CN111294362A - 一种基于分形残差的LDoS攻击实时检测方法 - Google Patents
一种基于分形残差的LDoS攻击实时检测方法 Download PDFInfo
- Publication number
- CN111294362A CN111294362A CN202010183854.3A CN202010183854A CN111294362A CN 111294362 A CN111294362 A CN 111294362A CN 202010183854 A CN202010183854 A CN 202010183854A CN 111294362 A CN111294362 A CN 111294362A
- Authority
- CN
- China
- Prior art keywords
- fractal
- data traffic
- residual
- ldos
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于分形残差的LDoS攻击实时检测方法,属于网络安全领域。其中所述方法包括:获取单位时长内检测网络的数据流量,基于滑动窗口的概念,对获取到的数据流量进行处理,获得数据流量的Hurst滑动窗口。根据R/S算法分析计算Hurst滑动窗口的分形值,使用拟合残差公式,计算Hurst滑动窗口的分形残差值,将待测网络数据流量的分形残差值与变异系数共同作用作为决策特征值,与事先训练出来的决策阈值进行比较,依据相关判定准则判定,是否存在因LDoS攻击而导致的网络流量的分形残差值异常,从而检测该Hurst滑动窗口内是否发生LDoS攻击。本发明提出的基于分形残差的LDoS攻击实时检测方法,误报率和漏报率较低,检测准确度较高,实时性好。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于分形残差的LDoS攻击实时检测方法。
背景技术
自计算机网络在全世界普及以来,网络安全问题一直不断发生,网络攻击是对计算机网络最严重的威胁手段,而拒绝服务(DoS)攻击是网络攻击中最常见的方式,是一种实现简单、攻击高效的针对目标网络或主机进行的攻击,其攻击的目的就是让目标网络或主机拒绝合法用户的合法请求,破坏网络的正常运行。慢速拒绝服务(LDoS)攻击不像传统的DoS攻击一样需要维持高速率的攻击流来耗尽受害目标的资源,而是利用网络协议或者应用服务中的自适应机制的漏洞,周期性地发送攻击流量来降低受害目标的服务质量,进而增大了检测的难度。另外,现有的检测算法普遍存在检测准确度不高、实时性弱等特点。
本发明针对现有的LDoS攻击检测方法普遍存在的检测准确度不高、实时性弱等特点,提出了一种基于分形残差的LDoS攻击实时检测方法。该方法通过对单位时间内采样到的原始数据流量进行处理,用R/S算法计算分析网络流量的分形特征,再计算分形残差值的大小,通过比较不同网络状态的分形残差值,提出相应的判断准则来判别对应的待测网络数据流量是否异常,从而达到检测LDoS攻击的目的。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的实时性较好。因此该检测方法可普适于准确实时检测LDoS攻击。
发明内容
针对现有的LDoS攻击检测方法普遍存在的检测准确度不高、实时性弱等特点,提出了一种基于分形残差的LDoS攻击实时检测方法。该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的实时性好。因此该检测方法可普适于准确实时检测LDoS攻击。
本发明为实现上述目标所采用的技术方案为:该LDoS攻击检测方法主要包括四个步骤:采样数据、Hurst窗口划分、计算分析以及判定检测。
1.采样数据。对网络中的瓶颈链路或关键路由器,以固定取样时间获取固定时间长度(单位时间)内的原始数据流量。
2.Hurst窗口划分。根据获取的原始数据流量,结合滑动窗口的概念,对单位时间内的网络数据流量进行处理,获得Hurst滑动窗口。
Hurst滑动窗口定义为:为了能够实现实时检测,对不断到达的网络数据流量进行分析,随着网络数据流量的流入,将网络数据流量划分为固定长度的段,每个段称为一个Hurst滑动窗口。
对于样本个数为n的网络数据流量,则Hurst滑动窗口的数量Num如下所示。
则第k个Hurst滑动窗口对应的区间如下所示。
[(k-1)Δt+1,(k-1)Δt+ΔT],k=1,2,...,Num
其中,ΔT为Hurst滑动窗口长度,Δt为移动步长。
3.计算分析。根据获得的原始数据流量的Hurst滑动窗口,基于网络流量在大时间尺度上存在分形特征的特点,使用R/S算法,计算Hurst滑动窗口的分形残差,分析窗口内分形残差绝对值距离大小。具体是:1)基于网络数据流量在大时间尺度上存在分形特点,定量计算正常网络数据流量所有Hurst滑动窗口的分形残差值,分析分形残差绝对值距离大小;2)基于网络数据流量在大时间尺度上存在分形特点,定量计算待测网络数据流量Hurst滑动窗口的分形残差值,分析分形残差绝对值距离大小。
