邮局:82-946360元/年
技
术创新
信息安全
《PLC 技术应用200例》
您的论文得到两院院士关注
A DDoS i nt r usi on det ect i on m et hod based i m pr oved sl i p aver age f i l t er
(1.
广东警官学院;2.黑龙江移动通信公司)朱丽娜1
彭晗
1
朱东昭
2
周元建
1
ZHU LI -NA PENG HAN ZHU DO NG ZH AO ZHO U YUANJI AN
摘要:本文通过对网络流量统计的分析,提出了一种基于滑动平均滤波器的DDo S 攻击检测方法。该方法不同于以往单一根据网络流量的突变或根据攻击对流量分布的影响来分析DDOS 攻击的方法,而是通过运用滑动平均滤波技术将两者综合考虑。该方法即适合引起网络流量突变的攻击,又适合发现大流量背景下攻击流量并没有引起整个网络流量显著变化的攻击。因此适合于各种规模的网络流量的异常检测。另外,详细给出了对检测成功率和误报率起着至关重要作用的阀值范围。 关键字:
滑动平均滤波器;分布式拒绝服务攻击;检测率;误报率中图分类号:TP393.08文献标识码:A Abs t r ac t :I n t hi s pa pe r we pr o po s e s a DDo S i nt r us i o n de t e c t i o n me t ho d ba s e d i mpr o v e d s l i p a v e r a g e f l i t e r t hr o ug h a na l y z i ng s t a t i s t i c a l c ha r a c t e r i s t i c s o f ne t wo r k t r a f f i c.Our me t ho d i s di f f e r e nt f r o m no t no l y t ha t ba s e d o n bur s t ne t f l o w s i ng l y but a l s o t ha t ba s e d o n i m-pa c t o f t he t r a f f i c di s t r i but i o n s i ng l y.W e c o ns i de r bo t h o f t he m.So i t c a n f i nd o ut t he DDo s a t t a c k bo t h whi c h c a n bur s t ne t f l o w a nd whi c h do e s no t a r o us e t he qui c k c ha ng e s o f ne t wo r k t r a f f i c a g a i ns t t he l a r g e s c a l e ne t wo r k t r a f f i c.I n a ddi t i o n ,we a l s o g i v e o ut a r r a ng e o f t hr e s ho l d v a l ue whi c h i s v e r y i mpo r t a nt t o he l pi ng us t o g e t hi g h i de nt i f i c a t i o n pr o ba bi l i t y a nd l o w f a l s e a l a r m pr o ba bi l i t y.K e y wor ds :s l i p ave r age f i l t e r ,di s t r i but e d de ni alofs e r vi c e ,i de nt i f i c at i on pr obabi l i t y,f al s e al ar m pr obabi l i t y
文章编号:1008-0570(2006)11-3-0071-03
引言
网络安全事件频繁发生,计算机网络的保密性,完整性,可用性受到了严峻的考验。DDOS 攻击已成
为网络安全的头号威胁,DDOS 攻击的检测和防御是迫在眉睫的问题。拒绝服务攻击以其攻击范围广、隐蔽性强、简单有效等特点成为最常见的网络攻击技术之一,极大的影响了网络各业务主机系统的有效服务。该攻击动员了大量的“无辜”
计算机向目标共同发起攻击,这些“无辜”
计算机数量大,分布广泛,很难追踪到攻击源,当大量的“无辜”计算机向目标同时发起攻击时,其破坏能力可想而知。这些“无辜”计算机的I P
地址和端口是随机变化的,它们产生了大量合法数据包来攻击目标主机,因此对于基于特征的入侵检测系统很难检测到DDOS 攻击。目前已经提出了很多针对
DDOS 的检测方法。但是,在大规模的网络流量背景下,攻击流量往往被海量网络数据流量所淹没,想要准确的检测出不引起流量显著变化的DDOS 攻击就
变得更加困难,采用以往提出的神经元网络等检测手段都只能适用于网络流量突变的检测,因此在使用上具有局限性。大规模流量背景下的DDOS 检测方法的基本原理是:在正常情况下网络流量的分布是相对稳定,高频统计结果维持一个动态平衡,而当受到DDOS 攻击时则会破坏这种稳定性和平衡状态。该方法缺点是误报率较高,对于小流量的引起网络流量突变的攻击不能适用。为了解决以上问题,本文提出了基于滑动平均滤波器的DDOS 攻击检测方法。
1滑动平均滤波器
滑动平均滤波器是一种非递归数字滤波器,它通过对输入数据的平滑处理,对出快速变化数据的变化趋势非常有效。下面是传统的滑动平均滤波器的差分方程:
y [n]=(1)
从该差分方程我们可以看出:当k 值越大,得到的曲线就越平滑;k 值越小y[n]就越接近x[n],当k=1时,y [n]=x [n].
