[发明专利]一种基于PCA-SVM算法的慢速拒绝服务攻击检测方法

说明书

本发明公开了一种基于PCA‑SVM算法的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：对网络中某一时间段内的数据流量信息进行实时采样，提取其中的TCP流量并划分时间片；采用主成分分析法(PCA)对原始样本矩阵进行特征选择，提取出对分类最有益的特征得到主成分样本矩阵；对于主成分样本矩阵中的每一个时间片，根据是否受到LDoS攻击时TCP流量表现出的不同特点，利用支持向量机(SVM)算法训练得到的决策函数作为分类模型进行特征映射；根据决策函数计算得到的不同标签值，将每个时间片分类到存在LDoS攻击的类别或者不存在LDoS攻击的类别中，从而实现对于LDoS攻击的检测。本发明提出的基于PCA‑SVM算法的检测方法能准确、高效、快速、自适应地检测LDoS攻击。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于PCA-SVM算法的慢速拒绝服务(LDoS)攻击检测方法。

背景技术

随着移动互联网、大数据和云计算的飞速发展，丰富的应用场景下暴露出越来越多的网络安全风险和问题，给互联网发展与治理带来巨大的挑战。我国在2017年6月1日正式实施的《中华人民共和国网络安全法》中对网络安全赋予了更加明确的定义，“网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态”，其中对网络攻击的检测和防御成为一项重要内容。

拒绝服务(DoS)攻击是一种攻击方式多样、攻击破坏性大的网络攻击方式，其攻击者通过向目的服务器端口发送大量无关报文，导致整个通道内的正常服务无法进行。而慢速拒绝服务(LDoS)攻击是一种特殊的DoS攻击。LDoS攻击能产生近似于DoS攻击的攻击效果，同时具有平均攻击流量低、隐蔽性强的特点，因此难以被检测到。

当前的LDoS检测方法存在以下三个方面的不足：其一是检测率不高，存在误报率、漏报率高的情况；其二是计算的复杂度过高，增加了检测攻击的时间，使得算法实时性较弱；其三是算法针对的攻击模式和攻击参数比较单一，不具有泛化性。

本发明针对当前的LDoS攻击检测方法存在检测效率低、误报率和漏报率高和泛化性不强等不足，通过分析网络受到LDoS攻击产生的现象，提取TCP流量的特征，提出一种将主成分分析法(PCA)和支持向量机(SVM)相结合的LDoS检测方法。为了过滤复杂环境中噪音的干扰，有效提取采样时间片的主要特征，同时减少计算维度，使用PCA算法对原始流量数据进行主成分提取，然后通过使用SVM算法求解最优分类面得到的模型，对测试数据进行分类预测，从而实现了对LDoS攻击的检测。本LDoS攻击检测方法能够准确地对LDoS攻击进行检测，其误报率和漏报率较低，而且具有一定的泛化性能，因此本检测方法可普适于准确检测LDoS攻击。

发明内容

针对当前的LDoS攻击检测方法存在检测效率低、误报率和漏报率高和泛化性不强等不足，提出了一种LDoS攻击检测方法。该LDoS攻击检测方法，能够更准确地对LDoS攻击进行检测，其误报率和漏报率较低，而且具有一定的泛化性能，因此本检测方法可普适于准确检测LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括五个步骤：数据采样、处理数据、特征选择、模型训练及分类检测。

1.数据采样。按照相等的时间间隔对网络中的数据流量信息进行实时采样，对某一时间段内采样得到的网络数据流量进行记录，得到原始流量数据集作为训练集和测试集。

2.处理数据。当网络受到LDoS攻击时，TCP流量的平均值明显下降，且出现了较大的波动，因此通过对TCP流量的统计和分析可以检测出网络是否受到了LDoS攻击。对于获取的原始流量数据集，首先提取其中的TCP流量，以大于采样时间的相等时间间隔(即时间片)对TCP流量的采样值进行划分，得到原始样本矩阵，并通过标签标记训练集中的每个时间片的特征。通过划分时间片解决了单独的采样点之间缺乏相关性和计算复杂度过高的缺点。