CN111416819A - 一种基于akn算法的慢速拒绝服务攻击检测方法 - Google Patents

一种基于akn算法的慢速拒绝服务攻击检测方法 Download PDF

Info

Publication number
CN111416819A
CN111416819A CN202010190244.6A CN202010190244A CN111416819A CN 111416819 A CN111416819 A CN 111416819A CN 202010190244 A CN202010190244 A CN 202010190244A CN 111416819 A CN111416819 A CN 111416819A
Authority
CN
China
Prior art keywords
algorithm
service attack
akn
detection
slow denial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010190244.6A
Other languages
English (en)
Inventor
汤澹
王曦茵
冯叶
张冬朔
陈静文
刘宇
詹思佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202010190244.6A priority Critical patent/CN111416819A/zh
Publication of CN111416819A publication Critical patent/CN111416819A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于AKN(Adaptive Kohonen Network)算法的慢速拒绝服务攻击检测方法,属于网络安全领域。该检测方法为:以单位时间将采样TCP报文样本分成若干个检测窗口,根据慢速拒绝服务攻击对其离散程度和波动程度的影响,采用AKN算法对检测窗口特征向量进行聚类分析。根据事先训练出来的无攻击数据获得相应阈值,基于相关攻击判断准则分析聚类簇,判断是否发生慢速拒绝服务攻击。本发明公开的基于AKN算法的慢速拒绝服务攻击检测方法能够在复杂的网络中实现高速率、低消耗、精准度高的慢速拒绝服务攻击检测。

