一种基于逻辑回归的应用层DDoS攻击检测方法技术

本发明专利技术涉及一种基于逻辑回归的应用层DDoS攻击检测方法，包括：以访问用户的IP地址为标识，提取用户访问行为的特征集；计算用户的逻辑回归函数值；根据逻辑回归模型得到最大似然函数，逻辑回归模型的损失函数就是最大似然函数的相反数；以损失函数作为目标函数，采用量子粒子群优化算法对目标函数进行求解得到逻辑回归模型的参数，使得损失函数的目标值最小；使用求解后的逻辑回归模型对未标记的用户特征进行预测，得到该用户的类别。

An application layer DDoS attack detection method based on logistic regression

The invention relates to a logistic regression based on application layer DDoS attack detection method, including: user access to the IP address for the identification, feature extraction of user access behavior set; logistic regression to calculate the user function value; according to the logistic regression model to obtain the maximum likelihood function, opposite number loss function logic regression model is the maximum likelihood function; on the loss function as the objective function, using quantum particle swarm optimization algorithm for the objective function can be obtained parameters of logistic regression model, the target value of the minimum loss function; logistic regression model was used to solve the prediction of user characteristics of unlabeled, get the user category.

【技术实现步骤摘要】
一种基于逻辑回归的应用层DDoS攻击检测方法
本专利技术涉及计算机网络安全领域，具体的说是一种应用层DDoS攻击检测方法。技术背景早期的DDoS攻击方式基于网络层次，攻击者大多利用网络层协议漏洞发起攻击，如SYNFlood、ICMPFlood等向目标主机发送大量的数据包造成洪水式攻击致使主机瘫痪。目前由于网络层协议不断完善，以及对此类攻击检测技术成熟，大多目标主机能够检测并过滤此类攻击流。攻击者为了能有效再次实施攻击，采用一种针对应用层的DDoS攻击，其具有隐蔽性强，攻击效果显著等特点。攻击者利用僵尸机的真实IP与服务器建立TCP连接发出合法请求，能够避开服务器防火墙的检测，并不断请求服务器资源，最终服务器无法承载高负荷的请求导致宕机。针对应用层DDoS攻击的检测技术越来越受到重视，而传统的检测方法存在较高的误报率、较低的检测率，以及较高的计算复杂度等问题制约了应用层DDoS攻击检测的有效性。因此，本专利技术提供一种轻量级二分类模型的检测方法，检测精度有了很大的提升，同时减少了检测所耗费的时间。
技术实现思路
本专利技术的目的是提供一种轻量级、实用性强、基于逻辑回归的应用层DDoS攻击检测方法。该方法通过量子粒子群优化算法求解逻辑回归模型的参数，提高了参数的求解精度，同时减少了求解参数的时间。使用建立好的逻辑回归模型对访问服务器的用户进行预测，得到访问用户的类别，从而能够检测到应用层的DDoS攻击用户。为实现上述目的，本专利技术采用以下技术方案：一种基于逻辑回归的应用层DDoS攻击检测方法，包括以下步骤：步骤(1)：以访问用户的IP地址为标识，提取用户访问行为的特征集，用(x(i),y(i))表示访问用户特征集，i是第i个用户，x是用户的一组特征；y是用户的类别，取值是0和1；步骤(2)：计算用户的逻辑回归函数值：在用户特征x已知的条件下求解y＝1的概率，即是该用户的逻辑回归函数值p(y＝1|x)＝1/(1+exp(-θTx))，其中θ为逻辑回归函数的参数，记逻辑回归函数表达式为h(θTx)；设每个用户被标记0或1的概率为p(y|x,θ)，建立逻辑回归模型；步骤(3)：根据逻辑回归模型得到最大似然函数l(θ)，逻辑回归模型的损失函数就是最大似然函数的相反数，记损失函数的表达式为loss(θ)，其中θ是损失函数的唯一变量，也是逻辑回归模型待求解的参数；步骤(4)：以损失函数作为目标函数，采用量子粒子群优化算法对目标函数进行求解得到逻辑回归模型的参数θ*，使得损失函数的目标值最小；步骤(5)：使用求解后的逻辑回归模型对未标记的用户特征进行预测，得到该用户的类别。优选地，步骤(1)中，用户访问特征为从一个时间窗口的用户访问集中提取用户的八元特征，八元特征分别如下：用户访问的次数、用户访问不同的页面数、用户请求间隔的平均值、用户请求页面的字节总数、用户访问的持续时间、用户请求的平均字节数、用户请求URL层级数的变化程度、用户请求间隔的熵值，共八个特征。步骤(5)中，使用逻辑回归模型对未知的访问用户进行预测的方法为：针对未标记的访问用户的八元组特征，求解h(θTx)的逻辑回归函数值，当求得的逻辑回归函数值大于0.5时，将该访问用户标记为攻击用户，反之标记为正常用户。本专利技术由于采用以上技术方案，其具有以下优点：本专利技术采用机器学习中逻辑回归模型对访问的用户进行检测。逻辑回归模型相对于马尔可夫模型、大偏差统计模型、随机游走模型等传统模型，具有模型简单、可泛化等优点。在建立模型时能够很大的程度减小系统的开销，在检测时能够以更短的时间获得访问用户的类别。与此同时，本专利技术采用量子粒子群优化方法取代了传统的牛顿法来求解逻辑回归模型的参数，由于量子粒子群优化方法具有快速收敛和全局寻优的能力，缩减了逻辑回归模型建立的时间，同时更加准确的求解模型参数，提高了对攻击检测的精度。为了更好的验证本方法的有效性，我们与传统的牛顿法求解逻辑回归模型的方法进行对比。在仿真条件一致的情况下，本方法具有较高的检测率、较低的误检率以及建立模型的耗时程度与训练样本数量之间为线性关系。因此，可以证明本专利技术具有较好的检测效果。附图说明图1是应用层DDoS攻击的检测流程图。图2是不同的模型求解方法对应用层DDoS攻击的检测率柱状图。采用不同的参数求解方法得到逻辑回归模型，分别对测试样本进行检测，得到的检测率列于柱状图中。其中，QPSO-Logistic使用量子粒子群优化算法求解逻辑回归模型，Newton-Logistic使用牛顿法求解逻辑回归模型。图3是不同的模型求解方法对应用层DDoS攻击的误检率柱状图。图4是不同的求解方法训练逻辑回归模型消耗时间的关系图。具体实施方式下面通过具体实施例和附图对本专利技术作进一步的说明。本实例仅限于说明本专利技术的一种实施方法，不代表对本专利技术覆盖范围的限制。本专利技术一种基于逻辑回归的应用层DDoS攻击检测方法，具体的实现过程描述如下：第一步，获取应用层服务器的访问日志，对得到的日志进行数据清洗。设置滑动时间窗口为1个小时，得到1个小时以内的用户访问日志，然后对得到的日志集进行数据清洗。这样做的目的是去掉冗余的访问记录。用户在点击一次页面时，同时会请求页面中内嵌的静态资源，比如：页面中内嵌的文本，图片和页面样式等。只保留用户对动态主页的请求即可。得到数据清洗之后的日志集进入第二步。第二步，以访问用户的IP地址为标识，从清洗过的日志集中提取每个用户的八元组特征。经过数据清洗后的日志集，其中每一条访问记录包含以下信息：访问用户IP、时间戳、访问页面的URI地址、HTTP协议、请求状态码、访问的字节大小。特征提取的过程采用java编程的方式。编写八个处理数据集的方法，分别处理每个访问IP的访问次数、访问页面种类、平均请求间隔、请求字节总数、会话时间、平均请求字节数、URL层级度、请求间隔离散度。同时在主函数中获取同一个IP的访问集，分别调用以上8个方法，将得到的结果保存在文本中。第三步，模拟仿真应用层DDoS攻击用户的访问集。模拟的攻击用户考虑到以下三个因素：攻击用户的个数、攻击用户请求页面的范围、攻击用户的请求时间间隔。第四步，训练逻辑回归模型得到逻辑回归参数θ。这一步骤通过量子粒子群优化算法求解逻辑回归的损失函数，得到逻辑回归参数θ。优化的目标函数，也即是损失函数如下：由于逻辑回归是有监督的学习，训练样本的类别是已知的。以上目标函数中的θ是唯一的未知量。逻辑回归模型具有可伸缩性，各维度伸缩后得到的参数值和伸缩前得到的不相等。因此，应该对各维度的特征进行标准化处理，所用到的公式如下：在使用以上标准公式的前提下设置粒子的搜索空间(-100,100)，且通过大量的实验仿真证明该搜索空间是有效的。同时，设置粒子迭代50次，当迭代50次之后停止对目标函数的寻优搜索。以下结合逻辑回归模型给出量子粒子群优化算法的具体执行流程：1)在搜索空间中初始化20个粒子对损失函数进行寻优搜索，置迭代次数t＝0,并记录个体的最好位置和群体的平均最好位置。2)对粒子群中的每个粒子执行3)-5)步骤。3)计算第i个粒子当前位置的适应值，并与该粒子个体最好位置的适应值比较。如果当前适应值的位置最优，则更新个体最好位置。4)第i个粒子当前位置的适应值与全局最好位置比较。如本文档来自技高网...

【技术保护点】
一种基于逻辑回归的应用层DDoS攻击检测方法，包括以下步骤：步骤(1)：以访问用户的IP地址为标识，提取用户访问行为的特征集，用(x

【技术特征摘要】
1.一种基于逻辑回归的应用层DDoS攻击检测方法，包括以下步骤：步骤(1)：以访问用户的IP地址为标识，提取用户访问行为的特征集，用(x(i),y(i))表示访问用户特征集，i是第i个用户，x是用户的一组特征；y是用户的类别，取值是0和1；步骤(2)：计算用户的逻辑回归函数值：在用户特征x已知的条件下求解y＝1的概率，即是该用户的逻辑回归函数值p(y＝1|x)＝1/(1+exp(-θTx))，其中θ为逻辑回归函数的参数，记逻辑回归函数表达式为h(θTx)；设每个用户被标记0或1的概率为p(y|x,θ)，建立逻辑回归模型；步骤(3)：根据逻辑回归模型得到最大似然函数l(θ)，逻辑回归模型的损失函数就是最大似然函数的相反数，记损失函数的表达式为loss(θ)，其中θ是损失函数的唯一变量，也是逻辑回归模型待求解的参数；步骤(4)：以损失函数作为目标函数，...

【专利技术属性】
技术研发人员：张雪博，刘敬浩，
申请(专利权)人：天津大学，
类型：发明
国别省市：天津,12