CN112291193B - 一种基于NCS-SVM的LDoS攻击检测方法 - Google Patents

一种基于NCS-SVM的LDoS攻击检测方法 Download PDF

Info

Publication number
CN112291193B
CN112291193B CN202011015908.1A CN202011015908A CN112291193B CN 112291193 B CN112291193 B CN 112291193B CN 202011015908 A CN202011015908 A CN 202011015908A CN 112291193 B CN112291193 B CN 112291193B
Authority
CN
China
Prior art keywords
cloud model
normal
similarity
unit time
tcp flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011015908.1A
Other languages
English (en)
Other versions
CN112291193A (zh
Inventor
汤澹
郑芷青
严裕东
王曦茵
王思苑
张嘉怡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202011015908.1A priority Critical patent/CN112291193B/zh
Publication of CN112291193A publication Critical patent/CN112291193A/zh
Application granted granted Critical
Publication of CN112291193B publication Critical patent/CN112291193B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Radar Systems Or Details Thereof (AREA)

Abstract

本发明公开了一种基于NCS‑SVM的慢速拒绝服务(LDoS)攻击检测方法,属于网络安全领域。其中所述方法包括:以一个时间窗口为检测单位,实时获取检测网络的TCP流量,对该时间窗口内TCP流量进行原始数据解析,采用逆向云生成器将时间窗口内的TCP流量映射到云空间中生成正态云模型,并使用其期望曲线刻画TCP流量的分布形态特征;根据事先利用无攻击的TCP流量生成的基准云模型作为计算相似度的基准,定量计算该时间窗口内TCP流量对应的云模型与基准云模型之间的相似度,并将相似度输入到预先训练的支持向量机分类器中,根据相关判定准则,是否存在因LDoS攻击导致的TCP流量分布形态异常,导致该时间窗口云模型和基准云模型相似度远小于1,来检测该时间窗口内是否受到LDoS攻击。本发明提出的基于TCP流量分布形态特征的检测方法能高效、快速地检测LDoS攻击。

