技術領域

本發明屬于計算機網絡安全領域，具體涉及一種基于AEWMA算法的慢速拒絕服務攻擊檢測方法

背景技術

拒絕服務攻擊(DoS攻擊)，其根本目的是使得受害網絡或主機無法及時接受并處理外界請求，或者無法及時響應服務請求，從而導致網絡或者目標計算機無法提供正常的服務。DoS攻擊對網絡危害巨大。而慢速拒絕服務(LDoS)攻擊，是一種新型DoS攻擊。其產生的攻擊效果近似于DoS攻擊但攻擊隱蔽性更強。

目前LDoS攻擊檢測存在兩個方面的問題：其一是由于攻擊行為特證異于傳統DoS攻擊，傳統DoS檢測方法難以檢測LDoS攻擊，其二是已有的LDoS攻擊檢測方法普遍存在檢測準確度不高，算法復雜、資源消耗大且實時性弱，自適應能力欠缺等特點。

本發明針對傳統DoS攻擊檢測方法普遍存在檢測準確度不高，算法復雜、資源消耗大且實時性弱，自適應能力欠缺等特點。基于自適應移動平均(AEWMA)算法，提出了一種基于AEWMA算法的慢速拒絕服務攻擊檢測方法。該方法采用了AEWMA算法統計樣本原始值，從而盡可能消除偶然誤差而同時保留異常突變。然后通過定量度量分布形態的異常特征，提出了相關的判斷準則來判別分布形態是否異常，從而達到檢測LDoS攻擊的目的。該LDoS攻擊檢測方法，誤報率和漏報率低，對LDoS攻擊的檢測準確度較高，同時算法的空間復雜度和時間復雜度低。因此該檢測方法可普適于準確檢測LDoS攻擊。

發明內容

針對傳統DoS攻擊檢測方法普遍存在檢測準確度不高，算法復雜、資源消耗大且實時性弱，自適應能力欠缺等特點，提出了一種慢速拒絕服務攻擊檢測方法。該LDoS攻擊檢測方法，誤報率和漏報率低，對LDoS攻擊的檢測準確度較高，同時算法的空間復雜度和時間復雜度低。因此該檢測方法可普適于準確檢測LDoS攻擊。

本發明為實現上述目標所采用的技術方案為：該慢速拒絕服務攻擊檢測方法主要包括四個步驟：采樣數據、處理數據、分析數據以及判定檢測。

1.采樣數據。對網絡中關鍵服務器(路由器)中的相關數據報文，以固定取樣時間獲取固定時間長度(單位時間)內所有相關數據報文，形成樣本原始值。

2.處理數據。根據獲取的樣本原始值，基于自適應指數加權移動平均(AEWMA)算法計算獲得樣本統計值。AEWMA算法在保留“最近樣本值”——“最大權重”的基礎上，通過采用非線性的加權算法，能夠保留統計對象的異常突變而平滑其偶然誤差。

在AEWMA算法中，令X_i為樣本的第i個原始值，S_i為樣本的第i個AEWMA統計值，n為統計樣本的總個數，w(e_i)為AEWMA算法的加權函數。AEWMA算法公式可表示為：

3.分析數據。根據計算獲得的該單位時間內樣本統計值，分析計算該單位時間內異常統計點概率及異常統計組概率。具體是：1)基于置信區間可以度量樣本統計值的分布形態特征，通過使用異常統計點概率定量度量樣本統計值的離散程度；2)基于置信區間可以度量樣本統計值的分布形態特征，通過使用異常統計組概率定量度量樣本統計值的振蕩程度。

其中，令該時間單位為AEWMA統計值的均值記作令σ²為正常數據中統計值的方差，z為與檢測精度相關的給定常量，置信區間可表示為：

4.判定檢測。根據計算獲得的該單位時間內異常統計點概率及異常統計組概率，對該單位時間內的數據報文進行判定檢測。具體是：1)基于預先存儲的異常統計點概率閾值，對該單位時間內其異常統計點概率進行判定檢測；2)基于預先存儲的異常統計組概率閾值，對該單位時間內其異常統計組概率進行判定檢測。若以上同時檢測到發生LDoS攻擊，則判定該單位時間內發生LDoS攻擊。

若檢測結果顯示該單位時間內數據報文正常，則將該單位時間內異常統計點概率及異常統計組概率加入預先存儲的對應數據內，用以修正預先存儲的異常統計點概率閾值及異常統計組概率閾值。

有益效果

該LDoS攻擊檢測方法，誤報率和漏報率低，對LDoS攻擊的檢測準確度較高，同時算法的空間復雜度和時間復雜度低。因此，該檢測方法可普適于準確檢測LDoS攻擊。

附圖說明

圖1為AEWMA算法的光滑特征示意圖，AEWMA算法采用得分函數使得具備既能平滑偶然誤差又能保留異常突變，因此在基于“流量異常特征”的LDoS攻擊檢測中更具優勢。