《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于數(shù)據(jù)預(yù)處理的DDoS攻擊檢測(cè)方法研究
基于數(shù)據(jù)預(yù)處理的DDoS攻擊檢測(cè)方法研究
來源:電子技術(shù)應(yīng)用2013年第1期
高一為, 賴英旭, 吳 歡, 陳偉桐
北京工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院, 北京100124
摘要: 利用小波分解網(wǎng)絡(luò)流量的方法,提出了一種基于數(shù)據(jù)預(yù)處理的分布式拒絕服務(wù)DDoS攻擊檢測(cè)算法。通過對(duì)小尺度流量數(shù)據(jù)進(jìn)行預(yù)處理,使得短相關(guān)的網(wǎng)絡(luò)流量體現(xiàn)出長相關(guān)性并保持小尺度模型的時(shí)間敏感度,滿足了Hurst指數(shù)刻畫多分形模型的條件,解決了現(xiàn)有小尺度網(wǎng)絡(luò)異常實(shí)時(shí)檢測(cè)方法的缺陷,如Holder指數(shù)檢測(cè)算法誤報(bào)率高、VTP檢測(cè)法檢測(cè)率不足等問題。
中圖分類號(hào): TP309.5
文獻(xiàn)標(biāo)識(shí)碼: A
文章編號(hào): 0258-7998(2013)01-0139-04
A new method to detect DDoS attack based on data preprocessing
Gao Yiwei, Lai Yingxu, Wu Huan, Chen Weitong
College of Computer, Beijing University of Technology, Beijing 100124, China
Abstract: In this paper, a new algorithm detecting distributed denial of service (DDoS) attack is put forward based on wavelet decomposition of network traffic. Having preprocessed the small-scale traffic data, short related network traffic reflects long correlation and keeps time sensitivity of small scale model.The new method provides the conditions for the Hurst index to depict the multi-fractal models, but also solve the existing small scale network defections of real-time detection, such as the high distorting rate of Holder index detection algorithm and the inadequate detection rates of VTP method.
Key words : distributed denial of service attack; Hurst; multi-fractal; wavelet; abnormal traffic detection

    現(xiàn)有的基于網(wǎng)絡(luò)流量的DDoS攻擊檢測(cè)方法可以按照對(duì)時(shí)間尺度的敏感程度進(jìn)行劃分,通常將小于100 ms的網(wǎng)絡(luò)模型稱為小尺度網(wǎng)絡(luò)模型,將以小時(shí)(hour)或天(day)作為時(shí)間單位的網(wǎng)絡(luò)模型稱為大尺度網(wǎng)絡(luò)模型。基于大尺度網(wǎng)絡(luò)模型的檢測(cè)方法主要有方差分析法(ANVOA)[1]、泛化似然比檢驗(yàn)法(Generalized Likelihood Ratio Test)[2]、自適應(yīng)殘差比較法[3]等,這些方法雖然有較好的檢測(cè)率和較低的誤報(bào)率,但是因其以hour或day為統(tǒng)計(jì)單位而不具備實(shí)時(shí)檢測(cè)的能力。相比之下小尺度網(wǎng)絡(luò)模型更適合于實(shí)時(shí)檢測(cè),但因其表現(xiàn)出多分形性[4]而難以觀測(cè)。參考文獻(xiàn)[5]提出的Holder指數(shù)檢測(cè)法雖然檢測(cè)延時(shí)短,但是受到短相關(guān)性質(zhì)對(duì)網(wǎng)絡(luò)流量整體觀測(cè)能力不足的影響,誤報(bào)率過高。針對(duì)這一問題,參考文獻(xiàn)[6]提出了一種基于傳統(tǒng)Hurst指數(shù)和Holder指數(shù)的分形檢測(cè)法,通過判斷網(wǎng)絡(luò)流量的實(shí)時(shí)分形特性,分別采用兩種不同方法進(jìn)行檢測(cè),雖然提高了分形模型中長相關(guān)部分的檢測(cè)準(zhǔn)確率,但是當(dāng)流量數(shù)據(jù)表現(xiàn)出短相關(guān)時(shí),誤報(bào)問題仍沒有解決。參考文獻(xiàn)[7]提出了一種基于Hurst指數(shù)的方差-時(shí)間圖法VTP(Variance-Time Plots),試圖利用多分形模型中包含的長相關(guān)特性進(jìn)行檢測(cè)。受多分形模型中長相關(guān)特性并不明顯的影響,誤報(bào)率雖然有所下降,但是檢測(cè)率上還存在不足。

    現(xiàn)有小尺度網(wǎng)絡(luò)模型通常采用Holder、Hurst等指數(shù)進(jìn)行檢測(cè),Holder指數(shù)觀測(cè)尺度狹窄、誤報(bào)率高;Hurst指數(shù)能夠在整體上對(duì)流量的自相似性進(jìn)行刻畫,具有較高的檢測(cè)精度,但要求觀測(cè)的時(shí)間尺度寬,不利于實(shí)時(shí)檢測(cè)。本文提出的基于數(shù)據(jù)預(yù)處理的DDoS攻擊檢測(cè)方法在Hurst指數(shù)檢測(cè)的基礎(chǔ)上,通過提高流量間相關(guān)度,滿足了Hurst指數(shù)定義對(duì)模型長相關(guān)程度的要求,從而能夠更準(zhǔn)確地對(duì)具有多分形特性的流量進(jìn)行分析。
1 流量預(yù)處理
    小尺度網(wǎng)絡(luò)模型中包含的網(wǎng)絡(luò)業(yè)務(wù)信息相比大尺度網(wǎng)絡(luò)模型少但更為細(xì)致,因而也更易受流量的突發(fā)性影響?;诹髁康腄DoS攻擊檢測(cè)技術(shù)正是利用了流量突發(fā)性對(duì)統(tǒng)計(jì)特性造成的奇異點(diǎn)進(jìn)行檢測(cè),因此為了降低誤報(bào)率就需要降低正常流量發(fā)生時(shí)對(duì)小尺度模型統(tǒng)計(jì)特性的影響。最直接的方法就是增加小尺度模型各節(jié)點(diǎn)包含的信息量,增強(qiáng)其長相關(guān)性。參考文獻(xiàn)[8]就可能影響流量性能的因素提出了假設(shè),并認(rèn)為均值和方差對(duì)多分形有較大影響。本文在參考文獻(xiàn)[8]的基礎(chǔ)上,提出采用滑動(dòng)平均值來代替原有采樣值的方法,在保證不丟失原有信息特性的前提下,將前后時(shí)間節(jié)點(diǎn)的特性包含進(jìn)來,提高了節(jié)點(diǎn)中包含的信息量,使得小尺度網(wǎng)絡(luò)模型的長相關(guān)性增強(qiáng),同時(shí)降低了正常流量發(fā)生時(shí)對(duì)統(tǒng)計(jì)特性可能造成的影響。流量預(yù)處理方法如式(1)所示:

    小波分解過程中通常采用二進(jìn)制伸縮的方式,如式

3 DDoS攻擊檢測(cè)實(shí)驗(yàn)
    本文采用模擬攻擊的方法對(duì)文中提出的網(wǎng)絡(luò)異常檢測(cè)算法進(jìn)行測(cè)試。
3.1 數(shù)據(jù)來源
    實(shí)驗(yàn)數(shù)據(jù)由正常的背景流量和模擬的攻擊流量匯聚而成。
    以北京工業(yè)大學(xué)某樓層的真實(shí)流量為正常流量樣本,采用Wireshark截取上午10:30~11:17之間的全部流量。時(shí)間精度為1 ms,包括各類正常訪問的數(shù)據(jù)包1 620 400個(gè)。分別匯聚為精度10 ms的BJUT-10流量和精度為1 s的BJUT-1000流量。
     利用Sprient公司的ThreatEx2600作為攻擊流量的產(chǎn)生工具,模擬了DDoS攻擊中最經(jīng)典的SYN-Flood攻擊流量,并將攻擊強(qiáng)度以1 000 threats/s的幅度逐漸增加。將攻擊行為分為兩次,分別在小背景流量和大背景流量下進(jìn)行,小背景流量攻擊發(fā)生在100 000 ms,大背景流量發(fā)生在200 000 ms。每次攻擊持續(xù)180 s,其中流量上升階段30 s,峰值攻擊120 s,流量下降階段30 s。測(cè)試環(huán)境如圖1所示。

     從實(shí)驗(yàn)結(jié)果可以得出,在利用BJUT-10流量模型進(jìn)行異常檢測(cè)時(shí),當(dāng)攻擊流量達(dá)到背景流量36.90%時(shí),攻擊被檢測(cè)出來,但檢測(cè)完整性較差,僅為2.10%,檢測(cè)延遲91.28 s。
    當(dāng)攻擊增強(qiáng)而背景流量不變時(shí),攻擊的檢測(cè)率提高,攻擊檢測(cè)完整性也相應(yīng)提高;當(dāng)攻擊流量占到總流量91.36%時(shí),檢測(cè)率達(dá)到100%,檢測(cè)完整性達(dá)到75.18%,檢測(cè)延遲為26.1 s。
    當(dāng)攻擊強(qiáng)度不變,背景流量發(fā)生變化時(shí),在大流量背景下,檢測(cè)的完整性較小流量背景下攻擊的檢測(cè)完整性和檢測(cè)率差距較大,檢測(cè)延遲明顯降低。
4 與典型算法對(duì)比
    為了驗(yàn)證本文算法的性能,采用相同的實(shí)驗(yàn)數(shù)據(jù)與典型檢測(cè)方法進(jìn)行了對(duì)比測(cè)試。
4.1 Holder指數(shù)檢測(cè)法
    本文重現(xiàn)了參考文獻(xiàn)[6]中的Holder指數(shù)計(jì)算方法,并將關(guān)鍵實(shí)驗(yàn)參數(shù)設(shè)置為λ=0.9,s=10。
4.2 傳統(tǒng)Hurst指數(shù)檢測(cè)法
    根據(jù)參考文獻(xiàn)[6-7]中的Hurst指數(shù)檢測(cè)法,因Hurst指數(shù)檢測(cè)法只適用于大尺度的網(wǎng)絡(luò)模型,即時(shí)間敏感度大于1 s的網(wǎng)絡(luò)模型,因此本文采用BJUT-1000流量進(jìn)行模擬檢測(cè)。采用db(3)小波分解,小波分解層數(shù)為j=10,小波移動(dòng)尺度k=1,時(shí)間區(qū)間n=10。
4.3 性能比較
    本文模擬的DDoS攻擊包含了30 s攻擊速率上升的過程,因此檢測(cè)延遲在一定程度上反應(yīng)了檢測(cè)算法對(duì)攻擊發(fā)生初期(0 s~30 s)的檢測(cè)能力。
    從圖5可以看出本文方法在檢測(cè)延遲上同Holder指數(shù)檢測(cè)法性能相當(dāng)。從算法誤報(bào)率上看,本文方法誤報(bào)率較Holder指數(shù)檢測(cè)法有明顯改善。因而本文方法在檢測(cè)率和檢測(cè)完整性上優(yōu)于其他兩種檢測(cè)算法。如圖6所示。

    本文提出了一種基于多分形模型數(shù)據(jù)預(yù)處理的異常檢測(cè)方法。利用小波分解的方法對(duì)網(wǎng)絡(luò)流量進(jìn)行分析。通過增加數(shù)據(jù)間相關(guān)性使得短相關(guān)的流量數(shù)據(jù)具備一定的長相關(guān)特性,而長相關(guān)數(shù)據(jù)的特性更加明顯。同時(shí)使用Hurst指數(shù)方差平均值對(duì)攻擊流量進(jìn)行檢測(cè)。相比于現(xiàn)有的實(shí)時(shí)檢測(cè)算法,其誤報(bào)率明顯降低,并保持較低的檢測(cè)延遲,提高了檢測(cè)率和檢測(cè)完整性。
參考文獻(xiàn)
[1] JOSEPH L H, FAN Z, PEIWEZ S. Characterizing normal operation of a Web Server:application to workload forecasting and problem detection[C].Proceedings of the Computer Measurement Grouy, 1998.
[2] THOTTAN M, JI C Y. Statistical detection of enterprise network problem [J]. Journal of Network and Systems Management, 1999,7(1):27-45.
[3] 曹敏, 程?hào)|年, 張建輝,等.基于自適應(yīng)閾值的網(wǎng)絡(luò)流量異常檢測(cè)算法[J].計(jì)算機(jī)工程, 2009,35(19):164-167.
[4] ABRY P, VEITCH D, Wavelet analysis of long-range dependence traffic[J]. IEEE Trans on Information Theory, 1998,44(1):2-15.
[5] 任義龍, 劉淵, 一種基于Holder指數(shù)的DDoS攻擊檢測(cè)方法[J]. 計(jì)算機(jī)應(yīng)用研究, 2011,28(2):724-727.
[6] 任義龍, 劉淵. 一種基于小波分析的DDoS攻擊檢測(cè)方法[J/OL].[2011-09-29]. http://www.cnki.net/kcms/detail/11.2127.tp.20110929.1037.054.html.
[7] 李金明, 王汝傳.基于VTP方法的DDoS攻擊實(shí)時(shí)監(jiān)測(cè)技術(shù)研究[J]. 電子學(xué)報(bào), 2007,35(4):791-796.
[8] 胡俊, 譚獻(xiàn)海, 覃宇飛.基于小波技術(shù)的網(wǎng)絡(luò)流量分析與刻畫[J]. 計(jì)算機(jī)應(yīng)用, 2007,27(11):2659-2665.
[9] 任勛益, 王汝傳, 祁正華. 消失矩對(duì)小波分析求解自相似參數(shù)Hurst的影響研究[J], 電子與信息學(xué)報(bào), 2007,29(9):2257-2261.
[10] 任勛益, 王汝傳, 王海艷. 基于自相似檢測(cè)DDoS攻擊的小波分析方法[J]. 通信學(xué)報(bào), 2006,27(5):6-11.
[11] 李永利, 劉貴忠, 王海軍,等.自相似數(shù)據(jù)流的Hurst指數(shù)小波求解法分析[J].電子與信息學(xué)報(bào), 2003,25(1):100-105.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。