CN107360127A - 一种基于aewma算法的慢速拒绝服务攻击检测方法 - Google Patents

一种基于aewma算法的慢速拒绝服务攻击检测方法 Download PDF

Info

Publication number
CN107360127A
CN107360127A CN201710196791.3A CN201710196791A CN107360127A CN 107360127 A CN107360127 A CN 107360127A CN 201710196791 A CN201710196791 A CN 201710196791A CN 107360127 A CN107360127 A CN 107360127A
Authority
CN
China
Prior art keywords
statistics
unit interval
probability
anomaly
detection method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710196791.3A
Other languages
English (en)
Inventor
汤澹
陈夏润
张聪聪
薛芸菲
姚四霞
吴小雪
方轶
牟育霆
陈玉枚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN201710196791.3A priority Critical patent/CN107360127A/zh
Publication of CN107360127A publication Critical patent/CN107360127A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于自适应指数加权移动平均(AEWMA)算法的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:以一个时间窗口为检测单位,实时获取检测网络的数据报文,对该时间窗口内数据报文进行原始数据解析,采用AEWMA算法消除偶然因素干扰,从而提取其分布形态特征;根据提取的该时间窗口内数据报文的分布形态特征,与事先训练出来该拓扑网络的正常分布形态特征进行定量分析,依据相关判定准则判定,是否存在因LDoS攻击而导致的分布形态异常,从而检测该时间窗口内是否发生LDoS攻击。本发明提出的基于分布形态特征的检测方法能高效、快速、自适应的检测LDoS攻击。

Description

一种基于AEWMA算法的慢速拒绝服务攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于AEWMA算法的慢速拒绝服务攻击检测方法
背景技术
拒绝服务攻击(DoS攻击),其根本目的是使得受害网络或主机无法及时接受并处理外界请求,或者无法及时响应服务请求,从而导致网络或者目标计算机无法提供正常的服务。DoS攻击对网络危害巨大。而慢速拒绝服务(LDoS)攻击,是一种新型DoS攻击。其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。
目前LDoS攻击检测存在两个方面的问题:其一是由于攻击行为特证异于传统DoS攻击,传统DoS检测方法难以检测LDoS攻击,其二是已有的LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点。
本发明针对传统DoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点。基于自适应移动平均(AEWMA)算法,提出了一种基于AEWMA算法的慢速拒绝服务攻击检测方法。该方法采用了AEWMA算法统计样本原始值,从而尽可能消除偶然误差而同时保留异常突变。然后通过定量度量分布形态的异常特征,提出了相关的判断准则来判别分布形态是否异常,从而达到检测LDoS攻击的目的。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
发明内容
针对传统DoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点,提出了一种慢速拒绝服务攻击检测方法。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该慢速拒绝服务攻击检测方法主要包括四个步骤:采样数据、处理数据、分析数据以及判定检测。
1.采样数据。对网络中关键服务器(路由器)中的相关数据报文,以固定取样时间获取固定时间长度(单位时间)内所有相关数据报文,形成样本原始值。
2.处理数据。根据获取的样本原始值,基于自适应指数加权移动平均(AEWMA)算法计算获得样本统计值。AEWMA算法在保留“最近样本值”——“最大权重”的基础上,通过采用非线性的加权算法,能够保留统计对象的异常突变而平滑其偶然误差。
在AEWMA算法中,令Xi为样本的第i个原始值,Si为样本的第i个AEWMA统计值,n为统计样本的总个数,w(ei)为AEWMA算法的加权函数。AEWMA算法公式可表示为:
3.分析数据。根据计算获得的该单位时间内样本统计值,分析计算该单位时间内异常统计点概率及异常统计组概率。具体是:1)基于置信区间可以度量样本统计值的分布形态特征,通过使用异常统计点概率定量度量样本统计值的离散程度;2)基于置信区间可以度量样本统计值的分布形态特征,通过使用异常统计组概率定量度量样本统计值的振荡程度。
其中,令该时间单位为AEWMA统计值的均值记作令σ2为正常数据中统计值的方差,z为与检测精度相关的给定常量,置信区间可表示为:
4.判定检测。根据计算获得的该单位时间内异常统计点概率及异常统计组概率,对该单位时间内的数据报文进行判定检测。具体是:1)基于预先存储的异常统计点概率阈值,对该单位时间内其异常统计点概率进行判定检测;2)基于预先存储的异常统计组概率阈值,对该单位时间内其异常统计组概率进行判定检测。若以上同时检测到发生LDoS攻击,则判定该单位时间内发生LDoS攻击。
若检测结果显示该单位时间内数据报文正常,则将该单位时间内异常统计点概率及异常统计组概率加入预先存储的对应数据内,用以修正预先存储的异常统计点概率阈值及异常统计组概率阈值。
有益效果
该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此,该检测方法可普适于准确检测LDoS攻击。
附图说明
图1为AEWMA算法的光滑特征示意图,AEWMA算法采用得分函数使得具备既能平滑偶然误差又能保留异常突变,因此在基于“流量异常特征”的LDoS攻击检测中更具优势。
图2为AEWMA算法和EWMA算法对同一组样本原始值的平滑处理效果的示意图。在基于流量异常特征的LDoS攻击检测中,由于AEMWA算法能够有效保留样本原始值的异常特征,因此较之EWMA算法更为适用。
图3为对于均值、方差分别为μ、σ2的正态分布X~N(μ,σ2),其概率密度函数(PDF)的曲线f(x)及其概率(面积)分布规律示意图。选择合适的显著性水平,需使得第一类错误和第二类错误的发生概率的期望值之和最小,同时需考虑实际检测中对检测精度和检测效率的要求。
图4为一种基于AEWMA算法的慢速拒绝服务攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图4所示,该慢速拒绝服务攻击检测方法主要包括四个步骤:采样数据、处理数据、分析数据以及判定检测。
图1为AEWMA算法的光滑特征示意图。EWMA算法对所有的样本原始值均进行了平滑处理,不仅平滑了偶然误差,同时也平滑了“异常突变”。而AEWMA算法采用得分函数使得具备既能平滑偶然误差又能保留异常突变,因此在基于“流量异常特征”的LDoS攻击检测中更具优势。
图2为AEWMA算法和EWMA算法对同一组样本原始值的平滑处理效果的示意图。在基于流量异常特征的LDoS攻击检测中,由于AEMWA算法能够有效保留样本原始值的异常特征,因此较之EWMA算法更为适用。
图3为图3为对于均值、方差分别为μ、σ2的正态分布X~N(μ,σ2),其概率密度函数(PDF)的曲线f(x)及其概率(面积)分布规律示意图。选择合适的显著性水平,需使得第一类错误和第二类错误的发生概率的期望值之和最小,同时需考虑实际检测中对检测精度和检测效率的要求。因此,显著性水平(z值)对于置信区间CI的确定是至关重要的。

Claims (9)

1.一种基于AEWMA算法的慢速拒绝服务攻击检测方法,其特征在于,所述慢速拒绝服务攻击检测方法包括以下几个步骤:
步骤1、采样数据:实时获取服务器(路由器)中的相关数据报文,对单位时间内所有相关数据报文进行采样,形成样本原始值;
步骤2、处理数据:基于自适应指数加权移动平均(AEWMA)算法,对样本原始值进行平滑处理,得到样本统计值;
步骤3、分析数据:根据该单位时间内样本统计值,分析计算该单位时间内异常统计点概率及异常统计组概率;
步骤4、判定检测:根据预先存储的相关阈值,对该单位时间内的数据报文进行判定检测。若符合所述条件,则判定为该单位时间内网络中发生LDoS攻击。
2.根据权利要求1中所述的慢速拒绝服务攻击检测检测方法,其特征在于,步骤1中对网络中关键服务器(路由器)中的相关数据报文,以固定取样时间获取固定时间长度(单位时间)内所有相关数据报文,形成样本原始值。.
3.根据权利要求1中所述的慢速拒绝服务攻击检测检测方法,其特征在于,步骤2中根据步骤1获取的样本原始值,基于自适应指数加权移动平均(AEWMA)算法计算获得样本统计值。AEWMA算法在保留“最近样本值”——“最大权重”的基础上,通过采用非线性的加权算法,能够保留统计对象的异常突变而平滑其偶然误差。
4.根据权利要求1中所述的慢速拒绝服务攻击检测检测方法,其特征在于,步骤3中根据步骤2中计算获得的该单位时间内样本统计值,分析计算该单位时间内异常统计点概率及异常统计组概率,包括两个步骤:
步骤3.1、基于置信区间可以度量样本统计值的分布形态特征,通过使用异常统计点概率定量度量样本统计值的离散程度;
步骤3.2、基于置信区间可以度量样本统计值的分布形态特征,通过使用异常统计组概率定量度量样本统计值的振荡程度。
5.根据权利要求4中所述的慢速拒绝服务攻击检测检测方法,其特征在于,步骤3.1中异常统计点概率的定义为:位于置信区间之外的统计点(异常统计点)出现的频率,称为异常统计点概率。
6.根据权利要求4中所述的慢速拒绝服务攻击检测检测方法,其特征在于,步骤3.2中异常统计组概率的定义为:时间标度上连续的若干个异常统计点组成的异常统计点集合(异常统计组)出现的频率,称为异常统计组概率。
7.根据权利要求1中所述的慢速拒绝服务攻击检测检测方法,其特征在于,步骤4中根据步骤3中计算获得的该单位时间内异常统计点概率及异常统计组概率,对该单位时间内的数据报文进行判定检测,包括两个步骤:
步骤4.1、基于预先存储的异常统计点概率阈值,对该单位时间内其异常统计点概率进行判定检测;
步骤4.2、基于预先存储的异常统计组概率阈值,对该单位时间内其异常统计组概率进行判定检测。
步骤4.1和4.2同时检测到发生LDoS攻击,则判定该单位时间内发生LDoS攻击。
8.根据权利要求7中所述的慢速拒绝服务攻击检测检测方法,其特征在于,步骤4.1中对异常统计点概率进行检测的判定准则为:若该单位时间内其异常统计点概率大于预先存储异常统计点概率阈值,则该单位时间内异常统计点概率异常,其对应的单位时间内可能发生LDoS攻击。
9.根据权利要求7中所述的慢速拒绝服务攻击检测检测方法,其特征在于,步骤4.1中对异常统计组概率进行检测的判定准则为:若该单位时间内其异常统计组概率大于预先存储异常统计组概率阈值,则该单位时间内异常统计组概率异常,其对应的单位时间内可能发生LDoS攻击。
CN201710196791.3A 2017-03-29 2017-03-29 一种基于aewma算法的慢速拒绝服务攻击检测方法 Pending CN107360127A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710196791.3A CN107360127A (zh) 2017-03-29 2017-03-29 一种基于aewma算法的慢速拒绝服务攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710196791.3A CN107360127A (zh) 2017-03-29 2017-03-29 一种基于aewma算法的慢速拒绝服务攻击检测方法

Publications (1)

Publication Number Publication Date
CN107360127A true CN107360127A (zh) 2017-11-17

Family

ID=60271194

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710196791.3A Pending CN107360127A (zh) 2017-03-29 2017-03-29 一种基于aewma算法的慢速拒绝服务攻击检测方法

Country Status (1)

