(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111490438.9 (22)申请日 2021.12.08 (71)申请人 重庆邮电大 学 地址 400065 重庆市南岸区南 山街道崇文 路2号 (72)发明人 胡敏　叶沛鑫　黄宏程　 (74)专利代理 机构 重庆辉腾律师事务所 5 0215 代理人 卢胜斌 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/27(2019.01) (54)发明名称 一种针对物联网管理的DDoS多点协作式防 御方法 (57)摘要 本发明涉及物联网智能化安全 管理， 特别涉 及一种针对物联网管理的DDoS多点协作式防御 方法， 包括构建基于边缘计算和区块链的多点协 作式防御模 型， 依据节点的计算能力和存储能力 将节点划分为共识节点、 验证节点、 普通节 点， 节 点间共享其自身生成的防御信息； 每个节点基于 所设计的EdgeDefen se防御方法进行单点防御和 生成防御的信息； 本发明相比于传统的单点防 御， 多点协作式防御模型将孤 立的各节点通过区 块链有机地结合起来， 实现了网络内的多点协作 式防御。 利用区块链进行防御信息的共享， 充分 利用了区块链去中心化、 防篡改、 匿名性和可追 溯性的特点， 实现了防御信息的可信互享。 权利要求书2页 说明书11页 附图5页 CN 114285606 A 2022.04.05 CN 114285606 A 1.一种针对物联网管理的D DoS多点协作式防御方法， 其特 征在于， 包括以下步骤： 101、 构建基于边缘计算和区块链的多点协作式防御模型， 依据节点的计算能力和存储 能力将节点划分为共识 节点、 验证节点、 普通节点， 节点间共享 其自身生成的防御信息； 102、 在该模型中对当前节点收到的数据流进行异常检测， 初步判断是否存在数据流异 常情况； 103、 发生数据流异常时， 将数据流与特征匹配表中的攻击数据流特征进行匹配， 当数 据流全部特征与特征匹配表中某一类攻击数据流全部特征相似性达到 设定阈值， 则将该数 据流归类为特征匹配表中对应的攻击数据流类型并根据其所属的攻击类型做出丢弃数据 包或关闭会话的缓解操作； 104、 将数据流特征与特征匹配表中的攻击数据流特征相似性小于设置阈值的数据流 输入基于LSTM ‑Attention的流识别模块进行识别； 105、 将基于LSTM ‑Attention的流识别模块识别得到的合法流发送到目的地， 将攻击流 输入1D‑CNN流分类模型进行分类， 并将分类得到的合法流送往目的地； 106、 将1D ‑CNN流分类模型识别得到的攻击流的特征信息更新至特征匹配表， 将该表作 为防御信息通过区块链共享给网络中其他节点， 并根据其攻击类型做出丢弃数据包或关闭 会话的缓解操作； 107、 在未检测到网络数据流异常时， 依然随机选取部分数据流输入基于LSTM ‑ Attention的流识别模块以识别不 易察觉的DDoS攻击。 2.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法， 其特征在 于， 对存在异常的数据流与特 征匹配表中的攻击数据流特 征进行匹配包括以下步骤： 构建特征匹配表， 即在对应攻击流数据集中对每一类型攻击数据流基于互信 息法选择 出该类攻击最具代 表性的8个特 征， 并计算出对应的特 征的值在数据集中的均值和标准差； 提取待检测流量的所有特征， 将提取的特征与特征匹配表中的特征进行比较， 若提取 的特征的值与特征匹配表中某一攻击类型的特征值的差值在设定的阈值范围内， 则将该数 据流归类为对应的攻击类型 数据流。 3.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法， 其特征在 于， 对数据流与特征匹配表中的攻击数据流特征进行匹配时， 若特征相似性达到设定阈值 则将该数据流进行对应分类， 并根据分类结果做出丢弃数据包或关闭会话的操作； 数据流 相似性判定的阈值 范围为[‑kcσi， +kcσi]， 其中， kc为构建特征匹配表时四种类别攻击数据流 对应特征的偏差参数， 取值为4.47， σi为构建特征匹配表时某类攻击数据流的第i个特征的 标准差。 4.根据权利要求3所述的一种针对物联网管理的DDoS多点协作式防御方法， 其特征在 于， 相似性阈值范围根据切比雪夫不 等式确定， 即： 其中， 为数据分布在[ ‑kcσi， +kcσi]范围之外的概率； X为参与匹配的 数据流某一特征的值， μi为特征匹配表中预设的某类攻击数据流的第i个特征所对应的均 值， σi为特征匹配表中预设的某类攻击数据流的第i个特 征所对应的标准差 。权　利　要　求　书 1/2 页 2 CN 114285606 A 25.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法， 其特征在 于， 基于LS TM‑Attention的流识别模块包括LSTM网络和Attention层； 从输入检测的流的所 有特征中选择n个特征作为LSTM网络的输入， 输出n个隐藏状态； 所有输出的隐藏状态送入 Attention层获取特征的注意力权 重， 利用该权 重对特征进行加权 。 6.根据权利要求5所述的一种针对物联网管理的DDoS多点协作式防御方法， 其特征在 于， 基于LSTM ‑Attention的流识别模块对数据的处 理过程包括： 若{X1,X2,X3,X4…,Xn}为输入LSTM网络的n个特征向量， LSTM网络根据这n各特征向量输 出n个隐藏状态{h1,h2,h3,h4,…,hn}； 输出的隐藏状态{h1,h2,h3,h4,…,hn}被送入Attent ion层， 以得到注意力权重向量a， 第 j个隐藏状态的注意力权 重表示为： 注意力权重向量a与所有隐藏状态进行加权求和， 最后输出加权隐藏状态向量v， 表示 为： 其中， f(hj,hN)是注意力机制的得分函数。 7.根据权利要求6所述的一种针对物联网管理的DDoS多点协作式防御方法， 其特征在 于， 注意力机制的得分函数f(hj,hN)表示为： f(hj,hN)＝vtanh(Whj+UhN+b)； 其中， U和W 为权重矩阵， b为偏置 。 8.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法， 其特征在 于， 将攻击流的特 征更新至特 征匹配表中的过程包括以下步骤： 将一个包含8个特征的攻击流的恶意特征集合表示为： Feature＝{feature1, feature2,…featurei}(1≤i≤8)； 将一个包含8个特征的攻击流的恶意特征值集合表示为： Fvalue＝{fvalue1, fvalue2...fvaluei}(1≤i≤8)； 计算Feature中featurei所对应的均值 μi和标准差σi， 记为fvaluei＝< μi, σi>， 1≤i≤8； 用计算得到的所有fvaluei构成新的Fvalue， 1≤i≤8； 将计算得到的Fvalue作为新的特征信息， 更新至特征匹配表中， 特征匹配中以新的特征 信息作为匹配 基准进行分类并缓解 攻击。 9.根据权利要求1所述的一种针对物联网管理的DDoS多点协作式防御方法， 其特征在 于， 将节点自身更新后的新的特征匹配表当做防御信息， 在共识节 点共识后， 验证节点验证 后， 添加至区块链上， 共享至模型中的其 他节点， 使得其 他节点提前建立 起对DDoS的防御。权　利　要　求　书 2/2 页 3 CN 114285606 A 3