李亞利，劉 佳

(1. 北京聯(lián)合大學應(yīng)用科技學院，北京 100101；2. 北京聯(lián)合大學教務(wù)處，北京 100101)

1 引言

在相對復(fù)雜的網(wǎng)絡(luò)環(huán)境中，對使用者進行惡意攻擊的特征，通常表現(xiàn)為一組非平穩(wěn)的寬帶信號。因此，對該信號的檢測可以使用檢測信號的方法來實現(xiàn)，能夠最大程度保證網(wǎng)絡(luò)的安全。而DDoS的攻擊分為協(xié)作與分布兩種方式，以此進行大規(guī)模的攻擊，該種攻擊方法會致使被攻擊者的網(wǎng)絡(luò)以及系統(tǒng)資源快速消耗，最終導(dǎo)致網(wǎng)絡(luò)失效，甚至使系統(tǒng)崩潰，使其無法運轉(zhuǎn)，而且DDoS的攻擊方式會帶有一些軟件不斷的重復(fù)出現(xiàn)，因此，DDoS的攻擊方式雖然相對簡單，但是對網(wǎng)絡(luò)安全的威脅較大。

對比其它的一些網(wǎng)絡(luò)攻擊方式，DDoS所采用攻擊特點是分布式的，將傳統(tǒng)的點與點之間互相攻擊，變成現(xiàn)在的數(shù)據(jù)流攻擊，并且采用無規(guī)律的攻擊模式，在協(xié)議和服務(wù)類之間很難區(qū)別是惡意的攻擊還是正常連接，因為攻擊數(shù)據(jù)全都是經(jīng)過包裝的，無法對其來源進行識別。

文獻[1]針對非平穩(wěn)陣列的信號處理結(jié)果，驗證采用時頻分析的處理手段能夠提高不相同信源到達其角的分辨能力以及估計精度，以提高多信號分量環(huán)境下時頻所表示的能量聚集性為目標，提出一種基于自適應(yīng)局部的多項式傅里葉變換方法，利用該方法對信號瞬間頻率曲線的多項式進行擬合，以此確認LPFT的窗函數(shù)長度以及各階段系數(shù)，通過最小的計算量來實現(xiàn)自適應(yīng)的時頻分析，最終的仿真結(jié)果證明：和其它時頻MUSIC的計算方法相比，此方法對信號形勢的適應(yīng)能力較強，在DOA的估計精度和信號源角度分辨能力等方面具有很強的優(yōu)勢。

文獻[2]認為分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)大環(huán)境下最具有破壞力的攻擊手段之一，目前基于機器學習的攻擊檢測方法通常是直接把某一時刻的特征值代入進分類器中分類，并不會考慮到相鄰時刻特征聯(lián)系，從而致使誤報率與漏報率較高。為此提出一種隱馬爾科夫模型HMM時間序列預(yù)測與混沌模型的DDoS攻擊檢測方式。分析大規(guī)模的網(wǎng)絡(luò)流量突發(fā)性攻擊特征，并定義加權(quán)特征NTWF與網(wǎng)絡(luò)流平均速率NFAR二元組特征，通過層次聚類計算法對訓練集進行分類，得到隱層狀態(tài)的HLS序列。使用NTWF序列與HLS序列對HMM進行監(jiān)督學習，能夠獲得狀態(tài)轉(zhuǎn)移矩陣與混淆矩陣，完成NTWF序列的預(yù)測，最終采用混沌模型來分析NTWF序列的預(yù)測誤差，以此結(jié)合NFAR規(guī)則識別攻擊。

將上述兩種方法進行綜合，本文提出基于非平穩(wěn)信號時頻分析的DDoS攻擊檢測方法，此方法是先利用包絡(luò)延拓法構(gòu)建DDoS攻擊信號模型，因為DDoS具有良好的聚集性，從而可以提取時頻特征，最后通過兩者對DDoS的攻擊進行檢測。

2 建立DDoS的攻擊信號模型

在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，DDoS的攻擊方式會表現(xiàn)為一組非平穩(wěn)的寬帶信號，要想實現(xiàn)對DDoS的攻擊進行檢測，需要建立攻擊信號模型。采用包絡(luò)延拓擴展法完成攻擊信號模型的建立建[3]。

DDoS的攻擊非平穩(wěn)信號時間采樣，符合{x(t1)，x(t2)，…，x(tn)}的聯(lián)合分布函數(shù)和{x(t1+τ)，x(t2+τ)，…，x(tn+τ)}的聯(lián)合分布函數(shù)。其相關(guān)性較強，所以，時頻域內(nèi)DDoS的攻擊信號為頻譜序列，是一種三維連續(xù)的自治系統(tǒng)。因此DDoS被視為攻擊非平穩(wěn)信號系統(tǒng)函數(shù)[4]，計算公式為

θ1(k+1)=θ1(k)-μ[y(k)]

(1)

式中：θ1(k)代表初始狀態(tài)向量，μ代表非平穩(wěn)信號的攻擊因子，y(k)代表網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的瞬時幅度，其極坐標形式的計算公式為

(2)

(3)

式中：a(t)代表包絡(luò)，φ(t)代表瞬時相位，s(t)表示非平穩(wěn)帶寬信號，s(t)表示輸入信號調(diào)整系數(shù)。DDoS的攻擊非平穩(wěn)信號，其實信號的頻譜則是共軛對稱，攻擊幅度為A，因此，DDoS攻擊非平穩(wěn)寬帶信號頻譜正頻部分[5]，能夠相對的自適應(yīng)調(diào)節(jié)，具體的輸入信號調(diào)整系數(shù)公式為

(4)

其中，ai(t)表示第i個信號包絡(luò)，si(t)表示第i個非平穩(wěn)帶寬信號，n(t)表示輸入信號調(diào)整函數(shù)。

攻擊數(shù)據(jù)需要動態(tài)更新，然后利用防火墻對DDoS的攻擊特征進行數(shù)據(jù)采樣與時間更新，能夠獲得DDoS的攻擊非平穩(wěn)信號z(t)頻譜公式為

(5)

式中：S(f)表示頻譜傳輸函數(shù)，Z(t)能夠由S(f)采用定量遞歸分析獲得，不過H(f)是奇對稱的階躍式傳輸函數(shù)，公式為

(6)

將M設(shè)定為全方向性的攻擊鏈路動態(tài)信號，其攻擊信號Ac和P的干擾信號是利用θ0，θ1，…，θP的角度進行重構(gòu)收縮的，所以，需要對時頻分布中的群延時特征分布與瞬時頻率、進行計算，從而構(gòu)建攻擊信號模型[6]。

通過混疊譜模糊度函數(shù)對頻譜特征分析，假如把頻譜特征ωk按照群延時特征因子uk與ek的組成原則來分解雙曲調(diào)頻，就可以獲得DDoS的攻擊的群延時特征分布公式

(7)

正常情況中，DDoS攻擊信號是變非平穩(wěn)的，因其在非平穩(wěn)的寬帶信號內(nèi)，其瞬時的物理量非常重要，使其q為多項式的階數(shù)，具體的滿足條件為：q≥p，采用Gabor函數(shù)的平均測度特征向量[7]，能夠獲得DDoS攻擊非平穩(wěn)時變瞬時頻率估計公式為

(8)

式中：γ(t)代表均勻采樣的頻譜均值，ck代表瞬時頻率的時間平均值，τ代表時間采樣的步長(相當于Δt)，bk代表平均頻率。而當權(quán)系數(shù)能夠滿足b0=0時，DDoS的攻擊非平穩(wěn)信號譜平均頻率等于瞬時頻率。

根據(jù)上述獲得的群延時特征分布與瞬時頻率就可以獲得攻擊信號模型公式為

(9)

在建立DDoS的攻擊信號模型，為之后DDoS攻擊檢測提供基礎(chǔ)[8]。

3 非平穩(wěn)寬帶信號時頻特征提取

DDoS攻擊非平穩(wěn)寬帶信號時頻特征，具有良好的時頻聚集性，對其進行時頻分析之前，通常要將DDoS攻擊非平穩(wěn)寬帶信號s(t)變成復(fù)DDoS的攻擊非平穩(wěn)寬帶信號z(t)形式，在提取時頻特征以后，DDoS的攻擊非平穩(wěn)寬帶信號s(t)視為復(fù)信號z(t)的實部，而x(t)作為虛部，其時頻特征提取方法如圖1所示[9]。

圖1 DDoS攻擊信號的時頻特征提取瞬時頻率估計方法

在色噪聲的背景中，利用雙線性的Hough變化可以獲得DDoS的攻擊非平穩(wěn)寬帶鏈路層，其具體的信息質(zhì)量公式為

G(t)=s(t)+Mx(t)

(10)

把所有的數(shù)據(jù)量結(jié)合在一起可以獲得一個總的數(shù)據(jù)流，通過此方法進行時頻對偶變化，能夠獲得DDoS的攻擊信號的時頻特征，其分量瞬時頻率的估計公式為

(11)

若DDoS的攻擊非平穩(wěn)寬帶信號分量瞬時頻率有交點，能夠通過雙線性Hough的變換法對頻譜特征進行分析，在以時間坐標軸的中心點作為中心，選擇較為適當?shù)泥徲騕10]，可以獲得攻擊序列具體的頻譜畸變部分估計公式為

(12)

把相干點的積進功率進行積累，那么DDoS的攻擊非平穩(wěn)寬帶信號瞬時頻率相交點則是時頻平面的邊緣，時頻平面在分離中，將時間中心點的相鄰區(qū)域內(nèi)DDoS的攻擊非平穩(wěn)寬帶信號時頻進行分類置零，接著采用任意的一部分瞬時頻率估計線性。整個DDoS攻擊信號時頻特征提取結(jié)果計算公式為

(13)

其中，ζ(n)表示攻擊信號時頻特征關(guān)聯(lián)函數(shù)，Φk表示特征提取權(quán)重。經(jīng)過以上的處理，可以完成對DDoS的攻擊信號時頻特征進行提取，以此進行DDoS攻擊檢測[11]。

4 DDoS攻擊檢測

對網(wǎng)絡(luò)流進行時間間隔為Δt的采樣，且計算每次DDoS攻擊的采樣，能夠獲得DDoS的時間序列z(N，Δt)={ai，i=1，2，…，N}，再將DDoS的時間序列通過時頻特征進行轉(zhuǎn)換，獲得φ維的空間向量，進而能夠把流量的狀態(tài)統(tǒng)一歸于向量空間中，解決采樣分類問題。采用相近鄰方法實現(xiàn)，具體的中心思想為：相對找出需要的訓練樣本結(jié)合與待分類樣本，長度最近的單一樣本，根據(jù)樣本的歸屬類別，把帶分類樣本進行歸屬類別的評定。能夠獲得分類算法理論誤差率的上限，其上限大致是貝葉斯分類的兩倍，并含有精準的物理思想與良好的分類效果。

在分別獲取的網(wǎng)絡(luò)正常時與受到DDoS攻擊時的時間序列，其φ維樣本的訓練空間，所包含的具體類別都標注在網(wǎng)絡(luò)流所處的狀態(tài)，也就是攻擊或正常，因此，需要把每一個類別j都進行重新定義，使其轉(zhuǎn)換為Gj一種類別集合，也就是將歸于該類別的訓練樣本作為集合Gj的元素，再進行估算待測時間序列φ維向量Φ(n)，其上述的訓練樣本中可以找出和目前樣本相近的m個樣本，并且隨意的2個向量能夠利用余弦距離進行表示，其公式為

(14)

