CN110661802A

CN110661802A - 一种基于pca-svm算法的慢速拒绝服务攻击检测方法

Info

Publication number: CN110661802A
Application number: CN201910920902.XA
Authority: CN
Inventors: 汤澹; 张冬朔; 代锐; 陈静文; 王曦茵; 严裕东; 唐柳
Original assignee: Hunan University
Current assignee: Hunan University
Priority date: 2019-09-27
Filing date: 2019-09-27
Publication date: 2020-01-07

Abstract

本发明公开了一种基于PCA‑SVM算法的慢速拒绝服务(LDoS)攻击检测方法，属于网络安全领域。其中所述方法包括：对网络中某一时间段内的数据流量信息进行实时采样，提取其中的TCP流量并划分时间片；采用主成分分析法(PCA)对原始样本矩阵进行特征选择，提取出对分类最有益的特征得到主成分样本矩阵；对于主成分样本矩阵中的每一个时间片，根据是否受到LDoS攻击时TCP流量表现出的不同特点，利用支持向量机(SVM)算法训练得到的决策函数作为分类模型进行特征映射；根据决策函数计算得到的不同标签值，将每个时间片分类到存在LDoS攻击的类别或者不存在LDoS攻击的类别中，从而实现对于LDoS攻击的检测。本发明提出的基于PCA‑SVM算法的检测方法能准确、高效、快速、自适应地检测LDoS攻击。

Description

一种基于PCA-SVM算法的慢速拒绝服务攻击检测方法

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于PCA-SVM算法的慢速拒绝服务(LDoS)攻击检测方法。

背景技术

随着移动互联网、大数据和云计算的飞速发展，丰富的应用场景下暴露出越来越多的网络安全风险和问题，给互联网发展与治理带来巨大的挑战。我国在2017年6月1日正式实施的《中华人民共和国网络安全法》中对网络安全赋予了更加明确的定义，“网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态”，其中对网络攻击的检测和防御成为一项重要内容。

拒绝服务(DoS)攻击是一种攻击方式多样、攻击破坏性大的网络攻击方式，其攻击者通过向目的服务器端口发送大量无关报文，导致整个通道内的正常服务无法进行。而慢速拒绝服务(LDoS)攻击是一种特殊的DoS攻击。LDoS攻击能产生近似于DoS攻击的攻击效果，同时具有平均攻击流量低、隐蔽性强的特点，因此难以被检测到。

当前的LDoS检测方法存在以下三个方面的不足：其一是检测率不高，存在误报率、漏报率高的情况；其二是计算的复杂度过高，增加了检测攻击的时间，使得算法实时性较弱；其三是算法针对的攻击模式和攻击参数比较单一，不具有泛化性。

本发明针对当前的LDoS攻击检测方法存在检测效率低、误报率和漏报率高和泛化性不强等不足，通过分析网络受到LDoS攻击产生的现象，提取TCP流量的特征，提出一种将主成分分析法(PCA)和支持向量机(SVM)相结合的LDoS检测方法。为了过滤复杂环境中噪音的干扰，有效提取采样时间片的主要特征，同时减少计算维度，使用PCA算法对原始流量数据进行主成分提取，然后通过使用SVM算法求解最优分类面得到的模型，对测试数据进行分类预测，从而实现了对LDoS攻击的检测。本LDoS攻击检测方法能够准确地对LDoS攻击进行检测，其误报率和漏报率较低，而且具有一定的泛化性能，因此本检测方法可普适于准确检测LDoS攻击。

发明内容

针对当前的LDoS攻击检测方法存在检测效率低、误报率和漏报率高和泛化性不强等不足，提出了一种LDoS攻击检测方法。该LDoS攻击检测方法，能够更准确地对LDoS攻击进行检测，其误报率和漏报率较低，而且具有一定的泛化性能，因此本检测方法可普适于准确检测LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括五个步骤：数据采样、处理数据、特征选择、模型训练及分类检测。

1.数据采样。按照相等的时间间隔对网络中的数据流量信息进行实时采样，对某一时间段内采样得到的网络数据流量进行记录，得到原始流量数据集作为训练集和测试集。

2.处理数据。当网络受到LDoS攻击时，TCP流量的平均值明显下降，且出现了较大的波动，因此通过对TCP流量的统计和分析可以检测出网络是否受到了LDoS攻击。对于获取的原始流量数据集，首先提取其中的TCP流量，以大于采样时间的相等时间间隔(即时间片)对TCP流量的采样值进行划分，得到原始样本矩阵，并通过标签标记训练集中的每个时间片的特征。通过划分时间片解决了单独的采样点之间缺乏相关性和计算复杂度过高的缺点。

3.特征选择。对于计算获得的原始样本矩阵，基于主成分分析法提取矩阵特征以得到主成分样本矩阵。具体是：1)将原始TCP流量构造的样本矩阵进行标准化处理；2)先计算标准化样本矩阵不同维度之间的协方差得到协方差矩阵，再用特征值分解方法求协方差矩阵的特征值和特征向量；3)计算各个主成分的贡献率和累计贡献率之和，选取前k个主成分使得其贡献率之和大于某一阈值以避免原始数据中信息的丢失，计算标准化样本矩阵在k个主成分上的投影得到新的主成分样本矩阵。

将TCP流量构造成样本矩阵X＝(x_ij)_m×n，其中m为时间片的数量，n为每个时间片内包含的采样点的数目，将样本矩阵转换为标准化样本矩阵Z＝(x_ij)_m×n的计算方式为：

式中，

相关系数矩阵R＝(r_ij)_n×n的计算方式为：

4.模型训练。对于计算获得的训练集主成分样本矩阵{(xi，y_i)，i＝算，得，…，l}和训练集标签，需要构造一个非线性函数，将线性不可分的样本矩阵映射到线性可分的高维特征空间，并利用最大化分类边际的思想划分最优分类面，从而训练得到决策函数作为分类模型。

其中，求解分类模型的过程为：选择核函数K(x，x^T)和惩罚参数C，构造并求解最优化问题：

其中，

得最优解

其中α为Lagrange乘数；选择α^*的一个小于C的分量

并据此计算：

最终得到决策函数：

5.分类检测。首先对测试集进行数据处理和特征选择得到主成分样本矩阵，然后对于主成分样本矩阵中的每个时间片利用决策函数进行特征映射，若分类得到的标签值为1则判定该时间片存在慢速拒绝服务攻击，标签值为0则判定该时间片不存在慢速拒绝服务攻击。

有益效果

该LDoS攻击检测方法，能够更准确地对LDoS攻击进行检测，其误报率和漏报率较低，而且具有一定的泛化性能，因此本检测方法可普适于准确检测LDoS攻击。

附图说明

图1为正常的TCP流量和受攻击的TCP流量的对比图。当网络受到LDoS攻击时，TCP流量反复出现突然下降又逐渐恢复的情况，造成了剧烈的流量波动，最终导致网络中TCP平均流量的降低，因此可以根据两种情况下TCP流量的不同特征对是否受到LDoS攻击进行分类。

图2为SVM算法将原始空间映射到高维空间的示意图。图中的三角形和圆在低维原始空间中是线性不可分的。在这种情况下，需要通过核函数映射将低维原始空间映射到高维空间，使其从低维空间的线性不可分问题转化为高维空间的线性可分问题。

图3为测试集时间片经过分类模型的特征映射得到标签值的示意图。类别标签为1代表受到网络攻击，类别标签为0代表未受攻击；“○”表示实际测试集分类，“*”表示预测测试集分类，两者的重叠越高说明分类准确率越高。

图4为一种基于PCA-SVM算法的慢速拒绝服务攻击检测方法的流程图。

具体实施方式

下面结合附图对本发明进一步说明。

如图4所示，该慢速拒绝服务攻击检测方法主要包括五个步骤：数据采样、处理数据、特征选择、模型训练及分类检测。

图1为正常的TCP流量和受攻击的TCP流量的对比图。根据LDoS攻击造成的流量剧烈波动和平均流量减少的特征，可以利用受到LDoS攻击后的TCP流量产生的不同的数据特点来进行检测。通过分析两种情况下TCP流量在一段时间内的数据特征求得将二者进行分类的最优界限，并使待检测的网络数据流量进行特征匹配，从而对各个时间片段进行分类，判断该段时间内是否受到LDoS攻击。

图2为SVM算法将原始空间映射到高维空间的示意图。由于需要处理的TCP流量主成分样本矩阵维度较高且存在较多变化，而且线性不可分，使用SVM算法对TCP流量数据的训练和分类来检测LDoS攻击。SVM算法通过将原始空间映射到高维空间并求解最优分类平面对线性不可分的数据进行准确分类，能够有效的应对数据高维度多变的情况，并具有良好的泛化性能。

图3为测试集时间片经过分类模型的特征映射得到标签值的示意图。对于测试集数据流量经过数据处理和特征选择得到的主成分样本矩阵中的每一个时间片，利用训练得到的决策函数作为分类模型进行特征映射。根据决策函数计算得到的不同标签值，将每个时间片分类到存在LDoS攻击的类别或者不存在LDoS攻击的类别中，从而实现对于LDoS攻击的检测。

Claims

1.一种基于PCA-SVM算法的慢速拒绝服务(LDoS)攻击检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：

步骤1、数据采样：对网络中某一时间段内的数据流量信息进行实时采样，得到原始的训练集和测试集；

步骤2、处理数据：从得到的原始流量数据集中提取TCP流量，通过时间片划定得到原始样本矩阵，并完成对各时间片的标签设置；

步骤3、特征选择：基于主成分分析法(PCA)对原始样本矩阵进行特征选择，提取出对分类最有益的特征得到主成分样本矩阵；

步骤4、模型训练：基于支持向量机(SVM)算法对经过特征提取的训练集和训练集标签进行训练，得到分类模型；

步骤5、分类检测：首先对待检测的网络流量测试集重复步骤2和步骤3得到主成分样本矩阵，根据训练得到的分类模型，对测试集的主成分样本矩阵进行分类检测，由分类得到的标签值即可判定该网络中是否存在慢速拒绝服务攻击。

2.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤1中按照相等的时间间隔对网络中的数据流量信息进行实时采样，对某一时间段内采样得到的网络数据流量进行记录，形成原始的训练集和测试集。

3.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2中对于步骤1获取的原始流量数据集，首先提取其中的TCP流量，以大于采样时间的相等时间间隔(即时间片)对TCP流量的采样值进行划分，得到原始样本矩阵，并通过标签标记训练集中的每个时间片的特征。

4.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3中对于步骤2中计算获得原始样本矩阵，基于主成分分析法提取矩阵特征以得到主成分样本矩阵，包括三个步骤：

步骤3.1、将TCP流量构造的原始样本矩阵进行标准化处理；

步骤3.2、建立协方差矩阵，计算特征值和特征向量；

步骤3.3、计算贡献率，选取贡献率之和大于某个阈值的主成分计算主成分样本矩阵。

5.根据权利要求4中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.1中矩阵标准化的定义为：为防止原始数据中TCP流量差值过大，将样本矩阵转化为每个时间片均值为0，方差为1的标准化样本矩阵。

6.根据权利要求4中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.2中特征值和特征向量的计算方式为：先计算标准化样本矩阵不同维度之间的协方差得到协方差矩阵，再用特征值分解方法求协方差矩阵的特征值和特征向量。

7.根据权利要求4中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.3中主成分样本矩阵的计算方式为：计算各个主成分的贡献率和累计贡献率之和，选取前k个主成分使得其贡献率之和大于某一阈值以避免原始数据中信息的丢失，计算标准化样本矩阵在k个主成分上的投影得到新的主成分样本矩阵。

8.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4中对于步骤3中计算获得的训练集主成分样本矩阵和训练集标签，需要构造一个非线性函数，将样本矩阵映射到高维特征空间，并利用最大化分类边际的思想划分最优分类面，从而训练得到决策函数作为分类模型。

9.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤5中根据步骤4中计算得到的分类模型对待检测的某时间段内网络中的流量数据集进行分类检测。首先对该测试集进行步骤2的数据处理和步骤3的特征选择得到主成分样本矩阵，然后对于该主成分样本矩阵中的每个时间片利用决策函数进行特征映射，若分类得到的标签值为1则判定该时间片存在慢速拒绝服务攻击，标签值为0则判定该时间片不存在慢速拒绝服务攻击。