2改进的滑动平均滤波器
传统的滑动平均滤波器虽然能在一定程度上解决本文需要解决的问题,但该方法主要考虑到流量的差值变化。对于那些流量基数大但流量会发生较相对小变化的I P ,该方法敏感度太低。而这种情况又是对
DDOS 攻击的检测重点。为了解决以上问题我们对公式(1)
进行了改造:朱丽娜:讲师工学硕士
项目基金:广东省自然科学重点基金资助(05101817)
71--
技术创新
中文核心期刊《微计算机信息》(管控一体化)2006年第22卷第11-3期
360元/年邮局:82-
946《现场总线技术应用200例》
信息安全
(2)
其中,P [n=i ,n-(i +1)]表示x [n-i ]和x [n-(i +1)]之间的增长百分
比。通过公式(2)可以看出改进后的滑动平均滤波器无论是对基数小的大变化还是对基数大的小变化都能具有很高的敏感性。
3基于改进的滑动平均滤波器的
D DO S 攻击检测
本文用改进后的滑动平均滤波序列来预测流量的变化趋势,进而计算实际流量和预测流量的相关程度。我们以k1和k2为窗口长度分别进行两次流量高频预测,然后对实际流量的高频统计结果进行相关性分析。从而发现相邻时刻网络业务流量的百分比在各个I P 上的变化情况,处理过程如下:
1)以k1为窗口长度,预测某I P 上网络流量序列y 1[n];将实际流量序列x [n]与y 1[n]进行相关性计算,得到参数r 1。
2)以k2为窗口长度,预测某I P 上网络流量序列
y 2[n];将实际流量序列x[n]与y 2[n]
进行相关性计算,得到参数r 2。
3)时间间隔t =|k1-k2|*f s 。r 1和r 2就是反映在时间间隔t 内的流量分布相似程度的度量值。这两个参数与1的接近程度就反映了在时间间隔t 内网络流量分布的相似程度。
间隔一个特定的时间T’,重复上述过程1)2)3),通过比较相似度的变化来发现网络流量的变化状况。
采用该方法能很好的发现在时间间隔内网络流量的激增和骤减现象的发生。方法如下:求某一时刻的两个相关系数,如果相关系数的离差超过预定的阀值则认为发生异常。
‖r
1-r 2‖=ξ>V,检测成功(3a )‖r 1-r 2’‖=ζ>V,误报(3b)ξ<V,漏报(3c )
其中r 2’为由于正常操作引起网络流量异常时计算得到的相关系数.我们下面需要解决的问题是阀值V 设为多大时才能确保检测成功率最高,误报和漏报率最低。
由于ξ是随机变量,我们分别用μξ和σ2
ξ来代表
它的数学期望和方差。因此根据概率统计知识很容易识别概率P i 的公式如下:
(4a )
同理,μζ和σ2
ζ来代表ζ
的数学期望和方差。因此根据概率P f 统计知识得误报概率的公式如下:
(4b)
用P m 表示漏报率,那么
P m =1-P i
(4c )
由标准正态分布概率可知,位于[μ-3σ,μ+3σ]之间的概率为0.9973,位于[μ-4σ,μ+4σ]
之间的概率接近于1。在理想情况下我们希望识别概率P i =1,
因此由公式(4a )可得知阀值v 的取值应该满足v ≤μζ
-4σ,同理我们希望误报率P f =0,因此由公式(4b)可得知阀值v 的取值还应该满足v ≥4σ。因此阀值得取值范围如下:
v ∈[4σ,μζ
-4σ],由于上限必须大于下限因此有μζ
>8σ(5)4测试试验
以录制校园网某一时间段内的网络流量作为背景流量,用DOS 模拟工具向目标主机发起随机I P 的多线程的攻击。从8:39分到11:35分近三个小时的测试试验中,共发起攻击35次,检测流程图如见图
