CN112350994A

CN112350994A - 一种基于tc-utr算法的慢速拒绝服务攻击检测方法

Info

Publication number: CN112350994A
Application number: CN202011054835.7A
Authority: CN
Inventors: 汤澹; 张斯琦; 代锐; 孟子煜; 郑芷青; 张诗涵
Original assignee: Hunan University
Current assignee: Hunan University
Priority date: 2020-09-28
Filing date: 2020-09-28
Publication date: 2021-02-09

Abstract

本发明公开了一种基于TC‑UTR算法的慢速拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：以一个时间单位作为周期，采集路由器中的所有TCP和UDP数据包作为检测单元并计算其方差和香农熵作为特征值，所有检测单元的特征数据集。之后将数据集作为输入，使用两步聚类算法，首先对特征数据集进行预聚类，接着对预聚类得到的子簇进行正式聚类，进而实现二度聚类。之后我们为每一个簇计算其UTR值，并且将其与无慢速拒绝服务攻击下的阈值Ω进行比较，若UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击。本发明提出的基于TC‑UTR算法的慢速拒绝服务攻击检测方法误报率和漏报率低，对慢速拒绝服务攻击的检测准确度较高，同时算法的空间和时间复杂度低，是一种有效检测慢速拒绝服务攻击的方法。

Description

一种基于TC-UTR算法的慢速拒绝服务攻击检测方法

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于两步聚类和流量比(TC-UTR)算法的慢速拒绝服务攻击检测方法。

背景技术

拒绝服务(DoS)攻击的根本目的是使得受害网络或主机无法及时接受并处理外界请求，或者无法及时响应服务请求，从而导致网络或者目标计算机无法提供正常的服务，DoS攻击对网络危害巨大，而慢速拒绝服务攻击，是DoS攻击的一种，其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。

目前主要存在两类慢速拒绝服务攻击检测方法：其一是基于特征的攻击检测方法，其原理在于利用慢速拒绝服务攻击的周期性和短时间高强度的特性，分析慢速拒绝服务攻击的特征，进而实现对于慢速拒绝服务攻击的检测；其二是基于异常的攻击检测方法，其原理在于当发生慢速拒绝服务攻击时，网络特征将发生变化，利用网络特征的异常变化，实现对慢速拒绝服务攻击的检测，本专利提出的慢速拒绝服务攻击检测方法，属于基于异常的攻击检测方法，可以有效地检测慢速拒绝服务攻击，同时具有较高的检测准确度，较低的误报率和漏报率。

本专利提出了一种基于TC-UTR算法的慢速拒绝服务攻击检测方法，该方法通过对网络流量进行采样，定义检测单元，计算每一个检测单元的方差和香农熵并将其作为特征值，形成特征数据集，利用两步聚类算法对特征数据集进行处理，构建聚类特征树并合并相关子簇，形成多个最优子簇，实现了对特征数据集的压缩和基本划分，之后计算每一个簇的UDP数据流量和TCP数据流量的比值(UTR)及阈值Ω，最终通过比较每一个簇的UTR值和阈值Ω来判定簇是否异常，从而达到检测慢速拒绝服务攻击的目的。

发明内容

针对传统DoS攻击检测方法普遍存在检测漏报率和误报率高，准确度低，算法复杂度高、空间资源消耗大等特点，提出了一种慢速拒绝服务攻击检测方法，该慢速拒绝服务攻击检测方法，误报率和漏报率低，对慢速拒绝服务攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低，是一种有效的检测慢速拒绝服务攻击的方法。

本发明为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括四个步骤：采样数据、分析数据、处理数据及判定检测。

1.采样数据：对网络中路由器，周期性地以固定取样时间采集该时间内所有TCP和UDP数据包，将该单位间内的所有TCP和UDP数据包作为一个检测单元，假定以Δt作为采样时间间隔，X(t)作为在(t-Δt,t]的时间间隔内，采集到的所有TCP和UDP数据包，那么可以将检测单元定义为：

{X_i+1,X_i+2,X_i+3...，X_i+N}

其中

Time表示检测时长。

2.分析数据：根据获取的检测单元，计算每一个检测单元的方差和香农熵，分别用于评估检测单元的流量的离散特性以及随机性和不确定性，由于这些数据可以有效地区分检测单元，所以将其作为检测单元的特征，假定m用于表示检测单元中的数据包数目的均值，N用于表示检测单元的长度，则检测单元的方差可以表示为：

假定p_i用于表示，在所有检测单元的数据包数目构成的非重复序列中，序列下标为i对应的值在序列中出现的概率，N表示该序列的长度，则香农熵可以表示为：

3.处理数据：根据两步聚类算法，处理检测单元的特征数据集，包含两个步骤：

1)预聚类，这一步所采用的算法是基于层次的平衡迭代和规约算法，该算法将特征据集作为输入，计算聚类特征向量，并将数据记录插入到聚类特征树中，从而得到压缩后的特征数据集所构成的聚类特征树，其中，在构建聚类特征树的过程中，需要将距离较近的记录插入到同一棵聚类特征树中，以欧式距离来衡量这个距离的远近：假定c用于表示簇的质心，

用于表示某个簇的第i个数据，N用于表示该簇中数据集的大小，则簇的质心可以表示为：

在此基础上，为了描述簇与簇之间的距离，用欧式距离来计算这个数值，其可以表示为：

2)正式聚类，这一步所采用的算法是聚集层次聚类算法，该算法将预聚类所得到的子簇作为输入，重复计算每一个子簇的质心及相似矩阵，并且据此不断合并子簇，并不断更新质心和相似矩阵的值，直至子簇合并到某一个最优数目M，并将这M个子簇作为输出，其中，对于最优数目M值的确定，需要用权重均方误差(WMSE)决定：假定N用于表示检测单元的长度，x_i用于表示检测单元i，c用于表示该簇的质心，则WMSE的公式可以表示为：

随着簇的数量的增加，簇中数据点的数量的减少，数据点将会变得更加集中，WMSE值也降低，因为当WMSE缓慢减小时，进一步增加簇数将无法增强效果，最佳数量M是根据WMSE随簇数变化的极值点确定的。

4.判定检测：根据两步聚类算法得到的M个最优子簇，对这M个子簇进行UTR分析，以判定遭受慢速拒绝服务攻击的簇，这包含三个步骤：

1)计算每个检测单元的UTR及每个簇的UTR；

2)计算无慢速拒绝服务攻击时的训练样本，获取阈值Ω；

3)将其与每个簇的UTR进行比较，当某簇的UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击。

假定UDP_DU和TCP_DU用于表示检测单元内UDP和TCP数据包的数量，SUM用于表示计算在检测单元时间内，TCP和UDP数据包的数目，则检测单元的UTR可以表示为：

在此基础上，簇的UTR可以表示为：

阈值Ω在无慢速拒绝服务攻击的训练样本下计算得出，其算式基于UTR的平均值以及UTR的标准偏差，假定UTR用于表示簇的UTR值，Mean用于表示计算UTR均值的函数，Std用于表示计算标准偏差的函数，z用于表示显著性水平α所对应的z值，则阈值Ω可以表示为：

Ω＝Mean_UTR+z×Std_UTR。

当计算出阈值Ω后，将每一个簇的UTR值与阈值Ω进行比较，如果簇的UTR值大于阈值Ω，则表明该簇遭受了慢速拒绝服务攻击，反之则没有遭受慢速拒绝服务攻击。

有益效果

该慢速拒绝服务攻击检测方法，误报率和漏报率低，对慢速拒绝服务攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低，因此该方法是一种检测慢速拒绝服务攻击的有效方法。

附图说明

图1为分别在遭受慢速拒绝服务攻击下和不遭受慢速拒绝服务攻击下的TCP流量的分布。

图2为分别在遭受慢速拒绝服务攻击下和不遭受慢速拒绝服务攻击下检测单元的方差和香农熵所构成的特征数据集的分布。

图3为使用两步聚类算法处理特征数据集的流程图。

图4为使用UTR分析来判定某一簇是否遭受慢速拒绝服务攻击的流程图。

图5为一种基于TC-UTR算法的慢速拒绝服务攻击检测方法的流程图。

具体实施方式

下面结合附图对本发明进一步说明。

图1为不同网络情况下的TCP流量的情况，其中(a)是发生慢速拒绝服务攻击的场景，(b)是没有慢速拒绝服务攻击发生的场景，这两种情况下的TCP流量特征不同，受到慢速拒绝服务攻击的TCP流量不稳定，并且由于拥塞控制机制的反复触发而处于丢弃——恢复——丢弃周期中，没有慢速拒绝服务攻击的TCP流量较为稳定。

图2为分别在存在慢速拒绝服务攻击下和不存在慢速拒绝服务攻击下检测单元的方差和香农熵，通过计算每一个检测单元的方差和香农熵，构成检测单元的特征数据集，使得在两步聚类算法中，这些特征数据集被有效划分。

图3为使用两步聚类算法的流程图，主要包含两个步骤：

1)采用基于层次的平衡迭代和规约算法对数据集进行预聚类，从而构建聚类特征树；

2)采用聚集层次聚类算法对预聚类分析得到的子簇进行正式聚类，将距离最近的子簇进行合并，进而实现二度聚类；

通过使用这两个步骤，使得特征数据集被有效地压缩和划分。

图4为判定某一簇是否遭受慢速拒绝服务攻击的流程图，主要包含三个步骤：

1)首先基于检测单元的UTR的计算公式，得到每一个检测单元的UTR值；

2)根据簇的UTR计算公式，计算出每一个簇的UTR值；

3)将每一个簇的UTR值与阈值Ω进行比较，并判定簇是否遭受了慢速拒绝服务攻击。

图5为慢速拒绝服务攻击检测方法的流程图，主要包含四个步骤，分别是采样数据，分析数据，处理数据及判定检测，以一个时间单位作为周期，周期性地实时获取路由器中的所有TCP和UDP数据包作为检测单元；对于每一个检测单元，计算其方差和香农熵作为特征，从而得到所有检测单元所构成的特征数据集；之后将数据集作为输入，使用两步聚类算法，首先对特征数据集进行预聚类，从而构建聚类特征树，实现了数据集的压缩与基本划分，接着对预聚类得到的子簇进行正式聚类，将距离最近的子簇进行合并，进而实现二度聚类；之后为每一个簇计算其UTR值，并且将其与无慢速拒绝服务攻击下的阈值Ω进行比较，若UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击；本发明提出的基于TC-UTR算法的拒绝服务攻击检测方法误报率和漏报率低，对慢速拒绝服务攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低，是一种有效检测慢速拒绝服务攻击的方法。

Claims

1.一种基于TC-UTR算法的慢速拒绝服务攻击检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：

步骤1、采样数据：实时获取路由器中网络流量，对单位时间的所有TCP和UDP数据包进行采集并作为检测单元；

步骤2、分析数据：为每一个检测单元计算其对应的方差和香农熵，用于评估网络流量的特征，由此形成检测单元的特征数据集；

步骤3、处理数据：对于上一步计算得到的特征数据集，使用两步聚类算法进行处理，得到多个最优簇；

步骤4、判定检测：对两步聚类算法得到的簇进行UTR分析，根据UTR分析结果进行判断，若某簇的UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击。

2.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤1中对于网络中路由器以固定取样时间为周期，周期性获取取样时间内的所有TCP和UDP数据包作为检测单元。

3.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2中根据步骤1获取的所有检测单元，计算每一个检测单元的方差和香农熵，得到检测单元的特征数据集。

4.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3中根据步骤2中计算获得的检测单元的方差和香农熵所获得的特征数据集，利用两步聚类算法进行处理，得到多个最优簇，两步聚类算法包括两个步骤：

步骤3.1、两步聚类算法的第一步在于对步骤2中求得的特征数据集进行预聚类分析，从而得到子簇；

步骤3.2、两步聚类算法的第二步在于对预聚类分析得到的子簇进行正式聚类，将距离最近的子簇进行合并，进而实现二度聚类。

5.根据权利要求4中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.1中采用基于层次的平衡迭代和规约算法进行预聚类分析，从而构建聚类特征树，实现了数据的压缩与基本划分。

6.根据权利要求4中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.2中采用聚集层次聚类算法对子簇进行正式聚类，使得距离最近的子簇被合并，进而实现二度聚类。

7.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4中根据步骤3获得的多个最优簇进行UTR分析，以判定是否遭受慢速拒绝服务攻击，其包括两个步骤：

步骤4.1、计算每个检测单元的UTR及每个簇的UTR；

步骤4.2、由无慢速拒绝服务攻击的训练样本获取阈值Ω，将其与每个簇的UTR进行比较，当某簇的UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击，若某簇的UTR值小于阈值Ω，则判定该簇没有遭受慢速拒绝服务攻击。

8.根据权利要求7中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4.1中对检测单元的UTR的定义为：在检测单元内，UDP数据包的总数量与TCP数据包的总数量的比值，对簇的UTR的定义为：对于某一个簇，其包含的所有检测单元的UTR的均值。

9.根据权利要求7中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4.2中对阈值Ω的定义为：通过计算无慢速拒绝服务攻击的训练样本，获得用于判定是否存在慢速拒绝服务攻击的阈值，假定UTR表示簇的UTR值，Mean表示计算UTR均值的函数，Std表示计算标准偏差的函数，z用于表示显著性水平α所对应的z值，其公式为：Ω＝Mean_UTR+z×Std_UTR。