Description

一种基于NCS-SVM的LDoS攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于正态云模型相似度和支持向量机(NCS-SVM)的慢速拒绝服务(LDoS)攻击检测方法。
背景技术
拒绝服务(DoS)攻击,其根本目的是使得受害网络或主机无法及时接受并处理外界请求,或者无法及时响应服务请求,从而导致网络或者目标计算机无法提供正常的服务。DoS攻击对网络危害巨大。而LDoS攻击,是一种新型DoS攻击,其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。
目前LDoS攻击检测存在两个方面的问题:其一是由于攻击行为特征异于传统DoS攻击,传统DoS检测方法难以检测LDoS攻击,其二是已有的LDoS攻击检测方法普遍存在检测准确度不高,误报率和漏报率较高,且算法的空间复杂度和时间复杂度较高等问题。
本发明针对传统DoS攻击检测方法难以检测LDoS攻击,已有的LDoS攻击检测方法普遍存在检测准确度不高,误报率和漏报率较高,算法的空间复杂度和时间复杂度较高等问题,提出了一种基于NCS-SVM的LDoS攻击检测方法。该方法实时获取路由器上的TCP流量并将原始TCP流量分割成多个单位时间的检测序列,并使用逆向云生成器生成每个单位时间内TCP流量对应的正态云模型,并使用基于期望曲线的正态云模型相似度计算每个单位时间内的云模型与预先生成的基准云模型之间的相似度。然后基于LDoS攻击对网络流量相关性影响的定量计算分析,提出了判断准则来判别待检测网络流量与正常网络流量之间的相似性,并判断网络是否异常,即支持向量机分类结果为1,判定当前单位时间内受到LDoS攻击,从而达到检测LDoS攻击的目的。该LDoS攻击检测方法,对LDoS攻击的检测准确度较高,误报率和漏报率低,同时算法的空间复杂度和时间复杂度较低。因此该检测方法适用于检测LDoS攻击。
发明内容
本发明针对现有检测方法存在的检测准确度不高、误报率和漏报率较高,以及算法的空间复杂度和时间复杂度较高等问题,提出了一种基于NCS-SVM的LDoS攻击检测方法。首先实时采集路由器上的TCP流量,并挑选部分无攻击的TCP流量通过逆向云生成器生成基准云模型。然后对于多个单位时间内的TCP流量生成其对应的正态云模型,完成以上数据的采样和处理步骤后,根据基准云模型生成该单位时间内TCP流量对应的云模型与基准云模型之间的相似度,将相似度输入到预先训练的支持向量机,基于TCP流量的相似性特征建立判定准则进行判定,最后以此为依据使用支持向量机进行识别LDoS攻击。与现有的LDoS攻击检测方法相比较,本方法具有更高的准确率,更低的漏报率和误报率,以及较低的空间复杂度和时间复杂度。
本发明为实现上述目标所采用的技术方案为:该LDoS攻击检测方法主要包括四个步骤:采样数据、处理数据、分析数据以及判定检测。
1.采样数据。实时获取路由器上的TCP流量,以固定取样时间获取单位时间内所有TCP流量,得到样本原始值。
2.处理数据。基于逆向云生成器,获得单位时间内TCP流量对应的正态云模型。逆向云生成器将单位时间内所有TCP流量映射到云空间,从而将定量数据转换为定性概念,生成能够刻画TCP流量分布形态的正态云模型。云具有三个数字特征,它们能够从整体的角度表示云所代表的概念的特征,即期望Ex、熵En和超熵He。
在逆向云生成器的算法中,令Xi为样本的第i个原始值,V为样本{Xi}的均值,M1为样本{Xi}的一阶矩,M2为样本{Xi}的二阶矩。逆向云生成器算法如下:
输入:N个云滴的定量值{Xi};
输出:云模型的三个数字特征(Ex,En,He);
步骤1:计算云滴{Xi}的均值V、一阶矩M1和二阶矩M2
步骤2:计算Ex=V;
步骤3:计算
Figure BDA0002699057260000021
步骤4:计算
Figure BDA0002699057260000022
3.分析数据。根据预先生成的基准云模型,分析计算该单位时间内的正态云模型与基准云模型之间的相似度。
基准云模型是在训练数据中挑选无攻击的数据利用逆向云生成器生成的,作为计算云模型相似度的基准。
在NCS-SVM中,使用基于期望曲线的正态云模型相似度算法来定量度量云模型之间的相似度,两个云模型对应的期望曲线之间的重合面积代表两个云模型之间的相似度。正态云模型对应的期望曲线公式为:
Figure BDA0002699057260000031
令云模型C1(Ex1,En1,He1)为该单位时间内的TCP流量对应的正态云模型,云模型C2(Ex2,En2,He2)为基准云模型。此时云模型C1和C2之间的相似度ECM为:
Figure BDA0002699057260000032
其中S为云模型C1和C2的期望曲线的相交面积。
如果该单位时间内TCP流量对应的网络没有受到LDoS攻击,则正态云模型C1和C2的期望曲线y1(x)和y2(x)基本重合,在这种情况下,正态云模型的相交面积即为期望曲线y1(x)或y2(x)与横坐标之间构成的面积。相交面积S的计算公式为:
Figure BDA0002699057260000033
此时的云模型C1和C2之间的相似度为:
Figure BDA0002699057260000034
由于此时两个正态云模型的期望曲线重合,因此两者的数字特征三元组也相同,即有En1=En2,故可以得到:
Figure BDA0002699057260000035
即此时该单位时间内TCP流量对应的云模型与基准云模型之间的相似度为1。
如果该单位时间内的TCP流量对应的网络受到LDoS攻击,由于LDoS攻击导致网络不断在稳态和非稳态之间转换,该单位时间内的TCP流量对应的云模型的数字特征Ex1<Ex2,En1>En2,此时相交面积
Figure BDA0002699057260000036
根云模型相似度公式,有:
Figure BDA0002699057260000037
而:
Figure BDA0002699057260000041
即云模型C1和C2之间的相似度远小于1。根据之前的分析,受到LDoS攻击的网络中TCP流量对应的正态云模型与基准云模型之间的相似度远小于正常TCP流量对应的云模型与基准云模型之间的相似度。使用基于期望曲线的云模型相似度算法可以有效区分正常TCP流量和受到LDoS攻击的TCP流量。
4.判定检测。使用预先训练的支持向量机对该单位时间内的TCP流量对应的正态云模型与基准云模型之间的相似度进行检测。若支持向量机分类结果为1,则判定为该单位时间内TCP流量对应的网络受到LDoS攻击;若支持向量机分类结果为0,则判定为该单位时间内网络没有受到LDoS攻击。
有益效果
该LDoS攻击检测方法,误报率和漏报率低,对LDoS攻击的检测准确度较高,同时算法的空间复杂度和时间复杂度低。因此,该检测方法适用于检测LDoS攻击。
附图说明
图1为NCS-SVM的云模型期望曲线示意图。
图2为正常TCP流量及LDoS攻击流量与基准云模型的云模型相交面积示意图。
图3为NCS-SVM对于正常网络流量和LDoS攻击的云模型相似度的检测效果图。
图4为一种基于NCS-SVM的慢速拒绝服务攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
如图3所示,该LDoS攻击检测方法主要包括四个步骤:采样数据、处理数据、分析数据以及判定检测。
图1为NCS-SVM的云模型期望曲线示意图。NCS-SVM采用逆向云生成器将所有的样本原始值映射到云空间中,将定量数值转换成定性概念,即云模型。逆向云模型生成对应单位时间内TCP流量对应的正态云模型及该云模型对应的数字特征三元组,从而能够使用期望曲线来定量衡量LDoS攻击对TCP流量分布相关性的影响,因此在基于流量分布形态特征的LDoS攻击检测中更有优势。
图2(a)为正常TCP流量对应的正态云模型与基准云模型的期望曲线相交面积,图2(b)为受到LDoS攻击的TCP流量对应的正态云模型与基准云模型的期望曲线相交面积。可以看到,正态云模型能够很好地刻画TCP流量分布形态特征,可以很好区分正常TCP流量和受到LDoS攻击的TCP流量。
图3为NCS-SVM对于正常网络流量和LDoS攻击的云模型相似度的检测效果图。在基于TCP流量分布形态特征的LDoS攻击检测中,由于NCS-SVM能够有效衡量待检测TCP流量的分布和正常TCP流量分布的相关性,且通过定量计算可知正常网络流量之间的相似度几乎为1而受到LDoS攻击的网络流量与正常网络流量之间的相似度远小于1,因此NCS-SVM可以有效区分正常网络流量和存在攻击的网络流量,非常适用于检测LDoS攻击。
图4为NCS-SVM的LDoS攻击检测方法的流程图。在基于流量分布形态特征的LDoS攻击检测中,用到的作为计算相似度的基准云模型是无攻击的TCP流量序列由逆向云生成器获取得到。预先训练的支持向量机分类器由训练样本集训练得到,训练样本集中包含正常流量和受到LDoS攻击的流量以及对应分类号。

Claims (1)

1.一种基于NCS-SVM的LDoS攻击检测方法,其特征在于,所述LDoS攻击检测方法包括以下几个步骤:
步骤1、采样数据:实时获取路由器上的TCP流量,对单位时间内所有的TCP流量进行采样,得到样本原始值;
步骤2、处理数据:基于逆向云生成器,获得单位时间内TCP流量对应的正态云模型;
步骤3、分析数据:根据预先生成的基准云模型,分析计算该单位时间内TCP流量对应的正态云模型与基准云模型之间的相似度;
步骤4、判定检测:使用预先训练的支持向量机对该单位时间内的TCP流量对应的正态云模型与基准云模型之间的相似度进行检测,若支持向量机分类结果为1,判定为该单位时间内TCP流量对应的网络受到LDoS攻击;
步骤1中对路由器上的TCP流量,以固定取样时间获取单位时间内所有TCP流量,形成样本原始值;
步骤2中根据步骤1获取的样本原始值,使用逆向云生成器,计算获得样本对应的正态云模型,计算获得单位时间内的正态云模型是将该单位时间内的TCP流量映射到云空间中,从而将定量的数值转换为定性概念,以度量两个单位时间内的TCP流量的相似度,包括两个步骤:
步骤2.1、使用逆向云生成器,挑选无攻击的TCP流量,计算该单位时间内TCP流量对应的正态云模型,称为基准云模型;
步骤2.2、使用逆向云生成器,计算待检测样本数据单位时间内TCP流量对应的正态云模型;
所述正态云模型的三个数字特征为:期望Ex、熵En和超熵He,其中,Ex=V;
Figure FDF0000018530200000021
V为样本的均值,M1为样本的一阶矩,M2为样本的二阶矩;
步骤3中根据步骤2中计算获得的该单位时间内正态云模型与基准云模型,分析计算该单位时间内云模型相似度,经过计算分析,单位时间内没有受到LDoS攻击时,正常TCP流量对应的正态云模型与基准云模型之间的相似度几乎为1,而受到LDoS攻击时,TCP流量对应的正态云模型与基准云模型之间的相似度远小于1;步骤4中根据步骤3中计算获得的该单位时间内正态云模型与基准云模型之间的相似度,对该单位时间内的TCP流量进行判定检测,步骤为:将均值输入预先训练的支持向量机,根据支持向量机的分类结果判断是否受到了LDoS攻击,若分类结果为1,判定该单位时间内的TCP流量对应的网络受到了LDoS攻击,若分类结果为0,判定该单位时间内的TCP流量中没有受到LDoS攻击;
在计算相似度的过程中,使用基于期望曲线的正态云模型相似度算法来定量度量云模型之间的相似度,两个云模型对应的期望曲线之间的重合面积代表两个云模型之间的相似度;
所述正态云模型的期望曲线的表达式为:
Figure FDF0000018530200000022
所述相似度的表达式为:
Figure FDF0000018530200000023
其中,C1表示正态云模型,C2表示基准云模型,S表示期望曲线之间的相交面积;
Figure FDF0000018530200000024
支持向量机由训练样本集完成训练,训练样本集中包含正常流量和受到LDoS攻击的流量以及对应的分类号。
CN202011015908.1A 2020-09-24 2020-09-24 一种基于NCS-SVM的LDoS攻击检测方法 Active CN112291193B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011015908.1A CN112291193B (zh) 2020-09-24 2020-09-24 一种基于NCS-SVM的LDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011015908.1A CN112291193B (zh) 2020-09-24 2020-09-24 一种基于NCS-SVM的LDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN112291193A CN112291193A (zh) 2021-01-29
CN112291193B true CN112291193B (zh) 2022-11-11

