[发明专利]一种基于AEWMA算法的慢速拒绝服务攻击检测方法

权利要求书

1.一种基于AEWMA算法的慢速拒绝服务攻击检测方法，其特征在于，所述慢速拒绝服务攻击检测方法包括以下几个步骤：

步骤1、采样数据：实时获取服务器(路由器)中的相关数据报文，对单位时间内所有相关数据报文进行采样，形成样本原始值；

步骤2、处理数据：基于自适应指数加权移动平均(AEWMA)算法，对样本原始值进行平滑处理，得到样本统计值；

步骤3、分析数据：根据该单位时间内样本统计值，分析计算该单位时间内异常统计点概率及异常统计组概率；

步骤4、判定检测：根据预先存储的相关阈值，对该单位时间内的数据报文进行判定检测。若符合所述条件，则判定为该单位时间内网络中发生LDoS攻击。

2.根据权利要求1中所述的慢速拒绝服务攻击检测检测方法，其特征在于，步骤1中对网络中关键服务器(路由器)中的相关数据报文，以固定取样时间获取固定时间长度(单位时间)内所有相关数据报文，形成样本原始值。.

3.根据权利要求1中所述的慢速拒绝服务攻击检测检测方法，其特征在于，步骤2中根据步骤1获取的样本原始值，基于自适应指数加权移动平均(AEWMA)算法计算获得样本统计值。AEWMA算法在保留“最近样本值”——“最大权重”的基础上，通过采用非线性的加权算法，能够保留统计对象的异常突变而平滑其偶然误差。

4.根据权利要求1中所述的慢速拒绝服务攻击检测检测方法，其特征在于，步骤3中根据步骤2中计算获得的该单位时间内样本统计值，分析计算该单位时间内异常统计点概率及异常统计组概率，包括两个步骤：

步骤3.1、基于置信区间可以度量样本统计值的分布形态特征，通过使用异常统计点概率定量度量样本统计值的离散程度；

步骤3.2、基于置信区间可以度量样本统计值的分布形态特征，通过使用异常统计组概率定量度量样本统计值的振荡程度。

5.根据权利要求4中所述的慢速拒绝服务攻击检测检测方法，其特征在于，步骤3.1中异常统计点概率的定义为：位于置信区间之外的统计点(异常统计点)出现的频率，称为异常统计点概率。

6.根据权利要求4中所述的慢速拒绝服务攻击检测检测方法，其特征在于，步骤3.2中异常统计组概率的定义为：时间标度上连续的若干个异常统计点组成的异常统计点集合(异常统计组)出现的频率，称为异常统计组概率。

7.根据权利要求1中所述的慢速拒绝服务攻击检测检测方法，其特征在于，步骤4中根据步骤3中计算获得的该单位时间内异常统计点概率及异常统计组概率，对该单位时间内的数据报文进行判定检测，包括两个步骤：

步骤4.1、基于预先存储的异常统计点概率阈值，对该单位时间内其异常统计点概率进行判定检测；

步骤4.2、基于预先存储的异常统计组概率阈值，对该单位时间内其异常统计组概率进行判定检测。

步骤4.1和4.2同时检测到发生LDoS攻击，则判定该单位时间内发生LDoS攻击。

8.根据权利要求7中所述的慢速拒绝服务攻击检测检测方法，其特征在于，步骤4.1中对异常统计点概率进行检测的判定准则为：若该单位时间内其异常统计点概率大于预先存储异常统计点概率阈值，则该单位时间内异常统计点概率异常，其对应的单位时间内可能发生LDoS攻击。

9.根据权利要求7中所述的慢速拒绝服务攻击检测检测方法，其特征在于，步骤4.1中对异常统计组概率进行检测的判定准则为：若该单位时间内其异常统计组概率大于预先存储异常统计组概率阈值，则该单位时间内异常统计组概率异常，其对应的单位时间内可能发生LDoS攻击。