[发明专利]一种基于HSS算法的慢速拒绝服务攻击检测方法

说明书

本发明公开了一种基于希尔伯特黄变换、斯皮尔曼等级相关和和支持向量机(HSS)的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：对采集到的网络数据报文，采用希尔伯特黄变换将其分解为多个固有模式函数和一个余项，然后对所有固有模式函数进行希尔伯特变换，得到一个希尔伯特谱。使用无攻击的样本数据进行希尔伯特黄变换得到基准希尔伯特谱，计算样本希尔伯特谱与基准希尔伯特谱之间的斯皮尔曼系数，定量计算该检测单元内TCP流量对应的希尔伯特谱与基准希尔伯特谱之间的相似度，并将相似度输入到预先训练的支持向量机中，根据相关判定准则，是否存在因慢速拒绝服务攻击，导致网络流量的相似性发生变化，来检测该时间窗口内是否发生慢速拒绝服务攻击。本发明提出的基于TCP流量频域特征的检测方法能有效的检测慢速拒绝服务攻击。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于HSS算法的慢速拒绝服务攻击(LDoS)检测方法。

背景技术

拒绝服务(DoS)攻击，其根本目的是使得受害网络或主机无法及时接受并处理外界请求，或者无法及时响应服务请求，从而导致网络或者目标计算机无法提供正常的服务。DoS攻击对网络危害巨大。而LDoS攻击，是一种新型DoS攻击。其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。

目前LDoS攻击检测存在两个方面的问题：其一是由于攻击行为特征异于传统DoS攻击，传统DoS检测方法难以检测LDoS攻击，其二是已有的LDoS攻击检测方法普遍存在检测准确度不高，误报率和漏报率较高等特点。

本发明针对现已提出的LDoS攻击检测方法普遍存在检测准确度不高，误报率和漏报率较高等特点，提出了一种基于斯皮尔曼等级相关(Spearman’s Rank Correlation)、希尔伯特黄变换(Hilbert-Huang Transform)和支持向量机(Support Vector Machine)的HSS方法来检测LDoS攻击。该方法在计算斯皮尔曼等级相关系数之前，利用希尔伯特黄变换对网络流量进行预处理，并利用支持向量机将网络流量划分为LDoS攻击流量和正常网络流量。利用希尔伯特黄变换计算出的希尔伯特谱是一种能量-频率-时间分布，它比原始网络流量更能显示网络流量的基本信息，因为原始网络流量包含了由沉默和意外引起的干扰信息。该LDoS攻击检测方法，对LDoS攻击的检测准确度较高，同时误报率和漏报率较低。因此该检测方法可准确检测LDoS攻击。

发明内容

针对现已提出的LDoS攻击检测方法普遍存在检测准确度不高，误报率和漏报率较高等特点，提出了一种LDoS攻击检测方法。本检测方法基于希尔伯特黄变换、斯皮尔曼等级相关和支持向量机。在该方法中，网络流量被视为离散信号。对于每个检测单元，利用希尔伯特黄变换可以得到一系列代表网络流量特征的希尔伯特谱。然后，利用相应的公式计算出希尔伯特谱与基希尔伯特谱之间的斯皮尔曼等级相关系数。然后计算出斯皮尔曼等级相关系数级数的平均值。最后，我们将该均值放入经过训练的支持向量机中，来判断是否存在LDoS攻击流量。如果分类号为1，则当前检测单元受到LDoS攻击。该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，因此该检测方法可普适于准确检测LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该LDoS攻击检测方法主要包括四个步骤：采样数据、处理数据、分析数据以及判定检测。

1.采样数据。对路由器中的数据报文，以固定取样时间获取单位时间内所有数据报文，形成样本原始值。

2.处理数据。希尔伯特黄变换是一种信号分析方法，这种分析方法能够有效地对非平稳非线性的信号进行分析。希尔伯特黄变换的第一阶段是经验模式分解(EMD)，在这个阶段中，使用筛选过程对原始信号进行分解，这个阶段的目的是将原始信号分解为多个固有模式函数(IMF)和一个余项。IMF是满足以下两个条件的函数：

1)极值数和过零点数必须相等或最多相差一个。

2)在任何时候，局部最大值所定义的上包络线与局部极小值所定义的下包络线，两者平均值为零。