CN111600878A

CN111600878A - 一种基于maf-adm的低速率拒绝服务攻击检测方法

Info

Publication number: CN111600878A
Application number: CN202010406757.6A
Authority: CN
Inventors: 冯叶; 詹思佳; 汤澹; 唐柳; 陈静文; 严裕东; 解子朝; 郑芷青
Original assignee: Hunan University
Current assignee: Hunan University
Priority date: 2020-05-14
Filing date: 2020-05-14
Publication date: 2020-08-28

Abstract

本发明公开了一种基于多特征自适应融合异常检测算法(MAF‑ADM)的低速率拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括四个步骤，分别是样本采集、特征提取、异常检测模型构建和异常判定。首先在瓶颈链路中设置样本采集点收集网络流量数据并从中提取TCP流量数据。然后对TCP流量数据进行短时傅里叶变换来获取其对应的时频分布，选取其中重要的统计特征作为检测依据。最后通过子模型构建、加权融合和平滑处理与阈值计算三个模块构建异常检测模型，以上述异常检测模型的输出为依据判断是否发生低速率拒绝服务攻击。本发明提出的低速率拒绝服务攻击检测方法能克服复杂网络环境中偶然因素所带来的检测性能下降等问题，具有较好的自适应性、较高的准确率以及较低的误报率和漏报率。

Description

一种基于MAF-ADM的低速率拒绝服务攻击检测方法

技术领域

本发明涉及计算机网络安全领域，具体涉及一种基于多特征自适应融合异常检测算法(MAF-ADM)的低速率拒绝服务攻击检测方法。

背景技术

低速率拒绝服务攻击是一种“狡猾”的拒绝服务攻击方式，其主要通过周期性地向目标服务器发送短时高速脉冲式攻击流来降低其服务质量。相比于其他种类的拒绝服务攻击方式，这类攻击流通常具有更低的平均攻击速率，能很好隐藏于网络流量中，传统的拒绝服务攻击检测方法难以起效。因此，对低速率拒绝服务攻击检测方法的研究对网络空间安全具有重要意义。

现有的低速率拒绝服务攻击检测方法按照是否需要事先收集攻击流特征被大致归纳为两类，即基于攻击流特征的攻击检测方法和基于异常检测的攻击检测方法。前者的常见操作在于对路由器的主动队列管理算法做改进，添加与攻击流特征相匹配的模块，从而达到在保护合法TCP流的同时过滤攻击流的目的。其优点在于算法简单容易理解，但缺点在于对复杂多变的攻击方式而言，有些攻击特征并不明确，因此存在漏报率高的问题。后者主要通过信息度量方法、统计方法和频谱分析等方式来分析时间序列，进而结合机器学习等建立攻击检测模型。相比于前者，异常检测算法能对攻击流所引起的网络流量时间序列异常实现更为细致的研究，从而实现对低速率拒绝服务攻击的有效检测。这类算法提升了准确率，但还普遍存在以下问题：(1)缺乏自适应性，如需要依赖包含攻击样本的训练数据来建立模型，阈值等关键参数依赖经验，不能根据网络环境的变换适时调整等。(2)检测性能不高，如仅使用时域或频域的特征，将发生低速率拒绝服务攻击的样本漏判为正常样本；缺少对网络流量噪声的处理，使正常样本被误判为低速率拒绝服务攻击样本等。

本发明针对现有检测方法存在的自适应能力弱、检测准确度不高、误报率和漏报率高等问题，提出了一种基于MAF-ADM的低速率拒绝服务攻击检测方法。将时频分析技术用于分析网络流量，提取其中重要的统计特征作为检测依据，进而构建异常检测模型实现对低速率拒绝服务攻击的检测。与现有的低速率拒绝服务攻击检测方法相比较，本方法具有更好的自适应性、更高的准确率、更低的误报率和漏报率。

发明内容

本发明针对现有检测方法存在的自适应能力弱、检测准确度不高、误报率和漏报率高等问题，提出了一种基于MAF-ADM的低速率拒绝服务攻击检测方法。首先使用短时傅里叶变换对采集到的TCP流量进行时频变换，获取其中重要的统计特征作为低速率拒绝服务攻击检测的依据。然后进一步提出了基于多特征自适应融合的异常检测方法。通过孤立森林算法为正常数据构建子模型，对其动态加权融合使其具备良好的自适应性，再使用加权移动平均算法去除网络环境中偶然因素的影响，进而建立判定准则来对待检测样本进行判定，最后以此为依据来识别低速率拒绝服务攻击。与现有的低速率拒绝服务攻击检测方法相比较，本方法具有更好的自适应性、更高的准确率以及更低的误报率和漏报率。

