国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于流量統計的小波分析邊界處理方法

      文檔序號:7684335閱讀:219來源:國知局
      專利名稱:一種基于流量統計的小波分析邊界處理方法
      技術領域
      本發(fā)明是利用小波分析求解Hurst (自相似參數)參數過程中一種基于流量 統計的邊界處理方法。主要用于基于小波分析的Hurst參數求解過程中信號的邊 界處理,然后根據Hurst參數值判斷是否發(fā)生DDoS (Distributed Denial of Service, 分布式拒絕服務)攻擊,屬于網絡安全技術領域。
      背景技術
      隨著網絡成為人們生活工作必不可少的一部分,網絡安全也就越來越成為網 絡應用關鍵點。從網絡普及的那天開始,網絡犯罪就沒有停止過,相反有愈演愈 烈的趨勢。對DDoS攻擊的研究成為當前國內外網絡安全研究的熱點和前沿領 域,已經引起各國政府、科研部門和業(yè)界的極大關注。目前服務器對DDoS攻 擊進行防范主要有兩個方面DDoS攻擊檢測與DDoS攻擊過濾。檢測是過濾的 前提,因此DDoS攻擊檢測的效率是防范攻擊的關鍵。目前DDoS攻擊檢測主 要釆用的提取數據包異常特征的方法和基于統計檢測技術都有其缺陷,隨著網絡 流量自相似模型理論的成熟,人們提出基于網絡自相識似模型的DDoS攻擊檢 測手段。90年代初,Leland對Bellcore (貝爾實驗室)提出真實的網絡流量具有統計 意義上的自相似性。此后,許多的研究人員又對其它的網絡進行了測量,如Paxson 對WAN (廣域網)網絡進行了測量,其中了包括許多的TCP (傳輸控制協議) 到達過程;Crovella等觀測了WWW (萬維網)業(yè)務,均表明實際網絡業(yè)務流在 很長時間范圍內都具有相關性,即是長相關的。因此,當前網絡業(yè)務更適于采用 具有長期相關性的模型,如自相似過程模型來描述。網絡流量模型的自相似性是 由于文件的重尾分布特性造成的,當發(fā)生DDoS攻擊時,攻擊數據包將阻塞網絡 中正常的TCP數據包的傳輸。此時,網絡的自相似性能會降低。當攻擊使得網絡 幾乎完全阻塞時,網絡中的數據包基本上都是DDoS攻擊的數據包。此時,網絡流量將趨向于泊松分布過程,即Hurst趨向于0.5。也就是說,當發(fā)生DDoS攻擊時, Hurst參數將有較為明顯的變化。從Hurst值的變化,我們就可以檢測到是否發(fā)生 了DDoS攻擊。基于網絡流量自相似性的DDoS攻擊檢測模型中顯示了基于網絡流量自相 似模型檢測DDoS攻擊的過程。首先通過數據包捕獲對數據包的特征進行提取, 然后送入到特征庫中,利用存儲在特征庫中的信息Hurst值進行求取后判斷是否 發(fā)生了DDoS攻擊。其重點內容就是對Hurst參數進行求解,所以Hurst參數求解的 準確性和度的快慢決定了DDoS攻擊檢測的準確性和效率。對于Hurst系數的提 取,前人已經給出很多方法,如R/S (重新標度權差分析)法、方差-時間法等, 但小波的出現給這個問題帶來了新方法,這是因為利用小波對信號分析時是在尺 度和時間域上進行得,尤其它在多尺度特性與自相似過程的尺度不變性有著自然 的聯系,所以在對自相似過程的特征分析中,小波成為了必然的選擇。Mallat提出的快速小波變換算法(稱為Mallat算法)實現了小波分析從數 學到技術的轉換,奠定了小波分析作為快速計算工具的地位。在實際應用過程中, 小波分解的過程是先計算輸入信號和分析濾波器的巻積,然后將巻積結果進行隔 點采樣,以形成高頻和低頻信號。