[发明专利]一种基于AKN算法的慢速拒绝服务攻击检测方法

说明书

本发明公开了一种基于AKN(Adaptive Kohonen Network)算法的慢速拒绝服务攻击检测方法，属于网络安全领域。该检测方法为：以单位时间将采样TCP报文样本分成若干个检测窗口，根据慢速拒绝服务攻击对其离散程度和波动程度的影响，采用AKN算法对检测窗口特征向量进行聚类分析。根据事先训练出来的无攻击数据获得相应阈值，基于相关攻击判断准则分析聚类簇，判断是否发生慢速拒绝服务攻击。本发明公开的基于AKN算法的慢速拒绝服务攻击检测方法能够在复杂的网络中实现高速率、低消耗、精准度高的慢速拒绝服务攻击检测。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于AKN(Adaptive KohonenNetwork) 算法的慢速拒绝服务攻击检测方法。

背景技术

网络安全的威胁主要包括网络协议的局限性、软件漏洞、网络病毒和网络攻击等。其 中，网络攻击的危害最大。拒绝服务攻击是网络攻击最经常采取的方式之一，在网络中经常 发生，且对网络损害巨大。

拒绝服务攻击是指攻击者利用现有的网络协议漏洞，发起可以令攻击对象(网络或计 算机)无法接受响应请求、停止提供正常服务的攻击，对网络性能损害严重。慢速拒绝服务 攻击，是拒绝服务攻击的变种，采用间歇攻击，在指定的周期间隔内低速率地发起突发脉冲， 使得目标系统在过载和欠载状态之间连续切换，严重降低了服务质量。其对网络的危害近似 于拒绝服务攻击，有着更强的隐蔽性和更高的检测难度。

慢速拒绝服务攻击检测研究存在以下方面的问题：其一是传统拒绝服务攻击检测方法 很难对慢速拒绝服务攻击进行检测，其二是慢速拒绝服务攻击现有检测方法普遍存在着算法 复杂度高、资源消耗大、自适应性不强和检测精准度不高的缺陷。

本发明根据慢速拒绝服务攻击现有检测方法普遍存在着算法复杂度高、资源消耗大、 自适应性不强和检测精准度不高的缺陷，提出了一种基于AKN算法的慢速拒绝服务攻击检 测方法。该方法根据慢速拒绝服务攻击对网络中TCP流量离散程度和波动程度的影响，采用 AKN算法对检测窗口的特征向量进行聚类分析，根据事先训练出来的无攻击数据获得相关阈 值，基于相关攻击判断准则分析聚类簇，判断是否发生慢速拒绝服务攻击。AKN算法使用最 大最小距离算法确定Kohonen网络竞争层神经元个数，同时使用覆盖初始化算法初始化权值， 使网络结构可以根据输入数据自适应变化，解决了传统Kohonen网络竞争层神经元个数和初 始权值设置不当导致某些神经元无法被训练的问题，有效减小死神经元出现概率，增强网络 的识别效率。该攻击检测方法对慢速拒绝服务攻击的检测有着较低的误报率和漏报率，算法 的空间复杂度和时间复杂度较低，因此该检测方法可实现高精准度的慢速拒绝服务攻击检测。

发明内容

根据慢速拒绝服务攻击现有检测方法普遍存在着算法复杂度高、资源消耗大和检测精 准度不高的缺陷，提出了一种基于AKN算法的慢速拒绝服务攻击检测方法。该攻击检测方 法对慢速拒绝服务攻击的检测有着较低的误报率和漏报率，算法的空间复杂度和时间复杂度 较低，因此该检测方法可实现高精准度的慢速拒绝服务攻击检测。

本发明为实现上述目标所采用的技术方案为：基于AKN算法的慢速拒绝服务攻击检 测方法主要分为以下步骤：采样数据、提取特征向量、聚类分析及攻击判定。

1.采样数据。以固定采样时间Δt获取关键路由器中的所有TCP报文，形成检测样本。

2.提取特征向量。给定时间长度Time_JW，将其作为单位时间，以单位时间将检测样本 分成若干个检测窗口，则每个检测窗口包含Time_JW/Δt个元素。计算每个检测窗口的方差值V和 分组极差均值RM作为特征向量。其中，分组极差均值是指对一组数据进行分组，分别计算 每个组别的极差值，再计算所有组别极差值的平均值，可以减小偶然误差对计算结果的影响， 计算公式为：