[发明专利]一种针对慢速拒绝服务攻击的综合检测方法

权利要求书

1.一种针对慢速拒绝服务攻击的综合检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：

步骤1、采样数据：实时获取服务器(路由器)中的TCP流量，对单位时间内TCP流量进行采样，形成样本原始值；

步骤2、初次检测：根据该单位时间内样本原始值，分析该单位时间内样本原始值的波动形态的异常特征，计算该单位时间内样本原始值的波动形态异常率，从而进行初步检测判断。若符合相关判断条件，则初步判定该单位时间内网络中发生LDoS攻击，进入下一个步骤再次检测；

步骤3、二次检测：根据初次检测获得的样本原始值，采用AEWMA算法平滑噪声，形成样本分析值；分析该单位时间内样本分析值的分布形态的异常特征，计算该单位时间内样本分析值的异常分析点概率和异常分析组概率；进行最终检测判断。若符合相关判断条件，则判定该单位时间内网络中发生LDoS攻击。

2.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤1中对网络中关键服务器(路由器)，以固定取样时间获取固定时间长度(单位时间)内的TCP流量，形成样本原始值。

3.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2中根据步骤1中获取的样本原始值，分析该单位时间内样本原始值的波动形态的异常特征并计算该单位时间内样本原始值的波动形态异常率，从而进行初步检测，包括三个步骤：

步骤2.1、基于预先存储的数据片平均差阈值，依次对该单位时间内每个数据片的波动形态进行判定；

步骤2.2、基于已获取的该单位时间内所有数据片的波动形态情况，计算该单位时间内样本原始值的波动形态异常率；

步骤2.3、基于预先存储的波动形态异常率阈值，对该单位时间内样本原始值的波动形态异常率进行判定。若该单位时间内样本原始值的波动形态异常率异常，初步判定该单位时间内存在LDoS攻击。

4.根据权利要求3中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2.1中对单个数据片的波动形态进行检测的判定准则为：若该数据片平均差大于预先存储数据片平均差阈值，则该数据片内样本原始值的波动形态异常。

5.根据权利要求3中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2.2中的波动形态异常率的定义为：单位时间内，波动形态发生异常的数据片出现的频率，称为波动形态异常率。

6.根据权利要求3中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2.3中对波动形态异常率进行检测的判定准则为：若该单位时间内其波动形态异常率大于预先存储波动形态异常率阈值，则该单位时间内波动形态异常率异常。

7.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3中根据步骤2中初步检测获取的样本原始值，采用AEWMA算法平滑噪声，形成样本分析值；然后分析该单位时间内样本分析值的分布形态的异常特征，计算该单位时间内样本分析值的异常分析点概率和异常分析组概率；最终进行相应的检测判断。包括四个步骤：

步骤3.1、基于自适应指数加权移动平均(AEWMA)算法，对初步检测后的单位时间内的样本原始值进行平滑处理，形成样本分析值；

步骤3.2、基于置信区间可以度量样本分析值的分布形态特征，通过使用异常分析点概率定量度量样本分析值的离散程度；

步骤3.3、基于置信区间可以度量样本分析值的分布形态特征，通过使用异常分析组概率定量度量样本分析值的振荡程度；

步骤3.4、基于预先存储的异常分析点概率阈值和异常分析组概率阈值，对该单位时间内其异常分析点概率和异常分析组概率进行判定检测。若该单位时间内异常分析点概率和异常分析组概率均异常，则判定该单位时间内网络中发生LDoS攻击。

8.根据权利要求7中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.1中根据步骤2中初步检测获取的样本原始值，基于自适应指数加权移动平均(AEWMA)算法计算获得样本分析值。AEWMA算法采用变化的光滑系数，达到实现平滑较小的偶然误差但保留较大的异常突变的目的。