技术摘要：
本发明公开了一种基于多特征自适应融合异常检测算法(MAF‑ADM)的低速率拒绝服务攻击检测方法，属于计算机网络安全领域。其中所述方法包括四个步骤，分别是样本采集、特征提取、异常检测模型构建和异常判定。首先在瓶颈链路中设置样本采集点收集网络流量数据并从中提取T  全部
背景技术：
低速率拒绝服务攻击是一种“狡猾”的拒绝服务攻击方式，其主要通过周期性地向 目标服务器发送短时高速脉冲式攻击流来降低其服务质量。相比于其他种类的拒绝服务攻 击方式，这类攻击流通常具有更低的平均攻击速率，能很好隐藏于网络流量中，传统的拒绝 服务攻击检测方法难以起效。因此，对低速率拒绝服务攻击检测方法的研究对网络空间安 全具有重要意义。 现有的低速率拒绝服务攻击检测方法按照是否需要事先收集攻击流特征被大致 归纳为两类，即基于攻击流特征的攻击检测方法和基于异常检测的攻击检测方法。前者的 常见操作在于对路由器的主动队列管理算法做改进，添加与攻击流特征相匹配的模块，从 而达到在保护合法TCP流的同时过滤攻击流的目的。其优点在于算法简单容易理解，但缺点 在于对复杂多变的攻击方式而言，有些攻击特征并不明确，因此存在漏报率高的问题。后者 主要通过信息度量方法、统计方法和频谱分析等方式来分析时间序列，进而结合机器学习 等建立攻击检测模型。相比于前者，异常检测算法能对攻击流所引起的网络流量时间序列 异常实现更为细致的研究，从而实现对低速率拒绝服务攻击的有效检测。这类算法提升了 准确率，但还普遍存在以下问题：(1)缺乏自适应性，如需要依赖包含攻击样本的训练数据 来建立模型，阈值等关键参数依赖经验，不能根据网络环境的变换适时调整等。(2)检测性 能不高，如仅使用时域或频域的特征，将发生低速率拒绝服务攻击的样本漏判为正常样本； 缺少对网络流量噪声的处理，使正常样本被误判为低速率拒绝服务攻击样本等。 本发明针对现有检测方法存在的自适应能力弱、检测准确度不高、误报率和漏报 率高等问题，提出了一种基于MAF-ADM的低速率拒绝服务攻击检测方法。将时频分析技术用 于分析网络流量，提取其中重要的统计特征作为检测依据，进而构建异常检测模型实现对 低速率拒绝服务攻击的检测。与现有的低速率拒绝服务攻击检测方法相比较，本方法具有 更好的自适应性、更高的准确率、更低的误报率和漏报率。
技术实现要素：
本发明针对现有检测方法存在的自适应能力弱、检测准确度不高、误报率和漏报 率高等问题，提出了一种基于MAF-ADM的低速率拒绝服务攻击检测方法。首先使用短时傅里 叶变换对采集到的TCP流量进行时频变换，获取其中重要的统计特征作为低速率拒绝服务 攻击检测的依据。然后进一步提出了基于多特征自适应融合的异常检测方法。通过孤立森 林算法为正常数据构建子模型，对其动态加权融合使其具备良好的自适应性，再使用加权 移动平均算法去除网络环境中偶然因素的影响，进而建立判定准则来对待检测样本进行判 定，最后以此为依据来识别低速率拒绝服务攻击。与现有的低速率拒绝服务攻击检测方法 4 CN 111600878 A 说　明　书 2/4 页 相比较，本方法具有更好的自适应性、更高的准确率以及更低的误报率和漏报率。 本发明为实现上述目标所采用的技术方案为：基于MAF-ADM的低速率拒绝服务攻 击检测方法主要包括以下四个步骤：样本采集、特征提取、异常检测模型构建和攻击判定。 步骤1、样本采集：在瓶颈链路中部署流量采集点，实时获取单位时间内的网络流 量，提取TCP流量数据形成原始样本x(k)，k＝0，1...N-1。 步骤2、特征提取：使用时频分析技术处理步骤1获取的原始样本，获取原始样本对 应的时频分布，进一步提取其中重要的统计特征作为检测依据。具体步骤如下： (1)步骤1中采集的原始样本的离散形式表示为x(k)，k＝0，1...N-1，对其使用短时傅 里叶变换获取对应的时频分布，再将其从直流部分到最高频率，按1/8，1/8，1/4，1/2的比例 划分为低频、中低频、中高频和高频。其中对原始样本进行短时傅里叶变换的具体计算方式 如下： 其中，假设在时频面上的等间隔时频网格点(mT,nF)进行采样，T与F分别对应时间变量 的采样间隔和频率变量的采样间隔，则m,n＝0,1,…,N-1，其中N为采样总数。STFT为二维复 数矩阵，A为其幅值矩阵，矩阵中的每一个元素都代表着对应采样时间点的对应频率的频谱 幅值，也被称为能量。 (2)计算每个频段的统计特征组成检测特征组作为异常判定的依据。所使用的时频分 布统计特征主要包括能量和、每个频段对应的能量占比以及每个频段对应的归一化方差。 以低频部分为例，统计特征的具体计算方式如下： 其中，TSE表示能量和，SFRLow表示低频部分的能量占比，NVSFLow表示低频部分的归一化 方差，num为幅值矩阵的宽度。 步骤3、异常检测模型构建：根据正常状态下的原始样本通过步骤2所获取的检测 特征组来构建子模型，将其进行加权融合，经过噪声过滤，再计算阈值进而建立异常检测模 型。 具体步骤如下： (1)通过随机挑选正常状态下原始样本对应的检测特征组来构建样本集，该样本集可 表示为Y＝{yi}，yi＝，i＝1，2...N，再选择孤立森林算法中的二叉树结构来 5 CN 111600878 A 说　明　书 3/4 页 构建子模型。 (2)对步骤(1)中的子模型进行加权融合，其中每棵树的权重代表了其对异常样本的孤 立能力，即权重越大，则表示其对正常样本和包含低速率拒绝服务攻击的样本区分能力越 强，其计算方式如下： 其中，其中 是第j棵树的当前时刻的权重， 是第j棵树在前一时刻的权重。λ用 来控制权重的更新速度，使得方法可以适应于不同的网络环境。dj代表了当前时刻第j棵树 的孤立能力。hj是样本在第j棵树的路径长度。 (3)使用步骤(2)中的融合模型来计算样本集的异常分数，使用加权移动平均算法来去 除复杂网络环境中偶然因素(如数据流突发、偶然噪声等)的影响，再通过正态分布异常点 检测算法计算阈值，进而组成异常检测模型。其中异常分数S、平滑处理 和阈值Thre的计 算方式如下： 其中，αk表示第k个样本的权重。c(N)为归一化常数，与样本集的数目N有关。 步骤4、攻击判定：据步骤3中建立的异常检测模型来计算异常分数，进而判定待测 试样本是否包含低速率拒绝服务攻击。具体判断准则为：若该样本的异常分数大于阈值，则 该样本包含低速率拒绝服务攻击；若该样本的异常分数小于等于阈值，则该样本不包含低 速率拒绝服务攻击。 有益效果 本发明提出的低速率拒绝服务攻击检测方法，能克服复杂网络环境中偶然因素所 带来的检测性能下降等问题。本方法相较于传统的检测方法，具有更好的自适应性，同时具 备较高的准确率、更低的误报率和漏报率。 附图说明 图1为正常状态和低速率拒绝服务攻击状态下TCP流量所对应的时频分布对比图。 图2为根据时频分布计算统计特征的频段划分比例图。 图3为异常检测模型构建图。 图4为一种基于MAF-ADM的低速率拒绝服务攻击检测方法流程图。 6 CN 111600878 A 说　明　书 4/4 页