《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 基于數(shù)據(jù)預(yù)處理的DDoS攻擊檢測方法研究
基于數(shù)據(jù)預(yù)處理的DDoS攻擊檢測方法研究
來源:電子技術(shù)應(yīng)用2013年第1期
高一為, 賴英旭, 吳 歡, 陳偉桐
北京工業(yè)大學(xué) 計算機學(xué)院, 北京100124
摘要: 利用小波分解網(wǎng)絡(luò)流量的方法,提出了一種基于數(shù)據(jù)預(yù)處理的分布式拒絕服務(wù)DDoS攻擊檢測算法。通過對小尺度流量數(shù)據(jù)進(jìn)行預(yù)處理,使得短相關(guān)的網(wǎng)絡(luò)流量體現(xiàn)出長相關(guān)性并保持小尺度模型的時間敏感度,滿足了Hurst指數(shù)刻畫多分形模型的條件,解決了現(xiàn)有小尺度網(wǎng)絡(luò)異常實時檢測方法的缺陷,如Holder指數(shù)檢測算法誤報率高、VTP檢測法檢測率不足等問題。
中圖分類號: TP309.5
文獻(xiàn)標(biāo)識碼: A
文章編號: 0258-7998(2013)01-0139-04
A new method to detect DDoS attack based on data preprocessing
Gao Yiwei, Lai Yingxu, Wu Huan, Chen Weitong
College of Computer, Beijing University of Technology, Beijing 100124, China
Abstract: In this paper, a new algorithm detecting distributed denial of service (DDoS) attack is put forward based on wavelet decomposition of network traffic. Having preprocessed the small-scale traffic data, short related network traffic reflects long correlation and keeps time sensitivity of small scale model.The new method provides the conditions for the Hurst index to depict the multi-fractal models, but also solve the existing small scale network defections of real-time detection, such as the high distorting rate of Holder index detection algorithm and the inadequate detection rates of VTP method.
Key words : distributed denial of service attack; Hurst; multi-fractal; wavelet; abnormal traffic detection

    現(xiàn)有的基于網(wǎng)絡(luò)流量的DDoS攻擊檢測方法可以按照對時間尺度的敏感程度進(jìn)行劃分,通常將小于100 ms的網(wǎng)絡(luò)模型稱為小尺度網(wǎng)絡(luò)模型,將以小時(hour)或天(day)作為時間單位的網(wǎng)絡(luò)模型稱為大尺度網(wǎng)絡(luò)模型?;诖蟪叨染W(wǎng)絡(luò)模型的檢測方法主要有方差分析法(ANVOA)[1]、泛化似然比檢驗法(Generalized Likelihood Ratio Test)[2]、自適應(yīng)殘差比較法[3]等,這些方法雖然有較好的檢測率和較低的誤報率,但是因其以hour或day為統(tǒng)計單位而不具備實時檢測的能力。相比之下小尺度網(wǎng)絡(luò)模型更適合于實時檢測,但因其表現(xiàn)出多分形性[4]而難以觀測。參考文獻(xiàn)[5]提出的Holder指數(shù)檢測法雖然檢測延時短,但是受到短相關(guān)性質(zhì)對網(wǎng)絡(luò)流量整體觀測能力不足的影響,誤報率過高。針對這一問題,參考文獻(xiàn)[6]提出了一種基于傳統(tǒng)Hurst指數(shù)和Holder指數(shù)的分形檢測法,通過判斷網(wǎng)絡(luò)流量的實時分形特性,分別采用兩種不同方法進(jìn)行檢測,雖然提高了分形模型中長相關(guān)部分的檢測準(zhǔn)確率,但是當(dāng)流量數(shù)據(jù)表現(xiàn)出短相關(guān)時,誤報問題仍沒有解決。參考文獻(xiàn)[7]提出了一種基于Hurst指數(shù)的方差-時間圖法VTP(Variance-Time Plots),試圖利用多分形模型中包含的長相關(guān)特性進(jìn)行檢測。受多分形模型中長相關(guān)特性并不明顯的影響,誤報率雖然有所下降,但是檢測率上還存在不足。

