陳世文，郭通，黃萬(wàn)偉

國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州 450002

基于快速分?jǐn)?shù)階傅氏變換的DDoS攻擊檢測(cè)

陳世文，郭通，黃萬(wàn)偉

國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州 450002

1 引言

分布式拒絕服務(wù)攻擊（DDoS）[1]利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的漏洞，向攻擊目標(biāo)發(fā)送大量服務(wù)請(qǐng)求，占用網(wǎng)絡(luò)帶寬資源和主機(jī)資源，是影響互聯(lián)網(wǎng)運(yùn)行安全最主要的威脅之一[2]。DDoS攻擊具有易于發(fā)起、并發(fā)程度高、隱蔽性強(qiáng)等特點(diǎn)，給傳統(tǒng)的基于特征匹配的檢測(cè)與應(yīng)對(duì)手段帶來(lái)很大困難。因此，如何準(zhǔn)確有效地檢測(cè)DDoS攻擊是一個(gè)需要深入研究的問(wèn)題。

由于DDoS攻擊報(bào)文本身并不攜帶任何惡意代碼，在內(nèi)容上完全合法，很難提取到DDoS攻擊固有的“指紋”，因此，典型的特征匹配等誤用檢測(cè)方法對(duì)于DDoS攻擊漏報(bào)率高，不能很好地發(fā)揮作用，故通常采用基于異常的檢測(cè)方法，通過(guò)比較待測(cè)特征與正常模型的偏離程度來(lái)識(shí)別DDoS攻擊?；诋惓５臋z測(cè)方法主要包括基于分布特性的檢測(cè)、基于流量統(tǒng)計(jì)異常的檢測(cè)等方法。

基于分布特性的檢測(cè)方法利用DDoS攻擊存在的分布特性，如源IP地址趨于分散、目標(biāo)IP地址相對(duì)集中等，已提出了監(jiān)控源IP地址、源目的IP地址對(duì)、流連接密度FCD、流特征分布熵TFDE[3-6]等多種方法，這些方法針對(duì)性強(qiáng)、檢測(cè)精度較高，但特征提取與預(yù)處理過(guò)程復(fù)雜，普適性不強(qiáng)，在檢測(cè)算法上通常還需要采用決策樹(shù)、支持向量機(jī)等機(jī)器學(xué)習(xí)方法，實(shí)現(xiàn)復(fù)雜度高。基于流量統(tǒng)計(jì)異常的檢測(cè)方法利用攻擊時(shí)流量的突發(fā)性增長(zhǎng)特性，Blazek[7]通過(guò)監(jiān)控網(wǎng)絡(luò)流量與正常流量的偏移來(lái)識(shí)別攻擊，方法簡(jiǎn)單但精度不高，無(wú)法區(qū)分正常的大流量和攻擊流量，因而誤報(bào)率較高。

研究表明，網(wǎng)絡(luò)流量具有自相似性和長(zhǎng)相關(guān)性[8-9]，而DDoS攻擊會(huì)影響網(wǎng)絡(luò)流量的自相似性，使表征網(wǎng)絡(luò)流量突發(fā)特性的Hurst指數(shù)產(chǎn)生明顯變化。通常，網(wǎng)絡(luò)流量的Hurst指數(shù)在0.5～1之間，Hurst指數(shù)越大說(shuō)明網(wǎng)絡(luò)的自相似程度越高，突發(fā)性也越強(qiáng)，當(dāng)DDoS攻擊發(fā)生時(shí)，攻擊數(shù)據(jù)包將降低網(wǎng)絡(luò)的自相似性，引起Hurst指數(shù)降低，完全阻塞時(shí)流量將趨向于泊松分布過(guò)程，Hurst指數(shù)變?yōu)?.5[10]，已有的Hurst指數(shù)估計(jì)方法包括方差-時(shí)間（V-T）法、R/S（Rescaled Range）法、周期圖法、Whittle估計(jì)法和小波分析法等[11]。其中，以小波分析法精度高，速度快，但實(shí)現(xiàn)過(guò)程繁瑣，復(fù)雜度高。

近年來(lái)，分?jǐn)?shù)階傅里葉變換（Fractional Fourier Transform，F(xiàn)rFT）[12]以其具有的時(shí)頻旋轉(zhuǎn)特性在信號(hào)處理和通信技術(shù)等領(lǐng)域得到了廣泛的應(yīng)用[13-16]，Chen等[14]基于FrFT對(duì)網(wǎng)絡(luò)的自相似性進(jìn)行了分析，并引入局部分析的方法進(jìn)行Hurst指數(shù)估計(jì)，估計(jì)精度高，但該方法的計(jì)算復(fù)雜度為O(N2)，無(wú)法用于實(shí)際流量的Hurst指數(shù)求解。針對(duì)以上問(wèn)題，本文提出了一種基于快速分?jǐn)?shù)階傅里葉變換（FFrFT）求解Hurst指數(shù)的DDoS攻擊檢測(cè)方法，通過(guò)監(jiān)測(cè)Hurst指數(shù)變化閾值判斷是否存在DDoS攻擊。在DARPA2000數(shù)據(jù)集和不同強(qiáng)度TFN2K攻擊流量數(shù)據(jù)集上進(jìn)行了DDoS攻擊檢測(cè)實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，基于FFrFT的DDoS攻擊檢測(cè)方法有效，相比于常用的小波方法，該方法的計(jì)算復(fù)雜度低，實(shí)現(xiàn)簡(jiǎn)單且精度更高，能夠檢測(cè)強(qiáng)度較弱的DDoS攻擊，有效降低漏報(bào)、誤報(bào)率。

2 基于FFrFT的DDoS攻擊檢測(cè)方法

2.1 FFrFT的定義

分?jǐn)?shù)階Fourier變換是對(duì)經(jīng)典Fourier變換的推廣，分?jǐn)?shù)階Fourier域可以理解為一種統(tǒng)一的時(shí)頻變換域[12]。

定義1信號(hào)x(t)的a階分?jǐn)?shù)階Fourier變換定義為：

n∈?，α=aπ/2，a為分?jǐn)?shù)階Fourier變換的階數(shù)，當(dāng)a=1時(shí)，F(xiàn)rFT即為標(biāo)準(zhǔn)Fourier變換。FrFT簡(jiǎn)記為Fa。

其中(Fa(g)Fa(h))表示位向量乘法，式（2）FrFT的實(shí)現(xiàn)需要兩次快速Fourier變換和一次FFT逆運(yùn)算，其計(jì)算復(fù)雜度為O(NlbN)[13，16]。

2.2 Hurst指數(shù)估計(jì)

由文獻(xiàn)[14]可知，連續(xù)小波變換有：

式（3）建立FFrFT與小波變換之間的聯(lián)系。

通過(guò)采用Mallat算法[17]，可得：

由式（3）和式（4），可以得到FFrFT能量譜E[g2(j)]的對(duì)數(shù)尺度關(guān)系為：

為排除采樣噪聲、序列中的周期成份等因素對(duì)Hurst指數(shù)估計(jì)準(zhǔn)確性的影響，采用確定的分形高斯噪聲序列（FGN），對(duì)比V-T、R/S、小波、FrFT LASS[14]和FFrFT五種方法進(jìn)行Hurst指數(shù)估計(jì)的準(zhǔn)確性，結(jié)果如表1所示。

表1 不同方法對(duì)FGN序列的Hurst指數(shù)估計(jì)結(jié)果

由表1可知，F(xiàn)FrFT方法的Hurst指數(shù)估計(jì)精度優(yōu)于小波等其他方法。同時(shí)，V-T、R/S、小波、FrFT LASS[14]和FFrFT五種方法的計(jì)算復(fù)雜度分別為O(N)、O(N2)、O(NlbN)、O(N2)和O(NlbN)，可知FFrFT方法計(jì)算復(fù)雜度較低，而且實(shí)現(xiàn)簡(jiǎn)單。因此，綜合考慮估計(jì)精度、實(shí)現(xiàn)復(fù)雜度與效率，F(xiàn)FrFT方法優(yōu)于小波等其他Hurst指數(shù)估計(jì)方法。

2.3 DDoS攻擊檢測(cè)方法

基于FFrFT的DDoS攻擊檢測(cè)系統(tǒng)框圖如圖1所示。

在訓(xùn)練階段，系統(tǒng)對(duì)離線數(shù)據(jù)進(jìn)行特征提取，即提取每個(gè)數(shù)據(jù)包的到達(dá)時(shí)間與數(shù)據(jù)包大小，然后進(jìn)行數(shù)據(jù)預(yù)處理，按照不同的時(shí)間尺度對(duì)給定時(shí)間間隔內(nèi)的數(shù)據(jù)包大小完成統(tǒng)計(jì)合并，并利用FFrFT求解Hurst指數(shù)，分別采用正常流量與攻擊流量數(shù)據(jù)進(jìn)行訓(xùn)練，得到Hurst指數(shù)的變化閾值，取變化閾值的中心點(diǎn)作為DDoS攻擊的判決門(mén)限。

圖1 Hurst指數(shù)估計(jì)DDoS攻擊檢測(cè)系統(tǒng)框圖

在檢測(cè)階段，對(duì)被監(jiān)控流量進(jìn)行特征提取、數(shù)據(jù)預(yù)處理并計(jì)算Hurst指數(shù)，與通過(guò)訓(xùn)練設(shè)定的判決門(mén)限相比較，當(dāng)Hurst指數(shù)下降超過(guò)設(shè)置門(mén)限閾值時(shí)，判定發(fā)生了DDoS攻擊。

采用FFrFT估計(jì)Hurst指數(shù)的具體算法流程如下：

輸入?yún)?shù)：原始數(shù)據(jù)X[n]，分?jǐn)?shù)階Fourier變換階數(shù)a，Hurst指數(shù)門(mén)限θ。

步驟1利用FFT實(shí)現(xiàn)原始數(shù)據(jù)的快速分?jǐn)?shù)階Fourier變換。

步驟2計(jì)算實(shí)現(xiàn)FrFT后原始數(shù)據(jù)的能量譜E[g2(j)]。

步驟3根據(jù)G(j)與能量譜的對(duì)數(shù)關(guān)系獲得G(j)。

步驟4對(duì)不同的尺度區(qū)間進(jìn)行方差擬合度檢驗(yàn)，得到最優(yōu)的尺度區(qū)間[j1,j2]。

步驟5根據(jù)最優(yōu)尺度區(qū)間進(jìn)行參數(shù)估計(jì)。

步驟6利用公式（6）計(jì)算Hurst指數(shù)估計(jì)值。

步驟7計(jì)算Δh=Hn-Ha，如果|Δh|＞θ，判斷DDoS攻擊。

3 實(shí)驗(yàn)結(jié)果分析

3.1 實(shí)驗(yàn)數(shù)據(jù)集

采用MAWI數(shù)據(jù)集[18]中的一部分?jǐn)?shù)據(jù)作為正常背景流量（2011/10/14），記為Dataset1，MIT Lincoln實(shí)驗(yàn)室LLS_ DDoS2.0.2[19]數(shù)據(jù)集作為攻擊數(shù)據(jù)，記為Dataset2。Dataset2隨時(shí)間變化的流量如圖2所示。

3.2 DDoS攻擊檢測(cè)

從Dataset1和Dataset2中分別提取100 s數(shù)據(jù)進(jìn)行混合，其中從Dataset2的236 753個(gè)數(shù)據(jù)包中提取的內(nèi)容包含攻擊數(shù)據(jù)段。利用FFrFT算法求解Hurst指數(shù)，實(shí)驗(yàn)結(jié)果如圖3所示。

由圖3可知，正常流量下的Hurst指數(shù)基本穩(wěn)定，發(fā)生DDoS攻擊時(shí)，F(xiàn)FrFT測(cè)得的Hurst指數(shù)急劇降低，設(shè)定Hurst指數(shù)變化門(mén)限θ=0.25，可以檢測(cè)到在25～33 s時(shí)間段內(nèi)發(fā)生了DDoS攻擊。

圖2 DARPA2000數(shù)據(jù)集LLS_DDoS2.0.2流量

圖3 DDoS攻擊流量數(shù)據(jù)的Hurst指數(shù)估計(jì)

3.3 檢測(cè)性能對(duì)比

采用DDoS攻擊工具TFN2K每隔10 s針對(duì)攻擊目標(biāo)產(chǎn)生不同強(qiáng)度的攻擊數(shù)據(jù)，并用WinDump捕獲后與Dataset1進(jìn)行混合，在95 s時(shí)間內(nèi)形成9次攻擊，采用FFrFT方法和小波方法對(duì)其進(jìn)行DDoS攻擊檢測(cè)，實(shí)驗(yàn)結(jié)果分別如圖4（a）和圖4（b）所示。

圖4 TFN2K不同強(qiáng)度DDoS攻擊的檢測(cè)結(jié)果對(duì)比

圖4（a）采用FFrFT求解Hurst指數(shù)共檢測(cè)到了9次DDoS攻擊，而圖4（b）采用小波求解Hurst指數(shù)只檢測(cè)到了8次DDoS攻擊，在50 s時(shí)強(qiáng)度較弱的DDoS攻擊未被發(fā)現(xiàn)。比較圖4（a）和圖4（b）可見(jiàn)，F(xiàn)FrFT方法的攻擊檢測(cè)精度優(yōu)于小波方法。

4 結(jié)束語(yǔ)

本文提出了一種新的利用網(wǎng)絡(luò)流量自相似性變化檢測(cè)DDoS攻擊的方法，該方法利用快速分?jǐn)?shù)階Fourier變換求解Hurst指數(shù)，通過(guò)監(jiān)測(cè)Hurst指數(shù)變化閾值判斷是否存在DDoS攻擊。在DARPA2000數(shù)據(jù)集和不同強(qiáng)度TFN2K攻擊流量數(shù)據(jù)集上進(jìn)行了DDoS攻擊檢測(cè)實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，基于FFrFT的DDoS攻擊檢測(cè)方法有效，相比于常用的小波方法，該方法的計(jì)算復(fù)雜度低、Hurst指數(shù)估計(jì)精度更高，能夠檢測(cè)強(qiáng)度較弱的DDoS攻擊。因此，基于FFrFT的DDoS攻擊檢測(cè)方法可有效降低漏報(bào)、誤報(bào)率。下一步的研究將考慮如何與機(jī)器學(xué)習(xí)算法相結(jié)合，以實(shí)現(xiàn)對(duì)實(shí)時(shí)網(wǎng)絡(luò)流量DDoS攻擊的高效檢測(cè)。

[1]Hakem B，Geert D.Analyzing well-known countermeasures against distributed denial of service attacks[J].Computer Communications，2012，35（11）：1312-1332.

[2]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2012年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[EB/OL].[2013-03-20].http：//www.cert.org. cn/publish/main/upload/File/201303212012CNCERTreport.pdf.

[3]Peng T，Leckie C，Ramamohanarao K.Proactively detecting distributed denial of service attacks using source ip address monitoring[C]//Proc of the Third International IFIP-TC6 Networking Conference，2004：771-782.

[4]孫知信，李清東.基于源目的IP地址對(duì)數(shù)據(jù)庫(kù)的防范DDoS攻擊策略[J].軟件學(xué)報(bào)，2007，18（10）：2613-2623.

[5]孫慶東，張德運(yùn)，高鵬.基于時(shí)間序列分析的分布式拒絕服務(wù)攻擊檢測(cè)[J].計(jì)算機(jī)學(xué)報(bào)，2005，28（5）：767-773.

[6]Lakhina A，Crovella M，Diot C.Mining anomalies using traffic feature distributions[C]//Proc of ACM SIGCOMM2005，Philadelphia，Pennsylvania，USA，2005.

[7]Blazek R B，Kim H，Rozovskii B，et al.A novel approach to detection of“denial-of-service”attacks via adaptive sequential and batch sequential change-point detection methods[C]// Proc of IEEE Systems，Man and Cybernetics Information Assurance Workshop，2001.

[8]Gupta H，Ribeiro V J，Mahanti A.A longitudinal study of small-time scaling behavior of Internet traffic[C]//LNCS 6091：Networking 2010，2010：83-95.

[9]Leland W E，Taqqu M S，Willinger W，et al.On the self-similar nature of Ethernet traffic[J].ACM SIGCOMM Computer Communication Review，1993，23（4）：183-193.

[10]任勛益，王汝傳，王海艷.基于自相似檢測(cè)DDoS攻擊的小波分析方法[J].通信學(xué)報(bào)，2006，27（5）：6-11.

[11]Barulescu A，Serban C，Maftel C.Evaluation of Hurst exponent for precipitation time series[J].Latest Trends on Computers，2010，2：590-595.

[12]Almeida L B.The fractional Fourier transform and time-frequency representations[J].IEEE Trans on Signal Processing，1994，42（11）：3084-3091.

[13]Bultheel A，Martinez Sulbaran H E.Computation of the fractional Fourier transform[J].Applied and Computational Harmonic Analysis，2004，16（3）：182-202.

[14]Chen Yangquan，Sun Rongtao，Zhou Anhong.An improved Hurst parameter estimator based on fractional Fourier transform[J].Telecommun System，2010，43：197-206.

[15]Ciflikli C，Gezer A.Self similarity analysis via fractional Fourier transform[J].Simulation Modeling Practice and Theory，2011，19：986-995.

[16]Campos R G，Rico-Melgoza J，Chavez E.A new formulation of the fast fractional Fourier transform[J].SIAM Journal on Scientific Computing，2012，34（2）：1110-1125.

[17]Percival D B，Walden A T.Wavelet methods for time series analysis[D].New York，USA：Cambridge University Press，2006：56-70.

[18]MAWI working group traffic archive[EB/OL].[2010-12-01]. http：//tracer.csl.sony.co.jp/mawi.

[19]MIT Lincoln Laboratory.2000 DARPA intrusion detection evaluation data set[EB/OL].[2010-12-01].http：//www.ll.mit.edu/ mission/communications/cyber/CSTcorpora/ideval/data/2000data. html.

CHEN Shiwen,GUO Tong,HUANG Wanwei

China National Digital Switching System Engineering and Technological R&D Center,Zhengzhou 450002,China

Aiming at the low detecting accuracy,high training complexity and poor adaptability in DDoS attacks detection methods, a new DDoS attack model based on fast fractional Fourier transform is proposed.It utilizes the principle that DDoS attacks would impact the self-similarity of the traffic,then detects DDoS attacks by monitoring the change range of the Hurst parameter.In DARPA2000 dataset and TFN2K attacks traffic under different intensity,this paper compares the new algorithm with wavelet method and etc.The experimental results reveal that the method has lower compute complexity and better detecting accuracy.

distributed denial of service;fast fractional Fourier transform;self-similarity;Hurst parameter

針對(duì)傳統(tǒng)檢測(cè)方法存在精度低、訓(xùn)練復(fù)雜度高、適應(yīng)性差的問(wèn)題，提出了基于快速分?jǐn)?shù)階Fourier變換估計(jì)Hurst指數(shù)的DDoS攻擊檢測(cè)方法。利用DDoS攻擊對(duì)網(wǎng)絡(luò)流量自相似性的影響，通過(guò)監(jiān)測(cè)Hurst指數(shù)變化閾值判斷是否存在DDoS攻擊。在DARPA2000數(shù)據(jù)集和不同強(qiáng)度TFN2K攻擊流量數(shù)據(jù)集上進(jìn)行了DDoS攻擊檢測(cè)實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，基于FFrFT的DDoS攻擊檢測(cè)方法有效，相比于常用的小波方法，該方法計(jì)算復(fù)雜度低，實(shí)現(xiàn)簡(jiǎn)單，Hurst指數(shù)估計(jì)精度更高，能夠檢測(cè)強(qiáng)度較弱的DDoS攻擊，可有效降低漏報(bào)、誤報(bào)率。

分布式拒絕服務(wù)；快速分?jǐn)?shù)階Fourier變換；自相似性；Hurst指數(shù)

A

TP393.0

10.3778/j.issn.1002-8331.1303-0020

CHEN Shiwen,GUO Tong,HUANG Wanwei.DDoS attack detection based on fast fractional Fourier transform.Computer Engineering and Applications,2013,49（24）：4-7.

國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展規(guī)劃（973）（No.G2012CB315900）。

陳世文（1974—），男，博士研究生，CCF會(huì)員，研究領(lǐng)域?yàn)閷拵畔⒕W(wǎng)絡(luò)，機(jī)器學(xué)習(xí)；郭通（1984—），男，博士生，研究領(lǐng)域?yàn)閷拵畔⒕W(wǎng)絡(luò)與高速業(yè)務(wù)管控等；黃萬(wàn)偉（1979—），男，博士，講師，研究領(lǐng)域?yàn)閷拵畔⒕W(wǎng)絡(luò)。E-mail：ndsccsw@126.com

2013-03-04

2013-07-24

1002-8331（2013）24-0004-04

CNKI出版日期：2013-09-26http://www.cnki.net/kcms/detail/11.2127.TP.20130926.1645.013.html