[发明专利]一种基于云模型的低速拒绝服务攻击检测方法

权利要求书

1.一种基于云模型的低速拒绝服务攻击检测方法，其特征在于，所述低速拒绝服务攻击检测方法包括以下步骤：

步骤1、样本采集：在瓶颈链路中获取网络流量数据，对单位时间内的TCP流量数据进行采样，形成数据流量样本；

步骤2、特征提取：使用云模型理论对单位时间内所获数据流量样本进行处理，得到期望、熵和超熵三个特征值并组成该单位时间云模型的数值特征组；

步骤3、构建攻击检测分类器：使用已知是否存在攻击的数值特征组样本训练支持向量机获得分类超平面，得到攻击检测分类器；

步骤4、判定检测：将待检测的数值特征组样本输入攻击检测分类器，根据输出结果判定该单位时间内网络中是否发生低速拒绝服务攻击。

2.根据权利要求1中所述的低速拒绝服务攻击检测方法，其特征在于，步骤1中在瓶颈链路中设置数据采样点，以固定取样间隔获取单位时间长度内的TCP流量数据，形成数据流量样本。

3.根据权利要求1中所述的低速拒绝服务攻击检测方法，其特征在于，步骤2中使用云模型理论分析步骤1获取的数据流量样本，使用逆向云生成算法获取数据流量样本的期望、熵、超熵，并将其组成该单位时间内的数据流量样本的数值特征组。该特征值作为攻击检测分类器的输入。

4.根据权利要求1中所述的低速拒绝服务攻击检测方法，其特征在于，步骤3中使用已知是否存在攻击的数值特征组样本训练支持向量机获得最优分类超平面，由此构建低速拒绝服务攻击检测分类器，具体包括如下几个步骤：

步骤3.1、当数值特征组在原始的特征空间线性可分时，求解最优分类超平面并构建攻击检测分类器；

步骤3.2、当数值特征组在原始的特征空间不是线性可分时，将数值特征组映射到高维线性可分空间中，再使用步骤3.1，重新构造最优分类超平面。

5.根据权利要求4中所述的低速拒绝服务攻击检测方法，其特征在于，步骤3.1中最优分类超平面定位为能准确区分已知是否存在攻击样本中的无攻击样本和有攻击样本且距离两类样本中的支持向量间隔最大的平面，并由此构建攻击检测分类器。

6.根据权利要求4中所述的低速拒绝服务攻击检测方法，其特征在于，步骤3.2中使用高斯核函数完成数值特征组由原始特征空间到高维线性可分空间的映射，并重新构造最优分类超平面。

7.根据权利要求1中所述的低速拒绝服务攻击检测方法，其特征在于，步骤4中使用步骤3中构造的最优分类超平面完成对待测数值特征组样本的分类判别，具体准则为：若分类标签为正，则判定对应的单位时间内发生低速拒绝服务攻击；若分类标签为负，则判定对应的单位时间内未发生低速拒绝服务攻击。