1。对离距检测器产生的检测结果我们进行了统计,并将统计结果以图表的形式显示出来见图2。调整阀值V 并重复上面的试验,观测阀值V 对检测精确度的影响,将试验结果显示到图3中。从图3中我们可以看到在阴影部分检测率Pi 最高,误报率Pf 最低,该区域所对应的阀值范围在v ∈[0.34,0.58]。此时μ=0.08329σ=0.00866。于我们上面分析的v ∈
[4σ,μζ
-4σ]基本吻合。图1DDOS 检测流程图
图2相关系数离距统计图
72--
邮局:82-946360元/年
技
术创新信息安全
《PLC 技术应用200例》
您的论文得到两院院士关注图3当μ=0.08329σ=0.00866时,阀值V 对识别概率的影响统
计图
5结论
本文分析了DDo S 攻击的两大类型:引起流量显著变化的DDo S 攻击和在大流量背景下攻击流量未引起网络流量的显著变化的DDo S 攻击。通过采用改进的滑动平均滤波器来增强对上述两种情况攻击的检测敏感度,进而提高了对DDOS 攻击检测的成功率,降低误报率。另外,我们还详细推导了对检测成功率和误报率起着至关重要作用的阀值范围。试验结果证明了该方法的有效性和准确性。
6创新
传统的滑动平均滤波器主要是应用于数字信号处理领域中的一种算法,本文首次尝试将该算法应用于对DDo s 的检测。实验中发现:传统的滑动平均滤
波器算法对于流量差值变化显著的DDo s 的检测准确率很高,而对于那些流量基数大但流量变化相对较小的DDo s 的检测,敏感度较低。为了解决上述问题本文对传统的滑动平均滤波器算法进行了改进,实验结果表明:改进后的算法具有运行速度高、检测准确率高、误报率低等优点,是一种对DDo s 的检测准确而有效的方法。
参考文献:[1]赵桦,罗晓富,程军.DDo S 攻击实时检测防御系统的硬件实现[J ]微计算机信息2005;:75[2]
何慧,张宏莉,张伟哲,,胡铭曾,陈雷.一种基于相似度的DDo S 攻击检测方法.通信学报2004;25(7)176-184[3]Be t t a t i R,Zha oW ,Te o do rD.Re a l -t i mei nt r us i o nde t e c t i o na nds up-pr e s s i o ni nATM ne t wo r ks .Pr o c e e di ng so ft he1s t USENI X W o r ks ho p o nI nt r us i o nDe t e c t i o na ndNe t wo r kM o ni t o r i ng ;Apr i l 1999[4]Pa x s o n V.An a na l y s i s o fus i ng r e f l e c t o r s f o rdi s t r i but e d de ni a l -o f -s e r v i c e a t t a c ks .Co mputCo mmun Re v J ul y 2001;31(3)[5]Ke r o my t i sAD,M i s r a V,Rubi ns t e i n D .SOS:a n a r c hi t e c t ur e f o r mi t i g a t i ng DDo sa t t a c ks .Se lAr e a sCo mmun J a n.2004;22(1)
作者简介:朱丽娜(1974.5),
女,黑龙江齐齐哈尔人,讲师,工学硕士学位,研究方向网络软件开发,E-ma i l :z hul n020@y a ho o.
