CN109150838A - 一种针对慢速拒绝服务攻击的综合检测方法 - Google Patents

一种针对慢速拒绝服务攻击的综合检测方法 Download PDF

Info

Publication number
CN109150838A
CN109150838A CN201810820673.XA CN201810820673A CN109150838A CN 109150838 A CN109150838 A CN 109150838A CN 201810820673 A CN201810820673 A CN 201810820673A CN 109150838 A CN109150838 A CN 109150838A
Authority
CN
China
Prior art keywords
unit time
sample
value
analysis
fluctuation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810820673.XA
Other languages
English (en)
Inventor
汤澹
施玮
满坚平
罗能光
代锐
冯叶
唐柳
陈炫宇
郑凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN201810820673.XA priority Critical patent/CN109150838A/zh
Publication of CN109150838A publication Critical patent/CN109150838A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种针对慢速拒绝服务攻击的综合检测方法,属于网络安全领域。其中所述方法包括:实时获取检测网络的TCP流量,对单位时间内的TCP流量进行采样处理,形成样本原始值,该方法采用两次检测的方式,首先通过分析该单位时间内样本原始值的波动形态的异常特征并计算波动形态异常率,通过相关判定准则进行初步判定检测;然后采用AEWMA算法平滑噪声,形成样本分析值,通过分析该单位时间内样本分析值的分布形态的异常特征并计算异常分析点概率和异常分析组概率,依据相关判定准则进行最终判定检测。本发明提出的两次检测综合的检测方法能高效、快速、自适应地检测慢速拒绝服务攻击。

