[发明专利]一种针对慢速拒绝服务攻击的综合检测方法

说明书

本发明公开了一种针对慢速拒绝服务攻击的综合检测方法，属于网络安全领域。其中所述方法包括：实时获取检测网络的TCP流量，对单位时间内的TCP流量进行采样处理，形成样本原始值，该方法采用两次检测的方式，首先通过分析该单位时间内样本原始值的波动形态的异常特征并计算波动形态异常率，通过相关判定准则进行初步判定检测；然后采用AEWMA算法平滑噪声，形成样本分析值，通过分析该单位时间内样本分析值的分布形态的异常特征并计算异常分析点概率和异常分析组概率，依据相关判定准则进行最终判定检测。本发明提出的两次检测综合的检测方法能高效、快速、自适应地检测慢速拒绝服务攻击。

技术领域

本发明属于计算机网络安全领域，具体涉及一种针对慢速拒绝服务攻击的综合检测方法。

背景技术

拒绝服务(DoS)攻击，其根本目的是使得受害网络或主机无法及时接受并处理外界请求，或者无法及时响应服务请求，从而导致网络或者目标计算机无法提供正常的服务，DoS攻击对网络危害巨大。而慢速拒绝服务(LDoS)攻击，是一种新型DoS攻击，其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。

目前LDoS攻击检测存在两个方面的问题：其一是由于攻击行为特征异于传统DoS攻击，传统DoS检测方法难以检测LDoS攻击，其二是已有的LDoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点。

本发明针对现有LDoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点，提出了一种针对慢速拒绝服务攻击的综合检测方法。该方法采用两次检测综合的方式，首先通过分析样本原始值的波动形态的异常特征，计算该单位时间内样本原始值的波动形态异常率，通过相关判定准则进行初步判定检测；然后采用AEWMA算法平滑噪声，形成样本分析值，通过分析样本分析值的分布形态的异常特征，计算该单位时间内样本分析值的异常分析点概率和异常分析组概率，依据相关判定准则进行最终判定检测。采用两次检测综合的检测方法，从而达到准确检测LDoS攻击的目的。该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。

发明内容

针对现有LDoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点，提出了一种慢速拒绝服务攻击检测方法。该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括三个步骤：采样数据、初次检测和二次检测。

1.采样数据。对网络中关键服务器(路由器)，以固定取样时间获取固定时间长度(单位时间)内的TCP流量，形成样本原始值。

2.初次检测。根据该单位时间内样本原始值，分析该单位时间内样本原始值的波动形态的异常特征，计算该单位时间内样本原始值的波动形态异常率，从而进行初步检测。具体是：

1)基于预先存储的数据片平均差阈值，依次对该单位时间内每个数据片的波动形态进行判定；

从波动形态的概念可知，波动形态包括波动的幅度和波动的频率两个方面的特征。为了度量数据片内波动的幅度和波动的频率，使用“平均差”MD的方法考察该数据片内波动形态特征。平均差是总体内所有样本与其算术平均数之间绝对差的算术平均数，其公式可表示为：

其中，x_i为该数据片内第i个样本原始值，为该数据片内样本原始值的均值，n表示该数据片内流量样本的个数。

2)基于已获取的该单位时间内所有数据片的波动形态情况，计算该单位时间内样本原始值的波动形态异常率；