[发明专利]一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法

权利要求书

1.一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法，其特征在于，S-R分析是奇异谱分析和秩和比分析，即S分析和R分析相结合的两步分析方法，FASSA-SVM是基于萤火虫算法的麻雀搜索算法FASSA与支持向量机SVM相结合的算法，所述检测方法包括以下几个步骤：

步骤1、采集流量数据：利用软件定义网络的控制器进行数据采集，获取TCP流量序列和UDP流量序列；

步骤2、两步分析数据：使用S分析对TCP流量序列和UDP流量序列去噪，提取去噪后的流量序列特征，对所求流量序列特征进行R分析，得到训练特征集，完成S-R分析；

步骤3、建立检测模型：FASSA-SVM检测模型的建立，包括三个步骤：

步骤3.1、完成麻雀搜索算法SSA中麻雀搜索的过程后，加入萤火虫算法FA中的萤火虫扰动策略，更新麻雀位置，再计算适应度函数值，重复步骤3.1直到完成迭代，形成FASSA算法；

步骤3.2、将FASSA算法的最优解映射为支持向量机SVM的2个重要参数：惩罚参数C和核函数参数gamma，使用优化后的参数作为SVM的输入参数；

步骤3.3、将步骤2所述训练特征集输入SVM进行训练，得到LDoS攻击检测模型FASSA-SVM；

步骤4、攻击检测判定：根据步骤3建立的检测模型，对待检测流量序列进行检测判定。

2.根据权利要求1中所述LDoS攻击检测方法，其特征在于，步骤1中的数据采样基于软件定义网络所采用的OpenFlow协议实现，采集交换机间瓶颈链路的流量，以0.5秒为采样的时间间隔，获取TCP流量序列和UDP流量序列。

3.根据权利要求1中所述LDoS攻击检测方法，其特征在于，步骤2中的两步分析数据，包括三个步骤：

步骤2.1、使用S分析对TCP流量序列和UDP流量序列分别进行去噪，通过S分析得到按奇异值排序的前十个成分序列，排除噪声序列，仅留下前两个序列进行一次重构，得到去噪后的TCP流量序列和UDP流量序列；

步骤2.2、对去噪后的TCP流量序列和UDP流量序列，采用滑动窗口构建检测窗口，自定义窗口长度，保证最新窗口包含最近一个窗口长度的数据，计算每个检测窗口内的4个流量特征，分别为：TCP流量的均值和极差、UDP流量的标准差和极差；

步骤2.3、对所求流量特征进行R分析，并提取单位时间窗口内流量特征的秩和比特征：RSR值、RSR rank值以及Probit值，得到训练特征集，再给训练特征集打上标签：将不存在LDoS攻击时的特征的标签设置为0，将存在LDoS攻击时的特征的标签设置为1。

4.根据权利要求1中所述LDoS攻击检测方法，其特征在于，步骤4利用步骤3中得到的FASSA-SVM检测模型，向该检测模型输入待检测流量序列的秩和比特征，最后输出二分类结果，若输出结果为0，则判定该待检测流量序列不存在LDoS攻击；若输出结果为1，则判定该待检测流量序列存在LDoS攻击。