[发明专利]一种基于TC-UTR算法的慢速拒绝服务攻击检测方法

说明书

本发明公开了一种基于TC‑UTR算法的慢速拒绝服务攻击检测方法，属于网络安全领域。其中所述方法包括：以一个时间单位作为周期，采集路由器中的所有TCP和UDP数据包作为检测单元并计算其方差和香农熵作为特征值，所有检测单元的特征数据集。之后将数据集作为输入，使用两步聚类算法，首先对特征数据集进行预聚类，接着对预聚类得到的子簇进行正式聚类，进而实现二度聚类。之后我们为每一个簇计算其UTR值，并且将其与无慢速拒绝服务攻击下的阈值Ω进行比较，若UTR值大于阈值Ω，则判定该簇遭受慢速拒绝服务攻击。本发明提出的基于TC‑UTR算法的慢速拒绝服务攻击检测方法误报率和漏报率低，对慢速拒绝服务攻击的检测准确度较高，同时算法的空间和时间复杂度低，是一种有效检测慢速拒绝服务攻击的方法。

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于两步聚类和流量比(TC-UTR)算法的慢速拒绝服务攻击检测方法。

背景技术

拒绝服务(DoS)攻击的根本目的是使得受害网络或主机无法及时接受并处理外界请求，或者无法及时响应服务请求，从而导致网络或者目标计算机无法提供正常的服务，DoS攻击对网络危害巨大，而慢速拒绝服务攻击，是DoS攻击的一种，其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。

目前主要存在两类慢速拒绝服务攻击检测方法：其一是基于特征的攻击检测方法，其原理在于利用慢速拒绝服务攻击的周期性和短时间高强度的特性，分析慢速拒绝服务攻击的特征，进而实现对于慢速拒绝服务攻击的检测；其二是基于异常的攻击检测方法，其原理在于当发生慢速拒绝服务攻击时，网络特征将发生变化，利用网络特征的异常变化，实现对慢速拒绝服务攻击的检测，本专利提出的慢速拒绝服务攻击检测方法，属于基于异常的攻击检测方法，可以有效地检测慢速拒绝服务攻击，同时具有较高的检测准确度，较低的误报率和漏报率。

本专利提出了一种基于TC-UTR算法的慢速拒绝服务攻击检测方法，该方法通过对网络流量进行采样，定义检测单元，计算每一个检测单元的方差和香农熵并将其作为特征值，形成特征数据集，利用两步聚类算法对特征数据集进行处理，构建聚类特征树并合并相关子簇，形成多个最优子簇，实现了对特征数据集的压缩和基本划分，之后计算每一个簇的UDP数据流量和TCP数据流量的比值(UTR)及阈值Ω，最终通过比较每一个簇的UTR值和阈值Ω来判定簇是否异常，从而达到检测慢速拒绝服务攻击的目的。

发明内容

针对传统DoS攻击检测方法普遍存在检测漏报率和误报率高，准确度低，算法复杂度高、空间资源消耗大等特点，提出了一种慢速拒绝服务攻击检测方法，该慢速拒绝服务攻击检测方法，误报率和漏报率低，对慢速拒绝服务攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低，是一种有效的检测慢速拒绝服务攻击的方法。

本发明为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括四个步骤：采样数据、分析数据、处理数据及判定检测。

1.采样数据：对网络中路由器，周期性地以固定取样时间采集该时间内所有TCP和UDP数据包，将该单位间内的所有TCP和UDP数据包作为一个检测单元，假定以Δt作为采样时间间隔，X(t)作为在(t-Δt,t]的时间间隔内，采集到的所有TCP和UDP数据包，那么可以将检测单元定义为：

{X_i+1,X_i+2,X_i+3...，X_i+N}

其中Time表示检测时长。

2.分析数据：根据获取的检测单元，计算每一个检测单元的方差和香农熵，分别用于评估检测单元的流量的离散特性以及随机性和不确定性，由于这些数据可以有效地区分检测单元，所以将其作为检测单元的特征，假定m用于表示检测单元中的数据包数目的均值，N用于表示检测单元的长度，则检测单元的方差可以表示为：