一种基于时空混合模型的物联网DDoS攻击检测方法及装置

一种基于时空混合模型的物联网ddos攻击检测方法及装置
技术领域
1.本发明涉及网络安全领域，具体涉及一种基于时空混合模型的物联网ddos攻击检测方法及装置。


背景技术：

2.物联网是综合传感器技术、嵌入式系统技术、智能技术以及纳米技术的电子设备集成体，可以使用互联网作为骨干网与其他设备和系统进行通信及共享信息，实现自主操作、驱动、连接和通信的目的，实现并增强各个领域的服务。而物联网是基于互联网的通用网络，具备固有的开放性、异构性、终端脆弱性等风险特征。但由于物联网网络和设备缺乏标准架构，不同的供应商有不同的架构和协议，在这种异构的物联网中，安全性受到的影响无疑是巨大的。随着物联网的高速扩张，形成了庞大规模的网络和物联网设备所生成的海量但又至关重要的数据，为了在这些海量的物联网设备之间安全传输数据，迫切需要新的行之有效的协议和安全方法来适应现有设备和新设备的规格和要求。
3.拒绝服务(denial of service，dos)攻击和分布式拒绝服务(distributed denial of service，ddos)是网络安全领域中最常见的攻击之一。dos攻击是攻击者使用单一来源恶意攻击，通过发送大量请求淹没被攻击者系统的资源及带宽，最终使得合法用户无法访问服务或网络资源。当一个dos攻击使用多个分布式源发起攻击时，它被称为ddos攻击。当发生ddos攻击时，服务器的带宽和连通性将会受到严重的影响，最终导致所有网络业务严重中断。ddos攻击的主要目标是破坏可信用户的网络和资源可用性，即在洪泛攻击中，过载的网络因超过其带宽能力最终导致停机和业务中断。
4.物联网的ddos攻击方法与传统的ddos攻击方法没有太大区别，攻击者仍然是利用相类似的恶意技术或软件来扫描网络存在漏洞的传统系统或物联网设备。然而，由于物联网设备的异构性，针对物联网的ddos攻击看起来更加多样化和复杂化。ddos攻击的目标范围极其广泛，小到私人网站、中小型企业，大到医疗行业、教育行业以及政府部门，乃至国家安全领域中也处处可见ddos攻击的身影。
5.基于深度学习的ids中，通常由所提供数据的性质选择具体的神经网络模型。深度学习模型可以直接从原始数据(如图像和文本)中自动学习特征表示然后输出结果，无需手动进行特征工程。深度学习模型能够处理基于时间和空间特征的数据，捕获相关的依赖关系。因此大多数以时间序列数据集形式采集的网络数据都可以采用深度学习模型进行分析，且能达到一个较高的精度。此外，使用分布式机器学习技术，深度学习模型还可以在每个设备上单独训练，减少了网络开销，降低安全和隐私方面的隐患。
6.传统的入侵检测系统(intrusion detection system，ids)通常使用签名或者深度数据包检测(deep packet inspection，dpi)等技术来检测网络中的恶意活动，这些技术可以根据数据包内容和报头信息对数据包进行过滤。传统的ids在物联网环境下性能并不高，如何部署在高带宽、高速骨干链路上是一个难以略过的瓶颈。此外，当加密流量通过网络时，这些传统的ids无法检查报文内容。


技术实现要素：

7.本发明目的在于针对现有技术的不足，提出一种基于时空混合模型的物联网ddos攻击检测方法及装置。
8.本发明的目的是通过以下技术方案来实现的：一种基于时空混合模型的物联网ddos攻击检测方法，该方法包括以下步骤：
9.(1)获取物联网网络流量数据并进行预处理；
10.(2)构建时空混合模型：包括resnet和lstm结构，将经过预处理的网络流量数据输入resnet，将resnet提取到的网络流量空间特征作为lstm网络的输入，提取输入数据中相邻帧之间的网络流量时序特征，提取到的特征进行整合并进行网络流量的分类输出；
11.(3)模型剪枝；针对resnet和lstm结构，分别计算与卷积层或lstm层响应相关的协方差矩阵的特征值来量化卷积层或lstm层的冗余，并对冗余进行排序，利用基于几何中值的方法对冗余度最高的单元进行结构化的识别和删减，实现给定稀疏度的剪枝；
