[发明专利]一种基于HSS算法的慢速拒绝服务攻击检测方法

权利要求书

1.一种基于HSS算法的慢速拒绝服务攻击检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：

步骤1、采样数据：获取服务器中的数据报文，对单位时间内所有数据报文进行采样，形成样本原始值；

步骤2、处理数据：基于希尔伯特黄变换，将样本数据从时域转换到频域，得到希尔伯特谱；

步骤3、分析数据：根据该单位时间内希尔伯特谱与基准希尔伯特谱，分析计算该单位时间内斯皮尔曼等级相关；

步骤4、判定检测：使用预先训练的支持向量机，对该单位时间内的数据报文进行判定检测，若支持向量机的输出为1，则判定为该单位时间内网络中发生慢速拒绝服务攻击。

2.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤1中对网络中服务器中的数据报文，以固定取样时间获取单位时间内所有数据报文，形成样本原始值。

3.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2中根据步骤1获取的样本原始值，基于希尔伯特黄变换，计算获得样本希尔伯特谱，希尔伯特黄变换的第一阶段，使用筛选过程对原始信号进行分解，这个阶段的目的是将原始信号分解为多个固有模式函数和一个余项，第二阶段为希尔伯特谱分析，在这个过程中，需要对所有固有模式函数进行希尔伯特变换，从而得到一个希尔伯特谱，包括两个步骤：

步骤2.1、基于希尔伯特黄变换，挑选无攻击的样本数据，计算该单位时间内的希尔伯特谱，称为基准希尔伯特谱；

步骤2.2、基于希尔伯特黄变换，计算样本数据单位时间的希尔伯特谱。

4.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3中根据步骤2中计算获得的该单位时间内希尔伯特谱与基准希尔伯特谱，分析计算该单位时间内斯皮尔曼等级相关系数。

5.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4中根据步骤3中计算获得的该单位时间内斯皮尔曼等级相关系数，对该单位时间内的数据报文进行判定检测，包括两个步骤：

步骤4.1、基于预先存储的斯皮尔曼等级相关系数，将多个单位时间构成一个检测单元，计算该检测单元内斯皮尔曼等级相关系数序列的均值；

步骤4.2、将均值输入预先训练的支持向量机，得到支持向量机的输出，根据支持向量机输出的1或0，判断是否发生了慢速拒绝服务攻击。

6.根据权利要求5中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4.2支持向量机的训练方式为：计算训练数据单位时间内希尔伯特谱与步骤2.1中的基准希尔伯特谱之间的斯皮尔曼等级相关，每个检测单元内斯皮尔曼等级相关系数序列的均值和相应的分类数值被用于训练支持向量机，慢速拒绝服务攻击的网络流量被分类为1，正常网络流量被分类为0。

7.根据权利要求5中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4.2中对支持向量机输出进行检测的判定准则为：若支持向量机输出为1，则该检测单元内含有慢速拒绝服务攻击，若支持向量机输出为0，则该检测单元内不含有慢速拒绝服务攻击。