(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111329547.2 (22)申请日 2021.11.11 (65)同一申请的已公布的文献号 申请公布号 CN 114024762 A (43)申请公布日 2022.02.08 (73)专利权人 湖南大学 地址 410082 湖南省长 沙市岳麓区麓山 南 路1号湖南大 学 (72)发明人 汤澹　高辰郡　郑芷青　王思苑　 王小彩　胡雨梦　 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 3/00(2006.01)(56)对比文件 CN 111797395 A,2020.10.20 CN 113542281 A,2021.10.2 2 CN 112637202 A,2021.04.09 CN 113076544 A,2021.07.0 6 CN 113065133 A,2021.07.02 CN 112738136 A,2021.04.3 0 CN 112291193 A,2021.01.2 9 CN 1096910 55 A,2019.04.26 US 2018152475 A1,2018.0 5.31 CN 110661802 A,2020.01.07 审查员 陈丽锋 (54)发明名称 一种基于S-R分析和FASSA-SVM 的LDoS攻击 检测方法 (57)摘要 本发明公开了一种基于S ‑R分析和FASSA ‑ SVM的LDoS攻击检测方法， 属于网络安全领域。 其 中所述方法包括： 采集软件定义网络(SDN)中交 换机间瓶颈链路的流量， 获取TCP流量序列和UDP 流量序列。 使用奇异谱分析对流量序列去噪， 提 取去噪后的流量序列特征， 对所求流量序列特征 进行秩和比分析， 得到训练特征集， 完成S ‑R分 析。 基于训练特征集， 使用基于萤火虫算法的麻 雀搜索算法(FASSA)与支持向量机(SVM)相 结合 的算法进行训练， 得到LDoS攻击检测模型FASSA ‑ SVM。 对于待检测流量序列， 将其秩和比特征输入 检测模型FASSA ‑SVM， 最后根据二分类结果判定 是否存在LDoS攻击。 本发明公开的方法准确率 高， 误报率、 漏报率较低， 且能实 际部署在SDN控 制器上， 实现对S DN环境中LDoS攻击的准确检测。 权利要求书1页 说明书5页 附图4页 CN 114024762 B 2022.08.16 CN 114024762 B 1.一种基于S ‑R分析和FASSA ‑SVM的LDoS攻击检测方法， 其特征在于， S ‑R分析是奇异谱 分析和秩和比分析， 即S分析和R分析相结合的两步分析方法， FASSA ‑SVM是基于萤火虫算法 的麻雀搜索算法FAS SA与支持向量机SVM相结合的算法， 所述检测方法包括以下几个步骤： 步骤1、 采集流量数据： 利用软件定义网络的控制器进行数据采集， 获取TCP流量序列和 UDP流量序列； 步骤2、 两步分析数据： 使用S 分析对TCP流量序列和UDP流量序列去噪， 提取去噪后的流 量序列特 征， 对所求 流量序列特 征进行R分析， 得到训练特 征集， 完成S ‑R分析； 步骤3、 建立检测模型： FAS SA‑SVM检测模型的建立， 包括 三个步骤： 步骤3.1、 完成麻雀搜索算法SSA中麻雀搜索的过程后， 加入萤火虫算法FA中的萤火虫 扰动策略， 更新麻雀位置， 再计算适应度函数值， 重复步骤3.1直到完成迭代， 形成FASSA算 法； 步骤3.2、 将FASSA算法的最优解映射为支 持向量机SVM的2个重要参数： 惩罚参数C和核 函数参数g amma， 使用优化后的参数作为SVM的输入参数； 步骤3.3、 将步骤2所述训练特征集输入SVM进行训练， 得到LDoS攻击检测模型FASSA ‑ SVM； 步骤4、 攻击检测判定： 根据步骤3建立的检测模型， 对待检测流 量序列进行检测判定 。 2.根据权利要求1中所述LDoS攻击检测方法， 其特征在于， 步骤1中的数据采样基于软 件定义网络所采用的OpenFlow协议实现， 采集交换机间瓶颈链路的流量， 以0.5秒为采样的 时间间隔， 获取TCP流 量序列和UD P流量序列。 3.根据权利 要求1中所述LDoS攻击检测方法， 其特征在于， 步骤2中的两步分析数据， 包 括三个步骤： 步骤2.1、 使用S分析对TCP流量序列和UDP流量序列分别进行去噪， 通过S 分析得到按奇 异值排序的前十个成分序列， 排除噪声序列， 仅留下前两个序列进 行一次重构， 得到去噪后 的TCP流量序列和UD P流量序列； 步骤2.2、 对去噪后的TCP流量序列和UDP流量序列， 采用滑动窗口构建检测窗口， 自定 义窗口长度， 保证最新窗口包含最近一个窗口长度的数据， 计算每个检测窗口内的4个流量 特征， 分别为： TCP流 量的均值和极差、 UD P流量的标准差和极差； 步骤2.3、 对所求流量特征进行R分析， 并提取单位时间窗口内流量特征的秩和比特征： RSR值、 RSR  rank值以及Probit值， 得到训练特征集， 再给训练特征集打上标签： 将不存在 LDoS攻击时的特 征的标签设置为0， 将存在LDoS攻击时的特 征的标签设置为1。 4.根据权利要求1中所述LDoS攻击检测方法， 其特征在于， 步骤4利用步骤3中得到的 FASSA‑SVM检测模 型， 向该检测模 型输入待检测流量序列的秩和比特征， 最后输出二分类结 果， 若输出结果为0， 则判定该待检测流量序列不存在LDoS攻击； 若输出结果为1， 则判定该 待检测流 量序列存在LDoS攻击 。权　利　要　求　书 1/1 页 2 CN 114024762 B 2一种基于S ‑R分析和FAS SA‑SVM的LDoS攻击检测方 法 技术领域 [0001]本发明属于计算机网络安全领域， 具体涉及一种基于S ‑R分析和FASSA ‑SVM的LDoS 攻击检测方法。 背景技术 [0002]拒绝服务(DoS)攻击以简单又暴力的攻击手段， 通过借助合理的方式来致使被攻 击对象无法向合法用户提供正常的服务来达到攻击目的。 而慢速拒绝服务(LDoS)攻击则是 DoS攻击的一个特殊变种， 具有周期性和低速率性等特点。 LDoS攻击相比DoS攻击更加隐蔽， 从而难以使用对传统DoS攻击的防范机制来进 行检测。 另外， 现有的检测方法普遍存在准确 率较低、 复杂度较高、 误报率和漏报率高等问题。 [0003]由于传统网络架构出现了更新速度缓慢， 系统复杂僵化， 管理困难等一系列问题， 软件定义网络(SDN)的出现为传统网络管理带来了新的思路。 作为一种新型的网络体系结 构， SDN通过将控制逻辑与传统网络 设备的封闭式和专有实现方式分离开来， 提供了网络可 编程化、 网络集中管理、 自动化部署和动态控制网络流量等功能， 然而， 其网络安全现状并 不会因为其采用了新型架构而发生根本性的改变。 一旦SDN的控制层遭受到了LDoS攻击， 整 个网络的管理便会受到影响， 甚至可能会造成全网DoS。 控制层是SDN的逻辑控制中心， 若控 制层无法及时对网络的状态进行判断与调整， LDoS攻击可能会带来更严重的损害， 造成比 传统网络中更严重的后果。 [0004]本发明针对SDN体系结构所面临的LDoS攻击安全隐患， 以及传统LDoS攻击检测 算 法检测率较低、 误报率和漏报率较高、 实际部署难等问题， 提出了一种SDN环 境中基于S ‑R分 析和FASSA ‑SVM的LDoS攻击检测方法。 该方法通过SDN控制器轮询， 在提取TCP、 UDP流量序列 后对其进 行奇异谱分析(S分析)去噪， 然后根据去噪后的序列计算TCP和UDP的4组流量特征 值， 再对流量特征值进 行秩和比分析(R分析)， 完成上述两步分析(S ‑R分析)之后， 将得到的 秩和比特征集作为训练特征集， 输入基于萤火虫算法和麻雀搜索算法的支持向量机 (FASSA‑SVM)， 从而构建LDoS攻击检测模型， 最终根据检测模 型的输出结果判定网络中是否 存在LDoS攻击。 该方法检测准确率较高， 且误报率和漏报率低， 能够实际部署在SDN控制器 上， 因此该检测方法可普适于检测S DN中的LDoS攻击 。 发明内容 [0005]针对SDN体系结构所面临的LDoS攻击安全隐患， 以及传统LDoS攻击检测方法普遍 存在检测准确度不高， 实际部署难等问题， 本发明提出了一种SDN环境下基于S ‑R分析和 FASSA‑SVM的LDoS检测方法。 该LDoS攻击检测方法能够 实际部署在控制器上， 实现SDN网络 对LDoS攻击的检测， 检测准确率高， 且误报率和漏报率低。 因此该检测方法可普适于准确检 测SDN中的LDoS攻击 。 [0006]本发明为实现上述目标所采用的技术方案为： 该LDoS检测方法主要包括四个步 骤：说　明　书 1/5 页 3 CN 114024762 B 3