Mallat算法信號的多尺度分解中,原始信號S 通過高通濾波器Hi一D下釆樣后得到細節(jié)信號d,通過低通濾波器Lo一D下采樣后得到近似信號a,不斷對近似信號a進行分解得到多尺度細節(jié)系數《》(假設所采用 的小波濾波器長度為WLen,則其最大可分解級數MaxLev4log"~^~)向下取 整],j為分解級數,Mox丄ev], k為在每一級分解級數中分解出的信號長 度) ,*=(柳,",》=2J柳K2々-拳其中,^'柳是對小波函數W(0進行擴展和平移<formula>formula see original document page 5</formula>進正交小波,其正則性指數為及。那么《"*的方差為 呵^]=呵2參 ]通過對(1)式兩邊的數據取對數后,在均方誤差最小的意義下進行線性擬合得到以j為自變量,以^,^為函數的直線,斜率即為7 。利用"2// + 1 便可求得H的值??偨Y而言,小波求解Hurst指數的算法流程具體方法如下(1) 原始信號初始化。(2) 對信號S和小波高通、低通濾波器進行巻積并下采樣分別到細節(jié)信號d 和近似信號a,得到并保存相應各尺度的多尺度細節(jié)系數《,A 。(3) 判斷是否是最后一級,如果是,則進行第(4)步,否則進行第(2)步。(4) 在均方誤差最小的意義下進行線性擬合參數估計。(5) 計算Hurst參數。在應用Mallat算法小波分解是對無限長信號來說的,在對有限長信號作小 波變換時,由于不知道信號后面的準確值,所以必須以某種方式對原信號進行擴 展。目前常用的邊界處理方式有零延拓、周期延拓、對稱延拓等,設原始信號長 度為NLen,濾波器長度WLen,需要進行巻積的信號長度為NLen+Wlen-l。對于零延拓,原信號的邊界補零。周期延拓把原信號看成是周期信號。對稱延拓把原信號在端點處進行鏡像反射延拓。根據反射線設定的不同有 兩種方法, 一是反射線穿過端點,二是反射線在兩個點的中間。第一種方法如圖 中左端點的延拓方法,第二種方法如右端點的延拓方法所示。無論哪種方法,其 信號都是呈對稱狀分布。無論哪種方法都不能完全正確的反應真實的信號信息,所以也就不能準確的 求解出Hurst參數,影響了 DDoS攻擊檢測的準確性。發(fā)明內容技術問題本發(fā)明的目的是提供一種基于流量統計的小波分析邊界處理方 法,來解決Hurst參數精確求解問題,從而解決精確檢測DDoS攻擊。通過使用 本發(fā)明提出的方法,在基于自相似理論檢測DDoS攻擊中,可以更精確的求解 出Hurst參數,準確地判斷是否發(fā)生DDoS攻擊。技術方案本發(fā)明的方法是在基于網絡流量自相似性原理的基礎上,利用流 量統計進行邊界處理,提高Hurst參數求解精度的一種方法,使DDoS攻擊檢測 準確性更高。數據包捕獲和提取模塊對捕獲后的數據包進行快速特征提取,將數據包中的 流量特征提取出來,并存儲到特征庫中去以作為Hurst參數求解的輸入信息。數 據包流量特征提取模塊負責將捕獲的數據包流量特征信息存儲到特征庫中,攻 擊檢測器從特征庫中讀取流量特征信息進行檢測分析。特征庫在兩者之間起到緩 沖存儲的功能。從特征庫所處系統的位置來看,它主要完成的是接近于數據庫的 功能,但由于檢測的實時性,這種數據庫存儲的數據將是完全在內存中,而不是 形成存儲文件。由于檢測的實時性要求,特征值存儲在特征庫中一段時間后,對 檢測器來說已經屬于歷史數據,沒有多大用途,因此,特征庫本身應該具有自動 刷新功能,完成對歷史數據的自動刷新去除,以保持特征庫的規(guī)模不至于過分增 加。在特征庫的總體框架中,左邊特征提取模塊提取出的流量特征PktHdr傳遞 到特征庫中保存。特征庫內部釆用鏈表形式。右邊攻擊檢測器從特征庫中提取一 定長度的特征值序列,攻擊檢測器對數據的計算有一定的格式要求,因此必須將 原始數據經過處理才能傳入到檢測器供分析使用。檢測器的輸入數據就是將原始 數據按照到達時間等間隔劃分,每一時間間隔作為一個時隙,統計該時隙內所接 收到數據包的長度總和,將統計的該時隙內所接收到數據包的長度總和作為該時 隙等待檢測的信號值。經過預處理后進行Hurst參數求解進行攻擊檢測分析計算。該方法中,應用Mallat算法(Mallat提出的快速小波變換算法,實現了小 波分析從數學到技術的轉換。在實際應用過程中,小波分解的過程是先計算輸入 信號和分析濾波器的巻積,然后將巻積結果進行隔點釆樣,以形成高頻和低頻信號。應用Mallat算法小波分解是對無限長信號來說的,在對有限長信號作小波 變換時,由于不知道信號后面的準確值,所以必須以某種方式對原信號進行擴 展),進行離散小波分解,在多級分解過程中,對每一級信號進行流量統計,利 用其平均流量作為延拓信號,設經過預處理等待檢測信號為S=[S1, S2,..., Sn], 其中信號長度為n, Sl、 S2.....Sn為相同指定間隔時間內統計出來的流量,小波濾波器長度為WLen,則其最大可分解級數MaxLev=[log2(TT,r"》向下取整],具體包括如下步驟1) .統計[Sl,S2,…,Sn]的總流量,計算方法如下sum=Sl+S2+...+Sn; sum為總流量;2) .計算平均流量,計算方法如下average=sum/n; average為平均流量3) .對信號S進行邊界延拓,方法如下;[S1, S2,…,Sn, average, average, ... , average],使用平均流量 average進行邊界延拓,延拓后信號長度為n+WLen;4) .對信號S和小波高通、低通濾波器進行巻積并下采樣分別到細節(jié)信號d 和近似信號a;5) 對近似信號a=[ fl7.,, ,"y,2 ,......,A力],其中j為分解級數,Max丄w],釆用從步驟l)到步驟3)相同的處理方法* 首先統計總流量sunFflp + a,2 + + a7>7; sum為近似信號a的總流量,其長度為nj,表示第j級分解的近似信號a的長度,j為分解級數;* 計算平均流量average=sum/nj;* 對近似信號a延括為|>;,, , ,... , a," ,average, average,…,average],使用平均流量average進行邊界延拓,延拓后信號長度為nj+WLen。 信號進行預處理的方法如下將原始數據按照到達時間等間隔劃分,每一時間間隔作為一個時隙,統計該 時隙內所接收到數據包的長度總和,將統計的該時隙內所接收到數據包的長度總 和作為該時隙等待檢測的信號值,假設一共選取了 m個時隙,則預處理后的信 號S=[S1,S2,... ,Sn]。(例如每隔lOms對信號進行統計一次, 一共選取了 1024個時隙,即一共統計1024次,得到等待檢測信號為S=[S1, S2,... , S1024])。 判斷是否發(fā)生DDoS攻擊方法如下 利用流量統計進行邊界處理得到并保存相應各尺度的多尺度細節(jié)系數 《41^2>2,...,《1..,《^^,4^_,其中^為在每一級分解級數中分解出的信號長度,其中,《2 ,…….,《A],在均方誤差最小的意義下與1,2,......,Mox^v進行線性擬合參數估計,計算Hurst參數,根據Hurst參數大小即可判斷是否發(fā)生DDoS攻擊,判斷方法如下*當Hurst參數大于0.6時,認為網絡流量是正常的,*當Hurst參數在0.5-0.6之間變化時,給出"可能發(fā)生DDoS"告警信息,*當Hurst參數小于0.5時,則判斷發(fā)生了DDoS攻擊。有益效果本發(fā)明提出了一種小波分析邊界處理方法,主要用于解決利用 小波變換求解Hurst參數過程中準確性的復雜性問題,通過使用本發(fā)明提出的方 法可以避免過去邊界處理方法的盲目性,更好地反映網絡信號的真實情況,準確 地判斷是否發(fā)生DDoS攻擊。下面我們給出具體的說明準確性對于零延拓,沒有考慮信號的具體情況;對于周期延拓,只能 反映信號開始的時候的情況;對于對稱延拓,只能所截取信號將要結束那一部分 的情況。利用基于流量統計的小波分析邊界處理方法,可以很好的反映某個時間 段內所截取的信號的所有特征,提高Hurst參數求解的準確度,從而準確地判斷 是否發(fā)生DDoS攻擊。


      圖1是基于網絡流量自相似性的DDoS攻擊檢測模型。 圖2是Mallat算法信號的多尺度分解。 圖3是特征庫的總體框架。
      具體實施方式
      本發(fā)明基于流量統計的小波分析邊界處理方法應用Mallat算法,進行離散 小波分解,在多級分解過程中,對每一級信號進行流量統計,利用其平均流量作 為延拓信號,設經過預處理等待檢測信號為S=[S1, S2,... , Sn],其中信號長度為 n, Sl、 S2.....Sn為相同指定間隔時間內統計出來的流量,小波濾波器長度為WLen,則其最大可分解級數MaxLeV=[l0g2(~^~)向下取整],具體包括如-1下步驟1) .統計[Sl,S2,…,Sn]的總流量,計算方法如下sum=Sl+S2+...+Sn; sum為總流量;2) .計算平均流量,計算方法如下average=sum/n; average為平均流量;3) .對信號S進行邊界延拓,方法如下;[SI, S2, ... , Sn, average, average, ... , average], 使用平均流量 average進行邊界延拓,延拓后信號長度為n+WLen;4) .對信號S和小波高通、低通濾波器進行巻積并下采樣分別到細節(jié)信號d 和近似信號a;5) 對近似信號aK^,^ ,……, ., ;],其中j為分解級數, 乂e[l, Moxiev|,采用從步驟l)到步驟3)相同的處理方法* 首先統計總流量sunFaA1+ay,2+... + fl;, ;; sum為近似信號a的總流量,其長度為nj,表示第j級分解的近似信號a的長度,j為分解級數; 參計算平均、流量average=sum/nj;* 對近似信號a延括為[flyJ , fl,2,... , ,average, average, ... , average], 使用平均流量average進行邊界延拓,延拓后信號長度為nj+WLen。為了方便描述,我們假定有如下應用實例每隔10ms對信號進行統計一次, 一共統計1024次,得到等待檢測信號為 S=[S1,S2,...,S1024],所采用Symlets小波Sym3,其濾波器長度為6,其最大 可分解級數為^fox丄ev-7,本發(fā)明具體如下1) .統計[S1,S2,…,S1024]的總流量,計算方法如下sum=S 1+S2+... +S1024; sum為總流量;2) .計算平均流量,計算方法如下average=sum/1024; average為平均流量;3) .對信號S進行邊界延拓,方法如下;[SI, S2, ... , SI024, average, average, ... , average],使用平均流量average進行邊 界延拓,延拓后信號長度為1030;4) .對信號S和小波高通、低通濾波器進行巻積并下采樣分別到細節(jié)信號d 和近似信號a;5) 對近似信號f["w,^2,......其中j為分解級數,Mfl:d:ev],采用從步驟l)到步驟3)相同的處理方法* 首先統計總流量suitfo^十a^ + ; sum為近1以信號a的總流量,其長度為nj,表示第j級分解的近似信號a的長度,j為分解 級數;參 計算平均流量average=sum/nj;* 對近1以信號a延括為[a厶,,~,2, ... , a乂.,w., average, average,...,average],使用平均流量average進行邊界延拓,延拓后信號長度為 nj+WLen。利用流量統計進行邊界處理得到并保存相應各尺度的多尺度細節(jié)系數 《h^W,...,《^..,《^^,^。^ (其中^為在每一級分解級數中分解出的信號長度,其中d",《2 ,.……,《t,]),在均方誤差最小的意義下與1,2,……,7進行線性擬合參數估計,計算Hurst參數。根據Hurst參數大小即可判斷是否發(fā)生DDoS攻擊。判斷方法如下*當Hurst參數大于0.6時,認為網絡流量是正常的。參當Hurst參數在0.5-0.6之間變化時,給出"可能發(fā)生DDoS"告警信息。*當Hurst參數小于0.5時,則判斷發(fā)生了DDoS攻擊。
      權利要求
      1.一種基于流量統計的小波分析邊界處理法,其特征在于該方法中,應用Mallat算法,進行離散小波分解,在多級分解過程中,對每一級信號進行流量統計,利用其平均流量作為延拓信號,設經過預處理等待檢測信號為S=[S1,S2,...,Sn],其中信號長度為n,S1、S2、...、Sn為相同指定間隔時間內統計出來的流量,小波濾波器長度為WLen,則其最大可分解級數具體包括如下步驟1).統計[S1,S2,...,Sn]的總流量,計算方法如下Sum=S1+S2+...+Sn; sum為總流量;2).計算平均流量,計算方法如下average=sum/n;average為平均流量;3).對信號S進行邊界延拓,方法如下;[S1,S2,...,Sn,average,average,...,average],使用平均流量average進行邊界延拓,延拓后信號長度為n+WLen;4).對信號S和小波高通、低通濾波器進行卷積并下采樣分別到細節(jié)信號d和近似信號a;5)對近似信號a=[αj,1,αj,2,...,αj,nj],其中j為分解級數,j∈[1,MaxLev],采用從步驟1)到步驟3)相同的處理方法● 首先統計總流量sum=αj,1+αj,2+...+αj,nj;sum為近似信號a的總流量,其長度為nj,表示第j級分解的近似信號a的長度,j為分解級數;● 計算平均流量average=sum/nj;●對近似信號a延括為[aj,1,αj,2,...,αj,nj,average,average,...,average],使用平均流量average進行邊界延拓,延拓后信號長度為nj+WLen。
      2.根據權利要求1所書的基于流量統計的小波分析邊界處理方法,其特征在 于信號進行預處理的方法如下將原始數據按照到達時間等間隔劃分,每一時間間隔作為一個時隙,統計該 時隙內所接收到數據包的長度總和,將統計的該時隙內所接收到數據包的長度總 和作為該時隙等待檢測的信號值,假設一共選取了 m個時隙,則預處理后的信 號S呵Sl,S2,…,Sn]。
      全文摘要
      基于流量統計的小波分析邊界處理方法是一種用于基于小波分析的Hurst參數求解的方法,主要用來解決Hurst參數精確求解問題,從而解決精確檢測DDoS攻擊。該方法中,應用Mallat算法,進行離散小波分解,在多級分解過程中,對每一級信號進行流量統計,利用其平均流量作為延拓信號,設經過預處理等待檢測信號為S=[S1,S2,…,Sn],其中信號長度為n,S1、S2、…、Sn為相同指定間隔時間內統計出來的流量,小波濾波器長度為WLen,則其最大可分解級數MaxLev=[log<sub>2</sub>(n/WLen-1)向下取整],通過使用本發(fā)明提出的方法,在基于自相似理論檢測DDoS攻擊中,可以更精確的求解出Hurst參數,準確地判斷是否發(fā)生DDoS攻擊。
      文檔編號H04L9/36GK101217378SQ200810019279
      公開日2008年7月9日 申請日期2008年1月18日 優(yōu)先權日2008年1月18日
      發(fā)明者任勛益, 張登銀, 王汝傳, 祝世雄, 蔣凌云 申請人:南京郵電大學
      網友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1