《電子技術(shù)應用》
您所在的位置:首頁 > 嵌入式技術(shù) > 設計應用 > 實時的移動互聯(lián)網(wǎng)攻擊盲檢測與分析算法
實時的移動互聯(lián)網(wǎng)攻擊盲檢測與分析算法
2018年電子技術(shù)應用第3期
史二穎1,王 正2
1.常州機電職業(yè)技術(shù)學院,江蘇 常州213164;2.南京大學 電子科學與工程學院,江蘇 南京210093
摘要: 大規(guī)模移動互聯(lián)網(wǎng)攻擊檢測算法需要攻擊行為的先驗信息或者需要對攻擊行為進行監(jiān)督學習,降低了攻擊檢測算法的實時性與實用性,為此提出了一種實時的移動互聯(lián)網(wǎng)攻擊盲檢測與分析算法。首先,提取每個時段網(wǎng)絡流量的最大特征值,結(jié)合最大特征值與模型階數(shù)選擇技術(shù)檢測每個時段是否存在攻擊行為;然后,通過特征值分析技術(shù)來識別攻擊的類型,識別出特征值的變化細節(jié);最終,設計了相似性分析方案來分析攻擊的端口與時間等細節(jié)信息。基于真實實驗與公開網(wǎng)絡流量數(shù)據(jù)集的仿真結(jié)果表明,該算法獲得較高的攻擊檢測準確率。
中圖分類號: TN91;TP393
文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.172314
中文引用格式: 史二穎,王正. 實時的移動互聯(lián)網(wǎng)攻擊盲檢測與分析算法[J].電子技術(shù)應用,2018,44(3):89-93.
英文引用格式: Shi Erying,Wang Zheng. Real-time attacks blind detection and analysis algorithm of mobile internet network[J]. Application of Electronic Technique,2018,44(3):89-93.

Real-time attacks blind detection and analysis algorithm of mobile internet network
Shi Erying1,Wang Zheng2
1.Changzhou Vocational Institute of Mechatronic Technology,Changzhou 213164,China; 2.School of Electronic Science and Engineering,Nanjing University,Nanjing 210093,China
Abstract: Attack detection algorithms of large scale mobile internet network need the prior information of attack behaviors or supervised learning to attack behaviors, so these algorithms is not real time and applicable, a real-time attacks blind detection and analysis algorithm of mobile internet network is proposed to handle that problems. Firstly, the largest eigenvalues for all time frames are extracted, the attack behaviors of each time frame are detected by analysis combined largest eigenvalues with model order. Then, the types of detections are analyzed by eigenvalues analysis technique, and the variations details of the eigenvalues are identified. Lastly, similarity analysis schema are designed to analyze the detail information, such as port count and time. Simulation results based on the real experiment and public network traffic dataset show that the proposed algorithm realizes a good attack detection accuracy.
Key words : mobile internet network;attack detection;network safety;model order selection;distributed denial of service;port scan attack

0 引言

    移動互聯(lián)網(wǎng)的攻擊事件可以按照攻擊意圖分為4種類型:DoS攻擊(拒絕服務攻擊)[1]、R2L攻擊(遠程用戶攻擊攻擊)[2]、U2R攻擊(提權(quán)攻擊)[2]、Probe攻擊(掃描端口攻擊)[3]。分布式拒絕服務攻擊(DDoS)是一種分布式的DoS攻擊技術(shù)[4],現(xiàn)有的攻擊檢測算法大多采用監(jiān)督學習的算法來確定正常行為與異常行為的分類標記,但監(jiān)督學習類算法在檢測之前需要進行復雜的學習過程,極大地降低了系統(tǒng)的實時性[5]。文獻[6]提取攻擊流量并將流量建模為一個盲源分離過程,提出了基于快速ICA(Independent Component Analysis)的攻擊流特征提取算法,該方案對于RoQ具有較高的檢測準確率,但對于其他類型的攻擊沒有效果。文獻[7]設計了使用信號處理技術(shù)建模網(wǎng)絡流量的時間幀,該方案實現(xiàn)了異常網(wǎng)絡流量的盲檢測,但是無法分析與識別攻擊的具體類型與細節(jié)信息。

    當前的移動互聯(lián)網(wǎng)規(guī)模極大,對網(wǎng)絡攻擊技術(shù)的計算效率與檢測準確率均具有極高的要求,本文設計了移動互聯(lián)網(wǎng)的實時盲檢測與識別算法。將特征分析技術(shù)與模型階數(shù)選擇技術(shù)融合,無監(jiān)督地檢測網(wǎng)絡攻擊的時段;然后,設計了實時的相似性分析算法,分析網(wǎng)絡攻擊的類型、端口等細節(jié)信息?;诠_網(wǎng)絡數(shù)據(jù)集進行了實驗,結(jié)果證明本算法實現(xiàn)了較高的檢測準確率與合理的計算時間。

1 網(wǎng)絡攻擊的檢測與分析技術(shù)

    圖1所示是本文網(wǎng)絡攻擊檢測與分析技術(shù)的流程框圖,具體步驟:(1)提取每個時段的最大特征值;(2)結(jié)合最大特征值與模型階數(shù)選擇技術(shù)來檢測該時段是否存在攻擊行為;(3)通過特征值分析來識別攻擊的類型;(4)設計了相似性分析方案來分析攻擊的細節(jié)信息。

tx3-t1.gif

1.1 數(shù)據(jù)模型

    本文采用文獻[7]的數(shù)據(jù)模型,將網(wǎng)絡流量數(shù)據(jù)集建模為信號累加形式,假設網(wǎng)絡流量為X,合法流量為U,噪聲為N,異常流量為A,則可獲得下式:

tx3-gs1.gif

1.2 時間幀的最大特征

tx3-gs2-4.gif

tx3-gs5-9.gif

1.3 模型階數(shù)選擇技術(shù)

tx3-1.3-x1.gif

1.4 特征值分析

tx3-1.4-x1.gif

     tx3-1.4-x2.gif

    隨后應當分析攻擊的更多細節(jié)信息,設計了余弦相似性分析技術(shù)來度量合法流量與異常流量。

1.5 特征相似性分析

    使用余弦相似性度量V(q)的最顯著特征向量與受攻擊時段最顯著特征向量之間的相似性。

1.5.1 時間相似性分析

    合法流量與惡意流量的余弦相似性計算為:

tx3-gs10-12.gif

    圖2所示是將網(wǎng)絡流量添加到特征向量尾端的相似性疊加方案實例。根據(jù)式(10)計算sn值,如果sn=1,那么兩個特征向量完全相似,即未檢測到異常,sn值越小表示相似性越低。定義一個相似性閾值l,如果sn<l,表示在第n分鐘檢測到網(wǎng)絡攻擊,因此,是否存在攻擊行為的計算方法為:

tx3-gs13.gif

tx3-t2.gif

1.5.2 端口相似性分析

tx3-gs14.gif

2 實驗與結(jié)果分析

2.1 真實場景的實驗與結(jié)果分析

2.1.1 實驗環(huán)境與參數(shù)設置

    實驗的時長為120 min,分為6個時段,每個時段為20 min,每個采樣周期的時間(時隙)是1 min,因此N=20。為每個時段q建立一個流量矩陣tx3-2.1.1-x1.gif協(xié)方差為tx3-2.1.1-x2.gif(式(3)),采樣的協(xié)方差矩陣為tx3-2.1.1-x3.gif其中q=1,2,…,6。

    實驗開始于14:00,第一個時段從14:00~14:20(q=1),每20 min為一個時段,網(wǎng)絡共設置5個端口。實驗過程中合法用戶進行合法的訪問,攻擊者的攻擊行為如下:在14:54對端口1進行一個端口掃描攻擊,在15:10~15:20對端口1進行synflood攻擊,在15:30~15:40對端口1進行fraggle攻擊。

2.1.2 實驗結(jié)果與分析

    本算法獲得網(wǎng)絡流量每個時段的最大特征值,通過流量的特征值分析網(wǎng)絡的攻擊行為,觀察攻擊行為的特征值變化。圖3所示為根據(jù)網(wǎng)絡流量的協(xié)方差矩陣計算的特征值,用以檢測synflood攻擊行為。圖3中顯示端口1在第4個時段的特征值明顯高于其他時段、其他端口的特征值,與實驗中發(fā)動synflood攻擊的時間吻合。

tx3-t3.gif

    圖4所示為根據(jù)網(wǎng)絡流量的協(xié)方差矩陣計算的特征值,用以檢測fraggle攻擊行為。圖4中顯示端口1在第5個時段的特征值明顯高于其他時段、其他端口的特征值,與實驗中發(fā)動fraggle攻擊的時間吻合。

tx3-t4.gif

    圖5所示為根據(jù)網(wǎng)絡流量的協(xié)方差矩陣計算的特征值,用以檢測端口掃描攻擊行為。圖5中顯示端口1在第3個時段的特征值明顯的高于其他時段、其他端口的特征值,與實驗中發(fā)動端口掃描攻擊的時間吻合。

tx3-t5.gif

    表1所示是6個時段對于端口掃描攻擊、synflood攻擊與fraggle攻擊檢測的最大特征值,從表中可看出,在q=4,發(fā)生了synflood攻擊,此時的最大特征值約為第二大特征值的21倍;在q=5,發(fā)生了fraggle攻擊,此時的最大特征值約為第二大特征值的29 000倍。在q=3,發(fā)生了端口掃描攻擊,此時的最大特征值約為第二大特征值的4倍。

tx3-b1.gif

    從表1的結(jié)果,可看出攻擊行為導致最大特征值與其他特征值具有顯著的差異。采用樣本協(xié)方差矩陣建模synflood攻擊的特征值,采用零均值的協(xié)方差矩陣建模端口掃描攻擊的特征值。

2.2 基于DARPA公開數(shù)據(jù)集的實驗

    基于公開的DARPA 1998數(shù)據(jù)集[11]進行攻擊檢測實驗,DARPA數(shù)據(jù)集包含7個星期網(wǎng)絡流量的原報文數(shù)據(jù),將流量與標記的攻擊按照日期分組。對每天24小時的網(wǎng)絡流量均進行攻擊檢測與分析,將24小時的網(wǎng)絡流量分為Q個時段,每個時段為60 min(N=60)。對于每個時段q,計算該時段的流量矩陣tx3-2.2-x1.gif實驗流量數(shù)據(jù)的端口號分別為20,21,22,23,25,79,80,88,107,109,110,113,115,143,161,389,443。

    因為本文主要檢測與分析synflood攻擊與端口掃描攻擊,所以統(tǒng)計了這兩個攻擊的檢測準確率結(jié)果。采用TP[12]、FP[12]與誤檢率[13]3個指標評估攻擊檢測的準確率,文獻[14]是近年一種基于統(tǒng)計分析的攻擊檢測算法,與本算法較為接近;文獻[15]是一種基于擴散小波的攻擊檢測算法,該算法對端口掃描攻擊具有較好的效果。

    表2所示是攻擊檢測的實驗結(jié)果。本算法對于synflood攻擊的TP值、FP值與誤檢率分別為100%、6%與5%,而文獻[14]的TP結(jié)果為82%,明顯低于本算法。雖然本算法具有一定的誤檢率與FP值,但是均較小。本算法對于端口掃描攻擊的TP值、FP值與誤檢率分別為76.92%、8.52%與3.73%,而文獻[15]的TP結(jié)果為63.00%,略低于本算法。

tx3-b2.gif

3 結(jié)束語

    本文設計了移動互聯(lián)網(wǎng)的實時盲檢測與識別算法。將特征分析技術(shù)與模型階數(shù)選擇技術(shù)融合,無監(jiān)督地檢測網(wǎng)絡攻擊的時段;然后,設計了實時的相似性分析算法,分析網(wǎng)絡攻擊的類型、端口等細節(jié)信息。最終,基于真實實驗與公開網(wǎng)絡流量數(shù)據(jù)集的實驗結(jié)果證明了本算法對于synflood攻擊與端口掃描攻擊表現(xiàn)出了較好的效果。

參考文獻

[1] 李昆侖,董寧,關立偉,等.一種改進Kohonen網(wǎng)絡的DoS攻擊檢測算法[J].小型微型計算機系統(tǒng),2017(3):450-454.

[2] 康松林,劉樂,劉楚楚,等.多層極限學習機在入侵檢測中的應用[J].計算機應用,2015,35(9):2513-2518.

[3] 王輝,劉淑芬,張欣佳.信息系統(tǒng)“Insider threat”分析及其解決方案[J].吉林大學學報(工學版),2006,36(5):809-813.

[4] 姜華林,李立新,黃平,等.有效防御DDoS攻擊的密鑰交換協(xié)議的設計研究[J].西南師范大學學報(自然科學版),2009,34(2):127-131.

[5] 楊曉峰,李偉,孫明明,等.基于文本聚類的網(wǎng)絡攻擊檢測方法[J].智能系統(tǒng)學報,2014(1):40-46.

[6] 榮宏,王會梅,鮮明,等.基于快速獨立成分分析的RoQ攻擊檢測方法[J].電子與信息學報,2013,35(10):2307-2313.

[7] TENORIO D,COSTA J,JUNIOR R S.Greatest eigenvalue time vector approach for blind detection of malicious traffic[C].The Eighth International Conference on Forensic Computer Science,2013:46-51.

[8] JIN S,YEUNG D S.A covariance analysis model for DDoS attack detection[C].IEEE International Conference on Communications.IEEE,2004,14:1882-1886.

[9] LAKHINA A,CROVELLA M,DIOT C.Mining anomalies using traffic feature distributions[C].Conference on Applications,Technologies,Architectures,and Protocols for Computer Communications.ACM,2005:217-228.

[10] TENORIO T,BITTENCOURT I I,ISOTANI S,et al.Dataset of two experiments of the application of gamified peer assessment model into online learning environment MeuTutor[J].Data in Brief,2017,12(C):433-437.

[11] OSANAIYE O,CHOO K K R,DLODLO M.Distributed denial of service(DDoS) resilience in cloud:Review and conceptual cloud DDoS mitigation framework[J].Journal of Network & Computer Applications,2016,67(C):147-165.

[12] SENN S.Review of Fleiss,statistical methods for rates and proportions[J].Research Synthesis Methods,2011,2(3):221-222.

[13] BHUYAN M H,BHATTACHARYYA D K,KALITA J K.Network anomaly detection:Methods,systems and tools[J].IEEE Communications Surveys & Tutorials,2014,16(1):303-336.

[14] CAMACHO J,PEREZ-VILLEGAS A,GARCIA-TEODORO P,et al.PCA-based multivariate statistical network monitoring for anomaly detection[J].Computers & Security,2016,59:118-137.

[15] SUN T,TIAN H.Anomaly detection by diffusion wavelet-based analysis on traffic matrix[C].2014 Sixth International Symposium on PAAP,2014:13-15.



作者信息:

史二穎1,王  正2

(1.常州機電職業(yè)技術(shù)學院,江蘇 常州213164;2.南京大學 電子科學與工程學院,江蘇 南京210093)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。