本发明为实现上述目标所采用的技术方案为：基于MAF-ADM的低速率拒绝服务攻击检测方法主要包括以下四个步骤：样本采集、特征提取、异常检测模型构建和攻击判定。

步骤1、样本采集：在瓶颈链路中部署流量采集点，实时获取单位时间内的网络流量，提取TCP流量数据形成原始样本x(k)，k＝0，1...N-1。

步骤2、特征提取：使用时频分析技术处理步骤1获取的原始样本，获取原始样本对应的时频分布，进一步提取其中重要的统计特征作为检测依据。具体步骤如下：

(1)步骤1中采集的原始样本的离散形式表示为x(k)，k＝0，1...N-1，对其使用短时傅里叶变换获取对应的时频分布，再将其从直流部分到最高频率，按1/8，1/8，1/4，1/2的比例划分为低频、中低频、中高频和高频。其中对原始样本进行短时傅里叶变换的具体计算方式如下：

其中，假设在时频面上的等间隔时频网格点(mT,nF)进行采样，T与F分别对应时间变量的采样间隔和频率变量的采样间隔，则m,n＝0,1,…,N-1，其中N为采样总数。STFT为二维复数矩阵，A为其幅值矩阵，矩阵中的每一个元素都代表着对应采样时间点的对应频率的频谱幅值，也被称为能量。

(2)计算每个频段的统计特征组成检测特征组作为异常判定的依据。所使用的时频分布统计特征主要包括能量和、每个频段对应的能量占比以及每个频段对应的归一化方差。以低频部分为例，统计特征的具体计算方式如下：

其中，TSE表示能量和，SFR_Low表示低频部分的能量占比，NVSF_Low表示低频部分的归一化方差，num为幅值矩阵的宽度。

步骤3、异常检测模型构建：根据正常状态下的原始样本通过步骤2所获取的检测特征组来构建子模型，将其进行加权融合，经过噪声过滤，再计算阈值进而建立异常检测模型。

具体步骤如下：

(1)通过随机挑选正常状态下原始样本对应的检测特征组来构建样本集，该样本集可表示为Y＝{y_i}，y_i＝<TSE，SFR，NVSF>，i＝1，2...N，再选择孤立森林算法中的二叉树结构来构建子模型。

(2)对步骤(1)中的子模型进行加权融合，其中每棵树的权重代表了其对异常样本的孤立能力，即权重越大，则表示其对正常样本和包含低速率拒绝服务攻击的样本区分能力越强，其计算方式如下：

其中，其中

是第j棵树的当前时刻的权重，

是第j棵树在前一时刻的权重。λ用来控制权重的更新速度，使得方法可以适应于不同的网络环境。d_j代表了当前时刻第j棵树的孤立能力。h_j是样本在第j棵树的路径长度。

(3)使用步骤(2)中的融合模型来计算样本集的异常分数，使用加权移动平均算法来去除复杂网络环境中偶然因素(如数据流突发、偶然噪声等)的影响，再通过正态分布异常点检测算法计算阈值，进而组成异常检测模型。其中异常分数S、平滑处理

和阈值Thre的计算方式如下：

其中，α_k表示第k个样本的权重。c(N)为归一化常数，与样本集的数目N有关。

步骤4、攻击判定：据步骤3中建立的异常检测模型来计算异常分数，进而判定待测试样本是否包含低速率拒绝服务攻击。具体判断准则为：若该样本的异常分数大于阈值，则该样本包含低速率拒绝服务攻击；若该样本的异常分数小于等于阈值，则该样本不包含低速率拒绝服务攻击。

有益效果

本发明提出的低速率拒绝服务攻击检测方法，能克服复杂网络环境中偶然因素所带来的检测性能下降等问题。本方法相较于传统的检测方法，具有更好的自适应性，同时具备较高的准确率、更低的误报率和漏报率。

附图说明

图1为正常状态和低速率拒绝服务攻击状态下TCP流量所对应的时频分布对比图。

图2为根据时频分布计算统计特征的频段划分比例图。

图3为异常检测模型构建图。

图4为一种基于MAF-ADM的低速率拒绝服务攻击检测方法流程图。

具体实施方式

下面结合附图对本发明作进一步说明。

如图1所示，低速率拒绝服务攻击发生时，TCP流量数据的时频分布与正常状态下的时频分布存在较大差异，具体表现为以下三点：(1)正常状态下的时频矩阵中元素的总能量明显高于低速率拒绝服务攻击状态；(2)两种状态所对应的时频分布在较低频率的部分能量差异最为明显，同时两种状态下的不同频段能量分布比例也存在差异；(3)两种状态的时频分布中不同频段的能量波动状态存在差异。

如图2所示，按照低频、中低频、中高频、高频的划分方式，对TCP流量数据的时频分布提取统计特征，具体包含能量和、每个频段对应的能量占比、每个频段对应的归一化方差。再将上述统计特征组成检测特征组作为MAF-ADM算法中判定低速率拒绝服务攻击是否发生的依据。

如图3所示，MAF-ADM通过子模型构建、加权融合和噪声处理与阈值计算三个模块来完成异常检测模型的构建。其中用于模型构建的样本集由随机挑选正常状态下原始样本所对应的检测特征组构成。

如图4所示，一种基于MAF-ADM的低速率拒绝服务攻击检测的方法主要分为4个步骤，即样本采集、特征提取、异常检测模型构建、攻击判定。首先在瓶颈链路中设置样本采集点收集网络流量数据并从中提取TCP流量数据。然后对TCP流量数据进行短时傅里叶变换来获取其对应的时频分布，选取其中重要的统计特征作为检测依据。最后通过子模型构建、加权融合和平滑处理与阈值计算三个模块构建异常检测模型，以上述异常检测模型的输出为依据判断是否发生低速率拒绝服务攻击。

Claims

1.一种基于多特征自适应融合异常检测算法(MAF-ADM)的低速率拒绝服务攻击检测方法，其特征在于，所述低速率拒绝服务攻击检测方法包括以下步骤：

步骤1、样本采集：在瓶颈链路中部署流量采集点，实时获取单位时间内的网络流量，提取TCP流量数据形成原始样本；

步骤2、特征提取：对原始样本进行时频分析获取对应的时频分布矩阵，计算时频分布矩阵的重要统计特征组成检测特征组；

步骤3、异常检测模型构建：使用正常状态下原始样本的检测特征组来构建子模型，并将其加权融合来建立异常检测模型；

步骤4、攻击判定：将待测试的检测特征组作为输入，根据异常检测模型所获取的异常分数来判定是否包含低速率拒绝服务攻击。

2.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤1中在瓶颈链路中设置流量采集点，以固定取样间隔获取单位时间长度内的TCP流量数据，形成原始样本。

3.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤2中使用时频分析技术处理步骤1获取的原始样本，获取原始样本对应的时频分布，进一步提取其中重要的统计特征作为检测依据。具体包括如下几个步骤：

步骤2.1、对原始样本进行短时傅里叶变换，获取对应的时频分布并进行频段划分；

步骤2.2、按照步骤2.1中的频段划分计算重要的统计特征。

4.根据权利要求3中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤2.1中对步骤1中采集的原始样本进行时频分析，使用短时傅里叶变换来获取原始样本的时频分布，再将其从直流部分到最高频率，按1/8，1/8，1/4，1/2的比例划分为低频、中低频、中高频和高频。

5.根据权利要求3中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤2.2中根据步骤2.1中的频段划分计算每个频段的统计特征(能量和、频段对应的能量占比以及频段对应的归一化方差)构成检测特征组。

6.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3中根据正常状态下的原始样本通过步骤2所获取的检测特征组来构建子模型，将其进行加权融合，经过噪声过滤，再计算阈值进而建立异常检测模型。具体包括如下几个步骤：

步骤3.1、在正常状态下原始样本的检测特征组随机构建样本集，构建子模型；

步骤3.2、将步骤3.1中所建立的子模型进行加权融合；

步骤3.3、根据步骤3.2中的融合模型，获取异常分数，经过噪声过滤，计算阈值。

7.根据权利要求6中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3.1中随机挑选正常状态下原始样本对应的检测特征组来组成样本集，选择孤立森林算法中的二叉树结构来构建子模型。

8.根据权利要求6中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3.2中对步骤3.1中的子模型进行加权融合，其中每棵树的权重代表了其对异常样本的孤立能力，即权重越大，则表示其对正常样本和包含低速率拒绝服务攻击的样本区分能力越强。

9.根据权利要求6中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤3.3中使用步骤3.2中的融合模型来计算样本集的异常分数，使用加权移动平均算法来去除复杂网络环境中偶然因素(如数据流突发、偶然噪声等)的影响，再通过正态分布异常点检测算法计算阈值，进而组成异常检测模型。

10.根据权利要求1中所述的低速率拒绝服务攻击检测方法，其特征在于，步骤4根据步骤3中建立的异常检测模型来计算异常分数，进而判定待测试样本是否包含低速率拒绝服务攻击。具体判断准则为：若该样本的异常分数大于阈值，则该样本包含低速率拒绝服务攻击；若该样本的异常分数小于等于阈值，则该样本不包含低速率拒绝服务攻击。