技術領域

本發明涉及計算機網絡安全領域，具體的說是一種應用層DDoS攻擊檢測方法。

技術背景

早期的DDoS攻擊方式基于網絡層次，攻擊者大多利用網絡層協議漏洞發起攻擊，如SYN Flood、ICMP Flood等向目標主機發送大量的數據包造成洪水式攻擊致使主機癱瘓。目前由于網絡層協議不斷完善，以及對此類攻擊檢測技術成熟，大多目標主機能夠檢測并過濾此類攻擊流。攻擊者為了能有效再次實施攻擊，采用一種針對應用層的DDoS攻擊，其具有隱蔽性強，攻擊效果顯著等特點。攻擊者利用僵尸機的真實IP與服務器建立TCP連接發出合法請求，能夠避開服務器防火墻的檢測，并不斷請求服務器資源，最終服務器無法承載高負荷的請求導致宕機。

針對應用層DDoS攻擊的檢測技術越來越受到重視，而傳統的檢測方法存在較高的誤報率、較低的檢測率，以及較高的計算復雜度等問題制約了應用層DDoS攻擊檢測的有效性。因此，本發明提供一種輕量級二分類模型的檢測方法，檢測精度有了很大的提升，同時減少了檢測所耗費的時間。

發明內容

本發明的目的是提供一種輕量級、實用性強、基于邏輯回歸的應用層DDoS攻擊檢測方法。該方法通過量子粒子群優化算法求解邏輯回歸模型的參數，提高了參數的求解精度，同時減少了求解參數的時間。使用建立好的邏輯回歸模型對訪問服務器的用戶進行預測，得到訪問用戶的類別，從而能夠檢測到應用層的DDoS攻擊用戶。為實現上述目的，本發明采用以下技術方案：

一種基于邏輯回歸的應用層DDoS攻擊檢測方法，包括以下步驟：

步驟(1)：以訪問用戶的IP地址為標識，提取用戶訪問行為的特征集，用(x⁽ⁱ⁾,y⁽ⁱ⁾)表示訪問用戶特征集，i是第i個用戶，x是用戶的一組特征；y是用戶的類別，取值是0和1；

步驟(2)：計算用戶的邏輯回歸函數值：在用戶特征x已知的條件下求解y＝1的概率，即是該用戶的邏輯回歸函數值p(y＝1|x)＝1/(1+exp(-θ^Tx))，其中θ為邏輯回歸函數的參數，記邏輯回歸函數表達式為h(θ^Tx)；設每個用戶被標記0或1的概率為p(y|x,θ)，建立邏輯回歸模型；

步驟(3)：根據邏輯回歸模型得到最大似然函數l(θ)，邏輯回歸模型的損失函數就是最大似然函數的相反數，記損失函數的表達式為loss(θ)，其中θ是損失函數的唯一變量，也是邏輯回歸模型待求解的參數；

步驟(4)：以損失函數作為目標函數，采用量子粒子群優化算法對目標函數進行求解得到邏輯回歸模型的參數θ^*，使得損失函數的目標值最小；

步驟(5)：使用求解后的邏輯回歸模型對未標記的用戶特征進行預測，得到該用戶的類別。

優選地，步驟(1)中，用戶訪問特征為從一個時間窗口的用戶訪問集中提取用戶的八元特征，八元特征分別如下：用戶訪問的次數、用戶訪問不同的頁面數、用戶請求間隔的平均值、用戶請求頁面的字節總數、用戶訪問的持續時間、用戶請求的平均字節數、用戶請求URL層級數的變化程度、用戶請求間隔的熵值，共八個特征。

步驟(5)中，使用邏輯回歸模型對未知的訪問用戶進行預測的方法為：針對未標記的訪問用戶的八元組特征，求解h(θ^Tx)的邏輯回歸函數值，當求得的邏輯回歸函數值大于0.5時，將該訪問用戶標記為攻擊用戶，反之標記為正常用戶。

本發明由于采用以上技術方案，其具有以下優點：

本發明采用機器學習中邏輯回歸模型對訪問的用戶進行檢測。邏輯回歸模型相對于馬爾可夫模型、大偏差統計模型、隨機游走模型等傳統模型，具有模型簡單、可泛化等優點。在建立模型時能夠很大的程度減小系統的開銷，在檢測時能夠以更短的時間獲得訪問用戶的類別。與此同時，本發明采用量子粒子群優化方法取代了傳統的牛頓法來求解邏輯回歸模型的參數，由于量子粒子群優化方法具有快速收斂和全局尋優的能力，縮減了邏輯回歸模型建立的時間，同時更加準確的求解模型參數，提高了對攻擊檢測的精度。

為了更好的驗證本方法的有效性，我們與傳統的牛頓法求解邏輯回歸模型的方法進行對比。在仿真條件一致的情況下，本方法具有較高的檢測率、較低的誤檢率以及建立模型的耗時程度與訓練樣本數量之間為線性關系。因此，可以證明本發明具有較好的檢測效果。

附圖說明

圖1是應用層DDoS攻擊的檢測流程圖。