CN109120600A - 一种基于流量频数分布特征的LDoS快速检测方法 - Google Patents

一种基于流量频数分布特征的LDoS快速检测方法 Download PDF

Info

Publication number
CN109120600A
CN109120600A CN201810818118.3A CN201810818118A CN109120600A CN 109120600 A CN109120600 A CN 109120600A CN 201810818118 A CN201810818118 A CN 201810818118A CN 109120600 A CN109120600 A CN 109120600A
Authority
CN
China
Prior art keywords
ldos
unit time
frequency
frequency disribution
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810818118.3A
Other languages
English (en)
Inventor
汤澹
冯叶
詹思佳
郑凯
施玮
代锐
陈静文
吴小雪
满坚平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN201810818118.3A priority Critical patent/CN109120600A/zh
Publication of CN109120600A publication Critical patent/CN109120600A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于流量频数分布特征的LDoS快速检测方法,属于网络安全领域。其中所述方法包括:获取单位时长内检测网络的有效TCP和其它数据流量,基于频数分析的方法,对获取到的数据流量进行处理,获得其频数分布特征向量。根据计算获得的频数分布特征向量,使用直方图距离公式,与事先训练出来该拓扑网络的正常数据流量频数分布特征进行定量分析,依据相关判定准则判定,是否存在因LDoS攻击而导致的有效TCP和其它数据流量频数分布异常,从而检测该时间窗口内是否发生LDoS攻击。本发明提出的基于流量频数分布特征的LDoS快速检测方法,误报率和漏报率较低,检测准确度较高,空间复杂度和时间复杂度低,运行时间短,检测速度快。

Description

一种基于流量频数分布特征的LDoS快速检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于流量频数分布特征的LDoS快速检测方法。
背景技术
拒绝服务攻击(DoS攻击),是一种实现简单、攻击高效的针对目标网络或主机进行的攻击方式,其攻击的目的就是让目标网络或主机拒绝合法用户的合法请求,破坏网络的正常运行。慢速拒绝服务攻击(LDoS)作为DoS的一种变异,因其周期性发送攻击数据包的特点,致使其攻击的平均速率更低,隐蔽性较之传统DoS攻击更强,进而增大了检测的难度。另外,现有的检测算法普遍存在检测准确度不高、算法复杂、资源消耗大等特点。
本发明针对现有的LDoS攻击检测方法普遍存在的检测准确度不高、算法复杂、资源消耗大等特点,提出了一种基于流量频数分布特征的LDoS快速检测方法。该方法通过对单位时间内采样到的相关数据流量样本进行处理,获取其频数分布,然后基于直方图距离公式,计算单位时间内相关数据流量的频数分布特征向量与基准向量的直方图距离,并提出了相应的判断准则来判别数据流量的频数分布特征是否异常,从而达到检测LDoS攻击的目的。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低,运行时间短,检测速度快。因此该检测方法可普适于快速检测LDoS攻击。
发明内容
针对现有的LDoS攻击检测方法普遍存在的检测准确度不高、算法复杂、资源消耗大等特点,提出了一种基于流量频数分布特征的LDoS快速检测方法。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低,运行时间短,检测速度较快。因此该检测方法可普适于快速检测LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该LDoS检测方法主要包括四个步骤:采样数据、处理数据、计算分析以及判定检测。
1.采样数据。对网络中的瓶颈链路或关键路由器,以固定取样时间获取固定时间长度(单位时间)内所有有效TCP流量和其它数据流量,形成样本值。
有效TCP流量的定义为:能够建立“三次握手”机制且有对应的应答数据响应的TCP数据流量,称为有效TCP流量。
其它数据流量的定义为:网络流量中,除了有效TCP流量外,其余所有的数据流量,称为其它数据流量。
2.处理数据。根据获取的样本值,基于有效TCP流量和其它数据流量的相对频数,对单位时间内的样本值进行处理,获得单位时间内有效TCP流量和其它数据流量的频数分布特征向量。频数分布是统计样本总体特征的一种“概要式”的描述。
在频数分布的分析方法中,单位时间内的分组数目依据Sturges公式确定,Sturges公式如下所示。
Kn=1+[log2nsample]
其中,Kn为分组的个数,nsample为流量样本的总个数,对log2nsample进行取整,记做[log2nsample]。
3.计算分析。根据计算获得的该单位时间内有效TCP流量和其它数据流量的频数分布特征向量,使用直方图距离公式,分析计算该单位时间内两类数据流量的频数分布直方图距离。具体是:1)基于直方图距离公式,定量计算有效TCP流量的频数分布特征向量与基准向量的直方图距离;2)基于直方图距离公式,定量计算其它数据流量的频数分布特征向量与基准向量的直方图距离。
该LDoS检测方法,在度量频数分布直方图距离时使用卡方距离,其中,X=(x1,x2,...,xn)T,Y=(y1,y2,...,yn)T,X称为测试向量,Y称为基准向量,卡方距离公式如下所示。
4.判定检测。根据计算获得的该单位时间内相关数据流量的频数分布特征向量与基准向量的直方图距离,对该单位时间内的数据流量进行判定检测。具体是:1)基于预先存储的有效TCP流量的频数分布直方图距离阈值,对该单位时间内有效TCP流量的频数分布特征进行判定检测;2)基于预先存储的其它数据流量的频数分布直方图距离阈值,对该单位时间内其它数据流量的频数分布特征进行判定检测。若以上同时检测到发生异常,则判定该单位时间内发生LDoS攻击。
若检测结果显示该单位时间内数据流量正常,则将该单位时间内有效TCP流量及其它数据流量的频数分布特征加入预先存储的对应数据内,用以修正预先存储的有效TCP流量及其它数据流量的频数分布特征的相应阈值。
有益效果
该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低,运行时间短,检测速度快。因此,该检测方法可普适于快速检测LDoS攻击。
附图说明
图1为三种网络状态(无攻击、其它攻击、LDoS攻击)下有效TCP流量的频数分布直方图。
图2为三种网络状态下其它数据流量的频数分布直方图。
图3为正态分布概率密度函数曲线及其概率(面积)分布示意图。
图4为一种基于流量频数分布特征的LDoS快速检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图1为三种网络状态(无攻击、其它攻击、LDoS攻击)下有效TCP流量的频数分布直方图。LDoS攻击发生时,其有效TCP流量的频数分布直方图与无攻击时的有效TCP流量的频数分布直方图有较大区别,进而可以区分发生LDoS攻击与未发生攻击的网络。
图2为三种网络状态下其它数据流量的频数分布直方图。LDoS攻击发生时,其有效TCP流量的频数分布直方图与发生其它类型攻击时的有效TCP流量的频数分布直方图有较大区别,进而可以区分发生LDoS攻击与其它攻击类型的网络。
图3为正态分布概率密度函数曲线及其概率(面积)分布示意图。对于均值、方差分别为μ、σ2的正态分布X~N(μ,σ2),其概率密度函数(PDF)的曲线f(x)及其概率(面积)分布规律呈现一定的规律。选择合适的显著性水平,需使得第一类错误和第二类错误的发生概率的期望值之和最小,同时需考虑实际检测中对检测精度和检测效率的要求。因此,显著性水平(z值)对于判断阈值的确定是至关重要的。
如图4所示,该LDoS快速检测方法主要包括四个步骤:采样数据、处理数据、计算分析以及判定检测。

Claims (9)

1.一种基于流量频数分布特征的LDoS快速检测方法,其特征在于,所述LDoS检测方法包括以下几个步骤:
步骤1、采样数据:获取瓶颈链路或关键路由器中的数据流量,对单位时间内的相关数据流量进行采样,形成样本值;
步骤2、处理数据:基于频数分布的分析方法,对样本值进行处理,得到该单位时间内相关数据流量的频数分布特征向量;
步骤3、计算分析:根据该单位时间内相关数据流量的频数分布特征向量,使用直方图距离公式,分析计算该单位时间内相关数据流量的频数分布直方图距离;
步骤4、判定检测:根据预先训练生成的频数分布特征相关的阈值,对该单位时间内的相关数据流量进行判定检测。若符合所述条件,则判定为该单位时间内网络中发生LDoS攻击。
2.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤1中对网络中瓶颈链路或关键路由器,以固定取样时间获取固定时间长度(单位时间)内所有有效TCP和其它数据流量,形成样本值。
3.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤2中根据步骤1获取的样本值,基于有效TCP和其它数据流量的相对频数,对单位时间内的样本值进行处理,获得单位时间内有效TCP和其它数据流量的频数分布特征向量。频数分布是统计样本总体特征的一种“概要式”的描述。
4.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤3中根据步骤2中计算获得的该单位时间内有效TCP和其它数据流量的频数分布特征向量,使用直方图距离公式,分析计算该单位时间内两类数据流量的频数分布直方图距离,包括两个步骤:
步骤3.1、基于直方图距离公式,定量计算有效TCP流量的频数分布特征向量与基准向量的直方图距离;
步骤3.2、基于直方图距离公式,定量计算其它数据流量的频数分布特征向量与基准向量的直方图距离。
5.根据权利要求4中所述的LDoS检测方法,其特征在于,步骤3.1中可以通过计算有效TCP流量的频数分布特征向量与基准向量的直方图距离,加以区别发生LDoS攻击和未发生攻击的网络,其中作为参考的基准向量为预先存储的有效TCP流量的频数分布特征向量。
6.根据权利要求4中所述的LDoS检测方法,其特征在于,步骤3.2中可以通过计算其它数据流量的频数分布特征向量与基准向量的直方图距离,加以区别发生LDoS攻击和其它攻击类型的网络,其中作为参考的基准向量为预先存储的其它数据流量的频数分布特征向量。
7.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤4中根据步骤3中计算获得的该单位时间内两类数据流量的频数分布特征向量与基准向量的直方图距离,对该单位时间内的数据流量进行判定检测,包括两个步骤:
步骤4.1、基于预先存储的有效TCP流量的频数分布直方图距离阈值,对该单位时间内有效TCP流量的频数分布特征进行判定检测;
步骤4.2、基于预先存储的其它数据流量的频数分布直方图距离阈值,对该单位时间内其它数据流量的频数分布特征进行判定检测。
步骤4.1和4.2同时检测到发生异常,则判定该单位时间内网络发生LDoS攻击。
8.根据权利要求7中所述的LDoS检测方法,其特征在于,步骤4.1中对有效TCP流量的频数分布特征进行检测的判定准则为:若该单位时间内有效TCP流量的频数分布特征向量与基准向量的直方图距离大于(>)预先存储的阈值,则该单位时间内有效TCP流量的频数分布特征异常,其对应的单位时间内可能发生LDoS攻击。
9.根据权利要求7中所述的LDoS检测方法,其特征在于,步骤4.2中对其它数据流量的频数分布特征进行检测的判定准则为:若该单位时间内其它数据流量的频数分布特征向量与基准向量的直方图距离小于(<)预先存储的阈值,则该单位时间内其它数据流量的频数分布特征未发生异常,其对应的单位时间内可能发生LDoS攻击。
CN201810818118.3A 2018-07-24 2018-07-24 一种基于流量频数分布特征的LDoS快速检测方法 Pending CN109120600A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810818118.3A CN109120600A (zh) 2018-07-24 2018-07-24 一种基于流量频数分布特征的LDoS快速检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810818118.3A CN109120600A (zh) 2018-07-24 2018-07-24 一种基于流量频数分布特征的LDoS快速检测方法