Description

一种针对慢速拒绝服务攻击的综合检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种针对慢速拒绝服务攻击的综合检测方法。
背景技术
拒绝服务(DoS)攻击,其根本目的是使得受害网络或主机无法及时接受并处理外界请求,或者无法及时响应服务请求,从而导致网络或者目标计算机无法提供正常的服务,DoS攻击对网络危害巨大。而慢速拒绝服务(LDoS)攻击,是一种新型DoS攻击,其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。
目前LDoS攻击检测存在两个方面的问题:其一是由于攻击行为特征异于传统DoS攻击,传统DoS检测方法难以检测LDoS攻击,其二是已有的LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点。
本发明针对现有LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点,提出了一种针对慢速拒绝服务攻击的综合检测方法。该方法采用两次检测综合的方式,首先通过分析样本原始值的波动形态的异常特征,计算该单位时间内样本原始值的波动形态异常率,通过相关判定准则进行初步判定检测;然后采用AEWMA算法平滑噪声,形成样本分析值,通过分析样本分析值的分布形态的异常特征,计算该单位时间内样本分析值的异常分析点概率和异常分析组概率,依据相关判定准则进行最终判定检测。采用两次检测综合的检测方法,从而达到准确检测LDoS攻击的目的。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
发明内容
针对现有LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点,提出了一种慢速拒绝服务攻击检测方法。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该慢速拒绝服务攻击检测方法主要包括三个步骤:采样数据、初次检测和二次检测。
1.采样数据。对网络中关键服务器(路由器),以固定取样时间获取固定时间长度(单位时间)内的TCP流量,形成样本原始值。
2.初次检测。根据该单位时间内样本原始值,分析该单位时间内样本原始值的波动形态的异常特征,计算该单位时间内样本原始值的波动形态异常率,从而进行初步检测。具体是:
1)基于预先存储的数据片平均差阈值,依次对该单位时间内每个数据片的波动形态进行判定;
从波动形态的概念可知,波动形态包括波动的幅度和波动的频率两个方面的特征。为了度量数据片内波动的幅度和波动的频率,使用“平均差”MD的方法考察该数据片内波动形态特征。平均差是总体内所有样本与其算术平均数之间绝对差的算术平均数,其公式可表示为:
其中,xi为该数据片内第i个样本原始值,为该数据片内样本原始值的均值,n表示该数据片内流量样本的个数。
2)基于已获取的该单位时间内所有数据片的波动形态情况,计算该单位时间内样本原始值的波动形态异常率;
3)基于预先存储的波动形态异常率阈值,对该单位时间内样本原始值的波动形态异常率进行判定。若该单位时间内样本原始值的波动形态异常率异常,则初步判定该单位时间内网络中发生LDoS攻击,并进入步骤3进行再次检测。
3.二次检测。根据初次检测获得的样本原始值,采用AEWMA算法平滑噪声,形成样本分析值,然后通过分析该单位时间内样本分析值的分布形态的异常特征,计算该单位时间内样本分析值的异常分析点概率和异常分析组概率,进行最终检测判断。具体是:
1)基于自适应指数加权移动平均(AEWMA)算法,对波动形态异常的单位时间内样本原始值进行平滑处理,得到样本分析值;
AEWMA算法在保留“最近样本值”——“最大权重”的基础上,通过采用非线性的加权算法,能够保留分析对象的异常突变而平滑其偶然误差。
在AEWMA算法中,令Xi为样本的第i个原始值,Si为样本的第i个AEWMA分析值,n为分析样本的总个数,w(ei)为AEWMA算法的加权函数。AEWMA算法公式可表示为:
2)基于置信区间可以度量样本分析值的分布形态特征,通过使用异常分析点概率定量度量样本分析值的离散程度;
3)基于置信区间可以度量样本分析值的分布形态特征,通过使用异常分析组概率定量度量样本分析值的振荡程度;
其中,令该时间单位为AEWMA分析值的均值记作,令σ2为正常数据中分析值的方差,z为与检测精度相关的给定常量,置信区间可表示为:
4)基于预先存储的异常分析点概率阈值和异常分析组概率阈值,对该单位时间内其异常分析点概率和异常分析组概率进行判定检测。若该单位时间内异常分析点概率和异常分析组概率均异常,则判定该单位时间内网络中发生LDoS攻击。
有益效果
该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此,该检测方法可普适于准确检测LDoS攻击。
附图说明
图1为网络中无攻击时样本分析值的波动形态。
图2为网络中存在其他攻击时样本分析值的波动形态。
图3为网络中存在LDoS攻击时样本分析值的波动形态。
图4为AEWMA算法的光滑特征示意图,AEWMA算法采用得分函数使得具备既能平滑偶然误差又能保留异常突变,因此在基于“流量异常特征”的LDoS攻击检测中更具优势。
图5为对于均值、方差分别为μ、σ2的正态分布X~N(μ,σ2),其概率密度函数(PDF)的曲线f(x)及其概率(面积)分布规律示意图。选择合适的显著性水平,需使得第一类错误和第二类错误的发生概率的期望值之和最小,同时需考虑实际检测中对检测精度和检测效率的要求。
图6为一种针对慢速拒绝服务攻击的综合检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图1为网络中无攻击时样本分析值的波动形态。此时大多数数据片内波动形态正常,这些波动形态正常的数据片内平均差均较小,仅较少数目的数据片内波动形态异常。
图2为网络中存在其他攻击时样本分析值的波动形态。此时虽然偶有数据片内波动形态异常,但仍然大多数的数据片内波动形态正常,这些波动形态正常的数据片内平均差均较小,仅较少数目的数据片内波动形态异常。
图3为网络中存在LDoS攻击时样本分析值的波动形态。由于LDoS独特的攻击方式,使得样本值在其极小值和极大值之间频繁剧烈波动,其波动幅度和频率远大于网络中无攻击和网络中存在其他攻击的情况,较多数目的数据片内波动形态异常,这些波动形态异常的数据片内平均差均较大。
图4为AEWMA算法的光滑特征示意图。EWMA算法对所有的样本原始值均进行了平滑处理,不仅平滑了偶然误差,同时也平滑了“异常突变”。而AEWMA算法采用得分函数使得具备既能平滑偶然误差又能保留异常突变,因此在基于“流量异常特征”的LDoS攻击检测中更具优势。
图5为对于均值、方差分别为μ、σ2的正态分布X~N(μ,σ2),其概率密度函数(PDF)的曲线f(x)及其概率(面积)分布规律示意图。选择合适的显著性水平,需使得第一类错误和第二类错误的发生概率的期望值之和最小,同时需考虑实际检测中对检测精度和检测效率的要求。因此,显著性水平(z值)对于置信区间CI的确定是至关重要的。
如图6所示,该慢速拒绝服务攻击检测方法主要包括三个步骤:采样数据、初次检测和二次检测。

Claims (11)

