The invention discloses a comprehensive detection method for slow denial of service attacks, which belongs to the field of network security. The method includes: real-time acquisition of TCP traffic in the detection network, sampling and processing TCP traffic per unit time to form the original value of the sample. The method adopts two detection methods. Firstly, by analyzing the abnormal characteristics of the original value of the sample in the unit time and calculating the abnormal rate of the fluctuation form, the preliminary determination and detection are carried out through relevant criteria. Then AEWMA algorithm is used to smooth the noise and form the sample analysis value. By analyzing the abnormal characteristics of the distribution pattern of the sample analysis value in the unit time, the probability of the abnormal analysis point and the probability of the abnormal analysis group are calculated, and the final determination and detection are carried out according to the relevant judgment criteria. The detection method of the two detection synthesis proposed by the invention can detect the slow denial of service attack efficiently, quickly and adaptively.
【技术实现步骤摘要】
一种针对慢速拒绝服务攻击的综合检测方法
本专利技术属于计算机网络安全领域,具体涉及一种针对慢速拒绝服务攻击的综合检测方法。
技术介绍
拒绝服务(DoS)攻击,其根本目的是使得受害网络或主机无法及时接受并处理外界请求,或者无法及时响应服务请求,从而导致网络或者目标计算机无法提供正常的服务,DoS攻击对网络危害巨大。而慢速拒绝服务(LDoS)攻击,是一种新型DoS攻击,其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。目前LDoS攻击检测存在两个方面的问题:其一是由于攻击行为特征异于传统DoS攻击,传统DoS检测方法难以检测LDoS攻击,其二是已有的LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点。本专利技术针对现有LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点,提出了一种针对慢速拒绝服务攻击的综合检测方法。该方法采用两次检测综合的方式,首先通过分析样本原始值的波动形态的异常特征,计算该单位时间内样本原始值的波动形态异常率,通过相关判定准则进行初步判定检测;然后采用AEWMA算法平滑噪声,形成样本分析值,通过分析样本分析值的分布形态的异常特征,计算该单位时间内样本分析值的异常分析点概率和异常分析组概率,依据相关判定准则进行最终判定检测。采用两次检测综合的检测方法,从而达到准确检测LDoS攻击的目的。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
技术实现思路
针 ...
【技术保护点】
1.一种针对慢速拒绝服务攻击的综合检测方法,其特征在于,所述慢速拒绝服务攻击检测方法包括以下几个步骤:步骤1、采样数据:实时获取服务器(路由器)中的TCP流量,对单位时间内TCP流量进行采样,形成样本原始值;步骤2、初次检测:根据该单位时间内样本原始值,分析该单位时间内样本原始值的波动形态的异常特征,计算该单位时间内样本原始值的波动形态异常率,从而进行初步检测判断。若符合相关判断条件,则初步判定该单位时间内网络中发生LDoS攻击,进入下一个步骤再次检测;步骤3、二次检测:根据初次检测获得的样本原始值,采用AEWMA算法平滑噪声,形成样本分析值;分析该单位时间内样本分析值的分布形态的异常特征,计算该单位时间内样本分析值的异常分析点概率和异常分析组概率;进行最终检测判断。若符合相关判断条件,则判定该单位时间内网络中发生LDoS攻击。
【技术特征摘要】
1.一种针对慢速拒绝服务攻击的综合检测方法,其特征在于,所述慢速拒绝服务攻击检测方法包括以下几个步骤:步骤1、采样数据:实时获取服务器(路由器)中的TCP流量,对单位时间内TCP流量进行采样,形成样本原始值;步骤2、初次检测:根据该单位时间内样本原始值,分析该单位时间内样本原始值的波动形态的异常特征,计算该单位时间内样本原始值的波动形态异常率,从而进行初步检测判断。若符合相关判断条件,则初步判定该单位时间内网络中发生LDoS攻击,进入下一个步骤再次检测;步骤3、二次检测:根据初次检测获得的样本原始值,采用AEWMA算法平滑噪声,形成样本分析值;分析该单位时间内样本分析值的分布形态的异常特征,计算该单位时间内样本分析值的异常分析点概率和异常分析组概率;进行最终检测判断。若符合相关判断条件,则判定该单位时间内网络中发生LDoS攻击。2.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤1中对网络中关键服务器(路由器),以固定取样时间获取固定时间长度(单位时间)内的TCP流量,形成样本原始值。3.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2中根据步骤1中获取的样本原始值,分析该单位时间内样本原始值的波动形态的异常特征并计算该单位时间内样本原始值的波动形态异常率,从而进行初步检测,包括三个步骤:步骤2.1、基于预先存储的数据片平均差阈值,依次对该单位时间内每个数据片的波动形态进行判定;步骤2.2、基于已获取的该单位时间内所有数据片的波动形态情况,计算该单位时间内样本原始值的波动形态异常率;步骤2.3、基于预先存储的波动形态异常率阈值,对该单位时间内样本原始值的波动形态异常率进行判定。若该单位时间内样本原始值的波动形态异常率异常,初步判定该单位时间内存在LDoS攻击。4.根据权利要求3中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2.1中对单个数据片的波动形态进行检测的判定准则为:若该数据片平均差大于预先存储数据片平均差阈值,则该数据片内样本原始值的波动形态异常。5.根据权利要求3中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2.2中的波动形态异常率的定义为:单位时间内,波动形态发生异常的数据片出现的频率,称为波动形态异常率。6.根据权利要求3中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2....
【专利技术属性】
技术研发人员:汤澹,施玮,满坚平,罗能光,代锐,冯叶,唐柳,陈炫宇,郑凯,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。