CN114039781B - 一种基于重构异常的慢速拒绝服务攻击检测方法 - Google Patents
一种基于重构异常的慢速拒绝服务攻击检测方法 Download PDFInfo
- Publication number
- CN114039781B CN114039781B CN202111324136.4A CN202111324136A CN114039781B CN 114039781 B CN114039781 B CN 114039781B CN 202111324136 A CN202111324136 A CN 202111324136A CN 114039781 B CN114039781 B CN 114039781B
- Authority
- CN
- China
- Prior art keywords
- tcp
- signal
- data
- sample sequence
- wavelet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于重构异常的慢速拒绝服务攻击检测方法,属于计算机网络安全领域。其中所述方法包括:首先,获取路由器中的TCP数据报文,得到TCP样本序列;然后,采用离散小波变换对TCP样本序列进行4层小波分解,得到平滑信号和细节信号,并根据平滑信号进行重构,得到表示TCP趋势变化和概貌信息的重构信号;最后,将重构信号输入到基于自编码器的异常检测模型中,根据异常检测模型的输出,对该单位时间内的TCP数据报文进行判定检测,若异常检测模型的输出数据和输入数据的重构误差大于预先设定的阈值,则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于重构异常的慢速拒绝服务攻击检测方法能高效、快速、准确地检测LDoS攻击。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及到一种基于重构异常的慢速拒绝服务攻击检测方法。
背景技术
拒绝服务(Denial of Service,DoS)攻击是一种针对服务可用性的网络攻击,其通过耗尽与服务相关的重要资源,来实现破坏受害系统服务可用性的目的。DoS攻击严重威胁着网络安全。随着攻防双方的博弈和技术的发展,DoS攻击的发起方式也变得越来越复杂和多变。慢速拒绝服务(Low-rate Denial of Service,LDoS)攻击,是近年来出现的一种隐蔽性更强、威胁性更大的DoS攻击变体。
目前LDoS攻击检测存在两个方面的问题:其一是由于LDoS攻击的低速率性和强隐蔽性,针对DoS攻击的检测方法难以有效防范LDoS攻击;其二是现有的LDoS攻击检测方法仍存在诸多不足之处,如检测准确度不高、自适应性弱等。
本发明针对现有LDoS攻击检测方法普遍存在检测准确度不高、自适应性弱等不足和缺点。根据小波多分辨分析方法和基于自编码器的异常检测模型,提出一种基于重构异常的慢速拒绝服务攻击检测方法。首先,该方法采用离散小波变换对提取的TCP样本序列进行4层小波分解,得到平滑信号和细节信号;然后,根据分解后得到的平滑信号进行重构,得到表示TCP趋势变化和概貌信息的重构信号;最后,将重构信号作为输入数据,输入到基于自编码器的异常检测模型中,根据异常检测模型的输出,从而达到检测LDoS攻击的目的。该LDoS攻击检测方法在复杂网络环境中有较好的自适应性,误报率和漏报率低,对LDoS攻击的检测准确度较高。因此该检测方法可普适于准确检测LDoS攻击。
发明内容
针对现有LDoS攻击检测方法普遍存在检测准确度不高、自适应性弱等缺点,提出了一种基于重构异常的慢速拒绝服务攻击检测方法。该LDoS攻击检测方法在复杂网络环境中有较好的自适应性,误报率和漏报率低,对LDoS攻击的检测准确度较高,可普适于准确检测LDoS攻击。
本发明为实现上述目标所采用的技术方案为:一种基于重构异常的慢速拒绝服务攻击检测方法主要包括三个步骤:采样数据、特征提取和判定检测。
1.采样数据。获取路由器中的TCP数据报文,对单位时间内的TCP数据报文进行采样,得到包含N个采样点的TCP样本序列{x(t),t=n△t,n∈Z+},其中,△t为采样时间,n的取值范围是[0,N)。
2.特征提取。基于离散小波变换,对TCP样本序列进行时频域分析,提取反映TCP样本序列趋势变化信息的时频域特征。对TCP样本序列进行4层小波分解,得到平滑信号和细节信号。细节信号反映的是信号序列的细节变化,其会随着分解层数的增加而增加。平滑信号反映的是信号序列的趋势变化信息,无论分解层数为多少,其仅有一个,且随着分解层数的增加而更平滑。对分解后得到的平滑信号进行重构,得到表示TCP趋势变化信息的重构信号。通过对TCP样本序列进行进行4层小波分解和重构,可以从混合不同频率信息的TCP流量原始信号中得到不同频带的子信号,从而能够实现对TCP流量信号和噪声的分离,并提取出有效的时频特征。
