[发明专利]一种基于AKN算法的慢速拒绝服务攻击检测方法

权利要求书

1.一种基于AKN(Adaptive Kohonen Network)算法的慢速拒绝服务攻击检测方法，其特征在于，包括以下四个步骤：

步骤1、采样数据：在关键路由器中实时获取TCP报文，得到测试样本；

步骤2、提取特征向量：以单位时间将样本分成若干个检测窗口，基于慢速拒绝服务攻击对TCP报文传输的影响，提取检测窗口的特征值组成特征向量；

步骤3、聚类分析：使用AKN算法对检测窗口的特征向量进行聚类分析；

步骤4、攻击判定：基于聚类结果，根据预先计算存储的相关阈值进行相关计算及判定，若某一聚类簇的相关计算结果与所述条件相符，则判定网络在该聚类簇包含的检测窗口内存在慢速拒绝服务攻击。

2.根据权利要求1中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤1中以固定采样时间获取关键路由器中的所有TCP报文，形成测试样本。

3.根据权利要求1中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤2中给定单位时间长度，以单位时间将测试样本分成若干个检测窗口，基于慢速拒绝服务攻击对TCP报文传输的影响提取检测窗口的特征向量。慢速拒绝服务攻击是非持续的，致使TCP报文传输量变化剧烈，通过计算检测窗口的方差值和分组极差均值，组成特征向量，定量表示检测窗口的离散程度和波动程度。

4.根据权利要求1中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤3中基于步骤2得到的检测窗口的特征向量，利用AKN进行聚类，包括三个步骤：

步骤3.1、基于检测窗口的特征向量，使用最大最小距离算法确定最优聚类个数；

步骤3.2、基于检测窗口的特征向量，使用覆盖初始化算法确定一组与其分布相关的值；

步骤3.3、基于检测窗口的特征向量，根据步骤3.1和步骤3.2所得结果使用Kohonen网络进行聚类。

5.根据权利要求4中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤3.1中使用最大最小距离算法，分析检测窗口特征向量，得到的聚类中心个数作为最优聚类数目。

6.根据权利要求4中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤3.2中使用覆盖初始化算法，应用正态分布来覆盖检测窗口特征向量，分析并得到一组与其分布相关的值。

7.根据权利要求4中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤3.3中将步骤3.1得到的最优聚类个数作为Kohonen网络竞争层神经元个数，步骤3.2所得组值作为Kohonen网络初始连接权值，构建初始网络。将检测窗口的特征向量作为输入样本，使用Kohonen网络进行聚类分析。

8.根据权利要求1中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤4中基于预先计算存储的相关阈值进行攻击判定，包括两个步骤：

步骤4.1、基于预先计算存储的方差阈值和分组极差阈值，对检测窗口进行异常判定；

步骤4.2、基于预先计算存储的比例阈值，对步骤3得到的聚类簇进行攻击判定。

9.根据权利要求8中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤4.1中对检测窗口进行异常判定准则为：若某一检测窗口的方差值大于预先计算存储的方差阈值且分组极差均值大于预先计算存储的方分组极差阈值，该检测窗口为异常窗口。

10.根据权利要求8中所述的基于AKN算法的慢速拒绝服务攻击检测方法，其特征在于，步骤4.2中对聚类簇进行攻击判定准则为：若某一聚类簇中异常窗口所占比例大于预先计算存储的比例阈值，该聚类簇包含的所有检测窗口都存在慢速拒绝服务攻击。