一种基于格拉姆角场的低速率拒绝服务攻击检测方法与流程

1.本发明属于计算机网络安全领域，具体涉及一种基于格拉姆角场的低速率拒绝服务攻击检测方法。


背景技术：

2.低速率拒绝服务攻击是针对tcp拥塞控制机制缺陷而设计的一种拒绝服务攻击的变体，该攻击通过周期性地向瓶颈网络注入攻击流来恶意使得网络被迫拥塞，从而触发拥塞控制机制的自适应机制不断处于调整状态来达到降低网络质量的目的。同时，由于它还具有低速率性的特点，也变得更加隐蔽，从而难以通过使用对传统攻击的防范机制来进行检测。
3.sdn体系结构主要分为三个层面和两个接口。三个层面分别为应用层、控制层和数据层，两个接口分为北向接口和南向接口。虽然sdn实现了通过将控制平面与数据平面相分离从而提高了网络的可管理性和可编程性，它的网络安全现状并不会由于其采用了新的体系架构而发生根本性的改变，sdn也同样容易成为拒绝服务攻击的目标。对于sdn而言，若其控制层遭受到了低速率拒绝服务攻击，整个网络的管理便会受到影响，控制层无法及时对网络的状态进行判断与调整甚至可能加重攻击，带来更严重的损害。
4.本发明针对sdn体系结构所面临的低速率拒绝服务攻击安全隐患，以及现有低速率拒绝服务攻击检测算法仍存在着复杂度较高、处理过程复杂、无法实际部署进行实时检测的问题，提出了一种基于格拉姆角场的低速率拒绝服务攻击检测方法。该方法通过在sdn体系结构下，利用控制器向交换机发起信息申请轮询，记录流经交换机的实时tcp流量和udp流量，并以此为根据结合格拉姆算法构建流量图片模型，进而对tcp流量图片模型和udp流量图片模型提取颜色矩特征，再利用层次分析法(ahp)算法和k临近值算法进一步确定低速率拒绝服务攻击是否发生。该方法能够在sdn体系结构下进行实际部署，实现对低速率拒绝服务攻击的实时检测，且误报率和漏报率低，具有良好的普适性以及准确性。本发明提出的方法在实际部署进行检测时，响应时间快速，平均准确率可达96.91％，因此该检测方法可用于sdn体系结构下准确检测低速率拒绝服务攻击。


技术实现要素：

5.针对sdn体系结构所面临的低速率拒绝服务攻击安全隐患，以及传统低速率拒绝服务攻击检测算法仍存在着复杂度较高、处理过程复杂、无法实际部署进行实时检测的问题，本发明提出了一种基于格拉姆角场的低速率拒绝服务攻击检测方法。该低速率拒绝服务攻击检测方法实现了在sdn下对低速率拒绝服务攻击进行实时检测，且误报率和漏报率低，具有良好的普适性以及准确性，因此该检测方法可用于sdn体系结构下准确检测低速率拒绝服务攻击。
6.本发明为实现上述目标所采用的技术方案为：该低速率拒绝服务攻击检测方法主要包括四个步骤：流量数据采样、检测模型建立、模型特征提取、攻击判定检测。
7.1.流量数据采样。基于软件定义网络及其配套的openflow协议实现，控制器以一定周期为时间间隔向网络中的关键交换机申请读取流表信息，并对流表信息进行解析，获得条目和数据形成tcp原始流量数据和udp原始流量数据。
8.2.检测模型建立。根据获得的tcp原始流量数据和udp原始流量数据，采用格拉姆角场算法分别建立两个不同的流量图片模型，其中，格拉姆角场算法采用角度和的三角函数变换，具体包括三个处理过程。
9.3.模型特征提取。基于建立的tcp流量图片模型和udp流量图片模型，分别提取两个模型的颜色矩特征，获得模型特征值。
10.4.攻击判定检测。根据获得的模型特征值，采用ahp算法对其进行打分，将分数输入到k临近值分类器，若k临近值分类器的输出标签值与存在攻击时设定的标签值相符，则判定该时间窗口内网络发生了低速率拒绝服务攻击。有益效果
11.本发明提出的基于格拉姆角场的低速率拒绝服务攻击检测方法，能够在sdn体系结构和其配套的openflow协议下实现对网络流量的实时收集并进行低速率拒绝服务攻击检测，并且可以将此套检测方案通过sdn体系结构的控制器进行实际部署，提高低速率拒绝服务攻击的检测准确率，实时性高，满足当前对低速率拒绝服务攻击检测方法的需求。因此，该方法可普适用于低速率拒绝服务攻击检测。
附图说明
12.图1为正常网络状态与发生低速率拒绝服务攻击的网络状态下的流量数据转换后的极坐标分布图，可以看到发生低速率拒绝服务攻击后的tcp原始流量数据和udp原始流量数据的极坐标分布都更加集中。
13.图2为正常网络状态与发生低速率拒绝服务攻击的网络状态下的tcp流量图片模型和udp流量图片模型。
14.图3为正常网络状态与发生低速率拒绝服务攻击的网络状态下的tcp流量图片模型和udp流量图片模型的颜色矩特征示意图。
15.图4为ahp算法的示意图。
16.图5为一种基于格拉姆角场的低速率拒绝服务攻击检测方法的流程图。
具体实施方式
17.下面结合附图对本发明进一步说明。
18.如图5所示，该低速率拒绝服务攻击检测方法主要包括四个步骤：流量数据采样、检测模型建立、模型特征提取和攻击判定检测。
19.1.流量数据采样。控制器上通过利用openflow协议中的ofproto属性，向交换机发送轮询读取流表信息的请求。
20.交换机根据收到的请求将流表的全部信息以eventofpflowstatsreply的方式返回给控制器，控制器进行解析，获得需要的流量数据信息。
21.控制器向交换机发起轮询请求的时间间隔固定，设置为0.5秒。
22.控制器每轮询一次获得的流量数据信息为：每0.5秒时间长度内流经交换机的所
有tcp流的累积字节数和所有udp流的累积字节数。
23.设置检测的单位时间窗口长度为len秒，长度可由人为根据需要设定，对于长度为len秒的单位时间窗口，由于轮询的时间间隔为0.5秒，故窗口内分别收集了2
×
len个tcp原始流量数据和2
×
len个udp原始流量数据。
24.2.检测模型建立。根据收集到的tcp原始流量数据和udp原始流量数据，采用格拉姆角场算法分别建立tcp流量图片模型和udp流量图片模型，具体处理过程包括三个步骤。
25.1)分别将tcp原始流量数据和udp原始流量数据进行归一化，使其分别映射到[-1,1]的范围内。
[0026]
进行归一化使用的方法为minmaxscaler转换。
[0027]
minmaxscaler转换的优点在于：a)对于方差小的属性可以保留其原始特性；b)维持稀疏矩阵中为0的条目；c)最小-最大定标器与内积相结合，保留了输出范围。
[0028]
假设当前的原始流量数据为：x＝x1,x2,
…
,xn[0029]
归一化公式为：
[0030]
得到归一化后的原始流量数据为：x
_s
＝x
1_s
,x
2_s
,
…
,x
n_s
[0031]
2)对于归一化后的tcp原始流量数据和udp原始流量数据，分别计算获得其对应的余弦极坐标值序列。
[0032]
计算余弦极坐标值使用的方法为arccos函数双射转换，余弦值的范围为[-1,1]，相应的角度的值的范围为[0,2π]。
[0033]
余弦极坐标值计算公式为：θi＝arccos(x
i_s
)
[0034]
图1为正常网络状态与发生低速率拒绝服务攻击的网络状态下的流量数据转换后的极坐标分布图。对比正常网络状态下的tcp原始流量数据和udp原始流量数据的极坐标分布图，在网络发生低速率拒绝服务攻击时，单位时间窗口内的tcp原始流量数据和udp原始流量数据对应的极坐标分布都更加集中，差异明显。
[0035]
3)结合内积操作对一维余弦极坐标值序列进行角度和的三角函数变换，获得二维矩阵，将矩阵保存为图片，获得tcp流量图片模型和udp流量图片模型。
[0036]
由于任何类似于内积的操作都不可避免地将两个不同的观测值的信息转换为一个值，所以在处理中不能同时保留两个角度给出的信息，在本发明中定义了内积的另一种操作：
[0037]
其中，θ表示x的极坐标值。
[0038]
经过内积操作后，产生了基于角度和的三角函数变换的类格拉姆矩阵：
[0039]
类格拉姆矩阵将一维的原始流量数据转换为二维矩阵，再将二维矩阵保存为图片以此获得tcp流量图片模型和udp流量图片模型。
[0040]
图2为正常网络状态与发生低速率拒绝服务攻击的网络状态下的tcp流量图片模型和udp流量图片模型。由于正常网络状态与发生低速率拒绝服务攻击的网络状态下的流量数据转换后的极坐标存在明显差异，在将其通过格拉姆角场算法处理转换为二维矩阵并保存为图片后，颜色分布也同样存在差异。对比正常网络状态对应的tcp流量图片模型和udp流量图片模型，在网络发生低速率拒绝服务攻击时，单位时间窗口内的tcp原始流量数据和udp原始流量数据对应的tcp流量图片模型和udp流量图片模型的颜色分布更有序且颜色深浅也存在差异。
[0041]
3.模型特征提取。基于建立的tcp流量图片模型和udp流量图片模型，分别提取两个模型的颜色矩特征，获得模型的共五个特征值。
[0042]
颜色矩能够在一定程度上有效的表示色彩在图片中的分布情况，其具有简单又便捷的特点。由于颜色信息主要集中在低阶矩中，因此采用颜色的一阶矩、二阶矩表达图像的颜色分布。
[0043]
一阶矩计算公式为：
[0044]
二阶矩计算公式为：
[0045]
其中，n表示图的总像素数，p
ij
表示第i个颜色通道在第j个图像像素值。
[0046]
提取tcp流量图片模型的特征为：r通道一阶矩和b通道二阶矩。
[0047]
提取udp流量图片模型的特征为：r通道一阶矩、b通道一阶矩和b通道二阶矩。
[0048]
图3为正常网络状态与发生低速率拒绝服务攻击的网络状态下的tcp流量图片模型和udp流量图片模型的颜色矩特征示意图。共包含五组相比于正常网络状态下的tcp流量图片模型，发生低速率拒绝服务攻击的网络状态下的tcp流量图片模型的r通道一阶矩更大，b通道二阶矩更大；相比于正常网络状态下的udp流量图片模型，发生低速率拒绝服务攻击的网络状态下的udp流量图片模型的r通道一阶矩更大、b通道一阶矩更小和b通道二阶矩更大，差异具有明显区分度，可以对这五个特征值进行进一步分析从而判定网络中是否发生了低速率拒绝服务攻击。
[0049]
4.攻击判定检测。根据获得的模型特征值，采用ahp算法对其进行打分，将分数输入到k临近值分类器，若k临近值分类器的输出标签值与存在攻击时设定的标签值相符，则判定该时间窗口内网络发生了低速率拒绝服务攻击。
[0050]
ahp算法主要包括三个层次，分别为目标层、准则层和方案层。
[0051]
采用ahp算法对五个特征值进行打分的具体处理过程包括四个步骤。
[0052]
图4为ahp算法的示意图。其包括的步骤为：建立层次结构模型、构造判断矩阵、层次单排序和层次总排序。
[0053]
1)建立层次结构模型，由于存在五个特征值，因此，其中的准则层层数为5，每一层准则层对应一类的特征值，目标层和方案层均为1。
[0054]
2)构造判断矩阵，此时不会把所有因素放在一起比较，而是两两相互比较从而减少性质不同因素相互比较的困难以提高精确度，即五个准则层每一层的元素之间两两比较进行构造。
[0055]
3)对每一层的特征值进行层次单排序，其获得的值为当前层相对重要性的排序权值。
[0056]
4)对每一层计算对于总目标层相对重要性的权值从而进行层次总排序获得最终分数。
[0057]
在获得分数后，再将此分数值输入到训练好的k临近值分类器进行分类，输出分类标签值，根据分类标签值是否与存在攻击时设置的标签值一致进行判断是否存在攻击。
[0058]
使用k临近值分类器进行分类的具体过程包括两个步骤。
[0059]
1)训练k临近值分类器，训练集为同时包含不存在低速率拒绝服务攻击和存在攻击的分数序列以及其对应的标签值序列。
[0060]
2)输入分数进行分类，得到一个输出的标签值。定义不存在低速率拒绝服务攻击时的分数值对应标签值为0，存在低速率拒绝服务攻击时的分数值对应标签值为1。
[0061]
训练集的标签值由人为标记，k临近值输出的标签值由k临近值分类器分类计算获得。
[0062]
判定是否存在低速率拒绝服务攻击的具体方式为：若k临近值分类器输出的标签值为0，则判定当前窗口内不存在低速率拒绝服务攻击；若k临近值分类器输出的标签值为1，则判定当前时间窗口内流量发生了异常，存在低速率拒绝服务攻击。