[发明专利]一种基于FSWT时频分布的LDoS攻击检测方法

权利要求书

1.一种基于FSWT时频分布的LDoS攻击检测方法，其特征在于，频率切片小波变换的英文全称是Frequency Slice Wavelet Transform，简称为FSWT，低速率拒绝服务的英文全称是Low-rate Denial ofService，简称为LDoS，该检测方法具体包括以下四个步骤：

步骤1、网络流量采集：在路由器中部署流量采集点，以固定取样间隔获取一段时间内的网络流量，提取TCP流量数据形成原始网络流量；

步骤2、统计特征提取：对原始网络流量进行处理，获取有效网络流量，使用FSWT时频分析技术获取有效网络流量的时频分布，根据有效网络流量的FSWT时频分布提取重要统计特征；

步骤3、特征检测模型构建：使用训练数据的FSWT时频分布的统计特征和标签，训练决策树分类模型，以此来构建特征检测模型；

步骤4、LDoS攻击行为判定：将待测网络流量的FSWT时频分布的统计特征，输入到训练好的特征检测模型，根据特征检测模型的输出结果来判定是否包含LDoS攻击。

2.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤2中对原始网络流量进行处理，获取有效网络流量，使用FSWT时频分析技术处理有效网络流量，获取对应的FSWT时频分布，进一步提取其中重要的统计特征作为检测依据，具体包括如下几个步骤：

步骤2.1、对采集到的原始网络流量进行处理，去除直流分量，获取有效网络流量；

步骤2.2、对有效网络流量进行FSWT时频变换，获取对应的FSWT时频分布，并提取重要的统计特征。

3.根据权利要求2中所述的LDoS攻击检测方法，其特征在于，步骤2.1中的直流分量是指流量的平均值，对步骤1中采集到的原始网络流量进行处理，通过原始网络流量与其平均值的差，来去除原始网络流量中的直流分量，获得有效网络流量。

4.根据权利要求2中所述的LDoS攻击检测方法，其特征在于，步骤2.2中对步骤2.1中获取的有效网络流量，使用FSWT时频分析技术进行处理，以此获取对应的FSWT时频分布，进一步提取时频分布中的重要统计特征作为检测依据，提取的重要统计特征分别有熵、能量占比、对比度和相关性。

5.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤3中使用训练数据的FSWT时频分布的统计特征和标签，训练决策树分类模型，以此来构建特征检测模型，具体包括如下几个步骤：

步骤3.1、获取训练数据对应的FSWT时频分布的重要统计特征和标签；

步骤3.2、将步骤3.1中获得的重要统计特征和标签，对决策树分类模型进行训练，以此构建特征检测模型。

6.根据权利要求5中所述的LDoS攻击检测方法，其特征在于，步骤3.1中随机挑选多组实验数据的一半作为训练数据，根据权利要求1中的步骤1和步骤2对训练数据进行处理，获取对应的FSWT时频分布的重要统计特征和标签。

7.根据权利要求5中所述的LDoS攻击检测方法，其特征在于，步骤3.2中选择决策树分类模型作为特征检测模型，将步骤3.1获取的训练数据的重要统计特征和标签，对决策树分类模型进行训练，并验证训练精度，如果因为过拟合问题导致训练精度过高，将对决策树分类模型进行剪枝等操作，最终构建特征检测模型。

8.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤4根据步骤3中构建的特征检测模型，将待测网络流量的FSWT时频分布的统计特征，输入训练好的特征检测模型，根据模型的输出结果来判定是否包含LDoS攻击，具体判断条件为：如果特征检测模型输出结果为“1”，则该待测网络流量包含LDoS攻击；如果特征检测模型输出结果为“0”，则该待测网络流量不包含LDoS攻击。