周 萍,高仲合

(曲阜師范大學(xué)信息科學(xué)與工程學(xué)院,山東日照276826)

一種新的DDoS攻擊檢測(cè)算法*

周 萍,高仲合

(曲阜師范大學(xué)信息科學(xué)與工程學(xué)院,山東日照276826)

為了準(zhǔn)確及時(shí)的進(jìn)行DDoS攻擊檢測(cè),提出了一種新的DDoS攻擊檢測(cè)算法。該算法在基于傳統(tǒng)的小波分析檢測(cè)DDoS攻擊的基礎(chǔ)上融入了主成分分析法和小波分析法中DDoS檢測(cè)方法,并根據(jù)該算法設(shè)計(jì)相應(yīng)的模型和算法來(lái)檢測(cè)DDoS攻擊,并且引入信息論中的信息熵對(duì)源IP地址的分散程度進(jìn)行度量,根據(jù)初始階段Hurst指數(shù)及熵值的變化自適應(yīng)地設(shè)定閾值以檢測(cè)攻擊的發(fā)生。實(shí)驗(yàn)結(jié)果表明,該方法大幅度的提高了DDoS檢測(cè)的速度。

DDoS攻擊檢測(cè) 小波分析 主成分解 熵值

0 引 言

隨著網(wǎng)絡(luò)不斷的規(guī)模化和復(fù)雜化,網(wǎng)絡(luò)中分布式拒絕服務(wù)(DDoS)攻擊頻繁的發(fā)生次數(shù)給正常網(wǎng)絡(luò)的運(yùn)行造成了越來(lái)越大的威脅。由于DDoS攻擊潛伏期長(zhǎng)、隱蔽性高、攻擊并發(fā)程度高,為了確保網(wǎng)絡(luò)運(yùn)行的安全性、高效性,怎樣能夠精確的、快速的實(shí)現(xiàn)DDoS攻擊的檢測(cè)逐漸成為學(xué)者們?nèi)找骊P(guān)注的熱點(diǎn)[1]。

文獻(xiàn)[2]研究表明正常的網(wǎng)絡(luò)流量具有自相似性。文獻(xiàn)[3-4]中研究表明了DDoS攻擊檢測(cè)中包含基于攻擊流特征和正常流特征的兩種檢測(cè)方法?；谖墨I(xiàn)[3-4]提到的兩種策略的缺點(diǎn),文獻(xiàn)[5]研究表明了在基于網(wǎng)絡(luò)流量的自相似的基礎(chǔ)上研究DDoS攻擊檢測(cè),指出小波分析法在DDoS的檢測(cè)中具有舉足輕重的地位。在文獻(xiàn)[6]通過(guò)R/S和小波分析法檢測(cè)DDoS攻擊的研究與比較中,得出小波分析法在DDoS檢測(cè)中的重要地位,同時(shí)也指出了不足之處:容易造成漏報(bào)率和誤報(bào)率,同時(shí)還會(huì)增加所需樣本占用的容量空間[7]。

總結(jié)了上述的缺點(diǎn),提出一種將主成分分析法和小波分析法相結(jié)合的方式進(jìn)行異常流量檢測(cè)技術(shù)的研究使得上述的缺點(diǎn)有所改善,同時(shí)增加了源IP地址分布熵,新方法能大幅提高檢測(cè)速度。

1 主成分分析法與信息熵

1.1 主成分分析法(PCA)

網(wǎng)絡(luò)數(shù)據(jù)包是包含著許多與其對(duì)應(yīng)的維度很高的一種網(wǎng)絡(luò)數(shù)據(jù)信息,這些信息之間有著線性或非線性的關(guān)系,只有通過(guò)主成分分析法才能實(shí)現(xiàn)找到這些數(shù)據(jù)信息之間存在的關(guān)系,進(jìn)而可以達(dá)到實(shí)現(xiàn)數(shù)據(jù)降低維度的目的。

1.2 信息熵

網(wǎng)絡(luò)流量中源IP地址的分散、集中程度受DDoS攻擊的影響很是嚴(yán)重,因此使用信息熵來(lái)對(duì)源IP地址的分散程度進(jìn)行衡量,信息熵值越大,源IP地址分布越分散,反之,源IP地址分布越集中,可以有效的區(qū)分出DDoS攻擊流。

定義3[5]定義一個(gè)包含n個(gè)分類隨機(jī)變量的樣本集X,將X的信息熵定義為:

樣本集X中第i類元素出現(xiàn)的概率用pi表示。n=1時(shí),此時(shí)E取最小值為0。當(dāng)用來(lái)表示樣本集X每個(gè)分類出現(xiàn)的概率,此時(shí)E取最大值為log2n。

2 新的DDoS攻擊檢測(cè)算法

運(yùn)用小波分析法檢測(cè)DDoS攻擊,通常通過(guò)設(shè)定門限值來(lái)檢測(cè)DDoS攻擊發(fā)生與否[10]。針對(duì)傳統(tǒng)異常流量檢測(cè)算法的不足,提出了融入主成分分析法和小波分析法的自適應(yīng)的DDoS檢測(cè)方法,設(shè)計(jì)采用該方法檢測(cè)DDoS攻擊的模型及算法,并且引入信息論中的信息熵對(duì)源IP地址的分散程度進(jìn)行度量,根據(jù)初始階段Husrt指數(shù)及熵值的變化自適應(yīng)地設(shè)定閾值以檢DDos測(cè)攻擊的發(fā)生。圖1給出了新算法對(duì)異常流量檢測(cè)的思想方法。我改進(jìn)的地方是首先將抓到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行維數(shù)約減,然后在進(jìn)行小波分析中的Hurs值求解,緊接著就是源IP地址分布值的計(jì)算,通過(guò)計(jì)算地址的分散程度適當(dāng)?shù)脑O(shè)置閾值,通過(guò)閾值查看異常流量的情況。

圖1 新算法的總體框架Fig.1 Overall framework of the new algorithm

2.1 算法描述

算法名稱:數(shù)據(jù)降維檢測(cè)算法

輸入:DArray1[];//存儲(chǔ)原始的網(wǎng)絡(luò)流量數(shù)據(jù)

DArray2[];//存儲(chǔ)異常的網(wǎng)絡(luò)流量數(shù)據(jù)

AnormalyFlag[];//異常標(biāo)示分類表

β;//權(quán)重

輸出:異常檢測(cè)結(jié)果

過(guò)程:

GetCurrentData();

While(每次的測(cè)試數(shù)據(jù)為n)

{Read netflow_data from DataBase;

Store in DArray1[];

While(AnormalyFlag[i]is not null,i++)

{PCA(β,Darray1,AnormalyFlag,Darray2);

Detect(AnormalyFlag,DArray2,β);}}

Function PCA(arg1,arg2,arg3,arg4)

{DArray2=Matrix(DArray);//對(duì)原始的數(shù)據(jù)進(jìn)行處理得到最后的相關(guān)矩陣,按照選取m值的標(biāo)準(zhǔn)對(duì)原始的數(shù)據(jù)特征進(jìn)行篩選(從求出的特征值中選出前m個(gè)所需要的最大特征值),放入DArray2中。}

Function Detect(arg1,arg2,arg3)

{按照AnormalyFlag的異常定義對(duì)DArray2進(jìn)行檢測(cè),即DArray2在經(jīng)過(guò)AnormalyFlag規(guī)定的異常值時(shí),當(dāng)出現(xiàn)波動(dòng)時(shí)修改β的增量和對(duì)PCA的回饋值并且將預(yù)測(cè)值與實(shí)際進(jìn)行比較,從而修改檢測(cè)的波動(dòng)區(qū)間,形成新的低維向量所組成的新矩陣。}

2.2 Hurst值的計(jì)算

小波分析法中對(duì)Hurst參數(shù)的求解涉及的方面有:小波種類和小波消失矩陣兩個(gè)方面的選擇。文獻(xiàn)[11]研究表明了當(dāng)且僅當(dāng)消失矩陣為3的時(shí)候Hurst值的計(jì)算效果最佳。

(1)對(duì)上面通過(guò)降維得到的矩陣z進(jìn)行小波分解。選擇Db3小波對(duì)序列x(z)進(jìn)行J級(jí)小波分解,并且選擇最大分解尺度。

ΦJ,k(z)為小波尺度函數(shù),是尺度空間的基函數(shù);φj,k(z)為小波函數(shù),是細(xì)節(jié)空間的基函數(shù);ax(J,k)為小波尺度系數(shù);dx(j,k)為小波系數(shù);

(2)對(duì)小波系數(shù)的提取。對(duì)矩陣z進(jìn)行小波分解算法進(jìn)行小波分解得到小波系數(shù)矩陣[d,L]

(3)對(duì)小波系數(shù)求解方差,當(dāng)i＜最大尺度時(shí)。

(4)求解Hurst的指數(shù)方法是通過(guò)擬合直線得以實(shí)現(xiàn)的。給定一條自變量為i,斜率采用2H+3的直線。計(jì)算Hurst的值,可以根據(jù)直線的斜率便得出該直線的形式如下:

2.3 E值的計(jì)算

定義4[11]SIP是一個(gè)包含n個(gè)各不相同的源IP地址分類隨機(jī)變量的樣本集,可以將樣本集SIP中源IP地址的分布熵定義成如下形式:

式(6)是樣本全部的觀測(cè)值,樣本值全取一個(gè)值時(shí)熵值取得最小值,樣本值全取不同值時(shí)熵值取得最大值。源IP地址分布熵的一般計(jì)算步驟:從源IP地址中提取要計(jì)算的地址序列sip(n)。對(duì)各個(gè)源IP地址出現(xiàn)概率分別進(jìn)行相應(yīng)的計(jì)算。對(duì)求出的概率求對(duì)數(shù),計(jì)算出相應(yīng)的部分熵。對(duì)求出的部分熵求和,計(jì)算出信息熵。

2.4 閾值的自適應(yīng)設(shè)置

傳統(tǒng)的DDoS的檢測(cè)是以采用固定的閾值作為檢測(cè)基準(zhǔn),實(shí)際的網(wǎng)絡(luò)流量是動(dòng)態(tài)的,不同的節(jié)點(diǎn)處的流量變化也會(huì)各不相同,這將會(huì)導(dǎo)致檢測(cè)異常網(wǎng)絡(luò)流量的不準(zhǔn)確性。因此提出采用閾值自適應(yīng)的方法來(lái)檢測(cè)發(fā)生DDoS攻擊,檢測(cè)到DDoS攻擊時(shí),參數(shù)Hurst值和E(SIP)會(huì)發(fā)生相應(yīng)的改變,需要為其設(shè)置相應(yīng)的閾值范圍。設(shè)置H值的取值范圍為,E值的取值范圍(0,lbn)[12]。

(1)H(Hurst)的計(jì)算

通過(guò)采集到的網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)的數(shù)據(jù)降維,獲取初始N個(gè)時(shí)間窗口內(nèi)計(jì)算得到的H值,設(shè)置H值為:

式中,Hmax是H值中的最大值,是平均值。

(2)E(SIP)的計(jì)算

通過(guò)采集到的網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)的數(shù)據(jù)降維,提取取前n個(gè)計(jì)算出來(lái)的E(SIP)值,并將E(SIP)設(shè)置為:

將Emax定義為E(SIP)值中的最大值,將Emin定義為E(SIP)中的最小值。

3 實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)使用互聯(lián)網(wǎng)實(shí)際測(cè)量數(shù)據(jù)對(duì)異常流量檢測(cè)方法進(jìn)行實(shí)驗(yàn)驗(yàn)證?；ヂ?lián)網(wǎng)中實(shí)際的測(cè)量數(shù)據(jù)是通過(guò)Wireshark軟件對(duì)數(shù)據(jù)集就行獲取、分析得出的,這其中包括獲取數(shù)據(jù)的時(shí)間、源IP地址和包大小等三個(gè)字段的內(nèi)容。截取了其中500 s的數(shù)據(jù),仿真平臺(tái)為Matlab7.0。通過(guò)實(shí)驗(yàn),驗(yàn)證了本論文提出的異常流量檢測(cè)方法在保證異常流量正確性同時(shí),具有自適應(yīng)性和資源利用率高等性能。

實(shí)驗(yàn)一設(shè)置時(shí)間為500 s,時(shí)間間隔為10 s。數(shù)據(jù)集中攻擊發(fā)生在第27個(gè)時(shí)間間隔內(nèi)計(jì)算得到的H和E值變化情況分別如圖2和圖3所示。

圖2 實(shí)驗(yàn)一中H值的變化情況Fig.2 Changes ofHvalue in the experiment

圖3 實(shí)驗(yàn)一中E值的變化情況Fig.3 Changes ofEvalue in the experiment

實(shí)驗(yàn)二:圖4、圖5中設(shè)置的時(shí)間t=400 s。從圖中可以看出數(shù)據(jù)集中發(fā)生在的坐標(biāo)上為25的時(shí)間點(diǎn)上,具體的H和E值的變化如圖4和圖5所示。

圖4 實(shí)驗(yàn)二中H值的變化情況Fig.4 Changes ofHvalue in the experiment

圖5 實(shí)驗(yàn)二中E值的變化情況Fig.5 Changes of E value in the experiment

通過(guò)以圖4和圖5可以很清楚的了解到在截取不同的時(shí)間中,發(fā)生數(shù)據(jù)攻擊的時(shí)間間隔是不一樣的。新的DDoS攻擊檢測(cè)算法通過(guò)監(jiān)測(cè)Hurst值和E(SIP)的變化來(lái)對(duì)其進(jìn)行相應(yīng)異常流量的檢測(cè)是可行的,相比傳統(tǒng)的僅通過(guò)固定的閾值或是單一的監(jiān)測(cè)方法檢測(cè)的結(jié)果更加準(zhǔn)確。

4 結(jié) 語(yǔ)

提出了一種新的的DDoS攻擊檢測(cè)算法。該算法在基于傳統(tǒng)的小波分析檢測(cè)DDoS攻擊的基礎(chǔ)上融入了主成分分析法和小波分析法中特有的DDoS檢測(cè)方法,并根據(jù)該算法設(shè)計(jì)相應(yīng)的模型和算法來(lái)檢測(cè)DDoS攻擊,并且引入信息論中的信息熵對(duì)源IP地址的分散程度進(jìn)行度量,根據(jù)初始階段Husrt指數(shù)及熵值的變化自適應(yīng)地設(shè)定閾值以檢測(cè)攻擊的發(fā)生。實(shí)驗(yàn)結(jié)果表明,該方法大幅度的提高了DDoS檢測(cè)的速度。下一步的想法是,DDoS檢測(cè)方法是不是可以和Bloom Filter數(shù)據(jù)結(jié)構(gòu)相結(jié)合,并且將哈希函數(shù)引入其中,使DDoS攻擊檢測(cè)算法的效率更高。

[1] 周穎,焦程波,陳慧楠,等.基于流量行為特征的DoS&DDoS攻擊檢測(cè)和異常流識(shí)別[J].計(jì)算機(jī)應(yīng)用, 2013,33(10):1-5.

ZHOU ying,JIAO Cheng-bo,CHEN Hui-nan,et al. Traffic Behavior Feature based DoS&DDoS Attack Detection and Abnormal Flow Identification for Backbone Networks[J].Computer Application,2013,33(10):1-5.

[2] 呂良福,張加萬(wàn),張丹.基于改進(jìn)小波分析的DDoS攻擊檢測(cè)方法[J].計(jì)算機(jī)工程,2010,36(06):1-4.

LV Liang-fu,ZHANG Jia-wan,ZHANG Dan.DDoS Attack Detection Method Based on Improved Wavelet Analysis[J].Computer Project,2010,36(06):1-4.

[3] 劉運(yùn),蔡志平,鐘平,等.基于條件隨機(jī)場(chǎng)的DDoS攻擊檢測(cè)方法[J].軟件學(xué)報(bào),2011,22(08):1897-1910.

LIU Yun,CAI Zhi-ping,ZHONG Ping.DDoS Attack Detection Method based on Conditional Random Fields[J]. Journal of Software,2011,22(08):1897-1910.

[4] 嚴(yán)芬,王佳佳,趙金鳳,等.DDoS攻擊檢測(cè)綜述[J].計(jì)算機(jī)應(yīng)用研究,2008,25(04):966-969.

YAN Fen,WANG Jia-jia,ZHAO Jin-feng.Overview of DDoS Attack Detection[J].Computer Application, 2008,25(04):966-969.

[5] 任勛益,王汝傳,王海艷.基于自相似檢測(cè)DDoS攻擊的小波分析方法[J].通信學(xué)報(bào),2006,27(05): 6-11.

REN Xun-yi,WANG Ru-chuan,WANG Hai-yan. Wavelet Analysis Method for Detection of DDoS Attack based on Self-Similar[J].Computer Application,2006, 27(05):6-11.

[6] 張登銀,任勛益,王汝傳.R/S和小波分析法檢測(cè)DDoS攻擊的研究與比較[J].南京郵電大學(xué)報(bào),2006, 26(06):48-51.

ZHANG Deng-yin,ZHANG Xun-yi,WANG Ru-zhuan. Study and Comparison of R/S and Wavelet Analysis for DDoS Attack Detection[J].Journal of Nanjing University of Posts and Telecommunications,2006,26(06):48-51.

[7] 呂良福.DoS攻擊的檢測(cè)及網(wǎng)絡(luò)安全可視化研究[D].天津:天津大學(xué),2008.

LV Liang-fu.Research on DDoS Attacks Detection and Related Network Security Visualization Technique[D]. Tianjin:Tianjin University,2008.

[8] 王永強(qiáng).基于子空間和流形的降維算法研究[D].合肥:中國(guó)科技大學(xué),2006.

WANG Yong-qiang.Study on Dimension Reduction Algorithm based on Subspace and Manifold[D].Hefei:U-niversity of Science and Technology of China,2006.

[9] 梁循.數(shù)據(jù)挖掘算法與應(yīng)用[M].北京:北京大學(xué)出版社,2006.

LIANG Xun.Data Mining Algorithms and Applications [M]Beijing:Peking University Publishing House,2006.

[10] 譚曉玲.基于小波變換的入侵檢測(cè)方法[J].重慶三峽學(xué)院學(xué)報(bào),2005,21(03):28-30.

TAN Xiao-ling.Intrusion Detection Method based on Wavelet Transform[J].Journal of Chongqing Three Gorges University,2005,21(03):28-30.

[11] 張錦平.DDoS攻擊檢測(cè)及響應(yīng)技術(shù)的研究[D].燕山:燕山大學(xué),2012.

ZHANG Jin-ping.Research on DDoS Attack Detection and Response Technology[D].Yanjing:University On The Mountain of Swallows,2012.

[12] 燕發(fā)文,黃敏,王中飛.基于BF算法的網(wǎng)絡(luò)異常流量行為檢測(cè)[J].計(jì)算機(jī)工程,2013,39(07):1-5.

YAN Fa-wen,HUANG min,WANG Zhong-fei.Network Abnormal Flow Behavior Detection Based on BF Algorithm[J].Computer Project,2013,39(07):1-5.

ZHOU ping(1988-),female,graduate student,majoring in computer network and communication.

高仲合(1961—),男,教授,碩士生導(dǎo)師,主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與通信。

GAO Zhong-he(1961-),male,professor,M.Sci.tutor, mainly working at computer networks and communication.

A New DDoS Attack Detection Algorithm

ZHOU Ping1,GAO Zhong-he2
(School of Information Science and Engineering,Qufu Normal University,Rizhao Shandong 276826,,China)

In order to detect the DDoS attacks accurately and timely,a new DDoS attack detection algorithm is proposed.The algorithm,based on traditional wavelet analysis method,integrates the DDoS detection method of principal component analysis and wavelet analysis,and the corresponding model and algorithm are built up to detect the DDoS attack based on this algorithm.The detection method could be applied to design a model and an algorithm,and the information entropy of information theory is also used to measure the dispersion degree of the source IP address.The proposed algorithm could set the threshold self -adaptively according to the initial-stage variation of Husrt index and the entropy,thus to detect the occurrence of attacks.Experimental result shows that this method could significantly improve the detection rate of DDoS attacks.

DDoS attack detection;wavelet decomposition;principal component analysis;entropy value

TP311.1

A

1002-0802(2014)09-1079-05

10.3969/j.issn.1002-0802.2014.09.021

周 萍(1988—),女,碩士研究生,主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與通信;

2014-05-28;

2014-06-28 Received date：2014-05-28;Revised date：2014-06-28