文獻(xiàn)標(biāo)識碼: A
文章編號: 0258-7998(2013)01-0139-04
現(xiàn)有的基于網(wǎng)絡(luò)流量的DDoS攻擊檢測方法可以按照對時間尺度的敏感程度進(jìn)行劃分,通常將小于100 ms的網(wǎng)絡(luò)模型稱為小尺度網(wǎng)絡(luò)模型,將以小時(hour)或天(day)作為時間單位的網(wǎng)絡(luò)模型稱為大尺度網(wǎng)絡(luò)模型?;诖蟪叨染W(wǎng)絡(luò)模型的檢測方法主要有方差分析法(ANVOA)[1]、泛化似然比檢驗法(Generalized Likelihood Ratio Test)[2]、自適應(yīng)殘差比較法[3]等,這些方法雖然有較好的檢測率和較低的誤報率,但是因其以hour或day為統(tǒng)計單位而不具備實時檢測的能力。相比之下小尺度網(wǎng)絡(luò)模型更適合于實時檢測,但因其表現(xiàn)出多分形性[4]而難以觀測。參考文獻(xiàn)[5]提出的Holder指數(shù)檢測法雖然檢測延時短,但是受到短相關(guān)性質(zhì)對網(wǎng)絡(luò)流量整體觀測能力不足的影響,誤報率過高。針對這一問題,參考文獻(xiàn)[6]提出了一種基于傳統(tǒng)Hurst指數(shù)和Holder指數(shù)的分形檢測法,通過判斷網(wǎng)絡(luò)流量的實時分形特性,分別采用兩種不同方法進(jìn)行檢測,雖然提高了分形模型中長相關(guān)部分的檢測準(zhǔn)確率,但是當(dāng)流量數(shù)據(jù)表現(xiàn)出短相關(guān)時,誤報問題仍沒有解決。參考文獻(xiàn)[7]提出了一種基于Hurst指數(shù)的方差-時間圖法VTP(Variance-Time Plots),試圖利用多分形模型中包含的長相關(guān)特性進(jìn)行檢測。受多分形模型中長相關(guān)特性并不明顯的影響,誤報率雖然有所下降,但是檢測率上還存在不足。
現(xiàn)有小尺度網(wǎng)絡(luò)模型通常采用Holder、Hurst等指數(shù)進(jìn)行檢測,Holder指數(shù)觀測尺度狹窄、誤報率高;Hurst指數(shù)能夠在整體上對流量的自相似性進(jìn)行刻畫,具有較高的檢測精度,但要求觀測的時間尺度寬,不利于實時檢測。本文提出的基于數(shù)據(jù)預(yù)處理的DDoS攻擊檢測方法在Hurst指數(shù)檢測的基礎(chǔ)上,通過提高流量間相關(guān)度,滿足了Hurst指數(shù)定義對模型長相關(guān)程度的要求,從而能夠更準(zhǔn)確地對具有多分形特性的流量進(jìn)行分析。
1 流量預(yù)處理
小尺度網(wǎng)絡(luò)模型中包含的網(wǎng)絡(luò)業(yè)務(wù)信息相比大尺度網(wǎng)絡(luò)模型少但更為細(xì)致,因而也更易受流量的突發(fā)性影響?;诹髁康腄DoS攻擊檢測技術(shù)正是利用了流量突發(fā)性對統(tǒng)計特性造成的奇異點進(jìn)行檢測,因此為了降低誤報率就需要降低正常流量發(fā)生時對小尺度模型統(tǒng)計特性的影響。最直接的方法就是增加小尺度模型各節(jié)點包含的信息量,增強其長相關(guān)性。參考文獻(xiàn)[8]就可能影響流量性能的因素提出了假設(shè),并認(rèn)為均值和方差對多分形有較大影響。本文在參考文獻(xiàn)[8]的基礎(chǔ)上,提出采用滑動平均值來代替原有采樣值的方法,在保證不丟失原有信息特性的前提下,將前后時間節(jié)點的特性包含進(jìn)來,提高了節(jié)點中包含的信息量,使得小尺度網(wǎng)絡(luò)模型的長相關(guān)性增強,同時降低了正常流量發(fā)生時對統(tǒng)計特性可能造成的影響。流量預(yù)處理方法如式(1)所示:
小波分解過程中通常采用二進(jìn)制伸縮的方式,如式
3 DDoS攻擊檢測實驗
本文采用模擬攻擊的方法對文中提出的網(wǎng)絡(luò)異常檢測算法進(jìn)行測試。
3.1 數(shù)據(jù)來源
實驗數(shù)據(jù)由正常的背景流量和模擬的攻擊流量匯聚而成。
以北京工業(yè)大學(xué)某樓層的真實流量為正常流量樣本,采用Wireshark截取上午10:30~11:17之間的全部流量。時間精度為1 ms,包括各類正常訪問的數(shù)據(jù)包1 620 400個。分別匯聚為精度10 ms的BJUT-10流量和精度為1 s的BJUT-1000流量。
利用Sprient公司的ThreatEx2600作為攻擊流量的產(chǎn)生工具,模擬了DDoS攻擊中最經(jīng)典的SYN-Flood攻擊流量,并將攻擊強度以1 000 threats/s的幅度逐漸增加。將攻擊行為分為兩次,分別在小背景流量和大背景流量下進(jìn)行,小背景流量攻擊發(fā)生在100 000 ms,大背景流量發(fā)生在200 000 ms。每次攻擊持續(xù)180 s,其中流量上升階段30 s,峰值攻擊120 s,流量下降階段30 s。測試環(huán)境如圖1所示。
