一种基于云模型的低速拒绝服务攻击检测方法与流程

本发明涉及计算机网络安全领域，具体涉及一种基于云模型的低速拒绝服务攻击检测方法。

背景技术：

低速拒绝服务攻击是拒绝服务攻击的变种之一，其主要利用tcp/ip拥塞控制机制，通过周期性地向目标用户发送高速率的短脉冲攻击流，造成网络处于虚假拥塞状态，服务质量严重降低。这种新型的拒绝服务攻击平均速率低，具有很好的隐蔽性，传统的拒绝服务攻击检测方法难以起效。

现有的低速拒绝服务攻击检测方法根据检测对象分为两类：基于路由器队列分析的低速拒绝服务攻击检测方法和基于网络流量分析的低速拒绝服务攻击检测方法。前者主要通过改进现有的主动队列管理机制，丢弃符合设定攻击特征的数据流的数据包或重新分配带宽，进而保护tcp数据流，抑制攻击流，其主要存在的问题在于难以部署，实施成本高。后者大多通过信号处理理论来分析网络流量数据，在时/频域对样本序列进行统计分析，进而对得到的异于正常流量的特征加以区分，但网络流量的不确定性会影响检测性能。本发明针对现有检测算法因网络流量不确定性导致的检测性能降低问题，提出了一种基于云模型的低速拒绝服务攻击检测方法。使用模糊理论中的云模型理论分析网络瓶颈链路中tcp流量的特征参数，避免了传统定量描述和小样本带来的误差，以此为依据描述在单位检测窗口tcp流量数据的分布状态，进而构建攻击检测分类器。相比现有算法，本方法所需样本数少且误报率和漏报率低。

技术实现要素：

本发明针对现有检测算法中网络流量不确定性而导致的检测性能降低的问题，基于云模型理论，提出了一种基于云模型的低速拒绝服务攻击检测方法。首先使用能避免网络流量不确定性带来建模误差的云模型理论对网络流量进行分析，经逆向云生成算法分析瓶颈链路中tcp流量得出数值特征，分析低速拒绝服务攻击下三种数值特征的变化，再使用具有“小样本”学习能力的支持向量机建立攻击检测分类器，以攻击检测分类器的输出为依据判断是否发生低速拒绝服务攻击。与现有检测方案相比，该方法所需样本数少且具有更低的误报率和漏报率。

本发明实现上述目标所采用的技术方案为：基于云模型的低速拒绝服务攻击检测方法主要包括四个步骤：样本采集、特征提取、构建攻击检测分类器和判定检测。

步骤1、样本采集：在瓶颈链路中设置数据采样点，以固定取样间隔获取单位时间长度内的tcp流量数据，形成数据流量样本x＝(x1,x2,x3,...,xn)。

步骤2、特征提取：使用云模型理论中逆向云生成算法分析步骤1中获取到的数据流量样本x＝(x1,x2,x3,...,xn)，使用云模型理论获取数据流量样本的期望ex、熵en、超熵he，并将其组成该单位时间内的数据流量样本的数值特征组c(ex,en,he)，以此作为攻击检测分类器的输入。

在提取数值特征组c(ex,en,he)时，使用逆向云生成算法，具体计算方式如下所示：

其中，n为单位时间内数据流量样本的数量，s²为单位时间内数据流量样本的方差。

步骤3、构建攻击检测分类器：使用已知是否存在攻击的数值特征组样本训练支持向量机获得分类超平面，得到攻击检测分类器。具体步骤分为：(1)、当数值特征组c(ex,en,he)在原始的特征空间线性可分时，求解能准确区分已知是否存在攻击样本中的无攻击样本和有攻击样本且距离两类样本中的支持向量间隔最大的平面即最优分类超平面并构建攻击检测分类器。(2)、当数值特征组c(ex,en,he)在原始的特征空间不是线性可分时，将数值特征组c(ex,en,he)映射到高维线性可分空间中，再使用步骤(1)，重新构造最优分类超平面。

在将数值特征组c(ex,en,he)从原始特征空间映射到高维线性可分空间中时，使用高斯核函数来完成映射，高斯核函数如下所示：

步骤4、判定检测：将待检测的数值特征组样本输入攻击检测分类器，根据输出结果判定该单位时间内网络中是否发生低速拒绝服务攻击。具体判断准则为：若分类标签为正，则判定对应的单位时间内发生低速拒绝服务攻击；若分类标签为负，则判定对应的单位时间内未发生低速拒绝服务攻击。

有益效果

本发明提出的低速拒绝服务攻击检测方法，能克服网络流量不确定性带来的检测性能下降的问题。本方法相较于传统的检测算法，所需样本数少，同时在检测准确度上表现更好，有更低的误报率和漏报率。

附图说明

图1为三种网络状态(无攻击、其他攻击、低速拒绝服务攻击)下tcp流量数据的云模型形态对比图。

图2为三种网络状态下tcp流量数据的云模型数值特征期望对比图。

图3为三种网络状态下tcp流量数据的云模型数值特征熵对比图。

图4为三种网络状态下tcp流量数据的云模型数值特征超熵对比图。

图5为一种基于云模型的低速拒绝服务攻击检测方法流程图。

具体实施方式

下面结合附图对本发明作进一步说明。

如图1所示，低速拒绝服务攻击发生时，tcp流量数据的云模型形态与另外两种状态的相比都有较大差异，具体表现为与无攻击状态相比，低速拒绝服务攻击下的云模型形态更宽更厚，其他攻击下的云模型形态更窄更薄，且低速拒绝服务攻击与其他攻击的云模型都比无攻击的云模型坐标位置更左。

如图2所示，低速拒绝服务攻击下，云模型的数值特征组c(ex,en,he)中的期望与另外两种状态下均存在区别，具体表现为网络处于低速拒绝服务攻击时，网络传输能力有一定幅度下降，区别于无攻击状态，以此为检测低速拒绝服务攻击的依据，进一步构建攻击检测分类器。

如图3所示，低速拒绝服务攻击下，云模型的数值特征组c(ex,en,he)中的熵值与另外两种状态下都有较大区别，具体表现为网络处于低速拒绝服务攻击时，tcp流量处于反复的“上升”，“下降”中，熵值增大区别于其他两种状态，以此为检测低速拒绝服务攻击的依据，进一步构建攻击检测分类器。

如图4所示，低速拒绝服务攻击下，云模型的数值特征组c(ex,en,he)中的超熵值与另外两种状态下都有较大区别，具体表现为网络处于低速拒绝服务攻击时，攻击者周期性地发送攻击流，造成tcp流量反复振荡，超熵值增加区别于其他两种状态，以此为检测低速拒绝服务攻击的依据，进一步构建攻击检测分类器。

如图5所示，本发明所述检测方法的主要流程是先使用能避免网络流量不确定性带来建模误差的云模型理论对网络流量进行分析，经逆向云生成算法分析瓶颈链路中tcp流量得出数值特征，分析低速拒绝服务攻击下三种数值特征的变化，再使用具有“小样本”学习能力的支持向量机建立攻击检测分类器，以攻击检测分类器的输出为依据判断是否发生低速拒绝服务攻击。