CN117411731A - 一种基于lof算法的加密ddos流量异常检测方法 - Google Patents

Abstract

本发明公开了一种基于LOF算法的加密DDOS流量异常检测方法，包括：使用CKKS全同态加密算法对客户端数据包进行加密得到加密数据包；服务端网关将每个时间段内接收到的所有加密数据包存入对应的加密数据包集合；使用空间抽样算法对每个加密数据包集合进行抽样；采用LOF算法对抽样得到的每个加密数据包抽样集合进行检测，若加密数据包抽样集合中异常加密数据包的比例超过20%，再次使用LOF算法检测出对应的加密数据包集合中所有的异常加密数据包并删除；本发明采用CKKS全同态加密算法对数据包进行加密，然后使用两次LOF算法对加密数据包检测，能够在保护数据安全的同时，高效、准确地检测出DDoS攻击数据包。

Description

一种基于LOF算法的加密DDOS流量异常检测方法

技术领域

本发明涉及网络安全技术领域，特别是涉及一种基于LOF算法的加密DDOS流量异常检测方法。

背景技术

互联网应用程序存在大量安全问题，主要包括DDoS攻击、恶意软件以及钓鱼攻击等。由于DDoS攻击成本低、攻击效果明显，它仍然是互联网用户面临的常见和严重的网络安全威胁之一。

目前主要的DDOS攻击异常流量检测技术有基于统计、流量分析、时间序列分析以及机器学习的方式，其中机器学习的方式得到了广泛的应用。主要的过程都是先进行数据收集，分析异常流量特征，最后根据异常流量特征设置对应异常检测规则。但是，随着加密技术的进步与用户隐私保护意识的提升，网络上越来越多的流量呈现为加密状态，传统的流量分析方法通常依赖于数据包明文有效负载中的有价值信息，由于有效负载信息不再可用，这些方法可能在加密流量中失去功效。例如，常见的加密通信协议（SSL/TLS、IPsec以及HTTPS等）使用的加密算法（RSA、AES以及3DES等）会在加密过程中引入随机性，这使得每次加密同一个明文会得到不同的密文，避免了密文重复性的同时提高了加密算法的强度。这对传统机器学习检测DDOS攻击异常流量发起了重要挑战，在构建机器学习模型时可能面临特征工程困难、数据不平衡性问题以及无法处理复杂的非线性关系等问题，传统异常流量检测方法的效率难以得到保障。因此一个实时性强、准确率高、适应性广的异常流量检测方法对于防御大规模DDOS攻击至关重要。

公开号为CN116155572A，名称为一种基于集成学习的加密流量网络入侵检测方法的专利文献，提出将加密流量时序特征聚类分析模块、加密流量统计特征支持向量机分类模块、加密源流量深度学习异常检测模块三个模块的集成策略来检测异常加密流量，不依赖非加密流量的特征，该方案具有一定的未知恶意流量检测能力，但由于加密源流量深度学习异常检测模块面临着加密流量复杂的非线性关系，存在适应性窄，准确率低的问题。

公开号为CN112822167A，名称为异常TLS加密流量检测方法与系统的专利文献，提出了采集TLS加密流量的报文数据集特征，然后利用随机森林算法来识别出加密流量报文中的异常流量的方案，该方案可以为用户隐私保护和网络安全提供技术支持，但由于网络中的数据传输量巨大，且模型训练需要耗费时间，存在实时性差的问题。

发明内容

为解决上述技术问题，本发明采用的一个技术方案是：提供一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，所述包括：

S10.从客户端获取数据包，使用CKKS全同态加密算法对所述数据包进行加密得到加密数据包，客户端将所述加密数据包发送给服务端；

S20.创建加密数据包队列，服务端网关按照时间间隔T划分时间段，依次在第t个时间段创建一个加密数据包集合，并将所述第t个时间段内接收到的所有加密数据包存入加密数据包集合/>，将所述加密数据包集合/>存入所述加密数据包队列；

S30.获取所述加密数据包队列中的第i个加密数据包集合，i为正整数且初始值为1，使用空间抽样算法对所述第i个加密数据包集合/>抽样，得到加密数据包抽样集合；

S40.采用LOF算法对所述加密数据包抽样集合进行检测，得到异常加密数据包，判断所述加密数据包抽样集合/>中异常加密数据包的数量是否大于或等于所述加密数据包抽样集合/>中加密数据包总数的20%，若是，转S50，若否，将所述第i个加密数据包集合/>发送给服务端，转S70；

