[发明专利]一种基于LR算法的慢速拒绝服务攻击检测方法

说明书

本发明公开了一种基于LR算法的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：以一个时间窗口为检测单位，实时获取检测网络的数据报文；基于LDoS攻击下的网络数据分布形态特征，以提取相关网络数据特征值的方式，对各个时间窗口内数据进行处理，并以提取的特征值作为LR算法的训练输入，完成检测模型构建；对于待检测网络，同样提取的该时间窗口内数据报文的分布形态特征，利用训练完成的LR模型进行攻击检测，并依据相关判定准则判定是否发生LDoS攻击。本发明提出的LR算法针对检测LDoS攻击的应用场景，能高效、快速、自适应地检测LDoS攻击。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于LR算法的慢速拒绝服务攻击检测方法。

背景技术

在当今全球化、信息化的背景下，信息安全和网络攻击防御日益成为重要的研究课题。自《网络安全法》于2017年6月1日正式实施以来，我国网络安全相关法律法规及配套制度逐步健全，网络安全威胁治理取得新成效；但尽管如此，我国网络安全威胁问题仍然十分突出。国家计算机网络应急技术处理协调中心2019年4月发布的《2018年我国互联网网络安全态势综述》指出：我国目前关键信息基础设施面临较为突出的安全风险，APT攻击、数据泄露、分布式拒绝服务攻击等问题也较为严重。

网络攻击最经常采取的方式之一是拒绝服务(DoS)攻击，这种攻击对网络损害巨大。传统的DoS攻击通过不断向网络中涌入大量攻击流来消耗有限的网络资源，导致受害网络或主机无法提供正常的服务。而慢速拒绝服务(LDoS)攻击是一种新型DoS攻击。不同于传统的必须维持网络中高流量的DoS攻击，LDoS攻击利用拥塞控制机制的漏洞，使得网络中平均流量降低，其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。

目前LDoS攻击检测存在两个方面的问题：其一是由于攻击行为特征异于传统DoS攻击，传统DoS攻击检测方法难以检测LDoS攻击；其二是已有的LDoS攻击检测方法普遍存在检测准确度不高、算法复杂、资源消耗大且实时性弱、自适应能力欠缺等特点。

本发明针对现有LDoS攻击检测方法普遍存在检测准确度不高、算法复杂、资源消耗大且实时性弱、自适应能力欠缺等特点，提出了一种基于LR算法的慢速拒绝服务攻击检测方法。该方法通过分析实时网络流量数据，提取网络流量数据的特征值，如TCP均值、方差、样本熵等；根据提取的特征值，通过LR算法完成检测模型的构建；对于待检测网络，以相同的方法，提取出相关流量特征值，并基于检测模型进行回归分析，从而达到检测LDoS攻击的目的。该LDoS攻击检测方法检测率高，假阴性率和假阳性率低，同时具有较低的算法空间复杂度和时间复杂度，因此该检测方法可普适于准确检测LDoS攻击。

发明内容

针对现有LDoS攻击检测方法普遍存在检测准确度不高、算法复杂、资源消耗大且实时性弱、自适应能力欠缺等特点，提出了一种基于LR算法的慢速拒绝服务攻击检测方法。该LDoS攻击检测方法检测率高，误报率和漏报率低，同时具有较低的算法空间复杂度和时间复杂度，因此该检测方法可普适于准确检测LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括五个步骤：采样数据、处理数据、模型构建、分析数据以及判定检测。

1.采样数据。实时获取网络中(关键服务器、路由器或链路)的相关数据报文，其方式是以固定取样时间获取固定单位时间内所有相关数据报文，以此作为样本原始值。

2.处理数据。根据获取的网络数据报文样本原始值，处理得到的网络数据的相关特征值。特征值由样本TCP均值、TCP方差、变异系数、样本熵四项组成，它们能实时反应网络中流量的大小和变化情况，且在受到LDoS攻击时变化明显。通过计算获取这四种受到LDoS攻击之后会发生剧烈变化的特征值，能够较好鉴别网络中LDoS攻击的存在。