低速率拒绝服务攻击(Low‑Rate Denial of Service,LDoS)具有平均速率低、隐蔽性强的特点,传统的检测方法难以奏效。本发明专利技术根据多重分形存在于网络流量中的特点,提出一种基于小波变换与组合神经网络相结合的检测方法来检测LDoS攻击。这种检测方法首先把采集到的流量进行小波变换,将小波能量谱系数化为归一化小波能量谱系数(Normalized Wavelet Energy Spectrum Coefficients,NWESCs)。再将NWESCs分为五类,作出初步的小波能量谱系数图。将分组后的NWESCs作为训练序列对二层神经网络训练,并保存得分类器。该方法与其他方法相比有更高的检测率。
【技术实现步骤摘要】
本专利技术涉及一种计算机网络安全技术,尤其是针对低速率拒绝服务(Low-rateDenialofService,LDoS)攻击的检测,可以高准确率的检测出攻击。
技术介绍
低速率拒绝服务LDoS攻击是一种新型的拒绝服务(DenialofService,DoS)攻击方式。自LDoS攻击被发现的那一天起,它就一直是网络安全领域的研究热点。LDoS攻击的本质是利用网络系统中自适应机制所存在的漏洞,造成虚假拥塞,迫使TCP连接的服务质量大大降低。据统计,网络中80%以上的流量是TCP,因此,LDoS攻击会产生巨大的威胁。LDoS攻击不需一直维持很高的攻击速率,只需在固定的周期发送高速率的短脉冲攻击流。因此,LDoS攻击的平均速率低,甚至低于正常的网络流量。这种特点使得LDoS攻击具有很强的隐蔽性,传统的检测方法难以奏效。虽然LDoS攻击有很多变种,但它们都是利用网络协议和网络服务的漏洞。Kuzmanovic等人提出了一种叫做地鼠攻击的LDoS攻击方式。攻击者发送与RTO相同周期的高速矩形脉冲流,使TCP端系统频繁的进入超时状态。Guirguis等人研究了另一种类型的LDoS攻击称为RoQ攻击。RoQ攻击利用网络自适应机制的漏洞,降低网络的服务质量。此外,他们采用一种控制理论模型和相关指标来量化这些漏洞,并评估对TCPRED自适应机制的潜在损害。Tang等研究了LDoS攻击对反馈控制系统的威胁。他们建立了一个ON/OFF模型来描述系统的攻击。证明LDoS攻击可以造成ON/OFF系统处于不稳定的状态。此外,他们采用了Web服务器和IBMNotes服务器做攻击性能的评估。Luo等进一步推导了LDoS攻击的数学模型,用于评估攻击的影响和提取攻击特征。该模型是基于TCP的拥塞窗口,能揭示一些LDoS攻击和网络环境之间的相互作用关系。上述对于LDoS模型或性能的研究为LDoS攻击检测的研究提供坚实的基础。最近许多研究表明,多重分形理论有助于分析在网络流量在小时间尺度上的特征。TCP协议的拥塞控制机制是导致网络流量多重分形特征的主要因素。当LDoS攻击发出,受害网络频繁的进行拥塞控制(如超时重传时间,快速重传,快速恢复)。在这种情况下,网络的多重分形特性会出现不寻常特征,这可作为识别的LDoS攻击流量的基础。基于上述分析,网络流量分为两类:正常网络流量和LDoS攻击流量。LDoS攻击流量的识别可以被视为一个网络流量分类问题。这样分类的目标是通过学习训练集的数据,建立一个分类模型来预测未知的流量类别。组合神经网络是一种更优秀的分类器,能更好的分辨这两类流量。到目前为止,检测LDoS攻击的主要方法是利用信号处理技术分析网络流量的时频域特征。Chen等人提出了一种检测周期LDoS攻击的频域分析方法。首先对网络包数量进行采样,然后计算包个数序列的归一化累积功率谱密度(NCPSD),在固定频点通过阈值比较法确定是否发生LDoS攻击。该方法实现了多个路由器协同检测,只需要一点时间来成功检测LDoS攻击。Luo等发现LDoS攻击导致上行TCP流量和下行ACK流量异常波动。基于此,他们利用离散小波变换(DWT)和CUSUM法检测的变化点。实验结果表明,该方法能够有效的鉴别LDoS攻击,具有较低的时间复杂度。现有的基于信号处理识别方法通常有三大缺点:1)这些方法主要分析上行或下行流量,没有提取LDoS攻击的本质特征。一个聪明的攻击者可以通过隐藏已知的流量特征逃避检测。2)这些方法的结果对检测参数的选择很敏感,因此,随着网络规模的扩大和网络带宽的增加,检测的准确性和效率将会大大降低。3)在实际网络中经常出现的一些正常随机突发流会影响这些算法的检测性能,呈现出较低的检测概率,更高的漏警率和更高的虚警率。本专利设计了一种新的方法来识别LDoS攻击流量。该方法依赖于LDoS攻击流量的多重分形特征。将小波变换和神经网络相结合使用形成一种新的LDoS攻击识别方法。首先,对不同的网络流量(正常网络流量和LDoS攻击流量)进行多重分形分析,使用离散小波变换获得网络流量的小波能量谱系数。然后,设计两层的组合神经网络模型来分类小波能量频谱系数,有类似行为的属于同一类网络流量,而不同行为的属于不同类网络流量。大量的实验证明,所设计的方法优于其他检测方法,有更高的识别率,较低的虚警率,和较低的漏警率。
