[发明专利]隐马尔可夫模型检测LDoS攻击方法

摘要

低速率拒绝服务(Low‑Rate Denial of Service，LDoS)攻击具有平均速率低、隐蔽性强的特点，传统的检测方法难以奏效。本发明针对LDoS攻击提出了一种基于隐马尔科夫模型的LDoS攻击检测方法。首先对网络状态建立隐马尔科夫模型，将归一化累计功率谱密度(Normalized Cumulative Power Spectrum Density，NCPSD)方法的检测结果作为隐马尔科夫模型的观测值。利用前向算法得到不同观测值序列在该模型下的偏离度作为检测依据。在NS‑2中对本检测方法进行测试，实验结果表明本方法能够有效的检测LDoS攻击，与其他方法相比也具有更好的检测性能。通过假设检验得出检测率为99.96％，具有检测概率高，以及虚警率和漏警率低的优点。

主权项

1.基于隐马尔可夫模型检测低速率拒绝服务攻击LDoS攻击方法，其特征在于：是通过以下步骤实现的：/n(1)根据隐马尔可夫模型HMM对网络状态建模；/n(2)将归一化累积功率谱密度NCPSD检测方法的检测结果作为HMM的观测值，定义不同观测值序列在该HMM下的概率P(O|λ)为该观测值序列对于HMM的偏离度ξ，其中O为观测值序列，λ为HMM模型参数；/n(3)通过前向算法计算不同观测值序列在HMM模型下的偏离度ξ；/n(4)通过假设检验的方法选择合适阈值作为检测依据，如果偏离度ξ小于阈值则认为网络环境遭受了LDoS攻击；/n其中：步骤(1)是将无法最终确定的网络状态看作隐藏状态，对正常稳定的网络建立HMM；一个HMM有五个元素：隐藏状态集合S、观测状态集合V、初始状态概率矩阵π、隐藏状态转移概率矩阵A、观测状态转移概率矩阵B，先对网络建模，建模后的模型参数为λ，定义HMM模型参数λ是A，B，π三个矩阵的联合矩阵，表达式为λ＝(A，B，π)；/n①隐藏状态集合S/n隐藏状态集合S＝{S₁，S₂}，S₁表示未遭受LDoS攻击状态，S₂表示遭受到LDoS攻击状态；/n②观测状态集合V/n利用NCPSD算法的检测结果，把所有的观测状态分为网络未遭受LDoS攻击状态V₁和网络遭受LDoS攻击状态V₂两类；观测状态集合V＝{V₁，V₂}；/n③初始状态概率矩阵π/n定义初始状态概率矩阵π，π中每个元素代表实际网络初始时刻处于某种状态的概率，这些概率的和为1；对于LDoS攻击检测的HMM，有π＝[π₁，π₂]；其中，π₁＝P(S₁)为网络初始时刻未遭受攻击的概率，π₂＝P(S₂)为网络初始时刻遭受LDoS攻击的概率；对于一个行为正常的网络，都可以认为在初始时刻，网络未遭受LDoS攻击，此时，π₁＝P(S₁)即网络未受到攻击的状态为1，π₂＝P(S₂)即网络受到攻击的状态为0，结合π＝[π₁，π₂]，此时即为π＝[1，0]；/n④隐藏状态转移概率矩阵A/n定义隐藏状态转移概率矩阵A，A中每个元素代表实际网络环境由一个隐藏状态到另一个隐藏状态的概率；对于LDoS攻击检测的HMM，有其中a_ij＝P(S_j|S_i)为δ-1时刻HMM的隐藏状态为S_i时，在δ时刻HMM的隐藏状态为S_j的概率，i∈{1，2}，j∈{1，2}；对于一个网络来说，大多数时间会处于正常状态，而遭受LDoS攻击的时间相对较短；对于这样一个稳定的网络环境，假设网络在δ-1时刻遭受LDoS攻击，下一时刻δ网络状态将恢复正常，所以P(S₁|S₁)＝1，P(S₂|S₁)＝0，P(S₁|S₂)＝1，P(S₂|S₂)＝0，由前文提到的隐藏状态转移概率矩阵A可知，其中，a_ij＝P(S_j|S_i)，结合δ时刻网络状态可知，/n步骤(2)利用NCPSD方法对LDoS攻击进行粗检测，将得到的T个检测结果作为一组观测值序列O，该观测值序列O中包含T个元素，每一个元素都是某一时刻的观测状态，且观测值序列O中的每一个元素属于观测状态集合V，其中，T大于或等于1；T为检测结果的个数，对于给定模型参数λ＝(A，B，π)的HMM，定义不同观测值序列在该HMM下的概率P(O|λ)为该观测值序列对于HMM的偏离度ξ，由于HMM是以正常的稳定网络状态为基础建立的，因此偏离度ξ越大说明网络遭受LDoS攻击的概率越大，反之说明网络正常；/n步骤(3)对偏离度ξ的计算使用前向计算解决，前向算法具体过程为：定义变量α_t(j)，b_j(O_t)，其中α_t(j)＝P{O₁ O₂…O_t，S_j|λ}，1≤t≤T，α_t(j)表示参数为λ且在t时刻内的观测值序列为{O₁，O₂，…，O_t}下HMM隐藏状态为S_j的概率， b_j(O_t)表示在隐藏状态为S_j时，观察值为O_t的概率，O_t是某一时刻的观测状态，O_t为序列O中的第t个元素，使用归纳法推导α_t(j)，进行三个步骤：初始化、递归、终结；/n①初始化：α₁(j)＝P(O₁，S_j|λ)＝π_jb_j(O₁)；/n②递归：/n③终结：/n对于步骤(1)中建立的HMM，利用前向算法计算P(O|λ)最终可得：/n /n其中，T为观测值序列中观测值的总数，a为观测序列中未遭受LDoS攻击的观测值数目，P(V₂|S₁)为虚警率；/n利用NCPSD检测方法对LDoS攻击进行粗检测，则偏离度为：ξ＝P(O|λ)＝(1-r_fp)^a(r_fp)^T-a，0≤a≤T，ξ很大程度上由虚警率r_fp所决定，其中1-r_fp一定大于r_fp，那么T个观测值中，未遭受LDoS攻击的观测值数目a越多，得出的ξ越大，网络未遭受LDoS攻击的概率也就越大；/n步骤(4)通过假设检验的方法计算最终阈值，根据偏离度ξ与阈值的对比判断是否发生LDoS攻击，确定当偏离度小于阈值时则认为发生了LDoS攻击。/n