其中，Φ(i)與Φ(j)表示樣本中的隨意兩個向量。

ΘK代表所得到的最近鄰集合；Φ(n)分別對所有類別計算其分類權(quán)重：

(15)

式中：f(Φ(i)，Gj)代表類別判定函數(shù)，若Φ(i)∈ΘK，那么函數(shù)值是1，反之為0。然后對所有類別進行分類權(quán)重計算，完成DDoS攻擊檢測[12]。

5 仿真研究

為了驗證本文方法的整體有效性，實驗數(shù)據(jù)所采用的是DDoS攻擊數(shù)據(jù)集LLDOS2.0.2。同時為了讓實驗數(shù)據(jù)能夠更加的貼合實際應(yīng)用效果，在其基礎(chǔ)上增加背景流量。

在獲取正常以及攻擊時的流量，即為訓練樣本，而對于獲取樣本的時間間隔是0.01s，具體次數(shù)為600次。其時間序列的計算樣本圖，如下圖2所示。

圖2 時間序列的訓練樣本

所建立的模型可以對表達形式進行獲取，并映出模型階數(shù)和實際的序列兩者之間，所具有的類似程度。通過模型擬合，能夠?qū)DoS的攻擊行為進行識別，因此，分類錯誤率會影響模型階數(shù)。再經(jīng)過模型階數(shù)是依據(jù)分類錯誤率進行決定的。在通過數(shù)次計算對比以后，2階段模型的分類效果最好，其具體參數(shù)曲線，進行收斂前都要歷經(jīng)迭代振蕩過程，而此參數(shù)不具備任何效果，且振蕩過程只在計算的初始時，對于算法并沒有任何影響，所以需要舍棄前100個樣本，在利用所獲取的正常狀態(tài)以及攻擊時的模型參數(shù)來對分類器進行訓練，從而可以獲得的結(jié)果如圖3所示。

圖3 模型擬合參數(shù)

分析圖3可知，利用擬合2階段的模型，對原始振蕩樣本進行忽略，得到擬合參數(shù)序列，在利用訓練過的分類器對待檢測時間序列的參數(shù)向量進行分類。而時間序列的檢測方法，能夠在很大的程度上精準識別出DDoS的攻擊行為，并且誤差率較低。誤差的來源主要來自隨機的噪聲，而通過噪聲引發(fā)的系統(tǒng)狀態(tài)位移，由此才致使無規(guī)律的錯誤進行識別，同時與模型內(nèi)的更新系數(shù)、識別延時以及迭代振蕩有關(guān)，這就可以說明其更新的系數(shù)越小，造成的振蕩就越小，不過也因此識別延遲較大，但較大更新系數(shù)同時也可以相對適當?shù)臏p少識別延遲時間，但是很容易引發(fā)較為強烈的迭代振蕩，嚴重會引發(fā)系統(tǒng)的動蕩。

在以上實驗中，更新的系數(shù)不適合用于實際，所以，在實際應(yīng)用，操作人員應(yīng)當進行適當?shù)恼{(diào)整，才能滿足識別結(jié)果。經(jīng)過上述實驗證明，提出的方法對DDoS的攻擊檢測速度較快，準確率高，同時擁有更好的檢測效果。

6 結(jié)束語

網(wǎng)絡(luò)已經(jīng)成為生活中人們不可以缺少的對象，而在享受網(wǎng)絡(luò)便利的同時，也要注意自身個人隱私，因為個人隱私的泄露很容易被一些別有用心的人加以利用，對人們生活造成無法想象的不良后果，基于此，提出一種基于非平穩(wěn)信號時頻分析的DDoS攻擊檢測方法，這種方法是利用非平穩(wěn)信號進行建模，對提取出DDoS攻擊的時頻進行分析完成攻擊檢測。仿真結(jié)果證明，提出方法對DDoS攻擊的檢測速度非?？?，準確率高，且檢測效果良好。能夠保障用戶的安全，有效保障網(wǎng)絡(luò)的安全性。