一種新的DDoS攻擊檢測算法*

周 萍,高仲合

(曲阜師范大學信息科學與工程學院,山東日照276826)

一種新的DDoS攻擊檢測算法*

周 萍,高仲合

(曲阜師范大學信息科學與工程學院,山東日照276826)

為了準確及時的進行DDoS攻擊檢測,提出了一種新的DDoS攻擊檢測算法。該算法在基于傳統的小波分析檢測DDoS攻擊的基礎上融入了主成分分析法和小波分析法中DDoS檢測方法,并根據該算法設計相應的模型和算法來檢測DDoS攻擊,并且引入信息論中的信息熵對源IP地址的分散程度進行度量,根據初始階段Hurst指數及熵值的變化自適應地設定閾值以檢測攻擊的發生。實驗結果表明,該方法大幅度的提高了DDoS檢測的速度。

DDoS攻擊檢測 小波分析 主成分解 熵值

0 引 言

隨著網絡不斷的規?；蛷碗s化,網絡中分布式拒絕服務(DDoS)攻擊頻繁的發生次數給正常網絡的運行造成了越來越大的威脅。由于DDoS攻擊潛伏期長、隱蔽性高、攻擊并發程度高,為了確保網絡運行的安全性、高效性,怎樣能夠精確的、快速的實現DDoS攻擊的檢測逐漸成為學者們日益關注的熱點[1]。

文獻[2]研究表明正常的網絡流量具有自相似性。文獻[3-4]中研究表明了DDoS攻擊檢測中包含基于攻擊流特征和正常流特征的兩種檢測方法?；谖墨I[3-4]提到的兩種策略的缺點,文獻[5]研究表明了在基于網絡流量的自相似的基礎上研究DDoS攻擊檢測,指出小波分析法在DDoS的檢測中具有舉足輕重的地位。在文獻[6]通過R/S和小波分析法檢測DDoS攻擊的研究與比較中,得出小波分析法在DDoS檢測中的重要地位,同時也指出了不足之處:容易造成漏報率和誤報率,同時還會增加所需樣本占用的容量空間[7]。

總結了上述的缺點,提出一種將主成分分析法和小波分析法相結合的方式進行異常流量檢測技術的研究使得上述的缺點有所改善,同時增加了源IP地址分布熵,新方法能大幅提高檢測速度。

1 主成分分析法與信息熵

1.1 主成分分析法(PCA)

網絡數據包是包含著許多與其對應的維度很高的一種網絡數據信息,這些信息之間有著線性或非線性的關系,只有通過主成分分析法才能實現找到這些數據信息之間存在的關系,進而可以達到實現數據降低維度的目的。

1.2 信息熵

網絡流量中源IP地址的分散、集中程度受DDoS攻擊的影響很是嚴重,因此使用信息熵來對源IP地址的分散程度進行衡量,信息熵值越大,源IP地址分布越分散,反之,源IP地址分布越集中,可以有效的區分出DDoS攻擊流。

定義3[5]定義一個包含n個分類隨機變量的樣本集X,將X的信息熵定義為:

樣本集X中第i類元素出現的概率用pi表示。n=1時,此時E取最小值為0。當用來表示樣本集X每個分類出現的概率,此時E取最大值為log2n。

2 新的DDoS攻擊檢測算法

運用小波分析法檢測DDoS攻擊,通常通過設定門限值來檢測DDoS攻擊發生與否[10]。針對傳統異常流量檢測算法的不足,提出了融入主成分分析法和小波分析法的自適應的DDoS檢測方法,設計采用該方法檢測DDoS攻擊的模型及算法,并且引入信息論中的信息熵對源IP地址的分散程度進行度量,根據初始階段Husrt指數及熵值的變化自適應地設定閾值以檢DDos測攻擊的發生。圖1給出了新算法對異常流量檢測的思想方法。我改進的地方是首先將抓到的網絡數據包進行維數約減,然后在進行小波分析中的Hurs值求解,緊接著就是源IP地址分布值的計算,通過計算地址的分散程度適當的設置閾值,通過閾值查看異常流量的情況。

