CN109167789B - 一种云环境LDoS攻击数据流检测方法及系统 - Google Patents

一种云环境LDoS攻击数据流检测方法及系统 Download PDF

Info

Publication number
CN109167789B
CN109167789B CN201811066308.0A CN201811066308A CN109167789B CN 109167789 B CN109167789 B CN 109167789B CN 201811066308 A CN201811066308 A CN 201811066308A CN 109167789 B CN109167789 B CN 109167789B
Authority
CN
China
Prior art keywords
data
data flow
attack
formula
ldos
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811066308.0A
Other languages
English (en)
Other versions
CN109167789A (zh
Inventor
郭钰君
韩德志
毕坤
王军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Maritime University
Original Assignee
Shanghai Maritime University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Maritime University filed Critical Shanghai Maritime University
Priority to CN201811066308.0A priority Critical patent/CN109167789B/zh
Publication of CN109167789A publication Critical patent/CN109167789A/zh
Application granted granted Critical
Publication of CN109167789B publication Critical patent/CN109167789B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种云环境LDoS攻击数据流检测方法及系统,用网络模拟软件模拟各种攻击,并提取相应的网络流量;对服务器端到达和丢失数据包进行采样和分类统计;提取出样本中给定周期的数据流中数据包数均值、源IP增速、小波特征和拥塞参与度等特征;对得到的特征值进行分析并建立随机森林分类模型,使用正常数据流和异常数据流对建立的随机森林模型进行测试,对于每一次特征分类,计算相应信息熵,根据信息熵的大小不断调整特征值的阈值,使分类效果达到最优;根据随机森林分类模型设计LDoS攻击数据流检测系统并部署在云服务器上,实时检测并处理各种LDoS攻击数据流。本发明具有低能耗、高检测率和低误报率的优点,还有较高的实用价值。

