[发明专利]一种基于格拉姆角场的低速率拒绝服务攻击检测方法

权利要求书

1.一种基于格拉姆角场的低速率拒绝服务攻击检测方法，其特征在于，所述低速率拒绝服务攻击的检测方法包括以下几个步骤：

步骤1、流量数据采样：

步骤1.1、采样基于软件定义网络及其配套的OpenFlow协议实现，控制器以一定周期为时间间隔实时向网络中的关键交换机申请读取流表信息；

步骤1.2、对实时获取的流表信息进行解析，获得流表中的条目和数据，并提取其中单位时间窗口内所有流经交换机的TCP流量和UDP流量，作为TCP原始流量数据和UDP原始流量数据；

步骤2、检测模型建立：

利用格拉姆角场算法分别对采集到的TCP原始流量数据和UDP原始流量数据进行处理，其中，格拉姆角场算法采用角度和的三角函数变换，具体可分为三个步骤：

步骤2.1、分别将TCP原始流量数据和UDP原始流量数据进行归一化，使其分别映射到[-1,1]的范围内；

步骤2.2、对于归一化后的TCP原始流量数据和UDP原始流量数据，分别计算获得其对应的余弦极坐标值序列；

步骤2.3、结合内积操作对一维余弦极坐标值序列进行角度和的三角函数变换，获得二维矩阵，将矩阵保存为图片，获得TCP流量图片模型和UDP流量图片模型；

步骤3、模型特征提取：

基于建立的TCP流量图片模型和UDP流量图片模型，分别提取两个模型的颜色矩特征，获得共五个特征值，具体步骤为：

步骤3.1、对于TCP流量图片模型，提取其R通道一阶矩和B通道二阶矩；

步骤3.2、对于UDP流量图片模型，提取其R通道一阶矩、B通道一阶矩和B通道二阶矩；

步骤4、攻击判定检测：

步骤4.1、将步骤3提取的五个特征值作为AHP算法的输入，AHP算法是指层次分析法算法，使用AHP算法对五个特征进行计算打分，得到一个分数值；

步骤4.2、将此分数值输入到训练好的K临近值分类器进行分类，若K临近值分类器的输出标签值与存在攻击时设定的标签值相符，则判定该时间窗口内网络发生了低速率拒绝服务攻击。

2.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤4.2对K临近值分类器的输出标签值进行判定的具体操作为：定义标签值0对应不存在低速率拒绝服务攻击时的分数值，标签值1对应存在低速率拒绝服务攻击时的分数值，则判定是否存在低速率拒绝服务攻击的具体准则为：若K临近值分类器输出的标签值为0，则判定当前窗口内不存在低速率拒绝服务攻击，若K临近值分类器输出的标签值为1，则判定当前时间窗口内存在低速率拒绝服务攻击。

3.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，对于步骤4.2使用的K临近值分类器，其训练集为同时包含不存在低速率拒绝服务攻击和存在此攻击的分数值序列以及其对应的标签值序列，其中，分数值序列中每一个分数值的获得方式与权利要求1中所述的步骤一致，标签值序列中的每一个标签值由人为给定。