(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111344163.8 (22)申请日 2021.11.15 (71)申请人 湖南大学 地址 410082 湖南省长 沙市岳麓区麓山 南 路1号湖南大 学 (72)发明人 汤澹　王思苑　高辰郡　郑芷青　 刘泊儒　胡雨梦　 (51)Int.Cl. H04L 9/40(2022.01) G06F 17/16(2006.01) G06K 9/62(2022.01) (54)发明名称 一种基于格拉姆角场的低速率拒绝服务攻 击检测方法 (57)摘要 本发明公开了一种基于格拉姆角场 的低速 率拒绝服务攻击检测方法， 属于计算机网络安全 领域。 本发明所述的方法包括： 对于每一个单位 时间窗口， 实时获取软件定义网络交换机中的流 表信息， 提取TCP原始流量数据和UDP原始流量数 据； 并用格拉姆角场算法分别对采集到的TCP原 始流量数据和UDP原始流量数据进行处理， 获得 TCP流量图片 模型和UDP流量图片模型； 进而 提取 两个模型共五个的颜色矩特征作为AHP算法的输 入； 在用A HP算法对其进行打分后， 将分数输入到 K临近值分类器， 若K临近值分类器的输出标签值 与存在攻击时设定的标签值相符， 则判定该时间 窗口内网络发生了低速率拒绝服务攻击。 本发明 提出的基于格拉姆角场的低速率拒绝服务攻击 检测方法可在网络中部署进行实时监测， 具有良 好的普适 性和准确性。 权利要求书2页 说明书5页 附图5页 CN 114070609 A 2022.02.18 CN 114070609 A 1.一种基于格拉姆角场的低速率拒绝服务攻击检测方法， 其特征在于， 所述低速率拒 绝服务攻击的检测方法包括以下几个步骤： 步骤1、 流量数据采样： 实时获取软件定义网络交换机中的流表信息， 分别记录单位时 间窗口内所有流经交换机的TCP流量和UDP流量的条 目及其数据， 作为TCP原始流量数据和 UDP原始流量数据； 步骤2、 检测模型建立： 利用格拉姆角场算法分别 对采集到的TCP原始流量数据和UDP原 始流量数据进行处理， 将其从一维序列转换为二维矩阵， 再将二维矩阵保存为图片， 获得 TCP流量图片模型和UD P流量图片模型； 步骤3、 模型特征提取： 基于建立的TCP流量图片模型和UDP流量图片模型， 分别提取两 个模型的颜色矩特 征， 获得模型 特征值； 步骤4、 攻击判定检测： 根据获得的模型特征值， 采用AHP算法对其进行打分获得分数 值， 将分数值输入到K临近值分类器， 若K临近值分类器的输出标签值与存在攻击时设定的 标签值相符， 则判定该时间窗口内网络发生了低速率拒绝 服务攻击。 2.根据权利要求1中所述的低速率拒绝服务攻击检测方法， 其特征在于， 步骤1中的网 络数据采样基于软件定义网络及其配套的OpenFlow协议 实现， 控制器以一定周期为时间间 隔向网络中的关键交换机申请读取流表信息， 并对流表信息进行解析， 获得条目和数据形 成TCP原始流量数据和UD P原始流量数据。 3.根据权利要求1中所述的低速率拒绝服务攻击检测方法， 其特征在于， 步骤2中根据 获得的TCP原始流量数据和UDP原始 流量数据， 采用格拉姆角场算法分别建立两个不同的流 量图片模型， 其中， 格拉姆角场算法采用角度和的三角函数变换， 具体可分为 三个步骤： 步骤2.1、 分别将TCP原始流量数据和UDP原始流量数据进行归一化， 使其分别映射到[ ‑ 1,1]的范围内； 步骤2.2、 对于归一化后的TCP原始流量数据和UDP原始流量数据， 分别计算获得其对应 的余弦极坐标值序列； 步骤2.3、 结合内积操作对一维余弦极坐标值序列进行角度和的三角函数变换， 获得二 维矩阵， 将矩阵保存为图片， 获得TCP流 量图片模型和UD P流量图片模型。 4.根据权利要求1中所述的低速率拒绝服务攻击检测方法， 其特征在于， 步骤3中提取 的模型特征包括五个特征值： TCP流量图片模型的R通道一阶矩和B通道二阶矩， 以及UDP流 量图片模型的R通道一阶矩、 B通道一阶矩和B通道二阶矩。 5.根据权利要求1中所述的低速率拒绝服务攻击检测方法， 其特征在于， 步骤4中的AHP 算法是指层次分析法算法， 将由步骤3提取的五个特征值作为AHP算法的输入， 得到一个分 数值作为输出， 再将此分数值输入到训练好的K临近值分类器进行分类， 输出分类标签值， 定义标签值0对应不存在低速率拒绝服务攻击时的分数值， 标签值 1对应存在低速率拒绝服 务攻击时的分数值， 则判定是否存在低速率拒绝服务攻击的具体准则为： 若K 临近值分类器 输出的标签值为0， 则判定当前窗口内不存在低速率拒绝服务攻击， 若K临近值分类器输出 的标签值 为1， 则判定当前时间窗口内存在低速率拒绝 服务攻击。 6.根据权利要求5中所述的低速率拒绝服务攻击检测方法， 其特征在于， K临近值分类 器的训练集为同时包含不存在低速率拒绝服务攻击和存在此攻击的分数值序列以及其对 应的标签值序列， 其中， 分数值序列中每一个分数值的获得方式与权利要求 1中所述的步骤权　利　要　求　书 1/2 页 2 CN 114070609 A 2一致， 标签值序列中的每一个标签值由人为给定 。权　利　要　求　书 2/2 页 3 CN 114070609 A 3