基于两步自调节支持向量机的LDoS攻击检测方法

基于两步自调节支持向量机的ldos攻击检测方法
技术领域
1.本发明属于计算机网络安全领域，具体涉及一种基于两步自调节支持向量机的ldos攻击检测方法。


背景技术：

2.拒绝服务(dos)攻击包括了任何通过合法的方式使服务器不能向合法的用户提供服务的手段，dos攻击至今一直严重危害着网络的安全。而如今出现了一种dos攻击的变种，慢速拒绝服务(ldos)攻击，它周期性地发送时间短、强度大的脉冲，对网络协议下的一些机制进行破坏，具有不亚于dos攻击的破坏性，同时具有强隐蔽性和低能耗性。
3.ldos攻击隐蔽性强的特点使其很难被传统的攻击检测方法检测到，现有的一些ldos攻击检测方法存在检测率低、泛化能力不够等问题。
4.支持向量机算法能通过核方法解决非线性问题，因此被用于复杂网络中的ldos攻击检测；但基于支持向量机算法的ldos攻击检测方法存在对样本数据过度依赖与易受噪音影响的缺陷，导致其泛化能力不足，影响最终的检测效果。


技术实现要素：

5.本发明针对当前ldos攻击检测方法存在的检测率低、泛化能力不足的缺点，提出了一种基于两步自调节支持向量机的ldos攻击检测方法。该方法针对模型构建中出现的不足，提出了两种自调节方式；并结合二者对支持向量机算法进行改良，以达到提升泛化能力的目的；第一种自调节方式是通过控制算法中样本数据向高维映射的极限，调节参数gamma，从而避免检测模型对于样本数据过拟合；第二种自调节方式是通过最优程度上忽略样本数据中的异常点，调节参数c，减小检测模型受噪音影响。具体地，通过自适应粒子群算法实现了两种自调节方式下对两种参数的调节。
6.本发明针对当前ldos攻击检测方法存在的检测率低、泛化能力不足的缺点，提出了一种基于两步自调节支持向量机的ldos攻击检测方法。该方法采用改良后的支持向量机算法检测数据，将链路上一段连续的时间序列内的若干单位时间的总流量数据进行分离子数据流后，进行处理并提取特征值，得到一组用于检测的数据项，每条数据项依次输入本算法确定的检测模型中，得到一系列的检测结果，判定该段时间内是否发生ldos攻击，并计算评价指标。该方法采用两种自调节方式改进了支持向量机模型易于对样本过拟合、易受噪音影响的缺陷，使其能够充分学习样本数据的特征，提升泛化能力；而且该检测方法对ldos攻击检测的一系列评价指标均较高。
7.本发明为实现上述目标所采用的技术方案为：由于提出的两种调节方式都需要调整参数至最佳状态，并且参数可选值范围庞大，因此使用适合大范围的搜索的自适应粒子群算法进行参数调整是一种可行的方案；在训练过程中，将需要调节的参数视作粒子的坐标，期望的调整后参数为需要搜索的目标位置；选取对训练样本的k折交叉验证正确率作为适应度函数用于评判粒子当前坐标与目标位置之间的远近，在算法迭代结束后获得自调节
方式下对应的期望参数，接着将该参数应用于支持向量机算法，输入训练数据进行训练，得到检测模型。该 ldos攻击检测模型的训练主要包括以下四个步骤：粒子群初始化、粒子位置移动及最优值更新、全局状态评估及局部最优判断、确定目标位置。
8.1.粒子群初始化。初始化粒子群，粒子群的种群大小p、每一个粒子的坐标向量x
i
(i＝1,2,3,
……
,p)与速度向量v
i
(i＝1,2,3,
……
,p)，以及个体加速度c1、社会加速度c2、惯性参数ω；坐标向量为2维，对应了两个需要调节的参数。同时计算每一个粒子的初始适应度值，更新每一个粒子的个体历史最优坐标pbest
i
与全局的历史最优坐标gbest，并记录个体的最优适应度值fitnesspbest
i
与全局的最优适应度值fitnessgbest。
9.2.粒子位置移动及最优值更新。在每一次的迭代中，根据以下公式更新每一个粒子的坐标向量与速度向量，其中r1、r2为[0,1]区间内均匀分布的随机数，上角标代表着粒子i在第t次迭代中的速度与坐标向量。着粒子i在第t次迭代中的速度与坐标向量。
[0010]
3.全局状态评估及局部最优判断。根据以下公式计算每一个粒子到其他粒子的平均距离d
i
，接着根据公式计算d
g
(g代表离目标位置最近的粒子的下标) 的离差归一化值f。根据f的值，判断当前的全局状态，根据不同的全局状态，自适应的调节c1、c2和ω的值，从而表现出不同的搜索模式。如果当前的全局状态为接近收敛，那么此时对最优坐标产生轻微扰动得到新的坐标，评判该坐标是否离目标位置更近，如果是则跳出局部最优。f＝(d
g
‑
d
min
)/(d
max
‑
d
min
)∈[0,1]
[0011]
4.确定目标位置。重复上述步骤，在迭代次数达到后，此时的全局历史最优坐标向量即对应了期望的调整后的参数，将该参数应用于支持向量机算法，并输入训练数据进行训练，得到检测模型。
[0012]
该ldos攻击检测方法包括以下四个步骤：采样数据、处理数据、检测数据、判定检测。
[0013]
1.采样数据。对链路上的总流量进行采样，得到多个单位时间的流量数据；
[0014]
2.处理数据。采用离散小波变换，分离出子攻击数据流与子背景数据流，对子数据流采取滑动窗口处理，求取两个子数据流各自的均值与子攻击数据流的攻击强度，最后将提取数据进行归一化处理，避免数据间不同量级而产生的影响，得到当前窗口内的特征向量作为一条用于检测的数据项，当窗口无法向前滑动时，获得了一组用于检测的数据项；
[0015]
3.检测数据。采用基于两步自调节的支持向量机算法构建的检测模型检测，将步骤2得到的一组数据项依次输入检测模型，得到一系列对应的检测结果；
[0016]
4.判定检测。根据输出的一系列检测结果，判定在该段时间内每个窗口内是否发生ldos攻击，并计算评价指标。有益效果
[0017]
该ldos攻击检测方法采用两步自调节方式改进了支持向量机算法易于造成过拟
合、易受噪音影响的缺陷，使其泛化能力提升；而且该检测方法对ldos 攻击检测的一系列评价指标均较好。
附图说明
[0018]
图1为采样和处理数据的流程图。采样得到一段时间序列内的多个单位时间的流量数据，并进行提取特征用于检测。
[0019]
图2为基于两步自调节的支持向量机算法训练检测模型的流程图。支持向量机算法通过两步自调节方式进行了改良，调节过程表现在支持向量机算法参数的调整上，通过自适应粒子群算法进行实现，使用对样本的k折交叉验证率作为适应度值，使用该方式得到的参数能使检测模型具有更好的检测效果。
[0020]
图3为采用基于两步自调节支持向量机的ldos攻击检测的流程图。
具体实施方式
[0021]
下面结合附图对本发明进一步说明。
[0022]
图2为基于两步自调节的支持向量机算法得到检测模型的期望参数的流程图。本方法中的参数的自调节实现具体地由自适应粒子群算法完成，将需要调节的参数视作粒子的坐标向量，所期望的参数为需要搜索的目标位置向量；选取对训练样本的k折交叉验证正确率作为适应度函数用于评判粒子当前坐标与目标位置之间的远近，在每一次的迭代过程中，粒子根据当前全局的状态规定的搜索模式进行不同范围的搜索，并计算当前位置对应适应度值，选取全局的历史最优粒子与每个粒子个体的历史最优位置，在算法迭代结束后全局最优粒子对应的位置向量的两个分量的值即是自调节方式下对应的两个期望的参数，使用该参数应用于支持向量机算法，并输入训练数据进行训练得到检测模型。
[0023]
如图3所示，该检测方法主要包括以下四个步骤：采样数据、处理数据、检测数据和判定检测。
[0024]
图1为采样和处理数据的流程图。采样得到一段时间序列内的多个单位时间的流量数据，使用离散小波变换分离两个子数据流，包括子背景数据流与子攻击数据流，对子数据流采用滑动窗口处理，窗口每次停留时计算当前窗口内数据的特征值，并进行离差归一化后得到对应窗口的特征向量，当窗口扫过整个时间序列到最尾端的数据后停止滑动，最终得到一系列窗口的特征向量数据作为一组用于检测的数据项。