Country Link
CN (1) CN107360127A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150838A (zh) * 2018-07-24 2019-01-04 湖南大学 一种针对慢速拒绝服务攻击的综合检测方法
CN109726553A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于snn-lof算法的慢速拒绝服务攻击检测方法
CN110719272A (zh) * 2019-09-27 2020-01-21 湖南大学 一种基于lr算法的慢速拒绝服务攻击检测方法
CN111294362A (zh) * 2020-03-16 2020-06-16 湖南大学 一种基于分形残差的LDoS攻击实时检测方法
CN111756685A (zh) * 2020-05-15 2020-10-09 长沙市智为信息技术有限公司 一种基于假设检验的ddos攻击检测方法
CN112738136A (zh) * 2021-01-29 2021-04-30 湖南大学 一种基于hss算法的慢速拒绝服务攻击检测方法
CN113965584A (zh) * 2021-12-21 2022-01-21 北京达佳互联信息技术有限公司 报文处理方法、设备、装置及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102104611A (zh) * 2011-03-31 2011-06-22 中国人民解放军信息工程大学 一种基于混杂模式的DDoS攻击检测方法及装置
CN104348811A (zh) * 2013-08-05 2015-02-11 深圳市腾讯计算机系统有限公司 分布式拒绝服务攻击检测方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102104611A (zh) * 2011-03-31 2011-06-22 中国人民解放军信息工程大学 一种基于混杂模式的DDoS攻击检测方法及装置
CN104348811A (zh) * 2013-08-05 2015-02-11 深圳市腾讯计算机系统有限公司 分布式拒绝服务攻击检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
汤澹: "《基于TCP流量分布异常的慢速拒绝服务攻击检测方法》", 《中国优秀博士论文辑》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150838A (zh) * 2018-07-24 2019-01-04 湖南大学 一种针对慢速拒绝服务攻击的综合检测方法
CN109726553A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于snn-lof算法的慢速拒绝服务攻击检测方法
CN110719272A (zh) * 2019-09-27 2020-01-21 湖南大学 一种基于lr算法的慢速拒绝服务攻击检测方法
CN111294362A (zh) * 2020-03-16 2020-06-16 湖南大学 一种基于分形残差的LDoS攻击实时检测方法
CN111756685A (zh) * 2020-05-15 2020-10-09 长沙市智为信息技术有限公司 一种基于假设检验的ddos攻击检测方法
CN111756685B (zh) * 2020-05-15 2022-05-20 长沙市智为信息技术有限公司 一种基于假设检验的ddos攻击检测方法
CN112738136A (zh) * 2021-01-29 2021-04-30 湖南大学 一种基于hss算法的慢速拒绝服务攻击检测方法
CN113965584A (zh) * 2021-12-21 2022-01-21 北京达佳互联信息技术有限公司 报文处理方法、设备、装置及存储介质
CN113965584B (zh) * 2021-12-21 2022-05-13 北京达佳互联信息技术有限公司 报文处理方法、设备、装置及存储介质

Similar Documents

Publication Publication Date Title
CN107360127A (zh) 一种基于aewma算法的慢速拒绝服务攻击检测方法
CN105208037B (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN105553998A (zh) 一种网络攻击异常检测方法
US20070226803A1 (en) System and method for detecting internet worm traffics through classification of traffic characteristics by types
CN104202336A (zh) 一种基于信息熵的DDoS攻击检测方法
JP2014060722A (ja) 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
Li et al. Early detection of DDoS based on $\varphi $-entropy in SDN networks
CN108632269A (zh) 基于c4.5决策树算法的分布式拒绝服务攻击检测方法
CN108683686A (zh) 一种随机子域名DDoS攻击检测方法
Zhe et al. DoS attack detection model of smart grid based on machine learning method
US20210044607A1 (en) Monitor, monitoring method, and recording medium
CN109067722A (zh) 一种基于两步聚类和检测片分析联合算法的LDoS检测方法
CN113645182B (zh) 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN110719270A (zh) 一种基于fcm算法的慢速拒绝服务攻击检测方法
CN109150838A (zh) 一种针对慢速拒绝服务攻击的综合检测方法
CN115150206A (zh) 一种信息安全用的入侵检测安全预警系统及其方法
Chen A New Detection Method for Distributed Denial-of-Service Attack Traffic based on Statistical Test.
CN110650145A (zh) 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法
CN110618977A (zh) 登录异常检测方法、装置、存储介质和计算机设备
CN113645215A (zh) 异常网络流量数据的检测方法、装置、设备及存储介质
CN117201172A (zh) 一种基于风险传播的信息系统风险评估方法
Maharaj et al. A comparative analysis of different classification techniques for intrusion detection system
CN117544366A (zh) 一种适合配电网安全防御的信息风险评估方法
CN110650157B (zh) 基于集成学习的Fast-flux域名检测方法
CN109120600A (zh) 一种基于流量频数分布特征的LDoS快速检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20171117

WD01 Invention patent application deemed withdrawn after publication