论文部分内容阅读
慢速拒绝服务(LDoS)攻击是拒绝服务(DoS)攻击的一个变种,其利用网络协议中自适应机制的设计缺陷发动攻击,具有较好的隐蔽性。LDoS攻击具有周期性和平均速率低的特点,这导致传统DoS攻击检测方法难以检测LDoS攻击;其次,现有的LDoS攻击检测方法普遍存在检测准确率不高和自适应能力不足的缺点。因此,LDoS攻击已对网络安全形成了严峻的威胁,对其检测方法进行深入的研究具有重要的理论价值和现实意义。
网络数据拥有大量的数学特征,这些特征在网络处于稳态的时候会位于一个相对稳定的区间。而LDoS攻击发出的周期性、短时高脉冲会破坏网络的稳定性,导致网络数据的特征空间出现异常,很多的特征偏离正常区间。当网络特征发生变化时,正常的网络流量和含有LDoS攻击的网络流量可以看成两种网络流量,因此可以通过分类器对其进行识别。基于该事实,本文提出了两种LDoS攻击检测方法。
提出的第一种检测方法为基于多特征融合和CNN算法的LDoS攻击检测方法。由于网络空间是一个复杂的动态环境,存在着很多种噪声,单个特征的变化难以判断网络是否处于异常状态。因此,该方法采用多特征融合,能够更为准确的表征网络状态的变化。首先,该方法通过特征计算提取了网络流量的特征数据并通过特征融合将特征数据转换为特征图。其次,该方法构造了一个CNN模型,该模型使用网络流量的特征图进行训练,可以记忆网络正常和异常的状态,从而具有识别LDoS攻击的能力。该方法在NS2平台和实验床平台进行实验以验证其可行性和有效性。实验结果表明,该方法能有效检测LDoS攻击。
提出的第二种检测方法为基于网络流量多特征和改进的Adaboost算法的LDoS攻击检测方法。LDoS攻击对不同的网络流量特征的影响是有差异的,因此,该方法在特征计算的基础上进一步进行了特征选择。首先,该方法基于对网络流量的分析,构造了一个网络流量的特征集,该特征集用于特征计算和特征选择。
其次,该方法使用了改进的Adaboost算法对网络流量进行分类,实现对LDoS攻击流量的识别。改进的Adaboost算法解决了传统算法中存在的样本权重失衡问题。NS2平台和实验床平台的实验结果表明,该方法能够有效的检测LDoS攻击,检测精度较高、稳定性较好。
提出的两种LDoS攻击检测方法具有较好的检测性能和自适应能力,能够较好的识别网络中的LDoS攻击。因此,本文研究成果对维护网络安全具有积极意义。
网络数据拥有大量的数学特征,这些特征在网络处于稳态的时候会位于一个相对稳定的区间。而LDoS攻击发出的周期性、短时高脉冲会破坏网络的稳定性,导致网络数据的特征空间出现异常,很多的特征偏离正常区间。当网络特征发生变化时,正常的网络流量和含有LDoS攻击的网络流量可以看成两种网络流量,因此可以通过分类器对其进行识别。基于该事实,本文提出了两种LDoS攻击检测方法。
提出的第一种检测方法为基于多特征融合和CNN算法的LDoS攻击检测方法。由于网络空间是一个复杂的动态环境,存在着很多种噪声,单个特征的变化难以判断网络是否处于异常状态。因此,该方法采用多特征融合,能够更为准确的表征网络状态的变化。首先,该方法通过特征计算提取了网络流量的特征数据并通过特征融合将特征数据转换为特征图。其次,该方法构造了一个CNN模型,该模型使用网络流量的特征图进行训练,可以记忆网络正常和异常的状态,从而具有识别LDoS攻击的能力。该方法在NS2平台和实验床平台进行实验以验证其可行性和有效性。实验结果表明,该方法能有效检测LDoS攻击。
提出的第二种检测方法为基于网络流量多特征和改进的Adaboost算法的LDoS攻击检测方法。LDoS攻击对不同的网络流量特征的影响是有差异的,因此,该方法在特征计算的基础上进一步进行了特征选择。首先,该方法基于对网络流量的分析,构造了一个网络流量的特征集,该特征集用于特征计算和特征选择。
其次,该方法使用了改进的Adaboost算法对网络流量进行分类,实现对LDoS攻击流量的识别。改进的Adaboost算法解决了传统算法中存在的样本权重失衡问题。NS2平台和实验床平台的实验结果表明,该方法能够有效的检测LDoS攻击,检测精度较高、稳定性较好。
提出的两种LDoS攻击检测方法具有较好的检测性能和自适应能力,能够较好的识别网络中的LDoS攻击。因此,本文研究成果对维护网络安全具有积极意义。