一种基于FCM算法的慢速拒绝服务攻击检测方法技术

本发明专利技术公开了一种基于模糊C均值(FCM)算法的慢速拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：以一个时间片为检测单位，实时获取待测网络的数据报文，计算该时间片内数据报文的特征值，使用离差标准化操作避免某类数据权重过高；根据提取的该时间片内数据报文的特征值，基于事先使用FCM算法训练得到的聚类中心和聚类标签，使用隶属度计算方法对该时间片进行分类，依据聚类标签确定该时间片是否发生慢速拒绝服务攻击，从而确定相应的检测窗口内是否发生慢速拒绝服务攻击。本发明专利技术提出的基于FCM算法的检测方法能准确、高效地检测慢速拒绝服务攻击。

A slow denial of service attack detection method based on FCM algorithm

【技术实现步骤摘要】
一种基于FCM算法的慢速拒绝服务攻击检测方法
本专利技术属于计算机网络安全领域，具体涉及一种基于FCM算法的慢速拒绝服务攻击检测方法。
技术介绍
拒绝服务攻击，通过发送高强度的数据包耗尽被攻击对象的资源，使受害者无法为合法用户提供正常的服务以及资源访问，甚至会引起崩溃或者停止响应，其至今仍是互联网面临的最大威胁之一。而慢速拒绝服务攻击，是一种特殊的拒绝服务攻击，其原理主要是利用端系统或网络中常见的自适应机制，使用周期性的高速脉冲数据流攻击受害者端，引发受害者网络根据自适应机制做出改变，以此来达到降低受害者端的服务性能的目的。目前慢速拒绝服务攻击检测存在两个方面的问题：其一是由于其攻击行为隐蔽性高，与传统拒绝服务攻击不同，传统拒绝服务攻击检测方法难以检测，其二是现有的慢速拒绝服务攻击检测方法普遍存在准确率较低、复杂度较高的问题。本专利技术针对现有的慢速拒绝服务攻击检测方法普遍存在准确率较低、复杂度较高等特点。通过分析受到慢速拒绝服务攻击的网络流量特点，基于模糊C均值(FCM)算法，提出了一种基于FCM算法的慢速拒绝服务攻击检测方法本文档来自技高网...

【技术保护点】
1.一种基于FCM算法的慢速拒绝服务攻击检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：/n步骤1、采样数据：实时获取关键服务器(路由器)中的相关数据报文，对单位时间内所有相关数据报文进行采样，形成训练样本及测试样本原始值；/n步骤2、特征值计算：将训练样本、测试样本原始值以固定时间划分为多个时间片，每个时间片计算得到样本特征值，形成训练样本及测试样本特征值；/n步骤3、训练数据：基于FCM算法，对训练样本特征值进行聚类处理，得到训练结果、聚类中心及聚类标签；/n步骤4、处理数据：根据训练结果对每个时间片内的测试样本特征值进行分类，得到测试样本检测结果；/n步骤5、判定检测...

【技术特征摘要】
1.一种基于FCM算法的慢速拒绝服务攻击检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：
步骤1、采样数据：实时获取关键服务器(路由器)中的相关数据报文，对单位时间内所有相关数据报文进行采样，形成训练样本及测试样本原始值；
步骤2、特征值计算：将训练样本、测试样本原始值以固定时间划分为多个时间片，每个时间片计算得到样本特征值，形成训练样本及测试样本特征值；
步骤3、训练数据：基于FCM算法，对训练样本特征值进行聚类处理，得到训练结果、聚类中心及聚类标签；
步骤4、处理数据：根据训练结果对每个时间片内的测试样本特征值进行分类，得到测试样本检测结果；
步骤5、判定检测：以一较大固定时间将测试样本划分为多个检测窗口，每个时间窗口包含若干个时间片，根据测试样本检测结果及聚类标签，对该检测窗口进行判定检测，得到检测结果。


2.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤1中对网络中关键服务器(路由器)中的相关数据报文，以固定取样时间获取固定时间长度(单位时间)内的TCP报文和UDP报文，形成样本原始值。


3.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2中根据步骤1中获得的训练样本及测试样本原始值，根据标准差计算公式计算获得每个时间片的TCP标准差及UDP标准差作为样本特征值。


4.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，...

【专利技术属性】
技术研发人员：汤澹，陈静文，施玮，王曦茵，张冬朔，张斯琦，满坚平，
申请(专利权)人：湖南大学，
类型：发明
国别省市：湖南;43