一种基于KPCA算法的SYNFlood攻击检测方法及系统技术方案

一种基于KPCA算法的SYN Flood攻击检测方法及系统，所述方法包括：步骤1：收集历史TCP连接数据；步骤2：对所述历史TCP连接数据中的数据进行数据预处理，构建TCP连接特征向量，并将所述初始数据集划分为训练集和测试集；步骤3：利用KPCA算法对构建好的所述TCP连接特征向量进行特征提取，提取出低维空间中的主成分特征向量；步骤4：利用提取到的所述主成分特征向量、所述训练集以及测试集对分类器模型进行训练与优化；步骤5：获取目标网络的实时TCP连接数据，将所述实时TCP连接数据输入到完成优化和训练中的所述分类器模型中，得到SYN Flood攻击的检测结果。本发明专利技术通过KPCA算法对TCP连接特征向量进行核主成分分析，能够提高分类器分类结果的效率和准确率。分类结果的效率和准确率。分类结果的效率和准确率。

【技术实现步骤摘要】
一种基于KPCA算法的SYN Flood攻击检测方法及系统


[0001]本专利技术属于网络安全领域，尤其涉及一种基于KPCA算法的SYN Flood攻击检测方法及系统。

技术介绍

[0002]SYN Flood攻击是一种常见的DDoS攻击方式，攻击者利用TCP半连接状态机中的漏洞，向目标服务器发送大量的SYN请求握手，导致服务器资源被消耗殆尽而无法正常工作。
[0003]目前主要通过分类算法来实现对SYN Flood攻击的检测，但是在实际的应用过程中，若想实现对SYN Flood攻击的检测，需要大量的数据，且SYN Flood攻击具有高度的隐蔽性，攻击流量与正常流量之间的差别不明显，所以如何从大量的数据中筛选出能够表征SYN Flood攻击的数据，剔除冗余数据，是目前SYN Flood攻击检测工作的关键技术问题。

技术实现思路

[0004]为了解决或者改善上述问题，本专利技术提供了一种基于KPCA算法的SYN Flood攻击检测方法及系统，具体技术方案如下：
[0005]本专利技术提供了一种基于KPCA算法的SYN Flood攻击检测方法，包括：
[0006]步骤1：收集历史TCP连接数据。步骤2：对所述历史TCP连接数据中的数据进行数据预处理，构建TCP连接特征向量，生成初始数据集，并将所述初始数据集划分为训练集和测试集，所述预处理包括去噪处理、标准化处理。步骤3：利用KPCA算法对构建好的所述TCP连接特征向量进行特征提取，提取出低维空间中的主成分特征向量。步骤4：利用提取到的所述主成分特征向量、所述训练集以及测试集对分类器模型进行训练与优化，所述分类器模型用于区分正常TCP连接与异常TCP连接。步骤5：获取目标网络的实时TCP连接数据，将所述实时TCP连接数据输入到完成优化和训练中的所述分类器模型中，得到SYN Flood攻击的检测结果，所述检测结果包括：发生SYN Flood攻击和未发生SYN Flood攻击。
[0007]优选的，一种基于KPCA算法的SYN Flood攻击检测方法，还包括：
[0008]步骤6：当所述检测结果为发生SYN Flood攻击：发出攻击警告，将此次攻击记录在日志中，并跳转执行步骤5；当所述检测结果为未发生SYN Flood攻击：跳转执行步骤5。
[0009]优选的，所述步骤1，包括：
[0010]所述历史TCP连接数据包括时间戳、源IP、目的IP、源端口以及目的端口；利用数据包嗅探器完成所述历史TCP连接数据的收集。
[0011]优选的，所述步骤2中的预处理，包括：
[0012]所述去噪处理，包括去除所述历史TCP连接数据中的重复数据、去除无效数据；所述标准化处理，包括对所述历史TCP连接数据的单位和规格转化为预设的标准单位和规格。
[0013]优选的，所述步骤3，包括以下子步骤：
[0014]步骤301：利用核函数对所述TCP连接特征向量进行映射处理以生成核矩阵K。步骤302：对所述核矩阵K进行归一化处理，得到矩阵K
′
。步骤303：求解所述矩阵K
′
，得到所述矩
阵K
′
的矩阵特征值以及矩阵特征向量。步骤304：将所述矩阵特征向量根据对应的核矩阵特征值的大小，以从大到小的顺序按行排列成矩阵K”。步骤305：取所述矩阵K”前p行，组成降维后的数据矩阵P，所述矩阵P为所述TCP连接特征向量进行特征提取的结果。
[0015]优选的，所述步骤4中对分类器模型进行训练与优化，包括：
[0016]步骤401：将提取到的所述主成分特征向量作为支持向量机算法的输入，以高斯核函数作为支持向量机算法的核函数，构建出所述分类器模型。步骤402：利用所述测试集训练构建好的所述分类器模型，实现通过分类器模型区分正常TCP连接与异常TCP连接。步骤403：使用测试集检验分类器的性能，根据评估指标对所述分类器模型进行参数的调整。
[0017]优选的，所述步骤403，包括：
[0018]所述评估指标，包括的精确率和召回率；所述参数，包括C值，所述C值为分类器对错误分类样本的敏感程度。
[0019]基于相同的专利技术构思，本专利技术还提出一种基于KPCA算法的SYN Flood攻击检测系统，其特征在于，包括：
[0020]数据收集单元：用于收集历史TCP连接数据；
[0021]数据处理单元：对所述历史TCP连接数据中的数据进行数据预处理，构建TCP连接特征向量，所述预处理包括去噪处理、标准化处理，生成初始数据集，并将所述初始数据集划分为训练集和测试集；
[0022]主成分特征向量提取单元：用于利用KPCA算法对构建好的所述TCP连接特征向量进行特征提取，提取出低维空间中的主成分特征向量；
[0023]分类器训练单元：用于利用提取到的所述主成分特征向量、所述训练集以及测试集对分类器模型进行训练与优化，所述分类器模型用于区分正常TCP连接与异常TCP连接；
[0024]攻击检测单元：用于获取目标网络的实时TCP连接数据，将所述实时TCP连接数据输入到完成优化和训练中的所述分类器模型中，得到SYN Flood攻击的检测结果。
[0025]所述检测结果包括：发生SYN Flood攻击和未发生SYN Flood攻击。
[0026]优选的，一种基于KPCA算法的SYN Flood攻击检测系统，还包括：警告单元。当所述检测结果为发生SYN Flood攻击时：用于发出攻击警告，将此次攻击记录在日志中，并将执行命令发送至所述攻击检测单元；当所述检测结果为未发生SYN Flood攻击时：用于将执行命令发送至所述攻击检测单元。
[0027]本专利技术的有益效果为：本专利技术基于KPCA的SYN Flood攻击检测方法，通过对TCP连接特征数据进行分类和聚类分析，从而实现对SYN Flood攻击的观测和分析，降低计算成本，提高分类器分类结果的效率和准确率，保障网络的安全运行。
附图说明
[0028]图1是根据本专利技术一实施例提供的一种基于KPCA算法的SYN Flood攻击检测方法的流程图。
[0029]图2是根据本专利技术另一实施例提供的一种基于KPCA算法的SYN Flood攻击检测方法的流程图。
[0030]图3是根据本专利技术另一实施例提供的一种基于KPCA算法的SYN Flood攻击检测系统的系统原理框图。
[0031]图4是根据本专利技术另一实施例提供的一种基于KPCA算法的SYN Flood攻击检测系统的系统原理框图。
具体实施方式
[0032]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0033]应当理解，当在本说明书和所附权利要求书中使用时，术语“本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于KPCA算法的SYN Flood攻击检测方法，其特征在于，包括以下步骤：步骤1：收集历史TCP连接数据；步骤2：对所述历史TCP连接数据中的数据进行数据预处理，构建TCP连接特征向量，生成初始数据集，并将所述初始数据集划分为训练集和测试集，所述预处理包括去噪处理、标准化处理；步骤3：利用KPCA算法对构建好的所述TCP连接特征向量进行特征提取，提取出低维空间中的主成分特征向量；步骤4：利用提取到的所述主成分特征向量、所述训练集以及测试集对分类器模型进行训练与优化，所述分类器模型用于区分正常TCP连接与异常TCP连接；步骤5：获取目标网络的实时TCP连接数据，将所述实时TCP连接数据输入到完成优化和训练中的所述分类器模型中，得到SYN Flood攻击的检测结果，所述检测结果包括：发生SYN Flood攻击和未发生SYN Flood攻击。2.根据权利要求1所述的一种基于KPCA算法的SYN Flood攻击检测方法，其特征在于，还包括：步骤6：当所述检测结果为发生SYN Flood攻击：发出攻击警告，将此次攻击记录在日志中，并跳转执行步骤5；当所述检测结果为未发生SYN Flood攻击：跳转执行步骤5。3.根据权利要求1所述的一种基于KPCA算法的SYN Flood攻击检测方法，其特征在于，所述步骤1，包括：所述历史TCP连接数据包括时间戳、源IP、目的IP、源端口以及目的端口；利用数据包嗅探器完成所述历史TCP连接数据的收集。4.根据权利要求1所述的一种基于KPCA算法的SYN Flood攻击检测方法，其特征在于，所述步骤2中的预处理，包括：所述去噪处理，包括去除所述历史TCP连接数据中的重复数据、去除无效数据；所述标准化处理，包括对所述历史TCP连接数据的单位和规格转化为预设的标准单位和规格。5.根据权利要求1所述的一种基于KPCA算法的SYN Flood攻击检测方法，其特征在于，所述步骤3，包括以下步骤：步骤301：利用核函数对所述TCP连接特征向量进行映射处理以生成核矩阵K；步骤302：对所述核矩阵K进行归一化处理，得到矩阵K
′
；步骤303：求解所述矩阵K
′
，得到所述矩阵K
′
的矩阵特征值以及矩阵特征向量；步骤304：将所述矩阵特征向量根据对应的核矩阵...

【专利技术属性】
技术研发人员：凌颖，黎新，宾冬梅，杨春燕，韩松明，明少锋，卢杰科，唐福川，张龙飞，黄伟翔，
申请(专利权)人：广西电网有限责任公司电力科学研究院，
类型：发明
国别省市：