一种针对慢速拒绝服务攻击的综合检测方法技术

本发明专利技术公开了一种针对慢速拒绝服务攻击的综合检测方法，属于网络安全领域。其中所述方法包括：实时获取检测网络的TCP流量，对单位时间内的TCP流量进行采样处理，形成样本原始值，该方法采用两次检测的方式，首先通过分析该单位时间内样本原始值的波动形态的异常特征并计算波动形态异常率，通过相关判定准则进行初步判定检测；然后采用AEWMA算法平滑噪声，形成样本分析值，通过分析该单位时间内样本分析值的分布形态的异常特征并计算异常分析点概率和异常分析组概率，依据相关判定准则进行最终判定检测。本发明专利技术提出的两次检测综合的检测方法能高效、快速、自适应地检测慢速拒绝服务攻击。

A Comprehensive Detection Method for Slow Denial of Service Attacks

The invention discloses a comprehensive detection method for slow denial of service attacks, which belongs to the field of network security. The method includes: real-time acquisition of TCP traffic in the detection network, sampling and processing TCP traffic per unit time to form the original value of the sample. The method adopts two detection methods. Firstly, by analyzing the abnormal characteristics of the original value of the sample in the unit time and calculating the abnormal rate of the fluctuation form, the preliminary determination and detection are carried out through relevant criteria. Then AEWMA algorithm is used to smooth the noise and form the sample analysis value. By analyzing the abnormal characteristics of the distribution pattern of the sample analysis value in the unit time, the probability of the abnormal analysis point and the probability of the abnormal analysis group are calculated, and the final determination and detection are carried out according to the relevant judgment criteria. The detection method of the two detection synthesis proposed by the invention can detect the slow denial of service attack efficiently, quickly and adaptively.

【技术实现步骤摘要】
一种针对慢速拒绝服务攻击的综合检测方法
本专利技术属于计算机网络安全领域，具体涉及一种针对慢速拒绝服务攻击的综合检测方法。
技术介绍
拒绝服务(DoS)攻击，其根本目的是使得受害网络或主机无法及时接受并处理外界请求，或者无法及时响应服务请求，从而导致网络或者目标计算机无法提供正常的服务，DoS攻击对网络危害巨大。而慢速拒绝服务(LDoS)攻击，是一种新型DoS攻击，其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。目前LDoS攻击检测存在两个方面的问题：其一是由于攻击行为特征异于传统DoS攻击，传统DoS检测方法难以检测LDoS攻击，其二是已有的LDoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点。本专利技术针对现有LDoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点，提出了一种针对慢速拒绝服务攻击的综合检测方法。该方法采用两次检测综合的方式，首先通过分析样本原始值的波动形态的异常特征，计算该单位时间内样本原始值的波动形态异常率，通过相关判定准则进行初步判定检测；然后采用AEWMA算法平滑噪声，形成样本分析值，通过分析样本分析值的分布形态的异常特征，计算该单位时间内样本分析值的异常分析点概率和异常分析组概率，依据相关判定准则进行最终判定检测。采用两次检测综合的检测方法，从而达到准确检测LDoS攻击的目的。该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
技术实现思路
针对现有LDoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点，提出了一种慢速拒绝服务攻击检测方法。该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。本专利技术为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括三个步骤：采样数据、初次检测和二次检测。1.采样数据。对网络中关键服务器(路由器)，以固定取样时间获取固定时间长度(单位时间)内的TCP流量，形成样本原始值。2.初次检测。根据该单位时间内样本原始值，分析该单位时间内样本原始值的波动形态的异常特征，计算该单位时间内样本原始值的波动形态异常率，从而进行初步检测。具体是：1)基于预先存储的数据片平均差阈值，依次对该单位时间内每个数据片的波动形态进行判定；从波动形态的概念可知，波动形态包括波动的幅度和波动的频率两个方面的特征。为了度量数据片内波动的幅度和波动的频率，使用“平均差”MD的方法考察该数据片内波动形态特征。平均差是总体内所有样本与其算术平均数之间绝对差的算术平均数，其公式可表示为：其中，xi为该数据片内第i个样本原始值，为该数据片内样本原始值的均值，n表示该数据片内流量样本的个数。2)基于已获取的该单位时间内所有数据片的波动形态情况，计算该单位时间内样本原始值的波动形态异常率；3)基于预先存储的波动形态异常率阈值，对该单位时间内样本原始值的波动形态异常率进行判定。若该单位时间内样本原始值的波动形态异常率异常，则初步判定该单位时间内网络中发生LDoS攻击，并进入步骤3进行再次检测。3.二次检测。根据初次检测获得的样本原始值，采用AEWMA算法平滑噪声，形成样本分析值，然后通过分析该单位时间内样本分析值的分布形态的异常特征，计算该单位时间内样本分析值的异常分析点概率和异常分析组概率，进行最终检测判断。具体是：1)基于自适应指数加权移动平均(AEWMA)算法，对波动形态异常的单位时间内样本原始值进行平滑处理，得到样本分析值；AEWMA算法在保留“最近样本值”——“最大权重”的基础上，通过采用非线性的加权算法，能够保留分析对象的异常突变而平滑其偶然误差。在AEWMA算法中，令Xi为样本的第i个原始值，Si为样本的第i个AEWMA分析值，n为分析样本的总个数，w(ei)为AEWMA算法的加权函数。AEWMA算法公式可表示为：2)基于置信区间可以度量样本分析值的分布形态特征，通过使用异常分析点概率定量度量样本分析值的离散程度；3)基于置信区间可以度量样本分析值的分布形态特征，通过使用异常分析组概率定量度量样本分析值的振荡程度；其中，令该时间单位为AEWMA分析值的均值记作，令σ2为正常数据中分析值的方差，z为与检测精度相关的给定常量，置信区间可表示为：4)基于预先存储的异常分析点概率阈值和异常分析组概率阈值，对该单位时间内其异常分析点概率和异常分析组概率进行判定检测。若该单位时间内异常分析点概率和异常分析组概率均异常，则判定该单位时间内网络中发生LDoS攻击。有益效果该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此，该检测方法可普适于准确检测LDoS攻击。附图说明图1为网络中无攻击时样本分析值的波动形态。图2为网络中存在其他攻击时样本分析值的波动形态。图3为网络中存在LDoS攻击时样本分析值的波动形态。图4为AEWMA算法的光滑特征示意图，AEWMA算法采用得分函数使得具备既能平滑偶然误差又能保留异常突变，因此在基于“流量异常特征”的LDoS攻击检测中更具优势。图5为对于均值、方差分别为μ、σ2的正态分布X～N(μ,σ2)，其概率密度函数(PDF)的曲线f(x)及其概率(面积)分布规律示意图。选择合适的显著性水平，需使得第一类错误和第二类错误的发生概率的期望值之和最小，同时需考虑实际检测中对检测精度和检测效率的要求。图6为一种针对慢速拒绝服务攻击的综合检测方法的流程图。具体实施方式下面结合附图对本专利技术进一步说明。图1为网络中无攻击时样本分析值的波动形态。此时大多数数据片内波动形态正常，这些波动形态正常的数据片内平均差均较小，仅较少数目的数据片内波动形态异常。图2为网络中存在其他攻击时样本分析值的波动形态。此时虽然偶有数据片内波动形态异常，但仍然大多数的数据片内波动形态正常，这些波动形态正常的数据片内平均差均较小，仅较少数目的数据片内波动形态异常。图3为网络中存在LDoS攻击时样本分析值的波动形态。由于LDoS独特的攻击方式，使得样本值在其极小值和极大值之间频繁剧烈波动，其波动幅度和频率远大于网络中无攻击和网络中存在其他攻击的情况，较多数目的数据片内波动形态异常，这些波动形态异常的数据片内平均差均较大。图4为AEWMA算法的光滑特征示意图。EWMA算法对所有的样本原始值均进行了平滑处理，不仅平滑了偶然误差，同时也平滑了“异常突变”。而AEWMA算法采用得分函数使得具备既能平滑偶然误差又能保留异常突变，因此在基于“流量异常特征”的LDoS攻击检测中更具优势。图5为对于均值、方差分别为μ、σ2的正态分布X～N(μ,σ2)，其概率密度函数(PDF)的曲线f(x)及其概率(面积)分布规律示意图。选择合适的显著性水平，需使得第一类错误和第二类错误的发生概率的期望值之和最小，同时需考虑实际检测中对检测精度和检测效率的要求。因此，显著性水平(z值)对于置信区间CI的确定是至关重要的。如图6所示本文档来自技高网...

【技术保护点】
1.一种针对慢速拒绝服务攻击的综合检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：步骤1、采样数据：实时获取服务器(路由器)中的TCP流量，对单位时间内TCP流量进行采样，形成样本原始值；步骤2、初次检测：根据该单位时间内样本原始值，分析该单位时间内样本原始值的波动形态的异常特征，计算该单位时间内样本原始值的波动形态异常率，从而进行初步检测判断。若符合相关判断条件，则初步判定该单位时间内网络中发生LDoS攻击，进入下一个步骤再次检测；步骤3、二次检测：根据初次检测获得的样本原始值，采用AEWMA算法平滑噪声，形成样本分析值；分析该单位时间内样本分析值的分布形态的异常特征，计算该单位时间内样本分析值的异常分析点概率和异常分析组概率；进行最终检测判断。若符合相关判断条件，则判定该单位时间内网络中发生LDoS攻击。

【技术特征摘要】
1.一种针对慢速拒绝服务攻击的综合检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：步骤1、采样数据：实时获取服务器(路由器)中的TCP流量，对单位时间内TCP流量进行采样，形成样本原始值；步骤2、初次检测：根据该单位时间内样本原始值，分析该单位时间内样本原始值的波动形态的异常特征，计算该单位时间内样本原始值的波动形态异常率，从而进行初步检测判断。若符合相关判断条件，则初步判定该单位时间内网络中发生LDoS攻击，进入下一个步骤再次检测；步骤3、二次检测：根据初次检测获得的样本原始值，采用AEWMA算法平滑噪声，形成样本分析值；分析该单位时间内样本分析值的分布形态的异常特征，计算该单位时间内样本分析值的异常分析点概率和异常分析组概率；进行最终检测判断。若符合相关判断条件，则判定该单位时间内网络中发生LDoS攻击。2.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤1中对网络中关键服务器(路由器)，以固定取样时间获取固定时间长度(单位时间)内的TCP流量，形成样本原始值。3.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2中根据步骤1中获取的样本原始值，分析该单位时间内样本原始值的波动形态的异常特征并计算该单位时间内样本原始值的波动形态异常率，从而进行初步检测，包括三个步骤：步骤2.1、基于预先存储的数据片平均差阈值，依次对该单位时间内每个数据片的波动形态进行判定；步骤2.2、基于已获取的该单位时间内所有数据片的波动形态情况，计算该单位时间内样本原始值的波动形态异常率；步骤2.3、基于预先存储的波动形态异常率阈值，对该单位时间内样本原始值的波动形态异常率进行判定。若该单位时间内样本原始值的波动形态异常率异常，初步判定该单位时间内存在LDoS攻击。4.根据权利要求3中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2.1中对单个数据片的波动形态进行检测的判定准则为：若该数据片平均差大于预先存储数据片平均差阈值，则该数据片内样本原始值的波动形态异常。5.根据权利要求3中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2.2中的波动形态异常率的定义为：单位时间内，波动形态发生异常的数据片出现的频率，称为波动形态异常率。6.根据权利要求3中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2....

【专利技术属性】
技术研发人员：汤澹，施玮，满坚平，罗能光，代锐，冯叶，唐柳，陈炫宇，郑凯，
申请(专利权)人：湖南大学，
类型：发明
国别省市：湖南,43