基于HMM时间序列预测和混沌模型的DDoS攻击检测方法

计算机工程与科学

• 计算机网络与信息安全 • 上一篇下一篇

基于HMM时间序列预测和混沌模型的DDoS攻击检测方法

董哲1,唐湘滟1,程杰仁1,2,张晨1,林福生1

（1.海南大学信息科学技术学院，海南海口 570228；2.南海海洋资源利用国家重点实验室，海南海口 570228）

收稿日期:2018-07-16 修回日期:2018-09-10 出版日期:2018-12-25 发布日期:2018-12-25
基金资助:
海南省自然科学基金(617048,2018CXTD333);国家自然科学基金(61762033,61702539);湖南省自然科学基金(2018JJ3611);浙江省公益技术应用社会发展项目(LGF18F020019);海南大学博士启动基金(kyqd1328);海南大学青年基金(qnjj14444);南海海洋资源利用国家重点实验室资助

A DDoS attack detection method based on

HMM time series prediction and chaos model

DONG Zhe1，TANG Xiangyan1，CHENG Jieren1,2，ZHANG Chen1，LIN Fusheng1

（1.College of Information Science and Technology,Hainan University,Haikou 570228;

2.State Key Laboratory of Marine Resource Utilization in South China Sea,Hainan University,Haikou 570228,China）

Received:2018-07-16 Revised:2018-09-10 Online:2018-12-25 Published:2018-12-25

摘要/Abstract

摘要：

分布式拒绝服务（DDoS）攻击是网络环境中最具破坏力的攻击方式之一，现有基于机器学习的攻击检测方法往往直接将某时刻的特征值代入分类器进行分类，没有考虑相邻时刻特征之间的联系，因而导致误报率和漏报率较高。提出一种基于隐马尔科夫模型HMM时间序列预测和混沌模型的DDoS攻击检测方法。针对大规模攻击网络流量的突发性，定义网络流量加权特征NTWF和网络流平均速率NFAR二元组来描述网络流量的特点；然后采用层次聚类算法对训练集进行分类，以获取隐层状态HLS序列，利用NTWF序列和HLS序列对HMM进行监督学习获得状态转移矩阵和混淆矩阵，以预测NTWF序列；最后通过混沌模型分析NTWF序列的预测误差，结合基于NFAR的规则来识别攻击行为。实验结果表明，与同类方法相比，所提方法具有较低的误报率和漏报率。

关键词: 分布式拒绝服务, 攻击检测, 隐马尔科夫模型, 混沌分析, 时间序列

Abstract:

The distributed denial of service (DDoS) attack is one of the most destructive attacks in the network environment. Existing attack detection algorithms based on machine learning often use the eigenvalues of a time to be classified to perform classification. However, the correlation with the features of its adjacent time is not taken into account. The false positive rate and false negative rate therefore are high. We propose a DDoS attack detection method based on hidden Markov model (HMM) time series prediction and chaos model. Aiming at the burstiness of mass attack traffic, we firstly define the network traffic weighted features (NTWF) and network flow average rate (NFAR) to describe the features of network traffic. Then, we use the hierarchical clustering algorithm to classify training sets to get the hidden layer state (HLS) sequences. We employ the NTWF sequence and HLS sequence to conduct supervised learning of the HMM, and predict the NTWF sequence by the state transition matrix and confusion matrix obtained before. Finally, we analyze the prediction error of NTWF sequences by the chaotic model, which is combined with the NFARbased rules, to distinguish attack behavior. Experimental results show that compared with similar methods, the propose method has lower false positive rate and false negative rate.

Key words: DDoS, attack detection, hidden Markov model, chaos analysis, time series

董哲1,唐湘滟1,程杰仁1,2,张晨1,林福生1. 基于HMM时间序列预测和混沌模型的DDoS攻击检测方法[J]. 计算机工程与科学.

DONG Zhe1，TANG Xiangyan1，CHENG Jieren1,2，ZHANG Chen1，LIN Fusheng1.

A DDoS attack detection method based on

HMM time series prediction and chaos model

[J]. Computer Engineering & Science.

[1]	任晟岐, 宋伟. 基于GGInformer模型的多维时间序列特征提取与预测研究[J]. 计算机工程与科学, 2024, 46(04): 590-598.
[2]	阳予晋, 王堃, 陈志刚, 徐悦, 李斌. 基于胶囊网络的异常多分类模型[J]. 计算机工程与科学, 2024, 46(03): 427-439.
[3]	庞诺言, 关东海, 袁伟伟. 基于早期时间序列分类的可解释实时机动识别算法[J]. 计算机工程与科学, 2024, 46(02): 353-362.
[4]	刘南艳, 魏鸿飞, 马圣祥. 融合局部动态特征的面部表情识别[J]. 计算机工程与科学, 2023, 45(05): 849-858.
[5]	王堃, 郑晨, 张立中, 陈志刚. 一种基于SARIMA-LSTM模型的电网主机负载预测方法[J]. 计算机工程与科学, 2022, 44(11): 2064-2070.
[6]	赵春兰, 李屹, 何婷, 武刚, 王兵. 基于动态隶属度的模糊时间序列模型的水质预测研究[J]. 计算机工程与科学, 2022, 44(08): 1488-1496.
[7]	郝占军, 乔志强, 党小超, 段渝. 一种基于CSI的高鲁棒性步态识别方法[J]. 计算机工程与科学, 2022, 44(07): 1302-1312.
[8]	赵林锁, 陈泽, 丁琳琳, 宋宝燕. 基于RELM的时间序列数据加权集成分类方法[J]. 计算机工程与科学, 2022, 44(03): 545-553.
[9]	贾俊杰, 段超强. 基于评分离散度的托攻击检测算法[J]. 计算机工程与科学, 2022, 44(03): 554-562.
[10]	颜廷龙, 李瑛, 王凤芹. 基于MRF模型的飞机飞行动作识别划分算法[J]. 计算机工程与科学, 2022, 44(01): 159-164.
[11]	于琼, 田宪. 基于组合模型的非线性时间序列预测算法[J]. 计算机工程与科学, 2021, 43(10): 1817-1825.
[12]	郭全盛, 李栋, 张蕾, 魏楚元. 基于时间点过程的时间序列预测模型[J]. 计算机工程与科学, 2021, 43(07): 1299-1307.
[13]	殷炜宏, 王若愚, 段倩倩, 李国强. 基于时态边缘算子的时间序列自主分段表示法[J]. 计算机工程与科学, 2021, 43(06): 1104-1111.
[14]	王腾1，焦学伟2，高阳2. 一种基于Attention-GRU和iForest的周期性时间序列异常检测算法[J]. 计算机工程与科学, 2019, 41(12): 2217-2222.
[15]	周康，万良，丁红卫. 基于MLP-HMM的跨站脚本攻击检测[J]. 计算机工程与科学, 2019, 41(08): 1413-1420.

基于HMM时间序列预测和混沌模型的DDoS攻击检测方法

A DDoS attack detection method based on

HMM time series prediction and chaos model

PDF

可视化

摘要/Abstract

引用本文

使用本文

相关文章 15

编辑推荐

Metrics

本文评价