[发明专利]一种基于云模型的低速拒绝服务攻击检测方法

说明书

本发明公开了一种基于云模型的低速拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括四个步骤，分别是样本采集、特征提取、构建攻击检测分类器和判定检测。首先在瓶颈链路中设置样本采集点收集网络流量数据并从中提取TCP流量数据，再通过能避免网络流量不确定性带来建模误差的云模型理论对网络流量进行分析，经逆向云生成算法分析瓶颈链路中TCP流量得出数值特征组，最后使用具有“小样本”学习能力的支持向量机建立攻击检测分类器，以攻击检测分类器的输出为依据判断是否发生低速拒绝服务攻击。本发明提出的低速拒绝服务攻击检测方法所需样本数少，同时具有较低的误报率和漏报率。

技术领域

本发明涉及计算机网络安全领域，具体涉及一种基于云模型的低速拒绝服务攻击检测方法。

背景技术

低速拒绝服务攻击是拒绝服务攻击的变种之一，其主要利用TCP/IP拥塞控制机制，通过周期性地向目标用户发送高速率的短脉冲攻击流，造成网络处于虚假拥塞状态，服务质量严重降低。这种新型的拒绝服务攻击平均速率低，具有很好的隐蔽性，传统的拒绝服务攻击检测方法难以起效。

现有的低速拒绝服务攻击检测方法根据检测对象分为两类：基于路由器队列分析的低速拒绝服务攻击检测方法和基于网络流量分析的低速拒绝服务攻击检测方法。前者主要通过改进现有的主动队列管理机制，丢弃符合设定攻击特征的数据流的数据包或重新分配带宽，进而保护TCP数据流，抑制攻击流，其主要存在的问题在于难以部署，实施成本高。后者大多通过信号处理理论来分析网络流量数据，在时/频域对样本序列进行统计分析，进而对得到的异于正常流量的特征加以区分，但网络流量的不确定性会影响检测性能。本发明针对现有检测算法因网络流量不确定性导致的检测性能降低问题，提出了一种基于云模型的低速拒绝服务攻击检测方法。使用模糊理论中的云模型理论分析网络瓶颈链路中TCP流量的特征参数，避免了传统定量描述和小样本带来的误差，以此为依据描述在单位检测窗口TCP流量数据的分布状态，进而构建攻击检测分类器。相比现有算法，本方法所需样本数少且误报率和漏报率低。

发明内容

本发明针对现有检测算法中网络流量不确定性而导致的检测性能降低的问题，基于云模型理论，提出了一种基于云模型的低速拒绝服务攻击检测方法。首先使用能避免网络流量不确定性带来建模误差的云模型理论对网络流量进行分析，经逆向云生成算法分析瓶颈链路中TCP流量得出数值特征，分析低速拒绝服务攻击下三种数值特征的变化，再使用具有“小样本”学习能力的支持向量机建立攻击检测分类器，以攻击检测分类器的输出为依据判断是否发生低速拒绝服务攻击。与现有检测方案相比，该方法所需样本数少且具有更低的误报率和漏报率。

本发明实现上述目标所采用的技术方案为：基于云模型的低速拒绝服务攻击检测方法主要包括四个步骤：样本采集、特征提取、构建攻击检测分类器和判定检测。

步骤1、样本采集：在瓶颈链路中设置数据采样点，以固定取样间隔获取单位时间长度内的TCP流量数据，形成数据流量样本X＝(x₁,x₂,x₃,...,x_N)。

步骤2、特征提取：使用云模型理论中逆向云生成算法分析步骤1中获取到的数据流量样本X＝(x₁,x₂,x₃,...,x_N)，使用云模型理论获取数据流量样本的期望Ex、熵En、超熵He，并将其组成该单位时间内的数据流量样本的数值特征组C(Ex,En,He)，以此作为攻击检测分类器的输入。

在提取数值特征组C(Ex,En,He)时，使用逆向云生成算法，具体计算方式如下所示：

其中，N为单位时间内数据流量样本的数量，S²为单位时间内数据流量样本的方差。