S50.再次使用LOF算法对所述第i个加密数据包集合进行检测，得到异常加密数据包，删除所述第i个加密数据包集合/>中的异常加密数据包，将删除后的第i个加密数据包集合/>发送给服务端；

S60.服务端接收到所述删除后的第i个加密数据包集合，对所述删除后的第i个加密数据包集合/>中的所有加密数据包进行解密，得到明文数据包；

S70.判断所述第i个加密数据包集合是否为所述加密数据包队列中最后一个加密数据包集合，若是，检测结束，若否，i=i+1，转S30；

具体的，所述时间间隔T设置为5秒，所述第t个时间段的时间不超过当前时间段的时间，t为正整数且初始值为1。

进一步的，所述S10，包括：

所述CKKS全同态加密算法是一种基于环同态加密的完全同态加密方案，使数据加密后的密文可以进行同态计算，所述CKKS全同态加密算法包括：

参数设置：设置安全级别和最大计算级别/>，所述安全级别/>表示密文的保密性，所述最大计算级别/>表示可以执行的同态运算的最大深度；

密钥生成方法：，其中，/>表示生成的公钥，/>表示生成的私钥，/>表示所述CKKS全同态加密算法的密钥生成函数；

数据加密方法：，其中，/>表示数据包的明文数据，/>表示所述密钥生成方法生成的公钥，/>表示所述CKKS全同态加密算法的数据加密函数，/>表示所述数据包的明文数据加密后的密文特征向量；

数据解密方法：，其中/>表示所述密钥生成方法生成的私钥，/>表示所述数据包的明文数据加密后的密文特征向量，/>表示所述CKKS全同态加密算法的数据解密函数，/>表示所述数据包的明文数据；

密文加法运算：，其中/>都表示密文特征向量，/>表示所述CKKS全同态加密算法的密文加法函数，/>表示所述密文加法运算得到的密文特征向量；

密文乘法运算：，其中/>表示所述CKKS全同态加密算法的密文乘法函数，/>表示所述密文乘法运算得到的密文特征向量；

密文比较运算：，其中/>表示所述CKKS全同态加密算法的密文比较函数，r表示密文比较结果，r的取值为-1、0或1；

密文逆元运算：，其中/>表示所述CKKS全同态加密算法的密文逆元函数，/>表示密文特征向量/>进行所述密文逆元运算得到的密文特征向量。

进一步的，所述客户端使用CKKS全同态加密算法分别对数据包进行加密得到加密数据包，包括：

获取所述客户端的安全级别和最大计算级别/>，然后根据所述客户端的安全级别/>和最大计算级别/>使用所述CKKS全同态加密算法的密钥生成方法生成一对公钥与私钥，所述客户端将私钥保留在本地，将公钥在网络上公开；

所述客户端与服务端建立连接，获取所述服务端的公钥，所述客户端使用服务端的公钥和所述CKKS全同态加密算法的数据加密方法对数据包分别进行加密，得到加密数据包/>， n为所述客户端发送给所述服务端的数据包数量，/>为所述客户端需要发送给所述服务端的第n个数据包，/>为所述客户端发送给所述服务端的第n个加密数据包。

进一步的，所述S20，包括：

在第t个时间段内，服务端网关将第t个时间段内接收到的所有加密数据包存入加密数据包集合，得到/>，/>表示在所述第t个时间段内所述服务端网关接收到的第m个加密数据包；

所述服务端网关将每个时间段的所述加密数据包集合存入所述加密数据包队列，得到所述加密数据包队列为，/>表示当前时间段，/>为当前时间段内的加密数据包集合。

进一步的，所述S30，包括：

S31.创建两个大小都为的数组/>和数组/>，所述数组/>和数组/>初始化为0，所述数组/>用于存储加密数据包，所述数组/>用于存储所述加密数据包出现的频数，获取所述加密数据包队列中的第i个加密数据包集合/>；

S32.获取所述第i个加密数据包集合中的第j个加密数据包/>，j初始值为1，判断所述数组/>是否为空，若是，将所述第j个加密数据包/>插入数组/>的第一个位置，将所述数组/>中第一个位置的元素置为1，转S33，若否，转S34；

S33.判断所述第j个加密数据包是否为所述第i个加密数据包集合/>中最后一个元素，若是，转S37，若否，j=j+1，转S32；

S34.获取所述第j个加密数据包中的密文特征向量/>，获取所述数组/>中第a个加密数据包的密文特征向量/>，a初始值为1，所述密文特征向量/>和所述密文特征向量/>都包括：加密后的数据包长度、加密后的正向间隔时间均值、加密后的反向数据包速率；使用所述CKKS全同态加密算法对所述密文特征向量/>和所述密文特征向量/>执行密文比较运算，若运算结果为0，将所述数组/>中第a个位置的元素值加1，转S33，若运算结果为非0，转S35；

S35.判断所述第a个加密数据包是否为所述数组中最后一个不为0的元素，若是，转S36，若否，a=a+1，转S34；

S36.判断所述数组的元素值是否全不为0，若是，获取所述数组/>中元素值最小的位置为替换位置，将所述数组/>中所述替换位置的元素替换为所述第j个加密数据包，将所述数组/>中所述替换位置的元素值置为1，转S33，若否，将所述第j个加密数据包插入所述数组/>中第一个元素值为0的位置，将所述数组/>中第一个元素值为0的位置的元素值置为1，转S33；

S37.获取所述数组中所有加密数据包，存入加密数据包抽样集合/>。

进一步的，所述采用LOF算法检测所述加密数据包抽样集合，包括：

S41.计算所述加密数据包抽样集合中所有加密数据包之间的平方距离，计算公式如下：

；

其中，p表示所述加密数据包抽样集合中任意一个加密数据包，q表示所述加密数据包抽样集合/>中与p不同的任意一个加密数据包，/>表示加密数据包p的密文特征向量，/>表示加密数据包q的密文特征向量， />表示数字/>加密后得到的密文与所述密文特征向量/>做密文乘法运算得到的密文特征向量，/>表示密文加法函数，/>表示密文乘法函数，/>表示所述密文特征向量/>与所述密文特征向量/>之间的平方距离；

S42.根据所述加密数据包抽样集合的大小设置k值，计算所述加密数据包抽样集合/>中所有加密数据包的第k个最近的加密数据包的平方距离，得到任意加密数据包p的k邻近距离/>，获取所述加密数据包抽样集合/>中所有加密数据包的邻居加密数据包，得到任意加密数据包p的邻居加密数据包集合/>，所述邻居加密数据包为距离任意加密数据包p的平方距离小于所述加密数据包p的k邻近距离/>的所有加密数据包，计算任意加密数据包p的邻居加密数据包集合/>的大小为/>；

S43.计算所述加密数据包抽样集合中所有加密数据包之间的可达距离，其计算公式如下：

；

其中，表示取加密数据包p与加密数据包p的平方距离和加密数据包q的k邻近距离之间的最大值；

S44.计算所述加密数据包抽样集合中所有加密数据包的局部可达密度，其计算公式如下：

；

其中，表示数字1加密后得到的密文，/>表示密文乘法函数，/>表示密文逆元函数，/>表示加密数据包p的邻居加密数据包集合/>中的任意加密数据包，表示加密数据包p与所有加密数据包r的可达距离的总和；

S45.计算所述加密数据包抽样集合中所有加密数据包的局部异常因子，其计算公式如下：

；

S46.设置异常阈值为，依次判断所述加密数据包抽样集合/>中加密数据包的所述局部异常因子是否大于所述异常阈值，若是，则所述加密数据包为异常加密数据包，否则所述加密数据包为正常加密数据包，继续判断下一个加密数据包直至判断完所述加密数据包抽样集合/>中所有加密数据包。

进一步的，所述S41，包括：

所述密文特征向量和所述密文特征向量/>都包括：加密后的数据包长度、加密后的正向间隔时间均值、加密后的反向数据包速率。

进一步的，所述S50，包括：

所述再次使用LOF算法对所述第i个加密数据包集合进行检测与所述采用LOF算法对所述加密数据包抽样集合/>进行检测的方法相同。

本发明的有益效果是：

1. 通过采用CKKS全同态加密算法对数据包进行加密，不仅能够保护数据的隐私，还允许在保护用户敏感信息的情况下进行复杂的计算操作。

2. 空间抽样算法是一种高效的频率估计技术，运用空间抽样算法对加密数据包集合进行抽样，在加密数据包抽样集合中检测到过量异常加密数据包后，再对整个加密数据包进行筛选的方式，不仅能保证检测的准确率，还能提高检测的实时性。

3. 在密文环境下构建机器学习模型面临着特征工程的挑战、数据不平衡性等问题，同时无法处理复杂的非线性关系；我们采用LOF算法对加密数据包进行异常检测，这种无监督的方式能够在密文数据上有效应对这些挑战，实现对加密数据包异常检测的准确性与高效性。

附图说明

图1是本发明提供的一种基于LOF算法的加密DDOS流量异常检测方法的流程图。

图2是本发明提供的一种基于LOF算法的加密DDOS流量异常检测方法的使用空间抽样算法对加密数据包集合抽样的结构流程图。

图3是本发明提供的一种基于LOF算法的加密DDOS流量异常检测方法的采用LOF算法检测加密数据包抽样集合的流程图。

具体实施方式

下面结合附图对本发明的较佳实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但本发明还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本发明的一部分实施例，而不是全部的实施例。

图1是本发明实施例提供的一种基于LOF算法的加密DDOS流量异常检测方法的流程图，该方法包括：

S10.从客户端获取数据包，使用CKKS全同态加密算法对所述数据包进行加密得到加密数据包，客户端将所述加密数据包发送给服务端；

S20.创建加密数据包队列，服务端网关按照时间间隔T划分时间段，依次在第t个时间段创建一个加密数据包集合，并将所述第t个时间段内接收到的所有加密数据包存入加密数据包集合/>，将所述加密数据包集合/>存入所述加密数据包队列；

S30.获取所述加密数据包队列中的第i个加密数据包集合，i为正整数且初始值为1，使用空间抽样算法对所述第i个加密数据包集合/>抽样，得到加密数据包抽样集合；

S40.采用LOF算法对所述加密数据包抽样集合进行检测，得到异常加密数据包，判断所述加密数据包抽样集合/>中异常加密数据包的数量是否大于或等于所述加密数据包抽样集合/>中加密数据包总数的20%，若是，转S50，若否，将所述第i个加密数据包集合/>发送给服务端，转S70；

S50.再次使用LOF算法对所述第i个加密数据包集合进行检测，得到异常加密数据包，删除所述第i个加密数据包集合/>中的异常加密数据包，将删除后的第i个加密数据包集合/>发送给服务端；

S60.服务端接收到所述删除后的第i个加密数据包集合，对所述删除后的第i个加密数据包集合/>中的所有加密数据包进行解密，得到明文数据包；

S70.判断所述第i个加密数据包集合是否为所述加密数据包队列中最后一个加密数据包集合，若是，检测结束，若否，i=i+1，转S30；

具体的，所述时间间隔T设置为5秒，所述第t个时间段的时间不超过当前时间段的时间，t为正整数且初始值为1。

本实施例中，客户端获取服务端的公钥之后，使用所述公钥对数据包进行加密得到加密数据包，将所述加密数据包发送给服务端，服务端网关按照时间间隔为5秒划分时间段，依次在第t个时间段创建一个加密数据包集合，并将所述第t个时间段内接收到的所有加密数据包存入加密数据包集合/>，将所述加密数据包集合/>存入加密数据包队列；然后使用空间抽样算法依次对所述加密数据包队列中的第i个加密数据包集合/>抽样，得到加密数据包抽样集合/>；采用LOF算法对所述加密数据包抽样集合/>进行检测，得到异常加密数据包，判断所述加密数据包抽样集合/>中异常加密数据包的数量是否大于或等于所述加密数据包抽样集合/>中加密数据包总数的20%，若是，再次使用LOF算法对所述加密数据包集合/>进行检测，将加密数据包集合/>中检测出来的所有异常加密数据包删除，将删除后的加密数据包集合/>发给给服务端，服务端使用本地的私钥对加密数据包进行解密，若否，直接将所述加密数据包集合发送给服务端，服务端使用本地的私钥对加密数据包进行解密。

进一步的，所述S10，包括：

所述CKKS全同态加密算法是一种基于环同态加密的完全同态加密方案，使数据加密后的密文可以进行同态计算，所述CKKS全同态加密算法包括：

参数设置：设置安全级别和最大计算级别/>，所述安全级别/>表示密文的保密性，所述最大计算级别/>表示可以执行的同态运算的最大深度；

密钥生成方法：，其中，/>表示生成的公钥，/>表示生成的私钥，/>表示所述CKKS全同态加密算法的密钥生成函数；

数据加密方法：，其中，/>表示数据包的明文数据，/>表示所述密钥生成方法生成的公钥，/>表示所述CKKS全同态加密算法的数据加密函数，/>表示所述数据包的明文数据加密后的密文特征向量；

数据解密方法：，其中/>表示所述密钥生成方法生成的私钥，/>表示所述数据包的明文数据加密后的密文特征向量，/>表示所述CKKS全同态加密算法的数据解密函数，/>表示所述数据包的明文数据；

