CN109729090B - 一种基于wedms聚类的慢速拒绝服务攻击检测方法 - Google Patents
一种基于wedms聚类的慢速拒绝服务攻击检测方法 Download PDFInfo
- Publication number
- CN109729090B CN109729090B CN201910004190.7A CN201910004190A CN109729090B CN 109729090 B CN109729090 B CN 109729090B CN 201910004190 A CN201910004190 A CN 201910004190A CN 109729090 B CN109729090 B CN 109729090B
- Authority
- CN
- China
- Prior art keywords
- clustering
- wedms
- service attack
- data
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务(LDoS)攻击检测方法,属于计算机网络安全领域。其中所述方法包括:实时提取一个检测单元内的TCP流量和UDP流量的原始数据,对其进行数据清洗,并计算出网络中的总流量;利用WEDMS聚类算法对总流量和TCP流量的数据样本进行聚类分析,有效地分离正常样本和异常样本;通过聚类结果中各簇内TCP占比的平均差、方差和变异系数构建特征向量,并将该特征向量的长度作为表征慢速拒绝服务攻击的决策指标;依据相关的判别准则,将决策值与预先设定的阈值相比较,以达到检测慢速拒绝服务攻击的目的。本发明提出的基于WEDMS聚类的检测方法能准确、快速、自适应的检测慢速拒绝服务攻击。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务攻击检测方法。
背景技术
慢速拒绝服务(LDoS)攻击,是一种新型的面向TCP协议的周期性脉冲式拒绝服务(DoS)攻击,主要利用网络协议的适应性机制中的安全漏洞,通过短时高速脉冲攻击流对受害者进行破坏,使端系统或链路不断在稳定与不稳定的状态间切换,以达到降低网络传输性能和网络服务质量的目的。由于其平均速率低,隐蔽性高,破坏力强,因此对网络安全造成了相当大的威胁。
目前慢速拒绝服务攻击检测主要存在的问题有以下两点:一,由于慢速拒绝服务攻击的平均速率低于拒绝服务攻击,具有较强的隐蔽性,因此传统的拒绝服务攻击检测方法难以有效地识别慢速拒绝服务攻击;二,现有的慢速拒绝服务攻击检测方法中,基于监督学习算法的检测方法需要对大量的数据样本进行模型训练和学习,以及精细的泛化处理,因此资源消耗大,并且其他方法检测准确率相对不高,实时性和自适应性较弱。
本发明针对现有方法存在的资源消耗大,泛化处理难度大,检测准确率不高,实时性和自适应性较弱等不足,提出了一种基于加权欧氏距离的Mean Shift聚类(WEDMS)的慢速拒绝服务攻击检测方法。该方法采用WEDMS聚类算法对网路流量的样本数据进行聚类分析,然后计算出WEDMS聚类结果中各簇内由TCP占比的平均差、方差、变异系数联合组成的特征向量的长度,并将其作为慢速拒绝服务攻击检测的决策指标,用于表征慢速拒绝服务攻击发生的可能性,从而检测慢速拒绝服务攻击。该方法在慢速拒绝服务攻击检测方面具有较高的检测准确率,较低的误报率和漏报率,并且由于WEDMS聚类算法自身的优势,因此该方法资源消耗低,实时性和自适应能力较高。因此,该方法在慢速拒绝服务攻击的检测上具有较高的可行性和适用性。
发明内容
针对现有方法存在的资源消耗大,泛化处理难度大,检测准确率不高,实时性和自适应性较弱等不足,提出了一种基于WEDMS聚类的慢速拒绝服务攻击检测方法。该检测方法具有资源消耗低,检测准确率较高,误报率和漏报率较低,实时性和自适应能力较强的特点。因此,该方法可以广泛地应用于慢速拒绝服务攻击检测领域。
本发明为实现上述目标所采用的技术方案为:该慢速拒绝服务攻击检测方法主要包括四个步骤:数据提取、数据清洗、WEDMS聚类分析以及攻击判别。
1.数据提取。以一个检测窗口为单位,对网络设备中的服务器和路由器中的报文进行抓取,以获取相关数据信息(包括流量数据和路由信息),并按照一定的规则对数据进行实时采样、分类、统计,并提取出网络中的TCP流量和UDP流量的原始数据,形成原始数据文件进行存储。
2.数据清洗。对提取到的TCP流量和UDP流量的原始数据进行数据清洗,包括数据验证、错误检查、无效值和缺失值的处理、数据类型和表示的转换等操作,保证数据的一致性。再根据TCP流量和UDP流量的统计值计算出网络中的总流量数据,并将其进行标准化。最终形成格式统一的网络流量的样本数据。
3.WEDMS聚类分析。通过统计学方法,计算出网络流量的离散特征值,并将该特征值作为WEDMS聚类算法中加权欧氏距离的权重系数。利用WEDMS聚类算法对一个检测单元内的总流量和TCP流量的样本数据进行聚类分析,使相似性较大的数据自动聚集成一簇,而差异性较高的数据聚集成其他簇,最终形成一个或多个簇,有效地将正常流量样本和异常流量样本分离开来。WEDMS聚类算法根据偏移向量确定下一次聚类的中心点。令x为当前的聚类中心点,xi为第i个样本点,n为集合内样本点的个数,g(x)为核函数,wk为样本点第k维属性的权重系数。WEDMS聚类的偏移向量mh,G(x)的计算公式可以表示为:
4.攻击判别。对网络流量的样本数据是否存在慢速拒绝服务攻击进行判别,具体是:1)构建慢速拒绝服务攻击的决策指标,制定攻击判别准则。分析WEDMS聚类结果中的各簇内样本的离散程度,根据其簇内的TCP占比的平均差、方差、变异系数等离散特征联合构建特征向量,并计算出该特征向量的长度作为表征慢速拒绝服务攻击的决策指标。该决策指标的值越大,表示网络中存在慢速拒绝服务攻击的可能性越高。当该决策值超过一定的门限值时,我们可以判定网络中存在慢速拒绝服务攻击。若未达到门限值,则认为网络中未发生慢速拒绝服务攻击;2)以攻击判别准则为标准,利用决策值识别网络中的慢速拒绝服务攻击。根据历史数据,统计出可用于准确判定慢速拒绝服务攻击的阈值。根据慢速拒绝服务攻击判别准则,将决策值与预先设定的阈值进行比较分析,以达到检测慢速拒绝服务攻击的目的。若该决策值大于阈值,表示网络中存在慢速拒绝服务攻击,否则,表示网络中不存在慢速拒绝服务攻击。
有益效果
该检测方法具有资源消耗低,检测准确率较高,误报率和漏报率较低,实时性和自适应能力较强的特点。因此,该方法可以广泛地应用于慢速拒绝服务攻击检测领域。
附图说明
图1为WEDMS聚类算法对网络流量的聚类分析的过程图。该图主要描述了WEDMS聚类算法根据当前的网络流量的样本的聚类中心计算出偏移向量,以求出下一次的聚类起始点的过程。
图2为一种基于WEDMS聚类的慢速拒绝服务攻击检测模型的结构示意图。该图主要描述了WEDMS检测方法的模型架构主要由数据提取、数据清洗、WEDMS聚类分析以及攻击判别这四个步骤组成。
图3为一种基于WEDMS聚类的慢速拒绝服务攻击检测方法的具体流程图。该图描述了慢速拒绝服务攻击检测方法从数据提取到攻击判别的详细过程。
具体实施方式
下面结合附图对本发明进一步说明。
如图1所示,WEDMS聚类算法对网络流量的聚类分析的过程为:通过统计学方法,计算出网络流量的离散特征值;将该特征值作为WEDMS聚类算法中加权欧氏距离的权重系数;在未标记的样本中随机选择一个作为聚类中心点,开始聚类;标记集合内的样本点,并计算出聚类的偏移向量;更新聚类中心,将其作为下一次聚类的起始点,并进行簇的合并;若数据样本均已本标记访问则结束聚类,否则重新开始聚类。
如图2所示,该方法的检测模型的结构主要是由四个模块组成,即该检测方法的四个步骤:数据提取、数据清洗、WEDMS聚类分析以及攻击判别。
如图3所示,一种基于WEDMS聚类的慢速拒绝服务攻击检测方法的具体流程为:首先以一个检测窗口为单位有针对性的实时提取网络流量的原始数据;然后对原始数据进行清洗(包括校验、审查、表示转换等)和标准化,形成格式统一的网络流量的样本数据;利用WEDMS聚类算法对网络流量的样本数据进行聚类分析,再根据WEDMS聚类结果中的各簇内的TCP占比的平均差、方差、变异系数构建特征向量,并计算特征向量的长度作为衡量慢速拒绝服务攻击发生的决策指标;利用该决策指标的值与预先设定的阈值进行比较分析,若决策值大于阈值,表示网络中发生慢速拒绝服务攻击,否则,表示网络中未发生慢速拒绝服务攻击。
Claims (7)
1.一种基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,该方法具体包括以下四个步骤:
步骤1、数据提取:以一个检测窗口为单位,对网络设备中的各种数据信息进行实时采样,提取出网络中的TCP流量和UDP流量的原始数据;
步骤2、数据标准化:对提取到的TCP流量和UDP流量的原始数据进行审查和校验,并计算出总流量,将其进行标准化,最终得到格式统一的网络流量的样本数据;
步骤3、WEDMS聚类分析:利用WEDMS聚类算法对一个检测单元内的总流量和TCP流量的样本数据进行聚类分析,分离正常样本和异常网络流量样本,包括两个步骤:
步骤3.1、计算网络流量的离散特征平均绝对偏差、标准差、方差、变异系数,并将其分别作为WEDMS聚类算法中加权欧氏距离的权重系数;
步骤3.2、在未标记的样本中随机选择一个样本作为聚类中心点,开始进行聚类;并标记集合内的样本点,计算出聚类的偏移向量;更新聚类中心,将其作为下一次聚类的起始点,并进行簇的合并;若数据样本均已标记则结束聚类,否则重新开始聚类,令x为当前的聚类中心点,xi为第i个样本点,n为集合内样本点的个数,g(x)为核函数,wk为样本点第k维属性的权重系数,则WEDMS聚类的偏移向量mh,G(x)和下一次聚类的起始点yj+1的计算公式可以分别表示为:
步骤4、攻击判别:根据WEDMS聚类结果中各簇内TCP占比的平均差、方差、变异系数构建特征向量,并计算出该特征向量的长度作为表征慢速拒绝服务攻击的决策指标;若该决策指标值超过预先设定的门限值时,则判定网络中存在慢速拒绝服务攻击。
2.根据权利要求1中所述的基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,步骤1中以一个检测窗口为单位,对网络中的服务器和路由器中的数据信息进行抓取,并按照一定的规则对数据进行实时采样,提取出网络中的TCP流量和UDP流量的原始数据。
3.根据权利要求1中所述的基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,步骤2中对步骤1提取到的TCP流量和UDP流量的原始数据进行重新审查和校验,保证数据的一致性;根据TCP流量和UDP流量的统计值计算出网络中的总流量数据,并将其进行标准化,最终形成格式统一的网络流量的样本数据,消除量纲的影响。
4.根据权利要求1中所述的基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,步骤3中将网络流量的离散特征平均绝对偏差、标准差、方差、变异系数分别作为WEDMS算法中加权欧氏距离的权重系数;利用WEDMS算法对一个检测单元内的总流量和TCP流量的样本数据进行聚类,使相似性较大的数据自动聚集成一簇,而差异性较高的数据聚集成其他簇,最终形成一个或多个簇,有效地将正常流量样本和异常流量样本分离开来。
5.根据权利要求1中所述的基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,步骤4中对网络流量的样本数据是否存在慢速拒绝服务攻击进行判别,包括两个步骤:
步骤4.1、构建慢速拒绝服务攻击的决策指标,制定攻击判别机制;
步骤4.2、以攻击判别机制为标准,利用决策指标值识别网络中的慢速拒绝服务攻击。
6.根据权利要求5中所述的基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,步骤4.1中分析步骤3中的WEDMS聚类结果中的各簇的离散程度,根据其簇内的TCP占比的平均差、方差、变异系数构建特征向量,并利用向量二范数计算出该特征向量的长度作为表征慢速拒绝服务攻击的决策指标;该决策指标值越大,表示网络中存在慢速拒绝服务攻击的可能性越高。
7.根据权利要求5中所述的基于WEDMS聚类的慢速拒绝服务攻击检测方法,其特征在于,步骤4.2中利用步骤4.1中的攻击判别机制,将决策指标值与预先设定的门限值进行比较分析,以达到检测慢速拒绝服务攻击的目的;若该决策指标值大于门限值,表示网络中存在慢速拒绝服务攻击;否则,网络中不存在慢速拒绝服务攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910004190.7A CN109729090B (zh) | 2019-01-03 | 2019-01-03 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910004190.7A CN109729090B (zh) | 2019-01-03 | 2019-01-03 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109729090A CN109729090A (zh) | 2019-05-07 |
CN109729090B true CN109729090B (zh) | 2021-06-01 |
Family
ID=66298098
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910004190.7A Active CN109729090B (zh) | 2019-01-03 | 2019-01-03 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109729090B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110650145A (zh) * | 2019-09-26 | 2020-01-03 | 湖南大学 | 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法 |
CN110572413A (zh) * | 2019-09-27 | 2019-12-13 | 湖南大学 | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 |
CN110889441B (zh) * | 2019-11-19 | 2023-07-25 | 海南电网有限责任公司海南输变电检修分公司 | 一种基于距离和点密度的变电设备数据异常识别方法 |
CN111131199B (zh) * | 2019-12-11 | 2022-06-03 | 中移(杭州)信息技术有限公司 | 业务攻击流量清洗控制方法、装置、服务器及存储介质 |
CN112350994A (zh) * | 2020-09-28 | 2021-02-09 | 湖南大学 | 一种基于tc-utr算法的慢速拒绝服务攻击检测方法 |
CN112202791B (zh) * | 2020-09-28 | 2021-07-27 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
CN112261019B (zh) * | 2020-10-13 | 2022-12-13 | 中移(杭州)信息技术有限公司 | 分布式拒绝服务攻击检测方法、装置及存储介质 |
CN112543183B (zh) * | 2020-11-17 | 2021-11-19 | 西安交通大学 | 基于方向性似然比检验的网络拒绝服务攻击检测方法 |
CN112788063B (zh) * | 2021-01-29 | 2022-03-01 | 湖南大学 | 基于RF-GMM的SDN中LDoS攻击检测方法 |
CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101242316A (zh) * | 2008-02-03 | 2008-08-13 | 西安交大捷普网络科技有限公司 | 基于快速聚类算法的网络异常检测方法 |
CN104657980A (zh) * | 2014-12-24 | 2015-05-27 | 江南大学 | 一种改进的基于Meanshift的多通道图像分割算法 |
CN105376255A (zh) * | 2015-12-08 | 2016-03-02 | 国网福建省电力有限公司 | 一种基于K-means聚类的Android平台入侵检测方法 |
CN109040113A (zh) * | 2018-09-04 | 2018-12-18 | 海南大学 | 基于多核学习的分布式拒绝服务攻击检测方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9774619B1 (en) * | 2015-09-24 | 2017-09-26 | Amazon Technologies, Inc. | Mitigating network attacks |
-
2019
- 2019-01-03 CN CN201910004190.7A patent/CN109729090B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101242316A (zh) * | 2008-02-03 | 2008-08-13 | 西安交大捷普网络科技有限公司 | 基于快速聚类算法的网络异常检测方法 |
CN104657980A (zh) * | 2014-12-24 | 2015-05-27 | 江南大学 | 一种改进的基于Meanshift的多通道图像分割算法 |
CN105376255A (zh) * | 2015-12-08 | 2016-03-02 | 国网福建省电力有限公司 | 一种基于K-means聚类的Android平台入侵检测方法 |
CN109040113A (zh) * | 2018-09-04 | 2018-12-18 | 海南大学 | 基于多核学习的分布式拒绝服务攻击检测方法及装置 |
Non-Patent Citations (3)
Title |
---|
EBDT:A Method for Detecting LDoS Attack;Kai Chen et al.;《2012 IEEE International Conference on Information and Automation》;20120608;全文 * |
基于TCP流量分布异常的慢速拒绝服务攻击检测方法;汤澹;《中国博士学位论文全文数据库 信息科技缉》;20150630;全文 * |
高维数据上的聚类方法研究;任亚洲;《中国博士学位论文全文数据库 信息科技缉》;20141115;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN109729090A (zh) | 2019-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109729090B (zh) | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 | |
CN107483455B (zh) | 一种基于流的网络节点异常检测方法和系统 | |
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
CN109067722B (zh) | 一种基于两步聚类和检测片分析联合算法的LDoS检测方法 | |
CN111092862B (zh) | 一种用于对电网终端通信流量异常进行检测的方法及系统 | |
CN112788066B (zh) | 物联网设备的异常流量检测方法、系统及存储介质 | |
CN110719270A (zh) | 一种基于fcm算法的慢速拒绝服务攻击检测方法 | |
CN112788062B (zh) | SDN中基于ET-EDR的LDoS攻击检测与缓解方法 | |
CN109784668B (zh) | 一种用于电力监控系统异常行为检测的样本特征降维处理方法 | |
CN111600876B (zh) | 一种基于mfopa算法的慢速拒绝服务攻击检测方法 | |
CN112235288B (zh) | 一种基于gan的ndn网络入侵检测方法 | |
CN110661802A (zh) | 一种基于pca-svm算法的慢速拒绝服务攻击检测方法 | |
CN110719272A (zh) | 一种基于lr算法的慢速拒绝服务攻击检测方法 | |
CN112528277A (zh) | 一种基于循环神经网络的混合入侵检测方法 | |
CN114422184A (zh) | 基于机器学习的网络安全攻击类型和威胁等级预测方法 | |
CN117421684B (zh) | 基于数据挖掘和神经网络的异常数据监测与分析方法 | |
CN114021135A (zh) | 一种基于R-SAX的LDoS攻击检测与防御方法 | |
CN111600878A (zh) | 一种基于maf-adm的低速率拒绝服务攻击检测方法 | |
CN113645182B (zh) | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 | |
CN111191720B (zh) | 一种业务场景的识别方法、装置及电子设备 | |
CN111600877A (zh) | 一种基于MF-Ada算法的LDoS攻击检测方法 | |
CN110995713A (zh) | 一种基于卷积神经网络的僵尸网络检测系统及方法 | |
CN115643108B (zh) | 面向工业互联网边缘计算平台安全评估方法、系统及产品 | |
CN110650145A (zh) | 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法 | |
CN116170208A (zh) | 一种基于半监督isodata算法的网络入侵实时检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |