一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法技术

本发明专利技术公开了一种基于S

【技术实现步骤摘要】
一种基于S
‑
R分析和FASSA
‑
SVM的LDoS攻击检测方法


[0001]本专利技术属于计算机网络安全领域，具体涉及一种基于S
‑
R分析和FASSA
‑
SVM的LDoS攻击检测方法。

技术介绍

[0002]拒绝服务(DoS)攻击以简单又暴力的攻击手段，通过借助合理的方式来致使被攻击对象无法向合法用户提供正常的服务来达到攻击目的。而慢速拒绝服务(LDoS)攻击则是DoS攻击的一个特殊变种，具有周期性和低速率性等特点。LDoS攻击相比DoS攻击更加隐蔽，从而难以使用对传统DoS攻击的防范机制来进行检测。另外，现有的检测方法普遍存在准确率较低、复杂度较高、误报率和漏报率高等问题。
[0003]由于传统网络架构出现了更新速度缓慢，系统复杂僵化，管理困难等一系列问题，软件定义网络(SDN)的出现为传统网络管理带来了新的思路。作为一种新型的网络体系结构，SDN通过将控制逻辑与传统网络设备的封闭式和专有实现方式分离开来，提供了网络可编程化、网络集中管理、自动化部署和动态控制网络流量等功能，然而，其网络安全现状并不会因为其采用了新型架构而发生根本性的改变。一旦SDN的控制层遭受到了LDoS攻击，整个网络的管理便会受到影响，甚至可能会造成全网DoS。控制层是SDN的逻辑控制中心，若控制层无法及时对网络的状态进行判断与调整，LDoS攻击可能会带来更严重的损害，造成比传统网络中更严重的后果。
[0004]本专利技术针对SDN体系结构所面临的LDoS攻击安全隐患，以及传统LDoS攻击检测算法检测率较低、误报率和漏报率较高、实际部署难等问题，提出了一种SDN环境中基于S
‑
R分析和FASSA
‑
SVM的LDoS攻击检测方法。该方法通过SDN控制器轮询，在提取TCP、UDP流量序列后对其进行奇异谱分析(S分析)去噪，然后根据去噪后的序列计算TCP和UDP的4组流量特征值，再对流量特征值进行秩和比分析(R分析)，完成上述两步分析(S
‑
R分析)之后，将得到的秩和比特征集作为训练特征集，输入基于萤火虫算法和麻雀搜索算法的支持向量机(FASSA
‑
SVM)，从而构建LDoS攻击检测模型，最终根据检测模型的输出结果判定网络中是否存在LDoS攻击。该方法检测准确率较高，且误报率和漏报率低，能够实际部署在SDN控制器上，因此该检测方法可普适于检测SDN中的LDoS攻击。

技术实现思路

[0005]针对SDN体系结构所面临的LDoS攻击安全隐患，以及传统LDoS攻击检测方法普遍存在检测准确度不高，实际部署难等问题，本专利技术提出了一种SDN环境下基于S
‑
R分析和FASSA
‑
SVM的LDoS检测方法。该LDoS攻击检测方法能够实际部署在控制器上，实现SDN网络对LDoS攻击的检测，检测准确率高，且误报率和漏报率低。因此该检测方法可普适于准确检测SDN中的LDoS攻击。
[0006]本专利技术为实现上述目标所采用的技术方案为：该LDoS检测方法主要包括四个步骤：
采集流量数据、两步分析数据、建立检测模型、攻击检测判定。
[0007]1.采集流量数据。基于软件定义网络所采用的OpenFlow协议，采集交换机间瓶颈链路的流量，以0.5秒为采样的时间间隔，获取TCP流量序列和UDP流量序列，作为原始流量数据。
[0008]2.两步分析数据。先使用S分析对TCP流量序列和UDP流量序列去噪，然后提取去噪后的流量序列特征，最后对所求流量序列特征进行R分析，将S
‑
R分析后得到的秩和比特征集设置为训练特征集，并给训练特征集打上标签。
[0009]3.建立检测模型。使用基于萤火虫算法的麻雀搜索算法FASSA与支持向量机SVM相结合的算法，将FASSA中的麻雀位置最优解映射为SVM的两个重要参数：惩罚参数C和核函数gamma，将这两个参数输入到SVM，并基于训练特征集对SVM进行训练，得到LDoS攻击检测模型FASSA
‑
SVM。
[0010]4.攻击检测判定。对于待检测流量序列窗口，将其秩和比特征输入检测模型FASSA
‑
SVM，最后输出二分类结果，若输出结果为0，则判定该窗口不存在LDoS攻击；若输出结果为1，则判定该窗口存在LDoS攻击。有益效果
[0011]该LDoS攻击检测方法能实际部署在SDN控制器上，实现SDN环境中的LDoS攻击检测。该方法检测准确率较高，误报率和漏报率低，因此该检测方法可普适于检测SDN中的LDoS攻击。
附图说明
[0012]图1为S分析前后网络流量的对比示意图。经过S分析去噪，最终得到的TCP流量序列和UDP流量序列平滑并且和原始序列的趋势基本吻合。
[0013]图2为正常网络与发生LDoS攻击的网络中特征值的对比示意图。在网络发生LDoS攻击时，单位时间窗口内的TCP流量的均值和极差、UDP流量的标准差和极差这4项特征值均会发生显著变化。通过这些特征值可以对正常网络和发生LDoS攻击时的网络进行区分。
[0014]图3为R分析后正常网络与发生LDoS攻击的网络中秩和比特征值的对比示意图。在网络中发生LDoS攻击时，单位时间窗口内的RSR值、RSR rank值和Probit值均会发生显著变化，通过这些特征值可以对正常网络和LDoS攻击时的网络进行区分。
[0015]图4为构建FASSA
‑
SVM模型的流程图。
[0016]图5为一种基于S
‑
R分析和FASSA
‑
SVM的LDoS攻击检测方法的流程图。
具体实施方式
[0017]下面结合附图对本专利技术进一步说明。
[0018]如图5所示，该LDoS攻击检测方法主要包括四个步骤：采集流量数据、两部分析数据、建立检测模型、攻击检测判定。
[0019]1.采集流量数据。基于软件定义网络所采用的OpenFlow协议，采集交换机间瓶颈链路的流量。本方法基于SDN控制器Ryu和网络模拟器Mininet，Ryu控制器每隔0.5秒时间向瓶颈链路交换机发送流量获取请求，并将返回的消息进行处理，将当前获取的流量数据写入日志文件，其中，实时流量数据是针对交换机上的聚合流量，具体包含TCP包数、UDP包数、
TCP流速、UDP流速、聚合流量总流速五个方面的信息。
[0020]结合上述的实时流量获取，在攻击主机终端上定时运行LDoS攻击代码，通过不断变换攻击参数进行多组实验，将得到多组TCP流量序列和UDP流量序列，用于LDoS攻击检测算法的构建。自定义每组数据采样时长、数据采样间隔、检测窗口长度，并使用滑动窗口的方式构建检测窗口，保证最新窗口包含最近一个检测窗口长度的流量数据。
[0021]2.两步分析数据。首先使用S分析对TCP流量序列和UDP流量序列去噪，然后提取去噪后的流量序列特本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于S
‑
R分析和FASSA
‑
SVM的LDoS攻击检测方法，其特征在于，S
‑
R分析是奇异谱分析和秩和比分析，即S分析和R分析相结合的两步分析方法，FASSA
‑
SVM是基于萤火虫算法的麻雀搜索算法FASSA与支持向量机SVM相结合的算法，所述检测方法包括以下几个步骤：步骤1、采集流量数据：利用软件定义网络的控制器进行数据采集，获取TCP流量序列和UDP流量序列；步骤2、两步分析数据：使用S分析对TCP流量序列和UDP流量序列去噪，提取去噪后的流量序列特征，对所求流量序列特征进行R分析，完成S
‑
R分析；步骤3、建立检测模型：基于步骤2的分析结果，使用基于萤火虫算法的麻雀搜索算法FASSA与支持向量机SVM相结合的算法，使用特征值进行训练，得到LDoS攻击检测模型FASSA
‑
SVM；步骤4、攻击检测判定：根据步骤3建立的检测模型，对待检测流量序列进行检测判定。2.根据权利要求1中所述LDoS攻击检测方法，其特征在于，步骤1中的数据采样基于软件定义网络所采用的OpenFlow协议实现，采集交换机间瓶颈链路的流量，以0.5秒为采样的时间间隔，获取TCP流量序列和UDP流量序列。3.根据权利要求1中所述LDoS攻击检测方法，其特征在于，步骤2中的两步分析数据，包括三个步骤：步骤2.1、使用S分析对TCP流量序列和UDP流量序列分别进行去噪，通过S分析得到按奇异值排序的前十个成分序列，排除噪声序列，仅留下前两个序列进行一次重构，得到去噪后的TCP流量序列和...

【专利技术属性】
技术研发人员：汤澹，高辰郡，郑芷青，王思苑，王小彩，胡雨梦，
申请(专利权)人：湖南大学，
类型：发明
国别省市：