[发明专利]基于混沌Dufing振子的LDDoS攻击检测方法

权利要求书

1.基于混沌Dufing振子的LDDoS(Low-rate Distributed Denial of Sevice)攻击检测方法，是一种利用混沌理论检测网络攻击的新方法。LDDoS攻击利用TCP拥塞控制机制的漏洞，以小流量形式发送周期性的脉冲式攻击。LDDoS攻击检测的问题实质是在以RTT为周期的强TCP背景噪声下提取周期为RTO_min的“微弱”方波信号的问题。利用这个模型，本发明提出并实现了基于Duffing振子的LDDoS攻击检测算法和基于双Duffing振子差分混沌系统的攻击参数估计方法。

2.根据权利要求1所述的基于混沌Dufing振子的LDDoS攻击检测方法，其特征在于所述检测方法包括以下步骤：

(1)建立一个网络流量模型，将LDDoS攻击流看作隐藏在以RTT为周期的TCP背景噪声下周期的“微弱”方波信号；

(2)对到达路由器的数据包等间隔采样，构造出一个离散的信号序列；

(3)构造检测系统的数学模型，调整Duffing振子让系统处于混沌状态向周期状态转变的边沿；

(4)将预处理过后的待检测信号通过Duffing振子系统；

(5)比较系统的相图边缘，有攻击时相图边缘明显扩大，并且系统阵发混沌，具有强烈的进入大尺度周期状态的趋势，通过比较系统的时域波形也可以直观的发现系统输出幅度明显增大；

(6)利用双Duffing振子差分混沌系统，对攻击周期以及攻击参数做估计；

其中，步骤(1)是结合LDDoS攻击模型及原理，LDDoS在2*RTT～3*RTT时间内，以接近瓶颈链路带宽的速率，向目标主机发送UDP包，由于UDP包通常非常小，导致在攻击时刻链路流量峰值远高于正常情况，继而将LDDoS攻击流看作隐藏在以RTT为周期的TCP背景噪声下周期的“微弱”方波信号；

步骤(2)中抽样间隔为t，抽样周期T，这样采样数据就构成了一个离散的信号序列；

步骤(3)选用对Duffing系统非线性项的乘性扰动来做间歇混沌，对非线性恢复力进行改进，并将待测信号作为非线性项的系数，确定检测系统的数学模型为：

其中，S(t)为待测信号，是采样到达检测路由器包的离散信号序列，表示正常流量在t₀时刻取得的最大幅值，f·cos(ωt)为系统内置信号，同时S(t)＝L(t)+M(t)，t＝nΔ，n∈N，是由正常流量L(t)和恶意流量M(t)组成的一个宽平稳随机过程；

步骤(4)中通过预先设定合理门限值，消除TCP背景噪声(正常网络流量)对系统的影响，再将处理后的流量作为Duffing振子非线性项扰动，通过观测系统的相变，来达到LDDoS攻击检测的目的；

步骤(5)中由于LDDoS攻击的存在，系统的非线性受其影响，出现波动。具体表现在：相图边缘明显增大，当攻击出现时，系统输出明显增大；在攻击间隙期，由于扰动因子近似为零，系统时域输出大幅减小；

步骤(6)中LDDoS攻击参数包括攻击周期T，攻击脉宽L，双Duffing振子的差分混沌系统能够很好地抑制系统共模干扰，凸显系统时域状态的变化。

3.根据2所述的基于混沌Dufing振子的LDDoS攻击检测方法，其特征在于：

(1)将Duffing系统相迹的转变作为攻击检测的依据，攻击是否被检测出来是基于系统是否脱离混沌状态；

(2)一旦有特定的微扰小信号，由于混沌系统对周期小信号的敏感性，即使幅值较小，也会使系统发生本质的相变；

(3)对LDDoS攻击周期的估计，是通过精确地计算Duffing系统阵发混沌的周期来实现的；

(4)对LDDoS攻击脉宽的估计，通过选取合法流量通过系统时引起的时域最大峰值为预设阀值，把受攻击后相邻峰值间隔内超过预设阀值的时间长度作为样本，取样本均值作为攻击脉宽的估计。