基于网络自相似特性DDoS攻击检测.docVIP

基于网络自相似特性DDoS攻击检测 　　摘要：本文提出了一种部署在网络受保护端的DDoS攻击旁路检测的方法。根据正常网络流量存在的自相似特性，我们使用小波分析的方法在旁路进行DDoS攻击检测。我们还通过实验，对检测方法所需要的参数进行最优选择。实验结果表明，该方法能有效地发现DDoS攻击。 　　关键词：分布式拒绝服务 自相似 小波 数据包评分 　　中图分类号：TP393 文献标识码： A 文章编号：1007-9416(2011)08-0193-02 　　 　　1、引言 　　分布式拒绝服务攻击（DDoS,Distributed Denial of Service）就是网络上大量的主机对受害者发送大量的攻击数据包，以消耗受害者的资源，使之不能向合法用户提供正常的服务的一种强大的攻击手段，它是现在网络安全面临的严重威胁之一。通常认为，除非修改TCP／IP协议的内核，否则，从理论上没有办法彻底解决这种攻击，但可以通过一些检测和过滤的技术手段来有效地阻止一些DDoS攻击。[1] 　　传统的检测和过滤方法是基于特征匹配的，只能用于处理具有明显异常流量特征的DDoS攻击类型，对于许多没有明显区别特征的DDoS攻击类型则无效。在检测上，对突发正常流量与DDoS攻击流量也难以区分[2]。由于DDoS攻击对网络流量的自相似性特征会产生明显的影响，而小波分析在分形信号处理和分形参数估计中显示出其多分辨率时频分析的独特优势，我们使用小波分析的方法进行DDoS攻击检测[3][4][5]。对于DDoS攻击的过滤，我们采用了数据包评分(PacketScore)方案，这是一种部署在受保护网络边界的基于Bayes理论的DDoS攻击防御方案。PacketScore方案是通过每个到达目的网络的数据包的属性值与正常数据流名义分布模型的比较，为每个数据包评分的，当数据包的评分较低时，即被认为是攻击数据包[6][7]。 　　本文以后部分的安排如下：第2部分给出了网络自相似模型及其表示指数；第3部分使用小波分析方法进行DDoS攻击旁路检测，并根据实验结果得到判断攻击存在的一般方法；第4部分是本文的总结。 　　2、网络自相似模型 　　正常的网络流量具有统计意义上的自相似性，即长相关的，所以适用于采用具有长期相关性的自相似过程模型来描述。一个随机过程，如果在时间上进行压缩或扩展时，统计特性不变，即满足，其中是尺度，代表概率分布,是局部尺度指数，等号表示统计意义上的相等，那么称这个过程是统计自相似的。其功率谱，其中是描述自相似特性的Hurst指数，当网络流量正常时，通常有。[4][5][8] 　　虽然具有自相似特性的随机模型很多，但目前通过与真实网络流量数据相比较，认为适于作为突发网络建模的随机模型只有分形布朗运动(Fractional Brownian Motion，FBM)和分形自回归移动平均模型(Autoregressive Integrated Moving Average Model，ARIMA)过程。其中，当时，分形布朗运动因其参数简单而成为自相似网络流量建模的主要工具。[8] 　　3、基于小波分析的DDoS攻击旁路检测 　　网络流量模型的自相似性是由于文件的重尾分布特性造成的。当发生DDoS攻击时，攻击数据包将阻塞网络中正常数据包的传输。此时，网络的自相似性会降低。因此，根据自相似指数Hurst的变化可以有效地检测DDOS攻击。由于小波分析在分形信号处理和分形参数估计中显示出其多分辨率时频分析的独特优势，使得它成为最具有代表性的求解Hurst指数的方法。[5][5][9] 　　3.1 小波系数方差法 　　若为一统计自相似过程，其功率谱，对作小波变换，得到小波系数，其中，为二进正交小波，其正则度为。小波系数的期望为0，由任意两个小波变换系数间的相关值得到的方差为 　　 （1） 　　通过对式（1）两边的数据取对数后，在均方误差最小的意义下进行线性拟合得到以j为自变量，以为函数的直线，斜率即为。利用便可求得自相似指数的值。 　　3.2 参数选择 　　由于小波的选择对Hurst指数有着重要影响，任勋益等[5]在小波种类和小波消失矩的选择两个方面，通过实验得出Db3小波是求解Hurst指数的最佳选择。我们在此基础上，采用分形布朗运动函数wfbm生成自相似信号，对检测长度和小波分解级数两个参数的选择进行实验。结果表明，当检测长度为256、分解级数为5级时，求解结果能比较准确地反应真实的Hurst指数值。 　　3.3 检测实验 　　为了验证基于小波分析的DDoS攻击检测的效果，我们选取以上参数，使用著名的DARPA99入侵检测数据集进行实验。使用的数据包括第一周星期一的正常数据，第二周星期四的在DDoS攻击中占大部分的SYN Floo