[发明专利]基于灰色预测模型检测分布式拒绝服务网络攻击的方法

摘要

本发明提出了一种基于灰色预测模型检测分布式拒绝服务网络攻击的方法，主要解决现有技术对于能源和资源需求大、攻击检测速度慢的问题。其方案是：1.提取网络流量特征的；2.根据所提取的网络流量特征，建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型，实现对网络背景辐射流量的识别；3.根据所提取的网络流量特征，建立网络背景辐射流量正常流量和分布式拒绝服务DDoS的流量的一阶单变量灰色模型，实现对分布式拒绝服务DDoS攻击的检测。本发明提高了攻击检测的速度，可用于对于能源和资源的受限的网络设备进行攻击检测。

主权项

1.一种基于灰色预测模型检测分布式拒绝服务网络攻击的方法，包括(1)获取运行网络的网络流量，并提取网络流量的特征值；(2)根据所得到的运行网络流量的特征值建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型：2a)根据提取的网络流量的特征值，得到网络流量的初始特征值序列其中，f_m⁽⁰⁾(l)为网络流量的初始特征值序列的第l个分量，L为建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型的数据量，m＝1，表示建立的是网络背景辐射流量的模型，m＝2表示建立的是非网络背景辐射流量的模型；2b)计算的一阶累加序列为：其中，为的第l个分量；2c)计算一阶累加序列的紧邻均值生成序列Z⁽¹⁾：Z⁽¹⁾＝(z⁽¹⁾(1),z⁽¹⁾(2),...,z⁽¹⁾(l),...,z⁽¹⁾(L))，其中，为紧邻均值生成序列Z⁽¹⁾的第l个分量；2d)构建一阶单变量灰色模型的灰色微分方程为：其中，a为发展系数，b为灰色作用量；2e)求解2d)中灰色微分方程的系数矩阵：得到a和b的解，其中：为用Z⁽¹⁾的分量所构成的矩阵，为用的分量所构成的矩阵；2f)根据2e)计算得到的a和b的解，得到2d)中微分方程的解为：其中，为网络流量的初始特征值序列的第二个值；2g)根据2f)得到的微分方程的解，通过计算建立网络背景辐射流量和非网络背景辐射流量的一阶单变量灰色模型：其中，为微分方程的解的第l+1项，为微分方程解的第l项；(3)根据(2)所建立一阶单变量灰色模型，得到待测运行网络流量经过两种一阶单变量灰色模型后所得的值，简记为灰色值，并分别计算两个灰色值与初始值之间的差值，将差值小的灰色值所对应的模型判定为待测运行网络流量所对应的模型；(4)根据(1)所得到的运行网络流量的特征值，建立网络背景辐射流量的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型:其中，是所要建立的正常流量与分布式拒绝服务DDoS攻击流量的一阶单变量灰色模型，l＝1,2,3,…，表示序列的第l个值，为原始网络流量的特征值序列的第一个值，n＝1，表示建立的是正常的网络背景辐射流量的模型，n＝2，表示建立的是分布式拒绝服务DDoS攻击流量的模型，a为发展系数，b为灰色作用量；(5)根据(4)所建立一阶单变量灰色模型，得到待测网络背景辐射流量经过两种一阶单变量灰色模型后所得的灰色值，并分别计算两种灰色值与运行网络流量的特征值初始值之间的差值，将差值小的灰色值所对应的模型判定为待测网络背景辐射流量所对应的模型；(6)根据(5)得到待测网络背景辐射流量所对应的模型，判断待测的网络背景辐射流量所在的网络中是否存在分布式拒绝服务DDoS攻击：若待测的网络辐射背景流量所对应的模型为分布式拒绝服务DDoS攻击的一阶单变量灰色模型，则该待测网络辐射背景流量为分布式拒绝服务DDoS攻击流量，判为网络中存在分布式拒绝服务DDoS攻击；若待测的网络辐射背景流量所对应的模型为正常网络背景辐射流量的一阶单变量灰色模型，则待测网络辐射背景流量为正常流量，判为网络中不存在分布式拒绝服务DDoS攻击。