该LDoS检测方法,在度量分形残差时使用残差平方和公式,其中,yk表示log(R/S)Nm的原始值,
表示拟合值,K为散点个数。分形残差公式如下所示。
4.判定检测。根据计算获得的分形残差绝对值距离大小,对该单位时间内的数据流量进行判定检测。具体是:1)基于预先存储的正常网络流量的分形残差绝对值距离大小获得的基准阈值,和超参数共同作用作为决策阈值;2)基于待测网络数据流量的分形残差绝对值距离大小和变异系数,获得决策特征值,对比决策阈值,对该待测网络数据流量进行判定检测。若根据判定准则判定为异常,则判定该单位时间内发生LDoS攻击。
若检测结果显示该单位时间内数据流量正常,则将该单位时间内数据流量的分形残差值加入预先存储的对应数据内,用以修正预先存储的正常网络流量获得的基准阈值。
有益效果
该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时实时性较好。因此,该检测方法可普适于准确实时检测LDoS攻击。
附图说明
图1为五种网络状态(网络没有遭受过攻击、网络部分进入攻击、网络完全进入攻击、网络部分退出攻击、网络完全退出攻击)下网络流量的分形值与分形残差值大小对比图。
图2为Hurst滑动窗口模型图。
图3为不同超参数和连续Hurst滑动窗口大小下的F1_Score、Accuracy、FPR、FNR值对比图。
图4为一种基于分形残差的LDoS攻击实时检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图1为五种网络状态(网络没有遭受过攻击、网络部分进入攻击、网络完全进入攻击、网络部分退出攻击、网络完全退出攻击)下网络流量的分形值与分形残差值大小对比图。通过对不同网络不同状态下的分形值(HA和HN)和拟合残差值(HAR和HNR)进行分析,发现基于分形的拟合残差值比起直接比较分形值更能区分正常流量和LDoS攻击流量,进而可以区分发生LDoS攻击与未发生攻击的网络。
图2为Hurst滑动窗口模型图。为了能够实现实时检测,我们要对不断到达的网络流量进行分析,随着网络流量的流入,将数据划分为固定长度的段,每个段为一个Hurst滑动窗口。假设该Hurst滑动窗口长度为ΔT,然后移动Δt步长,继续获取下一个Hurst滑动窗口的Hurst拟合残差值。这样,每次只用采样Δt的数据,就可以估算拟合残差值,而不用完整采样ΔT的数据,保证了检测方法的实时性,提高检测的效率,也能较早地检测到攻击发生的时间,更快地采取应对措施。
图3为不同超参数和连续Hurst滑动窗口大小下的F1_Score、Accuracy、FPR、FNR值对比图。超参数的取值(w)和连续Hurst滑动窗口数取值(m)不同,对应的F1_Score、Accuracy、FPR、FNR值也有一定的差异,在考虑检测具有较高的准确率的同时,也要考虑实际检测中对漏报和误报的要求。因此,w和m的取值对于检测的结果是至关重要的。
如图4所示,该LDoS快速检测方法主要包括四个步骤:采样数据、处理数据、Hurst滑动窗口划分以及判定检测。
Claims (9)
1.一种基于分形残差的LDoS攻击实时检测方法,其特征在于,所述LDoS检测方法包括以下几个步骤:
步骤1、采样数据:获取瓶颈链路或关键路由器中的数据流量,对单位时间内的相关数据流量进行采样,形成原始数据流量;
步骤2、Hurst窗口划分:结合滑动窗口的概念,对原始数据流量进行处理,将原始数据流量划分为Hurst滑动窗口;
步骤3、计算分析:基于网络流量在大时间尺度上存在分形特征的特点,使用R/S算法,计算Hurst滑动窗口的分形残差,分析窗口内分形残差的绝对值距离大小;
步骤4、判定检测:根据预先训练生成的分形残差决策阈值,对采样到的原始数据流量进行判定检测。若符合所述条件,则判定为该网络中采样流量对应的单位时间内发生LDoS攻击。
2.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤1中对网络中瓶颈链路或关键路由器,以固定取样时间获取固定时间长度(单位时间)内的数据流量,形成原始数据流量。
3.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤2中根据步骤1获取的原始数据流量,结合滑动窗口的概念,对单位时间内的原始数据流量进行处理,获得原始数据流量的Hurst滑动窗口。
4.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤3中根据步骤2中获得的原始数据流量的Hurst滑动窗口,基于网络流量在大时间尺度上存在分形特征的特点,使用R/S算法,计算Hurst滑动窗口的分形残差,分析窗口内分形残差绝对值距离大小,包括两个步骤:
步骤3.1、基于网络流量在大时间尺度上存在分形特征的特点,定量计算正常网络数据流量所有Hurst滑动窗口的分形残差值,分析分形残差绝对值距离大小;
步骤3.2、基于网络流量在大时间尺度上存在分形特征的特点,定量计算待测网络数据流量Hurst滑动窗口的分形残差值,分析分形残差绝对值距离大小。
5.根据权利要求4中所述的LDoS检测方法,其特征在于,步骤3.1中通过计算正常网络数据流量的分形残差并计算其均值,分析分形残差与均值的绝对值距离大小,将绝对值距离的均值作为基准阈值,加以区别发生LDoS攻击和未发生攻击的网络。
6.根据权利要求4中所述的LDoS检测方法,其特征在于,步骤3.2中通过计算待测网络数据流量的分形残差,分析分形残差与步骤3.1中获得的均值的绝对值距离大小,同时计算获得原始数据流量的变异系数,加以区别发生LDoS攻击和未发生攻击的网络。
7.根据权利要求1中所述的LDoS检测方法,其特征在于,步骤4中根据步骤3中计算获得的预先训练生成的分形残差相关的阈值,对采样到的原始待测数据流量进行判定检测,包括两个步骤:
步骤4.1、基于预先存储的正常网络数据流量的分形残差绝对值距离大小获得的基准阈值,和超参数共同作用作为决策阈值;
步骤4.2、基于待测网络数据流量的分形残差绝对值距离大小和变异系数,获得决策特征值,对比决策阈值,对该待测网络数据流量进行判定检测。
8.根据权利要求7中所述的LDoS检测方法,其特征在于,步骤4.1中对正常网络数据流量计算获得的基准阈值,和超参数共同作用作为对待测网络数据流量进行判定检测的决策阈值。该超参数通过事先模拟正常网络数据流量和LDoS攻击网络数据流量获得,其值大于等于(>=)正常网络数据流量变异系数的均值,小于等于(<=)LDoS攻击网络数据流量变异系数的最小值。
9.根据权利要求7中所述的LDoS检测方法,其特征在于,步骤4.2中对待测网络数据流量进行检测的判定准则为:若该待测网络数据流量连续多个Hurst滑动窗口的决策特征值均大于(>)决策阈值,则该待测网络数据流量对应的单位时间内可能发生LDoS攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010183854.3A CN111294362B (zh) | 2020-03-16 | 2020-03-16 | 一种基于分形残差的LDoS攻击实时检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010183854.3A CN111294362B (zh) | 2020-03-16 | 2020-03-16 | 一种基于分形残差的LDoS攻击实时检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111294362A true CN111294362A (zh) | 2020-06-16 |
| CN111294362B CN111294362B (zh) | 2021-07-27 |
Family
ID=71025867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010183854.3A Active CN111294362B (zh) | 2020-03-16 | 2020-03-16 | 一种基于分形残差的LDoS攻击实时检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111294362B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217378A (zh) * | 2008-01-18 | 2008-07-09 | 南京邮电大学 | 一种基于流量统计的小波分析边界处理方法 |
| CN101286897A (zh) * | 2008-05-16 | 2008-10-15 | 华中科技大学 | 一种基于超统计理论的网络流量异常检测方法 |
| CN101599872A (zh) * | 2009-05-27 | 2009-12-09 | 南京欣网视讯科技股份有限公司 | 一种hids异常流量检测方法 |
| CN102457525A (zh) * | 2011-12-19 | 2012-05-16 | 河海大学 | 一种基于负荷的异常入侵检测方法及*** |
| CN103793601A (zh) * | 2014-01-20 | 2014-05-14 | 广东电网公司电力科学研究院 | 基于异常搜索和组合预测的汽轮机组在线故障预警方法 |
| CN105516164A (zh) * | 2015-12-22 | 2016-04-20 | 中国科学院长春光学精密机械与物理研究所 | 基于分形与自适应融合的P2P botnet检测方法 |
| US9321079B2 (en) * | 2012-10-15 | 2016-04-26 | The United States Of America As Represented By The Secretary Of The Navy | Process for manufacturing a plurality of wave energy emitters |
| CN106411829A (zh) * | 2015-12-14 | 2017-02-15 | 中国民航大学 | 基于小波能量谱和组合神经网络的LDoS攻击检测方法 |
| US9706956B2 (en) * | 2009-11-03 | 2017-07-18 | Vivaquant Llc | Method and apparatus for assessing cardiac and/or mental health |
| CN107231348A (zh) * | 2017-05-17 | 2017-10-03 | 桂林电子科技大学 | 一种基于相对熵理论的网络流量异常检测方法 |
| CN107360127A (zh) * | 2017-03-29 | 2017-11-17 | 湖南大学 | 一种基于aewma算法的慢速拒绝服务攻击检测方法 |
| CN109150838A (zh) * | 2018-07-24 | 2019-01-04 | 湖南大学 | 一种针对慢速拒绝服务攻击的综合检测方法 |
| CN110474883A (zh) * | 2019-07-24 | 2019-11-19 | 哈尔滨工程大学 | 一种基于重标极差法的sdn异常流量检测方法 |
-
2020
- 2020-03-16 CN CN202010183854.3A patent/CN111294362B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217378A (zh) * | 2008-01-18 | 2008-07-09 | 南京邮电大学 | 一种基于流量统计的小波分析边界处理方法 |
| CN101286897A (zh) * | 2008-05-16 | 2008-10-15 | 华中科技大学 | 一种基于超统计理论的网络流量异常检测方法 |
| CN101599872A (zh) * | 2009-05-27 | 2009-12-09 | 南京欣网视讯科技股份有限公司 | 一种hids异常流量检测方法 |
| US9706956B2 (en) * | 2009-11-03 | 2017-07-18 | Vivaquant Llc | Method and apparatus for assessing cardiac and/or mental health |
| CN102457525A (zh) * | 2011-12-19 | 2012-05-16 | 河海大学 | 一种基于负荷的异常入侵检测方法及*** |
| US9321079B2 (en) * | 2012-10-15 | 2016-04-26 | The United States Of America As Represented By The Secretary Of The Navy | Process for manufacturing a plurality of wave energy emitters |
| CN103793601A (zh) * | 2014-01-20 | 2014-05-14 | 广东电网公司电力科学研究院 | 基于异常搜索和组合预测的汽轮机组在线故障预警方法 |
| CN106411829A (zh) * | 2015-12-14 | 2017-02-15 | 中国民航大学 | 基于小波能量谱和组合神经网络的LDoS攻击检测方法 |
| CN105516164A (zh) * | 2015-12-22 | 2016-04-20 | 中国科学院长春光学精密机械与物理研究所 | 基于分形与自适应融合的P2P botnet检测方法 |
| CN107360127A (zh) * | 2017-03-29 | 2017-11-17 | 湖南大学 | 一种基于aewma算法的慢速拒绝服务攻击检测方法 |
| CN107231348A (zh) * | 2017-05-17 | 2017-10-03 | 桂林电子科技大学 | 一种基于相对熵理论的网络流量异常检测方法 |
| CN109150838A (zh) * | 2018-07-24 | 2019-01-04 | 湖南大学 | 一种针对慢速拒绝服务攻击的综合检测方法 |
| CN110474883A (zh) * | 2019-07-24 | 2019-11-19 | 哈尔滨工程大学 | 一种基于重标极差法的sdn异常流量检测方法 |
Non-Patent Citations (4)
| Title |
|---|
| ERASMO CADENAS ET AL: "Wind speed variability study based on the Hurst coefficient and fractal dimensional analysis", 《ENERGY SCIENCE& ENGINEERING》 * |
| IGOR S. BARSUKOV ET AL: "Fractal Analysis based Detection of DoS/LDoS Network Attacks", 《2019 INTERNATIONAL RUSSIAN AUTOMATION CONFERENCE (RUSAUTOCON)》 * |
| 姚四霞: "低速率拒绝服务攻击的协同检测方法研究", 《中国优秀硕士学位论文全文库信息科技辑》 * |
| 蒲儒峰: "基于网络流量分形特性的DDoS攻击检测", 《中国优秀硕士学位论文全文库信息科技辑》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111294362B (zh) | 2021-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483455B (zh) | 一种基于流的网络节点异常检测方法和*** | |
| CN109729090B (zh) | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 | |
| CN111817982B (zh) | 一种面向类别不平衡下的加密流量识别方法 | |
| Thatte et al. | Parametric methods for anomaly detection in aggregate traffic | |
| Loukas et al. | Likelihood ratios and recurrent random neural networks in detection of denial of service attacks | |
| CN105847283A (zh) | 一种基于信息熵方差分析的异常流量检测方法 | |
| CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
| Dainotti et al. | Nis04-1: Wavelet-based detection of dos attacks | |
| CN111107102A (zh) | 基于大数据实时网络流量异常检测方法 | |
| CN109067722B (zh) | 一种基于两步聚类和检测片分析联合算法的LDoS检测方法 | |
| CN110460622B (zh) | 一种基于态势感知预测方法的网络异常检测方法 | |
| CN114021135B (zh) | 一种基于R-SAX的LDoS攻击检测与防御方法 | |
| CN110719270A (zh) | 一种基于fcm算法的慢速拒绝服务攻击检测方法 | |
| CN112367334A (zh) | 网络流量识别方法、装置、电子设备和存储介质 | |
| CN111600876B (zh) | 一种基于mfopa算法的慢速拒绝服务攻击检测方法 | |
| CN110011983B (zh) | 一种基于流表特征的拒绝服务攻击检测方法 | |
| CN112261000B (zh) | 一种基于PSO-K算法的LDoS攻击检测方法 | |
| CN112788007A (zh) | 基于卷积神经网络的DDoS攻击检测方法 | |
| CN112422584A (zh) | 一种基于深度学习的DDoS攻击回溯抵御方法 | |
| Bereziński et al. | Entropy-based internet traffic anomaly detection: A case study | |
| CN102801719B (zh) | 基于主机流量功率谱相似性度量的僵尸网络检测方法 | |
| CN111600877A (zh) | 一种基于MF-Ada算法的LDoS攻击检测方法 | |
| JP2008118242A (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
| CN111294362B (zh) | 一种基于分形残差的LDoS攻击实时检测方法 | |
| Saiyed et al. | Entropy and divergence-based DDoS attack detection system in IoT networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |