[发明专利]一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法

权利要求书

1.一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法，其特征在于，所述低速率拒绝服务攻击检测方法包括以下几个步骤：

步骤1、获取数据：实时获取网络关键链路中的相关数据报文，对一段时间内所有相关数据报文进行采样，形成样本原始值，将样本原始值以固定取样时间划分为多个待测数据单元；

步骤2、计算特征值：按公式计算每个数据单元的方差与平均差作为特征值，并做标准化处理；

步骤3、密度聚类：根据每个数据单元的特征值，基于SA-DBSCAN算法进行密度聚类，得到聚类标签；

步骤4、噪声分析：对步骤3聚类得到的标签为噪声的数据单元进一步分析，判断其是否为发生低速率拒绝服务攻击的数据单元，得到最终检测结果。

2.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤1中对网络关键链路获取检测时间内所有相关数据报文，形成样本原始值，以固定取样时间对原始值进行划分，形成待检测的数据单元。

3.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤2中根据步骤1获取的待测数据单元，计算每一个数据单元的方差和平均差作为特征值，为避免数量级差异影响聚类结果，对特征值进行0-1标准化。

4.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3中根据步骤2计算获得的数据单元的特征值，基于SA-DBSCAN算法进行密度聚类，包括三个步骤：

步骤3.1、根据采样获得的不同攻击参数下的低速率拒绝服务攻击数据，基于KNN算法计算聚类划分半径；

步骤3.2、根据步骤2中获得的数据单元的特征值和步骤3.1中的聚类划分半径，基于距离矩阵自适应地计算聚类密度阈值；

步骤3.3、根据步骤2中获得的数据单元的特征值和步骤3.1、步骤3.2中的聚类划分阈值，基于DBSCAN进行密度聚类，获得聚类标签，根据聚类标签获得初步检测结果。

5.根据权利要求4中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3.3中的聚类标签包括三类：标签为1的为正常(无攻击发生)数据单元，标签为2的为发生低速率服务攻击的数据单元，标签为0的为噪声单元。

6.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤4根据步骤3中获得的聚类标签，对噪声单元进行分析判断，包括三个步骤：

步骤4.1、选择步骤3中聚类标签为1的某一个数据单元，与噪声单元合并组成新的待测点，以低速率拒绝服务攻击的一个攻击周期为单位将待测点划分为多个待测数据片；

步骤4.2、计算每个数据片的方差与平均差作为特征值，并做标准化处理；

步骤4.3、根据步骤4.2中获得的特征值，基于SA-DBSCAN算法进行密度聚类，获得聚类标签，根据聚类结果判断噪声单元是否发生低速率拒绝服务攻击，获得最终检测结果。

7.根据权利要求6中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤4.3中的聚类标签包括三类：标签为1的为正常(无攻击发生)数据片，标签为2的为发生低速率服务攻击的数据片，标签为0的为噪声点。判断噪声单元是否为发生低速率拒绝服务攻击的数据单元的标准为：噪声单元中标签为2的数据片数量超过数据片总数量的一定比例。