12.(4)攻击检测识别：将步骤(1)中预处理后的数据输入到剪枝后的时空混合模型，输出为物联网网络流量特征的混淆矩阵，得到每个真实攻击和预测攻击所属类别的样本数。
13.进一步地，步骤(1)中，所述预处理具体为：将物联网网络流量数据进行处理，使之转换成可以直接输入dnn模型的三通道图像；首先使用min-max标准化，标准化公式如下：
[0014][0015]
随后，迭代选取若干个样本，并均匀划分成三份，第一份样本转换为通道1的图像矩阵，第二份样本转换为通道2的图像矩阵，第三份样本转换为通道3的图像矩阵，并将这些矩阵映射到图像的rgb通道。
[0016]
进一步地，步骤(2)中，每个残差结构均包含4个卷积层，每个卷积层中卷积核个数不同，但卷积核尺寸相同。
[0017]
进一步地，步骤(2)中，最大池化层用于在每个区域中选择最大值，保留输入的纹理特征；平均池化层用于选择每个区域的平均值，保留整体的数据特征。
[0018]
进一步地，步骤(2)中，输出层利用dense函数对lstm层提取的特征进行非线性变化并映射到输出空间上，再用softmax分类器进行分类。
[0019]
进一步地，步骤(2)中，时空混合模型具体包括依次连接的输入层、卷积层、残差结构、reshape层、lstm层和输出层；所述卷积层和残差结构之间连接有最大池化层，残差结构和reshape层之间连接有平均池化层。
[0020]
进一步地，步骤(3)中，给定整个模型的目标修剪速率θ∈(0，1)，评估修剪率θ
[l]
，基于整体网络分类性能，在l个目标层(卷积层或lstm层)中确定第l层修剪单元θ
[l]
p
[l]
，其中p
[l]
表示第l层的响应关系，使其满足：
[0021][0022]
定义一层输出中需要保留的能量α，并通过其来最优化输出各层剪枝率，最终优化公式如下：
[0023][0024]
在结构化剪枝中对resnet结构剪枝时，通过冗余量化中确定的剪枝率对模型各层进行剪枝；通过定义表示对应层的几何中值
[0025][0026]
其中，ci代表第i个卷积层的输入通道，c
i+1
代表第i个卷积层的输出通道，c
i，k
表示第i层的第k个滤波器，k表示网络中卷积核的尺寸，有并用几何中心滤波器来表示其他卷积通道与几何中心的几何中值的差异，resnet中的目标是最小化“中心点”滤波器表示为：
[0027][0028]
在结构化剪枝中对lstm结构剪枝时，通过几何中值的函数得到具体层中每个单元的重要性分数表示为：
[0029][0030]
其中h
[l]
表示w
[l]
的行数，w
[l]
表示lstm中每一层权重矩阵堆叠成的块矩阵，表示w
[l]
矩阵的第k行，表示w
[l]
矩阵的第i行，通过该重要性分数来确定需删除组件fk，完成剪枝工作，删除组件的优化函数表示为：
[0031][0032]
第二方面，本发明还提供了一种基于时空混合模型的物联网ddos攻击检测装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现所述的一种基于时空混合模型的物联网ddos攻击检测方法。
[0033]
第三方面，本发明还提供了一种计算机可读存储介质，其上存储有程序，所述程序被处理器执行时，实现所述的一种基于时空混合模型的物联网ddos攻击检测方法。
[0034]
本发明的有益效果：能够有效地提高ddos的检测精度。发明提出的压缩方法在保证模型精度的同时，还可以有效地减少模型的尺寸，以解决在物联网设备资源有限的条件下，模型部署的尺寸和精度方面的需求。
附图说明
[0035]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本
发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。
[0036]
图1为本发明提供的一种基于时空混合模型的物联网ddos攻击检测方法流程图；
[0037]
图2为基于resnet-lstm的时空混合模型的ddos检测模型的结构示意图；
[0038]
图3为resnet-lstm时空混合模型的模型参数示意图；