Description

一种云环境LDoS攻击数据流检测方法及系统
技术领域
本发明涉及云环境的安全领域,尤其涉及一种云环境LDoS(低速率拒绝服务)攻击数据流检测方法及系统。
背景技术
传统的DoS(Denial of Service,拒绝服务)攻击检测方法是针对网络数据流和服务器负荷短时间内快速增加等特征进行检测的,而LDoS(Low-rate Denial of Service,低速率拒绝服务)攻击表现出许多不同的特征,比如攻击数据流平均速率较低、服务器负荷并没有太多变化等。因此,传统的检测方法不适用于检测LDoS攻击。
根据是否需要提前建立攻击模式特征库,可以将大多数检测方法分为两类:特征检测和异常检测。特征检测针对具有明确攻击特征的已知攻击,要先建立了一个特征库,如果检测到数据与特征库中的特征参数匹配,则判定为有攻击发生。异常检测针对尚无明确攻击特征的未知攻击,需要用统计的网络数据建立一个正常的网络流量模型,如果检测到的数据使得流量模型出现异常,则判定为有攻击发生。
除此之外,研究者还提出了一些其他的方法,比如改进网络协议和服务协议的防御方法、基于终端服务器的检测和防御等。
其中,最常见的检测方法就是特征检测及防御。尽管LDoS攻击平均速率低、隐蔽性很强,但其脉冲强度、持续时间和攻击周期等特征也很明显,特别是结合其周期性特征和短时高速脉冲特征,能够很好检测到攻击。当识别到LDoS攻击时,最常见的防御策略是改进路由器的主动队列管理(Active Queue Management,简称AQM)技术,其目的一是丢弃符合设定攻击特征的数据流的数据包;二是更新进行带宽分配,尽量保护TCP(TransmissionControl Protocol,传输控制协议)数据流,抑制LDoS攻击流。AQM技术是为了解决Internet拥塞控制问题而提出的一种路由器缓存管理技术。它具有主动防御的特性:根据队列的实时情况自动地进行拥塞控制。AQM会根据各种网络特性进行,计算一定的概率来提前丢弃数据包,从而达到减少和避免网络拥塞,提高服务质量。在现有的主动队列管理机制方案中,判断拥塞的度量有队列长度、输入速率、缓冲溢出或空白等网络特性。在构造LDoS攻击的防御方法时,绝大多数研究者会在路由器上选用一种AQM机制,并对AQM算法做相应的修改,使之适应LDoS攻击所造成的拥塞模式。当路由器在收到攻击数据流的时候会感觉到拥塞,于是会主动丢弃攻击流中的数据包,降低攻击的效果。这种特征检测及防御方法的优点是容易实现,对基于RTO(retransmission time out,超时重传)和AIMD(additive increasemultiplicative decrease,和增积减)机制的LDoS攻击都有很好的防御效果。其缺点是误报率较高,且需要一定的存储空间来存放攻击流特征信息。
特征检测需要有明确的攻击特征,通过特征匹配来检测攻击行为,但是对于层出不穷的新类型攻击而言,攻击特征并不完全明确,特征检测方法误报率会很高;同时,特征检测方法很容易将Internet上正常的数据流误报为攻击流量,比如流媒体点播协议等业务所产生的瞬时突发流量等。因此,为解决上述问题,有些研究者采用了异常检测的方法。
迄今为止,研究者已将小波变换分析、频谱分析、统计分析和信息度量分析等技术引入到异常检测中来提高检测效果。相对而言,异常检测的方法可以对时间序列变化信息进行更全面细致的分析,因此检测精度比较高。但是现有的异常检测方法在检测LDoS攻击时,只是从整体上分析信息变化情况,却都没有考虑基于RTO和AIMD机制的攻击之间的差别,因而不能更准确地区分攻击方法。如果要检测这两种不同的攻击方式,需要利用时频分析的方法在局部进行更多的分析:一方面,在频率变化上要划分更多层进行分析;另一方面,在时间上要进行信息变化的周期性分析。
同时还有研究者提出了基于终端应用服务器的检测和防御,基于应用服务器端的LDoS攻击建立了一个数学模型,这种模型允许在动态网络中,通过配置攻击参数实现对相关性能的评估。通过将性能结果与仿真结果比较,证明该数学模型是有效的。但其在建模中忽略了攻击时的有序的、动态的进程。基于研究者针对应用层协议提出了一种针对应用服务器的低速率拒绝服务攻击(Low-rate denial of service attacks againstapplication servers,简称LoRDAS)。从一个全局的观点进行观察和研究,提出了一种攻击进程的队列模型,把攻击作为一个单独的进程,通过改变场景和协同不同攻击策略,精确地表示动态的行为。通过计算概率分布,评估了攻击带给不同网络流量的影响程度。通过实验分析,证明了该模型能精确地描述攻击行为。
