[发明专利]基于多特征融合的LDoS攻击检测方法

摘要

低速率拒绝服务(LDoS)攻击可以根据TCP协议的反馈系统周期性地发送短时间脉冲造成网络拥塞，从而降低网络的服务水平。针对目前LDoS攻击识别率低和虚警率高的问题，本发明从多特征融合的角度对LDoS攻击进行检测，首先根据Apriori关联规则算法得到多个特征的支持度和置信度，并以此为依据设计了包含ACK差值、包大小和队列的LDoS攻击特征集。再分别对每个特征进行数字化预处理得到符合最小临近距离(KNN)分类器输入标准的输入特征，得出决策轮廓矩阵。最终将矩阵中的后验概率进行多特征决策融合，以融合后的决策结果作为LDoS的判定依据。实验结果表明本发明提出的方法明显好于以单一特征为依据的检测方法，并且具有更好的检测性能。

主权项

1.基于多特征融合的低速率拒绝服务攻击(Low‑rate Denial of Service，LDoS)检测方法，在详细分析了网络在正常和遭受LDoS攻击时出现的不同的行为后，该方法挖掘受到LDoS攻击时易于提取且变化明显的特征，通过分析这些特征建立了关联规则集合，并根据规则提取了较为明显的3种特征，基于此提出了多特征融合的LDoS攻击检测方法，该发明通过以下步骤实现：(1)研究了LDoS的攻击模型，根据攻击模型，对LDoS攻击进行了较详细的分类，并根据各个检测算法的优缺点，提出了基于多特征融合的检测LDoS攻击的思想；(2)通过流量分析，验证了LDoS攻击能隐藏在正常流量中的说法，并提取了ACK序号，路由器队列和包大小作为检测算法的特征，对ACK序号和路由器队列分别进行了数字化处理，使其更容易与正常网络下的特征区分；(3)利用Apriori关联规则算法，得到了各个特征的支持度和置信度，并据此得到了检测LDoS攻击的攻击特征集，利用KNN分类器检测LDoS攻击，得到决策轮廓矩阵，并根据决策轮廓矩阵得到最后的决策值，根据以上分析，提出了基于多特征融合的检测LDoS攻击的方法；(4)搭建了国际上通用的研究LDoS攻击的test‑bed真实实验平台，分别对基于单一特征和多特征融合检测LDoS攻击的方法进行了实验对比，通过最后实验结果得出了多特征融合检测算法优于单一特征检测算法的结论；该发明具体创新如下：(1)对各个特征进行预处理，这样可以降低其复杂度，以提升实时性；将ACK序号处理转变为ACK差值，在数据传输过程中，ACK序号为接收端期望收到发送端下一个报文段的第一个数据字节的序号，TCP使用的ACK是累积的，即当接收端收到连接的另一端发送的数据时，并不会立即回复确认，而是会延迟片刻，受到LDoS攻击后，由于要频繁进入快速重传和快速恢复，接收端会回传重复的ACK让发送端重传数据，此时ACK序号差值将会发生很大变化；将LDoS攻击产生之后，发送的异常数据包处理转变为提取数据包的大小，正常网络状态下，为了传输效率，TCP数据包大小一般为1000字节以上，速率不变时，LDoS包越小，效能越突出，因此，LDoS攻击者一般把攻击包控制在200字节左右，因此数据包的大小变化是检测是否产生LDoS攻击的标准之一；将平均与瞬时队列长度处理转变为欧氏距离，由于平均队列与瞬时队列共同表示的特征属于二维空间，在检测时不易处理，因此利用欧氏距离算法，将平均队列与瞬时队列表示为欧氏距离，以距离来判定正常与异常状态，欧式距离可以下式所示：中，d表示每个周期对应的平均欧氏距离，q_i为各个点的瞬时队列大小，Q_i为平均队列大小，q_c为正常状态下的瞬时队列的中值，Q_C为正常状态下的平均队列的中值，又由于攻击存在周期性，可以对每个周期的欧氏距离取平均值即：其中，d表示每个周期对应的平均欧氏距离，q_i为各个点的瞬时队列大小，Q_i为平均队列大小，Q_C为正常状态下的平均欧式距离，N为每个采样周期的采样点数，每个周期下的LDoS攻击队列平均欧式距离明显大于正常网络状态(包括加入随机突发)；(2)在建立特征库之前评估不同特征的利用率和置信率，多方面选择特征以免造成特征不匹配，利用Apriori关联规则算法发现各个特征分别与LDoS攻击共同发生时的联系，并根据各个特征的支持度和置信度确定与LDoS攻击关联性最强的几个特征作为本发明检测LDoS攻击的依据，即ACK差值，包大小和队列欧式距离，最终Apriori算法输出三个联合特征的规则为(A₁ A₂ A₃)→B(35.21％，99.4％)，由此可知，ACK差值，包大小和队列欧式距离三个特征对于攻击状态的置信度很高；(3)利用各个特征的特性，进行多特征的融合检测，通过各个特征在决策上的相互制约以提高检测率并降低虚警率，Apriori算法得到的LDoS规则特征集(ACK差值，包大小，队列距离特征)，以这三个特征分别作为KNN分类器1～3的输入，测试数据x经过3个KNN分类后能得出最终的决策轮廓矩阵S：由决策轮廓矩阵S计算样本x属于第L类的置信度θ_L(x)：在上式中，N_L是测试数据中属第L类的样本总数，N为样本总数，根据置信度则可计算出决策融合后每个x的最终结果p(x)为：p(x)＝argmax[θ_L(x)]  (3.10)将融合后的结果决策指标作为LDoS攻击的判定依据D，在正常与异常状态中间选择合理的阈值，若D大于阈值则样本x为所对应的L类，反之则判定为另一类别。