Family

ID=74421314

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011015908.1A Active CN112291193B (zh) 2020-09-24 2020-09-24 一种基于NCS-SVM的LDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN112291193B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024762B (zh) * 2021-11-11 2022-08-16 湖南大学 一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2013101573A4 (en) * 2013-11-29 2014-01-09 Macau University Of Science And Technology Method for predicting and detecting network intrusion into a computer network
CN109450957A (zh) * 2019-01-03 2019-03-08 湖南大学 一种基于云模型的低速拒绝服务攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于云模型的网络异常流量检测;费金龙等;《计算机工程》;20170115(第01期);全文 *

Also Published As

Publication number Publication date
CN112291193A (zh) 2021-01-29

Similar Documents

Publication Publication Date Title
CN107104978B (zh) 一种基于深度学习的网络风险预警方法
CN111107102A (zh) 基于大数据实时网络流量异常检测方法
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN105897714A (zh) 基于dns流量特征的僵尸网络检测方法
CN111782484B (zh) 一种异常检测方法及装置
CN108282460B (zh) 一种面向网络安全事件的证据链生成方法及装置
CN110300027A (zh) 一种异常登录检测方法
CN110445766B (zh) DDoS攻击态势评估方法及装置
CN112165471B (zh) 一种工控***流量异常检测方法、装置、设备及介质
CN111343182B (zh) 一种基于灰度图的异常流量检测方法
CN110661802A (zh) 一种基于pca-svm算法的慢速拒绝服务攻击检测方法
CN105827611B (zh) 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和***
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN110943974B (zh) 一种DDoS异常检测方法及云平台主机
CN112291193B (zh) 一种基于NCS-SVM的LDoS攻击检测方法
CN114553591A (zh) 随机森林模型的训练方法、异常流量检测方法及装置
CN113205134A (zh) 一种网络安全态势预测方法及***
CN112804248B (zh) 一种基于频域特征融合的LDoS攻击检测方法
CN117097578B (zh) 一种网络流量的安全监控方法、***、介质及电子设备
CN106682604B (zh) 一种基于深度学习的模糊图像检测方法
CN101594352A (zh) 基于新颖发现和窗函数的分类融合入侵检测方法
CN114758470B (zh) 一种基于消防工程的火灾预警方法及***
CN113920547A (zh) 一种基于神经网络的手套检测方法及其***
CN113542200B (zh) 风险控制方法、装置和存储介质
Malviya et al. An Efficient Network Intrusion Detection Based on Decision Tree Classifier & Simple K-Mean Clustering using Dimensionality Reduction-A Review

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant