[发明专利]一种基于FSWT时频分布的LDoS攻击检测方法

说明书

本发明公开了一种基于FSWT时频分布的LDoS攻击检测方法，属于计算机网络安全领域。其中所述方法包括四个步骤，网络流量采集、统计特征提取和特征检测模型构建、LDoS攻击行为判定。首先在路由器上提取TCP流量形成原始网络流量；然后处理原始网络流量获得有效网络流量，使用FSWT时频变换技术获取有效网络流量的时频分布，并计算重要统计特征作为检测依据；通过训练数据的统计特征和标签，训练决策树分类模型作为特征检测模型；以上述训练好的特征检测模型的输出来判断是否发生LDoS攻击。本发明提出的LDoS攻击检测方法，对复杂网络环境中噪声等问题有很好的抗干扰性，该方法能够准确提取网络流量在时频域中的特征信息，提高特征的准确性，增强LDoS攻击的检测性能。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于FSWT时频分布的LDoS攻击检测方法。

背景技术

低速率拒绝服务(Low-rate Denial ofService,LDoS)攻击是一种具有周期性、隐藏性、低速率等特点的攻击，是拒绝服务(Denial ofService,DoS)攻击的一种。它恶意抢占消耗目标资源，导致目标网络性能下降、服务质量降低，破坏性较强，难以检测及防御。因此，研究LDoS攻击检测方法，对计算机网络安全领域的发展具有重要意义。

现有的LDoS攻击检测方法研究，根据特征一般分为三类，即基于时域的LDoS攻击检测方法、基于频域的LDoS攻击检测方法和基于时频域的LDoS攻击检测方法。

基于时域的LDoS攻击检测有其特有的优势，一般情况下，时域的分析更加直观，因为时域分析直接根据网络流量的直观表现进行分析，来提取统计特征(如最值、均值、方差、变异系数、流量占比等)。但是LDoS攻击信号是一个周期性的信号，其周期性在时域中很难有所直接表现。对于时域统计特征较少的LDoS攻击检测方法，由于可能存在不同于LDoS攻击的网络行为也会导致与LDoS攻击相同的特征表现，因此较少的时域统计特征不能完全表征LDoS攻击行为，其检测结果具有一定的误报和漏报。

基于频域变换的LDoS攻击检测技术，通过将网络流量从时域变换到频域，再进行频谱分析，提取其频域特征(如重心频率、平均频率、均方根频率以及频率标准差)，这种技术能更好地分析网络行为的改变，特别是对于存在周期性信号LDoS攻击的网络来说，网络流量中频谱的频率分量会相应地改变，故分析网络流量的频域特征能准确地表征流量的频谱信息。这种技术的不足之处在于，基于频域的变换无法同时提供信号在时域和频域上的信息，它只能获取一段信号总体上包含哪些频率的成分，但是对各成分出现的时刻并无所知。因此，时域相差很大的两个信号，只要存在相同的频率成分，可能频谱图的表现一样，所以基于频域的特征可能并不能完全表征LDoS攻击的特性。

近年来，许多学者将基于时频域的方法运用在对网络流量的分析上，证明了时频分析方法能够提取其局部特征信息，有利于反映网络流量在时域和频域两个方面包含的细节信息，弥补了时域和频域分析方法的局限，且适用于非线性非平稳信号的处理。现有的基于时频域的LDoS攻击检测方法，一般是基于传统的时频分析技术，如短时傅里叶变换(Short-Time Fourier Transform,STFT)、希尔伯特黄变换(HilbertHuang Transform,HHT)等，这些时频域分析方法存在局限性，如：STFT的窗函数限制了时频分辨率；HHT变换的基础为经验模态分解，其完全根据信号自身进行自适应分解，但在分解含有窄带干扰的局部信号时，会产生模态混叠现象，影响时频特征提取的准确性。这些时频分析方法的局限性，会直接影响提取特征的准确性，导致检测性能不高。