[发明专利]一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法

说明书

本发明公开了一种基于S‑R分析和FASSA‑SVM的LDoS攻击检测方法，属于网络安全领域。其中所述方法包括：采集软件定义网络(SDN)中交换机间瓶颈链路的流量，获取TCP流量序列和UDP流量序列。使用奇异谱分析对流量序列去噪，提取去噪后的流量序列特征，对所求流量序列特征进行秩和比分析，得到训练特征集，完成S‑R分析。基于训练特征集，使用基于萤火虫算法的麻雀搜索算法(FASSA)与支持向量机(SVM)相结合的算法进行训练，得到LDoS攻击检测模型FASSA‑SVM。对于待检测流量序列，将其秩和比特征输入检测模型FASSA‑SVM，最后根据二分类结果判定是否存在LDoS攻击。本发明公开的方法准确率高，误报率、漏报率较低，且能实际部署在SDN控制器上，实现对SDN环境中LDoS攻击的准确检测。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法。

背景技术

拒绝服务(DoS)攻击以简单又暴力的攻击手段，通过借助合理的方式来致使被攻击对象无法向合法用户提供正常的服务来达到攻击目的。而慢速拒绝服务(LDoS)攻击则是DoS攻击的一个特殊变种，具有周期性和低速率性等特点。LDoS攻击相比DoS攻击更加隐蔽，从而难以使用对传统DoS攻击的防范机制来进行检测。另外，现有的检测方法普遍存在准确率较低、复杂度较高、误报率和漏报率高等问题。

由于传统网络架构出现了更新速度缓慢，系统复杂僵化，管理困难等一系列问题，软件定义网络(SDN)的出现为传统网络管理带来了新的思路。作为一种新型的网络体系结构，SDN通过将控制逻辑与传统网络设备的封闭式和专有实现方式分离开来，提供了网络可编程化、网络集中管理、自动化部署和动态控制网络流量等功能，然而，其网络安全现状并不会因为其采用了新型架构而发生根本性的改变。一旦SDN的控制层遭受到了LDoS攻击，整个网络的管理便会受到影响，甚至可能会造成全网DoS。控制层是SDN的逻辑控制中心，若控制层无法及时对网络的状态进行判断与调整，LDoS攻击可能会带来更严重的损害，造成比传统网络中更严重的后果。

本发明针对SDN体系结构所面临的LDoS攻击安全隐患，以及传统LDoS攻击检测算法检测率较低、误报率和漏报率较高、实际部署难等问题，提出了一种SDN环境中基于S-R分析和FASSA-SVM的LDoS攻击检测方法。该方法通过SDN控制器轮询，在提取TCP、UDP流量序列后对其进行奇异谱分析(S分析)去噪，然后根据去噪后的序列计算TCP和UDP的4组流量特征值，再对流量特征值进行秩和比分析(R分析)，完成上述两步分析(S-R分析)之后，将得到的秩和比特征集作为训练特征集，输入基于萤火虫算法和麻雀搜索算法的支持向量机(FASSA-SVM)，从而构建LDoS攻击检测模型，最终根据检测模型的输出结果判定网络中是否存在LDoS攻击。该方法检测准确率较高，且误报率和漏报率低，能够实际部署在SDN控制器上，因此该检测方法可普适于检测SDN中的LDoS攻击。

发明内容

针对SDN体系结构所面临的LDoS攻击安全隐患，以及传统LDoS攻击检测方法普遍存在检测准确度不高，实际部署难等问题，本发明提出了一种SDN环境下基于S-R分析和FASSA-SVM的LDoS检测方法。该LDoS攻击检测方法能够实际部署在控制器上，实现SDN网络对LDoS攻击的检测，检测准确率高，且误报率和漏报率低。因此该检测方法可普适于准确检测SDN中的LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该LDoS检测方法主要包括四个步骤：

采集流量数据、两步分析数据、建立检测模型、攻击检测判定。

1.采集流量数据。基于软件定义网络所采用的OpenFlow协议，采集交换机间瓶颈链路的流量，以0.5秒为采样的时间间隔，获取TCP流量序列和UDP流量序列，作为原始流量数据。