母軍臣,陳書理

(開(kāi)封大學(xué) 軟件技術(shù)學(xué)院,河南 開(kāi)封 475004)

基于時(shí)間序列 PDD的DDoS攻擊檢測(cè)

母軍臣,陳書理

(開(kāi)封大學(xué) 軟件技術(shù)學(xué)院,河南 開(kāi)封 475004)

基于DDoS攻擊的相關(guān)特性,提出了一種時(shí)間序列 PDD的DDoS攻擊檢測(cè)方法,結(jié)合時(shí)間序列 PDD的平穩(wěn)性,采用了非參數(shù)的 CUSUM算法檢測(cè)DDoS攻擊,并對(duì)該方法的有效性進(jìn)行了模擬.

DDoS;時(shí)間序列;非參數(shù);CUSUM算法＊

Internet應(yīng)用范圍越來(lái)越廣,網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為制約 Internet應(yīng)用和發(fā)展的主要問(wèn)題.在若干網(wǎng)絡(luò)安全問(wèn)題中,DDoS(DDoS,Distributed Denial of Service)攻擊[1,2,3]尤為突出.針對(duì)DDoS攻擊的特點(diǎn),結(jié)合相關(guān)網(wǎng)絡(luò)協(xié)議和技術(shù)等,已經(jīng)提出了很多種 DDoS攻擊檢測(cè)和防御策略,本文主要介紹一種基于時(shí)間序列 PDD的DDoS攻擊檢測(cè)方法,并給出了模擬測(cè)試結(jié)果.

1 時(shí)間序列 PDD分析

1.1 相關(guān)概念

基于時(shí)間序列 PDD的檢測(cè)模型中,用到了一個(gè)時(shí)間序列 PDD(端口數(shù)據(jù)密度 PDD,Port to Port Data Density),其定義和相關(guān)信息如下.

定義 1:設(shè) r={p1,p2,…,pi}為網(wǎng)絡(luò)數(shù)據(jù)包集合,用三元組 (S Ai,SPi,DPi)表示 r中的元素 Pi,其中 SAi、SPi和DPi分別表示數(shù)據(jù)包 Pi的源 IP地址、源端口號(hào)和目的端口號(hào).如果集合 r中所有元素的三元組 (S Ai,SPi,DPi)相同,則稱 r為相關(guān)集合.

定義 2:設(shè) P={p1,p2,…,pi}為Δt時(shí)間內(nèi)網(wǎng)絡(luò)數(shù)據(jù)包集合,P的一個(gè)劃分為 r1,r2,…,rm,且 r1∪r2∪…∪rm=P,r1∩r2∩…∩rm=φ.集合 P內(nèi)相關(guān)數(shù)據(jù)包集合為 R={r1,r2,…,rm},定義集合 R中元素的個(gè)數(shù)(即|R|)為網(wǎng)絡(luò)流量的端口數(shù)據(jù)密度 PDD.

圖1 數(shù)據(jù)包信息

圖2 聚合后的關(guān)聯(lián)關(guān)系

假設(shè)得到的網(wǎng)絡(luò)流量的數(shù)據(jù)包集合為 P={p1,p2,p3,p4,p5,p6,p7,p8},該集合的數(shù)據(jù)包信息如圖1所示,聚合后得到的關(guān)聯(lián)關(guān)系如圖2所示.根據(jù)定義 1對(duì)數(shù)據(jù)包集合 P進(jìn)行分析,可以得到相關(guān)的數(shù)據(jù)包集合有和 r7={p8}則有根據(jù)定義 2可知,此網(wǎng)絡(luò)流量的時(shí)間序列 PDD為|R|=7.

DDoS的攻擊特性使網(wǎng)絡(luò)的 PDD異常增加,因此,可以根據(jù) PDD可以檢測(cè)DDoS攻擊.需要說(shuō)明的是,合法的網(wǎng)絡(luò)流量也會(huì)使 PDD增加,但是合法網(wǎng)絡(luò)流量所要求服務(wù)的單一性,源 IP地址、源端口號(hào)和目標(biāo)端口號(hào)的相對(duì)穩(wěn)定性與 DDoS攻擊的大量不穩(wěn)定性相比,PDD變化模式有顯著的區(qū)別.從而,通過(guò)研究 PDD的相關(guān)特性,可以檢測(cè)DDoS攻擊.

1.2 時(shí)間序列 PDD平穩(wěn)性分析

要進(jìn)行DDoS攻擊檢測(cè),必須對(duì)實(shí)時(shí)的網(wǎng)絡(luò)流量采樣,根據(jù)采樣樣本得到時(shí)間序列PDD,再進(jìn)一步分析時(shí)間序列 PDD的特性.假設(shè)每Δt時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)流 F采樣,得到 T1時(shí)間樣本 P1、T2時(shí)間樣本 2、……、Tn時(shí)間樣本 Pn.通過(guò)樣本 Pi計(jì)算 Ti時(shí)間的時(shí)間序列PDD(1≤i≤n),得到集合 R.網(wǎng)絡(luò)流 F所有采樣樣本的時(shí)間序列 PDD集合便組成了一個(gè)時(shí)間序列 Z(ni,Δt)={ai|i=1,2,…,n}.

時(shí)間序列平穩(wěn)性檢測(cè)方法有很多,本文采用非參數(shù)檢驗(yàn)法.該方法只涉及一組實(shí)測(cè)數(shù)據(jù),而不需要假設(shè)數(shù)據(jù)的分布規(guī)律.在保持隨即時(shí)間序列原有順序的情況下,游程定義為具有相同符號(hào)的序列,這種符號(hào)可把觀測(cè)值分成兩個(gè)相互排斥的類.對(duì)于時(shí)間序列 ai(i=1,2,…,n),其均值為,用符號(hào)“+”表示 ai≥,而“-”表示 ai＜.按符號(hào)“+”和“-”的出現(xiàn)順序?qū)⒃蛄袑懗扇缦滦问?

每個(gè)游程的長(zhǎng)短并不重要,游程太多或太少都被認(rèn)為是存在非平穩(wěn)性趨勢(shì),樣本數(shù)據(jù)出現(xiàn)的順序沒(méi)有明顯的趨勢(shì),就是平穩(wěn)的.記 N1為一種符號(hào)出現(xiàn)的總數(shù),N2為另一種符號(hào)出現(xiàn)的總數(shù),γ為游程的總數(shù).其中γ作為檢驗(yàn)統(tǒng)計(jì)量.如果γ在界限以內(nèi),接受原假設(shè),否則拒絕假設(shè).當(dāng)N1或N2超過(guò) 15時(shí)可以用正態(tài)分布來(lái)近似,此時(shí)用的統(tǒng)計(jì)量為

其中

對(duì)于α=0.05的顯著水平,若 |Z|≤1.96(按 2σ原則),則可接受原假設(shè),否則就拒絕.本文通過(guò)獲得的網(wǎng)絡(luò)流量樣本,得到 40個(gè)時(shí)間序列 PDD.設(shè)“+”表示 ai≥,“-”表示 ai＜,設(shè)N1表示“-”出現(xiàn)的總數(shù),N2表示“+”出現(xiàn)的總數(shù).根據(jù)上述定義,利用上述公式計(jì)算后的結(jié)果見(jiàn)表 1.

表1 PDD時(shí)間序列平穩(wěn)性檢驗(yàn)

因?yàn)镹1和 N2均大于 15,所以可以用公式 (1)計(jì)算 Z,得 Z≈ -3.131.因?yàn)?|Z|＞1.96,所以對(duì)于α=0.05的顯著水平,該時(shí)間序列為非平穩(wěn)的時(shí)間序列.

2 基于時(shí)間序列 PDD的DDoS攻擊檢測(cè)

由于時(shí)間序列 PDD是非平穩(wěn)時(shí)間序列,DDoS攻擊檢測(cè)又需要在線分析,因此,采用在線分析能力比較強(qiáng)的自適應(yīng)自回歸 (AAR)模型[4]描述 PDD時(shí)間序列.自相似性分析檢測(cè)需要大量的網(wǎng)絡(luò)數(shù)據(jù)樣本,公式計(jì)算復(fù)雜,計(jì)算量非常大,在線檢測(cè)效果不理想.非參數(shù) CUSUM算法不需要大量的網(wǎng)絡(luò)數(shù)據(jù)樣本,公式計(jì)算簡(jiǎn)單,計(jì)算量不大,由于檢測(cè)結(jié)果與門限值N的選取有關(guān),檢測(cè)比較靈活.本文采用非參數(shù)CUSUM算法[5,6]檢測(cè)DDoS攻擊.設(shè)從網(wǎng)絡(luò)流中得到的時(shí)間序列 PDD為 {xn},AAR模型對(duì)時(shí)間序列{xn}擬合后得到AAR參數(shù)向量,通過(guò)擬合后的 AAR參數(shù)向量得到序列{x′n}和{x′′n},其中,序列{x′n}為帶 ^εn項(xiàng)的時(shí)間序列,{x′′n}為不帶 ^εn項(xiàng)的時(shí)間序列.用非參數(shù)CUSUM算法檢測(cè)DD oS攻擊時(shí),需要對(duì)序列{x′n}和{x′′n}進(jìn)行轉(zhuǎn)換.轉(zhuǎn)換公式為

其中,序列 a′i為待轉(zhuǎn)換時(shí)間序列,1≤i≤n.轉(zhuǎn)換后得到的時(shí)間序列 {an}Y就可以用來(lái)檢測(cè)DDoS攻擊.

3 模擬測(cè)試結(jié)果

在模擬測(cè)試過(guò)程中,本文使用了網(wǎng)絡(luò)模擬器NS2,每隔 5ms對(duì)網(wǎng)絡(luò)數(shù)據(jù)流采集一次數(shù)據(jù),并去除開(kāi)始階段 30ms的數(shù)據(jù).模擬結(jié)果的.tr文件如圖3所示.

圖3 模擬結(jié)果.tr文件數(shù)據(jù)截圖

設(shè){xn}為得到的時(shí)間序列 PDD.AAR模型的階數(shù)反映的是時(shí)間序列的相似程度,本文采用 2階AAR模型,取更新參數(shù)UC=0.025.通過(guò)用AAR模型的擬合公式,得到AAR參數(shù)向量得到序列 {a′n}和{b′n},繼續(xù)對(duì)時(shí)間序列{a′n}和{b′n}進(jìn)行轉(zhuǎn)換,設(shè)

其中,β為人工改造因子,本文取β=0.03,然后根據(jù)非參數(shù) CUSUM算法檢測(cè)網(wǎng)絡(luò)流量狀態(tài),檢測(cè)過(guò)程中取檢測(cè)門限值 N=15,β因子改造后的擬合時(shí)間序列{an}和{bn}如圖4所示.

圖4 β因子改造后的時(shí)間序列{an}和{bn} T ime(s)

其中,序列 1描述{an},述序列 2描述{bn}.通過(guò)圖4可以看出,時(shí)間序列{an}和{bn}震動(dòng)的中心點(diǎn)重合,但是{bn}的振幅較大.分別用時(shí)間序列{an}和{bn}對(duì) DDoS攻擊進(jìn)行檢測(cè),其模擬檢測(cè)結(jié)果分別如圖5和圖6所示.

圖5 時(shí)間序列{an}模擬檢測(cè)結(jié)果 Time(s)

圖6 時(shí)間序列{an}模擬檢測(cè)結(jié)果 Time(s)

從圖5和圖6可以看出,時(shí)間序列{an}的檢測(cè)結(jié)果與檢測(cè)結(jié)果的期望值差別較大,誤報(bào)和漏報(bào)現(xiàn)象較多,而時(shí)間序列{bn}的檢測(cè)結(jié)果與檢測(cè)結(jié)果的期望值差別較小,可以使用{bn}檢測(cè)DDoS攻擊.

結(jié)語(yǔ)

本文定義了一個(gè)時(shí)間序列 PDD,并根據(jù)游程檢測(cè)法分析了該時(shí)間序列的平穩(wěn)性,結(jié)果表明,時(shí)間序列 PDD是一個(gè)非平穩(wěn)的時(shí)間序列.為了使用該時(shí)間序列檢測(cè)DDoS攻擊,引入了 2階的AAR模型對(duì)時(shí)間序列 PDD進(jìn)行處理,得到適合檢測(cè)DDoS攻擊的時(shí)間序列.結(jié)合非參數(shù) CUS UM算法,使用網(wǎng)絡(luò)模擬器NS2模擬檢測(cè)DDoS攻擊.模擬測(cè)試結(jié)果表明,時(shí)間序列 PDD能有效的檢測(cè)DDoS攻擊.但檢測(cè)結(jié)果仍有誤報(bào)和漏報(bào)現(xiàn)象,我們將在下一步的工作中進(jìn)行改進(jìn).

[1]Ouligeris C,Mitrokotsa A.DDoS attacks and defense mechanisms:classification and state-of-the-art[J].Computer Ne tworks,2004(44):643-666.

[2]Li-Chiou Chen,ThomasA.Longstaff,KathieenM.Carley.Charterization of defense mechanis ms against distributed denial of service attacks[J].Computer&Security,2004,(23):665-678.

[3]Mirkovic J,Reiher P.A Taxonomy ofDDoSAttack and DDoS defense echanisms[J].ACMSIGCOMMComputer Communications Review,2004,34(2):39-54.

[4]SchloglA,Robert s S J,Furt Scheller G P.A.criterion for adaptive autoregressive models[C].Proceedings of the 22nd Annual International Conference of the IEEE Engineering inMedicine and Biology Society,2000:1581-1582.

[5]孫知信,唐益慰,程媛.基于改進(jìn) CUSUM算法的路由器異常流量檢測(cè)[J].軟件學(xué)報(bào),2005,16(12):2117-2123.

[6]程 軍,林白,蘆建芝.基于非參數(shù) CUSUM算法的 SYN Flooding攻擊檢測(cè)[J].計(jì)算機(jī)工程,2006,32(2):159-161.

[責(zé)任編輯:袁 偉]

Abstract:Based on DDoS attack’s attributes,a method is proposed forDDoS detection with a t ime series of PDD.Combined with PDD of stationary time series,a non-parameter CUSUMalgorithm is used to detectDDoS attacks,and the method of effective of simulated.

Keywords:Distributed denial of service attacks;Time series;Non-parametric CUSUMalgorithm

DDoS Attack Detection Based on Time Series PDD

MU Jun-chen CHEN Shu-li
(Software College of KaifengUniversity,Kaifeng 475004,China)

TP393.08

A

1004-7077(2010)02-0070-05

2010-03-03

河南省科技廳重點(diǎn)攻關(guān)項(xiàng)目(082102240038);開(kāi)封市科技發(fā)展計(jì)劃項(xiàng)目(100124)

母軍臣(1979-),男,碩士,河南鹿邑人,主要研究方向?yàn)樾畔踩?