本发明专利技术公开了一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:实时获取单位时间片内待检测网络的混合流量数据,提取网络流量在梅尔频率上的倒谱系数,将其作为度量正常流量和LDoS攻击流量的初始特征;然后采用互信息特征选择算法对已提取的初始特征进行优化选择;最后将择优后的特征输入到基于数据质量异常检测的半空间森林模型,通过该模型对正常流量和LDoS攻击流量进行准确区分,从而达到检测LDoS攻击的目的。本发明专利技术提出的梅尔倒谱与半空间森林结合的检测方法能高效、快速、自适应地检测LDoS攻击。
【技术实现步骤摘要】
一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
本专利技术属于计算机网络安全领域,具体涉及一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法。
技术介绍
拒绝服务(DoS)攻击,其根本目的是使得受害网络或主机无法及时接受并处理外界请求,或者无法及时响应服务请求,从而导致网络或者目标计算机无法提供正常的服务,DoS攻击对网络危害巨大。而LDoS攻击,是DoS攻击的变种,其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。目前LDoS攻击检测存在两个方面的问题:其一是由于攻击行为特征异于传统DoS攻击,传统DoS检测方法难以检测LDoS攻击,其二是已有的LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点。本专利技术针对现有LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点,提出了一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法。该方法实时获取时间片内待检测网络的流量数据,提取网络流量在梅尔频率上的倒谱系数,将其作为度量正常流量和LDoS攻击流量的初始特征;然后采用互信息特征选择算法对已提取的初始特征进行优化选择;最后将择优后的特征输入到基于数据质量异常检测的半空间森林模型,通过该模型对正常流量和LDoS攻击流量进行准确区分,从而达到检测LDoS攻击的目的。该LDoS攻击检测方法,对LDoS攻击的检测准确度较高,误报率和漏报率低,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
技术实现思路
针对现有LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点,提出了一种基于梅尔倒谱和半空间森林结合的LDoS攻击检测方法。该LDoS攻击检测方法,对LDoS攻击的检测准确度较高,误报率和漏报率低,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。本专利技术为实现上述目标所采用的技术方案为:该LDoS攻击检测方法主要包括四个步骤:提取初始特征、特征优化选择、构建半空间森林模型和检测判定。1.提取初始特征:实时获取路由器中的混合数据流量,按照时间片划分混合数据流量,将时间片内的混合数据流量进行处理后输入到梅尔滤波器组中获取信号能量,再将其进一步处理后则可获得我们所需的倒谱系数,即本方法所描述的初始特征。其中构造梅尔滤波器组的方法为:我们在频谱范围内设置若干带通滤波器Hm(k),0≤m≤M,M为滤波器的数目。每个滤波器具有三角形滤波特性,其中心频率为f(m),f(m)的定义如下:其中,fl为滤波器频率范围的最低频率,fh为滤波器频率范围的最高频率,N为DFT(FFT)时的长度,fs为采样频率,Fmel为Mel频率,Mel频率是一种分线性频率刻度,它与频率的关系表示如下式所示:2.特征优化选择:采用互信息特征选择算法对已经提取的初始特征进行再次筛选,选择出前k个特征组成提优特征。具体方法为:从一个空集合S开始,采用步进的方法,每次选择一个特征,直到选择前k(k≤n)个特征使得检测算法性能达到最优。初始特征集合F={f1,f2,...,fn},当前未被选择的特征集合U,已被选的m-1个特征组合的集合Sm-1,集合关系为F=U+S。选取特征步骤如下:1)选取第一个特征:2)选取第m个特征gm,采取策略为有监督特征选择方法的“最小冗余-最大相关”标准,第m个特征选择的依据是:利用上式选择第m个特征gm,直到已选特征集S选择出k(k≤n)前个特征。3.构建半空间森林模型:利用已获取的提优特征构建基于质量估计的半空间森林模型。具体步骤为:1)从输入的训练数据中随机挑选样本子集,并生成半空间树所需的工作空间;2)使用从步骤1挑选的样本子集在工作空间中生成第i棵半空间树;3)将步骤3.2生成的第i棵半空间树汇入半空间森林,直到生成的半空间树的数量满足半空间森林的要求数量则完成森林模型构建。4.检测判定:将时间片内获取的提优特征输入到半空间森林模型中,获取该时间片的异常量值,若该时间片内的异常量大于预先存储的异常量阈值,则该时间片内存在LDoS攻击,若该时间片内的异常量小于预先存储的异常量阈值,则该时间片内不存在LDoS攻击。有益效果该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此,该检测方法可普适于准确检测LDoS攻击。附图说明图1为网络中时间片内混合数据流量的功率谱密度(PSD)图。图2为网络中时间片内的提取到的特征对比图。图3为选择排序好的前k个特征检测模型的性能测试图。图4为数据点的异常量和数据点的质量期望值的关系图。图5为基于梅尔倒谱和半空间森林结合的LDoS攻击检测方法的流程图。具体实施方式下面结合附图对本专利技术进一步说明。图1(a)为网络中时间片内无攻击的混合数据流量的PSD图,图1(b)为网络中时间片内含有LDoS攻击的混合数据流量的PSD图,从两者的图像波动对比看,正常混合数据流量和含有LDoS攻击的混合数据流量的PSD图存在差异。图2(a)为两个正常时间片的特征对比图,图2(b)为两个异常时间片的特征对比图,图2(c)为正常时间片和异常时间片的特征对比图。从图2(a)和图2(b)可知,同类特征值走向不完全相同,但是相似度较高,从图2(c)中可知,异类特征值走向有较大的差异。图3为利用互信息选择算法,选出排序好的前k个特征检测模型的性能测试图。从图2(a)的两个正常时间片提取到的特征值两两对比可知,特征值之间的差异量不一致,因此也可证明提取到的初始特征中可能少数存在冗余或存在干扰信息的特征,利用互信息选择算法,选择使得检测模型更优(TPR,Accuracy更高,FPR更低)的前k个特征为提优特征。图4为数据点的异常量和数据点的质量期望值的关系图。假定ψ(ψ>2)为半空间树的数据点数目,则c(ψ)为给定ψ个数据点的平均质量,即给定样本大小的半空间树的平均质量为:其中H(i)是调和数,可以用式H(i)=ln(i)+0.5772156649计算获得,其中0.5772156649为欧拉常数。以c(ψ)标准化数据点的质量,因此可以计算获取数据点x质量的异常量a为:由和c(ψ)的关系可知,所以当数据点的质量期望值接近c(ψ)时,数据点的异常量a(x,ψ)=0.5,并且正常数据点的质量期望值应该大于c(ψ),即a(x,ψ)<0.5,而异常数据点的质量期望值应该小于c(ψ),即a(x,ψ)>0.5,因此将异常量异常选为0.5作为区分正常和异常数据的阈值。如图5所示,该LDoS攻击检测方法主要包括四个步骤:提取初始特征、特征优化选择、构建半空间森本文档来自技高网...
【技术保护点】
1.一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法,其特征在于,所述LDoS攻击检测方法包括以下几个步骤:/n步骤1、提取初始特征:实时获取路由器中的混合数据流量,提取单位时间内(时间片)的混合数据流量在梅尔频率上的倒谱系数作为初始特征;/n步骤2、特征优化选择:采用互信息特征选择算法对已提取的初始特征进行优化选择,获取提优后的特征;/n步骤3、构建半空间森林模型:利用已获取的提优特征构建基于质量估计的半空间森林模型;/n步骤4、检测判定:将时间片内获取的提优特征输入到半空间森林模型中,获取该时间片的异常量值,若符合相关判定准则,则判定该时间片内网络中存在LDoS攻击。/n
【技术特征摘要】
1.一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法,其特征在于,所述LDoS攻击检测方法包括以下几个步骤:
步骤1、提取初始特征:实时获取路由器中的混合数据流量,提取单位时间内(时间片)的混合数据流量在梅尔频率上的倒谱系数作为初始特征;
步骤2、特征优化选择:采用互信息特征选择算法对已提取的初始特征进行优化选择,获取提优后的特征;
步骤3、构建半空间森林模型:利用已获取的提优特征构建基于质量估计的半空间森林模型;
步骤4、检测判定:将时间片内获取的提优特征输入到半空间森林模型中,获取该时间片的异常量值,若符合相关判定准则,则判定该时间片内网络中存在LDoS攻击。
2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤1中对网络中关键路由器,按照时间片划分混合数据流量,按照梅尔倒谱特征提取方法,将时间片内的混合数据流量作为输入,获取其在梅尔频率上的倒谱系数作为初始特征。
3.根据权利要求2中所述的LDoS攻击检测方法,其特征在于,步骤1中的梅尔倒谱特征提取方法是从低频到高频的频带内,按照临界带宽的大小由密到疏安排一组带通滤波器对输入数据进行滤波,将每个带通滤波器输出的能量进一步处理后就可以得到梅尔倒谱系数。
4.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2中根据步骤1中已获取的初始特征,使用互信息特征选择算法对初始特征择优排序,选择前k个特征作为择优后的特征。
5.根据权利要求4中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2中的互信息选...
【专利技术属性】
技术研发人员:汤澹,施玮,王曦茵,陈静文,张斯琦,严裕东,张冬朔,冯叶,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。