周 萍,高仲合

(曲阜師范大學(xué)信息科學(xué)與工程學(xué)院,山東日照276826)

一種新的DDoS攻擊檢測算法*

周 萍,高仲合

(曲阜師范大學(xué)信息科學(xué)與工程學(xué)院,山東日照276826)

為了準(zhǔn)確及時(shí)的進(jìn)行DDoS攻擊檢測,提出了一種新的DDoS攻擊檢測算法。該算法在基于傳統(tǒng)的小波分析檢測DDoS攻擊的基礎(chǔ)上融入了主成分分析法和小波分析法中DDoS檢測方法,并根據(jù)該算法設(shè)計(jì)相應(yīng)的模型和算法來檢測DDoS攻擊,并且引入信息論中的信息熵對源IP地址的分散程度進(jìn)行度量,根據(jù)初始階段Hurst指數(shù)及熵值的變化自適應(yīng)地設(shè)定閾值以檢測攻擊的發(fā)生。實(shí)驗(yàn)結(jié)果表明,該方法大幅度的提高了DDoS檢測的速度。

DDoS攻擊檢測 小波分析 主成分解 熵值

0 引 言

隨著網(wǎng)絡(luò)不斷的規(guī)?；蛷?fù)雜化,網(wǎng)絡(luò)中分布式拒絕服務(wù)(DDoS)攻擊頻繁的發(fā)生次數(shù)給正常網(wǎng)絡(luò)的運(yùn)行造成了越來越大的威脅。由于DDoS攻擊潛伏期長、隱蔽性高、攻擊并發(fā)程度高,為了確保網(wǎng)絡(luò)運(yùn)行的安全性、高效性,怎樣能夠精確的、快速的實(shí)現(xiàn)DDoS攻擊的檢測逐漸成為學(xué)者們?nèi)找骊P(guān)注的熱點(diǎn)[1]。

文獻(xiàn)[2]研究表明正常的網(wǎng)絡(luò)流量具有自相似性。文獻(xiàn)[3-4]中研究表明了DDoS攻擊檢測中包含基于攻擊流特征和正常流特征的兩種檢測方法?；谖墨I(xiàn)[3-4]提到的兩種策略的缺點(diǎn),文獻(xiàn)[5]研究表明了在基于網(wǎng)絡(luò)流量的自相似的基礎(chǔ)上研究DDoS攻擊檢測,指出小波分析法在DDoS的檢測中具有舉足輕重的地位。在文獻(xiàn)[6]通過R/S和小波分析法檢測DDoS攻擊的研究與比較中,得出小波分析法在DDoS檢測中的重要地位,同時(shí)也指出了不足之處:容易造成漏報(bào)率和誤報(bào)率,同時(shí)還會增加所需樣本占用的容量空間[7]。

總結(jié)了上述的缺點(diǎn),提出一種將主成分分析法和小波分析法相結(jié)合的方式進(jìn)行異常流量檢測技術(shù)的研究使得上述的缺點(diǎn)有所改善,同時(shí)增加了源IP地址分布熵,新方法能大幅提高檢測速度。

1 主成分分析法與信息熵

1.1 主成分分析法(PCA)

網(wǎng)絡(luò)數(shù)據(jù)包是包含著許多與其對應(yīng)的維度很高的一種網(wǎng)絡(luò)數(shù)據(jù)信息,這些信息之間有著線性或非線性的關(guān)系,只有通過主成分分析法才能實(shí)現(xiàn)找到這些數(shù)據(jù)信息之間存在的關(guān)系,進(jìn)而可以達(dá)到實(shí)現(xiàn)數(shù)據(jù)降低維度的目的。

1.2 信息熵

網(wǎng)絡(luò)流量中源IP地址的分散、集中程度受DDoS攻擊的影響很是嚴(yán)重,因此使用信息熵來對源IP地址的分散程度進(jìn)行衡量,信息熵值越大,源IP地址分布越分散,反之,源IP地址分布越集中,可以有效的區(qū)分出DDoS攻擊流。

定義3[5]定義一個包含n個分類隨機(jī)變量的樣本集X,將X的信息熵定義為:

樣本集X中第i類元素出現(xiàn)的概率用pi表示。n=1時(shí),此時(shí)E取最小值為0。當(dāng)用來表示樣本集X每個分類出現(xiàn)的概率,此時(shí)E取最大值為log2n。

2 新的DDoS攻擊檢測算法

運(yùn)用小波分析法檢測DDoS攻擊,通常通過設(shè)定門限值來檢測DDoS攻擊發(fā)生與否[10]。針對傳統(tǒng)異常流量檢測算法的不足,提出了融入主成分分析法和小波分析法的自適應(yīng)的DDoS檢測方法,設(shè)計(jì)采用該方法檢測DDoS攻擊的模型及算法,并且引入信息論中的信息熵對源IP地址的分散程度進(jìn)行度量,根據(jù)初始階段Husrt指數(shù)及熵值的變化自適應(yīng)地設(shè)定閾值以檢DDos測攻擊的發(fā)生。圖1給出了新算法對異常流量檢測的思想方法。我改進(jìn)的地方是首先將抓到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行維數(shù)約減,然后在進(jìn)行小波分析中的Hurs值求解,緊接著就是源IP地址分布值的計(jì)算,通過計(jì)算地址的分散程度適當(dāng)?shù)脑O(shè)置閾值,通過閾值查看異常流量的情況。

圖1 新算法的總體框架Fig.1 Overall framework of the new algorithm

2.1 算法描述

算法名稱:數(shù)據(jù)降維檢測算法

輸入:DArray1[];//存儲原始的網(wǎng)絡(luò)流量數(shù)據(jù)

DArray2[];//存儲異常的網(wǎng)絡(luò)流量數(shù)據(jù)

AnormalyFlag[];//異常標(biāo)示分類表

β;//權(quán)重

輸出:異常檢測結(jié)果

過程:

GetCurrentData();

While(每次的測試數(shù)據(jù)為n)

{Read netflow_data from DataBase;

Store in DArray1[];

While(AnormalyFlag[i]is not null,i++)

{PCA(β,Darray1,AnormalyFlag,Darray2);

Detect(AnormalyFlag,DArray2,β);}}

Function PCA(arg1,arg2,arg3,arg4)

{DArray2=Matrix(DArray);//對原始的數(shù)據(jù)進(jìn)行處理得到最后的相關(guān)矩陣,按照選取m值的標(biāo)準(zhǔn)對原始的數(shù)據(jù)特征進(jìn)行篩選(從求出的特征值中選出前m個所需要的最大特征值),放入DArray2中。}

Function Detect(arg1,arg2,arg3)

{按照AnormalyFlag的異常定義對DArray2進(jìn)行檢測,即DArray2在經(jīng)過AnormalyFlag規(guī)定的異常值時(shí),當(dāng)出現(xiàn)波動時(shí)修改β的增量和對PCA的回饋值并且將預(yù)測值與實(shí)際進(jìn)行比較,從而修改檢測的波動區(qū)間,形成新的低維向量所組成的新矩陣。}

2.2 Hurst值的計(jì)算

小波分析法中對Hurst參數(shù)的求解涉及的方面有:小波種類和小波消失矩陣兩個方面的選擇。文獻(xiàn)[11]研究表明了當(dāng)且僅當(dāng)消失矩陣為3的時(shí)候Hurst值的計(jì)算效果最佳。

(1)對上面通過降維得到的矩陣z進(jìn)行小波分解。選擇Db3小波對序列x(z)進(jìn)行J級小波分解,并且選擇最大分解尺度。

ΦJ,k(z)為小波尺度函數(shù),是尺度空間的基函數(shù);φj,k(z)為小波函數(shù),是細(xì)節(jié)空間的基函數(shù);ax(J,k)為小波尺度系數(shù);dx(j,k)為小波系數(shù);

(2)對小波系數(shù)的提取。對矩陣z進(jìn)行小波分解算法進(jìn)行小波分解得到小波系數(shù)矩陣[d,L]

(3)對小波系數(shù)求解方差,當(dāng)i＜最大尺度時(shí)。

(4)求解Hurst的指數(shù)方法是通過擬合直線得以實(shí)現(xiàn)的。給定一條自變量為i,斜率采用2H+3的直線。計(jì)算Hurst的值,可以根據(jù)直線的斜率便得出該直線的形式如下:

2.3 E值的計(jì)算

定義4[11]SIP是一個包含n個各不相同的源IP地址分類隨機(jī)變量的樣本集,可以將樣本集SIP中源IP地址的分布熵定義成如下形式:

式(6)是樣本全部的觀測值,樣本值全取一個值時(shí)熵值取得最小值,樣本值全取不同值時(shí)熵值取得最大值。源IP地址分布熵的一般計(jì)算步驟:從源IP地址中提取要計(jì)算的地址序列sip(n)。對各個源IP地址出現(xiàn)概率分別進(jìn)行相應(yīng)的計(jì)算。對求出的概率求對數(shù),計(jì)算出相應(yīng)的部分熵。對求出的部分熵求和,計(jì)算出信息熵。

2.4 閾值的自適應(yīng)設(shè)置

傳統(tǒng)的DDoS的檢測是以采用固定的閾值作為檢測基準(zhǔn),實(shí)際的網(wǎng)絡(luò)流量是動態(tài)的,不同的節(jié)點(diǎn)處的流量變化也會各不相同,這將會導(dǎo)致檢測異常網(wǎng)絡(luò)流量的不準(zhǔn)確性。因此提出采用閾值自適應(yīng)的方法來檢測發(fā)生DDoS攻擊,檢測到DDoS攻擊時(shí),參數(shù)Hurst值和E(SIP)會發(fā)生相應(yīng)的改變,需要為其設(shè)置相應(yīng)的閾值范圍。設(shè)置H值的取值范圍為,E值的取值范圍(0,lbn)[12]。

(1)H(Hurst)的計(jì)算

通過采集到的網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)的數(shù)據(jù)降維,獲取初始N個時(shí)間窗口內(nèi)計(jì)算得到的H值,設(shè)置H值為:

式中,Hmax是H值中的最大值,是平均值。

(2)E(SIP)的計(jì)算

通過采集到的網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)的數(shù)據(jù)降維,提取取前n個計(jì)算出來的E(SIP)值,并將E(SIP)設(shè)置為:

將Emax定義為E(SIP)值中的最大值,將Emin定義為E(SIP)中的最小值。

3 實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)使用互聯(lián)網(wǎng)實(shí)際測量數(shù)據(jù)對異常流量檢測方法進(jìn)行實(shí)驗(yàn)驗(yàn)證。互聯(lián)網(wǎng)中實(shí)際的測量數(shù)據(jù)是通過Wireshark軟件對數(shù)據(jù)集就行獲取、分析得出的,這其中包括獲取數(shù)據(jù)的時(shí)間、源IP地址和包大小等三個字段的內(nèi)容。截取了其中500 s的數(shù)據(jù),仿真平臺為Matlab7.0。通過實(shí)驗(yàn),驗(yàn)證了本論文提出的異常流量檢測方法在保證異常流量正確性同時(shí),具有自適應(yīng)性和資源利用率高等性能。

實(shí)驗(yàn)一設(shè)置時(shí)間為500 s,時(shí)間間隔為10 s。數(shù)據(jù)集中攻擊發(fā)生在第27個時(shí)間間隔內(nèi)計(jì)算得到的H和E值變化情況分別如圖2和圖3所示。

圖2 實(shí)驗(yàn)一中H值的變化情況Fig.2 Changes ofHvalue in the experiment

圖3 實(shí)驗(yàn)一中E值的變化情況Fig.3 Changes ofEvalue in the experiment

實(shí)驗(yàn)二:圖4、圖5中設(shè)置的時(shí)間t=400 s。從圖中可以看出數(shù)據(jù)集中發(fā)生在的坐標(biāo)上為25的時(shí)間點(diǎn)上,具體的H和E值的變化如圖4和圖5所示。

圖4 實(shí)驗(yàn)二中H值的變化情況Fig.4 Changes ofHvalue in the experiment

圖5 實(shí)驗(yàn)二中E值的變化情況Fig.5 Changes of E value in the experiment

通過以圖4和圖5可以很清楚的了解到在截取不同的時(shí)間中,發(fā)生數(shù)據(jù)攻擊的時(shí)間間隔是不一樣的。新的DDoS攻擊檢測算法通過監(jiān)測Hurst值和E(SIP)的變化來對其進(jìn)行相應(yīng)異常流量的檢測是可行的,相比傳統(tǒng)的僅通過固定的閾值或是單一的監(jiān)測方法檢測的結(jié)果更加準(zhǔn)確。

4 結(jié) 語

提出了一種新的的DDoS攻擊檢測算法。該算法在基于傳統(tǒng)的小波分析檢測DDoS攻擊的基礎(chǔ)上融入了主成分分析法和小波分析法中特有的DDoS檢測方法,并根據(jù)該算法設(shè)計(jì)相應(yīng)的模型和算法來檢測DDoS攻擊,并且引入信息論中的信息熵對源IP地址的分散程度進(jìn)行度量,根據(jù)初始階段Husrt指數(shù)及熵值的變化自適應(yīng)地設(shè)定閾值以檢測攻擊的發(fā)生。實(shí)驗(yàn)結(jié)果表明,該方法大幅度的提高了DDoS檢測的速度。下一步的想法是,DDoS檢測方法是不是可以和Bloom Filter數(shù)據(jù)結(jié)構(gòu)相結(jié)合,并且將哈希函數(shù)引入其中,使DDoS攻擊檢測算法的效率更高。

[1] 周穎,焦程波,陳慧楠,等.基于流量行為特征的DoS&DDoS攻擊檢測和異常流識別[J].計(jì)算機(jī)應(yīng)用, 2013,33(10):1-5.

ZHOU ying,JIAO Cheng-bo,CHEN Hui-nan,et al. Traffic Behavior Feature based DoS&DDoS Attack Detection and Abnormal Flow Identification for Backbone Networks[J].Computer Application,2013,33(10):1-5.

[2] 呂良福,張加萬,張丹.基于改進(jìn)小波分析的DDoS攻擊檢測方法[J].計(jì)算機(jī)工程,2010,36(06):1-4.

LV Liang-fu,ZHANG Jia-wan,ZHANG Dan.DDoS Attack Detection Method Based on Improved Wavelet Analysis[J].Computer Project,2010,36(06):1-4.

[3] 劉運(yùn),蔡志平,鐘平,等.基于條件隨機(jī)場的DDoS攻擊檢測方法[J].軟件學(xué)報(bào),2011,22(08):1897-1910.

LIU Yun,CAI Zhi-ping,ZHONG Ping.DDoS Attack Detection Method based on Conditional Random Fields[J]. Journal of Software,2011,22(08):1897-1910.

[4] 嚴(yán)芬,王佳佳,趙金鳳,等.DDoS攻擊檢測綜述[J].計(jì)算機(jī)應(yīng)用研究,2008,25(04):966-969.

YAN Fen,WANG Jia-jia,ZHAO Jin-feng.Overview of DDoS Attack Detection[J].Computer Application, 2008,25(04):966-969.

[5] 任勛益,王汝傳,王海艷.基于自相似檢測DDoS攻擊的小波分析方法[J].通信學(xué)報(bào),2006,27(05): 6-11.

REN Xun-yi,WANG Ru-chuan,WANG Hai-yan. Wavelet Analysis Method for Detection of DDoS Attack based on Self-Similar[J].Computer Application,2006, 27(05):6-11.

[6] 張登銀,任勛益,王汝傳.R/S和小波分析法檢測DDoS攻擊的研究與比較[J].南京郵電大學(xué)報(bào),2006, 26(06):48-51.

ZHANG Deng-yin,ZHANG Xun-yi,WANG Ru-zhuan. Study and Comparison of R/S and Wavelet Analysis for DDoS Attack Detection[J].Journal of Nanjing University of Posts and Telecommunications,2006,26(06):48-51.

[7] 呂良福.DoS攻擊的檢測及網(wǎng)絡(luò)安全可視化研究[D].天津:天津大學(xué),2008.

LV Liang-fu.Research on DDoS Attacks Detection and Related Network Security Visualization Technique[D]. Tianjin:Tianjin University,2008.

[8] 王永強(qiáng).基于子空間和流形的降維算法研究[D].合肥:中國科技大學(xué),2006.

WANG Yong-qiang.Study on Dimension Reduction Algorithm based on Subspace and Manifold[D].Hefei:U-niversity of Science and Technology of China,2006.

[9] 梁循.數(shù)據(jù)挖掘算法與應(yīng)用[M].北京:北京大學(xué)出版社,2006.

LIANG Xun.Data Mining Algorithms and Applications [M]Beijing:Peking University Publishing House,2006.

[10] 譚曉玲.基于小波變換的入侵檢測方法[J].重慶三峽學(xué)院學(xué)報(bào),2005,21(03):28-30.

TAN Xiao-ling.Intrusion Detection Method based on Wavelet Transform[J].Journal of Chongqing Three Gorges University,2005,21(03):28-30.

[11] 張錦平.DDoS攻擊檢測及響應(yīng)技術(shù)的研究[D].燕山:燕山大學(xué),2012.

ZHANG Jin-ping.Research on DDoS Attack Detection and Response Technology[D].Yanjing:University On The Mountain of Swallows,2012.

[12] 燕發(fā)文,黃敏,王中飛.基于BF算法的網(wǎng)絡(luò)異常流量行為檢測[J].計(jì)算機(jī)工程,2013,39(07):1-5.

YAN Fa-wen,HUANG min,WANG Zhong-fei.Network Abnormal Flow Behavior Detection Based on BF Algorithm[J].Computer Project,2013,39(07):1-5.

ZHOU ping(1988-),female,graduate student,majoring in computer network and communication.

高仲合(1961—),男,教授,碩士生導(dǎo)師,主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與通信。

GAO Zhong-he(1961-),male,professor,M.Sci.tutor, mainly working at computer networks and communication.

A New DDoS Attack Detection Algorithm

ZHOU Ping1,GAO Zhong-he2
(School of Information Science and Engineering,Qufu Normal University,Rizhao Shandong 276826,,China)

In order to detect the DDoS attacks accurately and timely,a new DDoS attack detection algorithm is proposed.The algorithm,based on traditional wavelet analysis method,integrates the DDoS detection method of principal component analysis and wavelet analysis,and the corresponding model and algorithm are built up to detect the DDoS attack based on this algorithm.The detection method could be applied to design a model and an algorithm,and the information entropy of information theory is also used to measure the dispersion degree of the source IP address.The proposed algorithm could set the threshold self -adaptively according to the initial-stage variation of Husrt index and the entropy,thus to detect the occurrence of attacks.Experimental result shows that this method could significantly improve the detection rate of DDoS attacks.

DDoS attack detection;wavelet decomposition;principal component analysis;entropy value

TP311.1

A

1002-0802(2014)09-1079-05

10.3969/j.issn.1002-0802.2014.09.021

周 萍(1988—),女,碩士研究生,主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與通信;

2014-05-28;

2014-06-28 Received date：2014-05-28;Revised date：2014-06-28