    現(xiàn)有小尺度網(wǎng)絡(luò)模型通常采用Holder、Hurst等指數(shù)進(jìn)行檢測,Holder指數(shù)觀測尺度狹窄、誤報率高;Hurst指數(shù)能夠在整體上對流量的自相似性進(jìn)行刻畫,具有較高的檢測精度,但要求觀測的時間尺度寬,不利于實時檢測。本文提出的基于數(shù)據(jù)預(yù)處理的DDoS攻擊檢測方法在Hurst指數(shù)檢測的基礎(chǔ)上,通過提高流量間相關(guān)度,滿足了Hurst指數(shù)定義對模型長相關(guān)程度的要求,從而能夠更準(zhǔn)確地對具有多分形特性的流量進(jìn)行分析。
1 流量預(yù)處理
    小尺度網(wǎng)絡(luò)模型中包含的網(wǎng)絡(luò)業(yè)務(wù)信息相比大尺度網(wǎng)絡(luò)模型少但更為細(xì)致,因而也更易受流量的突發(fā)性影響?;诹髁康腄DoS攻擊檢測技術(shù)正是利用了流量突發(fā)性對統(tǒng)計特性造成的奇異點進(jìn)行檢測,因此為了降低誤報率就需要降低正常流量發(fā)生時對小尺度模型統(tǒng)計特性的影響。最直接的方法就是增加小尺度模型各節(jié)點包含的信息量,增強其長相關(guān)性。參考文獻(xiàn)[8]就可能影響流量性能的因素提出了假設(shè),并認(rèn)為均值和方差對多分形有較大影響。本文在參考文獻(xiàn)[8]的基礎(chǔ)上,提出采用滑動平均值來代替原有采樣值的方法,在保證不丟失原有信息特性的前提下,將前后時間節(jié)點的特性包含進(jìn)來,提高了節(jié)點中包含的信息量,使得小尺度網(wǎng)絡(luò)模型的長相關(guān)性增強,同時降低了正常流量發(fā)生時對統(tǒng)計特性可能造成的影響。流量預(yù)處理方法如式(1)所示:

    小波分解過程中通常采用二進(jìn)制伸縮的方式,如式

3 DDoS攻擊檢測實驗
    本文采用模擬攻擊的方法對文中提出的網(wǎng)絡(luò)異常檢測算法進(jìn)行測試。
3.1 數(shù)據(jù)來源
    實驗數(shù)據(jù)由正常的背景流量和模擬的攻擊流量匯聚而成。
    以北京工業(yè)大學(xué)某樓層的真實流量為正常流量樣本,采用Wireshark截取上午10:30~11:17之間的全部流量。時間精度為1 ms,包括各類正常訪問的數(shù)據(jù)包1 620 400個。分別匯聚為精度10 ms的BJUT-10流量和精度為1 s的BJUT-1000流量。
     利用Sprient公司的ThreatEx2600作為攻擊流量的產(chǎn)生工具,模擬了DDoS攻擊中最經(jīng)典的SYN-Flood攻擊流量,并將攻擊強度以1 000 threats/s的幅度逐漸增加。將攻擊行為分為兩次,分別在小背景流量和大背景流量下進(jìn)行,小背景流量攻擊發(fā)生在100 000 ms,大背景流量發(fā)生在200 000 ms。每次攻擊持續(xù)180 s,其中流量上升階段30 s,峰值攻擊120 s,流量下降階段30 s。測試環(huán)境如圖1所示。

     從實驗結(jié)果可以得出,在利用BJUT-10流量模型進(jìn)行異常檢測時,當(dāng)攻擊流量達(dá)到背景流量36.90%時,攻擊被檢測出來,但檢測完整性較差,僅為2.10%,檢測延遲91.28 s。
    當(dāng)攻擊增強而背景流量不變時,攻擊的檢測率提高,攻擊檢測完整性也相應(yīng)提高;當(dāng)攻擊流量占到總流量91.36%時,檢測率達(dá)到100%,檢測完整性達(dá)到75.18%,檢測延遲為26.1 s。
    當(dāng)攻擊強度不變,背景流量發(fā)生變化時,在大流量背景下,檢測的完整性較小流量背景下攻擊的檢測完整性和檢測率差距較大,檢測延遲明顯降低。
4 與典型算法對比
    為了驗證本文算法的性能,采用相同的實驗數(shù)據(jù)與典型檢測方法進(jìn)行了對比測試。
4.1 Holder指數(shù)檢測法
    本文重現(xiàn)了參考文獻(xiàn)[6]中的Holder指數(shù)計算方法,并將關(guān)鍵實驗參數(shù)設(shè)置為λ=0.9,s=10。
4.2 傳統(tǒng)Hurst指數(shù)檢測法
    根據(jù)參考文獻(xiàn)[6-7]中的Hurst指數(shù)檢測法,因Hurst指數(shù)檢測法只適用于大尺度的網(wǎng)絡(luò)模型,即時間敏感度大于1 s的網(wǎng)絡(luò)模型,因此本文采用BJUT-1000流量進(jìn)行模擬檢測。采用db(3)小波分解,小波分解層數(shù)為j=10,小波移動尺度k=1,時間區(qū)間n=10。
4.3 性能比較
    本文模擬的DDoS攻擊包含了30 s攻擊速率上升的過程,因此檢測延遲在一定程度上反應(yīng)了檢測算法對攻擊發(fā)生初期(0 s~30 s)的檢測能力。
    從圖5可以看出本文方法在檢測延遲上同Holder指數(shù)檢測法性能相當(dāng)。從算法誤報率上看,本文方法誤報率較Holder指數(shù)檢測法有明顯改善。因而本文方法在檢測率和檢測完整性上優(yōu)于其他兩種檢測算法。如圖6所示。

    本文提出了一種基于多分形模型數(shù)據(jù)預(yù)處理的異常檢測方法。利用小波分解的方法對網(wǎng)絡(luò)流量進(jìn)行分析。通過增加數(shù)據(jù)間相關(guān)性使得短相關(guān)的流量數(shù)據(jù)具備一定的長相關(guān)特性,而長相關(guān)數(shù)據(jù)的特性更加明顯。同時使用Hurst指數(shù)方差平均值對攻擊流量進(jìn)行檢測。相比于現(xiàn)有的實時檢測算法,其誤報率明顯降低,并保持較低的檢測延遲,提高了檢測率和檢測完整性。
參考文獻(xiàn)
[1] JOSEPH L H, FAN Z, PEIWEZ S. Characterizing normal operation of a Web Server:application to workload forecasting and problem detection[C].Proceedings of the Computer Measurement Grouy, 1998.
[2] THOTTAN M, JI C Y. Statistical detection of enterprise network problem [J]. Journal of Network and Systems Management, 1999,7(1):27-45.
[3] 曹敏, 程東年, 張建輝,等.基于自適應(yīng)閾值的網(wǎng)絡(luò)流量異常檢測算法[J].計算機工程, 2009,35(19):164-167.
[4] ABRY P, VEITCH D, Wavelet analysis of long-range dependence traffic[J]. IEEE Trans on Information Theory, 1998,44(1):2-15.
[5] 任義龍, 劉淵, 一種基于Holder指數(shù)的DDoS攻擊檢測方法[J]. 計算機應(yīng)用研究, 2011,28(2):724-727.
[6] 任義龍, 劉淵. 一種基于小波分析的DDoS攻擊檢測方法[J/OL].[2011-09-29]. http://www.cnki.net/kcms/detail/11.2127.tp.20110929.1037.054.html.
[7] 李金明, 王汝傳.基于VTP方法的DDoS攻擊實時監(jiān)測技術(shù)研究[J]. 電子學(xué)報, 2007,35(4):791-796.
[8] 胡俊, 譚獻(xiàn)海, 覃宇飛.基于小波技術(shù)的網(wǎng)絡(luò)流量分析與刻畫[J]. 計算機應(yīng)用, 2007,27(11):2659-2665.
[9] 任勛益, 王汝傳, 祁正華. 消失矩對小波分析求解自相似參數(shù)Hurst的影響研究[J], 電子與信息學(xué)報, 2007,29(9):2257-2261.
[10] 任勛益, 王汝傳, 王海艷. 基于自相似檢測DDoS攻擊的小波分析方法[J]. 通信學(xué)報, 2006,27(5):6-11.
[11] 李永利, 劉貴忠, 王海軍,等.自相似數(shù)據(jù)流的Hurst指數(shù)小波求解法分析[J].電子與信息學(xué)報, 2003,25(1):100-105.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。