Publications (1)

Publication Number Publication Date
CN109120600A true CN109120600A (zh) 2019-01-01

Family

ID=64863118

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810818118.3A Pending CN109120600A (zh) 2018-07-24 2018-07-24 一种基于流量频数分布特征的LDoS快速检测方法

Country Status (1)

Country Link
CN (1) CN109120600A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN110650609A (zh) * 2019-10-10 2020-01-03 珠海与非科技有限公司 一种分布式储存的云服务器
CN114070609A (zh) * 2021-11-15 2022-02-18 湖南大学 一种基于格拉姆角场的低速率拒绝服务攻击检测方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370357B2 (en) * 2002-11-18 2008-05-06 Research Foundation Of The State University Of New York Specification-based anomaly detection
CN104125194A (zh) * 2013-04-24 2014-10-29 中国民航大学 基于互相关的LDDoS攻击时间同步和流量汇聚方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370357B2 (en) * 2002-11-18 2008-05-06 Research Foundation Of The State University Of New York Specification-based anomaly detection
CN104125194A (zh) * 2013-04-24 2014-10-29 中国民航大学 基于互相关的LDDoS攻击时间同步和流量汇聚方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
严斌: "基于卡方距离和AEWMA的LDoS攻击检测方法研究", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN110650609A (zh) * 2019-10-10 2020-01-03 珠海与非科技有限公司 一种分布式储存的云服务器
CN110650609B (zh) * 2019-10-10 2020-12-01 珠海与非科技有限公司 一种分布式储存的云服务器
CN114070609A (zh) * 2021-11-15 2022-02-18 湖南大学 一种基于格拉姆角场的低速率拒绝服务攻击检测方法

Similar Documents

Publication Publication Date Title
CN106027559B (zh) 基于网络会话统计特征的大规模网络扫描检测方法
Aborujilah et al. Cloud‐Based DDoS HTTP Attack Detection Using Covariance Matrix Approach
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN109587179A (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN109120600A (zh) 一种基于流量频数分布特征的LDoS快速检测方法
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
CN109067722A (zh) 一种基于两步聚类和检测片分析联合算法的LDoS检测方法
Kato et al. An intelligent ddos attack detection system using packet analysis and support vector machine
CN106790062B (zh) 一种基于反向dns查询属性聚合的异常检测方法及系统
Oldmeadow et al. Adaptive clustering for network intrusion detection
KR102120214B1 (ko) 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
US9069962B2 (en) Evaluation of a fast and robust worm detection algorithm
CN107360127A (zh) 一种基于aewma算法的慢速拒绝服务攻击检测方法
Maslan et al. Feature selection for DDoS detection using classification machine learning techniques
Pattawaro et al. Anomaly-based network intrusion detection system through feature selection and hybrid machine learning technique
Pramana et al. DDoS detection using modified K-means clustering with chain initialization over landmark window
Casas et al. POSTER: (Semi)-Supervised Machine Learning Approaches for Network Security in High-Dimensional Network Data
US20170346834A1 (en) Relating to the monitoring of network security
Kumar et al. Intrusion detection system-false positive alert reduction technique
Maharaj et al. A comparative analysis of different classification techniques for intrusion detection system
Song et al. A comprehensive approach to detect unknown attacks via intrusion detection alerts
KR100803029B1 (ko) 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
Maslan et al. Ddos detection on network protocol using neural network with feature extract optimization
Kim et al. Design of an intrusion detection system for unknown-attacks based on bio-inspired algorithms

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190101

WD01 Invention patent application deemed withdrawn after publication