CN112804248B - 一种基于频域特征融合的LDoS攻击检测方法 - Google Patents

一种基于频域特征融合的LDoS攻击检测方法 Download PDF

Info

Publication number
CN112804248B
CN112804248B CN202110120506.6A CN202110120506A CN112804248B CN 112804248 B CN112804248 B CN 112804248B CN 202110120506 A CN202110120506 A CN 202110120506A CN 112804248 B CN112804248 B CN 112804248B
Authority
CN
China
Prior art keywords
frequency domain
sample sequence
ldos attack
detection method
feature fusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110120506.6A
Other languages
English (en)
Other versions
CN112804248A (zh
Inventor
汤澹
张冬朔
代锐
王思苑
严裕东
张嘉怡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202110120506.6A priority Critical patent/CN112804248B/zh
Publication of CN112804248A publication Critical patent/CN112804248A/zh
Application granted granted Critical
Publication of CN112804248B publication Critical patent/CN112804248B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/14Fourier, Walsh or analogous domain transformations, e.g. Laplace, Hilbert, Karhunen-Loeve, transforms
    • G06F17/141Discrete Fourier transforms

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Algebra (AREA)
  • Discrete Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于频域特征融合的LDoS攻击检测方法,属于计算机网络安全领域。其中所述方法包括:首先,获取路由器中的网络数据报文,得到样本序列;然后,基于离散傅里叶变换和离散小波变换将样本序列从时间域变换到频率域,充分地提取样本序列的频域特征;接着,采用线性判别分析将提取的频域特征进行特征融合得到判定特征,从而能够显著提高特征的分类性能;最后,将判定特征输入到事先训练好的单类分类异常检测模型,并根据异常检测模型的输出,对该单位时间内的网络数据报文进行判定检测,若异常检测模型的输出为‑1,则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于频域特征融合的检测方法能高效、快速、准确地检测LDoS攻击。

Description

一种基于频域特征融合的LDoS攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于频域特征融合的LDoS攻击检测方法。
背景技术
拒绝服务(Denial of Service,DoS)攻击是一种损害服务可用性的攻击,该攻击尝试耗尽一些与服务相关的重要资源,从而阻碍受害系统所提供的一些正常服务来破坏服务的可用性。DoS攻击对网络危害巨大。随着DoS攻击相关技术的发展,攻击方式和手段也越来越多样和智能。而慢速拒绝服务(Low-rate Denial of Service,LDoS)攻击,是近年来出现的一种DoS攻击变体。相较于传统的DoS攻击,LDoS攻击不仅仍具有较强的破坏性,还有着更强的隐蔽性。
目前LDoS攻击检测存在两个方面的问题:其一是由于LDoS攻击的低速率性和强隐蔽性,基于统计特性的传统DoS攻击检测方法难以有效检测LDoS攻击;其二是现有的LDoS攻击检测方法普遍存在检测准确度不高、资源消耗大等缺点。
本发明针对现有LDoS攻击检测方法普遍存在检测准确度不高、资源消耗大等缺点。基于时频域分析方法和单类分类异常检测模型,提出了一种基于频域特征融合的LDoS攻击检测方法。该方法首先采用离散傅里叶变换和离散小波变换提取样本序列的频域特征;然后,采用线性判别分析融合提取的频域特征,得到判定特征,从而能够提高频域特征的分类性能;最后,将判定特征输入到单类分类异常检测模型中,根据异常检测模型的输出,从而达到检测LDoS攻击的目的。该LDoS攻击检测方法在复杂网络环境中有较好的鲁棒性,误报率和漏报率低,对LDoS攻击的检测准确度较高,并且资源消耗较小。因此该检测方法可普适于准确检测LDoS攻击。
发明内容
针对现有LDoS攻击检测方法普遍存在检测准确度不高、资源消耗大等缺点,提出了一种基于频域特征融合的LDoS攻击检测方法。该LDoS攻击检测方法在复杂网络环境中有较好的鲁棒性,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时资源消耗小,可普适于准确检测LDoS攻击。
本发明为实现上述目标所采用的技术方案为:一种基于频域特征融合的LDoS攻击检测方法主要包括四个步骤:采样数据、特征提取、特征融合以及判定检测。
1.采样数据。获取路由器中的网络数据报文,对单位时间内所有网络数据报文进行采样,得到包含N个采样点的样本序列{x(t),t=nΔt,n∈Z+},其中,Δt为采样时间,n的取值范围是[0,N),该样本序列的另一种形式是{x(0),x(1),...,x(N-1)}。
2.特征提取。基于离散傅里叶变换和离散小波变换,对样本序列进行频域分析,提取样本序列的频域特征,包括两个操作:其一是基于离散傅里叶变换,将样本序列从时间域变换到频率域,提取样本序列的振幅谱;其二是基于离散小波变换,对样本序列进行时频域分析,提取样本序列的近似系数。LDoS攻击能够针对网络自适应机制的漏洞进行灵活的调整,有着低速率性和强隐蔽性,因此,仅对网络流量进行时域分析无法准确地检测LDoS攻击。离散傅里叶变换是频域分析的经典方法,能够有效提取样本序列的频域特征,而离散小波变换更是能对样本序列进行时频域分析,通过离散傅里叶变换和离散小波变换,能够充分地提取样本序列的频域特征。相较于时域分析提取的时域特征,频域分析提取的频域特征能够有效地提高LDoS攻击的检测准确度。
对于包含N个采样点的样本序列{x(0),x(1),...,x(N-1)},其离散傅里叶变换的公式可表示为:
Figure BDA0002921861760000021
其中,k=0,1,2,...,N-1。DFT(x(n),k)代表的是频率为
Figure BDA0002921861760000022
的频率分量,其中,fs为原始信号的采样频率。
对于包含N个采样点的样本序列{x(t),t=nΔt,n∈Z+},其离散小波变换的公式可表示为:
Figure BDA0002921861760000023
其中,ψj,k(t)是小波函数,
Figure BDA0002921861760000024
是尺度函数,dj,k是小波系数,aJ,k是近似系数。dj,k表示信号在尺度j下的细节信息,反映了信号的高频信息;aJ,k表示信号在尺度J下的概貌信息,反映了信号的低频信息。dj,k和aJ,k由Mallat金字塔算法计算,dj,k和aJ,k的计算公式可表示为:
Figure BDA0002921861760000025
Figure BDA0002921861760000031
其中,h0和h1分别是低通滤波器和高通滤波器的系数。
3.特征融合。基于线性判别分析,将提取的振幅谱和近似系数分别进行特征融合,得到判定特征1和判定特征2。线性判别分析是一种有监督的线性学习方法,其基本思想是通过投影变换w,使得同类样例在投影后的投影点尽可能接近,异类样例在投影后的投影点尽可能远离。线性判别分析的最大化目标函数为:
Figure BDA0002921861760000032
其中,Sb是类间散度矩阵,Sw是类内散度矩阵。由于实际网络中存在多种偶然因素的影响,直接使用提取的振幅谱和近似系数检测LDoS攻击,无法获得较高的检测准确度。为了实现准确检测LDoS攻击,使用线性判别分析,分别将提取的振幅谱和近似系数融合为判定特征1和判定特征2。通过线性判别分析对提取的频域特征进行特征融合,能够提高特征的分类性能,进而能够有效地提高LDoS攻击的检测准确度。
4.判定检测。基于单类分类异常检测模型,将判定特征1和判定特征2输入到训练好的支持向量数据描述模型中。根据异常检测模型的输出,对该单位时间内的网络数据报文进行判定检测,若异常检测模型的输出为-1,则判定该单位时间内网络中发生了LDoS攻击。支持向量数据描述的基本思想是通过非线性映射将原始训练样本映射到高维特征空间,在高维特征空间中寻找一个包含全部或大部分训练样本且体积最小的超球体,即最优超球体,通过非线性映射,如果新样本在特征空间中的像落入最优超球体内,则该样本被视为一个正常点,否则被视为一个异常点,最优超球体由其球心和半径决定,设超球体的球心为a,半径为r,则支持向量数据描述的目标函数为:
Figure BDA0002921861760000033
其中,ξi是松弛变量,通过在目标函数中引入该变量,可以避免模型过拟合,C是正则化因子,用于控制松弛变量ξi影响大小。引入拉格朗日乘子求解目标函数,得到如下拉格朗日函数表达式:
Figure BDA0002921861760000034
其中,αi和βiii≥0)为拉格朗日乘子。令L对r,a,ξi,求偏导数,令其为0,得到如下表达式:
Figure BDA0002921861760000041
Figure BDA0002921861760000042
Figure BDA0002921861760000043
引入核函数,得到目标函数的对偶问题:
Figure BDA0002921861760000044
其中,
Figure BDA0002921861760000045
支持向量数据描述的决策函数为:
Figure BDA0002921861760000046
若检测结果显示该单位时间内的网络数据报文正常,则将该单位时间内网络数据报文加入预先存储的对应数据内,用以训练更新单类分类异常检测模型。通过不断地对单类分类异常检测模型进行训练更新,能够有效提高该单类分类异常检测模型在复杂网络环境下的自适应性和鲁棒性。
有益效果
该LDoS攻击检测方法在复杂网络环境中有较好的鲁棒性,误报率和漏报率低,对LDoS攻击的检测准确度较高,且检测方法资源消耗较小。因此,该检测方法可普适于准确检测LDoS攻击。
附图说明
图1为线性判别分析的二维示意图。
图2为支持向量数据描述模型的示意图。
图3为一种基于频域特征融合的LDoS攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图3所示,该LDoS攻击检测方法主要包括四个步骤:采样数据、特征提取、特征融合以及判定检测。
图1为线性判别分析的二维示意图。圆形点和方形点分别表示两类数据,椭圆表示数据簇的外轮廓,虚线表示投影,实心圆形点和实心方形点分别表示两类数据在投影后的中心点。线性判别分析是一种有监督的线性学习方法,其基本思想是通过投影变换w,使得同类样例在投影后的投影点尽可能接近,异类样例在投影后的投影点尽可能远离,从而能够提高特征的分类性能。因此,频域特征融合能够有效提高LDoS攻击的检测准确度。
图2为支持向量数据描述模型的示意图。圆形点和方形点分别表示正常类样本和异常类样本,圆形表示决策边界。通过对目标数据集进行超球形描述,从而实现异类点检测或分类。对于一个新样本,其在特征空间中的像如果落入最优超球体内,则被视为一个正常点,否则被视为一个异常点。

Claims (5)

1.一种基于频域特征融合的LDoS攻击检测方法,其特征在于,所述LDoS攻击检测方法包括以下几个步骤:
步骤1、采样数据:获取路由器中的网络数据报文,对单位时间内所有网络数据报文进行采样,得到包含N个采样点的样本序列{x(t),t=nΔt,n∈Z+},其中,Δt为采样时间;
步骤2、特征提取:基于离散傅里叶变换和离散小波变换,提取样本序列的频域特征,包括两个步骤:
步骤2.1、基于离散傅里叶变换,将样本序列从时间域变换到频率域,进而提取样本序列的振幅谱;
步骤2.2、基于离散小波变换,对样本序列进行时频域分析,进而提取样本序列的近似系数;
步骤3、特征融合:基于线性判别分析,将提取的振幅谱和近似系数分别进行特征融合,从而能够提高特征的分类性能,包括两个步骤:
步骤3.1、基于线性判别分析,将提取的振幅谱融合为判定特征1;
步骤3.2、基于线性判别分析,将提取的近似系数融合为判定特征2;
步骤4、判定检测:将判定特征1和判定特征2输入到单类分类异常检测模型中,根据异常检测模型的输出,对该单位时间内的网络数据报文进行判定检测,若异常检测模型的输出为-1,则判定该单位时间内网络中发生了LDoS攻击。
2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2.1中样本序列的离散傅里叶变换定义为:
Figure FDA0002921861750000011
其中,k=0,1,2,...,N-1。
3.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2.2中样本序列的离散小波变换定义为:
Figure FDA0002921861750000012
其中,ψj,k(t)是小波函数,
Figure FDA0002921861750000013
是尺度函数,dj,k是小波系数,aJ,k是近似系数。
4.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤3中线性判别分析的基本思想是通过投影变换w,使得同类样例在投影后的投影点尽可能接近,异类样例在投影后的投影点尽可能远离,因此,其最大化的目标函数为:
Figure FDA0002921861750000021
其中,Sb是类间散度矩阵,Sw是类内散度矩阵。
5.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤4中单类分类异常检测模型是支持向量数据描述模型,其基本思想是通过非线性映射将原始训练样本映射到高维特征空间,在高维特征空间中寻找一个包含全部或大部分训练样本且体积最小的超球体,即最优超球体,通过非线性映射,如果新样本在特征空间中的像落入最优超球体内,则该样本被视为一个正常点,否则被视为一个异常点,最优超球体由其球心和半径决定,设超球体的球心为a,半径为r,则支持向量数据描述的目标函数为:
Figure FDA0002921861750000022
其中,ξi是松弛变量,通过在目标函数中引入该变量,可以避免模型过拟合,C是正则化因子,用于控制松弛变量ξi影响大小。
CN202110120506.6A 2021-01-28 2021-01-28 一种基于频域特征融合的LDoS攻击检测方法 Active CN112804248B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110120506.6A CN112804248B (zh) 2021-01-28 2021-01-28 一种基于频域特征融合的LDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110120506.6A CN112804248B (zh) 2021-01-28 2021-01-28 一种基于频域特征融合的LDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN112804248A CN112804248A (zh) 2021-05-14
CN112804248B true CN112804248B (zh) 2022-02-01

Family

ID=75812511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110120506.6A Active CN112804248B (zh) 2021-01-28 2021-01-28 一种基于频域特征融合的LDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN112804248B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113590392B (zh) * 2021-06-30 2024-04-02 中国南方电网有限责任公司超高压输电公司昆明局 换流站设备异常检测方法、装置、计算机设备和存储介质
CN114039781B (zh) * 2021-11-10 2023-02-03 湖南大学 一种基于重构异常的慢速拒绝服务攻击检测方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125195A (zh) * 2013-04-24 2014-10-29 中国民航大学 基于滤波器频域过滤LDDoS攻击流量的方法
CN105245503A (zh) * 2015-09-08 2016-01-13 中国民航大学 隐马尔可夫模型检测LDoS攻击方法
CN107302517A (zh) * 2016-04-15 2017-10-27 任子行网络技术股份有限公司 面向互联网自治域的LDoS攻击检测方法和装置
CN110910615A (zh) * 2019-11-22 2020-03-24 华中科技大学 一种楼宇火警报警分类方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2884884A1 (en) * 2012-08-16 2015-06-24 École Polytechnique Fédérale de Lausanne (EPFL) Method and apparatus for low complexity spectral analysis of bio-signals
US10931687B2 (en) * 2018-02-20 2021-02-23 General Electric Company Cyber-attack detection, localization, and neutralization for unmanned aerial vehicles
US10826932B2 (en) * 2018-08-22 2020-11-03 General Electric Company Situation awareness and dynamic ensemble forecasting of abnormal behavior in cyber-physical system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125195A (zh) * 2013-04-24 2014-10-29 中国民航大学 基于滤波器频域过滤LDDoS攻击流量的方法
CN105245503A (zh) * 2015-09-08 2016-01-13 中国民航大学 隐马尔可夫模型检测LDoS攻击方法
CN107302517A (zh) * 2016-04-15 2017-10-27 任子行网络技术股份有限公司 面向互联网自治域的LDoS攻击检测方法和装置
CN110910615A (zh) * 2019-11-22 2020-03-24 华中科技大学 一种楼宇火警报警分类方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于子模式行列方向二维线性判别分析特征融合的特征提取;董晓庆、陈洪财;《计算机应用》;20141231;第1-5页 *
基于频谱分析的LDoS攻击流量过滤方法;闫长灿;《中国优秀硕士学位论文全文数据库(电子期刊)》;20170315;正文第18-25、47页 *

Also Published As

Publication number Publication date
CN112804248A (zh) 2021-05-14

Similar Documents

Publication Publication Date Title
CN110826059B (zh) 面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置
Jianliang et al. The application on intrusion detection based on k-means cluster algorithm
CN112804248B (zh) 一种基于频域特征融合的LDoS攻击检测方法
Tan et al. Adaptive malicious URL detection: Learning in the presence of concept drifts
CN110572413A (zh) 一种基于Elman神经网络的低速率拒绝服务攻击检测方法
CN112491779B (zh) 一种异常行为检测方法及装置、电子设备
CN110351291B (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
CN111782484B (zh) 一种异常检测方法及装置
Wei et al. Strategic application of ai intelligent algorithm in network threat detection and defense
CN111460441A (zh) 一种基于批归一化卷积神经网络的网络入侵检测方法
Cai et al. A novel improved local binary pattern and its application to the fault diagnosis of diesel engine
CN110661802A (zh) 一种基于pca-svm算法的慢速拒绝服务攻击检测方法
CN115296933B (zh) 一种工业生产数据风险等级评估方法及系统
Maglaras et al. A novel intrusion detection method based on OCSVM and K-means recursive clustering
Zhang et al. An improved network intrusion detection based on deep neural network
CN116563690A (zh) 一种无人机传感器类不平衡数据异常检测方法及检测系统
CN116628554A (zh) 一种工业互联网数据异常的检测方法、系统和设备
CN111784404A (zh) 一种基于行为变量预测的异常资产识别方法
CN116471154A (zh) 基于多域混合注意力的调制信号识别方法
Dong et al. Traffic Characteristic Map-based Intrusion Detection Model for Industrial Internet.
Chao et al. Research on network intrusion detection technology based on dcgan
CN113162904B (zh) 一种基于概率图模型的电力监控系统网络安全告警评估方法
CN115842645A (zh) 基于umap-rf的网络攻击流量检测方法、装置及可读存储介质
CN112291193B (zh) 一种基于NCS-SVM的LDoS攻击检测方法
CN107809430B (zh) 一种基于极值点分类的网络入侵检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant