CN111600878A - 一种基于maf-adm的低速率拒绝服务攻击检测方法 - Google Patents
一种基于maf-adm的低速率拒绝服务攻击检测方法 Download PDFInfo
- Publication number
- CN111600878A CN111600878A CN202010406757.6A CN202010406757A CN111600878A CN 111600878 A CN111600878 A CN 111600878A CN 202010406757 A CN202010406757 A CN 202010406757A CN 111600878 A CN111600878 A CN 111600878A
- Authority
- CN
- China
- Prior art keywords
- detection
- sample
- low
- frequency
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明公开了一种基于多特征自适应融合异常检测算法(MAF‑ADM)的低速率拒绝服务攻击检测方法,属于计算机网络安全领域。其中所述方法包括四个步骤,分别是样本采集、特征提取、异常检测模型构建和异常判定。首先在瓶颈链路中设置样本采集点收集网络流量数据并从中提取TCP流量数据。然后对TCP流量数据进行短时傅里叶变换来获取其对应的时频分布,选取其中重要的统计特征作为检测依据。最后通过子模型构建、加权融合和平滑处理与阈值计算三个模块构建异常检测模型,以上述异常检测模型的输出为依据判断是否发生低速率拒绝服务攻击。本发明提出的低速率拒绝服务攻击检测方法能克服复杂网络环境中偶然因素所带来的检测性能下降等问题,具有较好的自适应性、较高的准确率以及较低的误报率和漏报率。
Description
技术领域
本发明涉及计算机网络安全领域,具体涉及一种基于多特征自适应融合异常检测算法(MAF-ADM)的低速率拒绝服务攻击检测方法。
背景技术
低速率拒绝服务攻击是一种“狡猾”的拒绝服务攻击方式,其主要通过周期性地向目标服务器发送短时高速脉冲式攻击流来降低其服务质量。相比于其他种类的拒绝服务攻击方式,这类攻击流通常具有更低的平均攻击速率,能很好隐藏于网络流量中,传统的拒绝服务攻击检测方法难以起效。因此,对低速率拒绝服务攻击检测方法的研究对网络空间安全具有重要意义。
现有的低速率拒绝服务攻击检测方法按照是否需要事先收集攻击流特征被大致归纳为两类,即基于攻击流特征的攻击检测方法和基于异常检测的攻击检测方法。前者的常见操作在于对路由器的主动队列管理算法做改进,添加与攻击流特征相匹配的模块,从而达到在保护合法TCP流的同时过滤攻击流的目的。其优点在于算法简单容易理解,但缺点在于对复杂多变的攻击方式而言,有些攻击特征并不明确,因此存在漏报率高的问题。后者主要通过信息度量方法、统计方法和频谱分析等方式来分析时间序列,进而结合机器学习等建立攻击检测模型。相比于前者,异常检测算法能对攻击流所引起的网络流量时间序列异常实现更为细致的研究,从而实现对低速率拒绝服务攻击的有效检测。这类算法提升了准确率,但还普遍存在以下问题:(1)缺乏自适应性,如需要依赖包含攻击样本的训练数据来建立模型,阈值等关键参数依赖经验,不能根据网络环境的变换适时调整等。(2)检测性能不高,如仅使用时域或频域的特征,将发生低速率拒绝服务攻击的样本漏判为正常样本;缺少对网络流量噪声的处理,使正常样本被误判为低速率拒绝服务攻击样本等。
本发明针对现有检测方法存在的自适应能力弱、检测准确度不高、误报率和漏报率高等问题,提出了一种基于MAF-ADM的低速率拒绝服务攻击检测方法。将时频分析技术用于分析网络流量,提取其中重要的统计特征作为检测依据,进而构建异常检测模型实现对低速率拒绝服务攻击的检测。与现有的低速率拒绝服务攻击检测方法相比较,本方法具有更好的自适应性、更高的准确率、更低的误报率和漏报率。
发明内容
本发明针对现有检测方法存在的自适应能力弱、检测准确度不高、误报率和漏报率高等问题,提出了一种基于MAF-ADM的低速率拒绝服务攻击检测方法。首先使用短时傅里叶变换对采集到的TCP流量进行时频变换,获取其中重要的统计特征作为低速率拒绝服务攻击检测的依据。然后进一步提出了基于多特征自适应融合的异常检测方法。通过孤立森林算法为正常数据构建子模型,对其动态加权融合使其具备良好的自适应性,再使用加权移动平均算法去除网络环境中偶然因素的影响,进而建立判定准则来对待检测样本进行判定,最后以此为依据来识别低速率拒绝服务攻击。与现有的低速率拒绝服务攻击检测方法相比较,本方法具有更好的自适应性、更高的准确率以及更低的误报率和漏报率。
本发明为实现上述目标所采用的技术方案为:基于MAF-ADM的低速率拒绝服务攻击检测方法主要包括以下四个步骤:样本采集、特征提取、异常检测模型构建和攻击判定。
步骤1、样本采集:在瓶颈链路中部署流量采集点,实时获取单位时间内的网络流量,提取TCP流量数据形成原始样本x(k),k=0,1...N-1。
步骤2、特征提取:使用时频分析技术处理步骤1获取的原始样本,获取原始样本对应的时频分布,进一步提取其中重要的统计特征作为检测依据。具体步骤如下:
(1)步骤1中采集的原始样本的离散形式表示为x(k),k=0,1...N-1,对其使用短时傅里叶变换获取对应的时频分布,再将其从直流部分到最高频率,按1/8,1/8,1/4,1/2的比例划分为低频、中低频、中高频和高频。其中对原始样本进行短时傅里叶变换的具体计算方式如下:
其中,假设在时频面上的等间隔时频网格点(mT,nF)进行采样,T与F分别对应时间变量的采样间隔和频率变量的采样间隔,则m,n=0,1,…,N-1,其中N为采样总数。STFT为二维复数矩阵,A为其幅值矩阵,矩阵中的每一个元素都代表着对应采样时间点的对应频率的频谱幅值,也被称为能量。
(2)计算每个频段的统计特征组成检测特征组作为异常判定的依据。所使用的时频分布统计特征主要包括能量和、每个频段对应的能量占比以及每个频段对应的归一化方差。以低频部分为例,统计特征的具体计算方式如下:
其中,TSE表示能量和,SFRLow表示低频部分的能量占比,NVSFLow表示低频部分的归一化方差,num为幅值矩阵的宽度。
步骤3、异常检测模型构建:根据正常状态下的原始样本通过步骤2所获取的检测特征组来构建子模型,将其进行加权融合,经过噪声过滤,再计算阈值进而建立异常检测模型。
具体步骤如下:
(1)通过随机挑选正常状态下原始样本对应的检测特征组来构建样本集,该样本集可表示为Y={yi},yi=<TSE,SFR,NVSF>,i=1,2...N,再选择孤立森林算法中的二叉树结构来构建子模型。
(2)对步骤(1)中的子模型进行加权融合,其中每棵树的权重代表了其对异常样本的孤立能力,即权重越大,则表示其对正常样本和包含低速率拒绝服务攻击的样本区分能力越强,其计算方式如下:
(3)使用步骤(2)中的融合模型来计算样本集的异常分数,使用加权移动平均算法来去除复杂网络环境中偶然因素(如数据流突发、偶然噪声等)的影响,再通过正态分布异常点检测算法计算阈值,进而组成异常检测模型。其中异常分数S、平滑处理和阈值Thre的计算方式如下:
其中,αk表示第k个样本的权重。c(N)为归一化常数,与样本集的数目N有关。
步骤4、攻击判定:据步骤3中建立的异常检测模型来计算异常分数,进而判定待测试样本是否包含低速率拒绝服务攻击。具体判断准则为:若该样本的异常分数大于阈值,则该样本包含低速率拒绝服务攻击;若该样本的异常分数小于等于阈值,则该样本不包含低速率拒绝服务攻击。
有益效果
本发明提出的低速率拒绝服务攻击检测方法,能克服复杂网络环境中偶然因素所带来的检测性能下降等问题。本方法相较于传统的检测方法,具有更好的自适应性,同时具备较高的准确率、更低的误报率和漏报率。
附图说明
图1为正常状态和低速率拒绝服务攻击状态下TCP流量所对应的时频分布对比图。
图2为根据时频分布计算统计特征的频段划分比例图。
图3为异常检测模型构建图。
图4为一种基于MAF-ADM的低速率拒绝服务攻击检测方法流程图。
具体实施方式
下面结合附图对本发明作进一步说明。
如图1所示,低速率拒绝服务攻击发生时,TCP流量数据的时频分布与正常状态下的时频分布存在较大差异,具体表现为以下三点:(1)正常状态下的时频矩阵中元素的总能量明显高于低速率拒绝服务攻击状态;(2)两种状态所对应的时频分布在较低频率的部分能量差异最为明显,同时两种状态下的不同频段能量分布比例也存在差异;(3)两种状态的时频分布中不同频段的能量波动状态存在差异。
如图2所示,按照低频、中低频、中高频、高频的划分方式,对TCP流量数据的时频分布提取统计特征,具体包含能量和、每个频段对应的能量占比、每个频段对应的归一化方差。再将上述统计特征组成检测特征组作为MAF-ADM算法中判定低速率拒绝服务攻击是否发生的依据。
如图3所示,MAF-ADM通过子模型构建、加权融合和噪声处理与阈值计算三个模块来完成异常检测模型的构建。其中用于模型构建的样本集由随机挑选正常状态下原始样本所对应的检测特征组构成。
如图4所示,一种基于MAF-ADM的低速率拒绝服务攻击检测的方法主要分为4个步骤,即样本采集、特征提取、异常检测模型构建、攻击判定。首先在瓶颈链路中设置样本采集点收集网络流量数据并从中提取TCP流量数据。然后对TCP流量数据进行短时傅里叶变换来获取其对应的时频分布,选取其中重要的统计特征作为检测依据。最后通过子模型构建、加权融合和平滑处理与阈值计算三个模块构建异常检测模型,以上述异常检测模型的输出为依据判断是否发生低速率拒绝服务攻击。
Claims (10)
1.一种基于多特征自适应融合异常检测算法(MAF-ADM)的低速率拒绝服务攻击检测方法,其特征在于,所述低速率拒绝服务攻击检测方法包括以下步骤:
步骤1、样本采集:在瓶颈链路中部署流量采集点,实时获取单位时间内的网络流量,提取TCP流量数据形成原始样本;
步骤2、特征提取:对原始样本进行时频分析获取对应的时频分布矩阵,计算时频分布矩阵的重要统计特征组成检测特征组;
步骤3、异常检测模型构建:使用正常状态下原始样本的检测特征组来构建子模型,并将其加权融合来建立异常检测模型;
步骤4、攻击判定:将待测试的检测特征组作为输入,根据异常检测模型所获取的异常分数来判定是否包含低速率拒绝服务攻击。
2.根据权利要求1中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤1中在瓶颈链路中设置流量采集点,以固定取样间隔获取单位时间长度内的TCP流量数据,形成原始样本。
3.根据权利要求1中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤2中使用时频分析技术处理步骤1获取的原始样本,获取原始样本对应的时频分布,进一步提取其中重要的统计特征作为检测依据。具体包括如下几个步骤:
步骤2.1、对原始样本进行短时傅里叶变换,获取对应的时频分布并进行频段划分;
步骤2.2、按照步骤2.1中的频段划分计算重要的统计特征。
4.根据权利要求3中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤2.1中对步骤1中采集的原始样本进行时频分析,使用短时傅里叶变换来获取原始样本的时频分布,再将其从直流部分到最高频率,按1/8,1/8,1/4,1/2的比例划分为低频、中低频、中高频和高频。
5.根据权利要求3中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤2.2中根据步骤2.1中的频段划分计算每个频段的统计特征(能量和、频段对应的能量占比以及频段对应的归一化方差)构成检测特征组。
6.根据权利要求1中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤3中根据正常状态下的原始样本通过步骤2所获取的检测特征组来构建子模型,将其进行加权融合,经过噪声过滤,再计算阈值进而建立异常检测模型。具体包括如下几个步骤:
步骤3.1、在正常状态下原始样本的检测特征组随机构建样本集,构建子模型;
步骤3.2、将步骤3.1中所建立的子模型进行加权融合;
步骤3.3、根据步骤3.2中的融合模型,获取异常分数,经过噪声过滤,计算阈值。
7.根据权利要求6中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤3.1中随机挑选正常状态下原始样本对应的检测特征组来组成样本集,选择孤立森林算法中的二叉树结构来构建子模型。
8.根据权利要求6中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤3.2中对步骤3.1中的子模型进行加权融合,其中每棵树的权重代表了其对异常样本的孤立能力,即权重越大,则表示其对正常样本和包含低速率拒绝服务攻击的样本区分能力越强。
9.根据权利要求6中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤3.3中使用步骤3.2中的融合模型来计算样本集的异常分数,使用加权移动平均算法来去除复杂网络环境中偶然因素(如数据流突发、偶然噪声等)的影响,再通过正态分布异常点检测算法计算阈值,进而组成异常检测模型。
10.根据权利要求1中所述的低速率拒绝服务攻击检测方法,其特征在于,步骤4根据步骤3中建立的异常检测模型来计算异常分数,进而判定待测试样本是否包含低速率拒绝服务攻击。具体判断准则为:若该样本的异常分数大于阈值,则该样本包含低速率拒绝服务攻击;若该样本的异常分数小于等于阈值,则该样本不包含低速率拒绝服务攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010406757.6A CN111600878A (zh) | 2020-05-14 | 2020-05-14 | 一种基于maf-adm的低速率拒绝服务攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010406757.6A CN111600878A (zh) | 2020-05-14 | 2020-05-14 | 一种基于maf-adm的低速率拒绝服务攻击检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111600878A true CN111600878A (zh) | 2020-08-28 |
Family
ID=72190834
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010406757.6A Pending CN111600878A (zh) | 2020-05-14 | 2020-05-14 | 一种基于maf-adm的低速率拒绝服务攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111600878A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112543183A (zh) * | 2020-11-17 | 2021-03-23 | 西安交通大学 | 基于方向性似然比检验的网络拒绝服务攻击检测方法 |
CN112788057A (zh) * | 2021-01-28 | 2021-05-11 | 湖南大学 | 一种基于FSWT时频分布的LDoS攻击检测方法 |
CN114070609A (zh) * | 2021-11-15 | 2022-02-18 | 湖南大学 | 一种基于格拉姆角场的低速率拒绝服务攻击检测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8819821B2 (en) * | 2007-05-25 | 2014-08-26 | New Jersey Institute Of Technology | Proactive test-based differentiation method and system to mitigate low rate DoS attacks |
CN109729091A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于多特征融合和CNN算法的LDoS攻击检测方法 |
CN110572413A (zh) * | 2019-09-27 | 2019-12-13 | 湖南大学 | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 |
-
2020
- 2020-05-14 CN CN202010406757.6A patent/CN111600878A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8819821B2 (en) * | 2007-05-25 | 2014-08-26 | New Jersey Institute Of Technology | Proactive test-based differentiation method and system to mitigate low rate DoS attacks |
CN109729091A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于多特征融合和CNN算法的LDoS攻击检测方法 |
CN110572413A (zh) * | 2019-09-27 | 2019-12-13 | 湖南大学 | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 |
Non-Patent Citations (1)
Title |
---|
DAN TANG ETC: "Low-Rate DoS Attacks Detection Based on", 《WWW.MDPI.COM/JOURNAL/SENSORS》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112543183A (zh) * | 2020-11-17 | 2021-03-23 | 西安交通大学 | 基于方向性似然比检验的网络拒绝服务攻击检测方法 |
CN112788057A (zh) * | 2021-01-28 | 2021-05-11 | 湖南大学 | 一种基于FSWT时频分布的LDoS攻击检测方法 |
CN114070609A (zh) * | 2021-11-15 | 2022-02-18 | 湖南大学 | 一种基于格拉姆角场的低速率拒绝服务攻击检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109729090B (zh) | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 | |
CN111600878A (zh) | 一种基于maf-adm的低速率拒绝服务攻击检测方法 | |
CN107560851A (zh) | 滚动轴承微弱故障特征早期提取方法 | |
CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
CN104660464B (zh) | 一种基于非广延熵的网络异常检测方法 | |
CN102420723A (zh) | 一种面向多类入侵的异常检测方法 | |
CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
CN107104988B (zh) | 一种基于概率神经网络的IPv6入侵检测方法 | |
CN111600876B (zh) | 一种基于mfopa算法的慢速拒绝服务攻击检测方法 | |
CN105827611B (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
CN111526144A (zh) | 基于DVAE-Catboost的异常流量检测方法与系统 | |
CN111600877A (zh) | 一种基于MF-Ada算法的LDoS攻击检测方法 | |
CN112532652A (zh) | 一种基于多源数据的攻击行为画像装置及方法 | |
CN110995713A (zh) | 一种基于卷积神经网络的僵尸网络检测系统及方法 | |
CN117113262B (zh) | 网络流量识别方法及其系统 | |
CN116684877A (zh) | 一种基于gyac-lstm的5g网络流量异常检测方法及系统 | |
CN112291193B (zh) | 一种基于NCS-SVM的LDoS攻击检测方法 | |
CN112738136A (zh) | 一种基于hss算法的慢速拒绝服务攻击检测方法 | |
CN112788057A (zh) | 一种基于FSWT时频分布的LDoS攻击检测方法 | |
CN114615056B (zh) | 一种基于对抗鲁棒性学习的Tor恶意流量检测方法 | |
CN114095222B (zh) | 基于感知线性预测和SVDD的LDoS攻击检测方法 | |
Gong et al. | MSTP Network Data Traffic Anomaly Optimization Detection Algorithm | |
Meng et al. | Network Intrusion Detection Model Based on Artificial Intelligence | |
CN111565187B (zh) | 一种dns异常检测方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200828 |
|
WD01 | Invention patent application deemed withdrawn after publication |