一种新的DDoS攻击检测算法*
2014-02-10高仲合
周 萍,高仲合
(曲阜师范大学信息科学与工程学院,山东日照276826)
一种新的DDoS攻击检测算法*
周 萍,高仲合
(曲阜师范大学信息科学与工程学院,山东日照276826)
为了准确及时的进行DDoS攻击检测,提出了一种新的DDoS攻击检测算法。该算法在基于传统的小波分析检测DDoS攻击的基础上融入了主成分分析法和小波分析法中DDoS检测方法,并根据该算法设计相应的模型和算法来检测DDoS攻击,并且引入信息论中的信息熵对源IP地址的分散程度进行度量,根据初始阶段Hurst指数及熵值的变化自适应地设定阈值以检测攻击的发生。实验结果表明,该方法大幅度的提高了DDoS检测的速度。
DDoS攻击检测 小波分析 主成分解 熵值
0 引 言
随着网络不断的规模化和复杂化,网络中分布式拒绝服务(DDoS)攻击频繁的发生次数给正常网络的运行造成了越来越大的威胁。由于DDoS攻击潜伏期长、隐蔽性高、攻击并发程度高,为了确保网络运行的安全性、高效性,怎样能够精确的、快速的实现DDoS攻击的检测逐渐成为学者们日益关注的热点[1]。
文献[2]研究表明正常的网络流量具有自相似性。文献[3-4]中研究表明了DDoS攻击检测中包含基于攻击流特征和正常流特征的两种检测方法。基于文献[3-4]提到的两种策略的缺点,文献[5]研究表明了在基于网络流量的自相似的基础上研究DDoS攻击检测,指出小波分析法在DDoS的检测中具有举足轻重的地位。在文献[6]通过R/S和小波分析法检测DDoS攻击的研究与比较中,得出小波分析法在DDoS检测中的重要地位,同时也指出了不足之处:容易造成漏报率和误报率,同时还会增加所需样本占用的容量空间[7]。
总结了上述的缺点,提出一种将主成分分析法和小波分析法相结合的方式进行异常流量检测技术的研究使得上述的缺点有所改善,同时增加了源IP地址分布熵,新方法能大幅提高检测速度。
1 主成分分析法与信息熵
1.1 主成分分析法(PCA)
网络数据包是包含着许多与其对应的维度很高的一种网络数据信息,这些信息之间有着线性或非线性的关系,只有通过主成分分析法才能实现找到这些数据信息之间存在的关系,进而可以达到实现数据降低维度的目的。
1.2 信息熵
网络流量中源IP地址的分散、集中程度受DDoS攻击的影响很是严重,因此使用信息熵来对源IP地址的分散程度进行衡量,信息熵值越大,源IP地址分布越分散,反之,源IP地址分布越集中,可以有效的区分出DDoS攻击流。
定义3[5]定义一个包含n个分类随机变量的样本集X,将X的信息熵定义为:
样本集X中第i类元素出现的概率用pi表示。n=1时,此时E取最小值为0。当用来表示样本集X每个分类出现的概率,此时E取最大值为log2n。
2 新的DDoS攻击检测算法
运用小波分析法检测DDoS攻击,通常通过设定门限值来检测DDoS攻击发生与否[10]。针对传统异常流量检测算法的不足,提出了融入主成分分析法和小波分析法的自适应的DDoS检测方法,设计采用该方法检测DDoS攻击的模型及算法,并且引入信息论中的信息熵对源IP地址的分散程度进行度量,根据初始阶段Husrt指数及熵值的变化自适应地设定阈值以检DDos测攻击的发生。图1给出了新算法对异常流量检测的思想方法。我改进的地方是首先将抓到的网络数据包进行维数约减,然后在进行小波分析中的Hurs值求解,紧接着就是源IP地址分布值的计算,通过计算地址的分散程度适当的设置阈值,通过阈值查看异常流量的情况。
图1 新算法的总体框架Fig.1 Overall framework of the new algorithm
2.1 算法描述
算法名称:数据降维检测算法
输入:DArray1[];//存储原始的网络流量数据
DArray2[];//存储异常的网络流量数据
AnormalyFlag[];//异常标示分类表
β;//权重
输出:异常检测结果
过程:
GetCurrentData();
While(每次的测试数据为n)
{Read netflow_data from DataBase;
Store in DArray1[];
While(AnormalyFlag[i]is not null,i++)
{PCA(β,Darray1,AnormalyFlag,Darray2);
Detect(AnormalyFlag,DArray2,β);}}
Function PCA(arg1,arg2,arg3,arg4)
{DArray2=Matrix(DArray);//对原始的数据进行处理得到最后的相关矩阵,按照选取m值的标准对原始的数据特征进行筛选(从求出的特征值中选出前m个所需要的最大特征值),放入DArray2中。}
Function Detect(arg1,arg2,arg3)