技术实现思路
在受害端采集网络流量(图1),将所采集的数据进行db五阶小波变换,一个网络流量信号X(t)可以被尺度函数和小波函数表示:其中,是尺度系数,dj,k是小波系数。多重分形可以反应小时间尺度上的网络流量特征,而小波能量谱可以用来评估多重分形特征。假设X(t)是多重分形过程,dj,k是小波系数,小波能量谱系数μj为dj,k的平方均值:nj是小波系数在尺度j下的个数,μj是可用带宽在2-1频率在2-1ω0能量谱系数。得出μj后,对μj进行零均值化处理:其中J是最大的时间尺度。这些就是标准化小波能量谱系数(NormalizedWaveletEnergySpectrumCoefficients,NWESCs)。NWESCs作为神经网络的输入数据。设计组合神经网络模型。神经网络是一种典型的机器学习算法,而组合神经网络比单神经网络模型的精度要高。组合神经网络是基于堆栈泛化理论的,即前一层的预测结果作为后一层的输入,并在最后输出预测值。基于上述理论,建立一个两层的组合神经网络模型。因为有两类数据(正常流量和LDoS流量),因此第一层包含两个子网络,而第二层网络的输入数据是来自第一层的输出,两层训练目标是相同的。对于组合神经网络的每一层,采用MLPNN(MultilayerPerceptronNeuralNetwork)模型。对于隐含层的每一个神经元j,输出yj是输入信号xi与权值wji相乘求和的函数:yj=f(∑wjixi)f是一个激活函数,它可以把所有信号的总和转换为一个神经元,本专利选用S型函数作为隐含层和输出层的激活函数。后向学习算法用于训练多层神经网络,在后向学习算法中,均方误差作为期望与实际输出的误差E,可以表示为:ydj是期望输出神经元,yj是实际输出神经元。在第一层和第二层神经网络中,Levenberg-Marquardt优化算法可以最快的是E减小。将所分类数据分别作为训练序列进入二层BP神经网络,将训练好的网络保存,做为分类器使用。附图说明图1为TCP流量分布图,(a)表示正常情况,(b)表示有LDoS攻击时的流量分布图;图2为实验环境拓扑图;图3为小波能量谱比较图,(a)表示上行流量,(b)表示下行流量,(c)表示双向流量;图4为隐含层神经元个数比较图;图5为组合神经网络输出图,(a)为上行输出,(b)为下行输出,(c)为双向输出,(d)为上行+下行输出,(e)为上行+下行+双向输出;图6为本专利实验方法流程图。具体实施方法1.首先验证LDoS攻击检测效果,利用test-bed搭建实际实验环境。图2为实验环境的拓扑图。其中,有4个客户端,一个攻击端,一个FTP服务器,瓶颈链路带宽为10Mbps,其余带宽为100Mbps。FTP服务器基于TCP协议,因此服务端为受害端,用户从FTP服务器下载资源。实验中,LDoS产生工具发送基于UDP的脉冲,阻本文档来自技高网...
【技术保护点】
基于小波能量谱和组合神经网络的低速率拒绝服务攻击(Low‑rate Denial of Service,LDoS)检测方法,其特征在于:将流量的小波能量谱系数作为特征,将组合神经网络作为分类器,对正常流量和LDoS攻击流量进行分类;是通过以下步骤实现的:(1)在受害端采集网络流量;(2)对正常流量和攻击流量分别进行小波变换,得到小波系数;(3)计算零均值化的小波能量谱系数;(4)设计一个组合神经网络模型;(5)利用不同的采样数据对组合神经网络进行训练,得到分类器;(6)将测试数据集作为输入,验证检测性能。
【技术特征摘要】
1.基于小波能量谱和组合神经网络的低速率拒绝服务攻击(Low-rateDenialofService,LDoS)检测方法,其特征在于:将流量的小波能量谱系数作为特征,将组合神经网络作为分类器,对正常流量和LDoS攻击流量进行分类;是通过以下步骤实现的:(1)在受害端采集网络流量;(2)对正常流量和攻击流量分别进行小波变换,得到小波系数;(3)计算零均值化的小波能量谱系数;(4)设计一个组合神经网络模型;(5)利用不同的采样数据对组合神经网络进行训练,得到分类器;(6)将测试数据集作为输入,验证检测性能。2.根据权利要求1所述的小波功率谱和组合神经网络的LDoS攻击检测方法,其特征在于:其中,步骤(1)是分别采集正常流量和攻击流量的上行、下行和双向数据,采样间隔500ms,采样周期5min,采样值以Byte为单位;步骤(2)将所采集的数据当作一个网络流量样本信号X(t),根据如下算法进行db五阶小波变换:其中,是尺度系数,是小波系数,尺度函数和小波函数;步骤(3)将小波系数进行平方均值化,得到小波能量谱系数其中,是小波系数在尺度j下的个数;然后,对进行零均值化处理:其中,J是最大时间尺度;步骤(4)所设计...
【专利技术属性】
技术研发人员:岳猛,刘亮,
申请(专利权)人:中国民航大学,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。