主权项 |
结合网络脆弱性评估的反射拒绝服务攻击检测方法,包括以下步骤:(1)采集数据包:在目标地址的I个接入端口以周期T采集数据包,每个端口得到采集数据包样本个数为I(d);(2)中心化序列转换:通过中心化处理将每个序列(xd)转化为中心化序列(x′d),如式①: <mrow> <msubsup> <mi>x</mi> <mi>d</mi> <mo>′</mo> </msubsup> <mo>=</mo> <msub> <mi>x</mi> <mi>d</mi> </msub> <mo>-</mo> <munderover> <mi>Σ</mi> <mrow> <mi>d</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>D</mi> </munderover> <msub> <mi>x</mi> <mi>d</mi> </msub> </mrow> ①(3)秩序列转换:将中心化序列(x′d)转化为秩的序列(x″d),如式②: <mrow> <msubsup> <mi>x</mi> <mi>d</mi> <mrow> <mo>′</mo> <mo>′</mo> </mrow> </msubsup> <mo>=</mo> <mrow> <mo>(</mo> <munderover> <mi>Σ</mi> <mrow> <mi>i</mi> <mo>=</mo> <msub> <mi>d</mi> <mn>1</mn> </msub> </mrow> <msub> <mi>d</mi> <mn>2</mn> </msub> </munderover> <mi>i</mi> <mo>)</mo> </mrow> <mo>/</mo> <mrow> <mo>(</mo> <msub> <mi>d</mi> <mn>2</mn> </msub> <mo>-</mo> <msub> <mi>d</mi> <mn>1</mn> </msub> <mo>)</mo> </mrow> <mo>,</mo> <msub> <mi>d</mi> <mn>1</mn> </msub> <mo>≤</mo> <mi>d</mi> <mo>≤</mo> <msub> <mi>d</mi> <mn>2</mn> </msub> </mrow> ②其中,必须将每个中心化后的序列(x′d)值按从小到大升序排列(相同值必定连续);d1和d2为所有值均相等的子序列的起始下标和终止下标;(4)将(3)中得到的I个秩序列两两组合,共得到I(I‑1)个序列对;对其中包含两个序列的序列对(X,Y),计算皮尔逊积矩相关系数rX,Y,如式③: <mrow> <msub> <mi>r</mi> <mrow> <mi>X</mi> <mo>,</mo> <mi>Y</mi> </mrow> </msub> <mo>=</mo> <mfrac> <mrow> <mi>E</mi> <mrow> <mo>(</mo> <mi>XY</mi> <mo>)</mo> </mrow> <mo>-</mo> <mi>E</mi> <mrow> <mo>(</mo> <mi>X</mi> <mo>)</mo> </mrow> <mi>E</mi> <mrow> <mo>(</mo> <mi>Y</mi> <mo>)</mo> </mrow> </mrow> <mrow> <msqrt> <mi>E</mi> <mrow> <mo>(</mo> <msup> <mi>X</mi> <mn>2</mn> </msup> <mo>)</mo> </mrow> <mo>-</mo> <msup> <mi>E</mi> <mn>2</mn> </msup> <mrow> <mo>(</mo> <mi>X</mi> <mo>)</mo> </mrow> </msqrt> <msqrt> <mi>E</mi> <mrow> <mo>(</mo> <msup> <mi>Y</mi> <mn>2</mn> </msup> <mo>)</mo> </mrow> <mo>-</mo> <msup> <mi>E</mi> <mn>2</mn> </msup> <mrow> <mo>(</mo> <mi>Y</mi> <mo>)</mo> </mrow> </msqrt> </mrow> </mfrac> </mrow> ③其中,函数E()表示取参数序列的均值。(5)根据历史统计信息设定每个序列对(X,Y)的阈值δ1和δ2,计算脆弱性评估值rX,Y,并给出检测结果R(X,Y),如式④: <mrow> <mi>R</mi> <mrow> <mo>(</mo> <mi>X</mi> <mo>,</mo> <mi>Y</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfenced open='{' close=''> <mtable> <mtr> <mtd> <mn>0</mn> </mtd> <mtd> <msub> <mi>δ</mi> <mn>1</mn> </msub> <mo>≤</mo> <msub> <mi>r</mi> <mrow> <mi>X</mi> <mo>,</mo> <mi>Y</mi> </mrow> </msub> <mo>≤</mo> <msub> <mi>δ</mi> <mn>2</mn> </msub> </mtd> </mtr> <mtr> <mtd> <mn>1</mn> </mtd> <mtd> <msub> <mi>r</mi> <mrow> <mi>X</mi> <mo>,</mo> <mi>Y</mi> </mrow> </msub> <mo>></mo> <msub> <mi>δ</mi> <mn>2</mn> </msub> </mtd> </mtr> <mtr> <mtd> <mn>1</mn> </mtd> <mtd> <msub> <mi>r</mi> <mrow> <mi>X</mi> <mo>,</mo> <mi>Y</mi> </mrow> </msub> <mo><</mo> <msub> <mi>δ</mi> <mn>1</mn> </msub> </mtd> </mtr> </mtable> </mfenced> </mrow> ④其中,R(X,Y)=1说明两个序列中可能存在反射拒绝服务攻击流量,R(X,Y)=0则说明不存在攻击流量。相关系数rX,Y即作为本方法的脆弱性评估值。 |