本發明公開了一種基于梅爾倒譜與半空間森林結合的慢速拒絕服務(LDoS)攻擊檢測方法，屬于網絡安全領域。其中所述方法包括：實時獲取單位時間片內待檢測網絡的混合流量數據，提取網絡流量在梅爾頻率上的倒譜系數，將其作為度量正常流量和LDoS攻擊流量的初始特征；然后采用互信息特征選擇算法對已提取的初始特征進行優化選擇；最后將擇優后的特征輸入到基于數據質量異常檢測的半空間森林模型，通過該模型對正常流量和LDoS攻擊流量進行準確區分，從而達到檢測LDoS攻擊的目的。本發明提出的梅爾倒譜與半空間森林結合的檢測方法能高效、快速、自適應地檢測LDoS攻擊。

技術領域

本發明屬于計算機網絡安全領域，具體涉及一種基于梅爾倒譜與半空間森林結合的慢速拒絕服務(LDoS)攻擊檢測方法。

背景技術

拒絕服務(DoS)攻擊，其根本目的是使得受害網絡或主機無法及時接受并處理外界請求，或者無法及時響應服務請求，從而導致網絡或者目標計算機無法提供正常的服務，DoS攻擊對網絡危害巨大。而LDoS攻擊，是DoS攻擊的變種，其產生的攻擊效果近似于DoS攻擊但攻擊隱蔽性更強。

目前LDoS攻擊檢測存在兩個方面的問題：其一是由于攻擊行為特征異于傳統DoS攻擊，傳統DoS檢測方法難以檢測LDoS攻擊，其二是已有的LDoS攻擊檢測方法普遍存在檢測準確度不高，算法復雜、資源消耗大且實時性弱，自適應能力欠缺等特點。

本發明針對現有LDoS攻擊檢測方法普遍存在檢測準確度不高，算法復雜、資源消耗大且實時性弱，自適應能力欠缺等特點，提出了一種基于梅爾倒譜與半空間森林結合的LDoS攻擊檢測方法。該方法實時獲取時間片內待檢測網絡的流量數據，提取網絡流量在梅爾頻率上的倒譜系數，將其作為度量正常流量和LDoS攻擊流量的初始特征；然后采用互信息特征選擇算法對已提取的初始特征進行優化選擇；最后將擇優后的特征輸入到基于數據質量異常檢測的半空間森林模型，通過該模型對正常流量和LDoS攻擊流量進行準確區分，從而達到檢測LDoS攻擊的目的。該LDoS攻擊檢測方法，對LDoS攻擊的檢測準確度較高，誤報率和漏報率低，同時算法的空間復雜度和時間復雜度低。因此該檢測方法可普適于準確檢測LDoS攻擊。

發明內容

針對現有LDoS攻擊檢測方法普遍存在檢測準確度不高，算法復雜、資源消耗大且實時性弱，自適應能力欠缺等特點，提出了一種基于梅爾倒譜和半空間森林結合的LDoS攻擊檢測方法。該LDoS攻擊檢測方法，對LDoS攻擊的檢測準確度較高，誤報率和漏報率低，同時算法的空間復雜度和時間復雜度低。因此該檢測方法可普適于準確檢測LDoS攻擊。

本發明為實現上述目標所采用的技術方案為：該LDoS攻擊檢測方法主要包括四個步驟：提取初始特征、特征優化選擇、構建半空間森林模型和檢測判定。

1.提取初始特征：實時獲取路由器中的混合數據流量，按照時間片劃分混合數據流量，將時間片內的混合數據流量進行處理后輸入到梅爾濾波器組中獲取信號能量，再將其進一步處理后則可獲得我們所需的倒譜系數，即本方法所描述的初始特征。

其中構造梅爾濾波器組的方法為：我們在頻譜范圍內設置若干帶通濾波器H_m(k)，0≤m≤M,M為濾波器的數目。每個濾波器具有三角形濾波特性，其中心頻率為f(m)，f(m)的定義如下：

其中，f_l為濾波器頻率范圍的最低頻率，f_h為濾波器頻率范圍的最高頻率，N為DFT(FFT)時的長度，f_s為采樣頻率，F_mel為Mel頻率，Mel頻率是一種分線性頻率刻度，它與頻率的關系表示如下式所示：

2.特征優化選擇：采用互信息特征選擇算法對已經提取的初始特征進行再次篩選，選擇出前k個特征組成提優特征。具體方法為：從一個空集合S開始，采用步進的方法，每次選擇一個特征，直到選擇前k(k≤n)個特征使得檢測算法性能達到最優。