CN114095222B - 基于感知线性预测和SVDD的LDoS攻击检测方法 - Google Patents

基于感知线性预测和SVDD的LDoS攻击检测方法 Download PDF

Info

Publication number
CN114095222B
CN114095222B CN202111337559.XA CN202111337559A CN114095222B CN 114095222 B CN114095222 B CN 114095222B CN 202111337559 A CN202111337559 A CN 202111337559A CN 114095222 B CN114095222 B CN 114095222B
Authority
CN
China
Prior art keywords
svdd
ldos attack
linear prediction
time
attack detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111337559.XA
Other languages
English (en)
Other versions
CN114095222A (zh
Inventor
汤澹
郑芷青
王思苑
施玮
李欣萌
李诗宇
张嘉怡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202111337559.XA priority Critical patent/CN114095222B/zh
Publication of CN114095222A publication Critical patent/CN114095222A/zh
Application granted granted Critical
Publication of CN114095222B publication Critical patent/CN114095222B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于感知线性预测和SVDD的LDoS攻击检测方法,属于计算机网络安全领域。其中所述的方法包括:以相同的采样间隔对到达路由器的数据包数量进行采样,并用分帧和加窗的方式对采样得到的流量数据进行预处理得到短时频谱。对预处理后得到的短时频谱进行短时傅里叶变换得到短时能量谱,再对短时能量谱进行临界频带分析,然后进行感知线性预测分析,提取感知线性预测系数作为感知线性预测特征。用感知线性预测特征训练集成SVDD分类器构建LDoS攻击检测模型准确区分正常流量和LDoS攻击流量,对网络中的LDoS攻击进行检测。本发明提出的基于感知线性预测和SVDD算法的LDoS攻击检测方法具有较高的准确率和较低的误报率,是一种有效的检测LDoS攻击的方法。

