一种基于负载预测的分布式拒绝服务攻击检测方法

摘要

本发明涉及一种基于负载预测的分布式拒绝服务攻击检测方法，属于网络安全技术领域。本发明的方法包括对服务器的负载值进行检测的步骤，使用检测值进行负载预测的步骤，将预测值与实际检测值比较，判断是否是异常点并采取措施的步骤，其特征在于，所述使用检测值进行负载预测的步骤包括：(1)1)使用基于小波包的预测方法进行一步预测；2)使用基于SVR的预测方法进行一步预测；3)使用基于支持向量回归的非线性组合预测方法对两项单项预测结果进行组合，获得最终的主机负载预测结果。本发明的检测方法能够提高攻击检测精度，并有效降低攻击发现延时。

主权项

1.一种基于负载预测的分布式拒绝服务攻击检测方法，该方法包括对服务器的负载值进行检测的步骤，使用检测值进行负载预测的步骤，将预测值与实际检测值比较，判断是否是异常点并采取措施的步骤，其特征在于，所述使用检测值进行负载预测的步骤包括：1)使用基于小波包的预测方法进行一步预测，具体步骤为：1.1对原始序列进行小波包分解与重构：设H(t)表示t时刻之前N个数据按时间顺序的排列，对原始序列H(t)进行L层小波包分解，从分解树中读取结点(L，0)～(L，2^L-1-1)，(1，1)的小波包分解系数，构成2^L-1+1个信号分量；对各分支进行单支重构，重构后的2^L-1+1个分支与原始序列的长度一致，记为(j＝0～2^L-1-1)和1.2对信号直接用AR线性模型进行预测；1.3对信号进行支持向量回归预测，即对各分支分别执行：1.3.1数据准备：将该分支数据分为两部分，一部分作为训练数据，另一部分作为测试数据，将训练数据以n为步长组织为学习样本对(x_i，y_i)；1.3.2选取适当的支持向量机模型；1.3.3根据确定的支持向量拓扑结构，利用训练数据集训练模型；1.3.4利用测试数据集中的数据进行预测；1.3.5根据预测结果进行模型评价，计算预测精度，如果精度满足预先设定的阈值，则结束算法，否则调整参数，重新训练模型；1.4使用加权移动平均法对分支数据进行预测；1.5对各分支预测值进行合成，获得最后的预测结果；2)使用基于SVR的预测方法进行一步预测，具体步骤为：2.1数据准备：将原始负载数据分为两部分，一部分作为训练数据，另一部分作为测试数据，将以n为步长组织为学习样本对(x_i，y_i)；2.2选取适当的支持向量机模型；2.3根据确定的支持向量拓扑结构，利用训练数据集训练模型；2.4利用测试数据集中的数据进行单步预测；2.5根据预测结果进行模型评价，计算预测精度，如果精度满足预先设定的阈值，则结束算法，否则调整参数，重新训练模型；3)使用基于支持向量回归的非线性组合预测方法对使用基于小波包的预测方法进行一步预测的结果和使用基于SVR的预测方法进行一步预测的结果进行组合，获得最终的主机负载预测结果，具体步骤为：3.1数据准备：将原始主机负载数据分别输入到已训练好的基于小波包的预测模型和基于SVR的预测模型中，获得使用基于小波包的预测方法进行一步预测的结果和使用基于SVR的预测方法进行一步预测的结果构成的集合，并将该集合分成两部分，一部分作为训练数据，另一部分作为测试数据；3.2将第3.1步得到的训练数据以2为步长组织为如下表所示的学习样本对(x_i，y_i)；其中分别为使用基于小波包的预测模型和基于SVR的预测模型获得的预测值；3.3选取适当的支持向量机模型；3.4根据确定的支持向量拓扑结构，利用第3.2步得到的训练样本训练模型；3.5将第3.1步得到的测试数据集中的数据输入模型，进行单步预测；3.6根据预测结果进行模型评价，计算预测精度，如果精度不满足预先设定的阈值，则调整参数，重新训练模型。