本發(fā)明公開了一種基于粒子群優(yōu)化和K均值聚類(PSO?K)算法的低速率拒絕服務(wù)(LDoS)攻擊檢測方法，屬于計算機網(wǎng)絡(luò)安全領(lǐng)域。本發(fā)明所述的方法包括：以一個時間窗口為檢測單位，實時對數(shù)據(jù)流量進行采樣；并在該時間窗口內(nèi)為數(shù)據(jù)流量劃分時間片，提取數(shù)據(jù)流量的數(shù)字特征；采用PSO?K算法對數(shù)據(jù)流量的特征進行聚類分析，再將聚類結(jié)果進行處理；與預(yù)先計算獲得的閾值進行比較，最后依據(jù)判定準(zhǔn)則判定數(shù)據(jù)流量是否存在異常，從而檢測該時間窗口內(nèi)是否發(fā)生LDoS攻擊。本發(fā)明提出的基于群體智能優(yōu)化和無需監(jiān)督思想的LDoS攻擊檢測方法具有良好的普適性以及準(zhǔn)確性。

技術(shù)領(lǐng)域

本發(fā)明屬于計算機網(wǎng)絡(luò)空間安全領(lǐng)域，具體涉及一種基于粒子群優(yōu)化和K均值聚類(PSO-K)算法的低速率拒絕服務(wù)(LDoS)攻擊檢測方法。

背景技術(shù)

拒絕服務(wù)(DoS)攻擊由于其簡單且易于達(dá)到目的這一攻擊特點，目前是一種十分常見的網(wǎng)絡(luò)攻擊。其主要目的是耗盡目標(biāo)網(wǎng)絡(luò)或者服務(wù)系統(tǒng)的資源，使其無法響應(yīng)甚至崩潰。LDoS攻擊是一種特殊的DoS攻擊，其利用現(xiàn)有的網(wǎng)絡(luò)協(xié)議的擁塞控制機制等一些自適應(yīng)機制的漏洞，周期性地發(fā)送高脈沖攻擊流來達(dá)到攻擊目的。為了使網(wǎng)絡(luò)負(fù)載處于網(wǎng)絡(luò)數(shù)據(jù)傳輸和處理能力的有效范圍內(nèi)，網(wǎng)絡(luò)往往需要進行擁塞控制，此時，網(wǎng)絡(luò)更致力于確保其穩(wěn)態(tài)的性能，而忽略了其非穩(wěn)態(tài)的性能或者從非穩(wěn)態(tài)切換到穩(wěn)態(tài)的性能。LDoS攻擊正是利用此漏洞，周期性地發(fā)送短時脈沖式攻擊流，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)丟包現(xiàn)象，造成網(wǎng)絡(luò)擁塞的假信號。此時，TCP發(fā)送方根據(jù)超時重傳、和增積減等機制重新發(fā)送數(shù)據(jù)包，并調(diào)整其擁塞窗口大小，從而進行網(wǎng)絡(luò)擁塞控制，使網(wǎng)絡(luò)恢復(fù)到穩(wěn)態(tài)。因此，LDoS攻擊導(dǎo)致網(wǎng)絡(luò)不斷在非穩(wěn)態(tài)和穩(wěn)態(tài)中切換，從而使整個網(wǎng)絡(luò)的性能嚴(yán)重下降。相比于DoS攻擊，LDoS攻擊危害性大且隱蔽性更高。

LDoS攻擊的特點是周期性地發(fā)送短時攻擊流，這些攻擊流量主要集中在脈沖期間，因此，LDoS攻擊的平均速率低于傳統(tǒng)的DoS攻擊，容易藏匿在混合流量中，隱蔽性強。這也就意味著傳統(tǒng)的DoS攻擊檢測方法并不適用于LDoS攻擊檢測。正常網(wǎng)絡(luò)中絕大多數(shù)網(wǎng)絡(luò)流量離散程度較低；若網(wǎng)絡(luò)環(huán)境遭到LDoS攻擊，網(wǎng)絡(luò)流量為混合網(wǎng)絡(luò)流量，既包含正常網(wǎng)絡(luò)流量也包含LDoS攻擊流量，此時，網(wǎng)絡(luò)流量分布更離散，波動性更強。因此，LDoS攻擊在一定程度上會對網(wǎng)絡(luò)流量造成影響，即網(wǎng)絡(luò)流量的離散性在正常網(wǎng)絡(luò)和LDoS攻擊網(wǎng)絡(luò)中存在差異。正是由于這種離散性之間的差異，使得LDoS攻擊能被發(fā)現(xiàn)。目前LDoS攻擊檢測方法主要有基于時域特征、基于頻域特征以及基于形態(tài)特征三類，但是這些檢測方法通常面臨著空間復(fù)雜度和時間復(fù)雜度較高的問題，部分檢測方法需要硬件支持，準(zhǔn)確率也有待進一步提高，漏報率和誤報率仍需進一步降低。

本發(fā)明針對已有的LDoS攻擊檢測方法的漏報率和誤報率仍需進一步降低的需求，基于群體智能優(yōu)化和無需監(jiān)督的聚類分析思想，提出了一種基于PSO-K的LDoS攻擊檢測方法。該方法引入了K均值聚類算法對網(wǎng)絡(luò)流量進行聚類分析，同時利用粒子群優(yōu)化算法對聚類中心增加擾動，提高其尋找全局最優(yōu)聚類中心的能力。最后對聚類結(jié)果進行處理并檢測判定從而達(dá)到檢測LDoS攻擊的目的。該方法無需利用帶有標(biāo)簽的數(shù)據(jù)集進行訓(xùn)練，是一個無監(jiān)督過程。本發(fā)明提出的基于群體智能優(yōu)化和無需監(jiān)督思想的LDoS攻擊檢測方法，具有良好的普適性以及準(zhǔn)確性。

發(fā)明內(nèi)容

針對現(xiàn)有的LDoS攻擊檢測方法的性能仍需進一步改善的現(xiàn)狀，本發(fā)明提出了一種基于PSO-K的LDoS攻擊檢測方法。該檢測方法在無需監(jiān)督的前提下，可以對網(wǎng)絡(luò)流量進行有效聚類，對LDoS攻擊檢測具有良好的準(zhǔn)確性及普適性。

本發(fā)明為實現(xiàn)上述目標(biāo)所采用的技術(shù)方案為：基于PSO-K的LDoS攻擊檢測方法主要包括四個步驟：采樣數(shù)據(jù)、處理數(shù)據(jù)、聚類分析數(shù)據(jù)和判定檢測。

1.采樣數(shù)據(jù)。采樣數(shù)據(jù)的主要目的是獲取路由器上的TCP流量以及UDP流量從而進行檢測。本發(fā)明設(shè)置了時間窗口，在窗口內(nèi)以固定取樣時間分別對TCP流量以及UDP流量進行采樣，形成TCP樣本原始值序列和UDP樣本原始值序列。