CN111444501A - 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法 - Google Patents

一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法 Download PDF

Info

Publication number
CN111444501A
CN111444501A CN202010183134.7A CN202010183134A CN111444501A CN 111444501 A CN111444501 A CN 111444501A CN 202010183134 A CN202010183134 A CN 202010183134A CN 111444501 A CN111444501 A CN 111444501A
Authority
CN
China
Prior art keywords
space
dos attack
detection method
features
forest
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010183134.7A
Other languages
English (en)
Other versions
CN111444501B (zh
Inventor
汤澹
施玮
王曦茵
陈静文
张斯琦
严裕东
张冬朔
冯叶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202010183134.7A priority Critical patent/CN111444501B/zh
Publication of CN111444501A publication Critical patent/CN111444501A/zh
Application granted granted Critical
Publication of CN111444501B publication Critical patent/CN111444501B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:实时获取单位时间片内待检测网络的混合流量数据,提取网络流量在梅尔频率上的倒谱系数,将其作为度量正常流量和LDoS攻击流量的初始特征;然后采用互信息特征选择算法对已提取的初始特征进行优化选择;最后将择优后的特征输入到基于数据质量异常检测的半空间森林模型,通过该模型对正常流量和LDoS攻击流量进行准确区分,从而达到检测LDoS攻击的目的。本发明提出的梅尔倒谱与半空间森林结合的检测方法能高效、快速、自适应地检测LDoS攻击。

Description

一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法。
背景技术
拒绝服务(DoS)攻击,其根本目的是使得受害网络或主机无法及时接受并处理外界请求,或者无法及时响应服务请求,从而导致网络或者目标计算机无法提供正常的服务,DoS攻击对网络危害巨大。而LDoS攻击,是DoS攻击的变种,其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。
目前LDoS攻击检测存在两个方面的问题:其一是由于攻击行为特征异于传统DoS攻击,传统DoS检测方法难以检测LDoS攻击,其二是已有的LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点。
本发明针对现有LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点,提出了一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法。该方法实时获取时间片内待检测网络的流量数据,提取网络流量在梅尔频率上的倒谱系数,将其作为度量正常流量和LDoS攻击流量的初始特征;然后采用互信息特征选择算法对已提取的初始特征进行优化选择;最后将择优后的特征输入到基于数据质量异常检测的半空间森林模型,通过该模型对正常流量和LDoS攻击流量进行准确区分,从而达到检测LDoS攻击的目的。该LDoS攻击检测方法,对LDoS攻击的检测准确度较高,误报率和漏报率低,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
发明内容
针对现有LDoS攻击检测方法普遍存在检测准确度不高,算法复杂、资源消耗大且实时性弱,自适应能力欠缺等特点,提出了一种基于梅尔倒谱和半空间森林结合的LDoS攻击检测方法。该LDoS攻击检测方法,对LDoS攻击的检测准确度较高,误报率和漏报率低,同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该LDoS攻击检测方法主要包括四个步骤:提取初始特征、特征优化选择、构建半空间森林模型和检测判定。
1.提取初始特征:实时获取路由器中的混合数据流量,按照时间片划分混合数据流量,将时间片内的混合数据流量进行处理后输入到梅尔滤波器组中获取信号能量,再将其进一步处理后则可获得我们所需的倒谱系数,即本方法所描述的初始特征。
其中构造梅尔滤波器组的方法为:我们在频谱范围内设置若干带通滤波器Hm(k),0≤m≤M,M为滤波器的数目。每个滤波器具有三角形滤波特性,其中心频率为f(m),f(m)的定义如下:
Figure BDA0002413246950000021
其中,fl为滤波器频率范围的最低频率,fh为滤波器频率范围的最高频率,N为DFT(FFT)时的长度,fs为采样频率,Fmel为Mel频率,Mel频率是一种分线性频率刻度,它与频率的关系表示如下式所示:
Figure BDA0002413246950000022
2.特征优化选择:采用互信息特征选择算法对已经提取的初始特征进行再次筛选,选择出前k个特征组成提优特征。具体方法为:从一个空集合S开始,采用步进的方法,每次选择一个特征,直到选择前k(k≤n)个特征使得检测算法性能达到最优。
初始特征集合F={f1,f2,...,fn},当前未被选择的特征集合U,已被选的m-1个特征组合的集合Sm-1,集合关系为F=U+S。选取特征步骤如下:
1)选取第一个特征:
Figure BDA0002413246950000023
Figure BDA0002413246950000024
2)选取第m个特征gm,采取策略为有监督特征选择方法的“最小冗余-最大相关”标准,第m个特征选择的依据是:
Figure BDA0002413246950000025
利用上式选择第m个特征gm,直到已选特征集S选择出k(k≤n)前个特征。
3.构建半空间森林模型:利用已获取的提优特征构建基于质量估计的半空间森林模型。具体步骤为:
1)从输入的训练数据中随机挑选样本子集,并生成半空间树所需的工作空间;
2)使用从步骤1挑选的样本子集在工作空间中生成第i棵半空间树;
3)将步骤3.2生成的第i棵半空间树汇入半空间森林,直到生成的半空间树的数量满足半空间森林的要求数量则完成森林模型构建。
4.检测判定:将时间片内获取的提优特征输入到半空间森林模型中,获取该时间片的异常量值,若该时间片内的异常量大于预先存储的异常量阈值,则该时间片内存在LDoS攻击,若该时间片内的异常量小于预先存储的异常量阈值,则该时间片内不存在LDoS攻击。
有益效果
该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此,该检测方法可普适于准确检测LDoS攻击。
附图说明
图1为网络中时间片内混合数据流量的功率谱密度(PSD)图。
图2为网络中时间片内的提取到的特征对比图。
图3为选择排序好的前k个特征检测模型的性能测试图。
图4为数据点的异常量和数据点的质量期望值的关系图。
图5为基于梅尔倒谱和半空间森林结合的LDoS攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图1(a)为网络中时间片内无攻击的混合数据流量的PSD图,图1(b)为网络中时间片内含有LDoS攻击的混合数据流量的PSD图,从两者的图像波动对比看,正常混合数据流量和含有LDoS攻击的混合数据流量的PSD图存在差异。
图2(a)为两个正常时间片的特征对比图,图2(b)为两个异常时间片的特征对比图,图2(c)为正常时间片和异常时间片的特征对比图。从图2(a)和图2(b)可知,同类特征值走向不完全相同,但是相似度较高,从图2(c)中可知,异类特征值走向有较大的差异。
图3为利用互信息选择算法,选出排序好的前k个特征检测模型的性能测试图。从图2(a)的两个正常时间片提取到的特征值两两对比可知,特征值之间的差异量不一致,因此也可证明提取到的初始特征中可能少数存在冗余或存在干扰信息的特征,利用互信息选择算法,选择使得检测模型更优(TPR,Accuracy更高,FPR更低)的前k个特征为提优特征。
图4为数据点的异常量和数据点的质量期望值
Figure BDA0002413246950000041
的关系图。
假定ψ(ψ>2)为半空间树的数据点数目,则c(ψ)为给定ψ个数据点的平均质量,即给定样本大小的半空间树的平均质量为:
Figure BDA0002413246950000042
其中H(i)是调和数,可以用式H(i)=ln(i)+0.5772156649计算获得,其中0.5772156649为欧拉常数。以c(ψ)标准化数据点的质量,因此可以计算获取数据点x质量的异常量a为:
Figure BDA0002413246950000043
Figure BDA0002413246950000044
和c(ψ)的关系可知,所以当数据点的质量期望值
Figure BDA0002413246950000045
接近c(ψ)时,数据点的异常量a(x,ψ)=0.5,并且正常数据点的质量期望值
Figure BDA0002413246950000046
应该大于c(ψ),即a(x,ψ)<0.5,而异常数据点的质量期望值
Figure BDA0002413246950000047
应该小于c(ψ),即a(x,ψ)>0.5,因此将异常量异常选为0.5作为区分正常和异常数据的阈值。
如图5所示,该LDoS攻击检测方法主要包括四个步骤:提取初始特征、特征优化选择、构建半空间森林模型和检测判定。