改进网络协议和服务协议也是一种减轻LDoS攻击的方法,但这种方法带来的代价太高,而且也无法保证新的网络协议就可以完全抵御LDoS攻击,而且对于现有完好的网络协议系统,实施新的协议成本太高,方法不可行。
发明内容
本发明的目的是提供一种云环境LDoS攻击数据流检测方法及系统,能有效地抵御云环境中云服务器的LDoS攻击,提高云服务器和客户端的正常通信的效率以及云系统对用户的服务质量;通过分析和挖掘这类攻击的原理和基本规律,提取攻击发生时的数据流的流量特性和流量分布特性的变化规律,建立相应的检测模型,能有效地检测和防御LDoS攻击。
为了达到上述目的,本发明提供的一种云环境低速率拒绝服务攻击数据流检测方法,该方法包含以下步骤:
S1、通过网络模拟软件模拟各种LDoS攻击,并提取相应的网络流量;
S2、对云服务器端到达和丢失数据包进行采样和分类统计;
S3、提取样本中在给定周期的数据流中数据包数均值、源IP增速、小波特征和拥塞参与度;
S4、根据所述步骤S3中所提取出的特征结果进行分析,并建立随机森林分类模型,分别使用正常数据流和异常数据流对所建立的随机森林模型进行测试,对于每一次特征分类,计算相应的信息熵,并根据信息熵的大小调整特征结果的阈值,以优化分类效果;
S5、根据所建立的随机森林分类模型,实时检测并处理各种LDoS攻击数据流。
优选地,所述步骤S2中,进一步包含:
S21、对样本中正常数据流和异常数据流进行标记,以便于检验分类的结果;
S22、采用随机抽取的方法从样本数据中抽取a%的数据流作为训练数据集train,剩下的1-a%数据流作为测试数据集test。
优选地,所述步骤S22中,a%=70%,1-a%=30%。
优选地,所述步骤S3中,进一步包含:
S31、将模拟的LDoS攻击数据流流量按照数据传输往返时间为周期进行切割;
S32、统计周期内数据流中的数据包数均值:
Figure GDA0002923676820000041
式中,Ti表示第i个周期,PacketsNumi表示第i个周期内的数据包总数,APFi表示第i个周期内的数据流中的数据包数均值;
S33、计算源IP增速:
Figure GDA0002923676820000042
式中,SIS表示源IP增速,sIPNum表示源IP地址总数,interval表示固定的时间间隔;
S34、提取数据流的小波特征:将二进离散小波变换应用于数据包过程的处理,通过小波函数ψj,k(t)和尺度函数
Figure GDA0002923676820000043
将数据包过程{X(t)}做J层分解,如公式(3)所示:
Figure GDA0002923676820000044
式中,dj,k为小波系数,表示尺度j上的细节信息,aJ,k为近似系数,表示尺度J上的逼近信息,从而得到信号{X(t)}分布在中心频率为2-jv0的子频带的能量,如公式(4)所示:
Figure GDA0002923676820000051
式中,v0为母小波的中心频率,nj为j尺度下的小波系数个数;
其中,当发动LDoS周期性攻击后,高频的合法数据流被抑制,低频数据流增多,使得低频能量Ej增大;
S35、计算数据流的拥塞参与度,拥塞参与度的计算公式如下:
Figure GDA0002923676820000052
式中,CPRi表示拥塞参与度,tecongestion表示周期T内的拥塞时间,DataiA表示数据流i在网络处于拥塞状态时到达的数据包数量,DataiB表示数据流i在T周期内到达服务器端的数据包总数。
优选地,所述步骤S4中,进一步包含:
S41、初始化数据集Data,利用所述步骤S2中随机抽样得到的训练数据集train和测试数据集test分别进行训练和测试;
S42、将训练数据集train作为根节点的样本,从根节点开始训练;
S43、计算每一个节点的信息熵
Figure GDA0002923676820000053
选择合适的特征作为判断节点,以减少随机森林的深度,实现快速分类,如公式(6)所示:
Figure GDA0002923676820000054
式中,train表示训练数据集,f表示数据特征数量,Pi表示类别i样本数量占所有样本的比例;
S44、对应训练数据集train,选取特征fi作为判断节点,计算在fi作用后的信息熵如式(7)所示:
Figure GDA0002923676820000061
