【技术实现步骤摘要】
一种基于R
‑
SAX的LDoS攻击检测与防御方法
[0001]本专利技术属于计算机网络安全领域,具体涉及一种基于实时符号聚合近似(R
‑
SAX)的慢速拒绝服务(LDoS)攻击检测与防御方法。
技术介绍
[0002]LDoS攻击是一种拒绝服务(DoS)攻击的变种,利用网络协议中自适应机制的漏洞,通过周期性脉冲攻击网络瓶颈链路恶意制造网络拥塞,严重降低网络服务质量,具有和DoS攻击与分布式拒绝服务(DDoS)攻击类似的攻击效果,但其平均攻击速率更低,使LDoS攻击更加隐蔽,难以被传统DoS和DDoS攻击检测方法识别。
[0003]目前,针对LDoS攻击的检测与防御方法存在以下三个方面的问题:其一是由于LDoS攻击具有很强的隐蔽性,传统DoS攻击检测方法难以有效识别;其二是已有的LDoS攻击检测方法普遍存在检测率较低、误报率和漏报率较高和检测实时性较弱的问题;其三是由于传统网络架构的限制,部署防御策略往往需要额外添加设备,因此防御成本较高,难以实现,因此传统网络中的检测方法难以部署到实际...
【技术保护点】
【技术特征摘要】
1.一种基于R
‑
SAX的LDoS攻击检测与防御方法,其特征在于,R表示实时处理,SAX是一种时间序列符号化算法,R
‑
SAX是一种实时的时间序列符号化算法,所述LDoS攻击检测与防御方法包括以下几个步骤:步骤1、网络数据采样:实时获取软件定义网络瓶颈链路交换机中的流表信息,对单位时间内所有流经该交换机的聚合流量进行采样,并使用滑动窗口存储当前网络流量序列,形成检测窗口;步骤2、检测窗口符号化:分析检测窗口的流量数据,计算获得流量均值序列,使用R
‑
SAX算法将流量均值序列映射为SAX单词;步骤3、构建检测模型:基于LDoS攻击下网络数据流量在分布上具有周期性的特点,使用R
‑
SAX算法计算训练数据中每个检测窗口流量序列对应的SAX单词,获得SAX单词集合作为检测模型;步骤4、判定检测:根据构建的检测模型,对待检测窗口进行判定,若待检测窗口的网络流量符合检测模型的检测标准,则判定该待检测窗口内网络受到了LDoS攻击;步骤5、攻击防御:根据检测结果,若判定待检测窗口受到LDoS攻击,部署防御策略缓解LDoS攻击。2.根据权利要求1中所述的LDoS攻击检测与防御方法,其特征在于,步骤1中网络数据采样基于软件定义网络通用的南向接口OpenFlow协议实现,控制器以固定时间间隔轮询瓶颈链路交换机的聚合流量,形成原始网络数据,并维持固定长度和步长的滑动窗口存储采集的聚合流量,形成当前检测窗口。3.根据权利要求1中所述的LDoS攻击检测与防御方法,其特征在于,步骤2中根据步骤1获取的检测窗口,使用R
‑
SAX算法对当前检测窗口的聚合流量进行符号化,具体可分为三个步骤:步骤2.1、对当前检测窗口的聚合流量进行标准化,获得标准序列;步骤2.2、对于步骤2.1处理后的流量序列,使用PAA算法进行降维,PAA算法的具体步骤为:将步骤2.1处理后得到的流量序列分别划分为多个等长的子序列,计算每个子序列的均值,使用每个子序列的均值来近似表示该子序列,达到降维的目的;步骤2.3、在高斯曲线下将分布空间划分为多个等概率区间,每个区间用一个字母表示,用字母来表示步骤2.2中获得的降维后的流...
【专利技术属性】
技术研发人员:汤澹,郑芷青,王思苑,高辰郡,李欣萌,马浩,
申请(专利权)人:湖南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。