[发明专利]一种基于AEWMA算法的慢速拒绝服务攻击检测方法

说明书

技术领域

本发明属于计算机网络安全领域，具体涉及一种基于AEWMA算法的慢速拒绝服务攻击检测方法

背景技术

拒绝服务攻击(DoS攻击)，其根本目的是使得受害网络或主机无法及时接受并处理外界请求，或者无法及时响应服务请求，从而导致网络或者目标计算机无法提供正常的服务。DoS攻击对网络危害巨大。而慢速拒绝服务(LDoS)攻击，是一种新型DoS攻击。其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。

目前LDoS攻击检测存在两个方面的问题：其一是由于攻击行为特证异于传统DoS攻击，传统DoS检测方法难以检测LDoS攻击，其二是已有的LDoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点。

本发明针对传统DoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点。基于自适应移动平均(AEWMA)算法，提出了一种基于AEWMA算法的慢速拒绝服务攻击检测方法。该方法采用了AEWMA算法统计样本原始值，从而尽可能消除偶然误差而同时保留异常突变。然后通过定量度量分布形态的异常特征，提出了相关的判断准则来判别分布形态是否异常，从而达到检测LDoS攻击的目的。该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。

发明内容

针对传统DoS攻击检测方法普遍存在检测准确度不高，算法复杂、资源消耗大且实时性弱，自适应能力欠缺等特点，提出了一种慢速拒绝服务攻击检测方法。该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此该检测方法可普适于准确检测LDoS攻击。

本发明为实现上述目标所采用的技术方案为：该慢速拒绝服务攻击检测方法主要包括四个步骤：采样数据、处理数据、分析数据以及判定检测。

1.采样数据。对网络中关键服务器(路由器)中的相关数据报文，以固定取样时间获取固定时间长度(单位时间)内所有相关数据报文，形成样本原始值。

2.处理数据。根据获取的样本原始值，基于自适应指数加权移动平均(AEWMA)算法计算获得样本统计值。AEWMA算法在保留“最近样本值”——“最大权重”的基础上，通过采用非线性的加权算法，能够保留统计对象的异常突变而平滑其偶然误差。

在AEWMA算法中，令X_i为样本的第i个原始值，S_i为样本的第i个AEWMA统计值，n为统计样本的总个数，w(e_i)为AEWMA算法的加权函数。AEWMA算法公式可表示为：

3.分析数据。根据计算获得的该单位时间内样本统计值，分析计算该单位时间内异常统计点概率及异常统计组概率。具体是：1)基于置信区间可以度量样本统计值的分布形态特征，通过使用异常统计点概率定量度量样本统计值的离散程度；2)基于置信区间可以度量样本统计值的分布形态特征，通过使用异常统计组概率定量度量样本统计值的振荡程度。

其中，令该时间单位为AEWMA统计值的均值记作令σ²为正常数据中统计值的方差，z为与检测精度相关的给定常量，置信区间可表示为：

4.判定检测。根据计算获得的该单位时间内异常统计点概率及异常统计组概率，对该单位时间内的数据报文进行判定检测。具体是：1)基于预先存储的异常统计点概率阈值，对该单位时间内其异常统计点概率进行判定检测；2)基于预先存储的异常统计组概率阈值，对该单位时间内其异常统计组概率进行判定检测。若以上同时检测到发生LDoS攻击，则判定该单位时间内发生LDoS攻击。

若检测结果显示该单位时间内数据报文正常，则将该单位时间内异常统计点概率及异常统计组概率加入预先存储的对应数据内，用以修正预先存储的异常统计点概率阈值及异常统计组概率阈值。

有益效果

该LDoS攻击检测方法，误报率和漏报率低，对LDoS攻击的检测准确度较高，同时算法的空间复杂度和时间复杂度低。因此，该检测方法可普适于准确检测LDoS攻击。

附图说明

图1为AEWMA算法的光滑特征示意图，AEWMA算法采用得分函数使得具备既能平滑偶然误差又能保留异常突变，因此在基于“流量异常特征”的LDoS攻击检测中更具优势。