式中,fi表示第i个特征,假定特征fi有j个可能的取值{fi 1,fi 2,…fi j},若使用fi对样本集合进行划分,则会产生j个分支结点,其中第j个分支结点包含了样本中所有在特征fi上取值为fi j的样本,记做trainj,计算作用前后的信息熵差值如式(8)所示:
Figure GDA0002923676820000062
式中,Gain(fi)表示信息熵差值,每次都选择差值最大作为判断节点;确定每一个特征的阈值,即随机森林的每一个节点的阈值;
S45、对于初步建立的随机森林,使用测试数据集test进行测试,其中,测试数据集test为所述步骤S2中的数据集test。
本发明还提供了一种基于如上文所述的云环境LDoS攻击数据流检测方法的检测系统,该检测系统包含提取实时流量分析模块、分析网络流量特征模块、检测到异常流量时发报警信号模块和对检测到异常流量进行处理模块。
与现有技术相比,本发明的有益效果为:(1)本发明能与现有的异常数据流检测技术有机融合,能快速和有效地检测出各种已知和未知的异常数据流,为网络安全提供有效的保障。(2)本发明能有效检测和处理针对云服务器的各种LDoS攻击数据流,有效提高了云系统对用户的服务质量。
附图说明
图1本发明的云环境LDoS攻击数据流检测方法流程图;
图2本发明的云环境LDoS攻击数据流检测系统的模块组成图。
具体实施方式
本发明公开了一种云环境LDoS攻击数据流检测方法及系统,为了使本发明更加明显易懂,以下结合附图和具体实施方式对本发明做进一步说明。
如图1所示,本发明的云环境LDoS攻击数据流检测方法包含以下步骤:
S1:在网络模拟软件上模拟各种LDoS攻击,并提取相应的网络流量。
其中,网络模拟软件是一种针对网络技术的源代码公开的、免费的软件模拟平台,能最大程度模拟真实通信,并根据实验需求设置不同的参数,模拟不同的通信过程,在网络模拟软件模拟LDoS攻击过程,提取相应的实验数据,可以更好地保证实验的真实性。
S2:对云服务器端到达和丢失数据包进行采样和分类统计。
所述步骤S2中,进一步包含:
S21、分别对样本中正常数据流和异常数据流进行标记,标记的目的是便于检验分类的结果;其中,该样本是从总体样本中随机抽取的数据包,总体样本是实验中所有的数据。
S22、采用随机抽取的方法从样本数据中抽取a%的数据流作为训练数据集train,剩下的1-a%数据流作为测试数据集test;一般地,a=70%。
步骤3:提取出样本中在给定周期的数据流中数据包数均值、源IP增速、小波特征、拥塞参与度这四个特征。
所述步骤S3中,进一步包含:
S31、将模拟的LDoS攻击数据流流量按照RTT(Round-Trip Time,数据传输往返时间)为给定周期进行切割。
S32、统计周期内数据流中的数据包数均值:
Figure GDA0002923676820000071
式中,Ti表示第i个周期;PacketsNumi表示第i个周期内的数据包总数,该数据包总数是指每个周期内到达和丢失的数据包的总数,数据包总数是通过步骤S1中的网络模拟软件获得的;APFi表示第i个周期内的数据流中的数据包数均值。
正常状态和受到攻击时的数据流中的数据包数均值是不同的,在基于RTO机制的LDoS攻击中,攻击方在短期内发动脉冲攻击,注入大量无效数据包,所以数据流中的数据包数增长速度加快,因此,给定周期内数据流中的数据包数均值能实时反应出服务端是否收到LDoS攻击。
S33、计算源IP增速:
Figure GDA0002923676820000081
式中,SIS表示源IP增速,sIPNum表示源IP地址总数,该源IP地址总数同样是网络模拟软件获得的,在使用网络模拟软件进行实验的时候,会规定实验所需的IP地址,interval表示固定的时间间隔,即步骤S3中的给定周期。当攻击方发动攻击时,攻击方会伪造IP地址并发送大量的数据包,这一特性,使得发生攻击时源IP地址的增速会在固定时间间隔内显著增加。
S34、提取数据流的小波特征:将二进离散小波变换应用于数据包过程的处理,通过小波函数ψj,k(t)和尺度函数
Figure GDA0002923676820000082
将数据包过程{X(t)}做J层分解,如公式(3)所示:
Figure GDA0002923676820000083
式中,dj,k为小波系数,表示尺度j上的细节信息,aJ,k为近似系数,表示尺度J上的逼近信息,从而可得到信号{X(t)}分布在中心频率为2-jv0的子频带的能量,如公式(4)所示:
Figure GDA0002923676820000084
