母军臣,陈书理

(开封大学 软件技术学院,河南 开封 475004)

基于时间序列 PDD的DDoS攻击检测

母军臣,陈书理

(开封大学 软件技术学院,河南 开封 475004)

基于DDoS攻击的相关特性,提出了一种时间序列 PDD的DDoS攻击检测方法,结合时间序列 PDD的平稳性,采用了非参数的 CUSUM算法检测DDoS攻击,并对该方法的有效性进行了模拟.

DDoS;时间序列;非参数;CUSUM算法＊

Internet应用范围越来越广,网络安全问题已经成为制约 Internet应用和发展的主要问题.在若干网络安全问题中,DDoS(DDoS,Distributed Denial of Service)攻击[1,2,3]尤为突出.针对DDoS攻击的特点,结合相关网络协议和技术等,已经提出了很多种 DDoS攻击检测和防御策略,本文主要介绍一种基于时间序列 PDD的DDoS攻击检测方法,并给出了模拟测试结果.

1 时间序列 PDD分析

1.1 相关概念

基于时间序列 PDD的检测模型中,用到了一个时间序列 PDD(端口数据密度 PDD,Port to Port Data Density),其定义和相关信息如下.

定义 1:设 r={p1,p2,…,pi}为网络数据包集合,用三元组 (S Ai,SPi,DPi)表示 r中的元素 Pi,其中 SAi、SPi和DPi分别表示数据包 Pi的源 IP地址、源端口号和目的端口号.如果集合 r中所有元素的三元组 (S Ai,SPi,DPi)相同,则称 r为相关集合.

定义 2:设 P={p1,p2,…,pi}为Δt时间内网络数据包集合,P的一个划分为 r1,r2,…,rm,且 r1∪r2∪…∪rm=P,r1∩r2∩…∩rm=φ.集合 P内相关数据包集合为 R={r1,r2,…,rm},定义集合 R中元素的个数(即|R|)为网络流量的端口数据密度 PDD.

图1 数据包信息

图2 聚合后的关联关系

假设得到的网络流量的数据包集合为 P={p1,p2,p3,p4,p5,p6,p7,p8},该集合的数据包信息如图1所示,聚合后得到的关联关系如图2所示.根据定义 1对数据包集合 P进行分析,可以得到相关的数据包集合有和 r7={p8}则有根据定义 2可知,此网络流量的时间序列 PDD为|R|=7.

DDoS的攻击特性使网络的 PDD异常增加,因此,可以根据 PDD可以检测DDoS攻击.需要说明的是,合法的网络流量也会使 PDD增加,但是合法网络流量所要求服务的单一性,源 IP地址、源端口号和目标端口号的相对稳定性与 DDoS攻击的大量不稳定性相比,PDD变化模式有显著的区别.从而,通过研究 PDD的相关特性,可以检测DDoS攻击.

1.2 时间序列 PDD平稳性分析

要进行DDoS攻击检测,必须对实时的网络流量采样,根据采样样本得到时间序列PDD,再进一步分析时间序列 PDD的特性.假设每Δt时间内对网络流 F采样,得到 T1时间样本 P1、T2时间样本 2、……、Tn时间样本 Pn.通过样本 Pi计算 Ti时间的时间序列PDD(1≤i≤n),得到集合 R.网络流 F所有采样样本的时间序列 PDD集合便组成了一个时间序列 Z(ni,Δt)={ai|i=1,2,…,n}.

时间序列平稳性检测方法有很多,本文采用非参数检验法.该方法只涉及一组实测数据,而不需要假设数据的分布规律.在保持随即时间序列原有顺序的情况下,游程定义为具有相同符号的序列,这种符号可把观测值分成两个相互排斥的类.对于时间序列 ai(i=1,2,…,n),其均值为,用符号“+”表示 ai≥,而“-”表示 ai＜.按符号“+”和“-”的出现顺序将原序列写成如下形式:

每个游程的长短并不重要,游程太多或太少都被认为是存在非平稳性趋势,样本数据出现的顺序没有明显的趋势,就是平稳的.记 N1为一种符号出现的总数,N2为另一种符号出现的总数,γ为游程的总数.其中γ作为检验统计量.如果γ在界限以内,接受原假设,否则拒绝假设.当N1或N2超过 15时可以用正态分布来近似,此时用的统计量为

其中

对于α=0.05的显著水平,若 |Z|≤1.96(按 2σ原则),则可接受原假设,否则就拒绝.本文通过获得的网络流量样本,得到 40个时间序列 PDD.设“+”表示 ai≥,“-”表示 ai＜,设N1表示“-”出现的总数,N2表示“+”出现的总数.根据上述定义,利用上述公式计算后的结果见表 1.

表1 PDD时间序列平稳性检验

因为N1和 N2均大于 15,所以可以用公式 (1)计算 Z,得 Z≈ -3.131.因为 |Z|＞1.96,所以对于α=0.05的显著水平,该时间序列为非平稳的时间序列.

2 基于时间序列 PDD的DDoS攻击检测

由于时间序列 PDD是非平稳时间序列,DDoS攻击检测又需要在线分析,因此,采用在线分析能力比较强的自适应自回归 (AAR)模型[4]描述 PDD时间序列.自相似性分析检测需要大量的网络数据样本,公式计算复杂,计算量非常大,在线检测效果不理想.非参数 CUSUM算法不需要大量的网络数据样本,公式计算简单,计算量不大,由于检测结果与门限值N的选取有关,检测比较灵活.本文采用非参数CUSUM算法[5,6]检测DDoS攻击.设从网络流中得到的时间序列 PDD为 {xn},AAR模型对时间序列{xn}拟合后得到AAR参数向量,通过拟合后的 AAR参数向量得到序列{x′n}和{x′′n},其中,序列{x′n}为带 ^εn项的时间序列,{x′′n}为不带 ^εn项的时间序列.用非参数CUSUM算法检测DD oS攻击时,需要对序列{x′n}和{x′′n}进行转换.转换公式为

其中,序列 a′i为待转换时间序列,1≤i≤n.转换后得到的时间序列 {an}Y就可以用来检测DDoS攻击.

3 模拟测试结果

在模拟测试过程中,本文使用了网络模拟器NS2,每隔 5ms对网络数据流采集一次数据,并去除开始阶段 30ms的数据.模拟结果的.tr文件如图3所示.

图3 模拟结果.tr文件数据截图

设{xn}为得到的时间序列 PDD.AAR模型的阶数反映的是时间序列的相似程度,本文采用 2阶AAR模型,取更新参数UC=0.025.通过用AAR模型的拟合公式,得到AAR参数向量得到序列 {a′n}和{b′n},继续对时间序列{a′n}和{b′n}进行转换,设

其中,β为人工改造因子,本文取β=0.03,然后根据非参数 CUSUM算法检测网络流量状态,检测过程中取检测门限值 N=15,β因子改造后的拟合时间序列{an}和{bn}如图4所示.

图4 β因子改造后的时间序列{an}和{bn} T ime(s)

其中,序列 1描述{an},述序列 2描述{bn}.通过图4可以看出,时间序列{an}和{bn}震动的中心点重合,但是{bn}的振幅较大.分别用时间序列{an}和{bn}对 DDoS攻击进行检测,其模拟检测结果分别如图5和图6所示.

图5 时间序列{an}模拟检测结果 Time(s)

图6 时间序列{an}模拟检测结果 Time(s)

从图5和图6可以看出,时间序列{an}的检测结果与检测结果的期望值差别较大,误报和漏报现象较多,而时间序列{bn}的检测结果与检测结果的期望值差别较小,可以使用{bn}检测DDoS攻击.

结语

本文定义了一个时间序列 PDD,并根据游程检测法分析了该时间序列的平稳性,结果表明,时间序列 PDD是一个非平稳的时间序列.为了使用该时间序列检测DDoS攻击,引入了 2阶的AAR模型对时间序列 PDD进行处理,得到适合检测DDoS攻击的时间序列.结合非参数 CUS UM算法,使用网络模拟器NS2模拟检测DDoS攻击.模拟测试结果表明,时间序列 PDD能有效的检测DDoS攻击.但检测结果仍有误报和漏报现象,我们将在下一步的工作中进行改进.

[1]Ouligeris C,Mitrokotsa A.DDoS attacks and defense mechanisms:classification and state-of-the-art[J].Computer Ne tworks,2004(44):643-666.

[2]Li-Chiou Chen,ThomasA.Longstaff,KathieenM.Carley.Charterization of defense mechanis ms against distributed denial of service attacks[J].Computer&Security,2004,(23):665-678.

[3]Mirkovic J,Reiher P.A Taxonomy ofDDoSAttack and DDoS defense echanisms[J].ACMSIGCOMMComputer Communications Review,2004,34(2):39-54.

[4]SchloglA,Robert s S J,Furt Scheller G P.A.criterion for adaptive autoregressive models[C].Proceedings of the 22nd Annual International Conference of the IEEE Engineering inMedicine and Biology Society,2000:1581-1582.

[5]孙知信,唐益慰,程媛.基于改进 CUSUM算法的路由器异常流量检测[J].软件学报,2005,16(12):2117-2123.

[6]程 军,林白,芦建芝.基于非参数 CUSUM算法的 SYN Flooding攻击检测[J].计算机工程,2006,32(2):159-161.

[责任编辑:袁 伟]

Abstract:Based on DDoS attack’s attributes,a method is proposed forDDoS detection with a t ime series of PDD.Combined with PDD of stationary time series,a non-parameter CUSUMalgorithm is used to detectDDoS attacks,and the method of effective of simulated.

Keywords:Distributed denial of service attacks;Time series;Non-parametric CUSUMalgorithm

DDoS Attack Detection Based on Time Series PDD

MU Jun-chen CHEN Shu-li
(Software College of KaifengUniversity,Kaifeng 475004,China)

TP393.08

A

1004-7077(2010)02-0070-05

2010-03-03

河南省科技厅重点攻关项目(082102240038);开封市科技发展计划项目(100124)

母军臣(1979-),男,硕士,河南鹿邑人,主要研究方向为信息安全.