0 引言

    移動互聯(lián)網(wǎng)的攻擊事件可以按照攻擊意圖分為4種類型：DoS攻擊(拒絕服務(wù)攻擊)^[1]、R2L攻擊(遠程用戶攻擊攻擊)^[2]、U2R攻擊(提權(quán)攻擊)^[2]、Probe攻擊(掃描端口攻擊)^[3]。分布式拒絕服務(wù)攻擊(DDoS)是一種分布式的DoS攻擊技術(shù)^[4]，現(xiàn)有的攻擊檢測算法大多采用監(jiān)督學習的算法來確定正常行為與異常行為的分類標記，但監(jiān)督學習類算法在檢測之前需要進行復(fù)雜的學習過程，極大地降低了系統(tǒng)的實時性^[5]。文獻[6]提取攻擊流量并將流量建模為一個盲源分離過程，提出了基于快速ICA(Independent Component Analysis)的攻擊流特征提取算法，該方案對于RoQ具有較高的檢測準確率，但對于其他類型的攻擊沒有效果。文獻[7]設(shè)計了使用信號處理技術(shù)建模網(wǎng)絡(luò)流量的時間幀，該方案實現(xiàn)了異常網(wǎng)絡(luò)流量的盲檢測，但是無法分析與識別攻擊的具體類型與細節(jié)信息。

    當前的移動互聯(lián)網(wǎng)規(guī)模極大，對網(wǎng)絡(luò)攻擊技術(shù)的計算效率與檢測準確率均具有極高的要求，本文設(shè)計了移動互聯(lián)網(wǎng)的實時盲檢測與識別算法。將特征分析技術(shù)與模型階數(shù)選擇技術(shù)融合，無監(jiān)督地檢測網(wǎng)絡(luò)攻擊的時段；然后，設(shè)計了實時的相似性分析算法，分析網(wǎng)絡(luò)攻擊的類型、端口等細節(jié)信息?；诠_網(wǎng)絡(luò)數(shù)據(jù)集進行了實驗，結(jié)果證明本算法實現(xiàn)了較高的檢測準確率與合理的計算時間。

1 網(wǎng)絡(luò)攻擊的檢測與分析技術(shù)

    圖1所示是本文網(wǎng)絡(luò)攻擊檢測與分析技術(shù)的流程框圖，具體步驟：(1)提取每個時段的最大特征值；(2)結(jié)合最大特征值與模型階數(shù)選擇技術(shù)來檢測該時段是否存在攻擊行為；(3)通過特征值分析來識別攻擊的類型；(4)設(shè)計了相似性分析方案來分析攻擊的細節(jié)信息。

1.1 數(shù)據(jù)模型

    本文采用文獻[7]的數(shù)據(jù)模型，將網(wǎng)絡(luò)流量數(shù)據(jù)集建模為信號累加形式，假設(shè)網(wǎng)絡(luò)流量為X，合法流量為U，噪聲為N，異常流量為A，則可獲得下式：

1.2 時間幀的最大特征

1.3 模型階數(shù)選擇技術(shù)

1.4 特征值分析

    隨后應(yīng)當分析攻擊的更多細節(jié)信息，設(shè)計了余弦相似性分析技術(shù)來度量合法流量與異常流量。

1.5 特征相似性分析

    使用余弦相似性度量V^(q)的最顯著特征向量與受攻擊時段最顯著特征向量之間的相似性。

1.5.1 時間相似性分析

    合法流量與惡意流量的余弦相似性計算為：

    圖2所示是將網(wǎng)絡(luò)流量添加到特征向量尾端的相似性疊加方案實例。根據(jù)式(10)計算s_n值，如果s_n=1，那么兩個特征向量完全相似，即未檢測到異常，s_n值越小表示相似性越低。定義一個相似性閾值l，如果s_n<l，表示在第n分鐘檢測到網(wǎng)絡(luò)攻擊，因此，是否存在攻擊行為的計算方法為：

1.5.2 端口相似性分析

2 實驗與結(jié)果分析

2.1 真實場景的實驗與結(jié)果分析

2.1.1 實驗環(huán)境與參數(shù)設(shè)置

    實驗的時長為120 min，分為6個時段，每個時段為20 min，每個采樣周期的時間(時隙)是1 min，因此N=20。為每個時段q建立一個流量矩陣協(xié)方差為(式(3))，采樣的協(xié)方差矩陣為其中q=1，2，…，6。

    實驗開始于14:00，第一個時段從14:00～14:20(q=1)，每20 min為一個時段，網(wǎng)絡(luò)共設(shè)置5個端口。實驗過程中合法用戶進行合法的訪問，攻擊者的攻擊行為如下：在14:54對端口1進行一個端口掃描攻擊，在15:10～15:20對端口1進行synflood攻擊，在15:30～15:40對端口1進行fraggle攻擊。

2.1.2 實驗結(jié)果與分析

    本算法獲得網(wǎng)絡(luò)流量每個時段的最大特征值，通過流量的特征值分析網(wǎng)絡(luò)的攻擊行為，觀察攻擊行為的特征值變化。圖3所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計算的特征值，用以檢測synflood攻擊行為。圖3中顯示端口1在第4個時段的特征值明顯高于其他時段、其他端口的特征值，與實驗中發(fā)動synflood攻擊的時間吻合。

    圖4所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計算的特征值，用以檢測fraggle攻擊行為。圖4中顯示端口1在第5個時段的特征值明顯高于其他時段、其他端口的特征值，與實驗中發(fā)動fraggle攻擊的時間吻合。

    圖5所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計算的特征值，用以檢測端口掃描攻擊行為。圖5中顯示端口1在第3個時段的特征值明顯的高于其他時段、其他端口的特征值，與實驗中發(fā)動端口掃描攻擊的時間吻合。

    表1所示是6個時段對于端口掃描攻擊、synflood攻擊與fraggle攻擊檢測的最大特征值，從表中可看出，在q=4，發(fā)生了synflood攻擊，此時的最大特征值約為第二大特征值的21倍；在q=5，發(fā)生了fraggle攻擊，此時的最大特征值約為第二大特征值的29 000倍。在q=3，發(fā)生了端口掃描攻擊，此時的最大特征值約為第二大特征值的4倍。

    從表1的結(jié)果，可看出攻擊行為導致最大特征值與其他特征值具有顯著的差異。采用樣本協(xié)方差矩陣建模synflood攻擊的特征值，采用零均值的協(xié)方差矩陣建模端口掃描攻擊的特征值。

2.2 基于DARPA公開數(shù)據(jù)集的實驗

    基于公開的DARPA 1998數(shù)據(jù)集[11]進行攻擊檢測實驗，DARPA數(shù)據(jù)集包含7個星期網(wǎng)絡(luò)流量的原報文數(shù)據(jù)，將流量與標記的攻擊按照日期分組。對每天24小時的網(wǎng)絡(luò)流量均進行攻擊檢測與分析，將24小時的網(wǎng)絡(luò)流量分為Q個時段，每個時段為60 min(N=60)。對于每個時段q，計算該時段的流量矩陣實驗流量數(shù)據(jù)的端口號分別為20，21，22，23，25，79，80，88，107，109，110，113，115，143，161，389，443。

    因為本文主要檢測與分析synflood攻擊與端口掃描攻擊，所以統(tǒng)計了這兩個攻擊的檢測準確率結(jié)果。采用TP^[12]、FP^[12]與誤檢率^[13]3個指標評估攻擊檢測的準確率，文獻[14]是近年一種基于統(tǒng)計分析的攻擊檢測算法，與本算法較為接近；文獻[15]是一種基于擴散小波的攻擊檢測算法，該算法對端口掃描攻擊具有較好的效果。

    表2所示是攻擊檢測的實驗結(jié)果。本算法對于synflood攻擊的TP值、FP值與誤檢率分別為100%、6%與5%，而文獻[14]的TP結(jié)果為82%，明顯低于本算法。雖然本算法具有一定的誤檢率與FP值，但是均較小。本算法對于端口掃描攻擊的TP值、FP值與誤檢率分別為76.92%、8.52%與3.73%，而文獻[15]的TP結(jié)果為63.00%，略低于本算法。

3 結(jié)束語

    本文設(shè)計了移動互聯(lián)網(wǎng)的實時盲檢測與識別算法。將特征分析技術(shù)與模型階數(shù)選擇技術(shù)融合，無監(jiān)督地檢測網(wǎng)絡(luò)攻擊的時段；然后，設(shè)計了實時的相似性分析算法，分析網(wǎng)絡(luò)攻擊的類型、端口等細節(jié)信息。最終，基于真實實驗與公開網(wǎng)絡(luò)流量數(shù)據(jù)集的實驗結(jié)果證明了本算法對于synflood攻擊與端口掃描攻擊表現(xiàn)出了較好的效果。

參考文獻

[1] 李昆侖，董寧，關(guān)立偉，等.一種改進Kohonen網(wǎng)絡(luò)的DoS攻擊檢測算法[J].小型微型計算機系統(tǒng)，2017(3)：450-454.

[2] 康松林，劉樂，劉楚楚，等.多層極限學習機在入侵檢測中的應(yīng)用[J].計算機應(yīng)用，2015，35(9)：2513-2518.

[3] 王輝，劉淑芬，張欣佳.信息系統(tǒng)“Insider threat”分析及其解決方案[J].吉林大學學報(工學版)，2006，36(5)：809-813.

[4] 姜華林，李立新，黃平，等.有效防御DDoS攻擊的密鑰交換協(xié)議的設(shè)計研究[J].西南師范大學學報(自然科學版)，2009，34(2)：127-131.

[5] 楊曉峰，李偉，孫明明，等.基于文本聚類的網(wǎng)絡(luò)攻擊檢測方法[J].智能系統(tǒng)學報，2014(1)：40-46.

[6] 榮宏，王會梅，鮮明，等.基于快速獨立成分分析的RoQ攻擊檢測方法[J].電子與信息學報，2013，35(10)：2307-2313.

[7] TENORIO D，COSTA J，JUNIOR R S.Greatest eigenvalue time vector approach for blind detection of malicious traffic[C].The Eighth International Conference on Forensic Computer Science，2013：46-51.

[8] JIN S，YEUNG D S.A covariance analysis model for DDoS attack detection[C].IEEE International Conference on Communications.IEEE，2004，14：1882-1886.

[9] LAKHINA A，CROVELLA M，DIOT C.Mining anomalies using traffic feature distributions[C].Conference on Applications，Technologies，Architectures，and Protocols for Computer Communications.ACM，2005：217-228.

[10] TENORIO T，BITTENCOURT I I，ISOTANI S，et al.Dataset of two experiments of the application of gamified peer assessment model into online learning environment MeuTutor[J].Data in Brief，2017，12(C)：433-437.

[11] OSANAIYE O，CHOO K K R，DLODLO M.Distributed denial of service(DDoS) resilience in cloud：Review and conceptual cloud DDoS mitigation framework[J].Journal of Network & Computer Applications，2016，67(C)：147-165.

[12] SENN S.Review of Fleiss，statistical methods for rates and proportions[J].Research Synthesis Methods，2011，2(3)：221-222.

[13] BHUYAN M H，BHATTACHARYYA D K，KALITA J K.Network anomaly detection：Methods，systems and tools[J].IEEE Communications Surveys & Tutorials，2014，16(1)：303-336.

[14] CAMACHO J，PEREZ-VILLEGAS A，GARCIA-TEODORO P，et al.PCA-based multivariate statistical network monitoring for anomaly detection[J].Computers & Security，2016，59：118-137.

[15] SUN T，TIAN H.Anomaly detection by diffusion wavelet-based analysis on traffic matrix[C].2014 Sixth International Symposium on PAAP，2014：13-15.

作者信息:

史二穎1，王  正2

(1.常州機電職業(yè)技術(shù)學院，江蘇 常州213164；2.南京大學 電子科學與工程學院，江蘇 南京210093)