基于流量行为特征的DoSDDoS攻击检测与异常流识别.docVIP

基于流量行为特征的DoSDDoS攻击检测与异常流识别 　　摘 要： 　　针对现有方法仅分析粗粒度的网络流量特征参数，无法在保证检测实时性的前提下识别出拒绝服务（DoS）和分布式拒绝服务（DDoS）的攻击流这一问题，提出一种骨干网络DoSDDoS攻击检测与异常流识别方法。首先，通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点；然后，在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析，以找出异常行为对应的目的IP地址；最后，提取出与异常行为相关的流量进行综合分析，以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明，基于流量行为特征的DoSDDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击，并且在保证检测实时性的同时，准确地识别出与攻击相关的网络流量。 　　关键词：异常检测；异常流识别；骨干网络；信息熵；流量分析 　　0 引言 　　随着网络的不断规模化和复杂化，网络中拒绝服务（Denial of Service，DoS）攻击和分布式拒绝服务（Distributed Denial of Service， DDoS）攻击的发生频率也越来越高，给网络的正常运行带来了极大的威胁。为了保证网络的高效、安全运行，如何快速、准确地进行DoSDDoS攻击检测已成为国内外学术界和工业界共同关注的热点问题之一。 　　国内外研究者提出了一系列方法以检测DoS攻击和DDoS攻击。按照数据源的不同，现有DoS攻击和DDoS攻击的检测方法主要可以分为两类：基于包信息的检测方法和基于网络流量行为特征的检测方法。 　　1）基于包信息的检测方法通过分析数据包中的特定信息或是用户日志等，建立判定规则，并根据实际的流量数据和这些规则的匹配关系来检测DoS攻击和DDoS攻击。典型的研究有：文献[1]提出一种基于主机日志分析的统计方法，通过分析主机的日志数据，利用统计理论对正常行为建模，并比较待检测行为与正常行为的偏离来检测网络DoS攻击。文献[2]提出了一种基于数据包包头信息综合分析的异常检测技术，通过分析目的IP地址或端口号在边沿路由器出口流量的关联检测异常。文献[3]利用TCP协议不同的控制报文在交互时呈现出的数学约束关系，提出了一种评价TCP流宏观平衡性的系统测度，并将之应用于异常检测。 　　2）基于网络流量行为特征的检测方法通过分析流量行为特征参数，如各种数据包包头信息（如IP地址、端口号等）聚合后计算得到的统计量，来进行异常检测。典型的研究有：文献[4]提出使用数据包属性的分布描述网络流量行为，通过分析数据包属性分布的变化检测异常。文献[5]利用比例不确定性去确定一些诸如IP地址、端口号等属性的剩余值，提出一种剩余空间方法（Method of Remaining Elements， MRE）来检测异常流量；文献[6]将香农熵进行推广，提出了一种基于非扩展熵的异常检测方法；文献[7]提出基于经验熵的DDoS检测方法；文献[8]将网络流量幅值看作随时间变化的信号，利用小波分析区分出背景流量和异常流量，而后根据异常持续时间和信号频率的不同采用不同的方式来检测攻击；文献[9]使用连续小波变换检测DoS攻击引起的网络流量幅值变化；文献[10]通过对聚合后的网络流量进行小波分析检测DDoS攻击。 　　基于包信息的检测方法能分析出与攻击相关的异常流量，并具有检测准确度高的优点，适用于各种用户网络。然而，由于骨干网络中数据流量巨大，逐包分析将耗费大量时间，因而该类方法应用于骨干网络时无法满足异常检测的实时性要求。基于网络流量行为特征的检测方法检测效率较高，可以做到对DoS攻击和DDoS攻击的实时检测。然而，由于该类方法仅分析粗粒度的网络流量行为特征参数，即分析网络流量聚合后计算得到的各种统计量，而未涉及细粒度的网络流量行为特征参数，即原网络流量各子流上计算得到的统计量，因而无法识别出与攻击相关的异常流量，找出攻击者的确切IP地址，从而对异常流量进行过滤；其次，该类方法的漏检率也普遍较高。 　　针对上述问题，本文提出基于流量行为特征的骨干网络DoSDDoS攻击检测与异常流识别方法。该方法采用粗、细粒度结合的思想，在粗粒度流量行为特征参数表现出异常的时间点分析细粒度的流量异常行为特征，从而在兼顾检测实时性的同时准确识别出与攻击相关的流量。 　　1 DoS攻击与DDoS攻击 　　DoS攻击是一种通过发送大量数据包使得计算机或网络无法提供正常服务的攻击形式。它可能在短时间内耗尽网络的可用带宽或被攻击对象的系统资源，使得正常的用户请求无法被处理，从而阻碍网络中的正常通信，给被攻击者乃至网络带来巨大的危害。 　　DDoS攻击是一种隐蔽的拒绝服务攻击，攻击中的数据包来自不同的攻击源。与DoS攻击相比，