[发明专利]一种基于MAF-ADM的低速率拒绝服务攻击检测方法

权利要求书

1.一种基于多特征自适应融合异常检测算法(MAF-ADM)的低速率拒绝服务攻击检测方法，其特征在于，所述低速率拒绝服务攻击检测方法包括以下步骤：

步骤1、样本采集：在瓶颈链路中部署流量采集点，实时获取单位时间内的网络流量，提取TCP流量数据形成原始样本；

步骤2、特征提取：对原始样本进行时频分析获取对应的时频分布矩阵，计算时频分布矩阵的重要统计特征组成检测特征组；

步骤3、异常检测模型构建：使用正常状态下原始样本的检测特征组来构建子模型，并将其加权融合来建立异常检测模型；

步骤4、攻击判定：将待测试的检测特征组作为输入，根据异常检测模型所获取的异常分数来判定是否包含低速率拒绝服务攻击。

2.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤1中在瓶颈链路中设置流量采集点，以固定取样间隔获取单位时间长度内的TCP流量数据，形成原始样本。

3.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤2中使用时频分析技术处理步骤1获取的原始样本，获取原始样本对应的时频分布，进一步提取其中重要的统计特征作为检测依据。具体包括如下几个步骤：

步骤2.1、对原始样本进行短时傅里叶变换，获取对应的时频分布并进行频段划分；

步骤2.2、按照步骤2.1中的频段划分计算重要的统计特征。

4.根据权利要求3中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤2.1中对步骤1中采集的原始样本进行时频分析，使用短时傅里叶变换来获取原始样本的时频分布，再将其从直流部分到最高频率，按1/8，1/8，1/4，1/2的比例划分为低频、中低频、中高频和高频。

5.根据权利要求3中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤2.2中根据步骤2.1中的频段划分计算每个频段的统计特征(能量和、频段对应的能量占比以及频段对应的归一化方差)构成检测特征组。

6.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3中根据正常状态下的原始样本通过步骤2所获取的检测特征组来构建子模型，将其进行加权融合，经过噪声过滤，再计算阈值进而建立异常检测模型。具体包括如下几个步骤：

步骤3.1、在正常状态下原始样本的检测特征组随机构建样本集，构建子模型；

步骤3.2、将步骤3.1中所建立的子模型进行加权融合；

步骤3.3、根据步骤3.2中的融合模型，获取异常分数，经过噪声过滤，计算阈值。

7.根据权利要求6中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3.1中随机挑选正常状态下原始样本对应的检测特征组来组成样本集，选择孤立森林算法中的二叉树结构来构建子模型。

8.根据权利要求6中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3.2中对步骤3.1中的子模型进行加权融合，其中每棵树的权重代表了其对异常样本的孤立能力，即权重越大，则表示其对正常样本和包含低速率拒绝服务攻击的样本区分能力越强。

9.根据权利要求6中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3.3中使用步骤3.2中的融合模型来计算样本集的异常分数，使用加权移动平均算法来去除复杂网络环境中偶然因素(如数据流突发、偶然噪声等)的影响，再通过正态分布异常点检测算法计算阈值，进而组成异常检测模型。

10.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤4根据步骤3中建立的异常检测模型来计算异常分数，进而判定待测试样本是否包含低速率拒绝服务攻击。具体判断准则为：若该样本的异常分数大于阈值，则该样本包含低速率拒绝服务攻击；若该样本的异常分数小于等于阈值，则该样本不包含低速率拒绝服务攻击。