[发明专利]一种基于两步聚类和检测片分析联合算法的LDoS检测方法

说明书

本发明公开了一种基于两步聚类和检测片分析联合算法的LDoS检测方法，属于网络安全领域。其中所述的方法包括：获取服务器(或关键路由器)上的TCP流量，并按固定时长对其进行采样。使用两步聚类方法分析和挖掘TCP流量的离散特征，将离散特征异常的TCP流量划分到可疑簇中。接着将可疑簇中的TCP流量按检测片划分并分析，通过定量度量检测片中TCP流量的波动幅度特征，提出了相关准则来判断可疑簇中TCP流量的波动幅度是否异常，从而实现对LDoS攻击的检测。本发明提出的基于两步聚类和检测片分析联合算法的LDoS检测方法能高效、准确地检测LDoS攻击。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于两步聚类和检测片分析联合算法的LDoS检测方法。

背景技术

拒绝服务(DoS)攻击通过攻击网络协议实现的缺陷或直接以野蛮的手段来耗尽攻击目标的有限资源，以达到使受害网络或目标主机无法为合法用户提供正常服务的目的。DoS攻击一直严重威胁着网络的安全，而作为DoS攻击的变种，慢速拒绝服务(LDoS)攻击不仅有着近似于DoS攻击的效果，还有着更强的隐蔽性。

LDoS攻击有着较强的隐蔽性和破坏性，当前的检测方法存在以下问题：传统的DoS检测方法难以有效地检测LDoS攻击；已有的LDoS检测方法存在检测准确度不够、资源消耗大等缺点。

本发明针对当前LDoS攻击检测方法存在的检测准确度不高、资源消耗大等缺点，提出了一种基于两步聚类和检测片分析联合算法的LDoS检测方法。该方法首先采用两步聚类方法分析和挖掘网络中TCP流量的离散特征，从大量的网络数据中将疑似受到LDoS攻击的TCP流量划分到可疑簇中。然后将可疑簇中的TCP流量按检测片划分，定量度量检测片中TCP流量的波动幅度特征，并根据所提出的相关准则来判断可疑簇中TCP流量的波动幅度是否异常，从而实现对LDoS攻击的检测。该LDoS检测方法在预聚类阶段采用的基于层次的平衡迭代和规约(BIRCH)算法，实现了对数据的压缩，在整个检测过程中有效地节省了存储空间和降低了资源消耗；同时，由于经过了两个阶段的分析和检测，该方法能够有效地提高检测准确度。

发明内容

针对当前LDoS检测方法存在的检测准确度不高、资源消耗大等缺点，提出了一种基于两步聚类和检测片分析联合算法的LDoS检测方法。该检测方法在检测的过程中实现了对数据的压缩，有效地节省了存储空间和降低了资源消耗；而且该检测方法对LDoS攻击检测的准确度较高，有着较低的误报率和漏报率。

本发明为实现上述目标所采用的技术方案为：该LDoS检测方法包括以下五个步骤：采样数据、处理数据、聚类分析数据、分析可疑簇和判定检测。

1.采样数据。收集服务器(或关键路由器)上的TCP流量，并对其进行采样，得到足够多单位时间的TCP流量。

2.处理数据。根据采样得到的TCP流量数据，计算单位时间内TCP流量的方差和平均差，并采用min-max归一化处理公式对方差和平均差进行归一化处理，得到二维数据点，并求得每个簇(数据点)的聚类特征。通过归一化处理，能够将方差和平均差的值控制在[0,1]之间，从而消除方差和平均差上的数量级差距，min-max归一化处理公式如下：

聚类特征的定义如下：设某簇中有N个二维数据点其中v_n为第n个数据点的方差，cv_n为第n个数据点的平均差，则该簇的聚类特征定义为三元组：其中N为该簇中数据点的数目，矢量

为各数据点的线性求和，标量

为各数据点的平方和。