[发明专利]一种云环境的低速拒绝服务攻击数据流检测方法

说明书

本发明公开了一种云环境的低速拒绝服务攻击数据流检测方法，通过计算雷尼信息熵识别云环境的各种低速数据流，通过构建基于卷积神经网络的层次模型提取低速数据流的局部特征信息，并在线检测各种低速拒绝服务攻击数据流。若低速数据流通过卷积神经网络和矩阵化分类器模型后的实际输出与期望输出的差异超过阈值时，说明该低速数据流异常；若实际输出与期望输出的差异在阈值范围内，说明该低速数据流正常。然后，通过优先级排队控制和合理分配云环境中的带宽等资源，消除各种低速拒绝服务攻击流对云环境的影响。本发明能有效检测云环境的各种低速拒绝服务攻击数据流，并消除其对合法云用户带宽等资源的影响。

技术领域

本发明特别涉及一种云环境的低速拒绝服务攻击数据流检测方法。

背景技术

低速率拒绝服务攻击(low-rate denial-of-service,简称LDoS)是一种新型的拒绝服务攻击，以一种智能方式发送低速流量攻击，能够绕过基于高速率特征的检测机制，试图溢出在机器中运行的服务。

目前针对低速率拒绝服务攻击的检测方法主要有，针对TCP拥塞控制机制的Shrew攻击、随机化端系统的最小超时等待时间、控制路由器队列缓冲区、算法匹配、数学工具如小波特征。

发明内容

本发明的目的是提供一种云环境的低速拒绝服务攻击数据流检测方法，能有效检测云环境下低速拒绝服务攻击数据流，消除低速拒绝服务攻击数据流对云环境的影响，为云用户分配合理的资源。

为了实现以上目的，本发明是通过以下技术方案实现的：

一种云环境的低速拒绝服务攻击数据流检测方法，其特点是，包含以下步骤：

S1，搜集云环境正常状态下的数据流；所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态；

S2，用信息熵对搜集的数据流预处理，得到训练卷积神经网络所用的训练样本；预处理的数据流中每条数据包括，源IP、目的IP、数据报长、连接持续时间、源端口发送字节数；

S3，构造卷积神经网络包含1个输入层，2个卷积层，1个下采样层，1个全连接层，1个输出层，输出层连接矩阵型分类器；

S4，用训练样本训练卷积神经网络，通过数层特征提取和特征映射之后，以特征向量的形式体现全局的特征信息；将特征向量矩阵化并输入相应矩阵型分类器和调和模型参数，直到误差在一定范围完成卷积神经网络多矩阵化分类器模型构建；

S5，按事先设置的时间间隔，实时在线收集云环境中数据流，并实时传送检测低速拒绝服务攻击；选取数据流中部分常规特征信息，所选取的部分常规特征信息种类由步骤S2得出，计算互雷尼信息熵，进行低速拒绝服务攻击数据流初步识别；将低速数据流通过步骤S4训练得到的卷积神经网络多矩阵化分类器模型进一步检测，若低速数据流通过模型后的实际输出与期望输出的差异超过阈值，说明该低速数据流异常；若数据流通过模型后的实际输出与期望输出的差异在阈值范围内，说明该低速数据流正常。

S6，根据检测结果将数据流进行优先级排队控制，消除低速拒绝服务攻击数据流对云环境的影响。

所述的步骤S2中对搜集的数据流预处理为：

A1，数据集合表示为：A＝{a₁,a₂,…a_i,…a_m}；此处分别统计源IP、目的IP、数据报长、连接持续时间、源端口、目的端口、源端口发送字节数、目的端口发送字节数、连接状态、过去两秒与同一主机的连接数特征信息的种数数据项，记为：K＝{k₁,k₂,…k_j,…k_n}；

A2，分别统计Δt时间内数据集合中，n种特征信息出现的k_j种属性值的次数N与总次数