從實驗結(jié)果可以得出,在利用BJUT-10流量模型進(jìn)行異常檢測時,當(dāng)攻擊流量達(dá)到背景流量36.90%時,攻擊被檢測出來,但檢測完整性較差,僅為2.10%,檢測延遲91.28 s。
當(dāng)攻擊增強而背景流量不變時,攻擊的檢測率提高,攻擊檢測完整性也相應(yīng)提高;當(dāng)攻擊流量占到總流量91.36%時,檢測率達(dá)到100%,檢測完整性達(dá)到75.18%,檢測延遲為26.1 s。
當(dāng)攻擊強度不變,背景流量發(fā)生變化時,在大流量背景下,檢測的完整性較小流量背景下攻擊的檢測完整性和檢測率差距較大,檢測延遲明顯降低。
4 與典型算法對比
為了驗證本文算法的性能,采用相同的實驗數(shù)據(jù)與典型檢測方法進(jìn)行了對比測試。
4.1 Holder指數(shù)檢測法
本文重現(xiàn)了參考文獻(xiàn)[6]中的Holder指數(shù)計算方法,并將關(guān)鍵實驗參數(shù)設(shè)置為λ=0.9,s=10。
4.2 傳統(tǒng)Hurst指數(shù)檢測法
根據(jù)參考文獻(xiàn)[6-7]中的Hurst指數(shù)檢測法,因Hurst指數(shù)檢測法只適用于大尺度的網(wǎng)絡(luò)模型,即時間敏感度大于1 s的網(wǎng)絡(luò)模型,因此本文采用BJUT-1000流量進(jìn)行模擬檢測。采用db(3)小波分解,小波分解層數(shù)為j=10,小波移動尺度k=1,時間區(qū)間n=10。
4.3 性能比較
本文模擬的DDoS攻擊包含了30 s攻擊速率上升的過程,因此檢測延遲在一定程度上反應(yīng)了檢測算法對攻擊發(fā)生初期(0 s~30 s)的檢測能力。
從圖5可以看出本文方法在檢測延遲上同Holder指數(shù)檢測法性能相當(dāng)。從算法誤報率上看,本文方法誤報率較Holder指數(shù)檢測法有明顯改善。因而本文方法在檢測率和檢測完整性上優(yōu)于其他兩種檢測算法。如圖6所示。
本文提出了一種基于多分形模型數(shù)據(jù)預(yù)處理的異常檢測方法。利用小波分解的方法對網(wǎng)絡(luò)流量進(jìn)行分析。通過增加數(shù)據(jù)間相關(guān)性使得短相關(guān)的流量數(shù)據(jù)具備一定的長相關(guān)特性,而長相關(guān)數(shù)據(jù)的特性更加明顯。同時使用Hurst指數(shù)方差平均值對攻擊流量進(jìn)行檢測。相比于現(xiàn)有的實時檢測算法,其誤報率明顯降低,并保持較低的檢測延遲,提高了檢測率和檢測完整性。
參考文獻(xiàn)
[1] JOSEPH L H, FAN Z, PEIWEZ S. Characterizing normal operation of a Web Server:application to workload forecasting and problem detection[C].Proceedings of the Computer Measurement Grouy, 1998.
[2] THOTTAN M, JI C Y. Statistical detection of enterprise network problem [J]. Journal of Network and Systems Management, 1999,7(1):27-45.
[3] 曹敏, 程東年, 張建輝,等.基于自適應(yīng)閾值的網(wǎng)絡(luò)流量異常檢測算法[J].計算機工程, 2009,35(19):164-167.
[4] ABRY P, VEITCH D, Wavelet analysis of long-range dependence traffic[J]. IEEE Trans on Information Theory, 1998,44(1):2-15.
[5] 任義龍, 劉淵, 一種基于Holder指數(shù)的DDoS攻擊檢測方法[J]. 計算機應(yīng)用研究, 2011,28(2):724-727.
[6] 任義龍, 劉淵. 一種基于小波分析的DDoS攻擊檢測方法[J/OL].[2011-09-29]. http://www.cnki.net/kcms/detail/11.2127.tp.20110929.1037.054.html.
[7] 李金明, 王汝傳.基于VTP方法的DDoS攻擊實時監(jiān)測技術(shù)研究[J]. 電子學(xué)報, 2007,35(4):791-796.
[8] 胡俊, 譚獻(xiàn)海, 覃宇飛.基于小波技術(shù)的網(wǎng)絡(luò)流量分析與刻畫[J]. 計算機應(yīng)用, 2007,27(11):2659-2665.
[9] 任勛益, 王汝傳, 祁正華. 消失矩對小波分析求解自相似參數(shù)Hurst的影響研究[J], 電子與信息學(xué)報, 2007,29(9):2257-2261.
[10] 任勛益, 王汝傳, 王海艷. 基于自相似檢測DDoS攻擊的小波分析方法[J]. 通信學(xué)報, 2006,27(5):6-11.
[11] 李永利, 劉貴忠, 王海軍,等.自相似數(shù)據(jù)流的Hurst指數(shù)小波求解法分析[J].電子與信息學(xué)報, 2003,25(1):100-105.