一种基于Elman神经网络的低速率拒绝服务攻击检测方法与流程

本发明属于计算机网络安全领域，具体涉及一种基于elman神经网络的低速率拒绝服务(ldos)攻击检测方法。

背景技术：

当今信息网络的发展，推动了社会经济创新发展，同样也带来了信息泄露、贩卖数据、漏洞攻击等一系列网络安全问题，网络空间安全成为国家经济社会发展的重要任务。在众多的网络安全问题中，拒绝服务攻击是常见的一种攻击方式，在2019年的今天，距离第一次分布式拒绝服务攻击将满20周年，许多网络安全专家表示，应该重新设计互联网以防止此类攻击，因此对此类攻击进行检测和防御，保障正常网络是一件势在必行的事情。

拒绝服务(dos)攻击，其根本目的是通过利用网络协议的漏洞，使受害网络没有办法及时接收并处理外界请求，或者通过消耗带宽资源而导致服务器无法及时响应服务请求，从而导致网络系统无法提供正常的服务。dos攻击对网络危害巨大，严重时会导致系统崩溃。而低速率拒绝服务攻击，是一种新型dos攻击。它具有和dos攻击相近的攻击效果但攻击更加隐蔽，不易被检测。

目前ldos攻击检测存在两个方面的问题：其一是由于攻击行为特征异于传统dos攻击，隐蔽性极强，传统dos检测方法难以检测ldos攻击；其二是已有的ldos攻击检测方法普遍存在检测准确率不高、算法过于复杂等问题。

本发明针对已有的ldos攻击检测方法普遍存在检测准确度不高、算法过于复杂等问题，提出了一种基于elman神经网络的低速率拒绝服务攻击检测方法。该方法基于tcp流量特征分析，根据相应公式对统计样本原始值的特征值进行提取和归一化处理，避免了四个特征值由于不同量级差异对检测结果的影响。通过输入训练数据特征值，并添加两种不同标签，标签1为未发生ldos攻击，标签2为发生ldos攻击，进行elman神经网络训练分类，达到一个二分类的效果；并通过输入测试数据到训练好的神经网络，对比标签输出结果，分析是否发生ldos攻击，从而达到检测ldos攻击的目的。该ldos攻击检测方法，误报率和漏报率低，对ldos攻击的检测准确率较高，同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测ldos攻击。

技术实现要素：

针对已有的ldos攻击检测方法普遍存在检测准确度不高、算法复杂等问题，提出了一种低速率拒绝服务攻击检测方法。该ldos攻击检测方法，误报率和漏报率低，对ldos攻击的检测准确率较高，同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测ldos攻击。

本发明为实现上述目标所采用的技术方案为：该低速率拒绝服务攻击检测方法主要包括五个步骤：数据采样、特征值计算、训练神经网络、数据检测及检测结果判断。

1.数据采样。以固定的取样时间，连续获取一段时间内网络中经过关键路由器或瓶颈链路的相关数据报文，形成样本原始值，再以固定的时间长度划分样本原始值为多个检测窗口。

2.特征值计算。根据获取的以检测窗口为单位的样本原始值，对其数据流量进行分析，根据相应公式提取四个特征值，由于四个特征值不在一个数量级上，在大数据的背景下小数据的特征被弱化，变化不明显，为了便于显示特征和查看分析，且保证每个特征值在分类过程中被平等对待，采用(0，1)标准化即max-min的方法进行特征值归一化处理。

在特征值计算过程中，选取了方差(v)、标准差(md)、平均值(std)、极差均值(range)四个特征值代表tcp流量的特征变化，其中n为检测窗口时长内的样本个数，xi为样本值，m为检测窗口内所有样本值的平均值，为便于极差值的判断，对检测窗口再进行小分组划分，k为分组个数，maxi为窗口分组的最大值，mini为窗口分组的最小值，对每个检测窗口进行四个特征值的计算，相应公式如下：

其中采用(0，1)标准化遍历数据，将max-min作为基数进行数据的归一化，x为特征值，max为特征值向量最大值，min为特征值向量最小值，归一化处理四个特征值，公式如下：

3.训练神经网络。根据计算获得的每个检测窗口的特征值，对相应窗口添加标签，进行神经网络训练分类。具体是：1)添加两种标签，一种是无ldos攻击标签，一种是含有ldos攻击标签；2)建立、训练及优化elman神经网络，对两种标签的数据进行训练分类，对应两种结果，即进行二分类操作。

4.数据检测。输入待检测数据，以同样固定的时间长度划分检测窗口，计算检测窗口的四个特征值并进行归一化处理，输入训练好的神经网络进行分类并输出分类结果。

5.检测结果判断。根据神经网络训练输出结果，和两种标签进行比较，进行判断检测(“0”表示无ldos攻击，“1”表示有ldos攻击)。具体是：输出测试数据每个窗口的结果值，判断结果，若趋近于0，则判断为无ldos攻击，结果若趋近于1，则判断该窗口内发生ldos攻击。

有益效果

该ldos攻击检测方法，误报率和漏报率低，对ldos攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此，该检测方法可普便适用于准确检测ldos攻击。

附图说明

图1为在三种网络环境下，各检测窗口各特征值的变化情况。根据tcp流量在三种网络环境下的波动形态和离散程度等特征分析，选择方差、标准差、平均值和极差四个特征，更加具有代表意义和说服力，多个特征增加对数据的分析，减小了数据单一所带来的误差，对数据的处理更加全面。

图2为特征值归一化图。将特征值归一化，便于查看和分析特征，减小了不同量级上的差异，避免大数据背景下小数据被覆盖，避免造成小数据特征不明显。

图3为elman神经网络的结构图。elman神经网络结构分为四层，层与层之间全连接，通过增加一层关联层来进行动态反馈和权值等参数的更新，增加了网路对数据信息的处理能力，使神经网络对数据更加敏感，也能更加高效准确的进行检测。

图4为一种基于elman神经网络的低速率拒绝服务攻击检测方法的流程图。

具体实施方式

下面结合附图对本发明进一步说明。

如图4所示，该低速率拒绝服务攻击检测方法主要包括五个步骤：数据采样、特征值计算、训练神经网络、数据检测及检测结果判断。

图1为特征值图。根据分析流量变化定义三种网络场景，提取四个具有代表性的特征，计算每个检测窗口相应的特征值，多个特征值能有效的分析数据，便于神经网络训练分类，加大检测结果的说服力。

图2为特征值归一化图。对特征值进行归一化，减小了数量级不同带来的差距，避免在大数据的背景下小数据的特征被弱化，便于显示特征和查看分析。

图3为elman神经网络的结构图。结构图分为四层：输入层、隐含层、关联层和输出层。其中隐含层激励函数取非线性sigmoid函数，对隐含层层数、权值、迭代次数等参数的选择是非常重要的，因此关联层(承接层)作为一步延时算子，不断的进行状态反馈，增加了神经网络对数据的敏感性和处理动态信息的能力，其层与层之间全连接。