[发明专利]一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法

说明书

本发明公开了一种基于自适应密度聚类(SA‑DBSCAN)算法的低速率拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：对采样数据按固定时间划分为多个待测数据单元，计算每个数据单元的方差和平均差作为特征值；基于SA‑DBSCAN算法对待测数据自适应地进行密度聚类，得到聚类结果，包含0、1、2三种标签，其中0表示噪声单元，1表示正常数据单元，2表示发生低速率拒绝服务攻击的数据单元；最后对密度聚类得到的噪声单元进一步分析，判定该噪声单元是否为发生低速率拒绝服务攻击的数据单元。本发明提出的基于SA‑DBSCAN算法的检测方法可以有效地检测出低速率拒绝服务攻击，同时具有处理大数据的能力。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法。

背景技术

拒绝服务攻击，攻击者将通信请求塞满目标机器，使连接到互联网的主机服务被暂时地或无限期地中断，以至于合法用户无法使用机器或网络资源，造成巨大损失。低速率拒绝服务攻击，是一种特殊的拒绝服务攻击，其目的是减少系统资源，导致服务恶化而不是完全的服务中断。它利用现今网络服务协议自适应机制中的漏洞，周期性的发送高速的攻击流，使得服务器长时间处于低效状态。

目前针对低速率拒绝服务攻击的检测存在以下问题：其一是低速率拒绝服务攻击会导致临界系统的典型行为，具有良好的隐蔽性，针对传统拒绝服务攻击的检测方法不适用；其二是已有的低速率拒绝服务攻击检测方法普遍存在成本较高、自适应性较差、检测精度不高、不适用大数据、实时性弱等缺陷。

本发明提出了一种基于自适应密度聚类(SA-DBSCAN)算法的低速率拒绝服务攻击检测方法。该方法采用SA-DBSCAN算法对待测网络数据进行聚类分析，弥补了基于距离聚类算法只能发现球状簇的缺陷，极大地减弱了瞬时高速正常流量对检测结果的影响。SA-DBSCAN算法可自适应地确定划分阈值，根据待测数据的特征值完成聚类得到聚类标签，极大地提高检测精度，弥补了已有的检测方法无法适应大数据且实时性弱的缺陷。

发明内容

针对已有的低速率拒绝服务攻击检测方法的不足，提出了一种低速率拒绝服务攻击检测方法，该方法具有较低的误报率和漏报率，适用于实时网络数据的检测，同时具备处理大数据的能力。因此该检测方法可普适于低速率拒绝服务攻击的准确检测。

本发明为实现上述目标所采用的技术方案为：该低速率拒绝服务攻击检测方法主要包括四个步骤：获取数据、计算特征值、密度聚类以及噪声分析。

1.获取数据。获取网络关键链路中的所有相关数据报文，形成样本原始值，将样本原始值以固定取样时间划分为多个待测数据单元。

2.计算特征值。根据公式计算每个数据单元的tcp流量和udp流量的方差和平均差作为特征值，其中，令x表示数据单元，x_i表示数据单元的第i维数据，n表示数据单元的总数量，mean表示平均值，var表示方差，方差计算公式可表示为：

令m表示平均差，平均差计算公式可表示为：

由于方差的数量级远大于平均差，为避免某一维度特征值权重过大导致聚类结果不准确，对特征值进行0-1标准化，令f表示特征值的一个维度，x_i′表示标准化后的数据，标准化公式可表示为：

3.密度聚类。根据计算获得的特征值，基于SA-DBSCAN算法对待测数据进行密度聚类，为避免全局参数对聚类结果的影响，聚类分为两部分：

1)自适应阈值计算。选取发生低速率拒绝服务攻击的数据特征值中最显著的两个维度作为KNN算法的输入，令算法中的K值为4，得到每个数据单元4个最近邻居的距离值，对所有距离值按降序排列，以其中相邻差值最大的两个数的中间值作为聚类半径ε。