一种基于SVM算法的CC攻击检测方法及系统与流程

一种基于svm算法的cc攻击检测方法及系统
技术领域
1.本发明属于网络安防领域，尤其涉及一种基于svm算法的cc攻击检测方法及系统。


背景技术：

2.cc攻击（challenge collapsar attack），是指针对网络服务进行的短时间内多次访问的攻击方式。该攻击利用自动化程序在较短时间内发送大量请求，目的是让服务器过载，造成服务器资源耗尽，直到服务器宕机崩溃，服务中断。
3.cc攻击挑战着网络的稳定运行，对实际的生产活动造成了一定的威胁，所以如何通过流量数据检测出cc攻击是当下备受关注的技术问题。传统的cc攻击防御方法仅针对单一来源ip以及频繁请求的ip进行拦截，但是这种方式无法有效应对使用大量不同ip的攻击方式。所以目前亟需一种适用范围更加广泛的cc攻击检测方法及系统。


技术实现要素：

4.为了解决或者改善上述问题，本发明提供了一种基于svm算法的cc攻击检测方法及系统，具体技术方案如下：本发明提供了一种基于svm算法的cc攻击检测方法，包括以下步骤：步骤1：收集历史网络流量数据。步骤2：对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源ip、请求频率、请求方法、http头以及https处理方式，利用所述特征构建训练集与测试集。步骤3：利用所述训练集以及测试集，基于svm算法构建分类器，所述分类器用于区分正常流量和攻击流量。步骤4：利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到cc攻击以及未检测到cc攻击。
5.优选的，一种基于svm算法的cc攻击检测方法，还包括以下步骤：步骤5：根据所述检测结果采取对应的措施；当检测结果为检测到cc攻击时，发出警告；当检测结果为未检测到cc攻击时，跳转执行步骤4。
6.优选的，所述步骤1，还包括：收集历史网络流量数据，并对所述历史网络流量数据进行数据清洗和标准化处理。
7.优选的，所述步骤3，包括以下步骤：步骤301：确定svm算法采用线性核函数；步骤302：利用所述训练集中标记好的数据样本，基于svm算法训练分类器；步骤303：利用所述测试集中标记好的数据样本评估所述步骤302中的分类器的性能，根据评估指标对所述步骤302中的分类器进行参数调整。
8.优选的，所述步骤303中的评估指标，包括：分类器的精确率和召回率。
9.优选的，所述步骤303中的参数调整，包括：c值，所述c值决定了对错误分类样本的敏感程度。
10.优选的，所述步骤3中的svm算法，还包括：所述svm算法为自适应的svm算法。
11.基于相同的发明构思，本发明还提出一种基于svm算法的cc攻击检测系统，包括：数据收集单元：用于收集历史网络流量数据。数据处理单元：用于对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源ip、请求频率、请求方法、http头以及https处理方式，利用所述特征构建训练集与测试集。分类器构建单元：用于利用所述训练集以及测试集，基于svm算法构建分类器，所述分类器用于区分正常流量和攻击流量。检测单元：用于利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到cc攻击以及未检测到cc攻击。
12.优选的，所述一种基于svm算法的cc攻击检测系统，还包括：警告单元：用于根据所述检测结果采取对应的措施；当检测结果为检测到cc攻击时，用于发出警告；当检测结果为未检测到cc攻击时，用于将执行指令发送至所述检测单元。
13.本发明的有益效果为：本技术通过分类器来对网路流量进行分类，通过区分出正常流量与攻击流量，实现对cc攻击的检测。本发明不仅能够检测出使用单一ip进行攻击的cc攻击，还能有效检测出使用大量不同ip进行攻击的cc攻击，检测的适用范围较广，能够有效地保护网络的安全运行。
附图说明
14.图1是根据本发明一实施例提供的一种基于svm算法的cc攻击检测方法的流程图。
15.图2是根据本发明一实施例提供的一种基于svm算法的cc攻击检测方法的流程图。
16.图3是根据本发明一实施例提供的一种基于svm算法的cc攻击检测系统的结构原理框图。
17.图4是根据本发明一实施例提供的一种基于svm算法的cc攻击检测系统的结构原理框图。
实施方式
18.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
20.还应当理解，在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
21.还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
实施例
22.本发明提出如图1所示的一种基于svm算法的cc攻击检测方法，包括以下步骤：1、一种基于svm算法的cc攻击检测方法，其特征在于，包括以下步骤：步骤1：收集历史网络流量数据。
23.具体的，通过流量检测器以及日志记录器来收集历史网络流量数据。在收集历史网络流量数据，还需对所述历史网络流量数据进行数据清洗和标准化处理，得到格式规范、准确有效的特征数据集，能够保证后续数据处理更加顺利，提高检测结果的准确性。
24.步骤2：对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源ip、请求频率、请求方法、http头以及https处理方式，利用所述特征构建训练集与测试集。
25.本技术深入挖掘cc攻击的网络流量数据特点，通过更加丰富的流量特征来训练分类器，能够检测出使用不同手段进行攻击的cc攻击，使得检测的结果更加准确，扩大了本发明的检测适用范围。
26.步骤3：利用所述训练集以及测试集，基于svm算法构建分类器，所述分类器用于区分正常流量和攻击流量。
27.具体的，所述步骤3包括如下子步骤：步骤301：确定svm算法采用线性核函数。
28.步骤302：利用所述训练集中标记好的数据样本，基于svm算法训练分类器。在实际应用中，考虑到训练过程中数据类别不均衡的情况，本发明采取过采样和欠采样的方法来平衡训练集。
29.步骤303：利用所述测试集中标记好的数据样本评估所述步骤302中的分类器的性能，根据评估指标对所述步骤302中的分类器进行参数调整。在实际应用中，所述评估指标包括分类器的精确率和召回率，所述可以调整的参数包括c值，c值决定了对错误分类样本的敏感程度，即在最大化样本离超平面边缘的距离和减少分类误差之间找到平衡点的程度。
30.步骤4：利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到cc攻击以及未检测到cc攻击。
31.具体的，还需要对当前网络流量数据进行数据处理，包括数据清洗和标准化处理，并从当前的网络流量数据中提取分类所需的特征。
实施例
32.本发明提出如图2所示的一种基于svm算法的cc攻击检测方法，包括以下步骤：步骤1：收集历史网络流量数据。
33.步骤2：对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源ip、请求频率、请求方法、http头以及https处理方式，利用所述特征构建训练集与测试集。
34.步骤3：利用所述训练集以及测试集，基于svm算法构建分类器，所述分类器用于区分正常流量和攻击流量。
35.步骤4：利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到
cc攻击以及未检测到cc攻击。
36.步骤5：根据所述检测结果采取对应的措施。当检测结果为检测到cc攻击时，发出警告；当检测结果为未检测到cc攻击时，跳转执行步骤4。
37.具体的，本实施中的步骤1~步骤4与实施例1相同。
实施例
38.本发明考虑到cc攻击的变异与更新，在本实施例中应用自适应算法，具体的：svm算法为自适应的svm算法。
39.本实施例会对网络数据进行实时监测，根据实际的流量数据调整算法，包括调整分类器的阈值以及用于区分流量的特征。在实际应用中，可以采取在负载均衡器以及简单的防火墙上进行监管。
实施例
40.基于相同发的发明构思，本发明提出如图3所示的一种基于svm算法的cc攻击检测系统，包括：数据收集单元：用于收集历史网络流量数据。
41.数据处理单元：用于对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源ip、请求频率、请求方法、http头以及https处理方式，利用所述特征构建训练集与测试集。
42.分类器构建单元：用于利用所述训练集以及测试集，基于svm算法构建分类器，所述分类器用于区分正常流量和攻击流量。
43.检测单元：用于利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到cc攻击以及未检测到cc攻击。
实施例
44.基于相同的发明构思，本发明提出如图4所示的一种基于svm算法的cc攻击检测系统，包括：数据收集单元：用于收集历史网络流量数据。
45.数据处理单元：用于对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源ip、请求频率、请求方法、http头以及https处理方式，利用所述特征构建训练集与测试集。
46.分类器构建单元：用于利用所述训练集以及测试集，基于svm算法构建分类器，所述分类器用于区分正常流量和攻击流量。
47.检测单元：用于利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到cc攻击以及未检测到cc攻击。
48.警告单元：用于根据所述检测结果采取对应的措施。当检测结果为检测到cc攻击时，用于发出警告；当检测结果为未检测到cc攻击时，用于将执行指令发送至所述检测单元。
49.本技术通过分类器来对网路流量进行分类，通过区分出正常流量与攻击流量，实
现对cc攻击的检测。本发明不仅能够检测出使用单一ip进行攻击的cc攻击，还能有效检测出使用大量不同ip进行攻击的cc攻击，并且考虑了cc攻击的变异性。可见本发明提出的检测方法以及系统的适用范围较广，能够有效地保护网络的安全运行。
50.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
51.在本技术所提供的实施例中，应该理解到，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元可结合为一个单元，一个单元可拆分为多个单元，或一些特征可以忽略等。
52.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

技术特征：
1.一种基于svm算法的cc攻击检测方法，其特征在于，包括以下步骤：步骤1：收集历史网络流量数据；步骤2：对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源ip、请求频率、请求方法、http头以及https处理方式，利用所述特征构建训练集与测试集；步骤3：利用所述训练集以及测试集，基于svm算法构建分类器，所述分类器用于区分正常流量和攻击流量；步骤4：利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到cc攻击以及未检测到cc攻击。2.根据权利要求1所述的一种基于svm算法的cc攻击检测方法，其特征在于，还包括以下步骤：步骤5：根据所述检测结果采取对应的措施；当检测结果为检测到cc攻击时，发出警告；当检测结果为未检测到cc攻击时，跳转执行步骤4。3.根据权利要求2所述的一种基于svm算法的cc攻击检测方法，其特征在于，所述步骤1，还包括：收集历史网络流量数据，并对所述历史网络流量数据进行数据清洗和标准化处理。4.根据权利要求3所述的一种基于svm算法的cc攻击检测方法，其特征在于，所述步骤3，包括以下步骤：步骤301：确定svm算法采用线性核函数；步骤302：利用所述训练集中标记好的数据样本，基于svm算法训练分类器；步骤303：利用所述测试集中标记好的数据样本评估所述步骤302中的分类器的性能，根据评估指标对所述步骤302中的分类器进行参数调整。5.根据权利要求4所述的一种基于svm算法的cc攻击检测方法，其特征在于，所述步骤303中的评估指标，包括：分类器的精确率和召回率。6.根据权利要求4所述的一种基于svm算法的cc攻击检测方法，其特征在于，所述步骤303中的参数调整，包括：c值，所述c值决定了对错误分类样本的敏感程度。7.根据权利要求3所述的一种基于svm算法的cc攻击检测方法，其特征在于，所述步骤3中的svm算法，还包括：所述svm算法为自适应的svm算法。8.一种基于svm算法的cc攻击检测系统，其特征在于，包括：数据收集单元：用于收集历史网络流量数据；数据处理单元：用于对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源ip、请求频率、请求方法、http头以及https处理方式，利用所述特征构建训练集与测试集；分类器构建单元：用于利用所述训练集以及测试集，基于svm算法构建分类器，所述分类器用于区分正常流量和攻击流量；
检测单元：用于利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到cc攻击以及未检测到cc攻击。9.根据权利要求8所述的一种基于svm算法的cc攻击检测系统，其特征在于，还包括：警告单元：用于根据所述检测结果采取对应的措施；当检测结果为检测到cc攻击时，用于发出警告；当检测结果为未检测到cc攻击时，用于将执行指令发送至所述检测单元。

技术总结
本发明提出一种基于SVM算法的CC攻击检测方法及系统，所述方法包括以下步骤：步骤1：收集历史网络流量数据；步骤2：对所述历史网络流量数据进行特征提取，提取出用于流量分类的特征值，包括请求源IP、请求频率、请求方法、HTTP头以及HTTPS处理方式，利用所述特征构建训练集与测试集；步骤3：利用所述训练集以及测试集，基于SVM算法构建分类器，所述分类器用于区分正常流量和攻击流量；步骤4：利用所述分类器检测当前流量，得到检测结果，所述检测结果包括检测到CC攻击以及未检测到CC攻击。本申请通过分类器来对网路流量进行分类，通过区分出正常流量与攻击流量，实现对CC攻击的检测，保证网络能够安全稳定地运行。网络能够安全稳定地运行。网络能够安全稳定地运行。


技术研发人员：凌颖 黎新 宾冬梅 杨春燕 韩松明 卢杰科 明少锋 唐福川 张龙飞 黄伟翔 崔志美
受保护的技术使用者：广西电网有限责任公司电力科学研究院
技术研发日：2023.05.08
技术公布日：2023/8/4