Description

一种基于AKN算法的慢速拒绝服务攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于AKN(Adaptive KohonenNetwork) 算法的慢速拒绝服务攻击检测方法。
背景技术
网络安全的威胁主要包括网络协议的局限性、软件漏洞、网络病毒和网络攻击等。其 中,网络攻击的危害最大。拒绝服务攻击是网络攻击最经常采取的方式之一,在网络中经常 发生,且对网络损害巨大。
拒绝服务攻击是指攻击者利用现有的网络协议漏洞,发起可以令攻击对象(网络或计 算机)无法接受响应请求、停止提供正常服务的攻击,对网络性能损害严重。慢速拒绝服务 攻击,是拒绝服务攻击的变种,采用间歇攻击,在指定的周期间隔内低速率地发起突发脉冲, 使得目标系统在过载和欠载状态之间连续切换,严重降低了服务质量。其对网络的危害近似 于拒绝服务攻击,有着更强的隐蔽性和更高的检测难度。
慢速拒绝服务攻击检测研究存在以下方面的问题:其一是传统拒绝服务攻击检测方法 很难对慢速拒绝服务攻击进行检测,其二是慢速拒绝服务攻击现有检测方法普遍存在着算法 复杂度高、资源消耗大、自适应性不强和检测精准度不高的缺陷。
本发明根据慢速拒绝服务攻击现有检测方法普遍存在着算法复杂度高、资源消耗大、 自适应性不强和检测精准度不高的缺陷,提出了一种基于AKN算法的慢速拒绝服务攻击检 测方法。该方法根据慢速拒绝服务攻击对网络中TCP流量离散程度和波动程度的影响,采用 AKN算法对检测窗口的特征向量进行聚类分析,根据事先训练出来的无攻击数据获得相关阈 值,基于相关攻击判断准则分析聚类簇,判断是否发生慢速拒绝服务攻击。AKN算法使用最 大最小距离算法确定Kohonen网络竞争层神经元个数,同时使用覆盖初始化算法初始化权值, 使网络结构可以根据输入数据自适应变化,解决了传统Kohonen网络竞争层神经元个数和初 始权值设置不当导致某些神经元无法被训练的问题,有效减小死神经元出现概率,增强网络 的识别效率。该攻击检测方法对慢速拒绝服务攻击的检测有着较低的误报率和漏报率,算法 的空间复杂度和时间复杂度较低,因此该检测方法可实现高精准度的慢速拒绝服务攻击检测。
发明内容
根据慢速拒绝服务攻击现有检测方法普遍存在着算法复杂度高、资源消耗大和检测精 准度不高的缺陷,提出了一种基于AKN算法的慢速拒绝服务攻击检测方法。该攻击检测方 法对慢速拒绝服务攻击的检测有着较低的误报率和漏报率,算法的空间复杂度和时间复杂度 较低,因此该检测方法可实现高精准度的慢速拒绝服务攻击检测。
本发明为实现上述目标所采用的技术方案为:基于AKN算法的慢速拒绝服务攻击检 测方法主要分为以下步骤:采样数据、提取特征向量、聚类分析及攻击判定。
1.采样数据。以固定采样时间Δt获取关键路由器中的所有TCP报文,形成检测样本。
2.提取特征向量。给定时间长度TimeJW,将其作为单位时间,以单位时间将检测样本 分成若干个检测窗口,则每个检测窗口包含TimeJW/Δt个元素。计算每个检测窗口的方差值V和 分组极差均值RM作为特征向量。其中,分组极差均值是指对一组数据进行分组,分别计算 每个组别的极差值,再计算所有组别极差值的平均值,可以减小偶然误差对计算结果的影响, 计算公式为:
Figure BDA0002415606790000021
3.聚类分析。使用AKN算法对得到的检测窗口特征向量进行聚类分析,AKN算法步骤如下:
步骤3.1:使用最大最小距离算法确定最优聚类数量。
(1)输入检测窗口特征向量,任选其中一个向量作为第一个聚类中心Z1
(2)计算所有输入向量与第一个聚类中心Z1的欧式距离,选择与具有最大距离的输入向量作 为第二个聚类中心Z2
(3)计算与各输入向量与已确定聚类中心之间的最小距离。计算各输入向量与所有已确定聚 类中心的欧式距离dim,并选择最小距离Di,如式所示:
di1=||Xi-Z1||,di2=||Xi-Z2||,di3=||Xi-Z3||
(4)计算判断是否存在新的聚类中心。在最小距离序列D中选出最大距离,若该最大距离大 于||Z1-Z2||的一定比例,则把其对应的输入向量作为新的聚类中心,返回(3);否则,则认为 不存在新的聚类中心,得到最优聚类数量。
步骤3.2:使用覆盖初始化算法得到网络初始化权值。
(1)输入检测窗口特征向量,使用min-max标准化方法将输入样本归一化处理,将样本映射 在[0,1]之间,如公式所示:
Figure BDA0002415606790000031
(2)计算寻找所有输入向量的中心向量并计算其余向量与其欧式距离,最大距离记为dmax
(3)假设输入数据之间相互独立,以中心向量为中心位置,构建正态分布,选择小于等于dmax的随机值作为初始权值;
步骤3.3:根据步骤3.1和步骤3.2得到的结果实现AKN算法,完成聚类。
(1)构建初始网络。步骤3.1获得的聚类中心个数作为Kohonen网络竞争层神经元个数,步 骤3.2获得的初始权值作为从输入层到竞争层各神经元的连接权值wij
(2)计算获胜结点。输入各检测窗口特征向量组成的序列,计算输入样本与竞争层结点之间 的欧式距离,具有最小距离的竞争层结点即为获胜神经元j*
(3)计算获胜邻域。设置学习半径r,获胜邻域Nj*指竞争层内与获胜神经元j*距离Sj,j*小于 或等于学习半径所有结点的集合。随着迭代次数增加,学习半径随之减小,获胜邻域也在不 断减小,直到获胜邻域中只有一个神经元j*
(4)调整获胜邻域内结点的连接权值。设置更新权重Tj,j*,使越接近获胜神经元j*的结点更 新权重越大。设置初始学习率η0和学习率η,使随着迭代次数增加不断减小。结点连接权值 按照梯度下降法更新。涉及计算如下公式所示,其中,t0是总迭代数:
Figure BDA0002415606790000032
Figure BDA0002415606790000033
(5)迭代使得网络收敛。判断迭代次数是否已达到规定的学习次数,若未达到返回(2),否 则结束学习。
4.攻击判定。基于预先计算存储的相关阈值进行攻击判定,具体步骤如下:
步骤4.1:基于预先计算存储的方差阈值ΛTCP-var和分组极差阈值ΛTCP-RM,对检测窗口进行异常 判定。若某一检测窗口的方差值大于预先计算存储的方差阈值且分组极差均值大于预先计算 存储的方分组极差阈值,该样本对应的取样时间为异常窗口。
步骤4.2:基于预先计算存储的比例阈值ΛAJWR,对步骤3得到的聚类簇进行攻击判定。若某一 聚类簇中异常窗口所占比例大于预先计算存储的比例阈值,该聚类簇包含的所有时间窗口都 存在慢速拒绝服务攻击。
有益效果
该攻击检测方法对慢速拒绝服务攻击的检测有着较低的误报率和漏报率,算法的空间 复杂度和时间复杂度较低,自适应性强,因此该检测方法可在复杂的真实网络中实现高精准 度的慢速拒绝服务攻击检测。
附图说明
图1是在网络三种情形下采样TCP报文样本的方差值,网络三种情形分别为无攻击、 拒绝服务攻击和慢速拒绝服务攻击。
图2是在网络三种情形下采样TCP报文样本的分组极差均值,网络三种情形分别为无 攻击、拒绝服务攻击和慢速拒绝服务攻击。
图3是AKN算法和传统Kohonen网络算法的聚类结果对比。
图4是一种基于AKN算法的慢速拒绝服务攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图4是一种基于AKN算法的慢速拒绝服务攻击检测方法的流程图,该图表明基于AKN 算法的慢速拒绝服务攻击检测方法主要分为以下步骤:采样数据、提取特征向量、聚类分析 及攻击判定。
图1是在网络三种情形下采样TCP报文样本的方差值,网络三种情形分别为无攻击、 拒绝服务攻击和慢速拒绝服务攻击。方差在网络情形三下显著大于在网络情形一下和情形二 下,即网络情形三下样本的离散程度远远大于其他两个网络情形下的。
图2是在网络三种情形下采样TCP报文样本的分组极差均值,网络三种情形分别为无 攻击、拒绝服务攻击和慢速拒绝服务攻击。分组极差均值在网络情形三下显著大于在网络情 形一下和情形二下,即网络情形三下样本的波动程度远远大于其他两个网络情形下的。
图3是AKN算法和传统Kohonen网络算法的聚类结果对比,使用不同的样本数据进行150次聚类实验,Kohonen网络竞争层神经元个数随机确定。由图可知,AKN算法使网络 结构可以根据输入数据自适应变化,解决了传统Kohonen网络竞争层神经元个数和初始权值设置不当导致某些神经元无法被训练的问题,有效减小死神经元出现概率,增强网络的识别 效率,得到较好的聚类结果。

Claims (10)

1.一种基于AKN(Adaptive Kohonen Network)算法的慢速拒绝服务攻击检测方法,其特征在于,包括以下四个步骤:
步骤1、采样数据:在关键路由器中实时获取TCP报文,得到测试样本;
步骤2、提取特征向量:以单位时间将样本分成若干个检测窗口,基于慢速拒绝服务攻击对TCP报文传输的影响,提取检测窗口的特征值组成特征向量;
步骤3、聚类分析:使用AKN算法对检测窗口的特征向量进行聚类分析;
步骤4、攻击判定:基于聚类结果,根据预先计算存储的相关阈值进行相关计算及判定,若某一聚类簇的相关计算结果与所述条件相符,则判定网络在该聚类簇包含的检测窗口内存在慢速拒绝服务攻击。
2.根据权利要求1中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤1中以固定采样时间获取关键路由器中的所有TCP报文,形成测试样本。
3.根据权利要求1中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤2中给定单位时间长度,以单位时间将测试样本分成若干个检测窗口,基于慢速拒绝服务攻击对TCP报文传输的影响提取检测窗口的特征向量。慢速拒绝服务攻击是非持续的,致使TCP报文传输量变化剧烈,通过计算检测窗口的方差值和分组极差均值,组成特征向量,定量表示检测窗口的离散程度和波动程度。
4.根据权利要求1中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤3中基于步骤2得到的检测窗口的特征向量,利用AKN进行聚类,包括三个步骤:
步骤3.1、基于检测窗口的特征向量,使用最大最小距离算法确定最优聚类个数;
步骤3.2、基于检测窗口的特征向量,使用覆盖初始化算法确定一组与其分布相关的值;
步骤3.3、基于检测窗口的特征向量,根据步骤3.1和步骤3.2所得结果使用Kohonen网络进行聚类。
5.根据权利要求4中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤3.1中使用最大最小距离算法,分析检测窗口特征向量,得到的聚类中心个数作为最优聚类数目。
6.根据权利要求4中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤3.2中使用覆盖初始化算法,应用正态分布来覆盖检测窗口特征向量,分析并得到一组与其分布相关的值。
7.根据权利要求4中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤3.3中将步骤3.1得到的最优聚类个数作为Kohonen网络竞争层神经元个数,步骤3.2所得组值作为Kohonen网络初始连接权值,构建初始网络。将检测窗口的特征向量作为输入样本,使用Kohonen网络进行聚类分析。
8.根据权利要求1中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤4中基于预先计算存储的相关阈值进行攻击判定,包括两个步骤:
步骤4.1、基于预先计算存储的方差阈值和分组极差阈值,对检测窗口进行异常判定;
步骤4.2、基于预先计算存储的比例阈值,对步骤3得到的聚类簇进行攻击判定。
9.根据权利要求8中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤4.1中对检测窗口进行异常判定准则为:若某一检测窗口的方差值大于预先计算存储的方差阈值且分组极差均值大于预先计算存储的方分组极差阈值,该检测窗口为异常窗口。
10.根据权利要求8中所述的基于AKN算法的慢速拒绝服务攻击检测方法,其特征在于,步骤4.2中对聚类簇进行攻击判定准则为:若某一聚类簇中异常窗口所占比例大于预先计算存储的比例阈值,该聚类簇包含的所有检测窗口都存在慢速拒绝服务攻击。
CN202010190244.6A 2020-03-18 2020-03-18 一种基于akn算法的慢速拒绝服务攻击检测方法 Pending CN111416819A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010190244.6A CN111416819A (zh) 2020-03-18 2020-03-18 一种基于akn算法的慢速拒绝服务攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010190244.6A CN111416819A (zh) 2020-03-18 2020-03-18 一种基于akn算法的慢速拒绝服务攻击检测方法

Publications (1)

Publication Number Publication Date
CN111416819A true CN111416819A (zh) 2020-07-14

Family

ID=71494473

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010190244.6A Pending CN111416819A (zh) 2020-03-18 2020-03-18 一种基于akn算法的慢速拒绝服务攻击检测方法

Country Status (1)

Country Link
CN (1) CN111416819A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738099A (zh) * 2020-12-28 2021-04-30 北京天融信网络安全技术有限公司 一种检测慢速攻击的方法、装置、存储介质和电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6347310B1 (en) * 1998-05-11 2002-02-12 Torrent Systems, Inc. Computer system and process for training of analytical models using large data sets
CN107066881A (zh) * 2016-12-14 2017-08-18 四川长虹电器股份有限公司 基于Kohonen神经网络的入侵检测方法
CN110572413A (zh) * 2019-09-27 2019-12-13 湖南大学 一种基于Elman神经网络的低速率拒绝服务攻击检测方法
CN110719270A (zh) * 2019-09-26 2020-01-21 湖南大学 一种基于fcm算法的慢速拒绝服务攻击检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6347310B1 (en) * 1998-05-11 2002-02-12 Torrent Systems, Inc. Computer system and process for training of analytical models using large data sets
CN107066881A (zh) * 2016-12-14 2017-08-18 四川长虹电器股份有限公司 基于Kohonen神经网络的入侵检测方法
CN110719270A (zh) * 2019-09-26 2020-01-21 湖南大学 一种基于fcm算法的慢速拒绝服务攻击检测方法
CN110572413A (zh) * 2019-09-27 2019-12-13 湖南大学 一种基于Elman神经网络的低速率拒绝服务攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
董宁: "《基于 S-Kohonen神经网络的拒绝服务攻击检测算法的研究》", 《中国优秀硕士论文数据库》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738099A (zh) * 2020-12-28 2021-04-30 北京天融信网络安全技术有限公司 一种检测慢速攻击的方法、装置、存储介质和电子设备
CN112738099B (zh) * 2020-12-28 2022-07-12 北京天融信网络安全技术有限公司 一种检测慢速攻击的方法、装置、存储介质和电子设备

Similar Documents

Publication Publication Date Title
CN111107102A (zh) 基于大数据实时网络流量异常检测方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN109522716B (zh) 一种基于时序神经网络的网络入侵检测方法及装置
Peng et al. A detection method for anomaly flow in software defined network
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN109067722B (zh) 一种基于两步聚类和检测片分析联合算法的LDoS检测方法
CN111209563A (zh) 一种网络入侵检测方法及系统
CN112261000B (zh) 一种基于PSO-K算法的LDoS攻击检测方法
CN110719270A (zh) 一种基于fcm算法的慢速拒绝服务攻击检测方法
CN109951462B (zh) 一种基于全息建模的应用软件流量异常检测系统及方法
CN110351291B (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
CN111600876B (zh) 一种基于mfopa算法的慢速拒绝服务攻击检测方法
Maslan et al. Feature selection for DDoS detection using classification machine learning techniques
Islam et al. Network anomaly detection using lightgbm: A gradient boosting classifier
CN114021135A (zh) 一种基于R-SAX的LDoS攻击检测与防御方法
CN113821793A (zh) 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
Zhao Network intrusion detection system model based on data mining
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN111600877A (zh) 一种基于MF-Ada算法的LDoS攻击检测方法
CN111416819A (zh) 一种基于akn算法的慢速拒绝服务攻击检测方法
CN113132352B (zh) 基于流量统计特征的路由器威胁感知方法及系统
CN111181969B (zh) 一种基于自发流量的物联网设备识别方法
CN116527307A (zh) 一种基于社区发现的僵尸网络检测算法
CN115664804B (zh) 一种基于径向基函数神经网络的LDoS攻击检测方法
CN116668318A (zh) 一种网络攻击预测方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200714