CN112788057A - 一种基于FSWT时频分布的LDoS攻击检测方法 - Google Patents
一种基于FSWT时频分布的LDoS攻击检测方法 Download PDFInfo
- Publication number
- CN112788057A CN112788057A CN202110119625.XA CN202110119625A CN112788057A CN 112788057 A CN112788057 A CN 112788057A CN 202110119625 A CN202110119625 A CN 202110119625A CN 112788057 A CN112788057 A CN 112788057A
- Authority
- CN
- China
- Prior art keywords
- time
- fswt
- ldos attack
- network flow
- frequency distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于FSWT时频分布的LDoS攻击检测方法,属于计算机网络安全领域。其中所述方法包括四个步骤,网络流量采集、统计特征提取和特征检测模型构建、LDoS攻击行为判定。首先在路由器上提取TCP流量形成原始网络流量;然后处理原始网络流量获得有效网络流量,使用FSWT时频变换技术获取有效网络流量的时频分布,并计算重要统计特征作为检测依据;通过训练数据的统计特征和标签,训练决策树分类模型作为特征检测模型;以上述训练好的特征检测模型的输出来判断是否发生LDoS攻击。本发明提出的LDoS攻击检测方法,对复杂网络环境中噪声等问题有很好的抗干扰性,该方法能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击的检测性能。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于FSWT时频分布的LDoS攻击检测方法。
背景技术
低速率拒绝服务(Low-rate Denial ofService,LDoS)攻击是一种具有周期性、隐藏性、低速率等特点的攻击,是拒绝服务(Denial ofService,DoS)攻击的一种。它恶意抢占消耗目标资源,导致目标网络性能下降、服务质量降低,破坏性较强,难以检测及防御。因此,研究LDoS攻击检测方法,对计算机网络安全领域的发展具有重要意义。
现有的LDoS攻击检测方法研究,根据特征一般分为三类,即基于时域的LDoS攻击检测方法、基于频域的LDoS攻击检测方法和基于时频域的LDoS攻击检测方法。
基于时域的LDoS攻击检测有其特有的优势,一般情况下,时域的分析更加直观,因为时域分析直接根据网络流量的直观表现进行分析,来提取统计特征(如最值、均值、方差、变异系数、流量占比等)。但是LDoS攻击信号是一个周期性的信号,其周期性在时域中很难有所直接表现。对于时域统计特征较少的LDoS攻击检测方法,由于可能存在不同于LDoS攻击的网络行为也会导致与LDoS攻击相同的特征表现,因此较少的时域统计特征不能完全表征LDoS攻击行为,其检测结果具有一定的误报和漏报。
基于频域变换的LDoS攻击检测技术,通过将网络流量从时域变换到频域,再进行频谱分析,提取其频域特征(如重心频率、平均频率、均方根频率以及频率标准差),这种技术能更好地分析网络行为的改变,特别是对于存在周期性信号LDoS攻击的网络来说,网络流量中频谱的频率分量会相应地改变,故分析网络流量的频域特征能准确地表征流量的频谱信息。这种技术的不足之处在于,基于频域的变换无法同时提供信号在时域和频域上的信息,它只能获取一段信号总体上包含哪些频率的成分,但是对各成分出现的时刻并无所知。因此,时域相差很大的两个信号,只要存在相同的频率成分,可能频谱图的表现一样,所以基于频域的特征可能并不能完全表征LDoS攻击的特性。
近年来,许多学者将基于时频域的方法运用在对网络流量的分析上,证明了时频分析方法能够提取其局部特征信息,有利于反映网络流量在时域和频域两个方面包含的细节信息,弥补了时域和频域分析方法的局限,且适用于非线性非平稳信号的处理。现有的基于时频域的LDoS攻击检测方法,一般是基于传统的时频分析技术,如短时傅里叶变换(Short-Time Fourier Transform,STFT)、希尔伯特黄变换(HilbertHuang Transform,HHT)等,这些时频域分析方法存在局限性,如:STFT的窗函数限制了时频分辨率;HHT变换的基础为经验模态分解,其完全根据信号自身进行自适应分解,但在分解含有窄带干扰的局部信号时,会产生模态混叠现象,影响时频特征提取的准确性。这些时频分析方法的局限性,会直接影响提取特征的准确性,导致检测性能不高。
本发明针对基于时域和基于频域的LDoS攻击检测方法,以及现有的基于时频域的LDoS攻击检测方法存在的局限性,提出了一种基于频率切片小波变换(Frequency SliceWavelet Transform,FSWT)时频分布的LDoS攻击检测方法。该方法将FSWT时频分析技术用于分析网络流量,获取网络流量的FSWT时频分布,进一步提取重要的统计特征作为检测依据,进而构建特征检测模型实现对LDoS攻击的检测。与现有的LDoS攻击检测方法相比较,该方法对复杂网络环境中噪声等问题有很好的抗干扰性,能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击检测的性能。
发明内容
本发明针对现有基于时域、频域和时频域的LDoS攻击检测方法存在的局限性,提出了一种基于FSWT时频分布的LDoS攻击检测方法。首先将路由器中获取到的原始网络流量进行处理,去除其中的直流分量,获得有效网络流量。其中直流分量是指流量的平均值。之后对有效网络流量使用FSWT时频分析技术获取其时频分布,根据时频分布提取重要统计特征。最后通过训练好的决策树分类模型作为特征检测模型,进而实现对LDoS攻击的检测。与现有的LDoS攻击检测方法相比较,该方法对复杂网络环境中噪声等问题有很好的抗干扰性,能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击检测的性能。
本发明为实现上述目标所采用的技术方案为:基于FSWT时频分布的LDoS攻击检测方法主要包括以下四个步骤:网络流量采集、统计特征提取、特征检测模型构建和LDoS攻击行为判定。
步骤1、网络流量采集:在路由器中部署流量采集点,获取一段时间内的网络流量,提取TCP流量数据形成具有N个样本的原始网络流量XO=(x0,x1,...,xN-1)T。
步骤2、统计特征提取:对原始网络流量进行处理,获取有效网络流量,使用FSWT时频分析技术处理有效网络流量,获取对应的FSWT时频分布,进一步提取其中重要的统计特征作为检测依据。具体步骤如下:
(1)步骤1中采集的原始网络流量表示为XO=(x0,x1,...,xN-1)T,对其进行处理,去除直流分量,获取有效网络流量。对原始网络流量进行处理的具体计算方式如下:
(2)对获取的有效网络流量使用FSWT时频分析技术进行处理,以此获取有效网络流量的FSWT时频分布。其中对有效网络流量进行FSWT变换,获取其时频分布的具体计算方式如下:
W(·,i)=λF-1{F{XE}·*Pi},i=0,1,...,N-1
其中,F{X}表示序列X的傅里叶变换,F-1{X}表示序列X的傅里叶逆变换,能量系数λ≠0,A·*B表示矩阵A和矩阵B的元素对应相乘,Pi表示频率切片序列,并且对于不同的i值,Pi的长度是N。
(3)对步骤(2)中获取的有效网络流量的FSWT时频分布进行分析,进一步提取FSWT时频分布中的重要统计特征作为检测依据。所使用的FSWT时频分布重要统计特征主要包括熵、能量占比、对比度和相关性。统计特征的具体计算方式如下:
步骤3、特征检测模型构建:使用训练数据的FSWT时频分布的重要统计特征和标签,训练决策树分类模型,以此来构建特征检测模型。具体步骤如下:
(1)随机挑选一半实验数据作为训练数据,根据步骤2中的具体步骤获取训练数据的统计特征F={Fi},Fi=<Eni,REi,Coni,Cori>,i=1,2,...,num,同时获取对应的FSWT时频分布的标签L={Li},Li=<0or 1>,i=1,2,...,num。其中,num表示将该训练数据划分的样本数量,标签为“1”表示该训练数据包含LDoS攻击,标签为“0”表示该训练数据不包含LDoS攻击。
(2)选择决策树分类模型作为特征检测模型,将步骤(1)中获取的训练数据的统计特征和标签对决策树分类模型进行训练,并验证训练精度,如果因为过拟合问题导致训练精度过高,将对决策树分类模型进行剪枝等操作,最终构建特征检测模型。
步骤4、LDoS攻击行为判定:将待测网络流量的FSWT时频分布的统计特征,输入步骤3中构建好的特征检测模型,根据特征检测模型的输出结果来判定是否包含LDoS攻击,具体判断条件为:如果特征检测模型输出结果为“1”,则该待测网络流量包含LDoS攻击;如果特征检测模型输出结果为“0”,则该待测网络流量不包含LDoS攻击。
有益效果
本发明提出的LDoS攻击检测方法,对复杂网络环境中噪声等问题有很好的抗干扰性。本方法相较于传统的检测方法,能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击检测的性能。
附图说明
图1为正常状态下和LDoS攻击状态下的网络流量对比图。
图2为正常状态下和LDoS攻击状态下网络流量所对应的FSWT时频分布的二维和三维对比图。
图3为正常状态下和LDoS攻击状态下FSWT时频分布的特征(熵、能量占比、对比度和相关性)对比图。
图4为一种基于FSWT时频分布的LDoS攻击检测方法流程图。
具体实施方式
下面结合附图对本发明作进一步说明。
如图4所示,一种基于FSWT时频分布的LDoS攻击检测方法主要分为4个步骤,即网络流量采集、统计特征提取、特征检测模型构建和LDoS攻击行为判定。首先在路由器中收集网络流量,并从中提取TCP流量数据形成原始网络流量。然后对原始网络流量进行处理,去除其中的直流分量,获得有效网络流量。对有效网络流量进行FSWT时频变换,获取对应的FSWT时频分布,根据时频分布计算重要统计特征作为检测依据。之后通过训练数据的统计特征和标签,训练决策树分类模型作为特征检测模型,以上述训练好的特征检测模型的输出为依据判断是否发生LDoS攻击。
如图1所示,正常状态下的网络流量和LDoS攻击状态下的网络流量存在差异。正常状态下网络流量更为稳定和集中,LDoS攻击状态下的网络流量波动剧烈,更为离散。
如图2所示,LDoS攻击发生时,网络流量的FSWT时频分布与正常状态下的FSWT时频分布存在较大差异。具体表现为:正常状态下的FSWT时频分布不均匀,而LDoS攻击状态下FSWT时频分布集中在低频部分。
如图3所示,根据有效网络流量的FSWT时频分布,进一步提取重要的统计特征,具体包括熵、能量占比、对比度和相关性,以此作为基于FSWT时频分布的LDoS攻击检测方法中判定LDoS攻击是否发生的依据。
Claims (8)
1.一种基于FSWT时频分布的LDoS攻击检测方法,其特征在于,频率切片小波变换的英文全称是Frequency Slice Wavelet Transform,简称为FSWT,低速率拒绝服务的英文全称是Low-rate Denial ofService,简称为LDoS,该检测方法具体包括以下四个步骤:
步骤1、网络流量采集:在路由器中部署流量采集点,以固定取样间隔获取一段时间内的网络流量,提取TCP流量数据形成原始网络流量;
步骤2、统计特征提取:对原始网络流量进行处理,获取有效网络流量,使用FSWT时频分析技术获取有效网络流量的时频分布,根据有效网络流量的FSWT时频分布提取重要统计特征;
步骤3、特征检测模型构建:使用训练数据的FSWT时频分布的统计特征和标签,训练决策树分类模型,以此来构建特征检测模型;
步骤4、LDoS攻击行为判定:将待测网络流量的FSWT时频分布的统计特征,输入到训练好的特征检测模型,根据特征检测模型的输出结果来判定是否包含LDoS攻击。
2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2中对原始网络流量进行处理,获取有效网络流量,使用FSWT时频分析技术处理有效网络流量,获取对应的FSWT时频分布,进一步提取其中重要的统计特征作为检测依据,具体包括如下几个步骤:
步骤2.1、对采集到的原始网络流量进行处理,去除直流分量,获取有效网络流量;
步骤2.2、对有效网络流量进行FSWT时频变换,获取对应的FSWT时频分布,并提取重要的统计特征。
3.根据权利要求2中所述的LDoS攻击检测方法,其特征在于,步骤2.1中的直流分量是指流量的平均值,对步骤1中采集到的原始网络流量进行处理,通过原始网络流量与其平均值的差,来去除原始网络流量中的直流分量,获得有效网络流量。
4.根据权利要求2中所述的LDoS攻击检测方法,其特征在于,步骤2.2中对步骤2.1中获取的有效网络流量,使用FSWT时频分析技术进行处理,以此获取对应的FSWT时频分布,进一步提取时频分布中的重要统计特征作为检测依据,提取的重要统计特征分别有熵、能量占比、对比度和相关性。
5.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤3中使用训练数据的FSWT时频分布的统计特征和标签,训练决策树分类模型,以此来构建特征检测模型,具体包括如下几个步骤:
步骤3.1、获取训练数据对应的FSWT时频分布的重要统计特征和标签;
步骤3.2、将步骤3.1中获得的重要统计特征和标签,对决策树分类模型进行训练,以此构建特征检测模型。
6.根据权利要求5中所述的LDoS攻击检测方法,其特征在于,步骤3.1中随机挑选多组实验数据的一半作为训练数据,根据权利要求1中的步骤1和步骤2对训练数据进行处理,获取对应的FSWT时频分布的重要统计特征和标签。
7.根据权利要求5中所述的LDoS攻击检测方法,其特征在于,步骤3.2中选择决策树分类模型作为特征检测模型,将步骤3.1获取的训练数据的重要统计特征和标签,对决策树分类模型进行训练,并验证训练精度,如果因为过拟合问题导致训练精度过高,将对决策树分类模型进行剪枝等操作,最终构建特征检测模型。
8.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤4根据步骤3中构建的特征检测模型,将待测网络流量的FSWT时频分布的统计特征,输入训练好的特征检测模型,根据模型的输出结果来判定是否包含LDoS攻击,具体判断条件为:如果特征检测模型输出结果为“1”,则该待测网络流量包含LDoS攻击;如果特征检测模型输出结果为“0”,则该待测网络流量不包含LDoS攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110119625.XA CN112788057A (zh) | 2021-01-28 | 2021-01-28 | 一种基于FSWT时频分布的LDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110119625.XA CN112788057A (zh) | 2021-01-28 | 2021-01-28 | 一种基于FSWT时频分布的LDoS攻击检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112788057A true CN112788057A (zh) | 2021-05-11 |
Family
ID=75759436
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110119625.XA Pending CN112788057A (zh) | 2021-01-28 | 2021-01-28 | 一种基于FSWT时频分布的LDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112788057A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113794680A (zh) * | 2021-08-04 | 2021-12-14 | 清华大学 | 基于频域分析的高带宽场景下的恶意流量检测方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110119761A1 (en) * | 2009-11-18 | 2011-05-19 | At&T Intellectual Property I, L.P. | Mitigating Low-Rate Denial-of-Service Attacks in Packet-Switched Networks |
CN103499445A (zh) * | 2013-09-28 | 2014-01-08 | 长安大学 | 一种基于时频切片分析的滚动轴承故障诊断方法 |
CN106953821A (zh) * | 2017-03-29 | 2017-07-14 | 西安电子科技大学 | 一种Underlay频谱共享下时频重叠信号调制识别方法 |
CN110572413A (zh) * | 2019-09-27 | 2019-12-13 | 湖南大学 | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 |
CN111600877A (zh) * | 2020-05-14 | 2020-08-28 | 湖南大学 | 一种基于MF-Ada算法的LDoS攻击检测方法 |
CN111600878A (zh) * | 2020-05-14 | 2020-08-28 | 湖南大学 | 一种基于maf-adm的低速率拒绝服务攻击检测方法 |
-
2021
- 2021-01-28 CN CN202110119625.XA patent/CN112788057A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110119761A1 (en) * | 2009-11-18 | 2011-05-19 | At&T Intellectual Property I, L.P. | Mitigating Low-Rate Denial-of-Service Attacks in Packet-Switched Networks |
CN103499445A (zh) * | 2013-09-28 | 2014-01-08 | 长安大学 | 一种基于时频切片分析的滚动轴承故障诊断方法 |
CN106953821A (zh) * | 2017-03-29 | 2017-07-14 | 西安电子科技大学 | 一种Underlay频谱共享下时频重叠信号调制识别方法 |
CN110572413A (zh) * | 2019-09-27 | 2019-12-13 | 湖南大学 | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 |
CN111600877A (zh) * | 2020-05-14 | 2020-08-28 | 湖南大学 | 一种基于MF-Ada算法的LDoS攻击检测方法 |
CN111600878A (zh) * | 2020-05-14 | 2020-08-28 | 湖南大学 | 一种基于maf-adm的低速率拒绝服务攻击检测方法 |
Non-Patent Citations (1)
Title |
---|
SIJIA ZHAN,等: "Low-Rate DoS Attacks Detection Based on MAF-ADM", 《SENSORS》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113794680A (zh) * | 2021-08-04 | 2021-12-14 | 清华大学 | 基于频域分析的高带宽场景下的恶意流量检测方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107528832B (zh) | 一种面向系统日志的基线构建与未知异常行为检测方法 | |
Jiang et al. | Clicks classification of sperm whale and long-finned pilot whale based on continuous wavelet transform and artificial neural network | |
CN109309675A (zh) | 一种基于卷积神经网络的网络入侵检测方法 | |
CN108806718B (zh) | 基于对enf相位谱和瞬时频率谱分析的音频鉴定方法 | |
CN111488801A (zh) | 基于振动噪声识别的船舶分类方法 | |
CN106850511B (zh) | 识别访问攻击的方法及装置 | |
Yao et al. | An adaptive seismic signal denoising method based on variational mode decomposition | |
CN114897023A (zh) | 一种基于水声目标敏感差异特征提取的水声目标辨识方法 | |
CN111600878A (zh) | 一种基于maf-adm的低速率拒绝服务攻击检测方法 | |
CN115510909A (zh) | 一种dbscan进行异常声音特征的无监督算法 | |
CN112788057A (zh) | 一种基于FSWT时频分布的LDoS攻击检测方法 | |
CN107576380A (zh) | 一种面向φ‑otdr技术的三维振动信号分类方法 | |
Adam | The use of the Hilbert-Huang transform to analyze transient signals emitted by sperm whales | |
Dong et al. | Advances in automatic bird species recognition from environmental audio | |
Geng et al. | Quantitative identification of pulse-like ground motions based on intrinsic time-scale decomposition technique | |
Socheleau et al. | Detection of mysticete calls: a sparse representation-based approach | |
Dai et al. | Application of wavelet denoising and time-frequency domain feature extraction on data processing of modulated signals | |
CN113822565B (zh) | 一种风机监测数据时频特征分级细化分析的方法 | |
CN101849823A (zh) | 一种基于排列组合熵的神经元动作电位特征提取方法 | |
Székely et al. | Initiation and termination of intraseasonal oscillations in nonlinear Laplacian spectral analysis-based indices | |
CN101676992A (zh) | 一种针对回声隐写的隐写分析方法 | |
CN116738259B (zh) | 基于多谐波的电磁泄漏辐射源指纹提取与识别方法及装置 | |
CN114095222B (zh) | 基于感知线性预测和SVDD的LDoS攻击检测方法 | |
TWI250305B (en) | Radar recognition system and the method thereof | |
Wang | Research on Instantaneous Parameter Extraction of Partial Discharge Signal Based on Grey Clustering Algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210511 |