CN111600876A - 一种基于mfopa算法的慢速拒绝服务攻击检测方法 - Google Patents

一种基于mfopa算法的慢速拒绝服务攻击检测方法 Download PDF

Info

Publication number
CN111600876A
CN111600876A CN202010406379.1A CN202010406379A CN111600876A CN 111600876 A CN111600876 A CN 111600876A CN 202010406379 A CN202010406379 A CN 202010406379A CN 111600876 A CN111600876 A CN 111600876A
Authority
CN
China
Prior art keywords
network
service attack
algorithm
mfopa
slow denial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010406379.1A
Other languages
English (en)
Other versions
CN111600876B (zh
Inventor
汤澹
满坚平
代锐
詹思佳
张斯琦
刘宇
王思苑
解子朝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202010406379.1A priority Critical patent/CN111600876B/zh
Publication of CN111600876A publication Critical patent/CN111600876A/zh
Application granted granted Critical
Publication of CN111600876B publication Critical patent/CN111600876B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于多特征融合离群概率分析(MFOPA)算法的慢速拒绝服务攻击检测方法,属于计算机网络安全领域。其中所述方法包括:对网络流量进行实时采样,并分类统计网络流量的数据包的数量;提取网络流量的时域和频域的多种特征来构造联合特征,并以此作为MFOPA算法的输入数据;利用MFOPA算法对联合特征进行特征融合,从而形成新的低维特征集,并通过离群概率分析来计算该新特征集的离群概率;制定相应的攻击判定标准,并根据离群概率是否超过阈值来确定网络流量中是否包含慢速拒绝服务攻击流量。所述方法能有效地检测慢速拒绝服务攻击,且具有较高的检测准确率、较低的误报率和漏报率、较强的自适应能力。

Description

一种基于MFOPA算法的慢速拒绝服务攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于多特征融合离群概率分析(MFOPA)算法的慢速拒绝服务攻击检测方法。
背景技术
慢速拒绝服务攻击,是一类主要针对TCP协议的拒绝服务攻击。不同于传统的拒绝服务攻击持续地发送大量的恶意数据,慢速拒绝服务攻击主要集中在脉冲期间发送攻击序列,而其他大部分时间保持静默状态。这种攻击模式导致慢速拒绝服务攻击的平均攻击速率远远低于传统的拒绝服务攻击的平均攻击速率,从而使得慢速拒绝服务攻击的网络流量更容易隐藏在正常网络流量中。并且慢速拒绝服务攻击期间,网络频繁启动拥塞控制机制,导致网络反复在稳态和非稳态转换,大幅度地降低整个网络的吞吐量,严重影响目标的服务质量。因此,慢速拒绝服务攻击严重危害网络的安全性和可用性。
目前,针对慢速拒绝服务攻击的研究和检测已经有了一些成果。但是,慢速拒绝服务攻击检测仍普遍存在两个方面的问题:第一,相比于传统的拒绝服务攻击,慢速拒绝服务攻击的平均攻击速率更低,隐蔽性更强。因此,传统的拒绝服务攻击检测方法无法对慢速拒绝服务攻击进行有效地检测,导致慢速拒绝服务攻击对网络安全构成严重的威胁;第二,已有的慢速拒绝服务攻击检测方法还有一些不足仍然需要进一步完善,比如检测准确率有待进一步提高,误报率和漏报率有待进一步降低,自适应能力有待进一步加强等。因此,研究和探索一种具有更高的检测准确率、更低的误报率和漏报率、更强的自适应能力的慢速拒绝服务攻击检测方法是本发明的目标。
本发明针对已有的慢速拒绝服务攻击检测方法存在的检测准确率不够高,误报率和漏报率不够低,自适应能力不够强等问题,提出了一种基于多特征融合离群概率分析(MFOPA)算法的慢速拒绝服务攻击检测方法,以降低慢速拒绝服务攻击对网络安全所造成的危害,提高网络的安全性和可用性。该检测方法通过对网络流量进行时域和频域分析来明确网络流量特征在正常网络和存在慢速拒绝服务攻击的网络中所表现出的差异。由于单一网络流量特征容易因偶然因素影响检测效果,而联合特征更能准确地刻画网络中慢速拒绝服务攻击存在的可能性,因此,该检测方法通过联合多个网络流量特征来进行慢速拒绝服务攻击检测。据此,该检测方法从时域和频域等角度提取多个能表征网络状态的网络流量的时域和频域特征(包括TCP流量的均值、TCP流量的变异系数、TCP流量的信噪比、TCP流量和总流量的相关性、TCP流量的能量熵),并构造联合特征。该检测方法利用MFOPA算法对联合特征进行多特征融合,并对新产生的低维特征集进行离群概率分析以计算离群概率。该离群概率可用于检测慢速拒绝服务攻击。该检测方法具有较高的检测准确率,较低的误报率和漏报率。并且,该检测方法中的阈值是根据公式计算所得的,而不是经验值。这种方式可以提高自适应性,使得该检测方法具有较好的自适应能力。因此,该检测方法可适用于检测慢速拒绝服务攻击,且具有较好的检测性能。
发明内容
本发明针对现有慢速拒绝服务攻击检测方法存在的检测准确率不够高,误报率和漏报率不够低,自适应能力不够强等不足,提出了一种基于MFOPA算法的慢速拒绝服务攻击检测方法。该检测方法根据网络流量的时域和频域特征在正常网络和存在慢速拒绝服务攻击的网络中的差异,利用MFOPA算法对网络流量的联合特征进行多特征融合,并对新特征集进行离群概率分析。该检测方法将网络流量特征的离群概率与计算所得的阈值进行比较,并依据比较结果判断网络流量中是否包含慢速拒绝服务攻击流量,从而达到检测慢速拒绝服务攻击的目的。该检测方法具有检测准确率较高,误报率和漏报率较低,自适应能力较强等特点。因此,该检测方法可以在慢速拒绝服务攻击检测方面得到广泛的应用。
本发明为实现上述目标所采用的技术方案为:利用MFOPA算法对网络流量进行慢速拒绝服务攻击检测。该检测方法通过MFOPA算法对网络流量时域和频域的联合特征进行多特征融合,使其形成一个新的低维特征集,并通过离群概率分析计算该特征集的离群概率。离群概率可用于与阈值相比较,以确定网络流量中是否包含慢速拒绝服务攻击流量。因此,该检测方法主要通过以下四个步骤进行慢速拒绝服务攻击检测:网络流量采集、联合特征构造、离群概率分析、攻击流量确认。
1.网络流量采集。由于存在慢速拒绝服务攻击的网络流量分布的离散性异于正常网络流量分布的离散性,因此,网络流量可以作为慢速拒绝服务攻击检测的研究对象。在一个检测单元的时间范围内,该检测方法按照一定的时间间隔对网络设备(包括路由器、交换机等)的各关键节点的网络流量进行实时采样,并根据网络流量的类型分类统计网络流量的数据包的数量。
2.联合特征构造。该检测方法对采集到的网络流量分别从时域和频域等不同角度进行分析。由于正常网络和存在慢速拒绝服务攻击的网络中网络流量特征存在一定的差异,并且单一的网络流量特征容易受到偶然因素的影响使检测效果减弱,而联合多个网络流量特征进行慢速拒绝服务攻击检测可以获得更好的检测性能,因此,该检测方法提取网络流量的多个时域和频域特征来构造联合特征,并以此作为MFOPA算法的输入数据。网络流量的时域和频域特征包括:TCP流量的均值、TCP流量的变异系数、TCP流量的信噪比、TCP流量和总流量的相关性、TCP流量的能量熵。各网络流量特征在正常网络和存在慢速拒绝服务攻击的网络中的差异及其具体计算方式描述如下:
(1)慢速拒绝服务攻击者利用TCP协议的漏洞周期性地发送攻击数据包,反复触发超时重传机制,导致网络流量频繁地在骤降和上升两种状态切换,严重降低TCP流量的均值。因此,存在慢速拒绝服务攻击的网络中TCP流量的均值低于正常网络中TCP流量的均值。TCP流量的均值,记为M。其计算公式如下:
Figure BDA0002491467300000031
其中,Tt为t时刻的TCP流量。
(2)正常网络中,网络流量比较平稳,波动范围比较小。但是,当网络遭受到慢速拒绝服务攻击时,突发的脉冲流量不仅使TCP流量下降,而且导致整体网络流量的波动幅度增大。因此,存在慢速拒绝服务攻击的网络中TCP流量的变异系数大于正常网络中TCP流量的变异系数。TCP流量的变异系数,记为V。其计算公式如下:
Figure BDA0002491467300000032
其中,M和σ分别为TCP流量的均值和标准差,Tt为t时刻的TCP流量。
(3)由于正常网络和存在慢速拒绝服务攻击的网络中的TCP流量的均值和方差存在一定的差异,因此,TCP流量的信噪比也会有明显的不同。即,存在慢速拒绝服务攻击的网络中TCP流量的信噪比低于正常网络中TCP流量的信噪比。
在时间段t内,TCP流量序列X=(T1,T2,...,Tn)可以划分为两个子序列X1=(T1,T2,...,Tn1)和X2=(Tn1+1,Tn1+2,...,Tn)。其中,n、n1、n2分别为序列X、X1、X2的长度(n1=n2),|M1-M2|为TCP流量序列X的变化信号,(σ12)为TCP流量序列X的噪声。TCP流量的信噪比,记为S。其计算公式如下:
Figure BDA0002491467300000033
其中,M1、M2分别为n1序列和n2序列中TCP流量的均值,σ1、σ2分别为n1序列和n2序列中TCP流量的标准差,Tt为t时刻的TCP流量。
(4)由于网络上大部分数据包通常采用的是TCP协议,因此,正常网络中,TCP流量和总流量存在较强的相关关系。而慢速拒绝服务攻击导致TCP流量起伏变化,使TCP流量和总流量的相关性减弱。因此,存在慢速拒绝服务攻击的网络中TCP流量和总流量的相关性弱于正常网络中TCP流量和总流量的相关性。TCP流量和总流量的相关性,记为P。其计算公式如下:
Figure BDA0002491467300000041
其中,cov(T(t),A(t))为t时段TCP流量T(t)和总流量A(t)的协方差,D(T(t))、D(A(t))分别为t时段TCP流量T(t)和总流量A(t)的方差。
(5)相比于正常网络,存在慢速拒绝服务攻击的网络中网络流量的变化程度更复杂,幅值波动更大,导致网络流量的能量熵也随之增大。因此,存在慢速拒绝服务攻击的网络中TCP流量的能量熵大于正常网络中TCP流量的能量熵。TCP流量的能量熵,记为H。其能量熵的计算公式如下:
Figure BDA0002491467300000042
其中,E(i)为信号在J个尺度上的能量,E为信号的总能量之和,Dk(i)为小波包分解系数(i,k=0,1,...,2j-1-1)。
3.离群概率分析。该检测方法通过MFOPA算法对网络流量进行慢速拒绝服务攻击检测。MFOPA算法主要涵盖两个方面的功能:多特征融合、离群概率分析。多特征融合是MFOPA算法的基础,也是离群概率分析的前提,主要通过KPCA算法来实现其功能。离群概率分析是MFOPA算法的关键,主要通过WSOS算法(一种改进的随机离群选择SOS算法)实现其功能。其中,离群概率分析是该检测方法重要的步骤,主要可以分为以下四个阶段:获取相异度矩阵、获取关联度矩阵、获取关联概率矩阵、计算离群概率。离群概率分析的输入数据(经过多特征融合之后产生的新的特征集)可以通过这四个阶段转为离群概率输出。因此,该检测方法利用MFOPA算法对联合特征进行多特征融合,使原来的多维特征变成新的低维特征集,从而在保留原有特征信息的基础上,还能压缩数据,减少数据量。该低维特征集可通过离群概率分析得到其离群概率。该离群概率可以作为后续慢速拒绝服务攻击流量确认的决定性依据。
对于给定的一个m维特征集数据x=[x1,x2,...,xn∈Rm],离群概率分析的具体步骤如下:
(1)获取相异度矩阵。离群概率分析主要通过加权欧氏距离来计算输入数据的相异度矩阵。相异度矩阵中的元素dij的计算公式如下:
Figure BDA0002491467300000051
(2)获取关联度矩阵。关联度矩阵中的元素aij为数据点xi与数据点xj的相似性,计算公式如下:
Figure BDA0002491467300000052
(3)获取关联概率矩阵。关联概率矩阵中的元素bij为数据点xi与数据点xj作为邻居的概率,计算公式如下:
Figure BDA0002491467300000053
(4)计算离群概率。数据点xi属于离群数据集C0的概率表示为:
Figure BDA0002491467300000054
则MFOPA算法中的离群概率可以定义为:
θop(xi)≡p(xi∈C0)
4.攻击流量确认。该检测方法制定相应的攻击判定标准,并根据网络流量特征的离群概率来确定网络流量中是否包含慢速拒绝服务攻击流量。具体是:1)制定相应的慢速拒绝服务攻击判定标准。由于正常网络和存在慢速拒绝服务攻击的网络中网络流量特征的离群概率存在一定的差异,即存在慢速拒绝服务攻击的网络中网络流量特征的离群概率明显大于正常网络流量特征的离群概率,因此,离群概率可以用于进行慢速拒绝服务攻击检测。离群概率值越大,表示网络流量中包含慢速拒绝服务攻击流量的可能性越大。离群概率值越小,表示网络流量中包含慢速拒绝服务攻击流量的可能性越小。为了更有效地检测慢速拒绝服务攻击,该检测方法需要制定相应的攻击判定标准,用以在检测过程中进行对照。2)参照攻击判定标准,利用离群概率来确定网络流量中是否包含慢速拒绝服务攻击流量。由于离群概率可以表征网络流量中慢速拒绝服务攻击流量存在的可能性,因此,该检测方法将离群概率与事先计算所得的阈值进行对比与分析,并依据攻击判定标准进行慢速拒绝服务攻击检测。若离群概率超过阈值,则表示网络流量中包含慢速拒绝服务攻击流量。若离群概率未超过阈值,则表示网络流量中不包含慢速拒绝服务攻击流量。
有益效果
该检测方法具有检测准确率较高,误报率和漏报率较低,自适应能力较强等特点。因此,该检测方法在慢速拒绝服务攻击检测领域的应用是行之有效的。
附图说明
图1为MFOPA算法的模型示意图。该图主要描述了MFOPA算法的模型的两个功能模块:多特征融合、离群概率分析。
图2为离群概率分析的结构示意图。该图主要描述了离群概率分析所包含的四个部分:获取相异度矩阵、获取关联度矩阵、获取关联概率矩阵、计算离群概率。
图3为一种基于MFOPA算法的慢速拒绝服务攻击检测方法的总体框架示意图。该图主要描述了该检测方法的总体框架的四个步骤:网络流量采集、联合特征构造、离群概率分析以及攻击流量确认。
图4为一种基于MFOPA算法的慢速拒绝服务攻击检测方法的具体流程示意图。该图主要描述了该检测方法从网络流量采集到攻击流量确认的详细过程。
具体实施方式
下面结合附图对本发明进一步说明。
如图1所示,MFOPA算法的模型主要由多特征融合与离群概率分析两个功能模块所构成。MFOPA算法可以将联合特征进行多特征融合,并对新产生的特征集进行离群概率分析,从而获得网络流量特征的离群概率。
如图2所示,离群概率分析的结构主要由获取相异度矩阵、获取关联度矩阵、获取关联概率矩阵、计算离群概率这四个部分组成。通过离群概率分析的四个部分,输入的新特征集可以转化为离群概率输出。
如图3所示,一种基于MFOPA算法的慢速拒绝服务攻击检测方法的总体框架可划分为网络流量采集、联合特征构造、离群概率分析以及攻击流量确认四个步骤。该检测方法通过这四个步骤对网络流量进行慢速拒绝服务攻击检测。
如图4所示,一种基于MFOPA算法的慢速拒绝服务攻击检测方法的具体流程为:首先,该检测方法按照一定的时间间隔对网络流量进行实时采样,并分类统计网络流量的数据包的数量。其中,训练数据主要用于计算所需的阈值,而测试数据主要用于验证该检测方法的有效性。其次,该检测方法对采集到的网络流量从时域和频域两个方面进行分析,同时提取网络流量的多个时域和频域特征用来构造联合特征,并以此作为MFOPA算法的输入数据。然后,该检测方法利用MFOPA算法对联合特征进行多特征融合形成新的低维特征集,并通过对该低维特征集进行离群概率分析来计算其离群概率,作为后续慢速拒绝服务攻击流量确认的依据。最后,该检测方法根据正常网络和存在慢速拒绝服务攻击的网络中网络流量特征的离群概率的差异来制定相应的攻击判定标准,并根据离群概率来确定网络流量中是否包含慢速拒绝服务攻击流量。若离群概率高于阈值,则表示网络流量中包含慢速拒绝服务攻击流量。若离群概率低于阈值,则表示网络流量中不包含慢速拒绝服务攻击流量。

Claims (7)

1.一种基于多特征融合离群概率分析(MFOPA)算法的慢速拒绝服务攻击检测方法,其特征在于,该方法具体包括以下四个步骤:
步骤1、网络流量采集:在一个检测单元的时间范围内,按照一定的时间间隔对网络设备的各关键节点的网络流量进行实时采样,并分类统计网络流量的数据包的数量;
步骤2、联合特征构造:主要从时域和频域的角度上,对采集到的网络流量进行分析,并提取网络流量的多个时域和频域特征用以构造联合特征;
步骤3、离群概率分析:利用MFOPA算法对构造的联合特征进行多特征融合,形成新的低维特征集,并通过离群概率分析计算该特征集的离群概率;
步骤4、攻击流量确认:制定相应的攻击判定标准,并根据网络流量特征的离群概率来确定网络流量中是否包含慢速拒绝服务攻击流量。
2.根据权利要求1中所述的基于MFOPA算法的慢速拒绝服务攻击检测方法,其特征在于,步骤1中在一个检测单元的时间范围内,按照一定的时间间隔对网络设备(包括路由器、交换机等)的各个关键节点的网络流量进行实时采样,并根据网络流量的类型来分别统计网络流量的数据包的数量。由于存在慢速拒绝服务攻击的网络相比于正常网络而言,网络流量分布的离散性更加明显,因此,采集到的网络流量可以作为慢速拒绝服务攻击检测的研究对象。
3.根据权利要求1中所述的基于MFOPA算法的慢速拒绝服务攻击检测方法,其特征在于,步骤2中对步骤1采集到的网络流量从时域和频域两个方面进行分析,同时提取网络流量的多个时域和频域特征来构造联合特征。由于正常网络和存在慢速拒绝服务攻击的网络中网络流量特征存在一定的差异,并且单一的网络流量特征容易受到偶然因素的影响使检测效果减弱,而联合多个网络流量特征进行慢速拒绝服务攻击检测可以获得更好的检测性能,因此,联合特征可作为MFOPA算法的输入数据。网络流量的时域和频域特征主要包括TCP流量的均值、TCP流量的变异系数、TCP流量的信噪比、TCP流量和总流量的相关性和TCP流量的能量熵。
4.根据权利要求1中所述的基于MFOPA算法的慢速拒绝服务攻击检测方法,其特征在于,步骤3中根据正常网络和存在慢速拒绝服务攻击的网络中网络流量的时域和频域特征的差异,利用MFOPA算法对网络流量进行慢速拒绝服务攻击检测。MFOPA算法主要涵盖两个功能模块:一是多特征融合,二是离群概率分析。多特征融合是MFOPA算法的基础,也是离群概率分析的前提,主要通过KPCA算法来实现其功能。离群概率分析是MFOPA算法的关键,主要通过WSOS算法(一种改进的随机离群选择SOS算法)实现其功能。慢速拒绝服务攻击检测的重要步骤是离群概率分析。MFOPA算法对联合特征进行多特征融合并形成新的低维特征集,使其在保留原有特征信息的基础上,还能压缩数据,简化数据量。该低维特征集可通过离群概率分析来获得其离群概率。即离群概率分析的输入数据(经过多特征融合之后产生的新的特征集)可以转为离群概率输出。该离群概率作为后续慢速拒绝服务攻击流量确认的依据。
5.根据权利要求1中所述的基于MFOPA算法的慢速拒绝服务攻击检测方法,其特征在于,步骤4中制定相应的攻击判定标准,并根据网络流量特征的离群概率来确定网络流量中是否包含慢速拒绝服务攻击流量,包括两个步骤:
步骤4.1、制定相应的慢速拒绝服务攻击判定标准;
步骤4.2、参照攻击判定标准,利用离群概率确定网络流量中是否包含慢速拒绝服务攻击流量。
6.根据权利要求5中所述的基于MFOPA算法的慢速拒绝服务攻击检测方法,其特征在于,步骤4.1中依据正常网络和存在慢速拒绝服务攻击的网络中网络流量特征的离群概率的差异,制定相应的攻击判定标准,以明确网络流量中包含慢速拒绝服务攻击流量的可能性。该攻击判定标准可作为后续对网络流量进行慢速拒绝服务攻击检测的判断准则。离群概率值越大,表示网络流量中包含慢速拒绝服务攻击流量的可能性越大。离群概率值越小,表示网络流量中包含慢速拒绝服务攻击流量的可能性越小。
7.根据权利要求5中所述的基于MFOPA算法的慢速拒绝服务攻击检测方法,其特征在于,步骤4.2中依照步骤4.1中的攻击判定标准,离群概率可与计算所得的阈值进行对比与分析,以确定网络流量中是否包含慢速拒绝服务攻击流量,从而实现检测慢速拒绝服务攻击的目标。若离群概率超过阈值,则表示网络流量中包含慢速拒绝服务攻击流量。若离群概率未超过阈值,则表示网络流量中不包含慢速拒绝服务攻击流量。
CN202010406379.1A 2020-05-14 2020-05-14 一种基于mfopa算法的慢速拒绝服务攻击检测方法 Active CN111600876B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010406379.1A CN111600876B (zh) 2020-05-14 2020-05-14 一种基于mfopa算法的慢速拒绝服务攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010406379.1A CN111600876B (zh) 2020-05-14 2020-05-14 一种基于mfopa算法的慢速拒绝服务攻击检测方法

Publications (2)

Publication Number Publication Date
CN111600876A true CN111600876A (zh) 2020-08-28
CN111600876B CN111600876B (zh) 2021-07-27

Family

ID=72188949

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010406379.1A Active CN111600876B (zh) 2020-05-14 2020-05-14 一种基于mfopa算法的慢速拒绝服务攻击检测方法

Country Status (1)

Country Link
CN (1) CN111600876B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112202791A (zh) * 2020-09-28 2021-01-08 湖南大学 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法
CN112543183A (zh) * 2020-11-17 2021-03-23 西安交通大学 基于方向性似然比检验的网络拒绝服务攻击检测方法
CN113179256A (zh) * 2021-04-12 2021-07-27 中国电子科技集团公司第三十研究所 一种时间同步系统时间信息安全融合方法及系统
CN114338206A (zh) * 2021-12-31 2022-04-12 曙光网络科技有限公司 Ddos攻击检测方法、装置、设备以及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161241A (zh) * 2016-08-25 2016-11-23 北京科技大学 一种无线传感器网络路由层低速洪泛攻击的检测方法
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN110177115A (zh) * 2019-06-10 2019-08-27 中国民航大学 基于多特征融合的LDoS攻击检测方法
US20190349472A1 (en) * 2016-08-02 2019-11-14 Pindrop Security, Inc. Method and apparatus for threat identification through analysis of communications isgnaling events, and participants
CN110650145A (zh) * 2019-09-26 2020-01-03 湖南大学 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法
CN110719270A (zh) * 2019-09-26 2020-01-21 湖南大学 一种基于fcm算法的慢速拒绝服务攻击检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190349472A1 (en) * 2016-08-02 2019-11-14 Pindrop Security, Inc. Method and apparatus for threat identification through analysis of communications isgnaling events, and participants
CN106161241A (zh) * 2016-08-25 2016-11-23 北京科技大学 一种无线传感器网络路由层低速洪泛攻击的检测方法
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN110177115A (zh) * 2019-06-10 2019-08-27 中国民航大学 基于多特征融合的LDoS攻击检测方法
CN110650145A (zh) * 2019-09-26 2020-01-03 湖南大学 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法
CN110719270A (zh) * 2019-09-26 2020-01-21 湖南大学 一种基于fcm算法的慢速拒绝服务攻击检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DAN TANG ETC: "MF-CNN: a New Approach for LDoS Attack Detection Based", 《SPRINGER SCIENCE+BUSINESS MEDIA, LLC, PART OF SPRINGER NATURE 2020》 *
DAN TANG ETC: "PCA-SVM-based Approach of detecting low-rate-Dos attack ", 《2019 IEEE 21ST INTERNATIONAL CONFERENCE ON HIGH PERFORMANCE COMPUTING AND COMMUNICATIONS》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112202791A (zh) * 2020-09-28 2021-01-08 湖南大学 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法
CN112202791B (zh) * 2020-09-28 2021-07-27 湖南大学 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法
CN112543183A (zh) * 2020-11-17 2021-03-23 西安交通大学 基于方向性似然比检验的网络拒绝服务攻击检测方法
CN112543183B (zh) * 2020-11-17 2021-11-19 西安交通大学 基于方向性似然比检验的网络拒绝服务攻击检测方法
CN113179256A (zh) * 2021-04-12 2021-07-27 中国电子科技集团公司第三十研究所 一种时间同步系统时间信息安全融合方法及系统
CN113179256B (zh) * 2021-04-12 2022-02-08 中国电子科技集团公司第三十研究所 一种时间同步系统时间信息安全融合方法及系统
CN114338206A (zh) * 2021-12-31 2022-04-12 曙光网络科技有限公司 Ddos攻击检测方法、装置、设备以及存储介质
CN114338206B (zh) * 2021-12-31 2024-05-07 曙光网络科技有限公司 Ddos攻击检测方法、装置、设备以及存储介质

Also Published As

Publication number Publication date
CN111600876B (zh) 2021-07-27

Similar Documents

Publication Publication Date Title
CN111600876B (zh) 一种基于mfopa算法的慢速拒绝服务攻击检测方法
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
WO2022011977A1 (zh) 一种网络异常检测方法、系统、终端以及存储介质
Peng et al. A detection method for anomaly flow in software defined network
CN111107102A (zh) 基于大数据实时网络流量异常检测方法
Brauckhoff et al. Anomaly extraction in backbone networks using association rules
CN108632224B (zh) 一种apt攻击检测方法和装置
CN105245503B (zh) 隐马尔可夫模型检测LDoS攻击方法
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及系统
CN104660464B (zh) 一种基于非广延熵的网络异常检测方法
CN107370752B (zh) 一种高效的远控木马检测方法
CN111817982A (zh) 一种面向类别不平衡下的加密流量识别方法
CN110691073A (zh) 一种基于随机森林的工控网络暴力破解流量检测方法
CN112235288B (zh) 一种基于gan的ndn网络入侵检测方法
CN114021135B (zh) 一种基于R-SAX的LDoS攻击检测与防御方法
CN108683686A (zh) 一种随机子域名DDoS攻击检测方法
KR100615080B1 (ko) 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법
CN111262849A (zh) 一种基于流表信息的网络异常流量行为识别阻断的方法
CN109194608B (zh) 一种基于流的DDoS攻击与闪拥事件检测方法
Yan et al. Low-rate dos attack detection based on improved logistic regression
CN113645182B (zh) 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN111600877A (zh) 一种基于MF-Ada算法的LDoS攻击检测方法
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN111294342A (zh) 一种软件定义网络中DDos攻击的检测方法及系统
CN106411829A (zh) 基于小波能量谱和组合神经网络的LDoS攻击检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant