[发明专利]一种基于重构异常的慢速拒绝服务攻击检测方法

权利要求书

1.一种基于重构异常的慢速拒绝服务攻击检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：

步骤1、采样数据：获取路由器中的TCP数据报文，对单位时间内的所有TCP数据报文进行采样，得到TCP样本序列{x(t),t＝nΔt,n∈Z⁺}，Δt为采样时间间隔；

步骤2、特征提取：基于离散小波变换，对TCP样本序列进行小波多分辨分析，从而提取反映TCP流量时频域信息的特征，包括两个步骤：

步骤2.1、根据TCP样本序列，对TCP流量的原始信号进行4层小波分解，得到平滑信号和细节信号；

步骤2.2、根据4层小波分解得到的平滑信号进行重构，得到表示TCP趋势变化和概貌信息的重构信号，重构信号即本步骤提取到的时频域特征；

离散小波变换使用小波函数ψ_j,k(t)和尺度函数来表示TCP样本序列，样本序列的离散小波变换的定义为：

其中，d_j,k和a_J,k分别为小波系数和近似系数，d_j,k反映了信号在尺度j下的细节信息，a_J,k反映了信号在尺度J下的概貌信息，d_j,k和a_J,k的计算分别为：

其中，h₀和h₁分别是低通滤波器和高通滤波器的系数，小波多分辨分析仅针对平滑信号进行分解，其满足关系式：

S＝a₄+d₄+d₃+d₂+d₁

其中，S表示原始信号，a表示平滑信号，d表示细节信号，细节信号反映的是TCP样本序列的细节变化信息，其会随着分解层数的增加而增加，平滑信号反映的是TCP样本序列的趋势变化信息，无论分解层数为多少，其仅有一个，且随着分解层数的增加而更平滑；

步骤3、判定检测：将步骤2中得到的小波重构信号作为输入数据，输入到基于自编码器的异常检测模型中，根据异常检测模型的输出数据和输入数据的重构误差，对该单位时间内的TCP数据报文进行判定检测，若重构误差大于预先设定的阈值，则判定该单位时间内，网络中发生了慢速拒绝服务攻击，基于自编码器的异常检测模型，包括编码器和解码器两个部分，编码器用来构建输入数据的压缩表示，将输入向量X_I映射到隐藏层表示H，解码器用来重构输入数据，将隐藏层表示H映射到和输入向量一致的重构向量X_R，其映射变换分别为：

f_Φ:X_I→H

g_Ψ:H→X_R

自编码器会忽略原始输入数据的细节，而只学习最有信息量的特征，使得正常数据比异常数据更容易重构，因此，重构误差越大，对应的输入数据就越可能是异常数据。