建各組數(shù)據(jù)集的攻擊場(chǎng)景模型并實(shí)施攻擊檢測(cè)，各組數(shù)據(jù)集的相關(guān)信息與本文方法檢測(cè)結(jié)果詳見(jiàn)表1。分析表1可得出，本文方法可針對(duì)四種不同類別攻擊數(shù)據(jù)集實(shí)施檢測(cè)，所檢測(cè)攻擊數(shù)據(jù)量結(jié)果與實(shí)際情況非常接近，其中，對(duì)A、B、D三組數(shù)據(jù)集內(nèi)攻擊數(shù)據(jù)量的檢測(cè)結(jié)果均比實(shí)際數(shù)據(jù)量少，存在漏檢情況，但漏檢率在1.00%～1.39%之間；而對(duì)C組數(shù)據(jù)集內(nèi)攻擊數(shù)據(jù)量的檢測(cè)結(jié)果則比實(shí)際數(shù)據(jù)量多，存在誤檢情況，但誤檢率僅為0.57%。綜合可見(jiàn)，本文方法在對(duì)不同類別攻擊數(shù)據(jù)集實(shí)施攻擊檢測(cè)時(shí)，雖存在漏檢與誤檢的情況，但漏檢與誤檢數(shù)據(jù)量較少，整體檢測(cè)的精度較高，檢測(cè)結(jié)果可靠性強(qiáng)。

表1 各組數(shù)據(jù)集實(shí)際情況與本文方法檢測(cè)結(jié)果對(duì)比

分組編號(hào)數(shù)據(jù)類型數(shù)據(jù)量/條 實(shí)際情況A攻擊數(shù)據(jù)400 正常數(shù)據(jù)300 B攻擊數(shù)據(jù)360 正常數(shù)據(jù)370 C攻擊數(shù)據(jù)450 正常數(shù)據(jù)350 D攻擊數(shù)據(jù)400 正常數(shù)據(jù)370 檢測(cè)結(jié)果A攻擊數(shù)據(jù)396 正常數(shù)據(jù)295 B攻擊數(shù)據(jù)355 正常數(shù)據(jù)373 C攻擊數(shù)據(jù)452 正常數(shù)據(jù)345 D攻擊數(shù)據(jù)395 正常數(shù)據(jù)374

將經(jīng)過(guò)以上檢驗(yàn)的本文方法應(yīng)用在某云計(jì)算系統(tǒng)平臺(tái)內(nèi)，進(jìn)行實(shí)時(shí)云計(jì)算攻擊檢測(cè)。實(shí)驗(yàn)中隨意挑選三個(gè)不同時(shí)間段通過(guò)Hping2向?qū)嶒?yàn)云計(jì)算系統(tǒng)平臺(tái)發(fā)送各種類別DoS攻擊，并通過(guò)Bandwidthd軟件對(duì)24小時(shí)內(nèi)的實(shí)驗(yàn)平臺(tái)流量信息實(shí)施監(jiān)測(cè)，所得監(jiān)測(cè)結(jié)果見(jiàn)圖5。圖5中在5～6時(shí)、9～10時(shí)、19～20時(shí)三個(gè)時(shí)間段中的實(shí)驗(yàn)云計(jì)算系統(tǒng)平臺(tái)流量速率出現(xiàn)大幅度上升趨勢(shì)，三個(gè)時(shí)間段的最高流量分別能夠到達(dá)146Mbit/s、124 Mbit/s、133 Mbit/s，由此可知，通過(guò)Hping2向?qū)嶒?yàn)云計(jì)算系統(tǒng)平臺(tái)發(fā)送的各種類別DoS攻擊是在此三個(gè)時(shí)間段。

通過(guò)本文方法對(duì)該平臺(tái)24小時(shí)內(nèi)的攻擊情況實(shí)施檢測(cè)，將所得檢測(cè)結(jié)果與流量信息監(jiān)測(cè)所得的實(shí)際攻擊時(shí)間段及趨勢(shì)相對(duì)比，分析本文方法的實(shí)時(shí)檢測(cè)效果。本文方法的24小時(shí)實(shí)時(shí)云計(jì)算攻擊檢測(cè)結(jié)果見(jiàn)圖6。通過(guò)圖6能夠看出，在本文方法的實(shí)時(shí)云計(jì)算系統(tǒng)平臺(tái)24小時(shí)攻擊檢測(cè)結(jié)果中，大量的攻擊數(shù)據(jù)出現(xiàn)在5～6時(shí)、9～10時(shí)及19～20時(shí)三個(gè)時(shí)間段內(nèi)，其中5～6時(shí)的攻擊數(shù)量最高，可達(dá)到1850條，9～10時(shí)的攻擊數(shù)量為1575條，是三個(gè)時(shí)間段內(nèi)攻擊數(shù)量最低的時(shí)間段，所得結(jié)果與流量信息監(jiān)測(cè)結(jié)果相符，可見(jiàn)，本文方法的實(shí)時(shí)云計(jì)算攻擊檢測(cè)效果理想，實(shí)際應(yīng)用性強(qiáng)。

圖5 24小時(shí)平臺(tái)流量信息實(shí)際監(jiān)測(cè)結(jié)果

圖6 24小時(shí)實(shí)時(shí)云計(jì)算攻擊檢測(cè)結(jié)果

4 結(jié)束語(yǔ)

