本發明公開了一種基于NCS?SVM的慢速拒絕服務(LDoS)攻擊檢測方法，屬于網絡安全領域。其中所述方法包括：以一個時間窗口為檢測單位，實時獲取檢測網絡的TCP流量，對該時間窗口內TCP流量進行原始數據解析，采用逆向云生成器將時間窗口內的TCP流量映射到云空間中生成正態云模型，并使用其期望曲線刻畫TCP流量的分布形態特征；根據事先利用無攻擊的TCP流量生成的基準云模型作為計算相似度的基準，定量計算該時間窗口內TCP流量對應的云模型與基準云模型之間的相似度，并將相似度輸入到預先訓練的支持向量機分類器中，根據相關判定準則，是否存在因LDoS攻擊導致的TCP流量分布形態異常，導致該時間窗口云模型和基準云模型相似度遠小于1，來檢測該時間窗口內是否受到LDoS攻擊。本發明提出的基于TCP流量分布形態特征的檢測方法能高效、快速地檢測LDoS攻擊。

技術領域

本發明屬于計算機網絡安全領域，具體涉及一種基于正態云模型相似度和支持向量機(NCS-SVM)的慢速拒絕服務(LDoS)攻擊檢測方法。

背景技術

拒絕服務(DoS)攻擊，其根本目的是使得受害網絡或主機無法及時接受并處理外界請求，或者無法及時響應服務請求，從而導致網絡或者目標計算機無法提供正常的服務。DoS攻擊對網絡危害巨大。而LDoS攻擊，是一種新型DoS攻擊，其產生的攻擊效果近似于DoS攻擊但攻擊隱蔽性更強。

目前LDoS攻擊檢測存在兩個方面的問題：其一是由于攻擊行為特征異于傳統DoS攻擊，傳統DoS檢測方法難以檢測LDoS攻擊，其二是已有的LDoS攻擊檢測方法普遍存在檢測準確度不高，誤報率和漏報率較高，且算法的空間復雜度和時間復雜度較高等問題。

本發明針對傳統DoS攻擊檢測方法難以檢測LDoS攻擊，已有的LDoS攻擊檢測方法普遍存在檢測準確度不高，誤報率和漏報率較高，算法的空間復雜度和時間復雜度較高等問題，提出了一種基于NCS-SVM的LDoS攻擊檢測方法。該方法實時獲取路由器上的TCP流量并將原始TCP流量分割成多個單位時間的檢測序列，并使用逆向云生成器生成每個單位時間內TCP流量對應的正態云模型，并使用基于期望曲線的正態云模型相似度計算每個單位時間內的云模型與預先生成的基準云模型之間的相似度。然后基于LDoS攻擊對網絡流量相關性影響的定量計算分析，提出了判斷準則來判別待檢測網絡流量與正常網絡流量之間的相似性，并判斷網絡是否異常，即支持向量機分類結果為1，判定當前單位時間內受到LDoS攻擊，從而達到檢測LDoS攻擊的目的。該LDoS攻擊檢測方法，對LDoS攻擊的檢測準確度較高，誤報率和漏報率低，同時算法的空間復雜度和時間復雜度較低。因此該檢測方法適用于檢測LDoS攻擊。

發明內容

本發明針對現有檢測方法存在的檢測準確度不高、誤報率和漏報率較高，以及算法的空間復雜度和時間復雜度較高等問題，提出了一種基于NCS-SVM的LDoS攻擊檢測方法。首先實時采集路由器上的TCP流量，并挑選部分無攻擊的TCP流量通過逆向云生成器生成基準云模型。然后對于多個單位時間內的TCP流量生成其對應的正態云模型，完成以上數據的采樣和處理步驟后，根據基準云模型生成該單位時間內TCP流量對應的云模型與基準云模型之間的相似度，將相似度輸入到預先訓練的支持向量機，基于TCP流量的相似性特征建立判定準則進行判定，最后以此為依據使用支持向量機進行識別LDoS攻擊。與現有的LDoS攻擊檢測方法相比較，本方法具有更高的準確率，更低的漏報率和誤報率，以及較低的空間復雜度和時間復雜度。

本發明為實現上述目標所采用的技術方案為：該LDoS攻擊檢測方法主要包括四個步驟：采樣數據、處理數據、分析數據以及判定檢測。

1.采樣數據。實時獲取路由器上的TCP流量，以固定取樣時間獲取單位時間內所有TCP流量，得到樣本原始值。

2.處理數據。基于逆向云生成器，獲得單位時間內TCP流量對應的正態云模型。逆向云生成器將單位時間內所有TCP流量映射到云空間，從而將定量數據轉換為定性概念，生成能夠刻畫TCP流量分布形態的正態云模型。云具有三個數字特征，它們能夠從整體的角度表示云所代表的概念的特征，即期望Ex、熵En和超熵He。