[发明专利]一种基于TC-UTR算法的慢速拒绝服务攻击检测方法

权利要求书

1.一种基于TC-UTR算法的慢速拒绝服务攻击检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：

步骤1、采样数据：实时获取路由器中网络流量，对单位时间的所有TCP和UDP数据包进行采集并作为检测单元；

步骤2、分析数据：为每一个检测单元计算其对应的方差和香农熵，用于评估网络流量的特征，由此形成检测单元的特征数据集；

步骤3、处理数据：对于上一步计算得到的特征数据集，使用两步聚类算法进行处理，得到多个最优簇；

步骤4、判定检测：对两步聚类算法得到的簇进行UTR分析，根据UTR分析结果进行判断，若某簇的UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击。

2.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤1中对于网络中路由器以固定取样时间为周期，周期性获取取样时间内的所有TCP和UDP数据包作为检测单元。

3.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤2中根据步骤1获取的所有检测单元，计算每一个检测单元的方差和香农熵，得到检测单元的特征数据集。

4.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3中根据步骤2中计算获得的检测单元的方差和香农熵所获得的特征数据集，利用两步聚类算法进行处理，得到多个最优簇，两步聚类算法包括两个步骤：

步骤3.1、两步聚类算法的第一步在于对步骤2中求得的特征数据集进行预聚类分析，从而得到子簇；

步骤3.2、两步聚类算法的第二步在于对预聚类分析得到的子簇进行正式聚类，将距离最近的子簇进行合并，进而实现二度聚类。

5.根据权利要求4中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.1中采用基于层次的平衡迭代和规约算法进行预聚类分析，从而构建聚类特征树，实现了数据的压缩与基本划分。

6.根据权利要求4中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.2中采用聚集层次聚类算法对子簇进行正式聚类，使得距离最近的子簇被合并，进而实现二度聚类。

7.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4中根据步骤3获得的多个最优簇进行UTR分析，以判定是否遭受慢速拒绝服务攻击，其包括两个步骤：

步骤4.1、计算每个检测单元的UTR及每个簇的UTR；

步骤4.2、由无慢速拒绝服务攻击的训练样本获取阈值Ω，将其与每个簇的UTR进行比较，当某簇的UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击，若某簇的UTR值小于阈值Ω，则判定该簇没有遭受慢速拒绝服务攻击。

8.根据权利要求7中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4.1中对检测单元的UTR的定义为：在检测单元内，UDP数据包的总数量与TCP数据包的总数量的比值，对簇的UTR的定义为：对于某一个簇，其包含的所有检测单元的UTR的均值。

9.根据权利要求7中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4.2中对阈值Ω的定义为：通过计算无慢速拒绝服务攻击的训练样本，获得用于判定是否存在慢速拒绝服务攻击的阈值，假定UTR表示簇的UTR值，Mean表示计算UTR均值的函数，Std表示计算标准偏差的函数，z用于表示显著性水平α所对应的z值，其公式为：Ω＝Mean_UTR+z×Std_UTR。