本发明专利技术公开了一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务(LDoS)攻击检测方法,属于计算机网络安全领域。其中所述方法包括:实时提取一个检测单元内的TCP流量和UDP流量的原始数据,对其进行数据清洗,并计算出网络中的总流量;利用WEDMS聚类算法对总流量和TCP流量的数据样本进行聚类分析,有效地分离正常样本和异常样本;通过聚类结果中各簇内TCP占比的平均差、方差和变异系数构建特征向量,并将该特征向量的长度作为表征慢速拒绝服务攻击的决策指标;依据相关的判别准则,将决策值与预先设定的阈值相比较,以达到检测慢速拒绝服务攻击的目的。本发明专利技术提出的基于WEDMS聚类的检测方法能准确、快速、自适应的检测慢速拒绝服务攻击。
【技术实现步骤摘要】
一种基于WEDMS聚类的慢速拒绝服务攻击检测方法
本专利技术属于计算机网络安全领域,具体涉及一种基于加权欧氏距离的MeanShift聚类(WEDMS)的慢速拒绝服务攻击检测方法。
技术介绍
慢速拒绝服务(LDoS)攻击,是一种新型的面向TCP协议的周期性脉冲式拒绝服务(DoS)攻击,主要利用网络协议的适应性机制中的安全漏洞,通过短时高速脉冲攻击流对受害者进行破坏,使端系统或链路不断在稳定与不稳定的状态间切换,以达到降低网络传输性能和网络服务质量的目的。由于其平均速率低,隐蔽性高,破坏力强,因此对网络安全造成了相当大的威胁。目前慢速拒绝服务攻击检测主要存在的问题有以下两点:一,由于慢速拒绝服务攻击的平均速率低于拒绝服务攻击,具有较强的隐蔽性,因此传统的拒绝服务攻击检测方法难以有效地识别慢速拒绝服务攻击;二,现有的慢速拒绝服务攻击检测方法中,基于监督学习算法的检测方法需要对大量的数据样本进行模型训练和学习,以及精细的泛化处理,因此资源消耗大,并且其他方法检测准确率相对不高,实时性和自适应性较弱。本专利技术针对现有方法存在的资源消耗大,泛化处理难度大,检测准确率不高,实时性和自适应性较弱等不足,提出了一种基于加权欧氏距离的MeanShift聚类(WEDMS)的慢速拒绝服务攻击检测方法。该方法采用WEDMS聚类算法对网路流量的样本数据进行聚类分析,然后计算出WEDMS聚类结果中各簇内由TCP占比的平均差、方差、变异系数联合组成的特征向量的长度,并将其作为慢速拒绝服务攻击检测的决策指标,用于表征慢速拒绝服务攻击发生的可能性,从而检测慢速拒绝服务攻击。该方法在慢速拒绝服务攻击检测方面具有较高的检测准确率,较低的误报率和漏报率,并且由于WEDMS聚类算法自身的优势,因此该方法资源消耗低,实时性和自适应能力较高。因此,该方法在慢速拒绝服务攻击的检测上具有较高的可行性和适用性。
技术实现思路
针对现有方法存在的资源消耗大,泛化处理难度大,检测准确率不高,实时性和自适应性较弱等不足,提出了一种基于WEDMS聚类的慢速拒绝服务攻击检测方法。该检测方法具有资源消耗低,检测准确率较高,误报率和漏报率较低,实时性和自适应能力较强的特点。因此,该方法可以广泛地应用于慢速拒绝服务攻击检测领域。本专利技术为实现上述目标所采用的技术方案为:该慢速拒绝服务攻击检测方法主要包括四个步骤:数据提取、数据清洗、WEDMS聚类分析以及攻击判别。1.数据提取。以一个检测窗口为单位,对网络设备中的服务器和路由器中的报文进行抓取,以获取相关数据信息(包括流量数据和路由信息),并按照一定的规则对数据进行实时采样、分类、统计,并提取出网络中的TCP流量和UDP流量的原始数据,形成原始数据文件进行存储。2.数据清洗。对提取到的TCP流量和UDP流量的原始数据进行数据清洗,包括数据验证、错误检查、无效值和缺失值的处理、数据类型和表示的转换等操作,保证数据的一致性。再根据TCP流量和UDP流量的统计值计算出网络中的总流量数据,并将其进行标准化。最终形成格式统一的网络流量的样本数据。3.WEDMS聚类分析。通过统计学方法,计算出网络流量的离散特征值,并将该特征值作为WEDMS聚类算法中加权欧氏距离的权重系数。利用WEDMS聚类算法对一个检测单元内的总流量和TCP流量的样本数据进行聚类分析,使相似性较大的数据自动聚集成一簇,而差异性较高的数据聚集成其他簇,最终形成一个或多个簇,有效地将正常流量样本和异常流量样本分离开来。WEDMS聚类算法根据偏移向量确定下一次聚类的中心点。令x为当前的聚类中心点,xi为第i个样本点,n为集合内样本点的个数,g(x)为核函数,wk为样本点第k维属性的权重系数。WEDMS聚类的偏移向量mh,G(x)的计算公式可以表示为:4.攻击判别。对网络流量的样本数据是否存在慢速拒绝服务攻击进行判别,具体是:1)构建慢速拒绝服务攻击的决策指标,制定攻击判别准则。分析WEDMS聚类结果中的各簇内样本的离散程度,根据其簇内的TCP占比的平均差、方差、变异系数等离散特征联合构建特征向量,并计算出该特征向量的长度作为表征慢速拒绝服务攻击的决策指标。该决策指标的值越大,表示网络中存在慢速拒绝服务攻击的可能性越高。当该决策值超过一定的门限值时,我们可以判定网络中存在慢速拒绝服务攻击。若未达到门限值,则认为网络中未发生慢速拒绝服务攻击;2)以攻击判别准则为标准,利用决策值识别网络中的慢速拒绝服务攻击。根据历史数据,统计出可用于准确判定慢速拒绝服务攻击的阈值。根据慢速拒绝服务攻击判别准则,将决策值与预先设定的阈值进行比较分析,以达到检测慢速拒绝服务攻击的目的。若该决策值大于阈值,表示网络中存在慢速拒绝服务攻击,否则,表示网络中不存在慢速拒绝服务攻击。有益效果该检测方法具有资源消耗低,检测准确率较高,误报率和漏报率较低,实时性和自适应能力较强的特点。因此,该方法可以广泛地应用于慢速拒绝服务攻击检测领域。附图说明图1为WEDMS聚类算法对网络流量的聚类分析的过程图。该图主要描述了WEDMS聚类算法根据当前的网络流量的样本的聚类中心计算出偏移向量,以求出下一次的聚类起始点的过程。图2为一种基于WEDMS聚类的慢速拒绝服务攻击检测模型的结构示意图。该图主要描述了WEDMS检测方法的模型架构主要由数据提取、数据清洗、WEDMS聚类分析以及攻击判别这四个步骤组成。图3为一种基于WEDMS聚类的慢速拒绝服务攻击检测方法的具体流程图。该图描述了慢速拒绝服务攻击检测方法从数据提取到攻击判别的详细过程。具体实施方式下面结合附图对本专利技术进一步说明。如图1所示,WEDMS聚类算法对网络流量的聚类分析的过程为:通过统计学方法,计算出网络流量的离散特征值;将该特征值作为WEDMS聚类算法中加权欧氏距离的权重系数;在未标记的样本中随机选择一个作为聚类中心点,开始聚类;标记集合内的样本点,并计算出聚类的偏移向量;更新聚类中心,将其作为下一次聚类的起始点,并进行簇的合并;若数据样本均已本标记访问则结束聚类,否则重新开始聚类。如图2所示,该方法的检测模型的结构主要是由四个模块组成,即该检测方法的四个步骤:数据提取、数据清洗、WEDMS聚类分析以及攻击判别。如图3所示,一种基于WEDMS聚类的慢速拒绝服务攻击检测方法的具体流程为:首先以一个检测窗口为单位有针对性的实时提取网络流量的原始数据;然后对原始数据进行清洗(包括校验、审查、表示转换等)和标准化,形成格式统一的网络流量的样本数据;利用WEDMS聚类算法对网络流量的样本数据进行聚类分析,再根据WEDMS聚类结果中的各簇内的TCP占比的平均差、方差、变异系数构建特征向量,并计算特征向量的长度作为衡量慢速拒绝服务攻击发生的决策指标;利用该决策指标的值与预先设定的阈值进行比较分析,若决策值大于阈值,表示网络中发生慢速拒绝服务攻击,否则,表示网络中未发生慢速拒绝服务攻击。本文档来自技高网...
【技术保护点】
1.一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务攻击检测方法,其特征在于,该方法具体包括以下四个步骤:步骤1、数据提取:以一个检测窗口为单位,对网络设备(包括服务器和路由器)中的各种数据信息进行实时采样,提取出网络中的TCP流量和UDP流量的原始数据;步骤2、数据清洗:对提取到的TCP流量和UDP流量的原始数据进行数据清洗,并计算出总流量,将其进行标准化,最终得到格式统一的网络流量的样本数据;步骤3、WEDMS聚类分析:利用WEDMS聚类算法对一个检测单元内的总流量和TCP流量的样本数据进行聚类分析,分离正常网络流量样本和异常网络流量样本;步骤4、攻击判别:根据WEDMS聚类结果中各簇内样本的离散特征构建决策指标,并制定攻击判别准则,以判断网络中是否存在慢速拒绝服务攻击。
【技术特征摘要】
1.一种基于加权欧氏距离的MeanShift聚类(WEDMS)的慢速拒绝服务攻击检测方法,其特征在于,该方法具体包括以下四个步骤:步骤1、数据提取:以一个检测窗口为单位,对网络设备(包括服务器和路由器)中的各种数据信息进行实时采样,提取出网络中的TCP流量和UDP流量的原始数据;步骤2、数据清洗:对提取到的TCP流量和UDP流量的原始数据进行数据清洗,并计算出总流量,将其进行标准化,最终得到格式统一的网络流量的样本数据;步骤3、WEDMS聚类分析:利用WEDMS聚类算法对一个检测单元内的总流量和TCP流量的样本数据进行聚类分析,分离正常网络流量样本和异常网络流量样本;步骤4、攻击判别:根据WEDMS聚类结果中各簇内样本的离散特征构建决策指标,并制定攻击判别准则,以判断网络中是否存在慢速拒绝服务攻击。2.根据权利要求1中所述的基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,步骤1中以一个检测窗口为单位,对网络设备中路由器中的数据信息进行抓取,并按照一定的规则对数据进行实时采样,提取出网络中的TCP流量和UDP流量的原始数据。3.根据权利要求1中所述的基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,步骤2中对步骤1提取到的TCP流量和UDP流量的原始数据进行数据清洗,包括数据验证、错误检查、数据类型和表示的转换等操作,保证数据的一致性。再根据TCP流量和UDP流量的统计值计算出网络中的总流量,并将其进行标准化,最终形成格式统一的...
【专利技术属性】
技术研发人员:汤澹,满坚平,代锐,郑凯,冯叶,唐柳,张斯琦,王曦茵,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。