【技术实现步骤摘要】
一种基于两步聚类和检测片分析联合算法的LDoS检测方法
本专利技术属于计算机网络安全领域,具体涉及一种基于两步聚类和检测片分析联合算法的LDoS检测方法。
技术介绍
拒绝服务(DoS)攻击通过攻击网络协议实现的缺陷或直接以野蛮的手段来耗尽攻击目标的有限资源,以达到使受害网络或目标主机无法为合法用户提供正常服务的目的。DoS攻击一直严重威胁着网络的安全,而作为DoS攻击的变种,慢速拒绝服务(LDoS)攻击不仅有着近似于DoS攻击的效果,还有着更强的隐蔽性。LDoS攻击有着较强的隐蔽性和破坏性,当前的检测方法存在以下问题:传统的DoS检测方法难以有效地检测LDoS攻击;已有的LDoS检测方法存在检测准确度不够、资源消耗大等缺点。本专利技术针对当前LDoS攻击检测方法存在的检测准确度不高、资源消耗大等缺点,提出了一种基于两步聚类和检测片分析联合算法的LDoS检测方法。该方法首先采用两步聚类方法分析和挖掘网络中TCP流量的离散特征,从大量的网络数据中将疑似受到LDoS攻击的TCP流量划分到可疑簇中。然后将可疑簇中的TCP流量按检测片划分,定量度量检测片中TCP流量的波动幅度特征,并根据所提出的相关准则来判断可疑簇中TCP流量的波动幅度是否异常,从而实现对LDoS攻击的检测。该LDoS检测方法在预聚类阶段采用的基于层次的平衡迭代和规约(BIRCH)算法,实现了对数据的压缩,在整个检测过程中有效地节省了存储空间和降低了资源消耗;同时,由于经过了两个阶段的分析和检测,该方法能够有效地提高检测准确度。
技术实现思路
针对当前LDoS检测方法存在的检测准确度不高、资源消耗大等缺 ...
【技术保护点】
1.一种基于两步聚类和检测片分析联合算法的LDoS检测方法,其特征在于,该检测方法包括以下几个步骤:步骤1、采样数据:收集服务器(或关键路由器)上的TCP流量,并对其进行采样,得到足够多单位时间的TCP流量。步骤2、处理数据:计算单位时间内TCP流量的方差和平均差,并求得聚类特征。步骤3、聚类分析数据:基于两步聚类方法,根据求得的聚类特征对TCP流量进行分析,将疑似遭受了LDoS攻击的TCP流量划分到可疑簇中。步骤4、分析可疑簇:将可疑簇中单位时间内的TCP流量按时间更短的检测片进行划分,并计算可疑簇中单位时间内的异常检测片概率。步骤5、判定检测:根据预先存储的相关阈值,对可疑簇中单位时间内的TCP流量进行判定。若符合所述条件,则判定网络在该单位时间内发生了LDoS攻击。
【技术特征摘要】
1.一种基于两步聚类和检测片分析联合算法的LDoS检测方法,其特征在于,该检测方法包括以下几个步骤:步骤1、采样数据:收集服务器(或关键路由器)上的TCP流量,并对其进行采样,得到足够多单位时间的TCP流量。步骤2、处理数据:计算单位时间内TCP流量的方差和平均差,并求得聚类特征。步骤3、聚类分析数据:基于两步聚类方法,根据求得的聚类特征对TCP流量进行分析,将疑似遭受了LDoS攻击的TCP流量划分到可疑簇中。步骤4、分析可疑簇:将可疑簇中单位时间内的TCP流量按时间更短的检测片进行划分,并计算可疑簇中单位时间内的异常检测片概率。步骤5、判定检测:根据预先存储的相关阈值,对可疑簇中单位时间内的TCP流量进行判定。若符合所述条件,则判定网络在该单位时间内发生了LDoS攻击。2.根据权利要求1中所述的LDoS检测方法,其特征在于,收集服务器(或关键路由器)上的TCP流量,并对其进行采样,得到足够多单位时间的TCP流量。3.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤2根据步骤1中采样得到的TCP流量数据,计算单位时间内TCP流量的方差和平均差,并对方差和平均差进行归一化处理,得到二维数据点,一个数据点对应一个簇,并求得每个簇的聚类特征。4.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤3采用两步聚类方法对TCP流量进行分析,包括两个步骤:步骤3.1、根据...
【专利技术属性】
技术研发人员:汤澹,代锐,唐柳,吴小雪,冯叶,施玮,詹思佳,薛芸菲,罗能光,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。