Description

基于感知线性预测和SVDD的LDoS攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于感知线性预测和SVDD的LDoS攻击检测方法。
背景技术
拒绝服务(DoS)攻击利用网络协议的缺陷来耗尽攻击目标的有限资源,以达到使受害网络或目标主机无法为合法用户提供正常服务的目的,DoS攻击一直严重威胁着网络的安全。低速率拒绝服务(LDoS)攻击是一种新型的DoS攻击,这种攻击方式通过周期性地发送脉冲时长较短的高速率的流量来抢占链路带宽以触发TCP的拥塞控制机制,从而达到攻击的目的,平均攻击速率更低,拥有与DoS攻击相似的攻击效果,且具有更强的隐蔽性。
LDoS攻击具有隐蔽性强的特点,这使其很难被传统的DoS攻击检测方法检测到,现有的LDoS攻击检测方法仍存在一些不足需要进一步完善,比如检测准确率有待进一步提高,误报率有待进一步降低等。因此,研究和探索一种具有更高的准确率、更低的误报率的LDoS攻击检测方法是本发明的目标。
线性预测分析是语音信号处理方面最主要的方法之一,其优势在于,它提供一组简洁的信号参数,可以正确表征信号的时域特性和频域特性。不同于线性预测分析对所有的频率一视同仁,感知线性预测利用基于人耳听觉模型提取特征参数,而人耳听觉具有对低频信息更敏感这一特性。正常流量和LDoS攻击流量的能量在低频部分的差异更为明显,因此,提取网络流量的感知线性预测特征作为LDoS攻击检测的研究对象,以进行LDoS攻击检测是可行的。
支持向量数据描述SVDD算法能够构造可包含正常数据样本的最小超球体。网络原始流量数据按照特定时间大小划分为若干个时间片,正常时间片和存在LDoS攻击的时间片的感知线性预测特征存在明显差异,因此基于SVDD算法,用无LDoS攻击的正常时间片数据训练构造出一个超球作为LDoS攻击检测模型进行攻击判定检测是可行的。
发明内容
本发明针对当前LDoS攻击检测方法存在的准确率较低、误报率较高的缺点,提出了一种基于感知线性预测和SVDD算法的LDoS攻击检测方法。该检测方法对网络流量进行分析,提取感知线性预测系数作为特征,并通过训练集成SVDD分类器构建LDoS攻击检测模型准确区分正常流量和LDoS攻击流量。该检测方法具有较高的准确率和较低的误报率,是一种有效的检测LDoS攻击的方法。
本发明为实现上述目标所采用的技术方案为:该LDoS攻击检测方法主要包括五个步骤:网络数据采样、数据预处理、流量特征提取、检测模型构建、攻击判定检测。
1.网络数据采样。以相同的采样间隔对到达路由器的数据包数量进行采样,生成离散信号序列以作为原始流量数据。
2.数据预处理。将原始流量数据按照特定时间大小划分为若干个时间片后,再使用加窗的方式使得相邻的时间片可以平滑过渡,即波形乘以窗函数得到加窗后的波形,经过切片与加窗,完成对原始流量数据的预处理。
3.流量特征提取。利用感知线性预测提取网络流量的特征参数,基本方法为将预处理后的离散信号序列通过短时傅里叶变换得到能量谱,进行临界频带分析后,通过线性预测得到感知线性预测特征。
4.检测模型构建。将已处理得到感知线性特征的若干个时间片作为训练时间片,用训练时间片训练多个SVDD分类器,使用分类器集成方法,集成多个识别率较高且差异性较大的分类器,构成LDoS攻击检测模型。
5.攻击判定检测。将时间片输入到构建的LDoS攻击检测模型,获取多个判定值,根据判定准则判定时间片是否存在LDoS攻击。
有益效果
该LDoS攻击检测方法对网络流量进行分析,提取感知线性预测系数作为特征,并通过训练集成SVDD分类器构建LDoS攻击检测模型准确区分正常流量和LDoS攻击流量,具有较好的检测性能。通过实验验证,该LDoS攻击检测方法具有较高的准确率和较低的误报率,准确率可达96.64%,是一种有效的检测LDoS攻击的方法。
附图说明
图1为感知线性预测特征提取流程图。对原始流量数据即离散信号序列进行预处理,对预处理后的数据进行分析,并通过线性预测得到网络流量的感知线性预测特征。
图2为基于本发明方法进行LDoS攻击检测模型构建的流程图。对用于训练的原始数据进行预处理及感知线性预测特征提取,用所得数据训练集成SVDD分类器以构建LDoS攻击检测模型。
图3为检测模型进行攻击检测的流程图。对待检测的网络流量数据进行预处理及特征提取,利用构建的LDoS攻击检测模型进行检测,判定网络中是否包含LDoS攻击。
图4为基于感知线性预测和SVDD的LDoS攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图1为感知线性预测特征提取流程图。对原始流量数据即离散信号序列进行预处理,得到若干个时间片,对划分成的若干个时间片进行频谱分析和临界频带分析后,通过线性预测提取网络流量的感知线性预测特征,具体操作方式如下:
1.数据预处理。将原始流量数据按照特定时间大小划分为若干个时间片后,再使用加窗的方式使得相邻的时间片可以平滑过渡,即波形乘以窗函数得到加窗后的波形。本发明选用汉明窗,窗函数w(l)公式如下,其中L为窗长度,α为窗函数中参数,一般情况下的取值为0.46。
Figure BDA0003346359580000031
加窗后的离散序列如下方公式所示,其中x(n)为原始流量数据,即数据包数量的离散信号序列;w(n)为离散信号序列对应的窗函数。
xw(n)=w(n)×x(n)
2.感知线性预测特征提取。利用感知线性预测提取网络流量的特征参数,基本方法为将预处理后的离散信号序列通过短时傅里叶变换得到能量谱,进行临界频带分析后,通过线性预测得到感知线性预测特征,具体是:
1)频谱分析。将时域信号经过短时傅里叶变换,取短时频谱的实部和虚部的平方和,得到短时能量谱,计算如式:
P(f)=Rx[X(f)]2+Im[X(f)]2
其中P(f)为短时能量谱,X(f)为短时频谱,Rx[X(f)]和Im[X(f)]分别为短时频谱的实部和虚部。
2)临界频带分析。将短时能量谱转换到Bark谱上。P(f)的频率轴f与Bark频率Z的映射关系如式:
Figure BDA0003346359580000032
将每个频带内的能量谱与加权系数Ψ(Z-Z0(k))相乘,求和后得到临界带宽谱θ(k),如下所示,Z0(k)为第k个临界带宽谱的中心频率。
Figure BDA0003346359580000041
Figure BDA0003346359580000042
3)线性预测。进行完临界频带分析后,经过离散傅里叶逆变换,求出全极点模型的一组系数,即为线性预测分析。P阶线性预测就是信号某一时刻的之前P个时间的采样值的线性组合来预测这一时刻的采样值
Figure BDA0003346359580000043
计算如式:
Figure BDA0003346359580000044
其中,线性预测系数形成的预测线性误差如式:
Figure BDA0003346359580000045
为达到最优预测效果,需要使得预测误差的均方差ε=E[e2(n)]最小,对其求偏导并使得偏导为0,如下式:
Figure BDA0003346359580000046
计算得到下式:
Figure BDA0003346359580000047
采用Levinson-Durbin算法求解方程组,即可得到线性预测系数ak,(k=1,2,...,p)。从而获取每个时间片的k维感知线性预测特征。
图2为基于本发明方法进行LDoS攻击检测模型构建的流程图。以相同的采样间隔对到达路由器的数据包数量进行采样,生成数据包数量的离散信号序列,作为原始训练数据,将原始训练数据划分为若干个大小相同的训练时间片,并为每个训练时间片设置标签,按照感知线性预测特征提取方法,将训练时间片内的数据点作为输入,获取每个训练时间片的特征,利用训练时间片特征训练并集成满足要求的SVDD分类器,得到SVDD分类器集合作为最终的LDoS攻击检测模型。
LDoS攻击检测模型构建过程中,用训练时间片训练多个SVDD分类器,使用分类器集成方法,集成多个识别率较高且差异性较大的分类器,构成LDoS攻击检测模型,具体如下:
1)用训练时间片训练生成L个SVDD分类器Ci(1≤i≤L);
2)用每个SVDD分类器Ci识别验证时间片,根据识别结果,计算出每个Ci的识别准确率Ri
3)选择出m(m<L)个识别准确率较好的SVDD分类器;
4)度量每两个SVDD分类器之间的差异性;
5)从SVDD分类器集合任选出n个SVDD分类器,作为一个新的SVDD分类器集合,求出这个新的SVDD分类器集合的差异值;
6)重复5),到设定次数停止。比较所有的SVDD分类器集合的差异值,选择差异值最大的SVDD分类器集合作为最终的LDoS攻击检测模型。
图3为检测模型进行攻击检测的流程图。将网络流量数据划分为若干个大小相同的时间片,提取感知线性预测特征,将时间片输入到构建好的LDoS攻击检测模型进行检测,根据判定准则判定时间片是否正常,具体过程如下:
1)以相同的采样间隔对到达路由器的数据包数量进行采样,生成数据包数量的离散信号序列,作为原始流量数据,将原始流量数据划分为若干个大小相同的时间片;
2)以时间片为单位,提取每个训练时间片的感知线性预测特征;
3)将时间片输入到构建好的LDoS攻击检测模型进行检测,根据判定准则判定时间片是否正常,若异常,则表明存在LDoS攻击。
根据判定准则判定时间片是否正常的方法为:根据SVDD分类器集合中全部SVDD分类器得到的判定值进行判断,若有超过半数判定值为“0”,即超过半数SVDD分类器判定该时间片不存在LDoS攻击,则判定该时间片正常,即不存在LDoS攻击;若有超过半数判定值为“1”,即超过半数SVDD分类器判定该时间片存在LDoS攻击,则判定该时间片异常,即存在LDoS攻击。
图4为基于感知线性预测和SVDD的LDoS攻击检测方法的流程图。主要包括LDoS攻击检测模型构建和攻击检测两部分,在模型构建和攻击检测过程中,都要首先对网络流量进行预处理,将网络流量划分为大小相同的时间片。在模型构建部分,提取训练时间片的感知线性预测特征,使用训练时间片的感知线性预测特征训练并集成SVDD分类器构建LDoS攻击检测模型,并确定判定准则;在攻击部分,提取待检测流量的时间片的感知线性预测特征,将其输入到LDoS攻击检测模型中,获得判定值,并使用判定准则判断是否受到LDoS攻击。

Claims (8)

1.基于感知线性预测和SVDD的LDoS攻击检测方法,其特征在于,SVDD是支持向量数据描述,所述LDoS攻击的检测方法包括以下几个步骤:
步骤1、网络数据采样:以相同的采样间隔对到达路由器的数据包数量进行采样,生成数据包数量的离散信号序列以作为原始流量数据;
步骤2、数据预处理:将步骤1中采样得到的原始流量数据按照特定时间大小划分为若干个时间片,使用加窗的方式使相邻的时间片实现平滑过渡,获得加窗后的离散信号序列;
步骤3、流量特征提取:对步骤2预处理后得到的离散信号序列通过短时傅里叶变换获取短时频谱,将得到的短时频谱转换到Bark谱,使用离散傅里叶逆变换和Levinson-Durbin算法获取时间片的感知线性预测特征;
步骤4、检测模型构建:利用SVDD算法构建LDoS攻击检测模型,以步骤3中提取的感知线性预测特征作为训练数据进行构建,实现基于感知线性预测和SVDD的LDoS攻击检测;
步骤5、攻击判定检测:提取当前时间片的感知线性预测特征,将特征输入构建好的LDoS攻击检测模型,若超过半数SVDD分类器输出的判定值为正常值则判定当前时间片正常,否则判定当前时间片内受到LDoS攻击。
2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤3中将步骤2预处理后得到的短时频谱通过短时傅里叶变换得到短时能量谱,再对短时能量谱进行临界频带分析,然后进行感知线性预测分析,获得网络流量的感知线性预测特征。
3.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤4中通过训练集成SVDD分类器构建LDoS攻击检测模型,主要包括两个步骤:
步骤4.1、用时间片的感知线性预测特征数据训练多个SVDD分类器,挑选出m个识别LDoS攻击准确率较高的SVDD分类器;
步骤4.2、从步骤4.1中挑选的m个SVDD分类器集合中选择出差异性排名靠前的n个SVDD分类器,用这n个差异性最大的SVDD分类器的集合作为最终的LDoS攻击检测模型。
4.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤5中所述的判定准则为:LDoS攻击检测模型中的每个SVDD分类器都会产生一个对网络流量的判定值,根据判定值确定LDoS攻击是否存在,判定值可以为“0”或为“1”,若判定值为“0”,表示该SVDD分类器判定该时间片不存在LDoS攻击;若判定值为“1”,表示该SVDD分类器判定该时间片存在LDoS攻击。
5.根据权利要求4中所述的LDoS攻击检测方法,其特征在于,LDoS攻击检测模型中的n个SVDD分类器得到n个判定值,若有超过半数判定值为“0”,即超过半数SVDD分类器判定该时间片不存在LDoS攻击,则判定该时间片不存在LDoS攻击;若有超过半数判定值为“1”,即超过半数SVDD分类器判定该时间片存在LDoS攻击,则判定该时间片存在LDoS攻击。
6.根据权利要求2中所述的LDoS攻击检测方法,其特征在于,步骤3对短时能量谱进行临界频带分析的方法为,将通过短时傅里叶变换短时频谱得到的短时能量谱转换到Bark谱上,再将每个频带内的能量谱与加权系数相乘,求和后得到临界带宽谱。
7.根据权利要求2中所述的LDoS攻击检测方法,其特征在于,步骤3进行感知线性预测分析的方法为,对通过临界频带分析得到的临界带宽谱进行离散傅里叶逆变换,求出全极点模型的一组线性预测系数,再采用Levinson-Durbin算法得到使预测误差的均方差最小的线性预测系数的值,从而获取时间片的k维感知线性预测特征。
8.根据权利要求3中所述的LDoS攻击检测方法,其特征在于,步骤4.2中n个差异性最大的SVDD分类器的选择方法为,度量m个SVDD分类器中每2个单SVDD分类器之间的差异性,再从中任选出n个SVDD分类器组成集合,并求出这个SVDD分类器集合的差异值,重复此操作到设定次数,比较所有的SVDD分类器集合的差异值,选择差异值最大的SVDD分类器集合。
CN202111337559.XA 2021-11-10 2021-11-10 基于感知线性预测和SVDD的LDoS攻击检测方法 Active CN114095222B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111337559.XA CN114095222B (zh) 2021-11-10 2021-11-10 基于感知线性预测和SVDD的LDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111337559.XA CN114095222B (zh) 2021-11-10 2021-11-10 基于感知线性预测和SVDD的LDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN114095222A CN114095222A (zh) 2022-02-25
CN114095222B true CN114095222B (zh) 2022-11-11

Family

ID=80300257

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111337559.XA Active CN114095222B (zh) 2021-11-10 2021-11-10 基于感知线性预测和SVDD的LDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN114095222B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108229071A (zh) * 2018-02-09 2018-06-29 杭州安脉盛智能技术有限公司 基于ar模型与svdd算法的刀具性能退化评估方法及系统
CN110719250A (zh) * 2018-07-13 2020-01-21 中国科学院沈阳自动化研究所 基于PSO-SVDD的Powerlink工控协议异常检测方法
CN112261000A (zh) * 2020-09-25 2021-01-22 湖南大学 一种基于PSO-K算法的LDoS攻击检测方法
CN112859866A (zh) * 2021-01-18 2021-05-28 西安电子科技大学 机器人滚动路径规划方法、系统、存储介质、设备及应用

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180120877A1 (en) * 2016-10-27 2018-05-03 Analog Devices, Inc. Precise voltage positioning using dc-dc converter

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108229071A (zh) * 2018-02-09 2018-06-29 杭州安脉盛智能技术有限公司 基于ar模型与svdd算法的刀具性能退化评估方法及系统
CN110719250A (zh) * 2018-07-13 2020-01-21 中国科学院沈阳自动化研究所 基于PSO-SVDD的Powerlink工控协议异常检测方法
CN112261000A (zh) * 2020-09-25 2021-01-22 湖南大学 一种基于PSO-K算法的LDoS攻击检测方法
CN112859866A (zh) * 2021-01-18 2021-05-28 西安电子科技大学 机器人滚动路径规划方法、系统、存储介质、设备及应用

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
《An Efficient Detection Approach for LDoS Attack》;郑芷青等;《2020 29th International Conference on Computer Communications and Networks (ICCCN)》;20200806;全文 *
基于流量预测的传感器网络拒绝服务攻击检测方案;曹晓梅等;《计算机学报》;20071015(第10期);全文 *
基于线性预测的DDoS攻击检测方法;王瑜等;《计算机工程》;20081020(第20期);全文 *

Also Published As

Publication number Publication date
CN114095222A (zh) 2022-02-25

Similar Documents

Publication Publication Date Title
CN108896878B (zh) 一种基于超声波的局部放电检测方法
Chatlani et al. Local binary patterns for 1-D signal processing
CN102163427B (zh) 一种基于环境模型的音频异常事件检测方法
CN106653032B (zh) 低信噪比环境下基于多频带能量分布的动物声音检测方法
CN110120230B (zh) 一种声学事件检测方法及装置
US20090012638A1 (en) Feature extraction for identification and classification of audio signals
CN115035913B (zh) 一种声音异常检测方法
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN112183225B (zh) 一种基于概率潜在语义分析的水下目标信号特征提取方法
CN115510909A (zh) 一种dbscan进行异常声音特征的无监督算法
KR20100036893A (ko) 음성 신호를 분석하여 화자를 인식하는 장치 및 그 방법
Wu et al. Adversarial sample detection for speaker verification by neural vocoders
CN116778964A (zh) 一种基于声纹识别的变电设备故障监测系统及方法
CN105916090A (zh) 一种基于智能化语音识别技术的助听器系统
CN109920447B (zh) 基于自适应滤波器振幅相位特征提取的录音欺诈检测方法
CN111540368A (zh) 一种稳健的鸟声提取方法、装置及计算机可读存储介质
CN114095222B (zh) 基于感知线性预测和SVDD的LDoS攻击检测方法
CN110415707B (zh) 一种基于语音特征融合和gmm的说话人识别方法
CN110335613B (zh) 一种采用拾音器实时探测的鸟类识别方法
CN108446656A (zh) 一种对厨房危险气体进行选择性识别的分析算法
CN112788057A (zh) 一种基于FSWT时频分布的LDoS攻击检测方法
CN114639387A (zh) 基于重构群延迟-常数q变换语谱图的声纹欺诈检测方法
CN111259861A (zh) 一种数据集不均衡条件下的水声通信信号调制方式识别方法
CN110689875A (zh) 一种语种识别方法、装置及可读存储介质
CN114070601B (zh) 一种基于EMDR-WE算法的LDoS攻击检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant