本发明专利技术公开了一种基于多特征融合和卷积神经网络(CNN)算法的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:获取单位时间内网络关键路由节点中的相关数据报文,形成训练样本和测试样本;对训练样本和测试样本进行特征计算,并生成相应的特征图;用训练样本的特征图训练CNN模型,使CNN模型学习并记忆慢速拒绝服务攻击的特征,最终得到可用于慢速拒绝服务攻击检测的模型;用训练后的CNN模型对测试样本的特征图进行检测,根据判定准则,判断该特征图对应的单位时间内是否发生慢速拒绝服务攻击。本发明专利技术提出的基于多特征融合和CNN算法的检测方法能高精度、自适应地检测网络中的慢速拒绝服务攻击。
A LDoS attack detection method based on multi-feature fusion and CNN algorithm
【技术实现步骤摘要】
一种基于多特征融合和CNN算法的LDoS攻击检测方法
本专利技术属于计算机网络安全领域,具体涉及一种基于多特征融合和卷积神经网络(CNN)算法的慢速拒绝服务(LDoS)攻击检测方法。
技术介绍
拒绝服务(DoS)攻击发展到现在,形式千变万化。通常情况下,任何可以通过合法的方式使服务器不能提供正常服务或者降低服务器性能的攻击手段都属于拒绝服务攻击的范畴,攻击的对象可以是任何联网计算机、路由器或整个网络。而慢速拒绝服务攻击就是其中的一个变种,它比传统的拒绝服务攻击更难检测、更具威胁。迄今为止,尽管很多人提出了不少的方法,却仍没有成熟的解决方案。目前慢速拒绝服务攻击检测存在两个方面的问题:其一是由于攻击行为引起的反应和调整是正常表现,导致攻击流量与许多正常的数据流量特征相似,因此,该攻击隐蔽性非常好;其二是已有的慢速拒绝服务攻击检测方法普遍存在检测准确度不高,自适应能力差,时间复杂度和空间复杂度较高等特点。本专利技术提出了一种基于多特征融合和CNN网络的慢速拒绝服务攻击检测方法。现实中,网络流量拥有高维度、多特征的特点。在网络稳定的情况下,各个特征较为平稳,不会有太大的波动。而当网络遭受到攻击时,很多特征就会发生改变,表现出异常。根据单一特征的变化,很难判断网络正处于异常状态。因为网络是一个复杂的环境,存在着很多种噪声。因此,该方法采用多特征融合,更能准确的表征网络状态的变化。网络在正常与异常的状态下,由多个特征组成的特征图是有差异的,这些差异通过人的视觉可能不容易分辨。而CNN网络拥有良好的图像识别性能,能够辨析出两张特征图的异同,而其良好的抗干扰、降噪的能力,使得它的识别精确度较高。
技术实现思路
针对传统慢速拒绝服务攻击检测方法普遍存在检测准确度不高,自适应能力差等特点,提出了一种慢速拒绝服务攻击检测方法。该慢速拒绝服务攻击检测方法,通过计算网络流量多种特征,并将其融合成特征图。该特征图将用于表征网络的状态。CNN网络是一种优秀的可用于图像识别的分类算法,它能很好的分辨出不同特征图的差异,从而能识别出包含慢速拒绝服务攻击的特征图。本专利技术为实现上述目标所采用的技术方案为:该慢速拒绝服务攻击检测方法主要包括四个步骤:数据采样、数据处理、模型训练以及判定检测。1.数据采样。获取网络关键路由节点中的相关数据报文,对单位时间内所有相关数据报文进行采样,形成训练样本和测试样本。2.数据处理。对训练样本和测试样本进行特征计算。其中,特征包括TCP总量、UDP总量、总数据量(TCP总量与UDP总量之和)、TCP占比、UDP占比、UDP平均值、TCP平均值、TCP方差、UDP方差、TCP与UDP的协方差、TCP与UDP的相关系数、TCP能量值、UDP能量值、TCP信息熵、UDP信息熵、TCPHurst值、UDPHurst值。具体为:在该单位时间内,以数据片(单位时间内,可均分为若干个恰当时间长度的分段,每个这样的分段称为一个数据片)为特征计算单位,得到该单位时间内网络数据的特征矩阵。通过数值转换映射,将特征矩阵转化为特征图。该特征图用于表征该单位时间内网络的状态。其中,xi为样本值,m为样本数,P(xi)为样本取值为xi时的概率。则信息熵的计算公式可表示为:3.模型训练。用训练样本的特征图训练CNN模型。CNN模型的输入数据为图像数据,输出结果为两个数值,分别为分类为正常的概率和分类为慢速拒绝服务攻击的概率。CNN模型以均方误差为目标函数,通过梯度下降法来更新模型。CNN模型将学习并记忆慢速拒绝服务攻击的特征,最终得到可用于慢速拒绝服务攻击检测的模型。其中,N为样本数,Yn为样本真实分类(0表示正常,1表示慢速拒绝服务攻击),yn为模型输出的分类结果。则均方误差可以表示为:4.判定检测。用训练后的CNN模型对测试样本的特征图进行检测。根据判定准则,判断该特征图对应的单位时间内是否发生慢速拒绝服务攻击。对慢速拒绝服务攻击的判定准则为:若该单位时间内的特征图对应的CNN模型输出结果中,分类为慢速拒绝服务攻击的概率大于分类为正常的概率,则该单位时间内存在慢速拒绝服务攻击。有益效果该慢速拒绝服务攻击检测方法,误报率和漏报率低,对慢速拒绝服务攻击的检测准确度较高,同时该方法还能通过GPU硬件实现并发高效检测,以满足网络实效性需求。因此,该检测方法可普适于准确检测慢速拒绝服务攻击。附图说明图1为一种基于多特征融合和CNN算法的慢速拒绝服务攻击检测方法的流程图。图2为训练数据和测试数据通过特征计算生成的特征图。第一行代表正常流量的特征图,第二行代表随机选取的不同参数的慢速拒绝服务攻击的特征图。可以看出,正常数据流量的特征图与含有慢速拒绝服务攻击的数据流量的特征图是有差异的。而CNN算法能够很好的辨别出特征图之间的差异,从而识别出含有慢速拒绝服务攻击的特征图。图3为CNN算法模型示意图。CNN模型包括:数据输入层、卷积层、池化(下采样)层、全连接层和输出层。数据输入层对应的是训练数据和测试数据通过特征计算生成的特征图。卷积层、池化层和全连接层是模型内部数据处理过程。输出层为模型最终的输出结果,输出结果为两个数值,分别为分类为正常的概率和分类为慢速拒绝服务攻击的概率。具体实施方式下面结合附图对本专利技术进一步说明。如图1所示,该慢速拒绝服务攻击检测方法主要包括四个步骤:数据采样、数据处理、模型训练以及判定检测。图2为训练数据和测试数据通过特征计算生成的特征图。该过程包含两个步骤,具体为:1)在该单位时间内,以数据片为特征计算单位,得到该单位时间内网络数据的特征矩阵;2)通过数值转换映射,将特征矩阵转化为特征图。当网络发生攻击时,很多特征将会发生改变。因此,通过特征计算得到的特征矩阵就会存在较大的差异。从而,通过数值转换生成的特征图就会有所不同。这也是CNN模型能够精确检测出含有慢速拒绝服务攻击的特征图的原理所在。图3为CNN算法模型结构示意图。其中,数据输入层主要是对原始图像数据进行预处理,包括去均值、归一化。卷积层是CNN模型中最重要的一个层次,它的目的就是提取输入的不同特征。池化(下采样)层的目的是减小特征图尺寸大小。全连接层在整个卷积神经网络中起到“分类器”的作用。输出层输出最后分类的结果,一般用概率表示每一类输出结果,最终选取概率最大的那一类作为分类结果(检测结果)。本文档来自技高网...
【技术保护点】
1.一种基于多特征融合和卷积神经网络(CNN)算法的慢速拒绝服务(LDoS)攻击检测方法,其特征在于,所述慢速拒绝服务攻击检测方法包括以下几个步骤:步骤1、数据采样:获取网络关键路由节点中的相关数据报文,对单位时间内所有相关数据报文进行采样,形成训练样本和测试样本;步骤2、数据处理:对训练样本和测试样本进行特征计算,并生成相应的特征图;步骤3、模型训练:用训练样本的特征图训练CNN模型;步骤4、判定检测:用训练后的CNN模型对测试样本的特征图进行检测。根据判定准则,判断该特征图对应的单位时间内是否发生慢速拒绝服务攻击。
【技术特征摘要】
1.一种基于多特征融合和卷积神经网络(CNN)算法的慢速拒绝服务(LDoS)攻击检测方法,其特征在于,所述慢速拒绝服务攻击检测方法包括以下几个步骤:步骤1、数据采样:获取网络关键路由节点中的相关数据报文,对单位时间内所有相关数据报文进行采样,形成训练样本和测试样本;步骤2、数据处理:对训练样本和测试样本进行特征计算,并生成相应的特征图;步骤3、模型训练:用训练样本的特征图训练CNN模型;步骤4、判定检测:用训练后的CNN模型对测试样本的特征图进行检测。根据判定准则,判断该特征图对应的单位时间内是否发生慢速拒绝服务攻击。2.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤1中对网络关键路由节点中的相关数据报文,以固定取样时间获取固定时间长度(单位时间)内所有相关数据报文,形成训练样本和测试样本。3.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2中对步骤1得到的训练样本和测试样本进行特征计算,其中,特征包括TCP总量、UDP总量、总数据量(TCP总量与UDP总量之和)、TCP占比、UDP占比、UDP平均值、TCP平均值、TCP方差、UDP方差、TCP与UDP的协方差、TCP与UDP的相关系数、TCP能量值、UDP能量值、TCP信...
【专利技术属性】
技术研发人员:汤澹,唐柳,冯叶,詹思佳,施玮,满坚平,陈静文,罗能光,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。