c o m.c n;
彭晗,女,湖南湘潭市人,实验师。毕业于北京科技大学,
工学学士学位。研究领域为数字图像处理;朱东昭,男,黑龙江齐齐哈尔人,工程师,毕业于北京邮电大学,工学学士学位。研究领域网络体系架构的规划与设计。周元建,男,湖南望城县,教授,中山大学在站博士后。研究领域是信号处理及应用。
(510230广州广东警官学院计算机系)朱丽娜彭晗周元建
(150000哈尔滨黑龙江移动通信公司)
朱东昭(G uangD ong Pol i c e Col l e ge ,de par t m e nt of c om put e r ,G uangZhou 510230,C hi na)Zhu Li -na Pe ng H an Zhou Yuanj i an (M obi l e Cor por at i on ofH e i l ongj i ang Pr ovi nc e ,H ar bi n 150000,Chi na)Zhu Dongz hao
通讯地址:(510220广州市海珠区前进路基立北街21号之四301房)朱丽娜
(收稿日期:2006.2.14)(修稿日期:2006.3.16)
(上接第114页)参考文献:[1]ht t p://ms dn.mi c r o s o f t .c o m/l i br a r y /de f a ul t .a s p?ur l=/l i br a r y /e n -us /s e c c r y pt o /s e c ur i t y /s e t t i ng _t he _c o mput e r _de f a ul t _c s p.a s p [2]高世伟等,基于DCOM 技术实现的控制系统[J ]微计算机信息.2005,21,1-2,23)
[3]冯登国.2001.密码工程实践指南.北京:清华大学出版社.[M ]13~15.[4]贺军.2003.数字签名.北京:清华大学出版社.[M ]43~45.[5]Qi M i ng ,Zha ng Li ng .So me M i x e d Sc he me s f o r Enc r y pt i o n a nd Si g na t ur e Ba s e d o n Di r e c t e d Si g na t ur e Sc he me s.[J ].Suppl e me nt
t he J o ur na lo fSun Ya t s e n Uni v e r s i t y ,1997.(3):15~17(Ch).
作者简介:谭文学(1973-),男,湖南湘乡人,硕士,讲
师,高工,方向:计算机网络与信息安全技术,E-ma i l :
t wx e c g i @163.c o m 。
Bi ogr aphy:Ta n W e nx ue,M a l e,Bo r ne d i n J ul y,1973,Xi a ng x i a ng,Huna n,Ha n ,Co nf e r e d t he ma s t e r ’s de g r e e i n I ns t i t ut e o f t e c h-no l o g y o f Ea s t Chi na ,He i s no w t he s e ni o r Eng i ne e r ,i ns t r uc t o r i n De pa r t me nt o f Co mput e r Sc i e nc e a nd Te c hno l o g y ,Huna n Uni -v e r s i t y o f Ar t a nd Sc i e nc e (Cha ng de,Huna n,Chi na 415000),a nd r e s e a r c
hi ng o n c o mput e r ne t wo r k a nd i nf o r ma t i o n s e c ur i t y t e c ho l -o g y.Ema i l :t wx e c g i @163.c o m.
(415000常德市湖南文理学院)
谭文学王细萍(100101北京中国科学院遥感应用研究所)
张健钦(H uNan Uni ve r s i t y O f Ar t s And Sc i e nc e ,H uNan,Changde
415000)Tan W e nxue W ang Xi pi ng (I ns t i t ut e of Re m ot e Se ns i ng Appl i c at i ons ,Chi ne s e Ac ade m y ofSc i e nc e s ,Be i j i ng Chi na 100101)Zhang Ji anqi n
通讯地址:(湖415000湖南省常德市洞庭大道西段170号湖南文理学院计算机系)
谭文学(收稿日期:2006.4.28)(修稿日期:2006.5.26)
73--
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议