[0039]
图4为结构化剪枝压缩示意图；
[0040]
图5为本发明提供的一种基于时空混合模型的物联网ddos攻击检测装置的结构图。
具体实施方式
[0041]
以下结合附图对本发明具体实施方式作进一步详细说明。
[0042]
本发明根据残差神经网络、长短期记忆神经网络以及模型压缩的相关研究，设计了一种基于压缩resnet-lstm的ddos攻击检测方法模型及其压缩方法。模型运作的重点在于通过残差及长短时记忆网络构建res-lstm模型，实现对ddos攻击检测。在实现攻击检测模型的基础上，通过对模型进行特征分析和几何中值的模型结构化剪枝压缩，以减少模型规模便于边缘部署应用，具体流程图如图1所示。
[0043]
1、本发明结合了resnet和lstm网络的优点，综合了lstm结构在处理时序特征上的优势，将resnet网络提取到的物联网网络流量高级特征作为lstm网络的输入进行长序列预测，进而提高ddos攻击检测分类的准确率。设计了基于resnet-lstm的时空混合模型的ddos检测模型，结构如图2。
[0044]
模型把经过预处理的三维数据输入卷积层中提取空间特征，以达到减少训练参数的目的。之后将提取到的特征利用池化层进行降维，以获得更深层的特征，避免模型的过拟合。lstm部署在resnet之后，用以提取输入数据中相邻帧之间的时序特征。最后通过全连接层将提取到的局部特征进行整合并输出。此外，模型的每个卷积层后还添加了bn层，以加速网络训练的过程，增加网络的非线性。
[0045]
resnet-lstm时空混合模型的模型参数如图3，该网络模型由输入层、1个卷积层、4个残差结构、2个池化层、1个reshape层、1个lstm层和输出层组成。每个残差结构均由2个残差单元组合而成。此外，在每个卷积层后都设置了bn层和激活层来加速网络训练的过程，增加网络的非线性。resnet-lstm时空混合模型的网络参数设置如下：
[0046]
(1)输入层：输入为经过预处理的cicddos2019数据集。
[0047]
所述预处理具体为：将物联网网络流量数据进行处理，使之转换成可以直接输入dnn模型的三通道图像；首先使用min-max标准化，标准化公式如下：
[0048][0049]
随后，迭代选取180个样本，前60个样本转换为通道1的图像矩阵，第61-120个样本转换为通道2的图像矩阵，最后60个样本转换为通道3的图像矩阵。将这些矩阵映射到图像的rgb通道，最终形成60
×
60
×
3图像。
[0050]
(2)卷积层：卷积核的个数为64、尺寸为(7，7)、步长为2，输出特征图的尺寸为(8，64，112，112)。
[0051]
(3)残差结构：每个残差结构均包含4个卷积层。第一个残差结构中的卷积层其卷积核个数为64、尺寸为(3，3)、步长均为1，输出特征图的尺寸为(8，64，56，56)；第二个残差结构中的卷积层其卷积核个数为128、尺寸为(3，3)，输出特征图的尺寸为(8，128，28，28)；第三个残差结构中的卷积层其卷积核个数为256、尺寸为(3，3)，输出特征图的尺寸为(8，256，14，14)；第四个残差结构中的卷积层其卷积核个数为512、尺寸为(3，3)，输出特征图的尺寸为(8，512，7，7)。
[0052]
(4)池化层：网络中共有两个池化层。跟在卷积层之后的是最大池化层，在每个区域中选择最大值，保留输入的纹理特征；跟在残差结构之后的是平均池化层，选择每个区域的平均值，保留整体的数据特征。
[0053]
(5)reshape层：将resnet输出的特征向量转换成lstm可以识别的三维数据。
[0054]
(6)lstm层：输出维度为512，使用tanh激活函数。
[0055]
(7)输出层：利用dense函数对上层提取的特征进行非线性变化并映射到输出空间上，再用softmax分类器进行分类。
[0056]
2、对resnet-lstm时空混合模型进行结构化剪枝压缩，为了尽可能减小模型精度下降的可能性，首先计算与每个层响应相关的协方差矩阵的特征值来量化各个层的冗余，并对冗余进行排序。之后，利用基于几何中值的方法对冗余度最高的单元进行结构化的识别和删减，实现给定稀疏度的剪枝。对模型进行结构化修剪的目标可以描述为：给定整个网络的目标修剪速率α∈(0，1)，评估修剪率θ
[l]
，然后在l个目标层(卷积层或lstm层)的第l层中，选择对整体网络分类性能影响较小的θ
[l]
p
[l]
单元进行修剪，其中p
[l]
表示第l层的响应关系，使其满足：
[0057][0058]
压缩方案流程图为图4。
[0059]
在冗余量化中，用特征分析的方法对各个层的冗余进行一个总体上的量化与排序。冗余度高的层其对模型的影响可以被其它层所代替，因此对剪枝所造成的精度影响较小。
[0060]
首先，定义用于训练网络的数据集为其中，xi表示第i个输入样本，m表示数据集中的样本数，i表示输入维数。在本发明中，输入数据为图像数据，因此数据集可以表示为h表示图像高度，w表示图像宽度，c表示输入通道数。下面分别为对resnet结构和lstm结构的处理。
[0061]
(1)resnet结构。令为第i个输入样本上给定层l的输出张量。如果l代表卷积层，设为核大小为的c[l]个可训练滤波器的集合。此时，卷积层所产生的表示为：
[0062][0063]
特别地，当i＝0时，式中的*代表卷积计算。由于偏置项对公式推导无
影响，此处省略。如果l代表全连接层，那么其中c
[l]
为第l层的神经元数。此时输出张量为：
[0064][0065]
定义响应向量为记为给定m个样本数据集的第l层的响应矩阵，计算其协方差矩阵并提取特征值。
[0066]
(2)lstm结构。在lstm中，利用最后一个时间步(自循环单元的循环次数)的隐藏状态向量来表示第l个lstm层输出端的整体序列。用数据矩阵表示第l层输出端的整个训练集：
[0067][0068]
令其中k表示时间步t上的第k个输入序列。给定z
[l]
，则与第l层响应相关的样本协方差矩阵表示为：
[0069][0070]
其中，表示样本均值向量。b
[l]
是一个具有非负特征值的对称的半正定矩阵，计算其特征值。
[0071]
对上述两个结构获取的特征值进行降序排序，并进行归一化处理，结果为：
[0072][0073]
需要满足以及
[0074]
随后用以下方式表示所获特征值的层修剪率。首先，定义变量和其中满足
[0075][0076]
其中，α∈[0，1]定义了一层输出中需要保留的能量，与层的修剪率相关。此时，第l层的修剪率θ
[l]
表示为
[0077][0078]
通过最优化输出各层剪枝率，最终优化公式如下：
[0079]
[0080]
在结构化剪枝中：
[0081]
(1)resnet结构。在resnet中，用ci代表第i个卷积层的输入通道，c
i+1
代表第i个卷积层的输出通道，c
i，k
表示第i层的第k个滤波器，k表示网络中卷积核的尺寸，有则第i层中所有滤波器的信息为几何中值
[0082][0083]
表示该层的几何中心。其他卷积通道与几何中心的几何中值的差异可以用几何中心的滤波器与其他滤波器的距离表示。靠近几何中心的通道拥有与几何中心滤波器更相近的几何中值，而接近甚至处于“中心点”滤波器f
i，j*
可以表示为：
[0084][0085]
将可剪枝的卷积通道设定为最靠近几何中心的卷积通道完成对resnet结构的几何中值剪枝。
[0086]
(2)lstm结构。在lstm中，将每一层权重矩阵堆叠成下述块矩阵：
[0087][0088][0089][0090]
其中x和h表示输入输出，而中的f，i，u，o分别表示lstm结构中的四个前馈神经网络单元，因此块矩阵w
[l]
可被表示为
[0091][0092]w[l]
矩阵行数为h
[l]
，表示w
[l]
矩阵的第k行，与第l层的第k个单元直接相关。利用基于几何中值的函数得到第l层中每个单元的重要性分数
[0093][0094]
的值量化了第l层中第k个单元与该层中所有其他单元之间的差异，当越小，该单元与层中其他单元越相关，因而可安全丢弃而不影响网络的分类性能，表示w
[l]
矩阵的第k行，表示w
[l]
矩阵的第i行。在本压缩方法中，lstm的一个单元即为一个iss组件，因而需删除组件fk可表示为：
