一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统技术方案

本发明专利技术提供一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统，系统包络网络数据包采集模块、报文格式识别模块、模糊推理模块和报警模块；其中网络数据采集模块、报文格式识别模块先后串联，报文格式识别模块传递出流量属性信息给模糊推理模块和报警模块，模糊推理模块传递出推理结果给报警模块，本发明专利技术解决了分布式网络攻击流量识别、预警问题，通过使用本发明专利技术可以结合网络流量特征定义模糊推理中的知识库，有效提高了分布式网络攻击的识别率，降低了分布式网络攻击的虚警率。

【技术实现步骤摘要】

本专利技术属于网络安全
，涉及网络攻击检测，特别涉及一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统。
技术介绍
随着网络通信技术和计算机技术的不断发展，网络安全问题层出不穷。在网络安全问题中，分布式拒绝服务攻击越来越多的被运用到攻击事件中，由于其阻断目标通信和服务和的效果危害显著，使其成为计算机网络攻击的主要手段之一。分布式拒绝服务攻击是指借助于客户/服务器技术，木马病毒技术，僵尸网络技术等将多个计算机、服务器、网络设备联合起来作为攻击平台，对一个或多个网络目标发动分布式拒绝服务攻击。攻击者通过控制软件、程序控制多台网络设备在同一时间对某个网络设备重复发送大量畸形报文、连接请求、服务请求造成被攻击的网络设备带宽拥挤、硬件资源耗尽、服务瘫痪达到攻击者的破坏目的。模糊推理是一项上世纪七十年代发展起来的基于模糊数学的控制技术。实践中，许多大规模的复杂系统很难用精确的数学表达式来表示其模型，于是智能控制的出现，可以有效地将熟练操作工、技术人员或专家的经验知识与控制理论结合起来去解决复杂系统的控制问题。1965年，美国的L.A.Zadeh创立了模糊集合论，1973年他给出了模糊逻辑控制的定义和相关的定理。1974年，英国的E.H.Mamdani首先用模糊控制语句组成模糊控制器，并把它应用于锅炉和蒸汽机的控制，在实验室获得成功。相比传统的控制技术，模糊控制具有无需知道被控对象数学模型、可以反映人类思维方式智能控制、控制规则易于理解、构造容易、高鲁棒性等优势。入侵检测是入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统可分为特征检测与异常检测两种。目前入侵检测产品主要使用特征检测实现，即通过检测主体活动是否符合已知的入侵模式、规则。这种方法对新的入侵方式无能无力，其使用难点在于定义出合适的模式、规则。分布式拒绝服务网络攻击具有非线性、非时变难于定义特征的特点，造成了现有的入侵检测系统不能有效的对分布式拒绝服务网络攻击进行告警或产生大量虚警，因此找到一种异常检测办法十分必要。
技术实现思路
为了克服上述现有技术的缺点，本专利技术的目的在于提供一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统，解决了入侵检测问题中分布式拒绝服务网络攻击的识别问题，通过使用本专利技术可以结合具体的网络环境配置系统的相关参数，有效提高入侵检测对分布式拒绝服务网络攻击的识别率和准确率。为了实现上述目的，本专利技术采用的技术方案是：一种基于模糊推理的分布式拒绝服务网络攻击检测方法，包括以下步骤：步骤1：获取网络数据包；步骤2：对获取到的网络数据进行识别，该步骤是对已知协议的识别，解析已知的协议；步骤3：用已知的分布式拒绝服务网络攻击特征规则匹配网络数据，如果匹配进行报警，不匹配则对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行提取；步骤4：对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行模糊化；步骤5：根据知识库和规则库对输入进行模糊推理；步骤6：对推理结果进行去模糊化；步骤7：根据推理结果选择是否告警。所述步骤1中，从网络中通过以下两种方式采集网络数据包：1)采用网络嗅探方式获取网络数据包，所述嗅探方式是指将网络设备的网卡设置为混杂模式，通过调用网络截包工具来捕获所在线路的网络数据包；2)通过网络端口镜像功能获取网络数据包，所述端口镜像方式是指将将网络设备的采集端口映射到另一端口，数据实现实时拷贝，从而实现数据包采集；所述步骤2和步骤3具体包括以下步骤：1)可配置过滤网络数据包的源和目的地址的ip、端口、协议，默认不进行过滤；2)用报文格式库已知的传输协议匹配捕获的网络数据包格式，得到识别结果；3)对初始化时参数设置的网络数据包进行速率、速率增速计算以及IP地址数量、增速计算；4)提取计算得到的参数。所述步骤4中模糊化是将输入的精确数值转换成模糊量，具体过程为：尺度变化，将输入变量由基本论语变换到各自的论域范围，将变换后的输入量进行模糊化，使精确的输入量变成模糊量，并用相应的模糊集来表示。所述步骤5中，知识库为数据库，主要包括各语言变量的隶属函数，尺度变换因子及模糊空间的分级数；规则库包括用模糊语言变量表示的一系列控制规则，它们反映了控制专家的经验和知识，所述模糊推理模拟人的基于模糊概念的推理能力，根据输入的速率以及速率增量进行模糊推理，得到推理结果；所述步骤6中，去模糊化是将模糊推理得到的模糊控制量变化为实际用于控制的清晰量，包括将模糊量经清晰化变换成论域范围的清晰量以及将清晰量经尺度变换成实际的网络攻击指示信息。所述步骤7中，根据模糊推理结果匹配已有的攻击特征，如果匹配则进行报警。本专利技术还提供了一种基于模糊推理的分布式拒绝服务网络攻击检测系统，包括：用于从网络中获取网络数据包的网络数据包采集模块；用于对所获取网络数据包进行识别以得到流量属性信息的报文格式识别模块；用于将所述流量属性信息模糊化并进行模糊推理及去模糊化的模糊推理模块；以及用于根据模糊推理模块的推理结果进行报警的监控报警模块。所述网络指计算机通信交换数据使用的网络，形式上包括广域网骨干网络和交换式以太局域网络，所述网络数据包采集模块对所在线路的网络数据包进行全部采集，之后将获取到的网络数据包发给报文格式识别模块。所述报文格式识别模块对网络数据包采集模块发送的网络数据包进行过滤和分析识别，包括：1)报文格式识别模块系统参数初始化，可配置过滤网络数据包的源和目的地址的ip、端口、协议，默认不进行过滤；2)用报文格式库已知的传输协议匹配捕获的网络数据包格式，得到识别结果；3)对初始化时参数设置的网络数据包进行速率、速率增速计算以及IP地址数量、增速计算；4)将网络数据包格式、速率、数据包速率增速、IP地址数量、IP地址增速发送给模糊推理模块。所述模糊推理模块基于模糊推理，包括：1)模糊化，将输入的精确数值转换成模糊量，具体过程为：尺度变化，将输入变本文档来自技高网...

