CN112788057A - 一种基于FSWT时频分布的LDoS攻击检测方法 - Google Patents

一种基于FSWT时频分布的LDoS攻击检测方法 Download PDF

Info

Publication number
CN112788057A
CN112788057A CN202110119625.XA CN202110119625A CN112788057A CN 112788057 A CN112788057 A CN 112788057A CN 202110119625 A CN202110119625 A CN 202110119625A CN 112788057 A CN112788057 A CN 112788057A
Authority
CN
China
Prior art keywords
time
fswt
ldos attack
network flow
frequency distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110119625.XA
Other languages
English (en)
Inventor
汤澹
严裕东
冯叶
郑芷青
张冬朔
徐柳深
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202110119625.XA priority Critical patent/CN112788057A/zh
Publication of CN112788057A publication Critical patent/CN112788057A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于FSWT时频分布的LDoS攻击检测方法,属于计算机网络安全领域。其中所述方法包括四个步骤,网络流量采集、统计特征提取和特征检测模型构建、LDoS攻击行为判定。首先在路由器上提取TCP流量形成原始网络流量;然后处理原始网络流量获得有效网络流量,使用FSWT时频变换技术获取有效网络流量的时频分布,并计算重要统计特征作为检测依据;通过训练数据的统计特征和标签,训练决策树分类模型作为特征检测模型;以上述训练好的特征检测模型的输出来判断是否发生LDoS攻击。本发明提出的LDoS攻击检测方法,对复杂网络环境中噪声等问题有很好的抗干扰性,该方法能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击的检测性能。

Description

一种基于FSWT时频分布的LDoS攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于FSWT时频分布的LDoS攻击检测方法。
背景技术
低速率拒绝服务(Low-rate Denial ofService,LDoS)攻击是一种具有周期性、隐藏性、低速率等特点的攻击,是拒绝服务(Denial ofService,DoS)攻击的一种。它恶意抢占消耗目标资源,导致目标网络性能下降、服务质量降低,破坏性较强,难以检测及防御。因此,研究LDoS攻击检测方法,对计算机网络安全领域的发展具有重要意义。
现有的LDoS攻击检测方法研究,根据特征一般分为三类,即基于时域的LDoS攻击检测方法、基于频域的LDoS攻击检测方法和基于时频域的LDoS攻击检测方法。
基于时域的LDoS攻击检测有其特有的优势,一般情况下,时域的分析更加直观,因为时域分析直接根据网络流量的直观表现进行分析,来提取统计特征(如最值、均值、方差、变异系数、流量占比等)。但是LDoS攻击信号是一个周期性的信号,其周期性在时域中很难有所直接表现。对于时域统计特征较少的LDoS攻击检测方法,由于可能存在不同于LDoS攻击的网络行为也会导致与LDoS攻击相同的特征表现,因此较少的时域统计特征不能完全表征LDoS攻击行为,其检测结果具有一定的误报和漏报。
基于频域变换的LDoS攻击检测技术,通过将网络流量从时域变换到频域,再进行频谱分析,提取其频域特征(如重心频率、平均频率、均方根频率以及频率标准差),这种技术能更好地分析网络行为的改变,特别是对于存在周期性信号LDoS攻击的网络来说,网络流量中频谱的频率分量会相应地改变,故分析网络流量的频域特征能准确地表征流量的频谱信息。这种技术的不足之处在于,基于频域的变换无法同时提供信号在时域和频域上的信息,它只能获取一段信号总体上包含哪些频率的成分,但是对各成分出现的时刻并无所知。因此,时域相差很大的两个信号,只要存在相同的频率成分,可能频谱图的表现一样,所以基于频域的特征可能并不能完全表征LDoS攻击的特性。
近年来,许多学者将基于时频域的方法运用在对网络流量的分析上,证明了时频分析方法能够提取其局部特征信息,有利于反映网络流量在时域和频域两个方面包含的细节信息,弥补了时域和频域分析方法的局限,且适用于非线性非平稳信号的处理。现有的基于时频域的LDoS攻击检测方法,一般是基于传统的时频分析技术,如短时傅里叶变换(Short-Time Fourier Transform,STFT)、希尔伯特黄变换(HilbertHuang Transform,HHT)等,这些时频域分析方法存在局限性,如:STFT的窗函数限制了时频分辨率;HHT变换的基础为经验模态分解,其完全根据信号自身进行自适应分解,但在分解含有窄带干扰的局部信号时,会产生模态混叠现象,影响时频特征提取的准确性。这些时频分析方法的局限性,会直接影响提取特征的准确性,导致检测性能不高。
本发明针对基于时域和基于频域的LDoS攻击检测方法,以及现有的基于时频域的LDoS攻击检测方法存在的局限性,提出了一种基于频率切片小波变换(Frequency SliceWavelet Transform,FSWT)时频分布的LDoS攻击检测方法。该方法将FSWT时频分析技术用于分析网络流量,获取网络流量的FSWT时频分布,进一步提取重要的统计特征作为检测依据,进而构建特征检测模型实现对LDoS攻击的检测。与现有的LDoS攻击检测方法相比较,该方法对复杂网络环境中噪声等问题有很好的抗干扰性,能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击检测的性能。
发明内容
本发明针对现有基于时域、频域和时频域的LDoS攻击检测方法存在的局限性,提出了一种基于FSWT时频分布的LDoS攻击检测方法。首先将路由器中获取到的原始网络流量进行处理,去除其中的直流分量,获得有效网络流量。其中直流分量是指流量的平均值。之后对有效网络流量使用FSWT时频分析技术获取其时频分布,根据时频分布提取重要统计特征。最后通过训练好的决策树分类模型作为特征检测模型,进而实现对LDoS攻击的检测。与现有的LDoS攻击检测方法相比较,该方法对复杂网络环境中噪声等问题有很好的抗干扰性,能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击检测的性能。
本发明为实现上述目标所采用的技术方案为:基于FSWT时频分布的LDoS攻击检测方法主要包括以下四个步骤:网络流量采集、统计特征提取、特征检测模型构建和LDoS攻击行为判定。
步骤1、网络流量采集:在路由器中部署流量采集点,获取一段时间内的网络流量,提取TCP流量数据形成具有N个样本的原始网络流量XO=(x0,x1,...,xN-1)T
步骤2、统计特征提取:对原始网络流量进行处理,获取有效网络流量,使用FSWT时频分析技术处理有效网络流量,获取对应的FSWT时频分布,进一步提取其中重要的统计特征作为检测依据。具体步骤如下:
(1)步骤1中采集的原始网络流量表示为XO=(x0,x1,...,xN-1)T,对其进行处理,去除直流分量,获取有效网络流量。对原始网络流量进行处理的具体计算方式如下:
Figure BDA0002921515020000031
其中,
Figure BDA0002921515020000032
表示原始网络流量的均值,XE表示去除原始网络流量中直流分量后的有效网络流量。
(2)对获取的有效网络流量使用FSWT时频分析技术进行处理,以此获取有效网络流量的FSWT时频分布。其中对有效网络流量进行FSWT变换,获取其时频分布的具体计算方式如下:
W(·,i)=λF-1{F{XE}·*Pi},i=0,1,...,N-1
其中,F{X}表示序列X的傅里叶变换,F-1{X}表示序列X的傅里叶逆变换,能量系数λ≠0,A·*B表示矩阵A和矩阵B的元素对应相乘,Pi表示频率切片序列,并且对于不同的i值,Pi的长度是N。
频率切片序列是一种在时域和频域均具有对称结构的函数,频率切片函数
Figure BDA0002921515020000033
的离散分布,并且有:
Figure BDA0002921515020000034
Figure BDA0002921515020000035
(3)对步骤(2)中获取的有效网络流量的FSWT时频分布进行分析,进一步提取FSWT时频分布中的重要统计特征作为检测依据。所使用的FSWT时频分布重要统计特征主要包括熵、能量占比、对比度和相关性。统计特征的具体计算方式如下:
Figure BDA0002921515020000036
其中,En表示熵,RE表示能量占比,Con表示对比度,Cor表示相关性。Mij表示有效网络流量XE经FSWT变换以后的幅值分布矩阵,并且有
Figure BDA0002921515020000041
Figure BDA0002921515020000042
步骤3、特征检测模型构建:使用训练数据的FSWT时频分布的重要统计特征和标签,训练决策树分类模型,以此来构建特征检测模型。具体步骤如下:
(1)随机挑选一半实验数据作为训练数据,根据步骤2中的具体步骤获取训练数据的统计特征F={Fi},Fi=<Eni,REi,Coni,Cori>,i=1,2,...,num,同时获取对应的FSWT时频分布的标签L={Li},Li=<0or 1>,i=1,2,...,num。其中,num表示将该训练数据划分的样本数量,标签为“1”表示该训练数据包含LDoS攻击,标签为“0”表示该训练数据不包含LDoS攻击。
(2)选择决策树分类模型作为特征检测模型,将步骤(1)中获取的训练数据的统计特征和标签对决策树分类模型进行训练,并验证训练精度,如果因为过拟合问题导致训练精度过高,将对决策树分类模型进行剪枝等操作,最终构建特征检测模型。
步骤4、LDoS攻击行为判定:将待测网络流量的FSWT时频分布的统计特征,输入步骤3中构建好的特征检测模型,根据特征检测模型的输出结果来判定是否包含LDoS攻击,具体判断条件为:如果特征检测模型输出结果为“1”,则该待测网络流量包含LDoS攻击;如果特征检测模型输出结果为“0”,则该待测网络流量不包含LDoS攻击。
有益效果
本发明提出的LDoS攻击检测方法,对复杂网络环境中噪声等问题有很好的抗干扰性。本方法相较于传统的检测方法,能够准确提取网络流量在时频域中的特征信息,提高特征的准确性,增强LDoS攻击检测的性能。
附图说明
图1为正常状态下和LDoS攻击状态下的网络流量对比图。
图2为正常状态下和LDoS攻击状态下网络流量所对应的FSWT时频分布的二维和三维对比图。
图3为正常状态下和LDoS攻击状态下FSWT时频分布的特征(熵、能量占比、对比度和相关性)对比图。
图4为一种基于FSWT时频分布的LDoS攻击检测方法流程图。
具体实施方式
下面结合附图对本发明作进一步说明。
如图4所示,一种基于FSWT时频分布的LDoS攻击检测方法主要分为4个步骤,即网络流量采集、统计特征提取、特征检测模型构建和LDoS攻击行为判定。首先在路由器中收集网络流量,并从中提取TCP流量数据形成原始网络流量。然后对原始网络流量进行处理,去除其中的直流分量,获得有效网络流量。对有效网络流量进行FSWT时频变换,获取对应的FSWT时频分布,根据时频分布计算重要统计特征作为检测依据。之后通过训练数据的统计特征和标签,训练决策树分类模型作为特征检测模型,以上述训练好的特征检测模型的输出为依据判断是否发生LDoS攻击。
如图1所示,正常状态下的网络流量和LDoS攻击状态下的网络流量存在差异。正常状态下网络流量更为稳定和集中,LDoS攻击状态下的网络流量波动剧烈,更为离散。
如图2所示,LDoS攻击发生时,网络流量的FSWT时频分布与正常状态下的FSWT时频分布存在较大差异。具体表现为:正常状态下的FSWT时频分布不均匀,而LDoS攻击状态下FSWT时频分布集中在低频部分。
如图3所示,根据有效网络流量的FSWT时频分布,进一步提取重要的统计特征,具体包括熵、能量占比、对比度和相关性,以此作为基于FSWT时频分布的LDoS攻击检测方法中判定LDoS攻击是否发生的依据。

Claims (8)

1.一种基于FSWT时频分布的LDoS攻击检测方法,其特征在于,频率切片小波变换的英文全称是Frequency Slice Wavelet Transform,简称为FSWT,低速率拒绝服务的英文全称是Low-rate Denial ofService,简称为LDoS,该检测方法具体包括以下四个步骤:
步骤1、网络流量采集:在路由器中部署流量采集点,以固定取样间隔获取一段时间内的网络流量,提取TCP流量数据形成原始网络流量;
步骤2、统计特征提取:对原始网络流量进行处理,获取有效网络流量,使用FSWT时频分析技术获取有效网络流量的时频分布,根据有效网络流量的FSWT时频分布提取重要统计特征;
步骤3、特征检测模型构建:使用训练数据的FSWT时频分布的统计特征和标签,训练决策树分类模型,以此来构建特征检测模型;
步骤4、LDoS攻击行为判定:将待测网络流量的FSWT时频分布的统计特征,输入到训练好的特征检测模型,根据特征检测模型的输出结果来判定是否包含LDoS攻击。
2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2中对原始网络流量进行处理,获取有效网络流量,使用FSWT时频分析技术处理有效网络流量,获取对应的FSWT时频分布,进一步提取其中重要的统计特征作为检测依据,具体包括如下几个步骤:
步骤2.1、对采集到的原始网络流量进行处理,去除直流分量,获取有效网络流量;
步骤2.2、对有效网络流量进行FSWT时频变换,获取对应的FSWT时频分布,并提取重要的统计特征。
3.根据权利要求2中所述的LDoS攻击检测方法,其特征在于,步骤2.1中的直流分量是指流量的平均值,对步骤1中采集到的原始网络流量进行处理,通过原始网络流量与其平均值的差,来去除原始网络流量中的直流分量,获得有效网络流量。
4.根据权利要求2中所述的LDoS攻击检测方法,其特征在于,步骤2.2中对步骤2.1中获取的有效网络流量,使用FSWT时频分析技术进行处理,以此获取对应的FSWT时频分布,进一步提取时频分布中的重要统计特征作为检测依据,提取的重要统计特征分别有熵、能量占比、对比度和相关性。
5.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤3中使用训练数据的FSWT时频分布的统计特征和标签,训练决策树分类模型,以此来构建特征检测模型,具体包括如下几个步骤:
步骤3.1、获取训练数据对应的FSWT时频分布的重要统计特征和标签;
步骤3.2、将步骤3.1中获得的重要统计特征和标签,对决策树分类模型进行训练,以此构建特征检测模型。
6.根据权利要求5中所述的LDoS攻击检测方法,其特征在于,步骤3.1中随机挑选多组实验数据的一半作为训练数据,根据权利要求1中的步骤1和步骤2对训练数据进行处理,获取对应的FSWT时频分布的重要统计特征和标签。
7.根据权利要求5中所述的LDoS攻击检测方法,其特征在于,步骤3.2中选择决策树分类模型作为特征检测模型,将步骤3.1获取的训练数据的重要统计特征和标签,对决策树分类模型进行训练,并验证训练精度,如果因为过拟合问题导致训练精度过高,将对决策树分类模型进行剪枝等操作,最终构建特征检测模型。
8.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤4根据步骤3中构建的特征检测模型,将待测网络流量的FSWT时频分布的统计特征,输入训练好的特征检测模型,根据模型的输出结果来判定是否包含LDoS攻击,具体判断条件为:如果特征检测模型输出结果为“1”,则该待测网络流量包含LDoS攻击;如果特征检测模型输出结果为“0”,则该待测网络流量不包含LDoS攻击。
CN202110119625.XA 2021-01-28 2021-01-28 一种基于FSWT时频分布的LDoS攻击检测方法 Pending CN112788057A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110119625.XA CN112788057A (zh) 2021-01-28 2021-01-28 一种基于FSWT时频分布的LDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110119625.XA CN112788057A (zh) 2021-01-28 2021-01-28 一种基于FSWT时频分布的LDoS攻击检测方法

Publications (1)

Publication Number Publication Date
CN112788057A true CN112788057A (zh) 2021-05-11

Family

ID=75759436

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110119625.XA Pending CN112788057A (zh) 2021-01-28 2021-01-28 一种基于FSWT时频分布的LDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN112788057A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113794680A (zh) * 2021-08-04 2021-12-14 清华大学 基于频域分析的高带宽场景下的恶意流量检测方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110119761A1 (en) * 2009-11-18 2011-05-19 At&T Intellectual Property I, L.P. Mitigating Low-Rate Denial-of-Service Attacks in Packet-Switched Networks
CN103499445A (zh) * 2013-09-28 2014-01-08 长安大学 一种基于时频切片分析的滚动轴承故障诊断方法
CN106953821A (zh) * 2017-03-29 2017-07-14 西安电子科技大学 一种Underlay频谱共享下时频重叠信号调制识别方法
CN110572413A (zh) * 2019-09-27 2019-12-13 湖南大学 一种基于Elman神经网络的低速率拒绝服务攻击检测方法
CN111600877A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于MF-Ada算法的LDoS攻击检测方法
CN111600878A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于maf-adm的低速率拒绝服务攻击检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110119761A1 (en) * 2009-11-18 2011-05-19 At&T Intellectual Property I, L.P. Mitigating Low-Rate Denial-of-Service Attacks in Packet-Switched Networks
CN103499445A (zh) * 2013-09-28 2014-01-08 长安大学 一种基于时频切片分析的滚动轴承故障诊断方法
CN106953821A (zh) * 2017-03-29 2017-07-14 西安电子科技大学 一种Underlay频谱共享下时频重叠信号调制识别方法
CN110572413A (zh) * 2019-09-27 2019-12-13 湖南大学 一种基于Elman神经网络的低速率拒绝服务攻击检测方法
CN111600877A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于MF-Ada算法的LDoS攻击检测方法
CN111600878A (zh) * 2020-05-14 2020-08-28 湖南大学 一种基于maf-adm的低速率拒绝服务攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SIJIA ZHAN,等: "Low-Rate DoS Attacks Detection Based on MAF-ADM", 《SENSORS》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113794680A (zh) * 2021-08-04 2021-12-14 清华大学 基于频域分析的高带宽场景下的恶意流量检测方法和装置

Similar Documents

Publication Publication Date Title
CN107528832B (zh) 一种面向系统日志的基线构建与未知异常行为检测方法
Jiang et al. Clicks classification of sperm whale and long-finned pilot whale based on continuous wavelet transform and artificial neural network
CN109309675A (zh) 一种基于卷积神经网络的网络入侵检测方法
CN108806718B (zh) 基于对enf相位谱和瞬时频率谱分析的音频鉴定方法
CN111488801A (zh) 基于振动噪声识别的船舶分类方法
CN106850511B (zh) 识别访问攻击的方法及装置
Yao et al. An adaptive seismic signal denoising method based on variational mode decomposition
CN114897023A (zh) 一种基于水声目标敏感差异特征提取的水声目标辨识方法
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN115510909A (zh) 一种dbscan进行异常声音特征的无监督算法
CN112788057A (zh) 一种基于FSWT时频分布的LDoS攻击检测方法
CN107576380A (zh) 一种面向φ‑otdr技术的三维振动信号分类方法
Adam The use of the Hilbert-Huang transform to analyze transient signals emitted by sperm whales
Dong et al. Advances in automatic bird species recognition from environmental audio
Geng et al. Quantitative identification of pulse-like ground motions based on intrinsic time-scale decomposition technique
Socheleau et al. Detection of mysticete calls: a sparse representation-based approach
Dai et al. Application of wavelet denoising and time-frequency domain feature extraction on data processing of modulated signals
CN113822565B (zh) 一种风机监测数据时频特征分级细化分析的方法
CN101849823A (zh) 一种基于排列组合熵的神经元动作电位特征提取方法
Székely et al. Initiation and termination of intraseasonal oscillations in nonlinear Laplacian spectral analysis-based indices
CN101676992A (zh) 一种针对回声隐写的隐写分析方法
CN116738259B (zh) 基于多谐波的电磁泄漏辐射源指纹提取与识别方法及装置
CN114095222B (zh) 基于感知线性预测和SVDD的LDoS攻击检测方法
TWI250305B (en) Radar recognition system and the method thereof
Wang Research on Instantaneous Parameter Extraction of Partial Discharge Signal Based on Grey Clustering Algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210511