本发明专利技术公开了一种基于两步自调节支持向量机的LDoS攻击检测方法,属于网络安全领域。其中所述的方法包括:对链路上的总流量进行采样,得到一段时间序列内的多个单位时间的流量数据,并通过离散小波变换对其进行数据流分离,使用滑动窗口处理,在每一个窗口内提取特征向量,当窗口停止滑动时得到一组用于检测的数据项。使用基于自适应粒子群实现的两步自调节的方式改良支持向量机算法,使其不会对样本数据的过拟合,并减小其受噪音的影响;经过该算法训练得到检测模型后,将得到的一组数据项依次输入检测模型,得到一系列检测结果;通过检测结果判定是否有LDoS攻击的存在。本发明专利技术提出的基于两步自调节的支持向量机的LDoS攻击检测方法能够有效检测LDoS攻击,且具有较强的泛化能力。泛化能力。泛化能力。
【技术实现步骤摘要】
基于两步自调节支持向量机的LDoS攻击检测方法
[0001]本专利技术属于计算机网络安全领域,具体涉及一种基于两步自调节支持向量机的LDoS攻击检测方法。
技术介绍
[0002]拒绝服务(DoS)攻击包括了任何通过合法的方式使服务器不能向合法的用户提供服务的手段,DoS攻击至今一直严重危害着网络的安全。而如今出现了一种DoS攻击的变种,慢速拒绝服务(LDoS)攻击,它周期性地发送时间短、强度大的脉冲,对网络协议下的一些机制进行破坏,具有不亚于DoS攻击的破坏性,同时具有强隐蔽性和低能耗性。
[0003]LDoS攻击隐蔽性强的特点使其很难被传统的攻击检测方法检测到,现有的一些LDoS攻击检测方法存在检测率低、泛化能力不够等问题。
[0004]支持向量机算法能通过核方法解决非线性问题,因此被用于复杂网络中的LDoS攻击检测;但基于支持向量机算法的LDoS攻击检测方法存在对样本数据过度依赖与易受噪音影响的缺陷,导致其泛化能力不足,影响最终的检测效果。
技术实现思路
[0005]本专利技术针对当前LDoS攻击检测方法存在的检测率低、泛化能力不足的缺点,提出了一种基于两步自调节支持向量机的LDoS攻击检测方法。该方法针对模型构建中出现的不足,提出了两种自调节方式;并结合二者对支持向量机算法进行改良,以达到提升泛化能力的目的;第一种自调节方式是通过控制算法中样本数据向高维映射的极限,调节参数gamma,从而避免检测模型对于样本数据过拟合;第二种自调节方式是通过最优程度上忽略样本数据中的异常点,调节参数C,减小检测模型受噪音影响。具体地,通过自适应粒子群算法实现了两种自调节方式下对两种参数的调节。
[0006]本专利技术针对当前LDoS攻击检测方法存在的检测率低、泛化能力不足的缺点,提出了一种基于两步自调节支持向量机的LDoS攻击检测方法。该方法采用改良后的支持向量机算法检测数据,将链路上一段连续的时间序列内的若干单位时间的总流量数据进行分离子数据流后,进行处理并提取特征值,得到一组用于检测的数据项,每条数据项依次输入本算法确定的检测模型中,得到一系列的检测结果,判定该段时间内是否发生LDoS攻击,并计算评价指标。该方法采用两种自调节方式改进了支持向量机模型易于对样本过拟合、易受噪音影响的缺陷,使其能够充分学习样本数据的特征,提升泛化能力;而且该检测方法对LDoS攻击检测的一系列评价指标均较高。
[0007]本专利技术为实现上述目标所采用的技术方案为:由于提出的两种调节方式都需要调整参数至最佳状态,并且参数可选值范围庞大,因此使用适合大范围的搜索的自适应粒子群算法进行参数调整是一种可行的方案;在训练过程中,将需要调节的参数视作粒子的坐标,期望的调整后参数为需要搜索的目标位置;选取对训练样本的k折交叉验证正确率作为适应度函数用于评判粒子当前坐标与目标位置之间的远近,在算法迭代结束后获得自调节
方式下对应的期望参数,接着将该参数应用于支持向量机算法,输入训练数据进行训练,得到检测模型。该 LDoS攻击检测模型的训练主要包括以下四个步骤:粒子群初始化、粒子位置移动及最优值更新、全局状态评估及局部最优判断、确定目标位置。
[0008]1.粒子群初始化。初始化粒子群,粒子群的种群大小P、每一个粒子的坐标向量X
i
(i=1,2,3,
……
,P)与速度向量v
i
(i=1,2,3,
……
,P),以及个体加速度c1、社会加速度c2、惯性参数ω;坐标向量为2维,对应了两个需要调节的参数。同时计算每一个粒子的初始适应度值,更新每一个粒子的个体历史最优坐标Pbest
i
与全局的历史最优坐标Gbest,并记录个体的最优适应度值FitnessPbest
i
与全局的最优适应度值FitnessGbest。
[0009]2.粒子位置移动及最优值更新。在每一次的迭代中,根据以下公式更新每一个粒子的坐标向量与速度向量,其中r1、r2为[0,1]区间内均匀分布的随机数,上角标代表着粒子i在第t次迭代中的速度与坐标向量。着粒子i在第t次迭代中的速度与坐标向量。
[0010]3.全局状态评估及局部最优判断。根据以下公式计算每一个粒子到其他粒子的平均距离d
i
,接着根据公式计算d
g
(g代表离目标位置最近的粒子的下标) 的离差归一化值f。根据f的值,判断当前的全局状态,根据不同的全局状态,自适应的调节c1、c2和ω的值,从而表现出不同的搜索模式。如果当前的全局状态为接近收敛,那么此时对最优坐标产生轻微扰动得到新的坐标,评判该坐标是否离目标位置更近,如果是则跳出局部最优。f=(d
g
‑
d
min
)/(d
max
‑
d
min
)∈[0,1][0011]4.确定目标位置。重复上述步骤,在迭代次数达到后,此时的全局历史最优坐标向量即对应了期望的调整后的参数,将该参数应用于支持向量机算法,并输入训练数据进行训练,得到检测模型。
[0012]该LDoS攻击检测方法包括以下四个步骤:采样数据、处理数据、检测数据、判定检测。
[0013]1.采样数据。对链路上的总流量进行采样,得到多个单位时间的流量数据;
[0014]2.处理数据。采用离散小波变换,分离出子攻击数据流与子背景数据流,对子数据流采取滑动窗口处理,求取两个子数据流各自的均值与子攻击数据流的攻击强度,最后将提取数据进行归一化处理,避免数据间不同量级而产生的影响,得到当前窗口内的特征向量作为一条用于检测的数据项,当窗口无法向前滑动时,获得了一组用于检测的数据项;
[0015]3.检测数据。采用基于两步自调节的支持向量机算法构建的检测模型检测,将步骤2得到的一组数据项依次输入检测模型,得到一系列对应的检测结果;
[0016]4.判定检测。根据输出的一系列检测结果,判定在该段时间内每个窗口内是否发生LDoS攻击,并计算评价指标。有益效果
[0017]该LDoS攻击检测方法采用两步自调节方式改进了支持向量机算法易于造成过拟
合、易受噪音影响的缺陷,使其泛化能力提升;而且该检测方法对LDoS 攻击检测的一系列评价指标均较好。
附图说明
[0018]图1为采样和处理数据的流程图。采样得到一段时间序列内的多个单位时间的流量数据,并进行提取特征用于检测。
[0019]图2为基于两步自调节的支持向量机算法训练检测模型的流程图。支持向量机算法通过两步自调节方式进行了改良,调节过程表现在支持向量机算法参数的调整上,通过自适应粒子群算法进行实现,使用对样本的k折交叉验证率作为适应度值,使用该方式得到的参数能使检测模型具有更好的检测效果。
[0020]图3为采用基于两步自调节支持向量机的LDoS攻击检测的流程图。
具体实施方式
[0021]下面结合附图对本专利技术进一步说明。
[0022]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于两步自调节的支持向量机算法的LDoS攻击检测方法,其特征在于,该检测方法包括以下几个步骤:步骤1、采样数据:对链路上的总流量进行采样,得到一段时间序列内的多个单位时间的流量数据;步骤2、处理数据:采用离散小波变换,分离出子攻击数据流与子背景数据流,对子数据流采取滑动窗口处理,求取两个子数据流各自的均值与子攻击数据流的攻击强度,最后将提取数据进行归一化处理,避免数据间不同量级产生的影响,得到当前窗口内的特征向量作为一条用于检测的数据项,当窗口无法向前滑动时,获得了一组用于检测的数据项;步骤3、检测数据:采用基于两步自调节的支持向量机算法构建的检测模型检测,将步骤2得到的一组数据项依次输入检测模型,得到一系列对应的检测结果;步骤4、判定检测:根据输出的一系列检测结果,判定在该段时间内每个窗口内是否发生LDoS攻击,并计算评价指标。2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2中根据步骤1中采样收集的流量数据,应用离散小波变换分离两个子数据流,包括子背景数据流与子攻击数据流,使用滑动窗口的方式处理子数据流,每个窗口包括了100个单位时间内的流量数据,滑动窗口每次向前滑动1个单位时间后停止,在当前窗口中计算特征值,得到两个子数据流各自的均值与子攻击数据流的攻击强度,并对它们进行离差归一化,让三种特征值处于同一量级,得到对应于该窗口的三维特征向量作为一条用...
【专利技术属性】
技术研发人员:汤澹,刘泊儒,郑芷青,李欣萌,邓彬,王小彩,李诗宇,
申请(专利权)人:湖南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。