基于用户网络行为模型的DDoS攻击检测.pdfVIP

基于用户 网络行为模型的 DDoS 攻击检测 滕 建, 陈骏君, 赵 英 (北京化工大学信息中心 北京 100029) 摘 要 随着信息技术的飞速发展，网络安全问题愈发重要 。其中，DDoS攻击检测一直是网络安全领域 研究的难点问题 。针对此问题，提出一种新的DDoS攻击检测方法UNBM，该方法基于用户网络行为模 型，利用数据挖掘技术挖掘网络用户网络流量中的频繁模式来表达网络行为 。此外，为解决网络行为漂 移问题对检测准确率的影响，给出了网络行为模型的更新策略 。通过与 k-NN,SVM,C4. 5等主流DDoS 检测方法的实验对比表明，所提方法对DDoS攻击具有优秀的检测效果。 关键词 DDoS检测，行为模型，闭合频繁模式 中图法分类号 TP311 文献标识码 A DDoS Attack Detection Based on User Network Behavior Model TENG Jian ,CHEN Jun-jun ,ZHAO Ying 万方数据 第10A期 滕建，等：基于用户网络行为模型的DDoS攻击检测 17 Net— 为模型的DDoS攻击检测方法UNBM(User 2用户网络行为模型 Behavior work Model)。 本文贡献如下：1)利用数据挖掘技术挖掘网络 为了进行DDoS攻击检测，必须先构建正常的 用户网络流量中的频繁模式来表达网络行为；2)提 用户网络行为模型。此外，由于用户的网络行为习 出一种新的DDoS攻击检测方法，构建用户网络行惯是随时间变化的，在构建模型时必须考虑到用户 为模型，利用当前流量行为与行为模型的相似度识 网络行为的漂移。因此，本文采用闭合频繁模式来 构建正常的用户网络行为模型，并设计模型更新策 别DDoS攻击；3)为解决网络行为漂移问题对检测 准确率的影响，给出了网络行为模型的更新策略。 略，用于消除用户网络行为漂移对模型检测准确率 本第1节介绍了论文的整体架构；第2节讨论 的影响。 通过闭合频繁模式构建用户行为模型、DDoS检测算2．1闭合频繁模式 法及模型更新策略；第3节对所提方法进行实验和 频繁模式(frequentpattern)，也称频繁项集，表 验证；最后总结全文。 示一个数据集合中频繁出现且具有代表性的数据模 式[6]。对于网络流量数据，一条频繁模式可以表示 1 整体架构 用户的一条网络行为，通过对频繁模式的挖掘与分 不同于传统的DDoS检测，本文采用基于用户析，可以建立用户的网络行为模型。 网络行为的方法进行检测。该方法使用计费系统认 下面给出相关概念的定义：给定一个事务集合 证信息识别流量所属用户，挖掘流量数据中的基于 D，D中包含N条事务，每个事务用t来表示，tE 时间衰减的闭合频繁模式，并利用该频繁模式来表 D。j为所有项的集合：{a，，以。，…，aM}，其中每个事 达用户网络行为和构建用户网络行为模型，通过匹 务t是由J中不同的项组成的非空子集：{i，，i。，…， 配当前用户网络流量与行为模型的相似度判断是否 i。)，i，∈J，1≤i≤m。 存在攻击。 定义1(支持度计数)模式P的支持度计数定 基于用户网络行为模型的DDoS检测的整体流义为事务集合D中包含模式P的