Claims (10)

1.一种基于梅尔倒谱与半空间森林结合的慢速拒绝服务(LDoS)攻击检测方法,其特征在于,所述LDoS攻击检测方法包括以下几个步骤:
步骤1、提取初始特征:实时获取路由器中的混合数据流量,提取单位时间内(时间片)的混合数据流量在梅尔频率上的倒谱系数作为初始特征;
步骤2、特征优化选择:采用互信息特征选择算法对已提取的初始特征进行优化选择,获取提优后的特征;
步骤3、构建半空间森林模型:利用已获取的提优特征构建基于质量估计的半空间森林模型;
步骤4、检测判定:将时间片内获取的提优特征输入到半空间森林模型中,获取该时间片的异常量值,若符合相关判定准则,则判定该时间片内网络中存在LDoS攻击。
2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤1中对网络中关键路由器,按照时间片划分混合数据流量,按照梅尔倒谱特征提取方法,将时间片内的混合数据流量作为输入,获取其在梅尔频率上的倒谱系数作为初始特征。
3.根据权利要求2中所述的LDoS攻击检测方法,其特征在于,步骤1中的梅尔倒谱特征提取方法是从低频到高频的频带内,按照临界带宽的大小由密到疏安排一组带通滤波器对输入数据进行滤波,将每个带通滤波器输出的能量进一步处理后就可以得到梅尔倒谱系数。
4.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2中根据步骤1中已获取的初始特征,使用互信息特征选择算法对初始特征择优排序,选择前k个特征作为择优后的特征。
5.根据权利要求4中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2中的互信息选择算法是采用步进的方法,每次选择一个与其他特征具有最大互信息的特征,直到选择出前k个特征使得算法性能达到最优。
6.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤3中根据步骤2中获取的择优特征构建基于质量估计的半空间森林模型。包括三个步骤:
步骤3.1、从输入的训练数据中随机挑选样本子集,并生成半空间树所需的工作空间;
步骤3.2、使用从步骤3.1挑选的样本子集在工作空间中生成第i棵半空间树;
步骤3.3、将步骤3.2生成的第i棵半空间树汇入半空间森林,直到生成的半空间树的数量满足半空间森林的要求数量则完成森林模型构建。
7.根据权利要求6中所述的LDoS攻击检测方法,其特征在于,步骤3.1中训练数据为从多个时间片内获取的多维特征映射到多维空间中的数据点的集合。
8.根据权利要求6中所述的LDoS攻击检测方法,其特征在于,步骤3.2中的半空间树实质为一个二叉树,该树的内部节点产生一个空间分裂节点将其所在的空间分为两个相同大小的空间,外部节点阻止进一步的分裂,且所有的节点都记录了训练数据在各自空间区域的质量。
9.根据权利要求6中所述的LDoS攻击检测方法,其特征在于,步骤3.3中的半空间森林为由若干棵半空间树构成的树的集合。
10.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤4中的检测判定准则为:若该时间片内的异常量大于预先存储的异常量阈值,则该时间片内存在LDoS攻击,若该时间片内的异常量小于预先存储的异常量阈值,则该时间片内不存在LDoS攻击。
CN202010183134.7A 2020-03-16 2020-03-16 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法 Active CN111444501B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010183134.7A CN111444501B (zh) 2020-03-16 2020-03-16 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010183134.7A CN111444501B (zh) 2020-03-16 2020-03-16 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN111444501A true CN111444501A (zh) 2020-07-24
CN111444501B CN111444501B (zh) 2023-04-18

Family

ID=71653998

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010183134.7A Active CN111444501B (zh) 2020-03-16 2020-03-16 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN111444501B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073402A (zh) * 2020-08-31 2020-12-11 新华三信息安全技术有限公司 一种流量攻击检测方法及装置
CN113242225A (zh) * 2021-04-30 2021-08-10 北京理工大学 基于流数据的黎曼流形结构的DDoS攻击检测方法
CN115328093A (zh) * 2022-08-26 2022-11-11 中国矿业大学 一种双时间尺度工业信息物理系统的安全状态估计方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080295175A1 (en) * 2007-05-25 2008-11-27 Nirwan Ansari PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块
CN103746965A (zh) * 2013-12-19 2014-04-23 柳州职业技术学院 一种基于数据流量的低速率拒绝服务攻击的方法
CN109150838A (zh) * 2018-07-24 2019-01-04 湖南大学 一种针对慢速拒绝服务攻击的综合检测方法
CN109274637A (zh) * 2017-07-17 2019-01-25 卡巴斯基实验室股份制公司 确定分布式拒绝服务攻击的系统和方法
CN109726553A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于snn-lof算法的慢速拒绝服务攻击检测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080295175A1 (en) * 2007-05-25 2008-11-27 Nirwan Ansari PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块
CN103746965A (zh) * 2013-12-19 2014-04-23 柳州职业技术学院 一种基于数据流量的低速率拒绝服务攻击的方法
CN109274637A (zh) * 2017-07-17 2019-01-25 卡巴斯基实验室股份制公司 确定分布式拒绝服务攻击的系统和方法
CN109150838A (zh) * 2018-07-24 2019-01-04 湖南大学 一种针对慢速拒绝服务攻击的综合检测方法
CN109726553A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于snn-lof算法的慢速拒绝服务攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
周蕾: "SDN环境下LDoS攻击检测与防御机制研究" *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073402A (zh) * 2020-08-31 2020-12-11 新华三信息安全技术有限公司 一种流量攻击检测方法及装置
CN112073402B (zh) * 2020-08-31 2022-05-27 新华三信息安全技术有限公司 一种流量攻击检测方法及装置
CN113242225A (zh) * 2021-04-30 2021-08-10 北京理工大学 基于流数据的黎曼流形结构的DDoS攻击检测方法
CN113242225B (zh) * 2021-04-30 2021-12-31 北京理工大学 基于流数据的黎曼流形结构的DDoS攻击检测方法
CN115328093A (zh) * 2022-08-26 2022-11-11 中国矿业大学 一种双时间尺度工业信息物理系统的安全状态估计方法
CN115328093B (zh) * 2022-08-26 2023-09-29 中国矿业大学 一种双时间尺度工业信息物理系统的安全状态估计方法

Also Published As

Publication number Publication date
CN111444501B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN111444501B (zh) 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
CN107395590B (zh) 一种基于pca和随机森林分类的入侵检测方法
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
US8352393B2 (en) Method and system for evaluating tests used in operating system fingerprinting
CN109729091A (zh) 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN111817982A (zh) 一种面向类别不平衡下的加密流量识别方法
CN108874927A (zh) 基于超图和随机森林的入侵检测方法
CN103870751A (zh) 入侵检测方法及系统
CN109309675A (zh) 一种基于卷积神经网络的网络入侵检测方法
JP2006079479A (ja) 時系列データ判定方法
CN115643035A (zh) 基于多源日志的网络安全态势评估方法
CN113568368B (zh) 一种工控数据特征重排序算法的自适应确定方法
Chen et al. ADASYN− Random forest based intrusion detection model
Ghalehgolabi et al. Intrusion detection system using genetic algorithm and data mining techniques based on the reduction
CN113205134A (zh) 一种网络安全态势预测方法及系统
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN110598794A (zh) 一种分类对抗的网络攻击检测方法及系统
CN114070593A (zh) 一种基于多级告警和联动防御的虚拟网络安全管控方法
Xue Research on network security intrusion detection with an extreme learning machine algorithm
CN109194622B (zh) 一种基于特征效率的加密流量分析特征选择方法
CN111885011A (zh) 一种业务数据网络安全分析挖掘的方法及系统
CN112039907A (zh) 一种基于物联网终端评测平台的自动测试方法及系统
CN114884755B (zh) 一种网络安全防护方法、装置、电子设备及存储介质
CN115277159B (zh) 一种基于改进随机森林的工业互联网安全态势评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant