专利一种基于EMDR-WE算法的LDoS攻击检测方法

(19)国家知识产权局 (12)发明专利 (10)授权公告号 (45)授权公告日 (21)申请号 202111332817.5 (22)申请日 2021.11.11 (65)同一申请的已公布的文献号申请公布号 CN 114070601 A (43)申请公布日 2022.02.18 (73)专利权人湖南大学地址 410082 湖南省长沙市岳麓区麓山南路1号湖南大学 (72)发明人汤澹　王小彩　李欣萌　刘泊儒　姚苏庭　郑思桥　 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/00(2022.01) G06K 9/62(2022.01) 审查员许婵 (54)发明名称一种基于EMDR-WE算法的LDoS攻击检测方法 (57)摘要本发明公开了一种基于EMDR ‑WE算法的LDoS 攻击检测方法，属于计算机网络安全领域。其中所述的方法包括：鉴于LDoS攻击下TCP流量序列呈现出高复杂度的特点，组合近似熵、样本熵、模糊熵、排列熵四种特征熵量化攻击窗口和正常窗口的TCP流量序列复杂度。首先构造一种经验模态分解并重构TCP流量序列的预处理模型，通过该模型过滤TCP流量序列的噪声成分并得到TCP 流量的滑动窗口序列，提取各窗口的四种特征熵。接着利用熵权法赋予信息贡献度大的特征熵更高的权重，得到各TCP流量窗口的复杂度的综合评分。与逻辑回归训练得出的阈值比较，综合评分高于阈值的窗口被判定为存在LDoS攻击。本发明提出的基于经验模态分解、重构和熵权法的 LDoS攻击检测方法能准确地检测LDoS攻击且性能稳定。权利要求书2页说明书5页附图4页 CN 114070601 B 2022.11.11 CN 114070601 B 1.一种基于EMDR ‑WE算法的LDoS攻击检测方法，其中LDoS的全称是Low ‑rate Denial of Service，即慢速拒绝服务，其特征在于， EMD为经验模态分解， R表示信号重构， EMDR是一种信号预处理模型， WE是通过熵权法确定权重后的加权熵，该检测方法包括以下几个步骤：步骤1、数据采样：获取瓶颈链路上的TCP流量，每隔相同单位时间设置一个采样点，得到原始TCP流量序列；步骤2、数据处理：经验模态分解原始TCP流量序列，选择有效分量进行重构以提纯TCP 流量序列，设置滑动窗口，具体包括四个步骤：步骤2.1、经验模态分解步骤1中采集到的原始TCP流量序列，分解结果显示该TCP流量序列为有限个内涵模态分量以及余波的线性叠加；步骤2.2、对每个内涵模态分量提出原假设 “H0：该内涵模态分量不是引起原TCP流量序列变化的格兰杰原因 ”，如果格兰杰因果关系检验不能拒绝该原假设，则该分量作为经验模态分解过程中产生的虚假分量被剔除；步骤2.3、分别计算每个剩下的内涵模态分量与原TCP流量序列的皮尔逊相关系数，挑选相关系数排名前五的分量重构TCP流量序列；步骤2.4、滑动相同间隔将处理过后的TCP流量序列划分为若干个等长的TCP流量窗口，每个窗口作为一个攻击检测单元；步骤3、特征提取：提取每个TCP流量窗口的四种特征熵作为评判该窗口复杂度的特征值，包括近似熵、样本熵、模糊熵以及排列熵；步骤4、综合评分：以TCP流量窗口作为评价对象，四种特征熵作为评价指标，使用熵权法区分四种特征熵的评判能力，确定其权重，计算每个TCP流量窗口复杂度的综合评分，训练得到阈值，包括六个步骤：步骤4.1、对近似熵、样本熵、模糊熵和排列熵四种指标的值进行标准化处理；步骤4.2、计算四种特征熵的信息熵；步骤4.3、计算四种特征熵的信息效用值；步骤4.4、以信息效用值为依据分配四种特征熵的权重，令Di(i＝1,2,3,4)表示四种特征熵的信息效用值， Wi(i＝1,2,3,4)表示四种特征熵在综合评分中的权重，计算公式表示为：步骤4.5、加权求和四种特征熵得到各TCP流量窗口复杂度的综合评分；步骤4.6、以逻辑回归模型训练各TCP流量窗口复杂度的综合评分并得到阈值；步骤5、结果评判：根据TCP流量窗口的综合评分判断该窗口内网络中是否存在LDoS攻击。 2.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤4.6将各TCP流量窗口复杂度的综合评分作为训练集输入到逻辑回归模型，选择最优的学习率和迭代次数训练得到综合评分的阈值。 3.根据权利要求1中所述的LDoS攻击检测方法，其特征在于，步骤5将窗口的综合评分与阈值进行比较，若综合评分高于阈值，则判定该窗口内发生了LDoS攻击，否则判定为没有权　利　要　求　书 1/2 页 2 CN 114070601 B 2发生LDoS攻击。权　利　要　求　书 2/2 页 3 CN 114070601 B 3

专利 一种基于EMDR-WE算法的LDoS攻击检测方法

专利一种基于EMDR-WE算法的LDoS攻击检测方法