基于层次特征的LDoS隐蔽攻击检测方法以及装置制造方法及图纸

本申请公开了一种基于层次特征的LDoS隐蔽攻击检测方法以及装置。该方法包括基于半监督谱聚类模型，将正常流量数据筛除，其中所述半监督谱聚类模型根据LDoS攻击包宏观特征构建，用以表征在一个攻击脉冲时间内流量数据的整体分布情况；在将正常流量数据筛除之后，对剩余流量数据进行基于预设的流量时间序列的无监督LDoS攻击监测，其中所述预设的流量时间序列通过LDoS攻击包内特征构建，用于表征一个脉冲时间内随着时间序列每一个包的具体特征；根据所述无监督LDoS攻击监测，得到所述LDoS隐蔽攻击检测结果本申请解决了无法较好地检测出LDoS攻击技术问题。通过本申请基于二层LDoS攻击特征描述，实现LDoS隐蔽攻击检测。实现LDoS隐蔽攻击检测。实现LDoS隐蔽攻击检测。

【技术实现步骤摘要】
基于层次特征的LDoS隐蔽攻击检测方法以及装置


[0001]本申请涉及网络安全领域，具体而言，涉及一种基于层次特征的LDoS隐蔽攻击检测方法以及装置。

技术介绍

[0002]LDoS攻击是一种隐蔽性高、破坏性大的攻击。
[0003]需要精准检测出LDoS攻击并实现快速防御。
[0004]针对相关技术中无法较好地检测出LDoS攻击的问题，目前尚未提出有效的解决方案。

技术实现思路

[0005]本申请的主要目的在于提供一种基于层次特征的LDoS隐蔽攻击检测方法以及装置，以解决无法较好地检测出LDoS攻击的问题。
[0006]为了实现上述目的，根据本申请的一个方面，提供了一种基于层次特征的LDoS隐蔽攻击检测方法。
[0007]根据本申请的基于层次特征的LDoS隐蔽攻击检测方法包括：
[0008]基于半监督谱聚类模型，将正常流量数据筛除，其中所述半监督谱聚类模型根据LDoS攻击包宏观特征构建，用以表征在一个攻击脉冲时间内流量数据的整体分布情况；
[0009]在将正常流量数据筛除之后，对剩余流量数据进行基于预设的流量时间序列的无监督LDoS攻击监测，其中所述预设的流量时间序列通过LDoS攻击包内特征构建，用于表征一个脉冲时间内随着时间序列每一个包的具体特征；
[0010]根据所述无监督LDoS攻击监测，得到所述LDoS隐蔽攻击检测结果。
[0011]进一步地，所述基于半监督谱聚类模型，将正常流量数据筛除还包括：基于半监督谱聚类模型通过强化正样本的监督信息，去除正样本侧的离群点，筛除大部分正常流量数据；所述在将正常流量数据筛除之后，对剩余流量数据进行基于预设的流量时间序列的无监督LDoS攻击监测，还包括：对剩余的流量数据使用所述流量包内特征，构建一条流量的时间序列，实现异常分类。
[0012]进一步地，所述LDoS攻击包宏观特征至少包括如下之一：可用宽带百分比、小分组比例、分组丢失率、流持续时间、最大包、最小包、包的平均值、发送的包之间时间的平均值/标准差；所述LDoS攻击包内特征至少包括如下之一：源地址、目的地址、包方向、包大小、是否带有ACK、是否有RST、是否带有FIN等特征。
[0013]进一步地，所述基于半监督谱聚类模型，将正常流量数据筛除，包括：构建正样本监督信息的步骤，所述构建正样本监督信息的步骤包括：
[0014]对数据集进行简单聚类，得到聚类结果Q
int
，选取各类中数量最大的类别标记为关注的正常类别，其中，初始化监督信息限制数目M；初始化集合A为空，在Q
int
中确定一定数量的正样本，加入到集合S中；初始化当前监督信息数目m＝0；
[0015]当m≤M/2时，选择距离集合A距离最远的点x，即x|d(x,A)＝max(d
y∈A
(x,y))；询问x是否属于正样本，若属于，则随机抽取集合A中的一点y，构建成对约束监督集合1，m＝m+1；
[0016]当M/2＜m≤M时，选择距离集合A距离最近的点x，即x|d(x,A)＝min(d
y∈A
(x,y))，询问x是否不属于正样本，若不属于，则随机抽取子集合A中的一点y，构建成对约束监督信息集合2，m＝m+1；
[0017]重复上述步骤，完成正样本监督信息集1和2的构造。
[0018]进一步地，所述基于半监督谱聚类模型，将正常流量数据筛除，包括：基于半监督的谱聚类算法的步骤，
[0019]所述基于半监督的谱聚类算法的步骤包括：
[0020]计算数据集中两点之间欧氏距离形成距离矩阵D；
[0021]基于正样本监督信息，修正正样本侧离群点，其中，若(x
i
,x
j
)属于集合1，则dist
ij
＝0；若(x
i
,x
j
)属于集合2，则dist
ij
＝max(max(D
i
),max(D
j
))；
[0022]构建对角矩阵S，则标准化后拉普拉斯矩阵为P＝S
‑
1/2
(D
‑
S)S
1/2
，再选取P矩阵最小k个特征值对应的特征向量组成特征矩阵F，对F按行标准化后再按行进行聚类，得到聚类结果Q＝{q0,q1,...,q
l
}，q0为正样本的类别。
[0023]进一步地，所述基于半监督的谱聚类算法的步骤还包括：
[0024]在聚类过程中对于数据集带有的已知标签信息，采用动态自适应调整机制，
[0025]定义p(y
i
,z)为表示样本y
i
与类别z的相似度，即看作样本y
i
属于类别q的概率：
[0026][0027]对数据集使用所述聚类算法进行首次聚类，得到聚类结果Q＝{q0,q1,...,q
l
}，统计每类结果中标签数据量最大的一类Maxnum(Q[a
i
∈q
i
])，作为该类的标签c；
[0028]对于已知标签的部分样本y＝[l1,l2,...,l
n
]，经过聚类后被划分为y'＝[l,l
r
,l
k
,...,l
h
]，l
*
代表不同的类别；
[0029]使用标记列表A标记正样本点的划分正确与否，标记列表A中元素a
i
的含义为：
[0030][0031]则建立已知标签的正样本聚类损失为：
[0032]使用标记列表B标记负样本点的划分正确与否，标记列表B中元素b
i
的含义为：
[0033][0034]则已知标签的负样本聚类损失为：
[0035]得到总的损失函数为：
[0036]进一步地，所述在将正常流量数据筛除之后，对剩余流量数据进行基于预设的流量时间序列的无监督LDoS攻击监测包括：
[0037]一条流量用包内特征表示一个时间序列T＝{t1,t2,...,t
l
}，t表示在某时刻的数据包，里面包含n维特征。对于每一个维度，求出基于预设的流量时间序列Shapelet，得到：
[0038][0039]其中，(s1…
s
n
)表示每一维度在时间序列上的Shapelet集合，矩阵的每一列代表每一维shapelet序列，最大数量为k，将所述Shapelet作为最大区分子序列，其集合中的每一维度应该都是不相关的。
[0040]进一步地，还包括：在多维时间序列中，构造3D投影矩阵
[0041]初始化3D投影矩阵样本个数为m，shapelet最大数量为q，每个Shapelet序列最大长度为p；
[0042]在中分别在每列选取一个Shapelet序列，组成第一个Shapelet本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于层次特征的LDoS隐蔽攻击检测方法，其特征在于，包括：基于半监督谱聚类模型，将正常流量数据筛除，其中所述半监督谱聚类模型根据LDoS攻击包宏观特征构建，用以表征在一个攻击脉冲时间内流量数据的整体分布情况；在将正常流量数据筛除之后，对剩余流量数据进行基于预设的流量时间序列的无监督LDoS攻击监测，其中所述预设的流量时间序列通过LDoS攻击包内特征构建，用于表征一个脉冲时间内随着时间序列每一个包的具体特征；根据所述无监督LDoS攻击监测，得到所述LDoS隐蔽攻击检测结果。2.根据权利要求1所述的方法，其特征在于：所述基于半监督谱聚类模型，将正常流量数据筛除还包括：基于半监督谱聚类模型通过强化正样本的监督信息，去除正样本侧的离群点，筛除大部分正常流量数据；所述在将正常流量数据筛除之后，对剩余流量数据进行基于预设的流量时间序列的无监督LDoS攻击监测，还包括：对剩余的流量数据使用所述流量包内特征，构建一条流量的时间序列，实现异常分类。3.根据权利要求2所述的方法，其特征在于，所述LDoS攻击包宏观特征至少包括如下之一：可用宽带百分比、小分组比例、分组丢失率、流持续时间、最大包、最小包、包的平均值、发送的包之间时间的平均值/标准差；所述LDoS攻击包内特征至少包括如下之一：源地址、目的地址、包方向、包大小、是否带有ACK、是否有RST、是否带有FIN等特征。4.根据权利要求1所述的方法，其特征在于，所述基于半监督谱聚类模型，将正常流量数据筛除，包括：构建正样本监督信息的步骤，所述构建正样本监督信息的步骤包括：对数据集进行简单聚类，得到聚类结果Q
int
，选取各类中数量最大的类别标记为关注的正常类别，其中，初始化监督信息限制数目M；初始化集合A为空，在Q
int
中确定一定数量的正样本，加入到集合S中；初始化当前监督信息数目m＝0；当m≤M/2时，选择距离集合A距离最远的点x，即x|d(x,A)＝max(d
y∈A
(x,y))；询问x是否属于正样本，若属于，则随机抽取集合A中的一点y，构建成对约束监督集合1，m＝m+1；当M/2＜m≤M时，选择距离集合A距离最近的点x，即x|d(x,A)＝min(d
y∈A
(x,y))，询问x是否不属于正样本，若不属于，则随机抽取子集合A中的一点y，构建成对约束监督信息集合2，m＝m+1；重复上述步骤，完成正样本监督信息集1和2的构造。5.根据权利要求2所述的方法，其特征在于，所述基于半监督谱聚类模型，将正常流量数据筛除，包括：基于半监督的谱聚类算法的步骤，所述基于半监督的谱聚类算法的步骤包括：计算数据集中两点之间欧氏距离形成距离矩阵D；基于正样本监督信息，修正正样本侧离群点，其中，若(x
i
,x
j
)属于集合1，则dist
ij
＝0；若(x
i
,x
j
)属于集合2，则dist
ij
＝max(max(D
i
),max(D
j
))；构建对角矩阵S，则标准化后拉普拉斯矩阵为P＝S
‑
1/2
(D
‑
S)S
1/2
，再
选取P矩阵最小k个特征值对应的特征向量组成特征矩阵F，对F按行标准化后再按行进行聚类，得到聚类结果Q＝{q0,q1,......

【专利技术属性】
技术研发人员：龙春，赵静，魏金侠，杨帆，
申请(专利权)人：中国科学院计算机网络信息中心，
类型：发明
国别省市：