一步预测卡尔曼滤波检测LDoS攻击的方法

摘要

低速率拒绝服务LDoS(Low-rate Denial of Service)攻击是一种新型的DoS攻击。它利用TCP协议超时重传RTO(Retransmission Time Out)机制，向受害者发送周期性的脉冲(Pulse)攻击。LDoS平均攻击速率较低，因此它能躲避传统的检测方法。本发明针对LDoS攻击提出了一种基于卡尔曼(Kalman)滤波的检测方法。首先设定一个检测周期对受害端的流量进行采样；然后对采样数据进行小波变换，利用小波系数提取波形趋势；再采用卡尔曼滤波算法以一步预测与最优估算的误差值作为检测突变的依据；最后利用t假设检验来判定攻击的开始与结束。试验结果表明采用本发明所提出的方法能有效的检测出LDoS攻击。

主权项

1.一种基于卡尔曼滤波算法的LDoS(Low-rate Denial of Service)的检测方法，其特征在于：是通过以下步骤实现的：(1)在受害端对流量进行采样；(2)用小波分析的方法对采样信号进行平滑处理；(3)利用流量矩阵模型，将处理过的数据看作一个离散控制过程；(4)基于卡尔曼滤波算法利用一步预测和最优估计的误差值作为检测依据；(5)如果误差值大于门限C，则判定为有突变；(6)利用t假设检验法判定突变的原因是攻击的开始还是结束，如果是攻击开始则报警；其中，步骤(1)是在受害端的上一跳路由监测流量，每隔t秒的间隔对流量进行取样，一个取样周期为T秒，抽样数据就成为一个离散的序列；步骤(2)对采样的信号做小波分解，取平滑信号部分，这样信号变得平滑了，只有在攻击开始与结束的时候波形有突变；步骤(3)在上面小波分析的基础上建立一个流量矩阵模型并用卡尔曼滤波算法进行预测和估算，把平滑信号作为观测值Y_t，它与实际的系统状态值X_t的关系可以用线性方程表示为：Y_t＝A_tX_t+V_t其中A_t表示路由器矩阵，V_t表示一个非相关，零均值的高斯白噪声，对下一时刻状态的一步预测表示为：X_t+1＝C_tX_t+W_t其中C_t反映了流量的时空相关性，W_t是非相关，零均值的高斯白噪声，由流的随机波动造成；步骤(4)根据卡尔曼滤波的原理，基于上一状态可预测出现在的状态，同时更新X_t的自协方差P_t，用公式表示为$\left\{\begin{array}{c}{\hat{X}}_{t+1|t}=C_t{\hat{X}}_{t|t}\\ P_{t+1|t}=C_t{P}_{t|t}{C}_t^T+Q_t\end{array}\right.$其中表示一步预测，P_t+1|t表示预测方差，Q_t表示W_t的协方差，$E\left[W_k{W}_l^T\right]=\left\{\begin{array}{c}{Q}_k,\mathrm{ifk}=l\\ 0,\mathrm{otherwise}\end{array}\right.$有了现在状态的预测结果，然后再收集现在状态的测量值，结合预测值和测量值，可以得到状态t+1的最优化估计值同时更新t+1状态下X_t+1|t+1的自协方差P_t+1|t+1：$\left\{\begin{array}{c}{\hat{X}}_{t+1|t+1}={\hat{X}}_{t+1|t}+K_{t+1}[Y_{t+1}-A_{t+1}{\hat{X}}_{t+1|t}]\\ P_{t+1|t+1}=(I-K_{t+1}{A}_{t+1})P_{t+1|t}{(I-K_{t+1}{A}_{t+1})}^T+K_{t+1}{R}_{t+1}{K}_{t+1}^T\end{array}\right.$其中$K_{t+1}=P_{t+1|t}{A}_{t+1}^T{[A_t{P}_{t+1|t}{A}_{t+1}^T+R_{t+1}]}^{-1},$R_t表示V_t的协方差，$E\left[V_k{V}_l^T\right]=\left\{\begin{array}{c}{R}_k,\mathrm{ifk}=l\\ 0,\mathrm{otherwise}\end{array}\right.$随着卡尔曼的工作，X会逐渐的收敛；对t+1时刻的一步预测值与最优估算值进行比较，误差表达式为：${ϵ}_{t+1}=|{\hat{X}}_{t++1|t}-{\hat{X}}_{t+1|t+1}$步骤(5)门限值C是通过学习得到的；步骤(6)在(5)判定突变之后，对下一个周期T内的流量进行t假设检验，需要检验：H₀：μ≥μ₀＝M_k/nH₁：μ＜M_k /nM_k是在正常情况下通过学习得到的一个流量的数学期望，拒绝域为：$t=\frac{F_{\mathrm{avg}}-{\mu }_0}{s/\sqrt{n}}<t_{1-\alpha }(n-1)$F_avg为这一段时间流量的平均值。