[发明专利]一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法

摘要

本发明公开了一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法，克服了现有技术中，入侵检测准确率仍需提高的问题。该发明包括：步骤1.基于时间窗的流量预警；步骤2.异常流量特征处理；步骤3.基于规则匹配的快速攻击检测；步骤4.未知类型攻击的挖掘与检测；步骤5.基于IP列表的攻击过滤。与现有技术相比，本发明通过轻量级入侵检测技术结合特征选择，基本解决了原有基于分类检测的DoS/DDoS攻击检测方法实时性差的问题；通过结合在线增量学习和特征选择，解决了未匹配预建攻击模式的未知类型攻击检测问题。

主权项

1.一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法，其特征在于：具体包括如下步骤：步骤1.基于时间窗的流量预警，基于时间窗监测流量的到达情况，定位异常流量，当有突发访问或者流量激增的异常情况时触发后续机制；步骤2.异常流量特征处理，将步骤1中存在的异常流量处理为检测特征样本序列，供后续步骤使用，典型的特征标准包括KDD CUP 99特征集、Moore特征集；步骤3.基于规则匹配的快速攻击检测，为基于轻量级入侵检测的DoS/DDoS攻击匹配检测机制，由数据挖掘工具Weka进行特征选择，使用基于信息增益的特征选择，某一特征的信息增益IG值即为从该特征上获得划分的信息增益，而具有最高IG值的特征就是给定特征集合中具有最高区分度的特征，处理训练数据得到检测特征，实现步骤2中检测特征样本序列的快速匹配攻击检测，并输出特征样本对应的攻击源IP、攻击目标IP，具体步骤如下，设定在一组训练样本T中，t为样本总数且有m个类别，设其中类别i含有ti个样本，样本熵为：若有v个不同的值的特征A可将T划分为v个子集，其中第j子集为特征A取aj时的子集，其样本数为Tj，第j子集中包含类别i的样本数为tij，有Tj＝t1j+t2j+...+tmj，特征A的信息熵为特征A的信息增益为样本熵与其信息熵之差，IG(A)＝I(t1,t2,...,tm)-E(A)，由信息增益进行样本寻优即可完成特征选择，结合特征选择后的检测特征，预建基于规则的DoS/DDoS攻击匹配检测机制；步骤4.未知类型攻击的挖掘与检测，为预建正常流量模式，对步骤3中未匹配预建攻击模式的异常流量进行未知类型攻击检测，由具有在线增量学习功能的机器学习算法C4.5决策树构建分类器实现，检测得到的不符合正常模式的未知类型攻击经过特征选择作为未知类型攻击的检测特征，通过C4.5决策树的在线增量学习强化未知类型攻击样本的分类准确率，进一步提升未知类型攻击的分类检测效果，并输出攻击源IP、攻击目标IP；步骤5.基于IP列表的攻击过滤，由步骤3和步骤4中输出的攻击源IP、攻击目标IP，建立攻击流量过滤表，进行攻击流量的过滤，过滤不仅作用于当前时间窗，而是通过维护恶意攻击源IP列表，过滤攻击源IP的后续访问。