[发明专利]基于灰色预测模型检测分布式拒绝服务网络攻击的方法

说明书

本发明提出了一种基于灰色预测模型检测分布式拒绝服务网络攻击的方法，主要解决现有技术对于能源和资源需求大、攻击检测速度慢的问题。其方案是：1.提取网络流量特征的；2.根据所提取的网络流量特征，建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型，实现对网络背景辐射流量的识别；3.根据所提取的网络流量特征，建立网络背景辐射流量正常流量和分布式拒绝服务DDoS的流量的一阶单变量灰色模型，实现对分布式拒绝服务DDoS攻击的检测。本发明提高了攻击检测的速度，可用于对于能源和资源的受限的网络设备进行攻击检测。

技术领域

本发明属于计算机网络安全领域，特别涉及一种检测分布式拒绝服务网络攻击的方法，可用于资源、能源有限下的异常检测网络中。

背景技术

网络背景辐射流量IBR，是互联网上未经请求的单向流量，也是一种未授权流量。对于IBR流量的研究有助于掌控其成因和特性，可以为网络安全相关工作提供技术支持和保障。利用这种流量可以发起多种分布式拒绝服务网络攻击DDoS，而DDoS攻击仍然是现在最主要的网络攻击方式，所以对于未授权流量的研究也就更有意义和价值。现有的DDoS攻击检测主要是在普通网络流量下的检测，并没有专门针对IBR流量的检测，而且现有的DDoS检测方法主要是报文频率是否正常、网络流量的特征是否正常，但是这都需要根据大量的网络流量分析数据，所需要的资源、能源是非常大的，针对现在物联网中某些节点所使用的设备是不现实的，由于这些设备的资源、能源有限。Feitosa E,Souto E,Sadok D H，Dainotti A Amman R Aben E等人对IBR流量进行了深入的研究，研究发现DDoS大多是在IBR流量中发现的。但是现有的针对IBR流量的研究主要涉及的是基于暗网的IBR流量的测量、特征的分析、在DDoS攻击中的应用。而对于现实中的运行网络的研究较少。相对于暗网、灰空间来说运行网络具有更高的研究价值，暗网、灰空间所获取的是单纯的IBR流量。更需要在现实使用的运行网络中提取IBR流量，但是由于数据量的与日俱增，无法实现实时提取IBR流量并检测DDoS攻击，这就需要一种高效实时的IBR流量识别和DDoS攻击检测机制。

发明内容

本发明的目的在于针对上述现有技术存在的缺陷，提出一种基于一阶单变量灰色模型检测分布式拒绝服务网络攻击的方法，以在资源和能源有限的环境下，提高检测攻击的速度。

为实现上述目的，本发明技术方案包括如下：

(1)获取运行网络的网络流量，并提取网络流量的特征值；

(2)根据所得到的运行网络流量的特征值建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型：

其中，是所要建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型，l＝1,2,3,…，表示序列的第l个值，为原始网络流量的特征值序列的第一个值，m＝1，表示建立的是正常的网络背景辐射流量的模型，m＝2表示建立的是分布式拒绝服务DDoS攻击流量的模型，a为发展系数，b为灰色作用量；

(3)根据(2)所建立一阶单变量灰色模型，得到待测运行网络流量经过两种一阶单变量灰色模型后所得的值，简记为灰色值，并分别计算两个灰色值与初始值之间的差值，将差值小的灰色值所对应的模型判定为待测运行网络流量所对应的模型；

(4)根据(1)所得到的运行网络流量的特征值，建立网络背景辐射流量的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型:

其中，是所要建立的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型，l＝1,2,3,…，表示序列的第l个值，为原始网络流量的特征值序列的第一个值，n＝1，表示建立的是正常的网络背景辐射流量的模型，n＝2，表示建立的是分布式拒绝服务DDoS攻击流量的模型，a为发展系数，b为灰色作用量；