云計(jì)算攻擊是影響云計(jì)算平臺(tái)安全運(yùn)行的關(guān)鍵，因而，本文針對(duì)基于場(chǎng)景模型與深度學(xué)習(xí)的云計(jì)算攻擊檢測(cè)方法展開(kāi)研究，通過(guò)構(gòu)建包含云計(jì)算攻擊報(bào)警信息的云計(jì)算攻擊場(chǎng)景模型，為云計(jì)算攻擊檢測(cè)提供基礎(chǔ)數(shù)據(jù)，創(chuàng)建包含輸入層、卷積層、遞歸層、全連接層以及輸出層的深度學(xué)習(xí)網(wǎng)絡(luò)模型，向輸入層輸入攻擊場(chǎng)景模型內(nèi)數(shù)據(jù)，經(jīng)卷積層、遞歸層及全連接層的操作之后，獲取到攻擊檢測(cè)結(jié)果，由輸出層向外輸出。本文方法的實(shí)際應(yīng)用結(jié)果表明，在步幅為6、窗口尺寸為600時(shí)，本文方法內(nèi)深度學(xué)習(xí)網(wǎng)絡(luò)模型的性能最佳；可實(shí)現(xiàn)對(duì)不同類別攻擊的檢測(cè)，檢測(cè)結(jié)果的漏檢與誤檢數(shù)據(jù)量較少，檢測(cè)結(jié)果精準(zhǔn)可靠；可實(shí)時(shí)檢測(cè)云計(jì)算攻擊，檢測(cè)結(jié)果與實(shí)際情況相符。

[1]張未名，邢云菲，胡軼楠. 基于云計(jì)算環(huán)境下網(wǎng)絡(luò)入侵安全檢測(cè)模式研究[J]. 情報(bào)科學(xué)，2018，36（9）：68-72.

[2]陳惠娟，趙旭，陳亮. 云計(jì)算環(huán)境中移動(dòng)網(wǎng)絡(luò)低匹配度異質(zhì)信息入侵感知預(yù)測(cè)算法[J]. 吉林大學(xué)學(xué)報(bào)（理學(xué)版）， 2019，57（6）：1449-1455.

[3]傅建明，林艷，劉秀文，等. 云計(jì)算環(huán)境下基于隨機(jī)化的安全防御研究[J]. 計(jì)算機(jī)學(xué)報(bào)，2018，041（006）：1207-1224.

[4]黃超. 云計(jì)算下船舶網(wǎng)絡(luò)入侵高精度檢測(cè)方法研究[J]. 艦船科學(xué)技術(shù)，2018，40（12）：130-132.

[5]胡倩. 基于多步攻擊場(chǎng)景的攻擊預(yù)測(cè)方法[J]. 計(jì)算機(jī)科學(xué)，2019，46（S1）：375-379.

[6]吳志軍，李紅軍，劉亮，等. 基于小波能譜熵和隱半馬爾可夫模型的LDoS攻擊檢測(cè)[J]. 軟件學(xué)報(bào)，2020，31（5）：313-326.

[7]楊宏宇，王峰巖. 基于改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)模型[J]. 計(jì)算機(jī)應(yīng)用，2019，39（9）：2604-2610.

[8]沈衛(wèi)文，王煒，吳蜜. 云計(jì)算船舶通信網(wǎng)絡(luò)的入侵特征提取與檢測(cè)[J]. 艦船科學(xué)技術(shù)，2019，41（08）：146-148.

[9]田俊峰，石偉. 一種基于卷積神經(jīng)網(wǎng)絡(luò)的Web攻擊檢測(cè)方法[J]. 小型微型計(jì)算機(jī)系統(tǒng)，2019，40（3）：122-126.

[10]王樂(lè)樂(lè)，汪斌強(qiáng)，劉建港，等. 基于遞歸神經(jīng)網(wǎng)絡(luò)的惡意程序檢測(cè)研究[J]. 計(jì)算機(jī)科學(xué)，2019，46（7）：92-96.

[11]劉海波，武天博，沈晶，等. 基于GAN-LSTM的APT攻擊檢測(cè)[J]. 計(jì)算機(jī)科學(xué)，2020，47（1）：287-292.

[12]張建珍. 云計(jì)算下海上通信網(wǎng)絡(luò)異類入侵?jǐn)?shù)據(jù)實(shí)時(shí)檢測(cè)系統(tǒng)設(shè)計(jì)[J]. 艦船科學(xué)技術(shù)，2019，41（16）：182-184.

[13]馬樂(lè)樂(lè)，束永安. SDN環(huán)境下基于機(jī)器學(xué)習(xí)算法的DDoS攻擊檢測(cè)模型[J]. 微電子學(xué)與計(jì)算機(jī)，2018，35（5）：15-20.

[14]周康，萬(wàn)良，丁紅衛(wèi). 基于AN和LSTM的惡意域名檢測(cè)[J]. 計(jì)算機(jī)工程與應(yīng)用，2020，56（4）：92-98.

[15]陳興蜀，滑強(qiáng)，王毅桐，等. 云環(huán)境下SDN網(wǎng)絡(luò)低速率DDoS攻擊的研究[J]. 通信學(xué)報(bào)，2019，40（6）：210-222.