[发明专利]一种基于重构异常的慢速拒绝服务攻击检测方法

说明书

本发明公开了一种基于重构异常的慢速拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括：首先，获取路由器中的TCP数据报文，得到TCP样本序列；然后，采用离散小波变换对TCP样本序列进行4层小波分解，得到平滑信号和细节信号，并根据平滑信号进行重构，得到表示TCP趋势变化和概貌信息的重构信号；最后，将重构信号输入到基于自编码器的异常检测模型中，根据异常检测模型的输出，对该单位时间内的TCP数据报文进行判定检测，若异常检测模型的输出数据和输入数据的重构误差大于预先设定的阈值，则判定该单位时间内网络中发生了LDoS攻击。本发明提出的基于重构异常的慢速拒绝服务攻击检测方法能高效、快速、准确地检测LDoS攻击。

技术领域

本发明属于计算机网络安全领域，具体涉及到一种基于重构异常的慢速拒绝服务攻击检测方法。

背景技术

拒绝服务(Denial of Service,DoS)攻击是一种针对服务可用性的网络攻击，其通过耗尽与服务相关的重要资源，来实现破坏受害系统服务可用性的目的。DoS攻击严重威胁着网络安全。随着攻防双方的博弈和技术的发展，DoS攻击的发起方式也变得越来越复杂和多变。慢速拒绝服务(Low-rate Denial of Service,LDoS)攻击，是近年来出现的一种隐蔽性更强、威胁性更大的DoS攻击变体。

目前LDoS攻击检测存在两个方面的问题：其一是由于LDoS攻击的低速率性和强隐蔽性，针对DoS攻击的检测方法难以有效防范LDoS攻击；其二是现有的LDoS攻击检测方法仍存在诸多不足之处，如检测准确度不高、自适应性弱等。

本发明针对现有LDoS攻击检测方法普遍存在检测准确度不高、自适应性弱等不足和缺点。根据小波多分辨分析方法和基于自编码器的异常检测模型，提出一种基于重构异常的慢速拒绝服务攻击检测方法。首先，该方法采用离散小波变换对提取的TCP样本序列进行4层小波分解，得到平滑信号和细节信号；然后，根据分解后得到的平滑信号进行重构，得到表示TCP趋势变化和概貌信息的重构信号；最后，将重构信号作为输入数据，输入到基于自编码器的异常检测模型中，根据异常检测模型的输出，从而达到检测LDoS攻击的目的。该LDoS攻击检测方法在复杂网络环境中有较好的自适应性，误报率和漏报率低，对LDoS攻击的检测准确度较高。因此该检测方法可普适于准确检测LDoS攻击。

发明内容

针对现有LDoS攻击检测方法普遍存在检测准确度不高、自适应性弱等缺点，提出了一种基于重构异常的慢速拒绝服务攻击检测方法。该LDoS攻击检测方法在复杂网络环境中有较好的自适应性，误报率和漏报率低，对LDoS攻击的检测准确度较高，可普适于准确检测LDoS攻击。

本发明为实现上述目标所采用的技术方案为：一种基于重构异常的慢速拒绝服务攻击检测方法主要包括三个步骤：采样数据、特征提取和判定检测。

1.采样数据。获取路由器中的TCP数据报文，对单位时间内的TCP数据报文进行采样，得到包含N个采样点的TCP样本序列{x(t),t＝n△t,n∈Z⁺}，其中，△t为采样时间，n的取值范围是[0,N)。

2.特征提取。基于离散小波变换，对TCP样本序列进行时频域分析，提取反映TCP样本序列趋势变化信息的时频域特征。对TCP样本序列进行4层小波分解，得到平滑信号和细节信号。细节信号反映的是信号序列的细节变化，其会随着分解层数的增加而增加。平滑信号反映的是信号序列的趋势变化信息，无论分解层数为多少，其仅有一个，且随着分解层数的增加而更平滑。对分解后得到的平滑信号进行重构，得到表示TCP趋势变化信息的重构信号。通过对TCP样本序列进行进行4层小波分解和重构，可以从混合不同频率信息的TCP流量原始信号中得到不同频带的子信号，从而能够实现对TCP流量信号和噪声的分离，并提取出有效的时频特征。

对于包含N个采样点的样本序列{x(t),t＝n△t,n∈Z⁺}，其离散小波变换的公式可表示为：