[发明专利]基于多特征融合的LDoS攻击检测方法

说明书

低速率拒绝服务(LDoS)攻击可以根据TCP协议的反馈系统周期性地发送短时间脉冲造成网络拥塞，从而降低网络的服务水平。针对目前LDoS攻击识别率低和虚警率高的问题，本发明从多特征融合的角度对LDoS攻击进行检测，首先根据Apriori关联规则算法得到多个特征的支持度和置信度，并以此为依据设计了包含ACK差值、包大小和队列的LDoS攻击特征集。再分别对每个特征进行数字化预处理得到符合最小临近距离(KNN)分类器输入标准的输入特征，得出决策轮廓矩阵。最终将矩阵中的后验概率进行多特征决策融合，以融合后的决策结果作为LDoS的判定依据。实验结果表明本发明提出的方法明显好于以单一特征为依据的检测方法，并且具有更好的检测性能。

技术领域

本发明涉及一种计算机网络安全技术，尤其是针对低速率拒绝服务(Low-rateDenial of Service，LDoS)攻击的检测，与其他单一特征检测方式相比，具有更高的识别能力和较低的 虚警率，在此基础上更高准确率的检测出攻击。

背景技术

低速率拒绝服务LDoS攻击是一种新型的拒绝服务(Denial of Service，DoS)攻击方式。 自LDoS攻击被发现的那一天起，它就一直是网络安全领域的研究热点。LDoS攻击的本质是 一种降质攻击方式，其利用网络系统中自适应机制所存在的漏洞，造成虚假拥塞，迫使TCP 连接的服务质量大大降低。LDoS攻击以低速率持续使TCP质量下降，干扰正常用户与服务 器的连接。它能以其低速率混合在正常网络流量中，不会像其他DDoS攻击形式一样出现十 分明显的特征，不易被网络监测者发现，如若发现，管理者也很难消除LDoS攻击的影响， 因此LDoS攻击的持续性更强，危害更大，对LDoS的检测及防御于网络安全领域十分关键。

虽然LDoS攻击有很多变种，但它们都是利用网络协议和网络服务的漏洞。Kuzmanovic 首先提出的shrew攻击即利用超时重传机制。shrew攻击以瓶颈链路速率向路由器发送短时高 速攻击脉冲，造成瓶颈链路造成TCP分组丢失。Luo等人提出的PDoS攻击是一种基于拥塞 控制的LDoS攻击。PDoS利用了拥塞控制机制中减小cwnd的部分。通过攻击造成TCP分组 的丢失，PDoS以固定的间隔发送脉冲，使TCP的发送速度始终处于低水平。GUIRGUIS提 出了RoQ攻击，它不需要特定的攻击参数，只需等间隔地向目标节点发送短时脉冲，从而破 坏节点路由器的服务性能。Zhang等人基于LDoS攻击方式提出了针对BGP的ZMW攻击 方式。这类LDoS会使网络延迟增加并覆盖BGP的进程。Schuhard研究出了另一种BGP层 面的LDoS攻击，即CXPST。CXPST主要通过分布式的LDoS攻击并发地攻击关键路由，消耗路由器资源，进而使系统停止服务。上述对于LDoS模型或性能的研究为LDoS攻击检测 的研究提供坚实的基础。

到目前为止，由于LDoS攻击能隐藏在正常网络中，研究学者们很难将遭受LDoS攻击后 的网络流量划分为攻击与正常流量，因此，合理地检测以及防御LDoS攻击尤为重要。许多专 家学者在攻击流量，TCP特征等多个方面进行了深入的研究，并根据不同的特征提出了多种 检测算法。其中最为普遍的是基于信号处理的方法，这类算法是将LDoS流抽样，在时间和频 率上对抽样后的序列进行分析，并根据分析结果得到不同于正常状态的流量的特征加以分辨。 Yu Chen提出频域检测LDoS攻击的方法，将序列自相关后经DFT后得到PSD，再将NPSD作为 检测特征进行检测。何炎祥教授依据LDoS攻击特征，提出基于小波变换的方式检测LDoS攻 击，利用小波变换和神经网络的泛化能力提取多个特征并形成分类器，进行综合诊断。Liu X 提出了一种基于随机游走算法建模的LDoS攻击，该攻击可以很好的绕过频域检测阶段。