CN112738136A - 一种基于hss算法的慢速拒绝服务攻击检测方法 - Google Patents
一种基于hss算法的慢速拒绝服务攻击检测方法 Download PDFInfo
- Publication number
- CN112738136A CN112738136A CN202110129487.3A CN202110129487A CN112738136A CN 112738136 A CN112738136 A CN 112738136A CN 202110129487 A CN202110129487 A CN 202110129487A CN 112738136 A CN112738136 A CN 112738136A
- Authority
- CN
- China
- Prior art keywords
- hilbert
- support vector
- vector machine
- unit time
- service attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 40
- 238000001228 spectrum Methods 0.000 claims abstract description 39
- 238000000034 method Methods 0.000 claims abstract description 22
- 238000012706 support-vector machine Methods 0.000 claims abstract description 22
- 230000009466 transformation Effects 0.000 claims abstract 3
- 238000012549 training Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 238000005070 sampling Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 6
- 238000010183 spectrum analysis Methods 0.000 claims description 5
- 238000003646 Spearman's rank correlation coefficient Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000001314 paroxysmal effect Effects 0.000 description 1
- 238000004383 yellowing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/14—Fourier, Walsh or analogous domain transformations, e.g. Laplace, Hilbert, Karhunen-Loeve, transforms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
Abstract
本发明公开了一种基于希尔伯特黄变换、斯皮尔曼等级相关和和支持向量机(HSS)的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:对采集到的网络数据报文,采用希尔伯特黄变换将其分解为多个固有模式函数和一个余项,然后对所有固有模式函数进行希尔伯特变换,得到一个希尔伯特谱。使用无攻击的样本数据进行希尔伯特黄变换得到基准希尔伯特谱,计算样本希尔伯特谱与基准希尔伯特谱之间的斯皮尔曼系数,定量计算该检测单元内TCP流量对应的希尔伯特谱与基准希尔伯特谱之间的相似度,并将相似度输入到预先训练的支持向量机中,根据相关判定准则,是否存在因慢速拒绝服务攻击,导致网络流量的相似性发生变化,来检测该时间窗口内是否发生慢速拒绝服务攻击。本发明提出的基于TCP流量频域特征的检测方法能有效的检测慢速拒绝服务攻击。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于HSS算法的慢速拒绝服务攻击(LDoS)检测方法。
背景技术
拒绝服务(DoS)攻击,其根本目的是使得受害网络或主机无法及时接受并处理外界请求,或者无法及时响应服务请求,从而导致网络或者目标计算机无法提供正常的服务。DoS攻击对网络危害巨大。而LDoS攻击,是一种新型DoS攻击。其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。
目前LDoS攻击检测存在两个方面的问题:其一是由于攻击行为特征异于传统DoS攻击,传统DoS检测方法难以检测LDoS攻击,其二是已有的LDoS攻击检测方法普遍存在检测准确度不高,误报率和漏报率较高等特点。
本发明针对现已提出的LDoS攻击检测方法普遍存在检测准确度不高,误报率和漏报率较高等特点,提出了一种基于斯皮尔曼等级相关(Spearman’s Rank Correlation)、希尔伯特黄变换(Hilbert-Huang Transform)和支持向量机(Support Vector Machine)的HSS方法来检测LDoS攻击。该方法在计算斯皮尔曼等级相关系数之前,利用希尔伯特黄变换对网络流量进行预处理,并利用支持向量机将网络流量划分为LDoS攻击流量和正常网络流量。利用希尔伯特黄变换计算出的希尔伯特谱是一种能量-频率-时间分布,它比原始网络流量更能显示网络流量的基本信息,因为原始网络流量包含了由沉默和意外引起的干扰信息。该LDoS攻击检测方法,对LDoS攻击的检测准确度较高,同时误报率和漏报率较低。因此该检测方法可准确检测LDoS攻击。
发明内容
针对现已提出的LDoS攻击检测方法普遍存在检测准确度不高,误报率和漏报率较高等特点,提出了一种LDoS攻击检测方法。本检测方法基于希尔伯特黄变换、斯皮尔曼等级相关和支持向量机。在该方法中,网络流量被视为离散信号。对于每个检测单元,利用希尔伯特黄变换可以得到一系列代表网络流量特征的希尔伯特谱。然后,利用相应的公式计算出希尔伯特谱与基希尔伯特谱之间的斯皮尔曼等级相关系数。然后计算出斯皮尔曼等级相关系数级数的平均值。最后,我们将该均值放入经过训练的支持向量机中,来判断是否存在LDoS攻击流量。如果分类号为1,则当前检测单元受到LDoS攻击。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,因此该检测方法可普适于准确检测LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该LDoS攻击检测方法主要包括四个步骤:采样数据、处理数据、分析数据以及判定检测。
1.采样数据。对路由器中的数据报文,以固定取样时间获取单位时间内所有数据报文,形成样本原始值。
2.处理数据。希尔伯特黄变换是一种信号分析方法,这种分析方法能够有效地对非平稳非线性的信号进行分析。希尔伯特黄变换的第一阶段是经验模式分解(EMD),在这个阶段中,使用筛选过程对原始信号进行分解,这个阶段的目的是将原始信号分解为多个固有模式函数(IMF)和一个余项。IMF是满足以下两个条件的函数:
1)极值数和过零点数必须相等或最多相差一个。
2)在任何时候,局部最大值所定义的上包络线与局部极小值所定义的下包络线,两者平均值为零。
获得固有模式函数IMF的过程称为筛选过程,处理步骤如下所示。原始信号表示为s(t)。
1)识别信号数据中的所有局部最大值和局部最小值;
2)将所有局部最大值连接为三次样条线作为上部包络线;
3)对局部最小值重复该过程以产生下部包络线;
4)计算上包络线和下包络线的均值m1,h1为信号与m1的差;
s(t)-m1=h1
5)若h1(t)满足IMF的两个条件,则返回步骤(1)并使用h1(t)作为原始信号去执行筛选过程的第二次循环。
h2(t)=h1(t)-m2(t)
重复筛选k次:
hk(t)=hk-1(t)-mk(t)
直到hk(t)满足IMF的所有条件,这时得到第一个IMF,表示为:
c1(t)=hk(t)
6)从原始信号s(t)中减去c1(t),获得余式r1(t)。
r1(t)=s(t)-c1(t)
7)将r1(t)视为原始信号,重复步骤(1)~(6),获得一个新余式。重复n次。
r1(t)-c2(t)=r2(t),......,rn-1(t)-cn(t)=rn(t)
若余式rn(t)是一个单调函数,无法从中获得更多IMF,结束筛选过程。最终,获得:
通过这个过程,原始信号被分解为几个IMFs,和一个余式。
第二阶段为希尔伯特谱分析,在这个过程中,需要对所有IMF进行希尔伯特变换,从而得到一个希尔伯特谱。令ξ(t)为原始信号,IMFi为第i个固有模态函数。rK就是原始信号减完IMF后剩下的余项,假设共有K个IMF。则希尔伯特谱分析的公式为:
希尔伯特谱分析将每个IMF的振幅和频率表示为时间的函数。利用希尔伯特谱分析,可以得到振幅的频率-时间分布,称之为希尔伯特谱。
3.分析数据。根据计算获得的该单位时间内希尔伯特谱,分析计算该单位时间内斯皮尔曼等级相关系数。具体包含三个步骤:
1)基于希尔伯特黄变换,挑选无攻击的样本数据,计算该单位时间单位内的希尔伯特谱,称为基准希尔伯特谱;
2)基于希尔伯特黄变换,计算样本数据单位时间的希尔伯特谱;
4)计算待测希尔伯特谱与基准希尔伯特谱之间的斯皮尔曼等级相关系数,通过该系数度量网络流量之间的相似性。
斯皮尔曼等级相关用来衡量两个变量之间的单调关联的程度。斯皮尔曼相关系数是在皮尔逊相关系数的基础上,利用两个集合中元素在各自集合的等级(排名)来计算他们之间的相关性,可以用于对数据进行分析。为了计算斯皮尔曼等级相关系数,必须对所有数据进行排序。计算变量X和Y的公式如下,其中x和y是排序的数据。
4.判定检测。根据计算获得的该单位时间内斯皮尔曼等级相关,对该单位时间内的数据报文进行判定检测。具体包含三个步骤:
1)计算训练数据单位时间内希尔伯特谱与基准希尔伯特谱之间的斯皮尔曼等级相关。将多个斯皮尔曼等级相关组成一个系数序列,每个系数序列的均值和相应的分类数值被用于训练支持向量机。LDoS攻击的网络流量被分类为1,正常网络流量被分类为0;
2)基于预先存储的斯皮尔曼等级相关,将多个斯皮尔曼等级相关构成一个系数序列,计算该系数序列的均值;
3)将均值输入预先训练的支持向量机,得到支持向量机的输出,根据支持向量机输出的1或0,判断是否发生了LDoS攻击。
有益效果
该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高。因此,该检测方法适用于准确检测LDoS攻击。
附图说明
图1为LDoS攻击的攻击模型。
图2分别为正常网络下的TCP流量图与LDoS攻击下的TCP流量图。
图3为将样本数据数据经过希尔伯特黄变换处理后,正常网络流量的希尔伯特谱与基准希尔伯特谱之间的斯皮尔曼等级相关系数,存在LDoS攻击的网络流量的希尔伯特谱与基准希尔伯特谱之间的斯皮尔曼等级相关系数,两者的折线对比图。
图4为一种基于HSS算法的慢速拒绝服务攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图1为LDoS攻击的攻击模型。LDoS攻击包含三个主要参数,分别为:攻击周期T,每周期内攻击持续时间D以及攻击强度为R。在每个攻击周期中,LDoS攻击只在一段较短时间内向被害者发送大量攻击数据包,这些突发性的攻击数据将导致正常的TCP流量大量丢失,随后LDoS攻击进入沉默状态,不发送任何攻击数据。当TCP流量逐渐恢复到正常水平时,下一次LDoS攻击开始,这又将导致网络进入拥塞状态。由于LDoS攻击是利用自适应机制中的漏洞,其所引起的“拥塞避免”与“拥塞恢复”被认为是合法的,这将导致受害者长时间遭受该攻击而不被发觉。与传统DoS攻击不同,LDoS攻击的攻击流平均速率较低,与合法用户的数据流区分不大,不再具有显著的异常统计特征,这更加提升了该攻击的隐蔽性。
图2为不同网络情况下的TCP流量的情况,其中(a)是发生LDoS攻击时的TCP流量图,(b)是正常网络情况下的TCP流量图。这两种情况下的TCP流量特征不同。受到LDoS攻击的TCP流量不稳定,并且由于拥塞控制机制的反复触发而处于拥塞避免与拥塞恢复的恶性循环中。正常网络情况下的TCP流量相对稳定。
图3为正常网络情况下斯皮尔曼等级相关系数与存在LDoS攻击的网络情况下斯皮尔曼等级相关系数的折线对比图。从图3可以看出,LDoS攻击流的斯皮尔曼系数远低于正常网络流,这印证了我们的检测理论基础。但是存在个别离群值,而取均值之后可以平衡掉这些离群值,因此将多个单位时间构成一个检测单元。
如图4所示,该LDoS攻击检测方法主要包括四个步骤:采样数据、处理数据、分析数据以及判定检测。在基于HSS算法的慢速拒绝服务攻击检测方法中,用到的作为计算相似度的希尔伯特谱是由样本数据经过希尔伯特黄变换取得到。预先训练的支持向量机由训练样本集训练得到,训练样本集中包含正常流量和存在LDoS攻击的流量以及对应分类号。
Claims (7)
1.一种基于HSS算法的慢速拒绝服务攻击检测方法,其特征在于,所述慢速拒绝服务攻击检测方法包括以下几个步骤:
步骤1、采样数据:获取服务器中的数据报文,对单位时间内所有数据报文进行采样,形成样本原始值;
步骤2、处理数据:基于希尔伯特黄变换,将样本数据从时域转换到频域,得到希尔伯特谱;
步骤3、分析数据:根据该单位时间内希尔伯特谱与基准希尔伯特谱,分析计算该单位时间内斯皮尔曼等级相关;
步骤4、判定检测:使用预先训练的支持向量机,对该单位时间内的数据报文进行判定检测,若支持向量机的输出为1,则判定为该单位时间内网络中发生慢速拒绝服务攻击。
2.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤1中对网络中服务器中的数据报文,以固定取样时间获取单位时间内所有数据报文,形成样本原始值。
3.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤2中根据步骤1获取的样本原始值,基于希尔伯特黄变换,计算获得样本希尔伯特谱,希尔伯特黄变换的第一阶段,使用筛选过程对原始信号进行分解,这个阶段的目的是将原始信号分解为多个固有模式函数和一个余项,第二阶段为希尔伯特谱分析,在这个过程中,需要对所有固有模式函数进行希尔伯特变换,从而得到一个希尔伯特谱,包括两个步骤:
步骤2.1、基于希尔伯特黄变换,挑选无攻击的样本数据,计算该单位时间内的希尔伯特谱,称为基准希尔伯特谱;
步骤2.2、基于希尔伯特黄变换,计算样本数据单位时间的希尔伯特谱。
4.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤3中根据步骤2中计算获得的该单位时间内希尔伯特谱与基准希尔伯特谱,分析计算该单位时间内斯皮尔曼等级相关系数。
5.根据权利要求1中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤4中根据步骤3中计算获得的该单位时间内斯皮尔曼等级相关系数,对该单位时间内的数据报文进行判定检测,包括两个步骤:
步骤4.1、基于预先存储的斯皮尔曼等级相关系数,将多个单位时间构成一个检测单元,计算该检测单元内斯皮尔曼等级相关系数序列的均值;
步骤4.2、将均值输入预先训练的支持向量机,得到支持向量机的输出,根据支持向量机输出的1或0,判断是否发生了慢速拒绝服务攻击。
6.根据权利要求5中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤4.2支持向量机的训练方式为:计算训练数据单位时间内希尔伯特谱与步骤2.1中的基准希尔伯特谱之间的斯皮尔曼等级相关,每个检测单元内斯皮尔曼等级相关系数序列的均值和相应的分类数值被用于训练支持向量机,慢速拒绝服务攻击的网络流量被分类为1,正常网络流量被分类为0。
7.根据权利要求5中所述的慢速拒绝服务攻击检测方法,其特征在于,步骤4.2中对支持向量机输出进行检测的判定准则为:若支持向量机输出为1,则该检测单元内含有慢速拒绝服务攻击,若支持向量机输出为0,则该检测单元内不含有慢速拒绝服务攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110129487.3A CN112738136A (zh) | 2021-01-29 | 2021-01-29 | 一种基于hss算法的慢速拒绝服务攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110129487.3A CN112738136A (zh) | 2021-01-29 | 2021-01-29 | 一种基于hss算法的慢速拒绝服务攻击检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112738136A true CN112738136A (zh) | 2021-04-30 |
Family
ID=75594821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110129487.3A Pending CN112738136A (zh) | 2021-01-29 | 2021-01-29 | 一种基于hss算法的慢速拒绝服务攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738136A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024762A (zh) * | 2021-11-11 | 2022-02-08 | 湖南大学 | 一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040037229A1 (en) * | 2002-08-21 | 2004-02-26 | D'souza Scott | Detection of denial-of-service attacks using frequency domain analysis |
| CN107360127A (zh) * | 2017-03-29 | 2017-11-17 | 湖南大学 | 一种基于aewma算法的慢速拒绝服务攻击检测方法 |
| CN110661802A (zh) * | 2019-09-27 | 2020-01-07 | 湖南大学 | 一种基于pca-svm算法的慢速拒绝服务攻击检测方法 |
-
2021
- 2021-01-29 CN CN202110129487.3A patent/CN112738136A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040037229A1 (en) * | 2002-08-21 | 2004-02-26 | D'souza Scott | Detection of denial-of-service attacks using frequency domain analysis |
| CN107360127A (zh) * | 2017-03-29 | 2017-11-17 | 湖南大学 | 一种基于aewma算法的慢速拒绝服务攻击检测方法 |
| CN110661802A (zh) * | 2019-09-27 | 2020-01-07 | 湖南大学 | 一种基于pca-svm算法的慢速拒绝服务攻击检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| "Novel LDoS attack detection by Sparkassisted correlation analysis approach in wireless sensor network" * |
| XIAOXUE WU: "A Low-rate DoS Attack Detection Method Based on Hilbert Spectrum and Correlation" * |
| 吴小雪: "基于网络流量相关性的慢速拒绝服务攻击检测方法研究" * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024762A (zh) * | 2021-11-11 | 2022-02-08 | 湖南大学 | 一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法 |
| CN114024762B (zh) * | 2021-11-11 | 2022-08-16 | 湖南大学 | 一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109729090B (zh) | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 | |
| JP6184270B2 (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
| CN110868431A (zh) | 一种网络流量异常检测方法 | |
| Ahmed et al. | Multivariate online anomaly detection using kernel recursive least squares | |
| CN111107102A (zh) | 基于大数据实时网络流量异常检测方法 | |
| CN109655298B (zh) | 一种大跨度金属屋面的故障实时预警方法及装置 | |
| CN104660464B (zh) | 一种基于非广延熵的网络异常检测方法 | |
| CN112202791B (zh) | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 | |
| CN107360127A (zh) | 一种基于aewma算法的慢速拒绝服务攻击检测方法 | |
| CN110334105B (zh) | 一种基于Storm的流数据异常检测方法 | |
| CN111600878A (zh) | 一种基于maf-adm的低速率拒绝服务攻击检测方法 | |
| CN117421684B (zh) | 基于数据挖掘和神经网络的异常数据监测与分析方法 | |
| CN116559598A (zh) | 一种智慧配电网故障定位方法及系统 | |
| CN111191720B (zh) | 一种业务场景的识别方法、装置及电子设备 | |
| CN116915582A (zh) | 一种通信终端故障根因诊断分析方法及装置 | |
| CN112738136A (zh) | 一种基于hss算法的慢速拒绝服务攻击检测方法 | |
| CN117093461A (zh) | 一种时延检测分析的方法、系统、设备和存储介质 | |
| CN101106487A (zh) | 一种检测网络流量异常的方法及装置 | |
| CN114244594A (zh) | 网络流量异常检测方法及检测系统 | |
| CN101594352B (zh) | 基于新颖发现和窗函数的分类融合入侵检测方法 | |
| Celenk et al. | Anomaly prediction in network traffic using adaptive Wiener filtering and ARMA modeling | |
| CN112073396A (zh) | 一种内网横向移动攻击行为的检测方法及装置 | |
| Ndong et al. | Signal processing-based anomaly detection techniques: a comparative analysis | |
| Rodriguez et al. | Improving network security through traffic log anomaly detection using time series analysis | |
| CN112291193B (zh) | 一种基于NCS-SVM的LDoS攻击检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210430 |
|
| WD01 | Invention patent application deemed withdrawn after publication |