圖1 新算法的總體框架Fig.1 Overall framework of the new algorithm

2.1 算法描述

算法名稱:數據降維檢測算法

輸入:DArray1[];//存儲原始的網絡流量數據

DArray2[];//存儲異常的網絡流量數據

AnormalyFlag[];//異常標示分類表

β;//權重

輸出:異常檢測結果

過程:

GetCurrentData();

While(每次的測試數據為n)

{Read netflow_data from DataBase;

Store in DArray1[];

While(AnormalyFlag[i]is not null,i++)

{PCA(β,Darray1,AnormalyFlag,Darray2);

Detect(AnormalyFlag,DArray2,β);}}

Function PCA(arg1,arg2,arg3,arg4)

{DArray2=Matrix(DArray);//對原始的數據進行處理得到最后的相關矩陣,按照選取m值的標準對原始的數據特征進行篩選(從求出的特征值中選出前m個所需要的最大特征值),放入DArray2中。}

Function Detect(arg1,arg2,arg3)

{按照AnormalyFlag的異常定義對DArray2進行檢測,即DArray2在經過AnormalyFlag規定的異常值時,當出現波動時修改β的增量和對PCA的回饋值并且將預測值與實際進行比較,從而修改檢測的波動區間,形成新的低維向量所組成的新矩陣。}

2.2 Hurst值的計算

小波分析法中對Hurst參數的求解涉及的方面有:小波種類和小波消失矩陣兩個方面的選擇。文獻[11]研究表明了當且僅當消失矩陣為3的時候Hurst值的計算效果最佳。

(1)對上面通過降維得到的矩陣z進行小波分解。選擇Db3小波對序列x(z)進行J級小波分解,并且選擇最大分解尺度。

ΦJ,k(z)為小波尺度函數,是尺度空間的基函數;φj,k(z)為小波函數,是細節空間的基函數;ax(J,k)為小波尺度系數;dx(j,k)為小波系數;

(2)對小波系數的提取。對矩陣z進行小波分解算法進行小波分解得到小波系數矩陣[d,L]

(3)對小波系數求解方差,當i＜最大尺度時。

(4)求解Hurst的指數方法是通過擬合直線得以實現的。給定一條自變量為i,斜率采用2H+3的直線。計算Hurst的值,可以根據直線的斜率便得出該直線的形式如下:

2.3 E值的計算

定義4[11]SIP是一個包含n個各不相同的源IP地址分類隨機變量的樣本集,可以將樣本集SIP中源IP地址的分布熵定義成如下形式:

式(6)是樣本全部的觀測值,樣本值全取一個值時熵值取得最小值,樣本值全取不同值時熵值取得最大值。源IP地址分布熵的一般計算步驟:從源IP地址中提取要計算的地址序列sip(n)。對各個源IP地址出現概率分別進行相應的計算。對求出的概率求對數,計算出相應的部分熵。對求出的部分熵求和,計算出信息熵。

2.4 閾值的自適應設置

傳統的DDoS的檢測是以采用固定的閾值作為檢測基準,實際的網絡流量是動態的,不同的節點處的流量變化也會各不相同,這將會導致檢測異常網絡流量的不準確性。因此提出采用閾值自適應的方法來檢測發生DDoS攻擊,檢測到DDoS攻擊時,參數Hurst值和E(SIP)會發生相應的改變,需要為其設置相應的閾值范圍。設置H值的取值范圍為,E值的取值范圍(0,lbn)[12]。

(1)H(Hurst)的計算

通過采集到的網絡數據實現的數據降維,獲取初始N個時間窗口內計算得到的H值,設置H值為:

式中,Hmax是H值中的最大值,是平均值。

(2)E(SIP)的計算

通過采集到的網絡數據實現的數據降維,提取取前n個計算出來的E(SIP)值,并將E(SIP)設置為:

將Emax定義為E(SIP)值中的最大值,將Emin定義為E(SIP)中的最小值。

3 實驗結果

實驗使用互聯網實際測量數據對異常流量檢測方法進行實驗驗證?；ヂ摼W中實際的測量數據是通過Wireshark軟件對數據集就行獲取、分析得出的,這其中包括獲取數據的時間、源IP地址和包大小等三個字段的內容。截取了其中500 s的數據,仿真平臺為Matlab7.0。通過實驗,驗證了本論文提出的異常流量檢測方法在保證異常流量正確性同時,具有自適應性和資源利用率高等性能。

實驗一設置時間為500 s,時間間隔為10 s。數據集中攻擊發生在第27個時間間隔內計算得到的H和E值變化情況分別如圖2和圖3所示。

圖2 實驗一中H值的變化情況Fig.2 Changes ofHvalue in the experiment

圖3 實驗一中E值的變化情況Fig.3 Changes ofEvalue in the experiment

實驗二:圖4、圖5中設置的時間t=400 s。從圖中可以看出數據集中發生在的坐標上為25的時間點上,具體的H和E值的變化如圖4和圖5所示。

圖4 實驗二中H值的變化情況Fig.4 Changes ofHvalue in the experiment

圖5 實驗二中E值的變化情況Fig.5 Changes of E value in the experiment

通過以圖4和圖5可以很清楚的了解到在截取不同的時間中,發生數據攻擊的時間間隔是不一樣的。新的DDoS攻擊檢測算法通過監測Hurst值和E(SIP)的變化來對其進行相應異常流量的檢測是可行的,相比傳統的僅通過固定的閾值或是單一的監測方法檢測的結果更加準確。

4 結 語

提出了一種新的的DDoS攻擊檢測算法。該算法在基于傳統的小波分析檢測DDoS攻擊的基礎上融入了主成分分析法和小波分析法中特有的DDoS檢測方法,并根據該算法設計相應的模型和算法來檢測DDoS攻擊,并且引入信息論中的信息熵對源IP地址的分散程度進行度量,根據初始階段Husrt指數及熵值的變化自適應地設定閾值以檢測攻擊的發生。實驗結果表明,該方法大幅度的提高了DDoS檢測的速度。下一步的想法是,DDoS檢測方法是不是可以和Bloom Filter數據結構相結合,并且將哈希函數引入其中,使DDoS攻擊檢測算法的效率更高。

[1] 周穎,焦程波,陳慧楠,等.基于流量行為特征的DoS&DDoS攻擊檢測和異常流識別[J].計算機應用, 2013,33(10):1-5.

ZHOU ying,JIAO Cheng-bo,CHEN Hui-nan,et al. Traffic Behavior Feature based DoS&DDoS Attack Detection and Abnormal Flow Identification for Backbone Networks[J].Computer Application,2013,33(10):1-5.

[2] 呂良福,張加萬,張丹.基于改進小波分析的DDoS攻擊檢測方法[J].計算機工程,2010,36(06):1-4.

LV Liang-fu,ZHANG Jia-wan,ZHANG Dan.DDoS Attack Detection Method Based on Improved Wavelet Analysis[J].Computer Project,2010,36(06):1-4.

[3] 劉運,蔡志平,鐘平,等.基于條件隨機場的DDoS攻擊檢測方法[J].軟件學報,2011,22(08):1897-1910.

LIU Yun,CAI Zhi-ping,ZHONG Ping.DDoS Attack Detection Method based on Conditional Random Fields[J]. Journal of Software,2011,22(08):1897-1910.

[4] 嚴芬,王佳佳,趙金鳳,等.DDoS攻擊檢測綜述[J].計算機應用研究,2008,25(04):966-969.

YAN Fen,WANG Jia-jia,ZHAO Jin-feng.Overview of DDoS Attack Detection[J].Computer Application, 2008,25(04):966-969.

[5] 任勛益,王汝傳,王海艷.基于自相似檢測DDoS攻擊的小波分析方法[J].通信學報,2006,27(05): 6-11.

REN Xun-yi,WANG Ru-chuan,WANG Hai-yan. Wavelet Analysis Method for Detection of DDoS Attack based on Self-Similar[J].Computer Application,2006, 27(05):6-11.

[6] 張登銀,任勛益,王汝傳.R/S和小波分析法檢測DDoS攻擊的研究與比較[J].南京郵電大學報,2006, 26(06):48-51.

ZHANG Deng-yin,ZHANG Xun-yi,WANG Ru-zhuan. Study and Comparison of R/S and Wavelet Analysis for DDoS Attack Detection[J].Journal of Nanjing University of Posts and Telecommunications,2006,26(06):48-51.

[7] 呂良福.DoS攻擊的檢測及網絡安全可視化研究[D].天津:天津大學,2008.

LV Liang-fu.Research on DDoS Attacks Detection and Related Network Security Visualization Technique[D]. Tianjin:Tianjin University,2008.

[8] 王永強.基于子空間和流形的降維算法研究[D].合肥:中國科技大學,2006.

WANG Yong-qiang.Study on Dimension Reduction Algorithm based on Subspace and Manifold[D].Hefei:U-niversity of Science and Technology of China,2006.

[9] 梁循.數據挖掘算法與應用[M].北京:北京大學出版社,2006.

LIANG Xun.Data Mining Algorithms and Applications [M]Beijing:Peking University Publishing House,2006.

[10] 譚曉玲.基于小波變換的入侵檢測方法[J].重慶三峽學院學報,2005,21(03):28-30.

TAN Xiao-ling.Intrusion Detection Method based on Wavelet Transform[J].Journal of Chongqing Three Gorges University,2005,21(03):28-30.

[11] 張錦平.DDoS攻擊檢測及響應技術的研究[D].燕山:燕山大學,2012.

ZHANG Jin-ping.Research on DDoS Attack Detection and Response Technology[D].Yanjing:University On The Mountain of Swallows,2012.

[12] 燕發文,黃敏,王中飛.基于BF算法的網絡異常流量行為檢測[J].計算機工程,2013,39(07):1-5.

YAN Fa-wen,HUANG min,WANG Zhong-fei.Network Abnormal Flow Behavior Detection Based on BF Algorithm[J].Computer Project,2013,39(07):1-5.

ZHOU ping(1988-),female,graduate student,majoring in computer network and communication.

高仲合(1961—),男,教授,碩士生導師,主要研究方向為計算機網絡與通信。

GAO Zhong-he(1961-),male,professor,M.Sci.tutor, mainly working at computer networks and communication.

A New DDoS Attack Detection Algorithm

ZHOU Ping1,GAO Zhong-he2
(School of Information Science and Engineering,Qufu Normal University,Rizhao Shandong 276826,,China)

In order to detect the DDoS attacks accurately and timely,a new DDoS attack detection algorithm is proposed.The algorithm,based on traditional wavelet analysis method,integrates the DDoS detection method of principal component analysis and wavelet analysis,and the corresponding model and algorithm are built up to detect the DDoS attack based on this algorithm.The detection method could be applied to design a model and an algorithm,and the information entropy of information theory is also used to measure the dispersion degree of the source IP address.The proposed algorithm could set the threshold self -adaptively according to the initial-stage variation of Husrt index and the entropy,thus to detect the occurrence of attacks.Experimental result shows that this method could significantly improve the detection rate of DDoS attacks.

DDoS attack detection;wavelet decomposition;principal component analysis;entropy value

TP311.1

A

1002-0802(2014)09-1079-05

10.3969/j.issn.1002-0802.2014.09.021

周 萍(1988—),女,碩士研究生,主要研究方向為計算機網絡與通信;

2014-05-28;

2014-06-28 Received date：2014-05-28;Revised date：2014-06-28