式中,v0为母小波的中心频率,nj为j尺度下的小波系数个数,对于正常网络数据,大部分为TCP流量,集中于高频带,低频能量小。当发动LDoS周期性攻击后,高频的合法数据流被抑制,低频数据流增多,从而使得低频能量Ej增大。本实施例中,子频带能量最能体现小波特征,但小波函数、尺度函数以及对数据包过程做J层分解也同样是小波特征,这些小波特征只是为了得到子频带能量而做的准备工作。
S35、计算数据流的拥塞参与度:对于正常数据流,当遭受到网络拥塞时,由于TCP拥塞机制的作用,会尽量避开网络拥塞时间,但攻击数据流基本数据集中分布于网络拥塞时间,以下为拥塞参与度的计算公式:
Figure GDA0002923676820000091
式中,CPRi表示拥塞参与度,tecongestion表示周期T内的拥塞时间,DataiA表示数据流i在网络处于拥塞状态时到达的数据包数量,DataiB表示数据流i在T周期内到达服务器端的数据包总数。
S4:根据步骤S3中得到的各种特征值分析建立随机森林分类模型:分别使用正常数据流和异常数据流对建立的随机森林模型进行测试,对于每一次特征分类,计算相应的信息熵,根据信息熵的大小不断调整特征值的阈值,使得分类效果达到最优。
所述步骤S4中,进一步包含:
S41、首先初始化数据集Data,利用步骤S2中随机抽样得到的训练数据集train和测试数据集test分别进行训练和测试;
S42、将训练数据集train作为根节点的样本,从根节点开始训练;
S43、计算每一个节点的信息熵
Figure GDA0002923676820000092
选择合适的特征作为判断节点,可以减少随机森林的深度,实现快速分类,如公式(6)所示:
Figure GDA0002923676820000093
式中,train表示训练数据集,f表示数据特征数量,Pi表示类别i样本数量占所有样本的比例;
S44、对应训练数据集train,选取特征fi作为判断节点,计算在fi作用后的信息熵如式(7)所示:
Figure GDA0002923676820000101
式中,fi表示第i个特征,假定特征fi有j个可能的取值{fi 1,fi 2,…fi j},若使用fi对样本集合进行划分,则会产生j个分支结点,其中第j个分支结点包含了样本中所有在特征fi上取值为fi j的样本,记做trainj,计算作用前后的信息熵差值如式(8)所示:
Figure GDA0002923676820000102
式中,Gain(fi)表示信息熵差值,每次都选择差值最大作为判断节点;确定每一个特征的阈值,即随机森林的每一个节点的阈值。
S45、对于初步建立的随机森林,使用测试数据集test进行测试,其中测试数据集test是步骤S2中的数据集test。
S5:根据随机森林分类模型设计LDoS攻击数据流检测系统并部署在云服务器上,实时检测并处理各种LDoS攻击数据流。
如图2所示,本发明公开了一种LDoS攻击数据流检测系统,该系统主要包含以下四个模块:提取实时流量分析模块、分析网络流量特征模块、检测到异常流量时发报警信号模块和对检测到异常流量进行处理模块。
其中,提取实时流量分析模块用于提取实时数据流量;分析网络流量特征模块用于网络流量特征分析;检测到异常流量时发报警信号模块用于检测到异常流量时进行报警,告诉管理员服务器收到攻击;对检测到异常流量进行处理模块用于对发起攻击的客户机进行屏蔽IP等处理方式。
当检测到异常流量时,会发报警信号,其中该异常流量包括各种LDoS攻击数据流和其他非正常数据流,且异常流量是通过建立的随机森立分类模型设计的检测程序进行检测,并位于所述检测到异常流量时发报警信号模块中。本实施例中的对检测到异常流量进行处理模块可以实现对检测到异常流量进行处理,即能直接处理各种LDoS攻击数据流。
综上所述,本发明提出一种云环境低速率拒绝服务攻击数据流检测方法,能有效地抵御云环境中对云服务器的LDoS攻击,提高云服务器和客户端的正常通信的效率,保证云系统对用户的服务质量。通过分析和挖掘这类攻击的原理和基本规律,提取攻击发生情况下的流量特性和流量分布特性的变化规律,建立相应的检测模型,能有效的检测和防御各种LDoS攻击。本发明相比于其他检测方法,例如:AQM识别、离散小波变换和信息度量等方法,具有很大优势,如表1所示。
表1本发明与其他各种方法的比较结果
Figure GDA0002923676820000111
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。

Claims (6)

1.一种云环境低速率拒绝服务LDoS攻击数据流检测方法,其特征在于,该方法包含以下步骤:
S1、通过网络模拟软件模拟各种LDoS攻击,并提取相应的网络流量;
S2、对云服务器端到达和丢失数据包进行采样和分类统计;
S3、提取样本中在给定周期的数据流中数据包数均值、源IP增速、小波特征和拥塞参与度;
S4、根据所述步骤S3中所提取出的特征结果进行分析,并建立随机森林分类模型,分别使用正常数据流和异常数据流对所建立的随机森林模型进行测试,对于每一次特征分类,计算相应的信息熵,并根据信息熵的大小调整特征结果的阈值,以优化分类效果;
S5、根据所建立的随机森林分类模型,实时检测并处理各种LDoS攻击数据流。
2.如权利要求1所述的一种云环境LDoS攻击数据流检测方法,其特征在于,所述步骤S2中,进一步包含:
S21、对样本中正常数据流和异常数据流进行标记,以便于检验分类的结果;
S22、采用随机抽取的方法从样本数据中抽取a%的数据流作为训练数据集train,剩下的1-a%数据流作为测试数据集test。
3.如权利要求2所述的一种云环境LDoS攻击数据流检测方法,其特征在于,所述步骤S22中,a%=70%,1-a%=30%。
4.如权利要求2或3所述的一种云环境LDoS攻击数据流检测方法,其特征在于,
所述步骤S3中,进一步包含:
S31、将模拟的LDoS攻击数据流流量按照数据传输往返时间为周期进行切割;
S32、统计周期内数据流中的数据包数均值:
Figure FDA0002923676810000021
式中,Ti表示第i个周期,PacketsNumi表示第i个周期内的数据包总数,APFi表示第i个周期内的数据流中的数据包数均值;
S33、计算源IP增速:
Figure FDA0002923676810000022
式中,SIS表示源IP增速,sIPNum表示源IP地址总数,interval表示固定的时间间隔;
S34、提取数据流的小波特征:将二进离散小波变换应用于数据包过程的处理,通过小波函数ψj,k(t)和尺度函数
Figure FDA0002923676810000023
将数据包过程{X(t)}做J层分解,如公式(3)所示:
Figure FDA0002923676810000024
式中,dj,k为小波系数,表示尺度j上的细节信息,aJ,k为近似系数,表示尺度J上的逼近信息,从而得到信号{X(t)}分布在中心频率为2-jv0的子频带的能量,如公式(4)所示:
Figure FDA0002923676810000025
式中,v0为母小波的中心频率,nj为j尺度下的小波系数个数;
其中,当发动LDoS周期性攻击后,高频的合法数据流被抑制,低频数据流增多,使得低频能量Ej增大;
S35、计算数据流的拥塞参与度,拥塞参与度的计算公式如下:
Figure FDA0002923676810000031
式中,CPRi表示拥塞参与度,tecongestion表示周期T内的拥塞时间,DataiA表示数据流i在网络处于拥塞状态时到达的数据包数量,DataiB表示数据流i在T周期内到达服务器端的数据包总数。
5.如权利要求4所述的一种云环境LDoS攻击数据流检测方法,其特征在于,所述步骤S4中,进一步包含:
S41、初始化数据集Data,利用所述步骤S2中随机抽样得到的训练数据集train和测试数据集test分别进行训练和测试;
S42、将训练数据集train作为根节点的样本,从根节点开始训练;
S43、计算每一个节点的信息熵Infofi(train),选择合适的特征作为判断节点,以减少随机森林的深度,实现快速分类,如公式(6)所示:
Figure FDA0002923676810000032
式中,train表示训练数据集,f表示数据特征数量,Pi表示类别i样本数量占所有样本的比例;
S44、对应训练数据集train,选取特征fi作为判断节点,计算在fi作用后的信息熵如式(7)所示:
Figure FDA0002923676810000033
式中,fi表示第i个特征,假定特征fi有j个可能的取值{fi 1,fi 2,…fi j},若使用fi对样本集合进行划分,则会产生j个分支结点,其中第j个分支结点包含了样本中所有在特征fi上取值为fi j的样本,记做trainj,计算作用前后的信息熵差值如式(8)所示:
Figure FDA0002923676810000041
式中,Gain(fi)表示信息熵差值,每次都选择差值最大作为判断节点;确定每一个特征的阈值,即随机森林的每一个节点的阈值;
S45、对于初步建立的随机森林,使用测试数据集test进行测试,其中,测试数据集test为所述步骤S2中的数据集test。
6.一种基于如权利要求1-5任意一项所述的云环境LDoS攻击数据流检测方法的检测系统,其特征在于,该检测系统包含提取实时流量分析模块、分析网络流量特征模块、检测到异常流量时发报警信号模块和对检测到异常流量进行处理模块。
CN201811066308.0A 2018-09-13 2018-09-13 一种云环境LDoS攻击数据流检测方法及系统 Active CN109167789B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811066308.0A CN109167789B (zh) 2018-09-13 2018-09-13 一种云环境LDoS攻击数据流检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811066308.0A CN109167789B (zh) 2018-09-13 2018-09-13 一种云环境LDoS攻击数据流检测方法及系统