{按照AnormalyFlag的异常定义对DArray2进行检测,即DArray2在经过AnormalyFlag规定的异常值时,当出现波动时修改β的增量和对PCA的回馈值并且将预测值与实际进行比较,从而修改检测的波动区间,形成新的低维向量所组成的新矩阵。}
2.2 Hurst值的计算
小波分析法中对Hurst参数的求解涉及的方面有:小波种类和小波消失矩阵两个方面的选择。文献[11]研究表明了当且仅当消失矩阵为3的时候Hurst值的计算效果最佳。
(1)对上面通过降维得到的矩阵z进行小波分解。选择Db3小波对序列x(z)进行J级小波分解,并且选择最大分解尺度。
ΦJ,k(z)为小波尺度函数,是尺度空间的基函数;φj,k(z)为小波函数,是细节空间的基函数;ax(J,k)为小波尺度系数;dx(j,k)为小波系数;
(2)对小波系数的提取。对矩阵z进行小波分解算法进行小波分解得到小波系数矩阵[d,L]
(3)对小波系数求解方差,当i<最大尺度时。
(4)求解Hurst的指数方法是通过拟合直线得以实现的。给定一条自变量为i,斜率采用2H+3的直线。计算Hurst的值,可以根据直线的斜率便得出该直线的形式如下:
2.3 E值的计算
定义4[11]SIP是一个包含n个各不相同的源IP地址分类随机变量的样本集,可以将样本集SIP中源IP地址的分布熵定义成如下形式:
式(6)是样本全部的观测值,样本值全取一个值时熵值取得最小值,样本值全取不同值时熵值取得最大值。源IP地址分布熵的一般计算步骤:从源IP地址中提取要计算的地址序列sip(n)。对各个源IP地址出现概率分别进行相应的计算。对求出的概率求对数,计算出相应的部分熵。对求出的部分熵求和,计算出信息熵。
2.4 阈值的自适应设置
传统的DDoS的检测是以采用固定的阈值作为检测基准,实际的网络流量是动态的,不同的节点处的流量变化也会各不相同,这将会导致检测异常网络流量的不准确性。因此提出采用阈值自适应的方法来检测发生DDoS攻击,检测到DDoS攻击时,参数Hurst值和E(SIP)会发生相应的改变,需要为其设置相应的阈值范围。设置H值的取值范围为,E值的取值范围(0,lbn)[12]。
(1)H(Hurst)的计算
通过采集到的网络数据实现的数据降维,获取初始N个时间窗口内计算得到的H值,设置H值为:
式中,Hmax是H值中的最大值,是平均值。
(2)E(SIP)的计算
通过采集到的网络数据实现的数据降维,提取取前n个计算出来的E(SIP)值,并将E(SIP)设置为:
将Emax定义为E(SIP)值中的最大值,将Emin定义为E(SIP)中的最小值。
3 实验结果
实验使用互联网实际测量数据对异常流量检测方法进行实验验证。互联网中实际的测量数据是通过Wireshark软件对数据集就行获取、分析得出的,这其中包括获取数据的时间、源IP地址和包大小等三个字段的内容。截取了其中500 s的数据,仿真平台为Matlab7.0。通过实验,验证了本论文提出的异常流量检测方法在保证异常流量正确性同时,具有自适应性和资源利用率高等性能。
实验一设置时间为500 s,时间间隔为10 s。数据集中攻击发生在第27个时间间隔内计算得到的H和E值变化情况分别如图2和图3所示。
图2 实验一中H值的变化情况Fig.2 Changes ofHvalue in the experiment
图3 实验一中E值的变化情况Fig.3 Changes ofEvalue in the experiment
实验二:图4、图5中设置的时间t=400 s。从图中可以看出数据集中发生在的坐标上为25的时间点上,具体的H和E值的变化如图4和图5所示。
图4 实验二中H值的变化情况Fig.4 Changes ofHvalue in the experiment
图5 实验二中E值的变化情况Fig.5 Changes of E value in the experiment
通过以图4和图5可以很清楚的了解到在截取不同的时间中,发生数据攻击的时间间隔是不一样的。新的DDoS攻击检测算法通过监测Hurst值和E(SIP)的变化来对其进行相应异常流量的检测是可行的,相比传统的仅通过固定的阈值或是单一的监测方法检测的结果更加准确。
4 结 语
提出了一种新的的DDoS攻击检测算法。该算法在基于传统的小波分析检测DDoS攻击的基础上融入了主成分分析法和小波分析法中特有的DDoS检测方法,并根据该算法设计相应的模型和算法来检测DDoS攻击,并且引入信息论中的信息熵对源IP地址的分散程度进行度量,根据初始阶段Husrt指数及熵值的变化自适应地设定阈值以检测攻击的发生。实验结果表明,该方法大幅度的提高了DDoS检测的速度。下一步的想法是,DDoS检测方法是不是可以和Bloom Filter数据结构相结合,并且将哈希函数引入其中,使DDoS攻击检测算法的效率更高。
[1] 周颖,焦程波,陈慧楠,等.基于流量行为特征的DoS&DDoS攻击检测和异常流识别[J].计算机应用, 2013,33(10):1-5.
ZHOU ying,JIAO Cheng-bo,CHEN Hui-nan,et al. Traffic Behavior Feature based DoS&DDoS Attack Detection and Abnormal Flow Identification for Backbone Networks[J].Computer Application,2013,33(10):1-5.
[2] 吕良福,张加万,张丹.基于改进小波分析的DDoS攻击检测方法[J].计算机工程,2010,36(06):1-4.
LV Liang-fu,ZHANG Jia-wan,ZHANG Dan.DDoS Attack Detection Method Based on Improved Wavelet Analysis[J].Computer Project,2010,36(06):1-4.
[3] 刘运,蔡志平,钟平,等.基于条件随机场的DDoS攻击检测方法[J].软件学报,2011,22(08):1897-1910.
LIU Yun,CAI Zhi-ping,ZHONG Ping.DDoS Attack Detection Method based on Conditional Random Fields[J]. Journal of Software,2011,22(08):1897-1910.
[4] 严芬,王佳佳,赵金凤,等.DDoS攻击检测综述[J].计算机应用研究,2008,25(04):966-969.
YAN Fen,WANG Jia-jia,ZHAO Jin-feng.Overview of DDoS Attack Detection[J].Computer Application, 2008,25(04):966-969.
[5] 任勋益,王汝传,王海艳.基于自相似检测DDoS攻击的小波分析方法[J].通信学报,2006,27(05): 6-11.
REN Xun-yi,WANG Ru-chuan,WANG Hai-yan. Wavelet Analysis Method for Detection of DDoS Attack based on Self-Similar[J].Computer Application,2006, 27(05):6-11.
[6] 张登银,任勋益,王汝传.R/S和小波分析法检测DDoS攻击的研究与比较[J].南京邮电大学报,2006, 26(06):48-51.
ZHANG Deng-yin,ZHANG Xun-yi,WANG Ru-zhuan. Study and Comparison of R/S and Wavelet Analysis for DDoS Attack Detection[J].Journal of Nanjing University of Posts and Telecommunications,2006,26(06):48-51.
[7] 吕良福.DoS攻击的检测及网络安全可视化研究[D].天津:天津大学,2008.
LV Liang-fu.Research on DDoS Attacks Detection and Related Network Security Visualization Technique[D]. Tianjin:Tianjin University,2008.
[8] 王永强.基于子空间和流形的降维算法研究[D].合肥:中国科技大学,2006.
WANG Yong-qiang.Study on Dimension Reduction Algorithm based on Subspace and Manifold[D].Hefei:U-niversity of Science and Technology of China,2006.
[9] 梁循.数据挖掘算法与应用[M].北京:北京大学出版社,2006.
LIANG Xun.Data Mining Algorithms and Applications [M]Beijing:Peking University Publishing House,2006.
[10] 谭晓玲.基于小波变换的入侵检测方法[J].重庆三峡学院学报,2005,21(03):28-30.
TAN Xiao-ling.Intrusion Detection Method based on Wavelet Transform[J].Journal of Chongqing Three Gorges University,2005,21(03):28-30.
[11] 张锦平.DDoS攻击检测及响应技术的研究[D].燕山:燕山大学,2012.
ZHANG Jin-ping.Research on DDoS Attack Detection and Response Technology[D].Yanjing:University On The Mountain of Swallows,2012.
[12] 燕发文,黄敏,王中飞.基于BF算法的网络异常流量行为检测[J].计算机工程,2013,39(07):1-5.
YAN Fa-wen,HUANG min,WANG Zhong-fei.Network Abnormal Flow Behavior Detection Based on BF Algorithm[J].Computer Project,2013,39(07):1-5.
ZHOU ping(1988-),female,graduate student,majoring in computer network and communication.
高仲合(1961—),男,教授,硕士生导师,主要研究方向为计算机网络与通信。
GAO Zhong-he(1961-),male,professor,M.Sci.tutor, mainly working at computer networks and communication.
A New DDoS Attack Detection Algorithm
ZHOU Ping1,GAO Zhong-he2
(School of Information Science and Engineering,Qufu Normal University,Rizhao Shandong 276826,,China)
In order to detect the DDoS attacks accurately and timely,a new DDoS attack detection algorithm is proposed.The algorithm,based on traditional wavelet analysis method,integrates the DDoS detection method of principal component analysis and wavelet analysis,and the corresponding model and algorithm are built up to detect the DDoS attack based on this algorithm.The detection method could be applied to design a model and an algorithm,and the information entropy of information theory is also used to measure the dispersion degree of the source IP address.The proposed algorithm could set the threshold self -adaptively according to the initial-stage variation of Husrt index and the entropy,thus to detect the occurrence of attacks.Experimental result shows that this method could significantly improve the detection rate of DDoS attacks.
DDoS attack detection;wavelet decomposition;principal component analysis;entropy value
TP311.1
A
1002-0802(2014)09-1079-05
10.3969/j.issn.1002-0802.2014.09.021
周 萍(1988—),女,硕士研究生,主要研究方向为计算机网络与通信;
2014-05-28;
2014-06-28 Received date:2014-05-28;Revised date:2014-06-28