[发明专利]一种基于MAF-ADM的低速率拒绝服务攻击检测方法

说明书

本发明公开了一种基于多特征自适应融合异常检测算法(MAF‑ADM)的低速率拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括四个步骤，分别是样本采集、特征提取、异常检测模型构建和异常判定。首先在瓶颈链路中设置样本采集点收集网络流量数据并从中提取TCP流量数据。然后对TCP流量数据进行短时傅里叶变换来获取其对应的时频分布，选取其中重要的统计特征作为检测依据。最后通过子模型构建、加权融合和平滑处理与阈值计算三个模块构建异常检测模型，以上述异常检测模型的输出为依据判断是否发生低速率拒绝服务攻击。本发明提出的低速率拒绝服务攻击检测方法能克服复杂网络环境中偶然因素所带来的检测性能下降等问题，具有较好的自适应性、较高的准确率以及较低的误报率和漏报率。

技术领域

本发明涉及计算机网络安全领域，具体涉及一种基于多特征自适应融合异常检测算法(MAF-ADM)的低速率拒绝服务攻击检测方法。

背景技术

低速率拒绝服务攻击是一种“狡猾”的拒绝服务攻击方式，其主要通过周期性地向目标服务器发送短时高速脉冲式攻击流来降低其服务质量。相比于其他种类的拒绝服务攻击方式，这类攻击流通常具有更低的平均攻击速率，能很好隐藏于网络流量中，传统的拒绝服务攻击检测方法难以起效。因此，对低速率拒绝服务攻击检测方法的研究对网络空间安全具有重要意义。

现有的低速率拒绝服务攻击检测方法按照是否需要事先收集攻击流特征被大致归纳为两类，即基于攻击流特征的攻击检测方法和基于异常检测的攻击检测方法。前者的常见操作在于对路由器的主动队列管理算法做改进，添加与攻击流特征相匹配的模块，从而达到在保护合法TCP流的同时过滤攻击流的目的。其优点在于算法简单容易理解，但缺点在于对复杂多变的攻击方式而言，有些攻击特征并不明确，因此存在漏报率高的问题。后者主要通过信息度量方法、统计方法和频谱分析等方式来分析时间序列，进而结合机器学习等建立攻击检测模型。相比于前者，异常检测算法能对攻击流所引起的网络流量时间序列异常实现更为细致的研究，从而实现对低速率拒绝服务攻击的有效检测。这类算法提升了准确率，但还普遍存在以下问题：(1)缺乏自适应性，如需要依赖包含攻击样本的训练数据来建立模型，阈值等关键参数依赖经验，不能根据网络环境的变换适时调整等。(2)检测性能不高，如仅使用时域或频域的特征，将发生低速率拒绝服务攻击的样本漏判为正常样本；缺少对网络流量噪声的处理，使正常样本被误判为低速率拒绝服务攻击样本等。

本发明针对现有检测方法存在的自适应能力弱、检测准确度不高、误报率和漏报率高等问题，提出了一种基于MAF-ADM的低速率拒绝服务攻击检测方法。将时频分析技术用于分析网络流量，提取其中重要的统计特征作为检测依据，进而构建异常检测模型实现对低速率拒绝服务攻击的检测。与现有的低速率拒绝服务攻击检测方法相比较，本方法具有更好的自适应性、更高的准确率、更低的误报率和漏报率。

发明内容

本发明针对现有检测方法存在的自适应能力弱、检测准确度不高、误报率和漏报率高等问题，提出了一种基于MAF-ADM的低速率拒绝服务攻击检测方法。首先使用短时傅里叶变换对采集到的TCP流量进行时频变换，获取其中重要的统计特征作为低速率拒绝服务攻击检测的依据。然后进一步提出了基于多特征自适应融合的异常检测方法。通过孤立森林算法为正常数据构建子模型，对其动态加权融合使其具备良好的自适应性，再使用加权移动平均算法去除网络环境中偶然因素的影响，进而建立判定准则来对待检测样本进行判定，最后以此为依据来识别低速率拒绝服务攻击。与现有的低速率拒绝服务攻击检测方法相比较，本方法具有更好的自适应性、更高的准确率以及更低的误报率和漏报率。

本发明为实现上述目标所采用的技术方案为：基于MAF-ADM的低速率拒绝服务攻击检测方法主要包括以下四个步骤：样本采集、特征提取、异常检测模型构建和攻击判定。

步骤1、样本采集：在瓶颈链路中部署流量采集点，实时获取单位时间内的网络流量，提取TCP流量数据形成原始样本x(k)，k＝0，1...N-1。