密文加法运算：，其中/>都表示密文特征向量，/>表示所述CKKS全同态加密算法的密文加法函数，/>表示所述密文加法运算得到的密文特征向量；

密文乘法运算：，其中/>表示所述CKKS全同态加密算法的密文乘法函数，/>表示所述密文乘法运算得到的密文特征向量；

密文比较运算：，其中/>表示所述CKKS全同态加密算法的密文比较函数，r表示密文比较结果，r的取值为-1、0或1；

密文逆元运算：，其中/>表示所述CKKS全同态加密算法的密文逆元函数，/>表示密文特征向量/>进行所述密文逆元运算得到的密文特征向量。

进一步的，所述客户端使用CKKS全同态加密算法分别对数据包进行加密得到加密数据包，包括：

获取所述客户端的安全级别和最大计算级别/>，然后根据所述客户端的安全级别/>和最大计算级别/>使用所述CKKS全同态加密算法的密钥生成方法生成一对公钥与私钥，所述客户端将私钥保留在本地，将公钥在网络上公开；

所述客户端与服务端建立连接，获取所述服务端的公钥，所述客户端使用服务端的公钥和所述CKKS全同态加密算法的数据加密方法对数据包分别进行加密，得到加密数据包/>， n为所述客户端发送给所述服务端的数据包数量，/>为所述客户端需要发送给所述服务端的第n个数据包，/>为所述客户端发送给所述服务端的第n个加密数据包。

进一步的，所述S20，包括：

在第t个时间段内，服务端网关将第t个时间段内接收到的所有加密数据包存入加密数据包集合，得到/>，/>表示在所述第t个时间段内所述服务端网关接收到的第m个加密数据包；

所述服务端网关将每个时间段的所述加密数据包集合存入所述加密数据包队列，得到所述加密数据包队列为，/>表示当前时间段，/>为当前时间段内的加密数据包集合。

进一步的，参考图2，所述S30，包括：

S31.创建两个大小都为的数组/>和数组/>，所述数组/>和数组/>初始化为0，所述数组/>用于存储加密数据包，所述数组/>用于存储所述加密数据包出现的频数，获取所述加密数据包队列中的第i个加密数据包集合/>；

S32.获取所述第i个加密数据包集合中的第j个加密数据包/>，j初始值为1，判断所述数组/>是否为空，若是，将所述第j个加密数据包/>插入数组/>的第一个位置，将所述数组/>中第一个位置的元素置为1，转S33，若否，转S34；

S33.判断所述第j个加密数据包是否为所述第i个加密数据包集合/>中最后一个元素，若是，转S37，若否，j=j+1，转S32；

S34.获取所述第j个加密数据包中的密文特征向量/>，获取所述数组/>中第a个加密数据包的密文特征向量/>，a初始值为1，所述密文特征向量/>和所述密文特征向量/>都包括：加密后的数据包长度、加密后的正向间隔时间均值、加密后的反向数据包速率；使用所述CKKS全同态加密算法对所述密文特征向量/>和所述密文特征向量/>执行密文比较运算，若运算结果为0，将所述数组/>中第a个位置的元素值加1，转S33，若运算结果为非0，转S35；

S35.判断所述第a个加密数据包是否为所述数组中最后一个不为0的元素，若是，转S36，若否，a=a+1，转S34；

S36.判断所述数组的元素值是否全不为0，若是，获取所述数组/>中元素值最小的位置为替换位置，将所述数组/>中所述替换位置的元素替换为所述第j个加密数据包，将所述数组/>中所述替换位置的元素值置为1，转S33，若否，将所述第j个加密数据包插入所述数组/>中第一个元素值为0的位置，将所述数组/>中第一个元素值为0的位置的元素值置为1，转S33；

S37.获取所述数组中所有加密数据包，存入加密数据包抽样集合/>。

参考图2，本实施例中，创建并初始化两个大小都为的数组和数组，获取第i 个加密数据包集合，依次获取所述第i个加密数据包集合 中的第j个加密数据包，j初始值为1，判断此时数组是否为空，若是，将所述第j个加 密数据包插入数组的第一个位置，将所述数组中第一个位置的元素赋值为 1，若否，获取所述第j个加密数据包中的密文特征向量，获取所述数组中第a个加 密数据包的密文特征向量，a初始值为1，所述密文特征向量和所述密文特征向量都 包括：加密后的数据包长度、加密后的正向间隔时间均值、加密后的反向数据包速率；使用 所述CKKS全同态加密算法对所述密文特征向量和所述密文特征向量执行密文比较运 算，若运算结果为0，表示所述第j个加密数据包不为数组中的新元素，将所述数组中第a个位置的元素值加1，若运算结果为非0，表示所述第j个加密数据包为数组中的新元素，则判断所述数组中最是否有空闲位置，若是，将所述第j个加密数据包插入所述数组中第一个空闲的位置，将数组中相同位置的值置为 1，若否，获取所述数组中元素值最小的位置为替换位置，将所述数组中 位置的元素删除，将所述第j个加密数据包插入所述数组中位置，将所述数组中位置的元素值置为1，获取完所述第i个加密数据包集合中的所有加密数据包 后，获取所述数组中所有加密数据包，存入加密数据包抽样集合。

进一步的，参考图3，所述采用LOF算法检测所述加密数据包抽样集合，包括：

S41.计算所述加密数据包抽样集合中所有加密数据包之间的平方距离，计算公式如下：

；

其中，p表示所述加密数据包抽样集合中任意一个加密数据包，q表示所述加密数据包抽样集合/>中与p不同的任意一个加密数据包，/>表示加密数据包p的密文特征向量，/>表示加密数据包q的密文特征向量， />表示数字/>加密后得到的密文与所述密文特征向量/>做密文乘法运算得到的密文特征向量，/>表示密文加法函数，/>表示密文乘法函数，/>表示所述密文特征向量/>与所述密文特征向量/>之间的平方距离；

S42.根据所述加密数据包抽样集合的大小设置k值，计算所述加密数据包抽样集合/>中所有加密数据包的第k个最近的加密数据包的平方距离，得到任意加密数据包p的k邻近距离/>，获取所述加密数据包抽样集合/>中所有加密数据包的邻居加密数据包，得到任意加密数据包p的邻居加密数据包集合/>，所述邻居加密数据包为距离任意加密数据包p的平方距离小于所述加密数据包p的k邻近距离/>的所有加密数据包，计算任意加密数据包p的邻居加密数据包集合/>的大小为/>；

S43.计算所述加密数据包抽样集合中所有加密数据包之间的可达距离，其计算公式如下：

；

其中，表示取加密数据包p与加密数据包p的平方距离和加密数据包q的k邻近距离之间的最大值；

S44.计算所述加密数据包抽样集合中所有加密数据包的局部可达密度，其计算公式如下：

；

其中，表示数字1加密后得到的密文，/>表示密文乘法函数，/>表示密文逆元函数，/>表示加密数据包p的邻居加密数据包集合/>中的任意加密数据包，表示加密数据包p与所有加密数据包r的可达距离的总和；

S45.计算所述加密数据包抽样集合中所有加密数据包的局部异常因子，其计算公式如下：

；

S46.设置异常阈值为，依次判断所述加密数据包抽样集合/>中加密数据包的所述局部异常因子是否大于所述异常阈值，若是，则所述加密数据包为异常加密数据包，否则所述加密数据包为正常加密数据包，继续判断下一个加密数据包直至判断完所述加密数据包抽样集合/>中所有加密数据包。

本实施例首先计算加密数据包抽样集合中所有加密数据包之间的平方距离， 根据所述加密数据包抽样集合的大小设置k值，计算所述加密数据包抽样集合中所 有加密数据包的第k个最近的加密数据包的平方距离，得到任意加密数据包p的k邻近距离，获取所述加密数据包抽样集合中所有加密数据包的邻居加密数据包，得到 任意加密数据包p的邻居加密数据包集合，计算任意加密数据包p的邻居加密数据包 集合的大小为；计算所述加密数据包抽样集合中所有加密数据包之间 的可达距离，计算所述加密数据包抽样集合中所有加密数据包的局部可达 密度，计算所述加密数据包抽样集合中所有加密数据包的局部异常因子 ，设置异常阈值为，依次判断所述加密数据包抽样集合中加密数据包的所 述局部异常因子是否大于所述异常阈值，若是，则所述加密数据包为异常加密数据包，否则 所述加密数据包为正常加密数据包，继续判断下一个加密数据包直至判断完所述加密数据 包抽样集合中所有加密数据包。

进一步的，所述S41，包括：

所述密文特征向量和所述密文特征向量/>都包括：加密后的数据包长度、加密后的正向间隔时间均值、加密后的反向数据包速率。

进一步的，所述S50，包括：

所述再次使用LOF算法对所述第i个加密数据包集合进行检测与所述采用LOF算法对所述加密数据包抽样集合/>进行检测的方法相同。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，包括：

S10.从客户端获取数据包，使用CKKS全同态加密算法对所述数据包进行加密得到加密数据包，客户端将所述加密数据包发送给服务端；

S20.创建加密数据包队列，服务端网关按照时间间隔T划分时间段，依次在第t个时间段创建一个加密数据包集合，并将所述第t个时间段内接收到的所有加密数据包存入加密数据包集合/>，将所述加密数据包集合/>存入所述加密数据包队列；

S30.获取所述加密数据包队列中的第i个加密数据包集合，i为正整数且初始值为1，使用空间抽样算法对所述第i个加密数据包集合/>抽样，得到加密数据包抽样集合/>；

S40.采用LOF算法对所述加密数据包抽样集合进行检测，得到异常加密数据包，判断所述加密数据包抽样集合/>中异常加密数据包的数量是否大于或等于所述加密数据包抽样集合/>中加密数据包总数的20%，若是，转S50，若否，将所述第i个加密数据包集合发送给服务端，转S70；

S50.再次使用LOF算法对所述第i个加密数据包集合进行检测，得到异常加密数据包，删除所述第i个加密数据包集合/>中的异常加密数据包，将删除后的第i个加密数据包集合/>发送给服务端；

S60.服务端接收到所述删除后的第i个加密数据包集合，对所述删除后的第i个加密数据包集合/>中的所有加密数据包进行解密，得到明文数据包；

S70.判断所述第i个加密数据包集合是否为所述加密数据包队列中最后一个加密数据包集合，若是，检测结束，若否，i=i+1，转S30；

所述时间间隔T设置为5秒，所述第t个时间段的时间不超过当前时间段的时间，t为正整数且初始值为1。

2.如权利要求1所述的一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，所述S10，包括：

所述CKKS全同态加密算法是一种基于环同态加密的完全同态加密方案，使数据加密后的密文可以进行同态计算，所述CKKS全同态加密算法包括：

参数设置：设置安全级别和最大计算级别/>，所述安全级别/>表示密文的保密性，所述最大计算级别/>表示可以执行的同态运算的最大深度；

密钥生成方法：，其中，/>表示生成的公钥，/>表示生成的私钥，/>表示所述CKKS全同态加密算法的密钥生成函数；

数据加密方法：，其中，/>表示数据包的明文数据，/>表示所述密钥生成方法生成的公钥，/>表示所述CKKS全同态加密算法的数据加密函数，/>表示所述数据包的明文数据加密后的密文特征向量；

数据解密方法：，其中/>表示所述密钥生成方法生成的私钥，/>表示所述数据包的明文数据加密后的密文特征向量，/>表示所述CKKS全同态加密算法的数据解密函数，/>表示所述数据包的明文数据；

密文加法运算：，其中/>都表示密文特征向量，/>表示所述CKKS全同态加密算法的密文加法函数，/>表示所述密文加法运算得到的密文特征向量；

密文乘法运算：，其中/>表示所述CKKS全同态加密算法的密文乘法函数，/>表示所述密文乘法运算得到的密文特征向量；

密文比较运算：，其中/>表示所述CKKS全同态加密算法的密文比较函数，r表示密文比较结果，r的取值为-1、0或1；

密文逆元运算：，其中/>表示所述CKKS全同态加密算法的密文逆元函数，/>表示密文特征向量/>进行所述密文逆元运算得到的密文特征向量。

3.如权利要求1所述的一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，所述客户端使用CKKS全同态加密算法分别对数据包进行加密得到加密数据包，包括：

获取所述客户端的安全级别和最大计算级别/>，然后根据所述客户端的安全级别/>和最大计算级别/>使用所述CKKS全同态加密算法的密钥生成方法生成一对公钥与私钥，所述客户端将私钥保留在本地，将公钥在网络上公开；

所述客户端与服务端建立连接，获取所述服务端的公钥，所述客户端使用服务端的公钥和所述CKKS全同态加密算法的数据加密方法对数据包分别进行加密，得到加密数据包/>， n为所述客户端发送给所述服务端的数据包数量，/>为所述客户端需要发送给所述服务端的第n个数据包，/>为所述客户端发送给所述服务端的第n个加密数据包。

4.如权利要求1所述的一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，所述S20，包括：

在第t个时间段内，服务端网关将第t个时间段内接收到的所有加密数据包存入加密数据包集合，得到/>，/>表示在所述第t个时间段内所述服务端网关接收到的第m个加密数据包；

所述服务端网关将每个时间段的所述加密数据包集合存入所述加密数据包队列，得到所述加密数据包队列为，/>表示当前时间段，/>为当前时间段内的加密数据包集合。

5.如权利要求1所述的一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，所述S30，包括：

S31.创建两个大小都为的数组/>和数组/>，所述数组/>和数组/>初始化为0，所述数组/>用于存储加密数据包，所述数组/>用于存储所述加密数据包出现的频数，获取所述加密数据包队列中的第i个加密数据包集合/>；

S32.获取所述第i个加密数据包集合中的第j个加密数据包/>，j初始值为1，判断所述数组/>是否为空，若是，将所述第j个加密数据包/>插入数组/>的第一个位置，将所述数组/>中第一个位置的元素置为1，转S33，若否，转S34；

S33.判断所述第j个加密数据包是否为所述第i个加密数据包集合/>中最后一个元素，若是，转S37，若否，j=j+1，转S32；

S34.获取所述第j个加密数据包中的密文特征向量/>，获取所述数组/>中第a个加密数据包的密文特征向量/>，a初始值为1，所述密文特征向量/>和所述密文特征向量/>都包括：加密后的数据包长度、加密后的正向间隔时间均值、加密后的反向数据包速率；使用所述CKKS全同态加密算法对所述密文特征向量/>和所述密文特征向量/>执行密文比较运算，若运算结果为0，将所述数组/>中第a个位置的元素值加1，转S33，若运算结果为非0，转S35；

S35.判断所述第a个加密数据包是否为所述数组中最后一个不为0的元素，若是，转S36，若否，a=a+1，转S34；

S36.判断所述数组的元素值是否全不为0，若是，获取所述数组/>中元素值最小的位置为替换位置，将所述数组/>中所述替换位置的元素替换为所述第j个加密数据包/>，将所述数组/>中所述替换位置的元素值置为1，转S33，若否，将所述第j个加密数据包/>插入所述数组/>中第一个元素值为0的位置，将所述数组/>中第一个元素值为0的位置的元素值置为1，转S33；

S37.获取所述数组中所有加密数据包，存入加密数据包抽样集合/>。

6.如权利要求1所述的一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，所述采用LOF算法检测所述加密数据包抽样集合，包括：

S41.计算所述加密数据包抽样集合中所有加密数据包之间的平方距离，计算公式如下：

；

其中，p表示所述加密数据包抽样集合中任意一个加密数据包，q表示所述加密数据包抽样集合/>中与p不同的任意一个加密数据包，/>表示加密数据包p的密文特征向量，表示加密数据包q的密文特征向量， />表示数字/>加密后得到的密文与所述密文特征向量/>做密文乘法运算得到的密文特征向量，/>表示密文加法函数，/>表示密文乘法函数，/>表示所述密文特征向量/>与所述密文特征向量/>之间的平方距离；

S42.根据所述加密数据包抽样集合的大小设置k值，计算所述加密数据包抽样集合中所有加密数据包的第k个最近的加密数据包的平方距离，得到任意加密数据包p的k邻近距离/>，获取所述加密数据包抽样集合/>中所有加密数据包的邻居加密数据包，得到任意加密数据包p的邻居加密数据包集合/>，所述邻居加密数据包为距离任意加密数据包p的平方距离小于所述加密数据包p的k邻近距离/>的所有加密数据包，计算任意加密数据包p的邻居加密数据包集合/>的大小为/>；

S43.计算所述加密数据包抽样集合中所有加密数据包之间的可达距离/>，其计算公式如下：

；

其中，表示取加密数据包p与加密数据包p的平方距离和加密数据包q的k邻近距离之间的最大值；

S44.计算所述加密数据包抽样集合中所有加密数据包的局部可达密度/>，其计算公式如下：

；

其中，表示数字1加密后得到的密文，/>表示密文乘法函数，/>表示密文逆元函数，/>表示加密数据包p的邻居加密数据包集合/>中的任意加密数据包，表示加密数据包p与所有加密数据包r的可达距离的总和；

S45.计算所述加密数据包抽样集合中所有加密数据包的局部异常因子/>，其计算公式如下：

；

S46.设置异常阈值为，依次判断所述加密数据包抽样集合/>中加密数据包的所述局部异常因子是否大于所述异常阈值，若是，则所述加密数据包为异常加密数据包，否则所述加密数据包为正常加密数据包，继续判断下一个加密数据包直至判断完所述加密数据包抽样集合/>中所有加密数据包。

7.如权利要求6所述的一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，所述S41，包括：

所述密文特征向量和所述密文特征向量/>都包括：加密后的数据包长度、加密后的正向间隔时间均值、加密后的反向数据包速率。

8.如权利要求1所述的一种基于LOF算法的加密DDOS流量异常检测方法，其特征在于，所述S50，包括：

所述再次使用LOF算法对所述第i个加密数据包集合进行检测与所述采用LOF算法对所述加密数据包抽样集合/>进行检测的方法相同。