基于灰色预测模型检测分布式拒绝服务网络攻击的方法与流程

本发明属于计算机网络安全领域，特别涉及一种检测分布式拒绝服务网络攻击的方法，可用于资源、能源有限下的异常检测网络中。

背景技术：

网络背景辐射流量IBR，是互联网上未经请求的单向流量，也是一种未授权流量。对于IBR流量的研究有助于掌控其成因和特性，可以为网络安全相关工作提供技术支持和保障。利用这种流量可以发起多种分布式拒绝服务网络攻击DDoS，而DDoS攻击仍然是现在最主要的网络攻击方式，所以对于未授权流量的研究也就更有意义和价值。现有的DDoS攻击检测主要是在普通网络流量下的检测，并没有专门针对IBR流量的检测，而且现有的DDoS检测方法主要是报文频率是否正常、网络流量的特征是否正常，但是这都需要根据大量的网络流量分析数据，所需要的资源、能源是非常大的，针对现在物联网中某些节点所使用的设备是不现实的，由于这些设备的资源、能源有限。Feitosa E,Souto E,Sadok D H，Dainotti A Amman R Aben E等人对IBR流量进行了深入的研究，研究发现DDoS大多是在IBR流量中发现的。但是现有的针对IBR流量的研究主要涉及的是基于暗网的IBR流量的测量、特征的分析、在DDoS攻击中的应用。而对于现实中的运行网络的研究较少。相对于暗网、灰空间来说运行网络具有更高的研究价值，暗网、灰空间所获取的是单纯的IBR流量。更需要在现实使用的运行网络中提取IBR流量，但是由于数据量的与日俱增，无法实现实时提取IBR流量并检测DDoS攻击，这就需要一种高效实时的IBR流量识别和DDoS攻击检测机制。

技术实现要素：

本发明的目的在于针对上述现有技术存在的缺陷，提出一种基于一阶单变量灰色模型检测分布式拒绝服务网络攻击的方法，以在资源和能源有限的环境下，提高检测攻击的速度。

为实现上述目的，本发明技术方案包括如下：

(1)获取运行网络的网络流量，并提取网络流量的特征值；

(2)根据所得到的运行网络流量的特征值建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型：

其中，是所要建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型，l＝1,2,3,…，表示序列的第l个值，为原始网络流量的特征值序列的第一个值，m＝1，表示建立的是正常的网络背景辐射流量的模型，m＝2表示建立的是分布式拒绝服务DDoS攻击流量的模型，a为发展系数，b为灰色作用量；

(3)根据(2)所建立一阶单变量灰色模型，得到待测运行网络流量经过两种一阶单变量灰色模型后所得的值，简记为灰色值，并分别计算两个灰色值与初始值之间的差值，将差值小的灰色值所对应的模型判定为待测运行网络流量所对应的模型；

(4)根据(1)所得到的运行网络流量的特征值，建立网络背景辐射流量的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型:

其中，是所要建立的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型，l＝1,2,3,…，表示序列的第l个值，为原始网络流量的特征值序列的第一个值，n＝1，表示建立的是正常的网络背景辐射流量的模型，n＝2，表示建立的是分布式拒绝服务DDoS攻击流量的模型，a为发展系数，b为灰色作用量；

(5)根据(4)所建立一阶单变量灰色模型，得到待测网络背景辐射流量经过两种一阶单变量灰色模型后所得的灰色值，并分别计算两种灰色值与初始值之间的差值，将差值小的灰色值所对应的模型判定为待测网络背景辐射流量所对应的模型；

(6)根据(5)得到待测网络背景辐射流量所对应的模型，判断待测的网络背景辐射流量所在的网络中是否存在分布式拒绝服务DDoS攻击：

若待测的网络辐射背景流量所对应的模型为分布式拒绝服务DDoS攻击的一阶单变量灰色模型，则该待测网络辐射背景流量为分布式拒绝服务DDoS攻击流量，判为网络中存在分布式拒绝服务DDoS攻击；

若待测的网络辐射背景流量所对应的模型为正常网络背景辐射流量的一阶单变量灰色模型，则待测网络辐射背景流量为正常流量，判为网络中不存在分布式拒绝服务DDoS攻击。

本发明与现有技术相比，具有如下优点：

第一，本发明通过一阶单变量灰色模型建模的方法检测分布式拒绝服务DDoS攻击，由于一阶单变量灰色模型建模过程简单、数据量需求小、计算量小、计算速度快，所以可以更快的检测出网络中存在的分布式拒绝服务DDoS攻击，提高了检测攻击的速度；

第二，本发明采用的一阶单变量灰色模型，因为其对能源和资源的需求少，所以相比于其它的分布式拒绝服务DDoS攻击检测方法更适用于能源和资源有限的网络设备。

附图说明

图1为本发明的实现总流程图；

图2为本发明中的网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型的建立流程；

图3为本发明中的网络扶着背景流量的正常流量和分布式拒绝服务DDoS攻击的一阶单变量灰色模型的建立流程。

具体实施方式

下面结合附图，对本发明作进一步的详细说明。

参照图1，本发明的实现步骤如下：

步骤1，获取运行网络的网络流量，并提取网络流量的特征值。

1a)获取运行网络的网络流量，在网络节点通过流量采集获取运行网络流量；

1b)提取网络流量的特征值，即通过分别统计单位时间1秒内通过网络的网络背景辐射流量、非网络背景辐射流量、网络背景辐射流量中的分布式拒绝服务DDoS流量以及待测的网络流量中包含的数据包的数目，将这些数据包的数目作为提取的网络流量的特征值。

步骤2，根据所得到的运行网络流量的特征值建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型。

参照图2，本步骤的具体实现：

2a)根据提取的网络流量的特征值，得到网络流量的初始特征值序列

其中，f_m⁽⁰⁾(l)为网络流量的初始特征值序列的第l个分量，L为建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型的数据量，m＝1，表示建立的是网络背景辐射流量的模型，m＝2表示建立的是非网络背景辐射流量的模型；

2b)计算的一阶累加序列为：

其中，为的第l个分量；

2c)计算一阶累加序列的紧邻均值生成序列Z⁽¹⁾：

Z⁽¹⁾＝(z⁽¹⁾(1),z⁽¹⁾(2),...,z⁽¹⁾(l),...,z⁽¹⁾(L))，

其中，为紧邻均值生成序列Z⁽¹⁾的第l个分量；

2d)构建一阶单变量灰色模型的灰色微分方程为：

其中，a为发展系数，b为灰色作用量；

2e)求解3d)中灰色微分方程的系数矩阵：得到a和b的解，其中：

为用Z⁽¹⁾的分量构成的矩阵，为用的分量构成的矩阵；

2f)根据得到2e)的a和b的解，得到2d)中灰色微分方程的解为：

其中，为网络流量的初始特征值序列的第二个值；

2g)根据2f)得到的微分方程的解，通过计算建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型：

步骤3，根据步骤2所建立的灰色模型，计算l＝L-1时，网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型所得的灰色值。

步骤4，分别计算两种灰色值与运行网络流量的特征值初始值之间的差值。

4a)计算运行网络流量经过网络背景辐射流量的一阶单变量灰色模型所得的灰色值与初始运行网络流量的特征值的差

4b)计算运行网络流量经过非网络背景辐射流量的一阶单变量灰色模型所得的灰色值与初始运行网络流量的特征值的差

步骤5，根据步骤4将差值小的灰色值所对应的模型判定为待测运行网络流量所对应的模型：

若待测的运行网络流量所对应的模型为网络背景辐射流量的一阶单变量灰色模型，则该待测网络辐射背景流量为网络背景辐射流量；

若待测的运行网络流量所对应的模型为非网络背景辐射流量的一阶单变量灰色模型，则该待测网络辐射背景流量为非网络背景辐射流量。

步骤6，建立网络背景辐射流量的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型。

参照图3，本步骤的具体实现：

6a)根据提取的网络流量的特征值，得到网络流量初始特征值序列

其中，为网络流量的初始特征值序列的第l个分量，L为建立网络背景辐射流量的正常流量与分布式拒绝服务DDoS攻击流量的数据量，n＝1，表示建立的是网络背景辐射流量的模型，n＝2表示建立的是非网络背景辐射流量的模型；

6b)计算的一阶累加序列为：

其中，为一阶累加序列的第l个分量；

6c)计算一阶累加序列的紧邻均值生成序列Z⁽¹⁾：

Z⁽¹⁾＝(z⁽¹⁾(1),z⁽¹⁾(2),...,z⁽¹⁾(l),...,z⁽¹⁾(L))，

其中，为紧邻均值生成序列Z⁽¹⁾的第l个分量；

6d)构建网络背景辐射流量的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型的灰色微分方程为：

其中，a为发展系数，b为灰色作用量；

6e)求解6d)灰色微分方程的系数矩阵：得到a和b的解，其中：

为用Z⁽¹⁾的分量构成的矩阵，为用的分量构成的矩阵；

6f)根据得到6e)的a和b的解，可以得到6d)中灰色微分方程的解为：

其中，为用来建模的网络流量的初始特征值序列的第二个值；

6g)根据6f)得到的微分方程的解，通过计算建立网络背景辐射正常流量和分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型：

步骤7，根据步骤6，当l＝L-1时，得到待测运行网络流量经过正常流量与分布式拒绝服务DDoS攻击流量一阶单变量灰色模型后所得的灰色值。

步骤8，判定待测运行网络流量所对应的模型。

8a)计算待测网络背景辐射流量经过正常网络背景辐射流量的一阶单变量灰色模型所得的灰色值与初始待测网络背景辐射流量的特征值的差

8b)计算待测网络背景辐射流量经过分布式拒绝服务DDoS攻击的一阶单变量灰色模型所得的灰色值与初始待测网络背景辐射流量的特征值的差

8c)根据步骤8a)和8b)，将差值小的灰色值所对应的模型判定为待测网络背景辐射流量所对应的模型。

步骤9，根据步骤8得到待测网络背景辐射流量所对应的模型，判断待测的网络背景辐射流量所在的网络中是否存在分布式拒绝服务DDoS攻击：

若待测的网络辐射背景流量所对应的模型为分布式拒绝服务DDoS攻击的一阶单变量灰色模型，则该待测网络辐射背景流量为分布式拒绝服务DDoS攻击流量，说明网络中存在分布式拒绝服务DDoS攻击；

若待测的网络辐射背景流量所对应的模型为正常网络背景辐射流量的一阶单变量灰色模型，则待测网络辐射背景流量为正常流量，说明网络中不存在分布式拒绝服务DDoS攻击。

以上描述的仅是本发明的一个具体实例，不构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解本发明内容和原理后。都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。