1.一种针对慢速拒绝服务攻击的综合检测方法,其特征在于,所述慢速拒绝服务攻击检测方法包括以下几个步骤:
步骤1、采样数据:实时获取服务器(路由器)中的TCP流量,对单位时间内TCP流量进行采样,形成样本原始值;
步骤2、初次检测:根据该单位时间内样本原始值,分析该单位时间内样本原始值的波动形态的异常特征,计算该单位时间内样本原始值的波动形态异常率,从而进行初步检测判断。若符合相关判断条件,则初步判定该单位时间内网络中发生LDoS攻击,进入下一个步骤再次检测;
步骤3、二次检测:根据初次检测获得的样本原始值,采用AEWMA算法平滑噪声,形成样本分析值;分析该单位时间内样本分析值的分布形态的异常特征,计算该单位时间内样本分析值的异常分析点概率和异常分析组概率;进行最终检测判断。若符合相关判断条件,则判定该单位时间内网络中发生LDoS攻击。
2.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤1中对网络中关键服务器(路由器),以固定取样时间获取固定时间长度(单位时间)内的TCP流量,形成样本原始值。
3.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2中根据步骤1中获取的样本原始值,分析该单位时间内样本原始值的波动形态的异常特征并计算该单位时间内样本原始值的波动形态异常率,从而进行初步检测,包括三个步骤:
步骤2.1、基于预先存储的数据片平均差阈值,依次对该单位时间内每个数据片的波动形态进行判定;
步骤2.2、基于已获取的该单位时间内所有数据片的波动形态情况,计算该单位时间内样本原始值的波动形态异常率;
步骤2.3、基于预先存储的波动形态异常率阈值,对该单位时间内样本原始值的波动形态异常率进行判定。若该单位时间内样本原始值的波动形态异常率异常,初步判定该单位时间内存在LDoS攻击。
4.根据权利要求3中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2.1中对单个数据片的波动形态进行检测的判定准则为:若该数据片平均差大于预先存储数据片平均差阈值,则该数据片内样本原始值的波动形态异常。
5.根据权利要求3中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2.2中的波动形态异常率的定义为:单位时间内,波动形态发生异常的数据片出现的频率,称为波动形态异常率。
6.根据权利要求3中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2.3中对波动形态异常率进行检测的判定准则为:若该单位时间内其波动形态异常率大于预先存储波动形态异常率阈值,则该单位时间内波动形态异常率异常。
7.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3中根据步骤2中初步检测获取的样本原始值,采用AEWMA算法平滑噪声,形成样本分析值;然后分析该单位时间内样本分析值的分布形态的异常特征,计算该单位时间内样本分析值的异常分析点概率和异常分析组概率;最终进行相应的检测判断。包括四个步骤:
步骤3.1、基于自适应指数加权移动平均(AEWMA)算法,对初步检测后的单位时间内的样本原始值进行平滑处理,形成样本分析值;
步骤3.2、基于置信区间可以度量样本分析值的分布形态特征,通过使用异常分析点概率定量度量样本分析值的离散程度;
步骤3.3、基于置信区间可以度量样本分析值的分布形态特征,通过使用异常分析组概率定量度量样本分析值的振荡程度;
步骤3.4、基于预先存储的异常分析点概率阈值和异常分析组概率阈值,对该单位时间内其异常分析点概率和异常分析组概率进行判定检测。若该单位时间内异常分析点概率和异常分析组概率均异常,则判定该单位时间内网络中发生LDoS攻击。
8.根据权利要求7中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3.1中根据步骤2中初步检测获取的样本原始值,基于自适应指数加权移动平均(AEWMA)算法计算获得样本分析值。AEWMA算法采用变化的光滑系数,达到实现平滑较小的偶然误差但保留较大的异常突变的目的。
9.根据权利要求7中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3.2中异常分析点概率的定义为:位于置信区间之外的分析点(异常分析点)出现的频率,称为异常分析点概率。
10.根据权利要求7中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3.3中异常分析组概率的定义为:时间标度上连续的若干个异常分析点组成的异常分析点集合(异常分析组)出现的频率,称为异常分析组概率。
11.根据权利要求7中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3.4中对异常分析点概率和异常分析组概率进行检测的判定准则为:若该单位时间内其异常分析点概率大于预先存储异常分析点概率阈值,则该单位时间内异常分析点概率异常;若该单位时间内其异常分析组概率大于预先存储异常分析组概率阈值,则该单位时间内异常分析组概率异常。
CN201810820673.XA 2018-07-24 2018-07-24 一种针对慢速拒绝服务攻击的综合检测方法 Pending CN109150838A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810820673.XA CN109150838A (zh) 2018-07-24 2018-07-24 一种针对慢速拒绝服务攻击的综合检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810820673.XA CN109150838A (zh) 2018-07-24 2018-07-24 一种针对慢速拒绝服务攻击的综合检测方法

Publications (1)

Publication Number Publication Date
CN109150838A true CN109150838A (zh) 2019-01-04

Family

ID=64797640

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810820673.XA Pending CN109150838A (zh) 2018-07-24 2018-07-24 一种针对慢速拒绝服务攻击的综合检测方法

Country Status (1)

Country Link
CN (1) CN109150838A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111294362A (zh) * 2020-03-16 2020-06-16 湖南大学 一种基于分形残差的LDoS攻击实时检测方法
CN111444501A (zh) * 2020-03-16 2020-07-24 湖南大学 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
CN111835696A (zh) * 2019-04-23 2020-10-27 阿里巴巴集团控股有限公司 一种检测异常请求个体的方法及装置
CN112637202A (zh) * 2020-12-22 2021-04-09 贵州大学 一种SDN环境下基于集成小波变换的LDoS攻击检测方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103546465A (zh) * 2013-10-15 2014-01-29 北京交通大学长三角研究院 基于数据流周期监测的LDoS攻击检测及防御方法
CN105100017A (zh) * 2014-05-12 2015-11-25 中国民航大学 基于信号互相关的LDoS攻击检测方法
CN105591832A (zh) * 2014-11-13 2016-05-18 腾讯数码(天津)有限公司 应用层慢速攻击检测方法和相关装置
US9479141B2 (en) * 2014-11-26 2016-10-25 Nxp B.V. Low-pass filter
CN107360127A (zh) * 2017-03-29 2017-11-17 湖南大学 一种基于aewma算法的慢速拒绝服务攻击检测方法
CN108199898A (zh) * 2018-01-12 2018-06-22 中国民航大学 一种增强LDoS攻击效能的方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103546465A (zh) * 2013-10-15 2014-01-29 北京交通大学长三角研究院 基于数据流周期监测的LDoS攻击检测及防御方法
CN105100017A (zh) * 2014-05-12 2015-11-25 中国民航大学 基于信号互相关的LDoS攻击检测方法
CN105591832A (zh) * 2014-11-13 2016-05-18 腾讯数码(天津)有限公司 应用层慢速攻击检测方法和相关装置
US9479141B2 (en) * 2014-11-26 2016-10-25 Nxp B.V. Low-pass filter
CN107360127A (zh) * 2017-03-29 2017-11-17 湖南大学 一种基于aewma算法的慢速拒绝服务攻击检测方法
CN108199898A (zh) * 2018-01-12 2018-06-22 中国民航大学 一种增强LDoS攻击效能的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
汤澹: "《基于TCP流量分布异常的慢速拒绝服务攻击检测方法》", 《中国优秀博士论文集》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111835696A (zh) * 2019-04-23 2020-10-27 阿里巴巴集团控股有限公司 一种检测异常请求个体的方法及装置
CN111835696B (zh) * 2019-04-23 2023-05-09 阿里巴巴集团控股有限公司 一种检测异常请求个体的方法及装置
CN111294362A (zh) * 2020-03-16 2020-06-16 湖南大学 一种基于分形残差的LDoS攻击实时检测方法
CN111444501A (zh) * 2020-03-16 2020-07-24 湖南大学 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
CN111444501B (zh) * 2020-03-16 2023-04-18 湖南大学 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
CN112637202A (zh) * 2020-12-22 2021-04-09 贵州大学 一种SDN环境下基于集成小波变换的LDoS攻击检测方法
CN112637202B (zh) * 2020-12-22 2022-08-12 贵州大学 一种SDN环境下基于集成小波变换的LDoS攻击检测方法

Similar Documents

Publication Publication Date Title
CN109150838A (zh) 一种针对慢速拒绝服务攻击的综合检测方法
CN109067722B (zh) 一种基于两步聚类和检测片分析联合算法的LDoS检测方法
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
CN108601026B (zh) 基于随机抽样一致性的感知数据错误化攻击检测方法
CN107360127A (zh) 一种基于aewma算法的慢速拒绝服务攻击检测方法
Fan et al. Weak target detection based on joint fractal characteristics of autoregressive spectrum in sea clutter background
JP2012047724A (ja) 電磁波識別装置、電磁波識別方法、及び電磁波識別プログラム
CN107678019B (zh) 基于ca-cfar的雷达信号多目标检测方法及装置
CN112684428B (zh) 一种基于信号代理的多目标恒虚警率检测方法
CN111797887A (zh) 一种基于密度筛选与k-均值聚类的反窃电预警方法及系统
WO2019015226A1 (zh) 一种快速识别风速分布规律的方法
CN111444501B (zh) 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
CN110398722A (zh) 基于随机矩阵有限谱的扩展目标回波检测方法
CN117892246B (zh) 一种智能化开关柜用数据处理方法
CN109120600A (zh) 一种基于流量频数分布特征的LDoS快速检测方法
Perry et al. Estimation of the change point of the process fraction nonconforming in SPC applications
CN110650145A (zh) 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法
CN108718223B (zh) 一种非合作信号的盲频谱感知方法
CN108629125A (zh) 基于异常值检测的子空间投影滤波器设计
CN108898117A (zh) 一种滑动阈值的自适应随机信号异常提取方法
JP4883408B2 (ja) 系列データ間の類似性検査方法及び装置
CN112084541A (zh) 硬件木马检测方法、系统、计算机设备及可读存储介质
Liu et al. Multiscale water quality contamination events detection based on sensitive time scales reconstruction
CN117889945B (zh) 一种公路桥梁施工振动测试方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190104

WD01 Invention patent application deemed withdrawn after publication