对于包含N个采样点的样本序列{x(t),t=n△t,n∈Z+},其离散小波变换的公式可表示为:
其中,ψj,k(t)是小波函数,是尺度函数,dj,k是小波系数,aJ,k是近似系数。dj,k表示信号在尺度j下的细节信息,反映了信号的高频信息;aJ,k表示信号在尺度J下的概貌信息,反映了信号的低频信息。dj,k和aJ,k由Mallat金字塔算法计算,dj,k和aJ,k的计算公式可表示为:
其中,h0和h1分别是低通滤波器和高通滤波器的系数。
3.判定检测。将小波重构信号输入到训练好的基于自编码器的异常检测模型,根据异常检测模型的输出数据和输入数据的重构误差,对该单位时间内的TCP数据报文进行判定检测,若重构误差大于预先设定的阈值,则判定该单位时间内,网络中发生了LDoS攻击。自编码器是一种无监督的学习模型,本质上是一个多层神经网络,通过训练来产生高维输入的低维表示,其核心功能是学习输入数据的深层或更高级的表示。自编码器主要包括编码器和解码器两个部分。其中,编码器用来构建输入数据的压缩表示,解码器用来重构输入数据。隐含层中的神经元个数小于输入层中的神经元个数,从而实现对输入数据的压缩,将这种自编码器称为欠完备自编码器。自编码器的输出不是简单地复制输入,而是使用高阶特征重新组合来构建输入数据的低维表示。编码器将输入向量XI映射到隐藏层表示H,解码器再将隐藏表示H映射到和输入向量一致的重构向量XR,其映射变换为:
fΦ:XI→H
gΨ:H→XR
为使重构向量XR尽可能和输入向量XI一致,自编码器忽略原始输入数据的细节,而只学习最有信息量的特征,使得正常数据比异常数据更容易重构。输入向量XI和重构向量XR之间的差值称为重构误差,重构误差越大,对应的输入数据就越可能是异常数据。
若检测结果显示该单位时间内的网络数据报文正常,则将该单位时间内网络数据报文加入预先存储的对应数据内,用以训练更新单类分类异常检测模型。通过不断地对单类分类异常检测模型进行训练更新,能够有效提高该单类分类异常检测模型在复杂网络环境下的自适应性和鲁棒性。
有益效果
该LDoS攻击检测方法在复杂网络环境中有较好的自适应性,误报率和漏报率低,对LDoS攻击的检测准确度较高。因此,该检测方法可普适于准确检测LDoS攻击。
附图说明
图1为4层小波分解示例图。
图2为TCP流量原始信号图。
图3为TCP流量近似成分重构信号图。
图4为5层自编码器模型图。
图5为一种基于重构异常的慢速拒绝服务攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图5所示,该LDoS攻击检测方法主要包括三个步骤:采样数据、特征提取和判定检测。
图1为4层小波分解示例图。多分辨分析仅针对平滑信号进行分解,满足关系式S=a4+d4+d3+d2+d1,S表示原始信号,a表示平滑信号,d表示细节信号。随着分解层数的增加,频率分辨率也会越来越高。细节信号反映的是信号序列的细节变化,其数量会随着分解层数的增加而增加。平滑信号反映的是信号序列的趋势变化和概貌相关信息,无论分解层数为多少,其仅有一个,且随着分解层数的增加而更平滑。
图2为TCP流量原始信号图。当网络处于LDoS攻击网络状态下时,由于TCP拥塞控制机制多次被触发,TCP流量处于突降-缓慢恢复-突降的恶性循环之中。在40秒到50秒期间,没有LDoS攻击发生,网络处于正常网络状态下,虚线表示正常网络状态下的TCP流量平均速率。在50秒到60秒期间,有LDoS攻击发生,网络处于LDoS攻击网络状态下,实线表示LDoS攻击网络状态下的TCP流量平均速率。当网络处于LDoS攻击网络状态下时,TCP流量频繁振荡,TCP流量平均速率仅为正常网络状态下的TCP流量平均速率的一半左右。LDoS攻击的发生,造成了TCP流量平均速率的严重下降。
图3为TCP流量近似成分重构信号图。在小波分解过程中,表示低频信息的平滑信号会随着分解层数的增加而变得更平滑,选取近似系数进行重构,得到表示近似成分的重构信号,该重构信号能够反映TCP流量原始信号的低频和趋势变化信息。TCP流量的近似成分重构信号比其原始信号更加平滑,低频信息和趋势信息更加突出。在LDoS攻击网络状态下,重构信号的振荡特征明显,而在正常网络状态下,重构信号变得更加平稳,两种网络状态下的重构信号差异明显。由于LDoS攻击周期性发起的特点,在LDoS攻击网络状态下,受攻击影响的TCP流量也会呈现出周期性的波动趋势,而LDoS攻击周期性与超时重传时间RTT相关,通常为秒级,因此低频信息和趋势信息可作为检测LDoS攻击的重要信息。
图4为5层自编码器模型图。第1层为输入层,中间3层为隐含层,第5层为输出层。前3层构成编码器,后3层构成解码器。隐含层2既是编码器的输出,又是解码器的输入。隐含层中的神经元个数小于输入层中的神经元个数,从而实现对输入数据的压缩,将这种自编码器称为欠完备自编码器。输入向量XI由输入层输入至编码器中,经编码器压缩得到隐藏层表示H,隐藏层表示H再经解码器重构得到重构向量XR。
Claims (1)
1.一种基于重构异常的慢速拒绝服务攻击检测方法,其特征在于,所述慢速拒绝服务攻击检测方法包括以下几个步骤:
步骤1、采样数据:获取路由器中的TCP数据报文,对单位时间内的所有TCP数据报文进行采样,得到TCP样本序列{x(t),t=nΔt,n∈Z+},Δt为采样时间间隔;
步骤2、特征提取:基于离散小波变换,对TCP样本序列进行小波多分辨分析,从而提取反映TCP流量时频域信息的特征,包括两个步骤:
步骤2.1、根据TCP样本序列,对TCP流量的原始信号进行4层小波分解,得到平滑信号和细节信号;
步骤2.2、根据4层小波分解得到的平滑信号进行重构,得到表示TCP趋势变化和概貌信息的重构信号,重构信号即本步骤提取到的时频域特征;
其中,dj,k和aJ,k分别为小波系数和近似系数,dj,k反映了信号在尺度j下的细节信息,aJ,k反映了信号在尺度J下的概貌信息,dj,k和aJ,k的计算分别为:
其中,h0和h1分别是低通滤波器和高通滤波器的系数,小波多分辨分析仅针对平滑信号进行分解,其满足关系式:
S=a4+d4+d3+d2+d1
其中,S表示原始信号,a表示平滑信号,d表示细节信号,细节信号反映的是TCP样本序列的细节变化信息,其会随着分解层数的增加而增加,平滑信号反映的是TCP样本序列的趋势变化信息,无论分解层数为多少,其仅有一个,且随着分解层数的增加而更平滑;
步骤3、判定检测:将步骤2中得到的小波重构信号作为输入数据,输入到基于自编码器的异常检测模型中,根据异常检测模型的输出数据和输入数据的重构误差,对该单位时间内的TCP数据报文进行判定检测,若重构误差大于预先设定的阈值,则判定该单位时间内,网络中发生了慢速拒绝服务攻击,基于自编码器的异常检测模型,包括编码器和解码器两个部分,编码器用来构建输入数据的压缩表示,将输入向量XI映射到隐藏层表示H,解码器用来重构输入数据,将隐藏层表示H映射到和输入向量一致的重构向量XR,其映射变换分别为:
fΦ:XI→H
gΨ:H→XR
自编码器会忽略原始输入数据的细节,而只学习最有信息量的特征,使得正常数据比异常数据更容易重构,因此,重构误差越大,对应的输入数据就越可能是异常数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111324136.4A CN114039781B (zh) | 2021-11-10 | 2021-11-10 | 一种基于重构异常的慢速拒绝服务攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111324136.4A CN114039781B (zh) | 2021-11-10 | 2021-11-10 | 一种基于重构异常的慢速拒绝服务攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114039781A CN114039781A (zh) | 2022-02-11 |
CN114039781B true CN114039781B (zh) | 2023-02-03 |
Family
ID=80137071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111324136.4A Active CN114039781B (zh) | 2021-11-10 | 2021-11-10 | 一种基于重构异常的慢速拒绝服务攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114039781B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115514620B (zh) * | 2022-11-15 | 2023-03-10 | 阿里云计算有限公司 | 一种异常检测的方法和云网络平台 |
CN118400203B (zh) * | 2024-06-27 | 2024-09-03 | 杭州迪普科技股份有限公司 | 基于面向攻击行为跟踪的自适应时频特征提取的检测方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411829A (zh) * | 2015-12-14 | 2017-02-15 | 中国民航大学 | 基于小波能量谱和组合神经网络的LDoS攻击检测方法 |
CN112398779B (zh) * | 2019-08-12 | 2022-11-01 | 中国科学院国家空间科学中心 | 一种网络流量数据分析方法及系统 |
CN111614576A (zh) * | 2020-06-02 | 2020-09-01 | 国网山西省电力公司电力科学研究院 | 一种基于小波分析和支持向量机的网络数据流量识别方法及系统 |
CN112804248B (zh) * | 2021-01-28 | 2022-02-01 | 湖南大学 | 一种基于频域特征融合的LDoS攻击检测方法 |
CN112926504A (zh) * | 2021-03-23 | 2021-06-08 | 重庆商务职业学院 | 一种基于降噪自编码器的声发射信号去噪方法 |
-
2021
- 2021-11-10 CN CN202111324136.4A patent/CN114039781B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114039781A (zh) | 2022-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114039781B (zh) | 一种基于重构异常的慢速拒绝服务攻击检测方法 | |
CN110223254A (zh) | 一种基于对抗生成网络的图像去噪方法 | |
CN111458745B (zh) | 一种面向预警的地震信号稀疏去噪方法 | |
CN103208288A (zh) | 基于双重加密的dwt—dct域音频公开水印算法 | |
CN111580161A (zh) | 基于多尺度卷积自编码神经网络的地震随机噪音压制方法 | |
CN111382708A (zh) | 一种爬楼翻窗盗窃行为实时检测方法和装置 | |
Huang et al. | Blind watermarking scheme based on neural network | |
CN113628090B (zh) | 抗干扰消息隐写与提取方法、系统、计算机设备、终端 | |
CN117113228B (zh) | 一种基于深度学习的电力社会工程学攻击监测方法及系统 | |
Bao et al. | MP3-resistant music steganography based on dynamic range transform | |
Wang et al. | A novel blind watermarking scheme based on neural network in wavelet domain | |
Motamedi et al. | A new image steganography based on denoising methods in wavelet domain | |
CN116055026A (zh) | 一种基于arma模型的粒子滤波侧信道攻击降噪预处理方法 | |
CN115865129A (zh) | 一种基于去噪自编码器的窄带干扰智能消除方法 | |
CN114826718B (zh) | 一种基于多维度信息的内部网络异常检测方法及系统 | |
CN116148935A (zh) | 一种基于自适应自编码器的磁共振随机噪声抑制方法 | |
CN113484913B (zh) | 一种多粒度特征融合卷积神经网络的地震资料去噪方法 | |
CN113052080A (zh) | 一种基于无监督生成对抗网络的非法无人机检测方法 | |
Yang et al. | An artificial neural network-based scheme for robust watermarking of audio signals | |
CN114760128A (zh) | 一种基于重采样的网络异常流量检测方法 | |
Yang et al. | Noise Modeling and Deep Learning Noise Suppression of Mud Signal | |
Smith et al. | Denoising and the active warden | |
CN117727316A (zh) | 基于深度学习技术的断路器声纹谱图自适应降噪重构方法 | |
Li et al. | Self-synchronization adaptive blind audio watermarking | |
Zhenfei et al. | Digital watermarking algorithm based on wavelet transform and neural network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |