本发明专利技术公开了一种基于自适应密度聚类(SA‑DBSCAN)算法的低速率拒绝服务攻击检测方法,属于网络安全领域。其中所述方法包括:对采样数据按固定时间划分为多个待测数据单元,计算每个数据单元的方差和平均差作为特征值;基于SA‑DBSCAN算法对待测数据自适应地进行密度聚类,得到聚类结果,包含0、1、2三种标签,其中0表示噪声单元,1表示正常数据单元,2表示发生低速率拒绝服务攻击的数据单元;最后对密度聚类得到的噪声单元进一步分析,判定该噪声单元是否为发生低速率拒绝服务攻击的数据单元。本发明专利技术提出的基于SA‑DBSCAN算法的检测方法可以有效地检测出低速率拒绝服务攻击,同时具有处理大数据的能力。
A low rate denial of service attack detection method based on sa-dbscan algorithm
【技术实现步骤摘要】
一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法
本专利技术属于计算机网络安全领域,具体涉及一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法。
技术介绍
拒绝服务攻击,攻击者将通信请求塞满目标机器,使连接到互联网的主机服务被暂时地或无限期地中断,以至于合法用户无法使用机器或网络资源,造成巨大损失。低速率拒绝服务攻击,是一种特殊的拒绝服务攻击,其目的是减少系统资源,导致服务恶化而不是完全的服务中断。它利用现今网络服务协议自适应机制中的漏洞,周期性的发送高速的攻击流,使得服务器长时间处于低效状态。目前针对低速率拒绝服务攻击的检测存在以下问题:其一是低速率拒绝服务攻击会导致临界系统的典型行为,具有良好的隐蔽性,针对传统拒绝服务攻击的检测方法不适用;其二是已有的低速率拒绝服务攻击检测方法普遍存在成本较高、自适应性较差、检测精度不高、不适用大数据、实时性弱等缺陷。本专利技术提出了一种基于自适应密度聚类(SA-DBSCAN)算法的低速率拒绝服务攻击检测方法。该方法采用SA-DBSCAN算法对待测网络数据进行聚类分析,弥补了基于距离聚类算法只能发现球状簇的缺陷,极大地减弱了瞬时高速正常流量对检测结果的影响。SA-DBSCAN算法可自适应地确定划分阈值,根据待测数据的特征值完成聚类得到聚类标签,极大地提高检测精度,弥补了已有的检测方法无法适应大数据且实时性弱的缺陷。
技术实现思路
针对已有的低速率拒绝服务攻击检测方法的不足,提出了一种低速率拒绝服务攻击检测方法,该方法具有较低的误报率和漏报率,适用于实时网络数据的检测,同时具备处理大数据的能力。因此该检测方法可普适于低速率拒绝服务攻击的准确检测。本专利技术为实现上述目标所采用的技术方案为:该低速率拒绝服务攻击检测方法主要包括四个步骤:获取数据、计算特征值、密度聚类以及噪声分析。1.获取数据。获取网络关键链路中的所有相关数据报文,形成样本原始值,将样本原始值以固定取样时间划分为多个待测数据单元。2.计算特征值。根据公式计算每个数据单元的tcp流量和udp流量的方差和平均差作为特征值,其中,令x表示数据单元,xi表示数据单元的第i维数据,n表示数据单元的总数量,mean表示平均值,var表示方差,方差计算公式可表示为:令m表示平均差,平均差计算公式可表示为:由于方差的数量级远大于平均差,为避免某一维度特征值权重过大导致聚类结果不准确,对特征值进行0-1标准化,令f表示特征值的一个维度,xi′表示标准化后的数据,标准化公式可表示为:3.密度聚类。根据计算获得的特征值,基于SA-DBSCAN算法对待测数据进行密度聚类,为避免全局参数对聚类结果的影响,聚类分为两部分:1)自适应阈值计算。选取发生低速率拒绝服务攻击的数据特征值中最显著的两个维度作为KNN算法的输入,令算法中的K值为4,得到每个数据单元4个最近邻居的距离值,对所有距离值按降序排列,以其中相邻差值最大的两个数的中间值作为聚类半径ε。根据计算得到的ε和特征值,求出距离矩阵D,在D中按序查询每个数据单元与其他数据单元的距离,对距离小于ε的数据单元进行计数,获得一组密度数组,若数组的最小值大于等于特征值的维度数加一,则聚类密度MinPts为数组的最小值,否则MinPts取特征值的维度数加一。2)基于DBSCAN算法完成聚类。根据计算得到的ε、MinPts和特征值,从正常数据单元出发,找到每个点的位于ε-邻域内的点,同时识别具有多个邻居(邻居数≥MinPts)的核心点,然后找到与核心点相连的在邻域范围内的其他核心点,忽略所有的非核心点。如果非核心点在某个簇的ε-邻域内,则将该点分配给附近的簇,否则认为该点为噪声点。密度聚类的结果包含3类标签:0表示噪声单元,1表示正常数据单元,2表示发生低速率拒绝服务攻击的数据单元。噪声单元为可能发生低速率拒绝服务攻击的数据单元,需要做进一步分析。4.噪声分析。对密度聚类得到的噪声单元进一步分析判断,为避免噪声单元内均为同一特征影响分析结果,选取标签为1的一个数据单元与噪声单元合并,组成新的检测点。检测点按低速率拒绝服务攻击的一个周期划分为多个数据片,基于SA-DBSCAN算法进行聚类,得到聚类标签,包括三类:0表示噪声点,1表示正常数据片,2表示发生低速率拒绝服务攻击的数据片。如果标签为2的数据片数量超过数据片总数量的一定比例,则认为噪声单元为发生低速率拒绝服务攻击的数据单元,否则为正常数据单元。有益效果该低速率拒绝服务攻击检测方法检测准确率较高,时间复杂度和空间复杂度较低,具有较好的实时性和处理大数据的能力,且避免了瞬时高速正常流量对检测结果的影响。因此,该检测方法可普适于准确检测低速率拒绝服务攻击。附图说明图1为一段正常网络发生低速率拒绝服务攻击后的流量图,包括tcp流量与udp流量。图2为不同网络状态下的特征值曲线图,分为三种网络状态:正常网络状态(无攻击),发生拒绝服务攻击的网络状态,发生低速率拒绝服务攻击的网络状态。特征值包含四个维度:tcp流量方差,tcp流量平均差,udp流量方差,udp流量平均差。图3为SA-DBSCAN算法的流程图。图4为一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法的流程图。具体实施方式下面结合附图对本专利技术进一步说明。如图4所示,该低速率拒绝服务攻击检测方法主要包括四个步骤:获取数据、计算特征值、密度聚类以及噪声分析,其中密度聚类为检测方法的核心。图1为发生低速率拒绝服务攻击的网络流量图,从图中可以看出,正常网络状态下的tcp流量与udp流量波动平缓,且tcp流量为网络通信中的主要流量,当发生低速率拒绝服务攻击时,攻击者周期性地发送大量udp攻击流量,造成tcp流量产生剧烈波动,且平均流量急剧减少,使系统不能正常提供服务。图2为不同网络状态下的特征值曲线图,从图中可以看出,4种特征值能明显将发生低速率拒绝服务攻击的网络与其他网络做出区分。图3介绍了SA-DBSCAN算法的流程,从图中可以看出,算法自适应计算阈值,避免了全局固定参数对聚类结果的影响,同时密度聚类可发现任意形状的簇,不受噪声点干扰,使检测结果准确性更高,能对正常访问造成临界现象的网络与发生低速率拒绝服务攻击的网络做出区分。本文档来自技高网...
【技术保护点】
1.一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法,其特征在于,所述低速率拒绝服务攻击检测方法包括以下几个步骤:/n步骤1、获取数据:实时获取网络关键链路中的相关数据报文,对一段时间内所有相关数据报文进行采样,形成样本原始值,将样本原始值以固定取样时间划分为多个待测数据单元;/n步骤2、计算特征值:按公式计算每个数据单元的方差与平均差作为特征值,并做标准化处理;/n步骤3、密度聚类:根据每个数据单元的特征值,基于SA-DBSCAN算法进行密度聚类,得到聚类标签;/n步骤4、噪声分析:对步骤3聚类得到的标签为噪声的数据单元进一步分析,判断其是否为发生低速率拒绝服务攻击的数据单元,得到最终检测结果。/n
【技术特征摘要】
1.一种基于SA-DBSCAN算法的低速率拒绝服务攻击检测方法,其特征在于,所述低速率拒绝服务攻击检测方法包括以下几个步骤:
步骤1、获取数据:实时获取网络关键链路中的相关数据报文,对一段时间内所有相关数据报文进行采样,形成样本原始值,将样本原始值以固定取样时间划分为多个待测数据单元;
步骤2、计算特征值:按公式计算每个数据单元的方差与平均差作为特征值,并做标准化处理;
步骤3、密度聚类:根据每个数据单元的特征值,基于SA-DBSCAN算法进行密度聚类,得到聚类标签;
步骤4、噪声分析:对步骤3聚类得到的标签为噪声的数据单元进一步分析,判断其是否为发生低速率拒绝服务攻击的数据单元,得到最终检测结果。
2.根据权利要求1中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤1中对网络关键链路获取检测时间内所有相关数据报文,形成样本原始值,以固定取样时间对原始值进行划分,形成待检测的数据单元。
3.根据权利要求1中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤2中根据步骤1获取的待测数据单元,计算每一个数据单元的方差和平均差作为特征值,为避免数量级差异影响聚类结果,对特征值进行0-1标准化。
4.根据权利要求1中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤3中根据步骤2计算获得的数据单元的特征值,基于SA-DBSCAN算法进行密度聚类,包括三个步骤:
步骤3.1、根据采样获得的不同攻击参数下的低速率拒绝服务攻击数据,基于KNN算法计算聚类划分半径;
步骤3.2、根据步骤2...
【专利技术属性】
技术研发人员:汤澹,张斯琦,代锐,吴佳宸,严裕东,陈静文,唐柳,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。