【技术保护点】
一种基于模糊推理的分布式拒绝服务网络攻击检测方法，其特征在于，包括以下步骤：步骤1：获取网络数据包；步骤2：对获取到的网络数据进行识别；步骤3：用已知的分布式拒绝服务网络攻击特征规则匹配网络数据，如果匹配进行报警，不匹配则对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行提取；步骤4：对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行模糊化；步骤5：根据知识库和规则库对输入进行模糊推理；步骤6：对推理结果进行去模糊化；步骤7：根据推理结果选择是否告警。

【技术特征摘要】
1.一种基于模糊推理的分布式拒绝服务网络攻击检测方法，其特征在于，
包括以下步骤：
步骤1：获取网络数据包；
步骤2：对获取到的网络数据进行识别；
步骤3：用已知的分布式拒绝服务网络攻击特征规则匹配网络数据，如
果匹配进行报警，不匹配则对数据包速率、数据包速率增速、IP地址数量、
IP地址增速参数进行提取；
步骤4：对数据包速率、数据包速率增速、IP地址数量、IP地址增速参
数进行模糊化；
步骤5：根据知识库和规则库对输入进行模糊推理；
步骤6：对推理结果进行去模糊化；
步骤7：根据推理结果选择是否告警。
2.根据权利要求1所述基于模糊推理的分布式拒绝服务网络攻击检测方
法，其特征在于，
所述步骤1中，从网络中通过以下两种方式采集网络数据包：
1)采用网络嗅探方式获取网络数据包，所述嗅探方式是指将网络设备的
网卡设置为混杂模式，通过调用网络截包工具来捕获所在线路的网络数据包；
2)通过网络端口镜像功能获取网络数据包，所述端口镜像方式是指将将
网络设备的采集端口映射到另一端口，数据实现实时拷贝，从而实现数据包
采集；
所述步骤2和步骤3具体包括以下步骤：
1)可配置过滤网络数据包的源和目的地址的ip、端口、协议，默认不
进行过滤；
2)用报文格式库已知的传输协议匹配捕获的网络数据包格式，得到识别

\t结果；
3)对初始化时参数设置的网络数据包进行速率、速率增速计算以及IP
地址数量、增速计算；
4)提取计算得到的参数。
3.根据权利要求1所述基于模糊推理的分布式拒绝服务网络攻击检测方
法，其特征在于，所述步骤4中模糊化是将输入的精确数值转换成模糊量，
具体过程为：尺度变化，将输入变量由基本论语变换到各自的论域范围，将
变换后的输入量进行模糊化，使精确的输入量变成模糊量，并用相应的模糊
集来表示。
4.根据权利要求1所述基于模糊推理的分布式拒绝服务网络攻击检测方
法，其特征在于，所述步骤5中，知识库为数据库，主要包括各语言变量的
隶属函数，尺度变换因子及模糊空间的分级数；规则库包括用模糊语言变量
表示的一系列控制规则，它们反映了控制专家的经验和知识，所述模糊推理
模拟人的基于模糊概念的推理能力，根据输入的速率以及速率增量进行模糊
推理，得到推理结果；所述步骤6中，去模糊化是将模糊推理得到的模糊控
制量变化为实际用于控制的清晰量，包括将模糊量经清晰化变换成论域范围
的清晰量以及将清晰量经尺度变换成实际的网络攻击指示信息。
5.根据权利要求1所述基于模糊推理的分布式拒绝服务网络攻击检测方
法，其特征在于，所述步骤7中，根据模糊推理结果匹配已有的攻击特征，
如果匹配则进行报警。
...

【专利技术属性】
技术研发人员：覃征，李志鹏，黄凯，叶树雄，杨晓，张任伟，徐凯平，
申请(专利权)人：清华大学，
类型：发明
国别省市：北京;11