基于注意力機制的DDoS攻擊檢測方法

賈 婧，王慶生+，陳永樂，郭旭敏

(1.太原理工大學(xué) 信息與計算機學(xué)院，山西 晉中 030600；2.山西青年職業(yè)學(xué)院 計算機信息與工程系，山西 太原 030000)

0 引 言

攻擊者利用傀儡機使用分布式、協(xié)作式計算機資源以網(wǎng)絡(luò)帶寬和系統(tǒng)資源為主要攻擊目標(biāo)，發(fā)送大量良性流量導(dǎo)致目標(biāo)用戶無法訪問服務(wù)[1-3]。由于DDoS攻擊具有易實施、易布控、難以防范追蹤以及攻擊流量多樣性、混合性、不確定性等特點，因此以區(qū)分合法流量和攻擊流量為目標(biāo)的攻擊檢測成為DDoS主要防御機制之一。其中基于統(tǒng)計學(xué)習(xí)，機器學(xué)習(xí)等淺層學(xué)習(xí)方法很難捕捉DDoS攻擊的演化本質(zhì)，導(dǎo)致DDoS攻擊檢測準(zhǔn)確率不高。同時，基于深度學(xué)習(xí)方法通過前后向序列信息去考慮特征的時空相關(guān)性，一定程度上提高了檢測準(zhǔn)確率[6]。但是對于長期序列而言，深度學(xué)習(xí)中編碼向量所能存儲的信息以及其相互關(guān)系受限于序列間的距離，導(dǎo)致某種程度造成序列間重要特征丟失。

因此，本文提出基于注意力機制的雙向LSTM模型應(yīng)用到DDoS攻擊檢測之中。首先，根據(jù)DDoS攻擊領(lǐng)域知識提取出網(wǎng)絡(luò)攻擊流量最相關(guān)元組特征，即多種大流量攻擊類型所具備的明顯流量特征，將其與數(shù)據(jù)預(yù)處理后的數(shù)據(jù)集進行向量拼接。隨后，提出于BiLSTM中加入注意力機制模塊，為對序列進行全面分析和局部探索，BiLSTM網(wǎng)絡(luò)使用所有從未來和過去的時間步長所獲得的信息，學(xué)習(xí)嵌入在原始輸入流量中的復(fù)雜流級特征表示，同時注意力模型有助于聚焦表示DDoS攻擊的隱含信息，將有限注意力資源聚焦于高價值信息，用于提高準(zhǔn)確率，降低誤報率。

1 研究現(xiàn)狀

DDoS攻擊的數(shù)量、頻率、復(fù)雜程度和影響都在急劇增長，攻擊方式變得尤為難以緩解，區(qū)分正常流量和DDoS攻擊流量特別困難。

關(guān)于統(tǒng)計方法在DDoS攻擊檢測方面的應(yīng)用，Bhuyan MH等[4]根據(jù)Hartley熵、Shannon熵、Renyi熵、廣義熵這些度量來描述網(wǎng)絡(luò)流量數(shù)據(jù)的特征進而檢測低速率DDoS攻擊；Hoque N等[5]提取出3個特征，即源IP的熵、源的變化IP和數(shù)據(jù)包速率，計算對網(wǎng)絡(luò)流量的每個樣本使用FFSc的相似度值用于攻擊檢測。然而統(tǒng)計方法需要根據(jù)專業(yè)知識進行特征向量提取，所以人為因素的不確定性導(dǎo)致準(zhǔn)確率有所影響；同時機器學(xué)習(xí)在此領(lǐng)域中已經(jīng)取得了不錯的效果，Singh.K等[7]提出一種基于隨機森林分類模型的DDoS檢測方法，將數(shù)據(jù)流信息熵作為分類標(biāo)準(zhǔn)，對3種常見的DDoS攻擊方式進行特征分析，但由于傳統(tǒng)機器學(xué)習(xí)的局限性，無法從攻擊流量的長期序列中獲取深層次特征，很難對低速率DDoS進行檢測，準(zhǔn)確率低。近年來，深度學(xué)習(xí)在各個領(lǐng)域中卓有成效，在DDoS攻擊檢測中，利用一系列連續(xù)的網(wǎng)絡(luò)數(shù)據(jù)包獲取攻擊流量和合法流量之間的區(qū)別。Saied等[8]提出一種使用人工神經(jīng)網(wǎng)絡(luò)檢測已知和未知的DDoS攻擊的檢測方法，選擇人工神經(jīng)網(wǎng)絡(luò)(ANN)基于分離DDoS的特定特征，來檢測DDoS攻擊行為；Yuan X等[9]設(shè)計了一個遞歸的深度神經(jīng)網(wǎng)絡(luò)(RNN)，從網(wǎng)絡(luò)流量序列中學(xué)習(xí)模式，并跟蹤網(wǎng)絡(luò)攻擊活動。

基于注意力機制的神經(jīng)網(wǎng)絡(luò)最近成為了圖像再識別、語音識別和語言翻譯等研究領(lǐng)域中的一個熱點[10-12]，其本質(zhì)包含兩個部分：其一，基于實現(xiàn)任務(wù)目標(biāo)，需著重于輸入目標(biāo)的哪個部分；其二，針對使用全局注意力機制計算出注意力值，從已關(guān)注部分模塊快速篩選有用信息。在DDoS攻擊檢測領(lǐng)域，注意力機制思想還未得到應(yīng)用。本文借鑒其主要思想提出基于注意力機制的雙向LSTM進行DDoS攻擊檢測方法。

2 基于注意力機制的DDoS攻擊檢測

本文提出一種基于注意力機制的DDoS攻擊檢測方法，該方法包含領(lǐng)域知識、數(shù)據(jù)預(yù)處理、基于注意力機制的BiLSTM這3個模塊，系統(tǒng)總體結(jié)構(gòu)如圖1所示。首先，將根據(jù)領(lǐng)域知識所提取的特征向量與數(shù)據(jù)預(yù)處理后的數(shù)據(jù)流矩陣進行向量拼接,然后經(jīng)過BiLSTM模型和注意力模型學(xué)習(xí)表示，最終通過分類器完成DDoS攻擊數(shù)據(jù)流檢測工作。

圖1 總體結(jié)構(gòu)

2.1 領(lǐng)域知識

領(lǐng)域知識[13]是某個研究領(lǐng)域中相互關(guān)聯(lián)、相互約束的概念集合，當(dāng)我們處理控制、優(yōu)化和其它問題時，我們需要利用領(lǐng)域知識來正確地設(shè)計、初始化和修改問題解決程序的參數(shù)。DDoS攻擊的本質(zhì)是攻擊者可以使用大量的“傀儡”機器短時間生成大量攻擊流量使系統(tǒng)或網(wǎng)站崩潰。當(dāng)攻擊發(fā)生時源IP地址端和目的IP地址端數(shù)據(jù)包數(shù)量差異大以及網(wǎng)絡(luò)流量中數(shù)據(jù)包的大小變化率、不同端口間增長率及時間間隔均異常增長。為了及時精確檢測DDoS攻擊，本文基于DDoS攻擊領(lǐng)域知識，提取出最相關(guān)的特征子集，即四元組流量特征。領(lǐng)域知識特征組見表1。

表1 領(lǐng)域知識特征向量組

(1)不同端口增長速率：當(dāng)發(fā)生大流量攻擊例如Smurf、ICMP、UDP攻擊時，通常攻擊者所發(fā)起的瞬時高峰流量通過隨機生成端口進行端口掃描攻擊，端口變化速率有異常激增情況。

(2)單位時間內(nèi)數(shù)據(jù)包數(shù)量：由于DDoS大流量攻擊有瞬時、突發(fā)等特點，單位時間內(nèi)所產(chǎn)生的數(shù)據(jù)包急劇增加。

(3)數(shù)據(jù)包大小變化率：攻擊者通過僵尸網(wǎng)絡(luò)產(chǎn)生大量無用數(shù)據(jù)包，其內(nèi)容及字節(jié)長度一致性較高，相較于正常數(shù)據(jù)包往往大小不一。因此數(shù)據(jù)包大小變化率極低。

(4)流持續(xù)時間：當(dāng)發(fā)生TCP攻擊時，攻擊方利用3次握手協(xié)議缺陷導(dǎo)致受害者端資源被半連接隊列充滿，持續(xù)時間較正常連接變長。

2.2 基于注意力機制的BiLSTM結(jié)構(gòu)

2.2.1 注意力機制

注意力機制在深度學(xué)習(xí)中被廣泛應(yīng)用研究，其在語音識別、機器翻譯等序列數(shù)據(jù)方面取得較好的效果，其本質(zhì)是通過將足夠的注意力來突出對結(jié)果有重要貢獻的局部信息，而忽視不相關(guān)的信息。本文將對LSTM結(jié)構(gòu)中的注意力機制進行過程說明：

LSTM結(jié)構(gòu)中，編碼器讀取向量的輸入序列，x=(x1,x2,…,xTx)為向量c，公式如下

st=f(xt,st-1,ct)

(1)

c=q(s1,…,sTx)

(2)

其中，st為隱藏層狀態(tài)，c為取決于LSTM隱藏狀態(tài)的輸出向量。在注意力模型中，上下文向量ct與編碼器映射輸入句子的注釋序列(h1,h2,…,hTx)密切相關(guān)，整個輸入序列的信息包含在注釋ht中，這些信息主要集中在圍繞輸入序列第t個單詞的部分，所有注釋的加權(quán)和構(gòu)成上下文向量ct，公式如下

(3)

式中：每個注釋hj的權(quán)重αtj計算公式如下

(4)

etj=a(st-1,hj)

(5)

其中，函數(shù)a(st-1,hj)是用于描述j位置附近的輸入與t位置處的輸出之間的匹配能力，權(quán)重通過使用LSTM隱藏狀態(tài)st-1和輸入語句的第j個單詞的注釋hj來計算。神經(jīng)網(wǎng)絡(luò)中的注意力機制旨在通過評估權(quán)重αtj選擇輸入中的重要輸入序列(x1,x2,…,xTx)，使得神經(jīng)網(wǎng)絡(luò)有能力專注于序列子集的輸入，即它總是選擇重要的輸入。注意力機制模型如圖2所示。

圖2 注意力機制模型

2.2.2 基于注意力機制的雙向LSTM結(jié)構(gòu)

長短期記憶網(wǎng)絡(luò)(LSTM)是RNN的最常見形式之一，旨在避免RNN等長期依賴問題，并且適合全局化處理和預(yù)測時序數(shù)據(jù)，但傳統(tǒng)LSTM的明顯缺點是它們僅利用先前的(單方面)信息對輸出進行價值評估。在DDoS攻擊檢測過程中，不僅需要關(guān)注相鄰數(shù)據(jù)流，還需要關(guān)注長距離流，以確定當(dāng)前數(shù)據(jù)流是合法流量還是攻擊流量。雙向LSTM網(wǎng)絡(luò)通過前后向時間步長獲得信息，同時注意機制接受注釋以提取對攻擊檢測很重要的數(shù)據(jù)包所包含的細(xì)微特征，同時聚合并判斷這些信息對結(jié)果的貢獻度，形成注意力分布向量?；谧⒁饬C制的BiLSTM結(jié)構(gòu)如圖3所示。

圖3 基于注意力機制的BiLSTM結(jié)構(gòu)

BiLSTM由2個并行運行的LSTM組成：一個按順時針方向處理數(shù)據(jù)方向即x1到xt，而另一個設(shè)置為逆時針方向即xt到x1。在每個時間步長，BiLSTM的隱藏狀態(tài)是向前和向后隱藏狀態(tài)的串聯(lián)，此設(shè)置允許隱藏狀態(tài)以捕獲過去和將來的信息，公式如下

(6)

(7)

(8)

基本的LSTM由一個存儲器組成的單元，一個輸入激活功能和3個門(輸入門it，忘記門ft，輸出門ot)。LSTM網(wǎng)絡(luò)在每個單個時間步生成兩個狀態(tài)：一個單元狀態(tài)轉(zhuǎn)移到下一個時間步和隱藏狀態(tài)時間步的輸出向量。

ht-1和ct-1是隱藏狀態(tài)和單元狀態(tài)上一個時間步t-1，ht和ct分別是隱藏狀態(tài)和當(dāng)前時間步t的單元狀態(tài)，定義如下

ft=σ(Wf·[ht-1,xt]+bf)

(9)

it=σ(Wi·[ht-1,xt]+bi)

(10)

ct=ft°ct-1+it°[tanh(Wc·[ht-1,xt]+bc)]

(11)

ot=σ(Wo·[ht-1,xt]+bo)

(12)

ht=ot°tanh(ct)

(13)

權(quán)重(Wf，Wi，Wc和Wo)和偏差(bf，bi，bc和bo)都是可訓(xùn)練的參數(shù)。最后時間步長的隱藏狀態(tài)ht是整個LSTM網(wǎng)絡(luò)的輸出。

在雙向LSTM網(wǎng)絡(luò)中，聯(lián)合嵌入序列(前向)和對應(yīng)的反向嵌入序列(后向)分別輸入兩個LSTM，最終雙向LSTM的輸出為hn，之后根據(jù)公式計算其對應(yīng)的注意力權(quán)重，并對所有的隱藏向量進行加權(quán)求和得出其最終編碼向量c，然后將所得值傳入全連接層特征轉(zhuǎn)換后，傳入最后softmax函數(shù)的輸出層計算輸出向量。該模型偽代碼如下所示。

算法1：基于注意力機制的BiLSTM算法

輸入：數(shù)據(jù)流樣本F={P(1),P(2),…P(i),…,P(N)|1≤i≤N}

輸出：樣本分類結(jié)果S

(1) For P(i)in F:

(5) End for

(7)S=softmax(fullyconnect(c))

3 實驗與分析

3.1 實驗數(shù)據(jù)集

本文在CAIDA-2007[14]數(shù)據(jù)集上評估了所提出的框架。此數(shù)據(jù)集包含2007年8月4日DDoS攻擊大約一小時的匿名流量跟蹤，包含UDP Flood、TCP Flood、ICMP(Ping)Flood和SYN Flood數(shù)據(jù)包。數(shù)據(jù)集中的每個數(shù)據(jù)包包含源IP地址、目的IP地址、數(shù)據(jù)包長度、協(xié)議和數(shù)據(jù)包到達時間。數(shù)據(jù)集包括213 066條網(wǎng)絡(luò)流量，其中正常流量有94 164條，攻擊流量118 902條。將總流量數(shù)據(jù)集分成60%(127 839)和40%(85 227)進行訓(xùn)練和測試。

3.2 實驗細(xì)節(jié)

3.2.1 數(shù)據(jù)預(yù)處理

根據(jù)領(lǐng)域知識，本文使用CICFlowMeter流量提取器[15]，對CAIDA-2007訓(xùn)練集提取[Por_inc_rate，Pac_tim_inte，Pac_size_rate，F(xiàn)low_dur]特征四元組。由于CAIDA-2007數(shù)據(jù)集屬于原始的、未經(jīng)處理的pcap格式流量集合，該格式無法輸入神經(jīng)網(wǎng)絡(luò)進行訓(xùn)練，因此本文將原數(shù)據(jù)以數(shù)據(jù)流、數(shù)據(jù)包、數(shù)據(jù)包字節(jié)三級結(jié)構(gòu)轉(zhuǎn)換為神經(jīng)網(wǎng)絡(luò)數(shù)據(jù)輸入格式，通過源地址、目的地址、傳輸層協(xié)議、源端口四元組來唯一標(biāo)記一條數(shù)據(jù)流，即這兩個ip地址間相同協(xié)議，相同源端口所進行的會話視為同一條數(shù)據(jù)流。使用SplitCap工具按上述四元組將每條數(shù)據(jù)流樣本分割為時間順序不變的數(shù)據(jù)包M，每個數(shù)據(jù)包里的字節(jié)數(shù)為N。即每條數(shù)據(jù)流表示為N*M矩陣格式。由于N，M有所不同，采用padding補全或切斷數(shù)據(jù)包字節(jié)數(shù)和數(shù)據(jù)包個數(shù)使得數(shù)據(jù)流滿足模型數(shù)據(jù)輸入格式。數(shù)據(jù)流格式如圖4所示。

圖4 數(shù)據(jù)流格式

將數(shù)據(jù)流切分后的DDoS數(shù)據(jù)集和根據(jù)領(lǐng)域知識提取的特征四元組進行向量拼接及維度重構(gòu)，構(gòu)成(N+4)*M矩陣格式作為神經(jīng)網(wǎng)絡(luò)輸入格式。由于數(shù)據(jù)包里有二進制字符串組成，將每個字節(jié)轉(zhuǎn)換為取值范圍[0，255]的十進制數(shù)，將協(xié)議類型布爾型轉(zhuǎn)換為二進制數(shù)。同時，將數(shù)據(jù)轉(zhuǎn)換后的十進制數(shù)進行取值為[0-1]的歸一化處理，經(jīng)過處理后的數(shù)據(jù)格式可以提高模型收斂速度。

為了確定最佳數(shù)據(jù)包數(shù)M和字節(jié)數(shù)N，分別對數(shù)據(jù)包數(shù)N取100，300，500，M取500，1000，1500進行實驗。

3.2.2 實驗過程

BiLSTM模型設(shè)置中，LSTM內(nèi)部神經(jīng)元個數(shù)為100，全連接層神經(jīng)元個數(shù)為128。為了克服過度擬合的問題，本文使用在模型訓(xùn)練中采用dropout技術(shù)，其丟棄率值為0.5；使用Adam優(yōu)化算法來調(diào)整學(xué)習(xí)率，初始學(xué)習(xí)率為0.001；訓(xùn)練過程中使用CAIDA-2007數(shù)據(jù)集進行十折交叉驗證，批量大小設(shè)置為100，epochs設(shè)置為30，其它超參數(shù)設(shè)定采用默認(rèn)值。

本文硬件實驗環(huán)境參數(shù)如下：Intel Xeon E5-2678 V3 2.50 GHz 2，NVIDIA Tesla K40c GPU 2，128 gb RAM, 120 gb SSD。所有實驗均TensorFlow編寫，并使用GPU進行訓(xùn)練、測試。

為了選取最佳的流量矩陣表示格式，選取N=[500,1000,1500]，M=[100,300,500]進行排列組合構(gòu)成9種可能，將其輸入已確定參數(shù)的Att-Bilstm模型中，最終不同格式數(shù)據(jù)流分類準(zhǔn)確率如圖5所示。

圖5 不同格式數(shù)據(jù)流分類準(zhǔn)確率

從圖中可以看出，當(dāng)M=500，N=1000時，模型性能表現(xiàn)最好，準(zhǔn)確率最高。隨著數(shù)據(jù)流需劃分?jǐn)?shù)據(jù)包個數(shù)M的減少，準(zhǔn)確率同比下降9.1%～27.9%，因為對于DDoS攻擊檢測數(shù)據(jù)流的時序要求，每條數(shù)據(jù)流樣本處理時保留多的數(shù)據(jù)包個數(shù)有助于訓(xùn)練序列數(shù)據(jù)間時序特征；由于DDoS攻擊中產(chǎn)生大量內(nèi)容、字節(jié)大致相同的攻擊流，而數(shù)據(jù)包所包含的類別表征信息集中于前幾個數(shù)據(jù)字節(jié)數(shù)，而數(shù)據(jù)包具體內(nèi)容信息集中于后幾個字節(jié)數(shù)，因此字節(jié)數(shù)設(shè)定為1000可以獲得較高準(zhǔn)確率。通過以上實驗分析，N=500，M=1000是最佳數(shù)據(jù)流矩陣格式。

數(shù)據(jù)流切分設(shè)置階段，以每條數(shù)據(jù)流[500,1000]的矩陣格式劃分，同時將預(yù)處理后的DDoS數(shù)據(jù)格式和根據(jù)領(lǐng)域知識提取的四元組特征進行向量拼接及維度重構(gòu)，構(gòu)成[500，1004]矩陣的數(shù)據(jù)輸入格式。

3.3 評價標(biāo)準(zhǔn)

本實驗采用準(zhǔn)確性，召回率和F量度作為評價標(biāo)準(zhǔn)。其中TP代表真陽性數(shù)，F(xiàn)P代表假陽性數(shù)，F(xiàn)N代表假陰性數(shù)。精度由以下定義確定：所有元素中正確分類為肯定的元素歸類所占比例，而召回率則定義為正確分類為正數(shù)的元素所占的比例

3.4 結(jié)果與分析

3.4.1 深度學(xué)習(xí)檢測結(jié)果

為了更直觀展示本文方法Att-BiLSTM的性能，與諸如RNN(循環(huán)神經(jīng)網(wǎng)絡(luò))、LSTM(長短期記憶網(wǎng)絡(luò))、BiLSTM(雙向長短期記憶網(wǎng)絡(luò))和Att-BiRNN進行對比實驗。不同深度學(xué)習(xí)結(jié)果見表2。

表2 不同深度學(xué)習(xí)效果對比

實驗結(jié)果可以看出，Att-BiLSTM模型在處理DDoS攻擊檢測分類時有很好的效果。與RNN、LSTM模型相比，BiLSTM模型中的記憶單元不僅有效記錄數(shù)據(jù)流中的數(shù)據(jù)信息，而且加強模型對時序序列數(shù)據(jù)的雙向?qū)W習(xí)能力，從而模型達到相對較好的結(jié)果。與BiLSTM、Att-BRNN模型相比，本文模型F度量增加了0.4%～1.2%，表明Att-BiLSTM既避免了BiRNN對遠端序列的長期依賴問題，同時注意力機制的加入將數(shù)據(jù)包對分類結(jié)果所產(chǎn)生的不同的貢獻度生成注意力權(quán)重，模型的效果進一步提升。

同時，結(jié)果表明加入根據(jù)領(lǐng)域知識所提取的四元組特征向量與未加入相比，模型的準(zhǔn)確率提升0.5%，因此根據(jù)領(lǐng)域知識提取明顯流量特征對最終分類效果有積極影響。

3.4.2 現(xiàn)有方法對比實驗

本文的DDoS攻擊檢測結(jié)果與基于統(tǒng)計學(xué)習(xí)，機器學(xué)習(xí)以及其它深度學(xué)習(xí)進行檢測方法的結(jié)果對比見表3。

表3 現(xiàn)有方法效果對比

從表中可以得到，本文基于注意力機制的BiLSTM模型準(zhǔn)確率可達98.9%。同時本文選擇的對比方法文獻[16]、文獻[17]、文獻[21]均需要人工設(shè)計流量特征，并且在模型訓(xùn)練之前完成流量特征的提取和選擇，之后通過淺層學(xué)習(xí)實施模型的訓(xùn)練和測試，但該方法無法充分挖掘數(shù)據(jù)流的前后序列。文獻[19]使用靜態(tài)和動態(tài)閾值方法來分別執(zhí)行已知DDoS攻擊與未知DDoS攻擊檢測，檢測準(zhǔn)確率高達99.95%，但是閾值的確定需要遞增地更新正常流量的統(tǒng)計信息，同時還需專業(yè)的研究知識來自定義初始閾值，這樣會使得預(yù)處理任務(wù)變得更加復(fù)雜，比本文提出的框架增加了更多訓(xùn)練時間和計算成本。本章提出深度學(xué)習(xí)加入注意力機制模塊，根據(jù)BilSTM得出數(shù)據(jù)包對應(yīng)權(quán)重向量，然后通過權(quán)衡時序序列的前后關(guān)系得出對最終結(jié)果有重要影響的向量表示。實驗結(jié)果表明，加入注意力機制比使用傳統(tǒng)淺層機器學(xué)習(xí)，神經(jīng)網(wǎng)絡(luò)取得更好的分類效果。

3.4.3 數(shù)據(jù)集對比實驗

為了驗證本文所提出模型的泛化能力，基于DARPA[17]、ISCX[9]、TU-DDoS[21]、CAIDA這4個常用DDoS公開數(shù)據(jù)集進行實驗，數(shù)據(jù)集對比實驗結(jié)果如圖6所示。

圖6 數(shù)據(jù)集對比實驗結(jié)果

實驗結(jié)果表明，該方法在公開的流量數(shù)據(jù)集上取得了良好效果，DARPA、CAIDA、TU-DdoS這3個數(shù)據(jù)集準(zhǔn)確率最高可達98.5%以上，ISCX數(shù)據(jù)集的檢測率略低，達96.5%?；诳傮w評價指標(biāo)方面，總體精度可達98.3%，由以上折線圖分析可知，本文提出的基于注意力機制的雙向LSTM的DDoS攻擊流量分類方法取得了良好的分類效果，驗證了該方法的有效性。

4 結(jié)束語

本文提出了一種基于注意力機制的雙向LSTM的DDoS攻擊檢測方法。該模型使用雙向LSTM考慮雙向框架對所有攻擊流量的時間相關(guān)性分析并使用注意機制以便自適應(yīng)地注意那些具有對檢測結(jié)果判斷的重大影響，有效利用了Att-BiLSTM優(yōu)秀的時序特征學(xué)習(xí)能力。其次，本文引入DDoS攻擊領(lǐng)域知識，通過對多種攻擊類別分析提取出特征元組，在CAIDA-2007數(shù)據(jù)集上的實驗結(jié)果表明，該元組使得模型檢測準(zhǔn)確率提高0.5%。另外通過與其它現(xiàn)有研究方法進行對比，基于注意力機制的BiLSTM在取得較高的精度和檢測率的同時，保持了較低的誤警率，比其它公開的攻擊檢測方法具有更好的綜合檢測效果，驗證了本文提出的方法在特征學(xué)習(xí)和降低誤警率等兩方面的有效性。