Publications (2)

Publication Number Publication Date
CN109167789A CN109167789A (zh) 2019-01-08
CN109167789B true CN109167789B (zh) 2021-04-13

Family

ID=64894947

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811066308.0A Active CN109167789B (zh) 2018-09-13 2018-09-13 一种云环境LDoS攻击数据流检测方法及系统

Country Status (1)

Country Link
CN (1) CN109167789B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109889531A (zh) * 2019-03-07 2019-06-14 北京华安普特网络科技有限公司 一种Web服务器的DDos攻击检测方法
CN110062000A (zh) * 2019-04-29 2019-07-26 盐城工学院 基于提升小波的实时检测DDoS攻击的方法
CN110177115A (zh) * 2019-06-10 2019-08-27 中国民航大学 基于多特征融合的LDoS攻击检测方法
CN110650145A (zh) * 2019-09-26 2020-01-03 湖南大学 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法
CN112039906B (zh) * 2020-09-03 2022-03-18 华侨大学 一种面向云计算的网络流量异常检测系统及方法
CN112104503B (zh) * 2020-09-17 2022-08-16 成都思维世纪科技有限责任公司 一种基于流转模型的数据异常流转的监测分析系统及方法
CN112601173B (zh) * 2020-11-30 2021-10-08 西安电子科技大学 5g定位真值检测与攻击溯源方法、系统、设备及应用
CN112637202B (zh) * 2020-12-22 2022-08-12 贵州大学 一种SDN环境下基于集成小波变换的LDoS攻击检测方法
CN112788063B (zh) * 2021-01-29 2022-03-01 湖南大学 基于RF-GMM的SDN中LDoS攻击检测方法
CN112788062B (zh) * 2021-01-29 2022-03-01 湖南大学 SDN中基于ET-EDR的LDoS攻击检测与缓解方法
CN113408609A (zh) * 2021-06-17 2021-09-17 武汉卓尔信息科技有限公司 一种网络攻击检测方法及系统
CN113645182B (zh) * 2021-06-21 2023-07-14 上海电力大学 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN116527378B (zh) * 2023-05-22 2023-12-26 杭州龙境科技有限公司 一种云手机监控管理方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN105260729A (zh) * 2015-11-20 2016-01-20 武汉大学 一种基于随机森林的卫星遥感影像云量计算方法
CN106096727A (zh) * 2016-06-02 2016-11-09 腾讯科技(深圳)有限公司 一种基于机器学习的网络模型构造方法及装置
CN106411829A (zh) * 2015-12-14 2017-02-15 中国民航大学 基于小波能量谱和组合神经网络的LDoS攻击检测方法
CN107302517A (zh) * 2016-04-15 2017-10-27 任子行网络技术股份有限公司 面向互联网自治域的LDoS攻击检测方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10367841B2 (en) * 2016-12-16 2019-07-30 Patternex, Inc. Method and system for learning representations for log data in cybersecurity

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN105260729A (zh) * 2015-11-20 2016-01-20 武汉大学 一种基于随机森林的卫星遥感影像云量计算方法
CN106411829A (zh) * 2015-12-14 2017-02-15 中国民航大学 基于小波能量谱和组合神经网络的LDoS攻击检测方法
CN107302517A (zh) * 2016-04-15 2017-10-27 任子行网络技术股份有限公司 面向互联网自治域的LDoS攻击检测方法和装置
CN106096727A (zh) * 2016-06-02 2016-11-09 腾讯科技(深圳)有限公司 一种基于机器学习的网络模型构造方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于信息增益和随机森林分类器的入侵检测系统研究;魏金太等;《中北大学学报(自然科学版)》;20180215;第39卷(第1期);全文 *
基于随机森林分类模型的 DDoS 攻击检测方法;于鹏程等;《计算机应用研究》;20171031;第34卷(第10期);P3068-3072 *

Also Published As

Publication number Publication date
CN109167789A (zh) 2019-01-08

Similar Documents

Publication Publication Date Title
CN109167789B (zh) 一种云环境LDoS攻击数据流检测方法及系统
Li et al. DDoS attack detection and wavelets
Loukas et al. Likelihood ratios and recurrent random neural networks in detection of denial of service attacks
CN105357063B (zh) 一种网络空间安全态势实时检测方法
CN108900513B (zh) 一种基于bp神经网络的ddos效果评估方法
CN106209861A (zh) 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
CN106411829A (zh) 基于小波能量谱和组合神经网络的LDoS攻击检测方法
Charlier et al. SynGAN: Towards generating synthetic network attacks using GANs
CN112235288A (zh) 一种基于gan的ndn网络入侵检测方法
CN110351291A (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
Chen et al. DDoS attack detection method based on network abnormal behaviour in big data environment
Luo et al. Detecting pulsing denial-of-service attacks with nondeterministic attack intervals
Kumar et al. Light weighted CNN model to detect DDoS attack over distributed scenario
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN111600877A (zh) 一种基于MF-Ada算法的LDoS攻击检测方法
CN112822223B (zh) 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备
Ding et al. Fractal characteristics of network traffic and its correlation with network security
CN113055333B (zh) 可自适应动态调整密度网格的网络流量聚类方法和装置
Gogoi et al. HTTP Low and Slow DoS Attack Detection using LSTM based deep learning
Callegari et al. On the proper choice of datasets and traffic features for real-time anomaly detection
CN109995770A (zh) 一种基于队列分布的LDoS攻击检测方法
Wang et al. A novel approach for countering application layer DDoS attacks
K V et al. Accurate and reliable detection of DDoS attacks based on ARIMA-SWGARCH model
RU2683631C1 (ru) Способ обнаружения компьютерных атак

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant