一种基于两步聚类和检测片分析联合算法的LDoS检测方法技术

本发明专利技术公开了一种基于两步聚类和检测片分析联合算法的LDoS检测方法，属于网络安全领域。其中所述的方法包括：获取服务器(或关键路由器)上的TCP流量，并按固定时长对其进行采样。使用两步聚类方法分析和挖掘TCP流量的离散特征，将离散特征异常的TCP流量划分到可疑簇中。接着将可疑簇中的TCP流量按检测片划分并分析，通过定量度量检测片中TCP流量的波动幅度特征，提出了相关准则来判断可疑簇中TCP流量的波动幅度是否异常，从而实现对LDoS攻击的检测。本发明专利技术提出的基于两步聚类和检测片分析联合算法的LDoS检测方法能高效、准确地检测LDoS攻击。

【技术实现步骤摘要】
一种基于两步聚类和检测片分析联合算法的LDoS检测方法
本专利技术属于计算机网络安全领域，具体涉及一种基于两步聚类和检测片分析联合算法的LDoS检测方法。
技术介绍
拒绝服务(DoS)攻击通过攻击网络协议实现的缺陷或直接以野蛮的手段来耗尽攻击目标的有限资源，以达到使受害网络或目标主机无法为合法用户提供正常服务的目的。DoS攻击一直严重威胁着网络的安全，而作为DoS攻击的变种，慢速拒绝服务(LDoS)攻击不仅有着近似于DoS攻击的效果，还有着更强的隐蔽性。LDoS攻击有着较强的隐蔽性和破坏性，当前的检测方法存在以下问题：传统的DoS检测方法难以有效地检测LDoS攻击；已有的LDoS检测方法存在检测准确度不够、资源消耗大等缺点。本专利技术针对当前LDoS攻击检测方法存在的检测准确度不高、资源消耗大等缺点，提出了一种基于两步聚类和检测片分析联合算法的LDoS检测方法。该方法首先采用两步聚类方法分析和挖掘网络中TCP流量的离散特征，从大量的网络数据中将疑似受到LDoS攻击的TCP流量划分到可疑簇中。然后将可疑簇中的TCP流量按检测片划分，定量度量检测片中TCP流量的波动幅度特征，并根据所提出的相关准则来判断可疑簇中TCP流量的波动幅度是否异常，从而实现对LDoS攻击的检测。该LDoS检测方法在预聚类阶段采用的基于层次的平衡迭代和规约(BIRCH)算法，实现了对数据的压缩，在整个检测过程中有效地节省了存储空间和降低了资源消耗；同时，由于经过了两个阶段的分析和检测，该方法能够有效地提高检测准确度。
技术实现思路
针对当前LDoS检测方法存在的检测准确度不高、资源消耗大等缺点，提出了一种基于两步聚类和检测片分析联合算法的LDoS检测方法。该检测方法在检测的过程中实现了对数据的压缩，有效地节省了存储空间和降低了资源消耗；而且该检测方法对LDoS攻击检测的准确度较高，有着较低的误报率和漏报率。本专利技术为实现上述目标所采用的技术方案为：该LDoS检测方法包括以下五个步骤：采样数据、处理数据、聚类分析数据、分析可疑簇和判定检测。1.采样数据。收集服务器(或关键路由器)上的TCP流量，并对其进行采样，得到足够多单位时间的TCP流量。2.处理数据。根据采样得到的TCP流量数据，计算单位时间内TCP流量的方差和平均差，并采用min-max归一化处理公式对方差和平均差进行归一化处理，得到二维数据点，并求得每个簇(数据点)的聚类特征。通过归一化处理，能够将方差和平均差的值控制在[0,1]之间，从而消除方差和平均差上的数量级差距，min-max归一化处理公式如下：聚类特征的定义如下：设某簇中有N个二维数据点其中vn为第n个数据点的方差，cvn为第n个数据点的平均差，则该簇的聚类特征定义为三元组：其中N为该簇中数据点的数目，矢量为各数据点的线性求和，标量为各数据点的平方和。3.聚类分析数据。使用方差和平均差度量TCP流量的离散程度，采用两步聚类方法对TCP流量进行分析，将离散特征异常的TCP流量分配到可疑簇中，具体如下：(1)根据先前得到的聚类特征采用BIRCH算法对TCP流量进行预聚类分析；(2)采用K-means算法对预聚类分析得到的子簇进行聚类分析，疑似受到LDoS攻击的TCP流量聚集在一起，并将其划分到可疑簇中。在预聚类阶段，根据BIRCH算法将数据对象(处理数据阶段得到的二维数据点)逐个插入到聚类特征(CF)树上，当CF树构建完成，其叶节点上的所有元项就是要输出的子簇。在聚类阶段，根据K-means算法将预聚类阶段输出的子簇分配到相应的K(K>＝2)个簇中。根据预先存储的判断阈值，在K个簇中找到离散特征异常的簇并将其划分到可疑簇中。4.分析可疑簇。可疑簇是由多个单位时间的TCP流量所组成，将单位时间内的TCP流量按时间更短的检测片进行划分，并计算单位时间内的异常检测片数目和异常检测片概率。具体如下：(1)将可疑簇中单位时间的TCP流量按检测片进行划分，并计算检测片内TCP流量的极差；(2)根据预先存储的检测片极差阈值，判断检测片是否是异常检测片，并求得单位时间内异常检测片的数目；(3)根据单位时间内的异常检测片数目求得异常检测片概率，异常检测片概率ADPR可表示为：其中，numADP表示单位时间内的异常检测片数目，numALLADP表示单位时间内的所有检测片数目。5.判定检测。根据计算得到的异常检测片概率，对可疑簇中单位时间内的TCP流量进行检测判定。若该单位时间的异常检测片概率大于预先存储的异常检测片概率阈值，则判定该单位时间内发生了LDoS攻击。有益效果该LDoS检测方法在检测的过程中实现了对数据的压缩，节省了存储空间和降低了资源消耗；而且该检测方法实现了对LDoS攻击的准确检测，有着较低的误报率和漏报率。附图说明图1为处理数据的流程图。计算单位时间内TCP流量的方差和平均差，并对其进行min-max归一化处理，求得聚类特征。图2为两步聚类分析数据的流程图。经过预聚类和聚类两个阶段对TCP流量进行分析。图3为分析可疑簇的流程图。对可疑簇中的TCP流量按检测片划分，计算单位时间内的异常检测片概率。图4为一种基于两步聚类和检测片分析联合算法的LDoS检测方法的流程图。具体实施方式下面结合附图对本专利技术进一步说明。如图4所示，该检测方法主要包括以下五个步骤：采样数据、处理数据、聚类分析数据、分析可疑簇和判定检测。图1为处理数据的流程图。使用方差和平均差度量TCP流量的离散程度，计算单位时间内TCP流量的方差和平均差，并进行min-max归一化处理，消除方差和平均差的数量级差距，得到二维数据点，一个数据点对应一个簇，求得每个簇的聚类特征。聚类特征实现了对数据的压缩，能够有效地节省存储空间和降低资源消耗。图2为两步聚类分析数据的流程图。根据BIRCH算法，对单位时间内的TCP流量以聚类特征的形式进行预聚类分析，并采用K-means算法对预聚类输出的子簇进行聚类分析。图3为分析可疑簇的流程图。将可疑簇中单位时间内的TCP流量按检测片划分，使用极差来度量检测片中TCP流量的波动幅度，计算单位时间内的异常检测片数目和异常检测片概率。本文档来自技高网...

【技术保护点】
1.一种基于两步聚类和检测片分析联合算法的LDoS检测方法，其特征在于，该检测方法包括以下几个步骤：步骤1、采样数据：收集服务器(或关键路由器)上的TCP流量，并对其进行采样，得到足够多单位时间的TCP流量。步骤2、处理数据：计算单位时间内TCP流量的方差和平均差，并求得聚类特征。步骤3、聚类分析数据：基于两步聚类方法，根据求得的聚类特征对TCP流量进行分析，将疑似遭受了LDoS攻击的TCP流量划分到可疑簇中。步骤4、分析可疑簇：将可疑簇中单位时间内的TCP流量按时间更短的检测片进行划分，并计算可疑簇中单位时间内的异常检测片概率。步骤5、判定检测：根据预先存储的相关阈值，对可疑簇中单位时间内的TCP流量进行判定。若符合所述条件，则判定网络在该单位时间内发生了LDoS攻击。

【技术特征摘要】
1.一种基于两步聚类和检测片分析联合算法的LDoS检测方法，其特征在于，该检测方法包括以下几个步骤：步骤1、采样数据：收集服务器(或关键路由器)上的TCP流量，并对其进行采样，得到足够多单位时间的TCP流量。步骤2、处理数据：计算单位时间内TCP流量的方差和平均差，并求得聚类特征。步骤3、聚类分析数据：基于两步聚类方法，根据求得的聚类特征对TCP流量进行分析，将疑似遭受了LDoS攻击的TCP流量划分到可疑簇中。步骤4、分析可疑簇：将可疑簇中单位时间内的TCP流量按时间更短的检测片进行划分，并计算可疑簇中单位时间内的异常检测片概率。步骤5、判定检测：根据预先存储的相关阈值，对可疑簇中单位时间内的TCP流量进行判定。若符合所述条件，则判定网络在该单位时间内发生了LDoS攻击。2.根据权利要求1中所述的LDoS检测方法，其特征在于，收集服务器(或关键路由器)上的TCP流量，并对其进行采样，得到足够多单位时间的TCP流量。3.根据权利要求1中所述的LDoS检测方法，其特征在于，步骤2根据步骤1中采样得到的TCP流量数据，计算单位时间内TCP流量的方差和平均差，并对方差和平均差进行归一化处理，得到二维数据点，一个数据点对应一个簇，并求得每个簇的聚类特征。4.根据权利要求1中所述的LDoS检测方法，其特征在于，步骤3采用两步聚类方法对TCP流量进行分析，包括两个步骤：步骤3.1、根据...

【专利技术属性】
技术研发人员：汤澹，代锐，唐柳，吴小雪，冯叶，施玮，詹思佳，薛芸菲，罗能光，
申请(专利权)人：湖南大学，
类型：发明
国别省市：湖南,43