[0095]
[0096]
3、基于结构化剪枝压缩后的resnet-lstm时空混合模型，实现对ddos攻击检测；将实际获取的物联网网络流量数据输入resnet-lstm时空混合模型，提取物联网网络流量数据空间特征和时序特征，利用dense函数对提取的特征进行非线性变化并映射到输出空间上，再用softmax分类器进行分类，得到网络流量的检测结果，实现ddos攻击的检测识别。
[0097]
与前述一种基于时空混合模型的物联网ddos攻击检测方法的实施例相对应，本发明还提供了一种基于时空混合模型的物联网ddos攻击检测装置的实施例。
[0098]
参见图5，本发明实施例提供的一种基于时空混合模型的物联网ddos攻击检测装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，用于实现上述实施例中的一种基于时空混合模型的物联网ddos攻击检测方法。本发明提供的一种基于时空混合模型的物联网ddos攻击检测装置的实施例可以应用在任意具备数据处理能力的设备上，该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图5所示，为本发明提供的一种基于时空混合模型的物联网ddos攻击检测装置所在任意具备数据处理能力的设备的一种硬件结构图，除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能，还可以包括其他硬件，对此不再赘述。
[0099]
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0100]
对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0101]
本发明实施例还提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现上述实施例中的一种基于时空混合模型的物联网ddos攻击检测方法。
[0102]
所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元，例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备的外部存储设备，例如所述设备上配备的插接式硬盘、智能存储卡(smart media card，smc)、sd卡、闪存卡(flash card)等。进一步的，所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据，还可以用于暂时地存储已经输出或者将要输出的数据。
[0103]
上述实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和改变，都落入本发明的保护范围。

技术特征：
1.一种基于时空混合模型的物联网ddos攻击检测方法，其特征在于，该方法包括以下步骤：(1)获取物联网网络流量数据并进行预处理；(2)构建时空混合模型：包括resnet和lstm结构，将经过预处理的网络流量数据输入resnet，将resnet提取到的网络流量空间特征作为lstm网络的输入，提取输入数据中相邻帧之间的网络流量时序特征，提取到的特征进行整合并进行网络流量的分类输出；(3)模型剪枝；针对resnet和lstm结构，分别计算与卷积层或lstm层响应相关的协方差矩阵的特征值来量化卷积层或lstm层的冗余，并对冗余进行排序，利用基于几何中值的方法对冗余度最高的单元进行结构化的识别和删减，实现给定稀疏度的剪枝；(4)攻击检测识别：将步骤(1)中预处理后的数据输入到剪枝后的时空混合模型，输出为物联网网络流量特征的混淆矩阵，得到每个真实攻击和预测攻击所属类别的样本数。2.根据权利要求1所述的一种基于时空混合模型的物联网ddos攻击检测方法，其特征在于，步骤(1)中，所述预处理具体为：将物联网网络流量数据进行处理，使之转换成可以直接输入dnn模型的三通道图像；首先使用min-max标准化，标准化公式如下：随后，迭代选取若干个样本，并均匀划分成三份，第一份样本转换为通道1的图像矩阵，第二份样本转换为通道2的图像矩阵，第三份样本转换为通道3的图像矩阵，并将这些矩阵映射到图像的rgb通道。3.根据权利要求1所述的一种基于时空混合模型的物联网ddos攻击检测方法，其特征在于，步骤(2)中，每个残差结构均包含4个卷积层，每个卷积层中卷积核个数不同，但卷积核尺寸相同。4.根据权利要求1所述的一种基于时空混合模型的物联网ddos攻击检测方法，其特征在于，步骤(2)中，最大池化层用于在每个区域中选择最大值，保留输入的纹理特征；平均池化层用于选择每个区域的平均值，保留整体的数据特征。5.根据权利要求1所述的一种基于时空混合模型的物联网ddos攻击检测方法，其特征在于，步骤(2)中，输出层利用dense函数对lstm层提取的特征进行非线性变化并映射到输出空间上，再用softmax分类器进行分类。6.根据权利要求1所述的一种基于时空混合模型的物联网ddos攻击检测方法，其特征在于，步骤(2)中，时空混合模型具体包括依次连接的输入层、卷积层、残差结构、reshape层、lstm层和输出层；所述卷积层和残差结构之间连接有最大池化层，残差结构和reshape层之间连接有平均池化层。7.根据权利要求1所述的一种基于时空混合模型的物联网ddos攻击检测方法，其特征在于，步骤(3)中，给定整个模型的目标修剪速率θ∈(0,1)，评估修剪率θ
[l]
，基于整体网络分类性能，在l个目标层(卷积层或lstm层)中确定第l层修剪单元θ
[l]
p
[l]
，其中p
[l]
表示第l层的响应关系，使其满足：
定义一层输出中需要保留的能量α，并通过其来最优化输出各层剪枝率，最终优化公式如下：在结构化剪枝中对resnet结构剪枝时，通过冗余量化中确定的剪枝率对模型各层进行剪枝；通过定义表示对应层的几何中值f
igm
：其中，c
i
代表第i个卷积层的输入通道，c
i+1
代表第i个卷积层的输出通道，c
i,k
表示第i层的第k个滤波器，k表示网络中卷积核的尺寸，有并用几何中心滤波器来表示其他卷积通道与几何中心的几何中值的差异，resnet中的目标是最小化“中心点”滤波器表示为：在结构化剪枝中对lstm结构剪枝时，通过几何中值的函数得到具体层中每个单元的重要性分数表示为：其中h
[l]
表示w
[l]
的行数，w
[l]
表示lstm中每一层权重矩阵堆叠成的块矩阵，表示w
[l]
矩阵的第k行，表示w
[l]
矩阵的第i行，通过该重要性分数来确定需删除组件f
k
，完成剪枝工作，删除组件的优化函数表示为：8.一种基于时空混合模型的物联网ddos攻击检测装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，其特征在于，所述处理器执行所述可执行代码时，实现如权利要求1-7中任一项所述的一种基于时空混合模型的物联网ddos攻击检测方法。9.一种计算机可读存储介质，其上存储有程序，其特征在于，所述程序被处理器执行时，实现如权利要求1-7中任一项所述的一种基于时空混合模型的物联网ddos攻击检测方法。

技术总结
本发明提出了一种基于时空混合模型的物联网DDoS攻击检测方法及装置，具体通过将残差网络和长短期记忆网络相融合，包括深度残差神经网络捕获网络流量的局部空间特征，以及长短期记忆神经网络提取网络流量的时间序列特征，获得时空混合模型，并通过特征分析和几何中值对模型中最可替换的结构进行排序和修剪。在基于数据规范化方法转换的数据集中进行性能检测，能够得到网络流量的检测结果。本发明能有效提高DDoS攻击检测的准确率，降低误报率。同时其压缩方法能够在保证模型准确率的同时有效降低模型的尺寸，符合物联网设备资源有限的状态对部署其上的模型所提出的尺寸及准确率方面的要求，有助于时空混合模型在资源有限的物联网设备中的部署与落地。物联网设备中的部署与落地。物联网设备中的部署与落地。


技术研发人员：李传煌 方徐鑫 楼佳丽
受保护的技术使用者：浙江工商大学
技术研发日：2023.06.28
技术公布日：2023/10/15