申请/专利权人：湖南大学

申请日：2021-11-11

公开（公告）日：2022-11-11

公开（公告）号：CN114070601B

主分类号：H04L9/40

分类号：H04L9/40;G06K9/00;G06K9/62

优先权：

专利状态码：有效-授权

法律状态：2022.11.11#授权;2022.03.08#实质审查的生效;2022.02.18#公开

摘要：本发明公开了一种基于EMDR‑WE算法的LDoS攻击检测方法，属于计算机网络安全领域。其中所述的方法包括：鉴于LDoS攻击下TCP流量序列呈现出高复杂度的特点，组合近似熵、样本熵、模糊熵、排列熵四种特征熵量化攻击窗口和正常窗口的TCP流量序列复杂度。首先构造一种经验模态分解并重构TCP流量序列的预处理模型，通过该模型过滤TCP流量序列的噪声成分并得到TCP流量的滑动窗口序列，提取各窗口的四种特征熵。接着利用熵权法赋予信息贡献度大的特征熵更高的权重，得到各TCP流量窗口的复杂度的综合评分。与逻辑回归训练得出的阈值比较，综合评分高于阈值的窗口被判定为存在LDoS攻击。本发明提出的基于经验模态分解、重构和熵权法的LDoS攻击检测方法能准确地检测LDoS攻击且性能稳定。

主权项：1.一种基于EMDR-WE算法的LDoS攻击检测方法，其中LDoS的全称是Low-rateDenialofService，即慢速拒绝服务，其特征在于，EMD为经验模态分解，R表示信号重构，EMDR是一种信号预处理模型，WE是通过熵权法确定权重后的加权熵，该检测方法包括以下几个步骤：步骤1、数据采样：获取瓶颈链路上的TCP流量，每隔相同单位时间设置一个采样点，得到原始TCP流量序列；步骤2、数据处理：经验模态分解原始TCP流量序列，选择有效分量进行重构以提纯TCP流量序列，设置滑动窗口，具体包括四个步骤：步骤2.1、经验模态分解步骤1中采集到的原始TCP流量序列，分解结果显示该TCP流量序列为有限个内涵模态分量以及余波的线性叠加；步骤2.2、对每个内涵模态分量提出原假设“H0：该内涵模态分量不是引起原TCP流量序列变化的格兰杰原因”，如果格兰杰因果关系检验不能拒绝该原假设，则该分量作为经验模态分解过程中产生的虚假分量被剔除；步骤2.3、分别计算每个剩下的内涵模态分量与原TCP流量序列的皮尔逊相关系数，挑选相关系数排名前五的分量重构TCP流量序列；步骤2.4、滑动相同间隔将处理过后的TCP流量序列划分为若干个等长的TCP流量窗口，每个窗口作为一个攻击检测单元；步骤3、特征提取：提取每个TCP流量窗口的四种特征熵作为评判该窗口复杂度的特征值，包括近似熵、样本熵、模糊熵以及排列熵；步骤4、综合评分：以TCP流量窗口作为评价对象，四种特征熵作为评价指标，使用熵权法区分四种特征熵的评判能力，确定其权重，计算每个TCP流量窗口复杂度的综合评分，训练得到阈值，包括六个步骤：步骤4.1、对近似熵、样本熵、模糊熵和排列熵四种指标的值进行标准化处理；步骤4.2、计算四种特征熵的信息熵；步骤4.3、计算四种特征熵的信息效用值；步骤4.4、以信息效用值为依据分配四种特征熵的权重，令Dii＝1,2,3,4表示四种特征熵的信息效用值，Wii＝1,2,3,4表示四种特征熵在综合评分中的权重，计算公式表示为： 步骤4.5、加权求和四种特征熵得到各TCP流量窗口复杂度的综合评分；步骤4.6、以逻辑回归模型训练各TCP流量窗口复杂度的综合评分并得到阈值；步骤5、结果评判：根据TCP流量窗口的综合评分判断该窗口内网络中是否存在LDoS攻击。

全文数据：

权利要求：

百度查询： 湖南大学 一种基于EMDR-WE算法的LDoS攻击检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD