[发明专利]基于突变平衡态理论的BGP-LDoS攻击检测方法

权利要求书

1.一种基于突变平衡态理论的BGP-LDoS攻击检测方法，其步骤是：

Ⅰ、通过对正常和异常情况下的系统状态样本进行学习，实现训练后的尖点突变模型的建立；

Ⅱ、通过尖点突变模型建立系统正常状态和失效状态的平衡曲面，其正常状态和失效状态的平衡曲面临界点形成分歧集Bs，并在u-v平面投影形成Bs曲线；

Ⅲ、选取待测系统中流量统计特征、路由会话特征、系统报文转发量三个特征作为变量，按照时间顺序对待测数据进行标准化和平移处理，处理所得数据集为

Ⅳ、根据分歧集函数判断数据集在u-v平面的投影与Bs曲线的位置关系；

Ⅴ、数据集在u-v平面的投影是否落在Bs曲线的左侧，若成立则说明当前系统处于正常状态；数据集在u-v平面的投影落在Bs曲线的右侧，判断系统遭遇攻击，处于失效状态；

Ⅵ、数据集在u-v平面的投影落在Bs曲线上或者在曲线内部，这时需要结合系统前一单位时间内的数据进行判断,若则该时刻系统状态正常，否则判断系统遭遇攻击；

Ⅶ、将系统的状态按照时间序列存入系统状态库，便于后续检测的判断；

其中步骤Ⅰ中训练后的尖点突变模型建立的步骤为：

①、对状态样本中流量统计特征、路由会话特征、系统报文转发量三个特征作为变量，根据突变理论中的突变级数评价方法，在对特征进行标准化处理，得到控制变量和状态变量；

②、采用数据拟合方式进行分析，确定与尖点突变模型中控制变量和状态变量的对应关系；

③、并采用最小化平衡曲面和分歧集方程求得尖点突变模型参数。

2.根据权利要求1所述的基于突变平衡态理论的BGP-LDoS攻击检测方法，其特征是：步骤I中，正常和异常情况下的系统状态样本，需要先采集，再对其进行学习，采集时应当将系统正常和系统异常情况下具有强表征性的流量周期性特征、路由会话特征和报文转发量作为状态样本。

3.根据权利要求1所述的基于突变平衡态理论的BGP-LDoS攻击检测方法，其特征是：所述根据突变理论中的突变级数评价方法，在对特征进行标准化处理时，状态变量和控制变量要求隶属度最大。

4.根据权利要求1所述的基于突变平衡态理论的BGP-LDoS攻击检测方法，其特征是：所述分歧集Bs的表达式，它由平衡曲面临界点组成并且属于系统的控制空间，系统的突然跳变都是发生在这个空间中。

5.根据权利要求1所述的基于突变平衡态理论的BGP-LDoS攻击检测方法，其特征是：检测攻击的时间复杂度与所监控的节点数量N和链路数量E有关，为O(E log(E)+N)。