CN101547129B - 分布式拒绝服务攻击的检测方法及*** - Google Patents

Abstract

本发明提供了一种分布式拒绝服务攻击的检测方法，包括：接收网络数据包，在网络数据包中提取与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征；将检测特征作为朴素可信度模型中的证据，计算证据可信度；根据检测特征创建所述朴素可信度模型中的知识，计算知识的可信度；其中，在朴素可信度模型的知识中，检测特征中的独立检测特征对应一个独立的知识，而检测特征中的相关检测特征在同一个知识内；将证据可信度以及知识的可信度代入朴素可信度模型的可信度计算公式，对与分布式拒绝服务攻击有关的结论事件进行可信度计算。本发明具有更强的检测能力，更高的检测准确率，同时也具有较好的处理性能。

Description

分布式拒绝服务攻击的检测方法及*** 

技术领域

本发明涉及网络安全监控领域，特别涉及分布式拒绝服务攻击的检测方法及***。 

背景技术

近年来，全球互联网络频繁遭受分布式拒绝服务(DDoS，DistributedDenial of Service)攻击，导致基础运营网络大面积瘫痪，重要信息***的安全受到巨大威胁，严重危及了经济发展、社会稳定甚至国家安全。因此，DDoS攻击的检测与防御问题业已成为网络安全领域亟待解决的重大问题。其中，DDoS攻击检测技术作为有效解决DDoS攻击防御问题的技术手段和基础工作而受到社会各界的广泛关注。 

DDoS攻击检测技术通常可分为误用检测和异常检测两类方法。误用检测主要通过对网络数据进行已知特征匹配的方法来发现DDoS攻击，适于检测已知攻击，且准确性较高；而异常检测主要利用网络流量或行为异常现象来发现DDoS攻击，适于检测未知攻击，但误报率和漏报率较高。 

国内外很多组织和研究人员对DDoS攻击检测技术中的异常检测方法做了相关的研究，根据检测依据的不同，现有的异常检测方法可分为以下两类： 

(1)基于流量异常的检测方法。该类方法主要以不同时间和空间维度的当前网络流量与正常流量在数量、比率等方面上的差异为依据来检测攻击。具体包括基于动态阈值、基于进出包比率、基于双向流量、基于分布式变化点、基于流量自相似等方法。该类方法简单，高效，对流量型DDoS攻击表现得比较敏感、有效，但误报率比较高，对非流量型攻击的漏报率也较高。 

(2)基于行为异常的检测方法。该类方法主要以不同时间和空间维度的当前网络数据行为与正常数据行为在数据分布、数据属性、数据关联等方面上的差异，或者以DDoS攻击时网络数据所呈现出的固有数据特征为依据来检测攻击，通常还利用机器学习、人工智能、数据挖掘、专家系 统、随机过程、概率统计等技术和方法来学习正常行为的数据特征，从而建立正常行为的阈值、模式或模型。具体包括基于IP新鲜度、基于贝叶斯网络评分、基于TCP拥塞控制响应、基于频域分析、基于连接密度、基于连接分布信息熵、基于用户访问行为等多种方法。该类方法相对复杂，针对局域网或目标网络环境的研究工作较多，较适合于非流量型攻击的深入检测，部分方法需要预先学习和训练，检测效果往往依赖于正常行为的稳定性以及其建模的正确性和准确性。 

总体看来，人们已在DDoS攻击异常检测领域取得了一系列研究成果，然而，面对大规模高速复杂网络环境下的实时检测、防御的实际应用需求，已公开的方法还存在着以下问题：1)往往仅依赖单一检测特征，缺乏对多流量或行为特征的综合分析，并且由于检测特征的单一导致针对复杂实际应用环境的适应性较差，误报率较高；2)由于部分方法过于复杂，对计算和存储资源要求较高，所以难以满足大规模高速网络实时检测的要求；3)往往仅解决DDoS攻击存在性问题，缺乏对攻击目标、攻击源以及随机伪造源IP的攻击特性的发现。 

发明内容

本发明的目的是克服现有的分布式拒绝服务攻击检测方法依赖单一检测特征所带来的适应性差、误报率高的缺陷，从而提供一种具有较高适应性和检测准确率的攻击检测方法。 

为了实现上述目的，本发明提供了一种分布式拒绝服务攻击的检测方法，包括： 

步骤1)、接收网络数据包，在所述网络数据包中提取与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征； 

步骤2)、将所述检测特征作为朴素可信度模型中的证据，计算证据可信度；其中，所述朴素可信度模型在可信度模型的基础上增加了知识中的证据总是支持结论为真的假设； 

步骤3)、根据所述检测特征创建所述朴素可信度模型中的知识，计算所述知识的可信度；其中，在所述朴素可信度模型的知识中，所述检测特征中的独立检测特征对应一个独立的知识，而所述检测特征中的相关检测特征在同一个知识内； 

步骤4)、将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式，对与分布式拒绝服务攻击有关的结论事件进行可信度计算 

上述技术方案中，在所述的步骤1)中，所述与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征包括以下特征中的至少两个：全局数据流量特征、全局数据包速率特征、全局数据流量极差特征、全局数据包速率极差特征、全局源IP分布规模特征、全局源IP分布规律特征、全局目的IP分布规律特征、目的IP数据流量特征、目的IP数据包速率特征、目的IP数据流量极差特征、目的IP数据包速率极差特征、目的IP对应的源IP数据流量特征、目的IP对应的源IP数据包速率特征、目的IP对应的源IP数据流量极差特征、目的IP对应的源IP数据包速率极差特征、目的IP对应的源IP分布规模特征、目的IP对应的源IP分布规模极差特征、目的IP对应的源IP分布规律特征、目的IP对应的单包源IP分布规模特征、目的IP对应的源IP包速率均匀度特征、目的IP对应的源IP流量均匀度特征、目的IP对应的源IP包长均匀度特征。 

上述技术方案中，所述的步骤2)包括： 

步骤2-1)、考察全局数据以及所有数据包类型对应的目的IP及其对应源IP，判断所涉及的检测特征是否存在异常，若存在异常，执行下一步，若不存在异常，执行步骤2-3)； 

步骤2-2)、对检测特征的异常程度做归一化处理，根据归一化结果计算检测特征作为证据的可信度，继续处理下一数据包； 

步骤2-3)、将检测特征作为证据的可信度设为0，然后继续处理下一数据包。 

上述技术方案中，在所述的步骤2-2)中，所述的归一化处理采用如下的归一化公式： 

$\mathrm{CF}\left(E_i\right)=\left\{\begin{array}{cc}0& {\mathrm{thrsh}}_i\&times;(1-c_i)\&le;P_i\&le;{\mathrm{thrsh}}_i\&times;(1+c_i)\\ 1-\frac{1}{\frac{P_i}{{\mathrm{thrsh}}_i}-c_i}& P_i>{\mathrm{thrsh}}_i\&times;(1+c_i)\\ 1-\frac{1}{2-(c_i+\frac{P_i}{{\mathrm{thrsh}}_i})}& P_i<{\mathrm{thrsh}}_i\&times;(1-c_i)\end{array}\right\}$

其中，P_i表示一检测特征的统计值，thrsh_i表示该检测特征的阈值，c_i表示允许的波动率，CF(E_i)表示证据E_i的可信度，i表示检测特征的序号。 

上述技术方案中，在所述的步骤3)中，根据所述的22个检测特征所得到的知识包括： 

K₁：E₁∨E₂→H            CF₁(H，E) 

K₂：E₃∨E₄→H            CF₂(H，E) 

K₃：(E₅∨E₆)∧E₇→H      CF₃(H，E) 

K₄：E₈∨E₉→H            CF₄(H，E) 

K₅：E₁₀∨E₁₁→H          CF₅(H，E) 

K₆：E₁₂∨E₁₃→S          CF₆(S，E) 

K₇：E₁₄∨E₁₅→S          CF₇(S，E) 

K₈：E₁₆→H               CF₈(H，E) 

K₉：E₁₇→H               CF₉(H，E) 

K₁₀：E₁₈→H              CF₁₀(H，E) 

K₁₁：(E₁₆∨E₁₈)∧E₁₉→F  CF₁₁(F，E) 

K₁₂：E₂₀∨E₂₁∨E₂₂→S    CF₁₂(S，E) 

其中，E₁表示全局数据流量特征所得到的证据；E₂表示全局数据包速率特征所得到的证据；E₃表示全局数据流量极差特征所得到的证据；E₄表示全局数据包速率极差特征所得到的证据；E₅表示全局源IP分布规模特征所得到的证据；E₆表示全局源IP分布规律特征所得到的证据；E₇表示全局目的IP分布规律特征所得到的证据；E₈表示目的IP数据流量特征所得到的证据；E₉表示目的IP数据包速率特征所得到的证据；E₁₀表示目的IP数据流量极差特征所得到的证据；E₁₁表示目的IP数据包速率极差特征所得到的证据；E₁₂表示目的IP对应的源IP数据流量特征所得到的证据；E₁₃表示目的IP对应的源IP数据包速率特征所得到的证据；E₁₄表示目的IP对应的源IP数据流量极差特征所得到的证据；E₁₅表示目的IP对应的源IP数据包速率极差特征所得到的证据；E₁₆表示目的IP对应的源IP分布规模特征所得到的证据；E₁₇表示目的IP对应的源IP分布规模极差特征所得到的证据；E₁₈表示目的IP对应的源IP分布规律特征所得到的证据；E₁₉表示目的IP对应的单包源IP分布规模特征所得到的证据；E₂₀表示目的IP对应的源IP包速率均匀度特征所得到的证据；E₂₁表示目的IP对应的源IP流量均匀度特征所得到的证据；E₂₂表示目的IP对应的源IP包长均匀度特征所得到的证据；H表示结论事件“存在DDoS攻击以及确定攻击目标”；S表示结论事件“确定攻击源”；F表示结论事件“存在随机 伪造源IP的DDoS攻击”，CF_i(i＝1～12)表示知识的可信度。 

上述技术方案中，在所述的步骤4)中，所述知识中与分布式拒绝服务攻击有关的结论事件包括用于表示“存在DDoS攻击以及确定攻击目标”的结论事件H。 

上述技术方案中，在所述的步骤4)中，所述知识中与分布式拒绝服务攻击有关的结论事件还包括用于表示“确定攻击源”的结论事件S和用于表示“存在随机伪造源IP的DDoS攻击”的结论事件F。 

上述技术方案中，在所述的步骤4)中，所述的可信度计算公式包括复合证据可信度计算公式以及结论可信度计算公式；其中， 

所述的复合证据可信度计算公式包括： 

当所述证据为合取事件时，将证据E表示为E＝E₁∧...∧En，则其可信度计算公式为： 

CF(E)＝CF(E₁∧...∧En)＝min{CF(E₁)，...，CF(En)}；    (1) 

当所述证据为析取事件时，将证据E表示为E＝E₁∨...∨En，则其可信度计算公式为： 

CF(E)＝CF(E₁∨...∨En)＝max{CF(E₁)，...，CF(En)}；    (2) 

当证据为同时包含合取事件和析取事件的复合事件时，将其拆解成若干合取和析取事件，分别应用公式(1)和(2)求得； 

所述的结论可信度的计算公式包括对一个知识的结论可信度计算公式以及对多知识同一结论的合成计算公式；其中， 

所述的一个知识的结论可信度计算公式包括： 

CF(H)＝CF(H，E)×CF(E)    (3) 

所述的CF(H)表示所述的结论可信度，CF(E)表示所述的证据可信度，CF(H，E)表示知识可信度； 

所述的多知识同一结论的合成计算公式包括： 

CF(H)＝CF₁(H)+CF₂(H)-CF₁(H)×CF₂(H)    (4) 

所述的CF₁(H)表示在一个知识中对结论H的可信度，CF₂(H)表示在另一个知识中对结论H的可信度。 

本发明还提供了一种分布式拒绝服务攻击的检测***，包括检测特征提取模块、证据可信度计算模块、知识创建模块以及分布式拒绝服务攻击检测模块；其中， 

所述的检测特征提取模块接收网络数据包，在所述网络数据包中提取 与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征； 

所述的证据可信度计算模块将所述检测特征作为朴素可信度模型中的证据，计算证据可信度；其中，所述朴素可信度模型在可信度模型的基础上增加了知识中的证据总是支持结论为真的假设； 

所述的知识创建模块根据所述检测特征创建所述朴素可信度模型中的知识，计算所述知识的可信度； 

所述的分布式拒绝服务攻击检测模块将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式，对与分布式拒绝服务攻击有关的结论事件进行可信度计算。 

本发明的优点在于：具有更强的检测能力，更高的检测准确率，同时也具有较好的处理性能。 

附图说明

图1为本发明的分布式拒绝服务攻击的检测方法的一种实现方式的流程图； 

图2为本发明的分布式拒绝服务攻击的检测方法在进行可信度计算时的流程图。 

具体实施方式

下面结合附图和具体实施方式对本发明加以说明。 

不确定性推理是人工智能研究领域的重要组成部分，它为解决所需知识不充分、不准确，或多原因导致同一结论的应用问题提供了坚实的理论基础和有效的方法手段。1975年，肖特里菲等人(E.H.Shortliffe and B.G.Buchanan，“A Model of Inexact Reasoning in Medicine，”MathematicalBiosciences，vol.23，pp.351-379，1975)提出了一种不确定性推理的可信度模型(Certainty Factor模型，简称为CF模型)，并在医疗会诊***MYCIN中得到了成功应用。科学实践活动表明，DDoS攻击过程中往往呈现出不同的网络行为异常，同时，DDoS攻击检测问题也具有已知经验知识不完整、不准确的特点，因此，本发明考虑采用CF模型来解决DDoS攻击检测问题。为便于CF模型的实际应用，本发明在其基础上增加了一个假设：知识中的证据总是支持结论为真，从而提出了一种朴素可信度模型(Naive Certainty Factor模型，简称为N-CF模型)。N-CF模型具有简单、直观、实用性强等特点。为了方便理解，在此首先对朴素可信度模型的概念及具体的内容加以说明。 

定义1知识(Knowledge，简写为K)。知识是指由证据推理出结论为真的规则，通常用产生式规则来表示，其一般形式为： 

K:E→H 

其中，E为证据，H为结论。证据是一个简单事件或由合取和/或析取构成的复合事件，结论是一个或多个事件，一个知识的结论也可以作为另一个知识的证据。 

定义2可信度(Certainty Factor，简写为CF)。可信度是指确定对象事件为真的可信程度，包括证据可信度CF(E)，知识可信度CF(H，E)和结论可信度CF(H)，其大小通常用模糊数(∈[0，1])来表述，当可信度为0，表示对象事件为假或不相关。 

下面给出N-CF模型中可信度的计算公式。 

1、复合证据可信度的计算 

如果证据为合取事件，设为E＝E₁∧...∧En，则其可信度计算公式为： 

CF(E)＝CF(E₁∧...∧En)＝min{CF(E₁)，...，CF(En)}    (1) 

如果证据为析取事件，设为E＝E₁∨...∨En，则其可信度计算公式为： 

CF(E)＝CF(E₁∨...∨En)＝max{CF(E₁)，...，CF(En)}    (2) 

如果证据为复合事件，则将其拆解成若干合取和析取事件，分别应用公式(1)和(2)求得。 

2、知识可信度的计算 

知识可信度通常由具有丰富专业知识及实践经验的领域专家直接给出，或者由客观历史数据通过学习或训练方法计算得出，其原则是：证据的出现对结论为真的支持度越高，则知识可信度的值越大。 

3、结论可信度的计算 

a、一个知识的结论可信度计算 

一个知识的结论可信度计算公式为： 

CF(H)＝CF(H，E)×CF(E)    (3) 

b、多知识同一结论的合成 

如果两个知识K₁和K₂可推理出同一结论H，并且K₁的证据E₁与K₂的证据E₂是相互独立的，则可通过合成运算计算出两个知识推出的结论的综合可信度，其结论合成运算的计算公式如下： 

CF(H)＝CF₁(H)+CF₂(H)-CF₁(H)×CF₂(H)    (4) 

以上是对本发明所涉及的朴素可信度模型的说明，在上述模型的基础 上，可实现对网络是否受到分布式拒绝服务攻击的检测。本发明的分布式拒绝服务攻击检测方法在给定的时间间隔内接收网络数据包，从网络数据包中提取与分布式拒绝服务攻击有关的检测特征，计算由这些检测特征所形成的证据的可信度，然后根据前述的检测特征创建朴素可信度模型中的知识，最后利用证据的可信度以及知识的可信度计算知识中结论的可信度，从而得出网络中是否存在分布式拒绝服务攻击的结论。为了方便理解，在下文中将结合图1与一个具体实施例，对本发明的分布式拒绝服务攻击的检测方法加以说明。 

参考图1，在对分布式拒绝服务攻击做具体的检测操作前，首先应当对与检测相关的参数做初始化操作。例如，将计时器T设置为0，将检测时间间隔设置为T₀。 

完成对参数的初始化操作后，就可以接收网络数据包，并对网络数据包进行协议还原，以获取网络数据包的网络层首部和传输层首部的信息。在本实施例中，所述的协议还原为TCP/IP协议还原，所能获取的网络层首部和传输层首部的信息包括源IP、目的IP、源端口、目的端口、协议、包长、TCP标志信息等。 

通过协议还原得到网络数据包的网络层首部和传输层首部的信息后，根据这些信息明确数据包的类型，然后再根据数据包类型统计相应的检测特征。在本实施例中，所能检测的数据包类型有多种，包括但不限于ICMP包、ICMP Echo包(类型Type为8的ICMP包)、ICMP Reply(类型Type为0的ICMP包)、ICMP Unreachable包(类型Type为3的ICMP包)、TCP包、TCP Syn包(标志位为Syn的TCP包)、TCP Rst包(标志位为Rst的TCP包)、UDP包、DNS包、HTTP包等。一个数据包类型对应一个DDoS攻击类型，所能检测的数据包类型的数量代表了本发明的检测方法对DDoS攻击类型的检测能力。在本实施例中，所述的检测特征为发生DDoS攻击时所呈现出的网络流量特征和/或行为特征，通过这些检测特征可发现网络中是否存在分布式服务攻击。检测特征的种类与数量可由本领域技术人员根据需要加以选择，在本实施例中，所选取的检测特征分为5类22个，对不同检测特征的统计结果分别加以存储，这些检测特征的详细内容将在下文中分别加以说明。 

在得到网络数据包的检测特征后，对计数器T是否超过了检测时间间隔T₀进行判断，若超过则根据这些检测特征计算它们所形成的证据的可信 度，若没有超过则继续接收网络数据包。证据的可信度可以用上述检测特征的异常程度来度量。关于证据可信度如何计算的详细内容将在下文中结合前述的22个特征加以说明。 

在得到由检测特征所生成的证据的可信度后，根据检测特征为朴素可信度模型创建相关的知识，然后将证据可信度代入朴素可信度模型，从而利用朴素可信度模型中的可信度计算公式计算知识中相关结论的可信度，进而得出网络是否存在分布式拒绝服务攻击的结果。 

以上是本发明的分布式拒绝服务攻击检测方法在一个实施例中的大致实现过程的说明。下面就该方法中的某些具体的技术细节做进一步的讨论。 

一、关于5类22个检测特征 

第一类：针对所采集到的所有数据包的全局流量特征。考虑到流量型DDoS攻击在攻击过程中往往呈现出网络总体流量的异常，因此有必要提取全局流量特征。此类特征具体包括： 

a、全局数据流量特征(单位：bps，bits per second，比特/秒)； 

b、全局数据包速率特征(单位：pps，packets per second，包/秒)； 

c、全局数据流量极差特征； 

d、全局数据包速率极差特征。 

在特征c和d中所涉及的极差是指检测时间间隔内所述对象的最大值与最小值的差。 

第二类：针对所采集到的所有数据包的全局IP分布特征。考虑到非流量型DDoS攻击在攻击过程中往往呈现出网络总体IP地址分布的异常，因此有必要提取全局IP分布特征。此类特征具体包括： 

e、全局源IP分布规模特征； 

f、全局源IP分布规律特征； 

g、全局目的IP分布规律特征； 

其中，分布规模为检测时间间隔内不同的所述对象的个数；分布规律为检测时间间隔内所述对象的数值分布特性，可采用已公开的技术和方法来计算，例如全局源IP分布规律可采用相对熵来计算，全局目的IP分布规律可采用绝对熵来计算。 

第三类：针对每个目的IP所对应的数据包的流量特征。考虑到流量型DDoS攻击在攻击过程中往往呈现出流向受害目标IP地址的数据流量的 异常，因此有必要提取每个目的IP流量特征。此类特征具体包括： 

h、目的IP数据流量特征； 

i、目的IP数据包速率特征； 

j、目的IP数据流量极差特征； 

k、目的IP数据包速率极差特征； 

l、源IP数据流量特征； 

m、源IP数据包速率特征； 

n、源IP数据流量极差特征； 

o、源IP数据包速率极差特征。 

第四类：针对每个目的IP所对应的数据包的源IP分布特征。考虑到非流量型DDoS攻击在攻击过程中往往呈现出流向受害目标IP地址流量中源IP地址分布的异常，因此有必要提取每个目的IP的源IP分布特征。此类特征具体包括： 

p、源IP分布规模特征； 

q、源IP分布规模极差特征； 

r、源IP分布规律特征； 

s、单包源IP分布规模特征。 

其中，单包源IP为向目的IP发送一个或几个数据包的源IP。单包源IP分布规模特征是随机伪造源IP的DDoS攻击检测的依据之一。 

第五类：针对每个源IP所对应的数据包的均匀度特征。考虑到在DDoS攻击过程中，每个攻击源发送的数据包往往呈现出相似性或均匀性，因此有必要提取每个源IP的数据包均匀度特征。此类特征具体包括： 

t、包速率均匀度特征； 

u、流量均匀度特征； 

v、包长均匀度特征。 

在本发明中，所能提取的与DDoS攻击检测相关的检测特征并不局限于本实施例所提到的上述5类22个检测特征，在其他实施例中，也可采用其他检测特征，例如TCP Syn包与TCPAck/Syn包的比例特征、流出流量与流入流量的比例特征、IP地址、端口、协议类型与数据负载特征等。 

二、关于检测特征的证据可信度的计算 

由检测特征所形成的证据的可信度可以用检测特征的异常程度来度量，其大小通常用模糊数(∈[0，1])来表述。对于前述22个检测特征，它们的证据可信度计算方法相类似，都包括：考察全局数据以及所有数据包类型所对应的目的IP及其源IP，判断它们所涉及的检测特征是否异常，如果异常，则将其异常程度做归一化处理，计算出证据的可信度，如果不异常，则令其对应证据的可信度为0，继续处理下一个数据。重复上述过程直至处理完全局数据以及所有数据包类型所对应的目的IP及其源IP。其中，对检测特征是否异常的判断一般可通过将前述检测特征所涉及的统计量与其对应的阈值进行比较。所述阈值可根据实践经验和应用环境为每个特征分别设置，比如流量及其极差阈值可分别设为1Mbps、300Kbps，包速率及其极差阈值可分别设为500pps、200pps，分布规模及其极差阈值可分别设为1024、256，分布规律阈值可设为0.5，均匀度阈值可设为0.95。此外，所述阈值也可以通过采用已公开的技术和方法对应用环境的网络数据进行预先训练和学习来设置。对所述异常程度的归一化处理可采用现有技术中已公开的方法，利用这些已公开的方法将异常程度映射成一个模糊数(∈[0，1])，如线性函数归一化方法，y＝(x-Min)/(Max-Min)，x∈[Min，Max]，y∈[0，1]。为了便于理解，下面给出一个用于将异常程度映射到模糊数的映射公式：

$\mathrm{CF}\left(E_i\right)=\left\{\begin{array}{cc}0& {\mathrm{thrsh}}_i\&times;(1-c_i)\&le;P_i\&le;{\mathrm{thrsh}}_i\&times;(1+c_i)\\ 1-\frac{1}{\frac{P_i}{{\mathrm{thrsh}}_i}-c_i}& P_i>{\mathrm{thrsh}}_i\&times;(1+c_i)\\ 1-\frac{1}{2-(c_i+\frac{P_i}{{\mathrm{thrsh}}_i})}& P_i<{\mathrm{thrsh}}_i\&times;(1-c_i)\end{array}\right\}$

其中，P_i表示上述特征的统计值，thrsh_i表示该特征的阈值，c_i表示允许的波动率，CF(E_i)表示证据E_i的可信度，i表示检测特征的序号。 

由于在计算检测特征的证据可信度时的相关方法都可以通过现有技术实现，因此，在此只做简要说明。 

三、关于如何利用朴素可信度模型计算结论的可信度 

在朴素可信度模型中，知识会根据朴素可信度模型所适用的场景(主要是检测特征的内容)不同而发生变化。因此，在进行朴素可信度模型的相关计算前，需要根据检测特征构建知识，在构建时，应当使得独立的检测特征对应一个知识，而相关的检测特征在同一个知识内。下面以本实施例所提到的5类22个特征为基础，给出一个用于DDoS攻击检测的知识 库实例： 

K₁：E₁∨E₂→H             CF₁(H，E) 

K₂：E₃∨E₄→H             CF₂(H，E) 

K₃：(E₅∨E₆)∧E₇→H       CF₃(H，E) 

K₄：E₈∨E₉→H             CF₄(H，E) 

K₅：E₁₀∨E₁₁→H           CF₅(H，E) 

K₆：E₁₂∨E₁₃→S           CF₆(S，E) 

K₇：E₁₄∨E₁₅→S           CF₇(S，E) 

K₈：E₁₆→H                CF₈(H，E) 

K₉：E₁₇→H                CF₉(H，E) 

K₁₀：E₁₈→H               CF₁₀(H，E) 

K₁₁：(E₁₆∨E₁₈)∧E₁₉→F   CF₁₁(F，E) 

K₁₂：E₂₀∨E₂₁∨E₂₂→S     CF₁₂(S，E) 

其中，E_i(i＝1～22)依次表示上述所述22个特征所对应的证据，具体的说，E₁表示全局数据流量特征所得到的证据；E₂表示全局数据包速率特征所得到的证据；E₃表示全局数据流量极差特征所得到的证据；E₄表示全局数据包速率极差特征所得到的证据；E₅表示全局源IP分布规模特征所得到的证据；E₆表示全局源IP分布规律特征所得到的证据；E₇表示全局目的IP分布规律特征所得到的证据；E₈表示目的IP数据流量特征所得到的证据；E₉表示目的IP数据包速率特征所得到的证据；E₁₀表示目的IP数据流量极差特征所得到的证据；E₁₁表示目的IP数据包速率极差特征所得到的证据；E₁₂表示目的IP对应的源IP数据流量特征所得到的证据；E₁₃表示目的IP对应的源IP数据包速率特征所得到的证据；E₁₄表示目的IP对应的源IP数据流量极差特征所得到的证据；E₁₅表示目的IP对应的源IP数据包速率极差特征所得到的证据；E₁₆表示目的IP对应的源IP分布规模特征所得到的证据；E₁₇表示目的IP对应的源IP分布规模极差特征所得到的证据；E₁₈表示目的IP对应的源IP分布规律特征所得到的证据；E₁₉表示目的IP对应的单包源IP分布规模特征所得到的证据；E₂₀表示目的IP对应的源IP包速率均匀度特征所得到的证据；E₂₁表示目的IP对应的源IP流量均匀度特征所得到的证据；E₂₂表示目的IP对应的源IP包长均匀度特征所得到的证据；H表示结论事件“存在DDoS攻击以及确定攻击目标”，S表示结论事件“确定攻击源”，F表示结论事件“存在随机伪造源IP的 DDoS攻击”，CF_i(i＝1～12)表示知识的可信度。每个知识的可信度由领域专家直接给出，或者由客观历史数据通过学习或训练方法计算得出，其度量原则应保证证据的出现对结论为真的支持度越高，则知识可信度的值越大。以上知识库仅为本发明为了说明检测方法而给出的一个具体实施例，在具体应用时并不局限于上述知识库中的内容。 

有了上述知识后，参考图2并根据前述说明中所提到的公式(1)-(4)，对知识中所包含的三个结论事件H、S、F的可信度进行计算。在计算过程中，通过实践经验或科学实验结果为H事件、S事件、F事件分别设置可信度的检测阈值；然后考察全局数据以及所有数据包类型对应的目的IP及其对应源IP，在考察过程中，基于上述22个证据的可信度，对知识库中的每个知识运用公式(1)或(2)计算合取事件或/和析取事件的证据可信度；运用公式(3)计算每个知识的结论可信度；然后通过反复运用公式(4)将知识库中所有知识的同一结论可信度进行两两合成运算，最终生成结论事件的综合可信度；最后判断结论事件的可信度。如果H事件的综合可信度超过该事件的检测阈值，则认为存在DDoS攻击，攻击目标为当前考察的目的IP；如果F事件的可信度超过该事件的检测阈值，则进一步认为该攻击为随机伪造源IP攻击，同时所有单包源IP被确定为攻击源；进一步，如果该目的IP对应的源IP的S事件综合可信度超过该事件的检测阈值，则确定该源IP为攻击源，生成报警事件，写入攻击事件库。如果H事件综合可信度不超过检测阈值，则无需考虑S事件和F事件的可信度是否超过了对应的阈值，即可认为不存在DDoS攻击，继续处理下一个数据。重复上述过程直至处理完全局数据以及所有数据包类型对应的目的IP及其对应源IP。 

需要说明的是，上述知识库中包含了三个结论事件H、S、F，在实际应用中，并不要求计算上述所有结论事件的可信度，如只有结论事件H的可信度计算结果亦可，但同时得到三个结论事件的计算结果则更佳。 

本发明还提供了一种分布式拒绝服务攻击的检测***，包括检测特征提取模块、证据可信度计算模块、知识创建模块以及分布式拒绝服务攻击检测模块；其中， 

所述的检测特征提取模块接收网络数据包，在所述网络数据包中提取与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征； 

所述的证据可信度计算模块将所述检测特征作为朴素可信度模型中的证据，计算证据可信度； 

所述的知识创建模块根据所述检测特征创建所述朴素可信度模型中的知识，计算所述知识的可信度； 

所述的分布式拒绝服务攻击检测模块将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式，对与分布式拒绝服务攻击有关的结论事件进行可信度计算。 

本发明的分布式拒绝服务攻击检测方法与检测***在实现DDoS攻击的检测过程中，利用朴素可信度模型对全局流量特征、全局IP分布特征、目的IP的流量特征、目的IP对应源IP分布特征、源IP数据包均匀度特征等5类22种网络流量及行为特征进行融合，与现有方法只孤立地利用个别特征相比，无论是准确率还是适应性上都有了较大的提高。此外，本发明提供的检测方法主要利用特征统计与阈值比较，所以方法简单，具有很好的实时性和实用性，适合于大规模高速网络环境下DDoS攻击的检测。再次，本发明的方法与现有方法相比，不仅能够判定DDoS攻击存在性问题，更重要的是能够进一步确定攻击目标、攻击源以及随机伪造源IP的攻击特性，为进一步DDoS攻击的过滤、缓解和防御提供了有效信息。 

为进一步说明本发明方法的有效性，以UDP Flood攻击检测为例通过一组实验来比较本发明方法与孤立采用流量特征的传统方法。 

实验环境如下： 

(1)软硬件环境：采用曙光服务器，4个CPU(Dual-Core AMD Opteron，2211MHz，64位)，4GB内存，CentOS Linux 5.264位操作***。本实验仅采用一个CPU处理数据。 

(2)背景流量：2008年10月在某电信国际出入口采集的全报文流量，平均发包率为22496pps，平均流量91.2Mbps。在实验过程中始终采用上述流量作为背景流量。 

为了保证实验的公平性，对2种方法设定同样的流量阈值参数，具体阈值参数设置如下表1所示： 

表1 

其中目的IP数据流量和目的IP数据包速率也是传统检测方法的阈值。本发明方法所涉及的知识可信度CF_i(i＝1～12)分别设置为0.2，0.1，0.3，0.5，0.4，0.5，0.4，0.4，0.5，0.4，1.0，0.3，结论事件的检测阈值为0.5，其他阈值均采用已公开的学习方法获取。 

我们分别针对具有相同攻击目标IP地址的2种攻击情况设计了2个实验： 

实验1：针对2个真实攻击源的大流量(相对背景流量而言)UDP Flood攻击的检测； 

实验2：针对随机伪造攻击源的小流量UDP Flood攻击的检测； 

实验结果如下表2所示： 

表2 

上述实验结果中，“√”表示相应的检测方法可用，而“×”表示相应的检测方法不可用。实验结果表明，传统方法缺乏对小流量慢速攻击的检测能力，而本发明方法融合了多种行为特征，具有更强的检测能力，更高的检测准确率，同时也具有较好的处理性能。 

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。 

Claims (9)

1.一种分布式拒绝服务攻击的检测方法，包括：

步骤1)、接收网络数据包，在所述网络数据包中提取与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征；

步骤2)、将所述检测特征作为朴素可信度模型中的证据，计算证据可信度；其中，所述朴素可信度模型在可信度模型的基础上增加了知识中的证据总是支持结论为真的假设；

步骤3)、根据所述检测特征创建所述朴素可信度模型中的知识，计算所述知识的可信度；其中，在所述朴素可信度模型的知识中，所述检测特征中的独立检测特征对应一个独立的知识，而所述检测特征中的相关检测特征在同一个知识内；

步骤4)、将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式，对与分布式拒绝服务攻击有关的结论事件进行可信度计算。

2.根据权利要求1所述的分布式拒绝服务攻击的检测方法，其特征在于，在所述的步骤1)中，所述与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征包括以下特征中的至少两个：全局数据流量特征、全局数据包速率特征、全局数据流量极差特征、全局数据包速率极差特征、全局源IP分布规模特征、全局源IP分布规律特征、全局目的IP分布规律特征、目的IP数据流量特征、目的IP数据包速率特征、目的IP数据流量极差特征、目的IP数据包速率极差特征、目的IP对应的源IP数据流量特征、目的IP对应的源IP数据包速率特征、目的IP对应的源IP数据流量极差特征、目的IP对应的源IP数据包速率极差特征、目的IP对应的源IP分布规模特征、目的IP对应的源IP分布规模极差特征、目的IP对应的源IP分布规律特征、目的IP对应的单包源IP分布规模特征、目的IP对应的源IP包速率均匀度特征、目的IP对应的源IP流量均匀度特征、目的IP对应的源IP包长均匀度特征。

3.根据权利要求1所述的分布式拒绝服务攻击的检测方法，其特征在于，所述的步骤2)包括：

步骤2-1)、考察全局数据以及所有数据包类型对应的目的IP及其对应源IP，判断所涉及的检测特征是否存在异常，若存在异常，执行下一步， 若不存在异常，执行步骤2-3)；

步骤2-2)、对检测特征的异常程度做归一化处理，根据归一化结果计算检测特征作为证据的可信度，继续处理下一数据包；

步骤2-3)、将检测特征作为证据的可信度设为0，然后继续处理下一数据包。

4.根据权利要求3所述的分布式拒绝服务攻击的检测方法，其特征在于，在所述的步骤2-2)中，所述的归一化处理采用如下的归一化公式：

其中，P_i表示一检测特征的统计值，thrsh_i表示该检测特征的阈值，c_i表示允许的波动率，CF(E_i)表示证据E_i的可信度，i表示检测特征的序号。

5.根据权利要求2所述的分布式拒绝服务攻击的检测方法，其特征在于，在所述的步骤3)中，根据所述的22个检测特征所得到的知识包括：

K₁：E₁∨E₂→H             CF₁(H，E)

K₂：E₃∨E₄→H             CF₂(H，E)

K₃：(E₅∨E₆)∧E₇→H       CF₃(H，E)

K₄：E₈∨E₉→H             CF₄(H，E)

K₅：E₁₀∨E₁₁→H           CF₅(H，E)

K₆：E₁₂∨E₁₃→S           CF₆(S，E)

K₇：E₁₄∨E₁₅→S           CF₇(S，E)

K₈：E₁₆→H                CF₈(H，E)

K₉：E₁₇→H                CF₉(H，E)

K₁₀：E₁₈→H               CF₁₀(H，E)

K₁₁：(E₁₆∨E₁₈)∧E₁₉→F   CF₁₁(F，E)

K₁₂：E₂₀∨E₂₁∨E₂₂→S     CF₁₂(S，E)

其中，E₁表示全局数据流量特征所得到的证据；E₂表示全局数据包速率特征所得到的证据；E₃表示全局数据流量极差特征所得到的证据；E₄表示全局数据包速率极差特征所得到的证据；E₅表示全局源IP分布规模 特征所得到的证据；E₆表示全局源IP分布规律特征所得到的证据；E₇表示全局目的IP分布规律特征所得到的证据；E₈表示目的IP数据流量特征所得到的证据；E₉表示目的IP数据包速率特征所得到的证据；E₁₀表示目的IP数据流量极差特征所得到的证据；E₁₁表示目的IP数据包速率极差特征所得到的证据；E₁₂表示目的IP对应的源IP数据流量特征所得到的证据；E₁₃表示目的IP对应的源IP数据包速率特征所得到的证据；E₁₄表示目的IP对应的源IP数据流量极差特征所得到的证据；E₁₅表示目的IP对应的源IP数据包速率极差特征所得到的证据；E₁₆表示目的IP对应的源IP分布规模特征所得到的证据；E₁₇表示目的IP对应的源IP分布规模极差特征所得到的证据；E₁₈表示目的IP对应的源IP分布规律特征所得到的证据；E₁₉表示目的IP对应的单包源IP分布规模特征所得到的证据；E₂₀表示目的IP对应的源IP包速率均匀度特征所得到的证据；E₂₁表示目的IP对应的源IP流量均匀度特征所得到的证据；E₂₂表示目的IP对应的源IP包长均匀度特征所得到的证据；H表示结论事件“存在DDoS攻击以及确定攻击目标”；S表示结论事件“确定攻击源”；F表示结论事件“存在随机伪造源IP的DDoS攻击”，CF_i(i＝1～12)表示知识的可信度。

6.根据权利要求5所述的分布式拒绝服务攻击的检测方法，其特征在于，在所述的步骤4)中，所述知识中与分布式拒绝服务攻击有关的结论事件包括用于表示“存在DDoS攻击以及确定攻击目标”的结论事件H。

7.根据权利要求6所述的分布式拒绝服务攻击的检测方法，其特征在于，在所述的步骤4)中，所述知识中与分布式拒绝服务攻击有关的结论事件还包括用于表示“确定攻击源”的结论事件S和用于表示“存在随机伪造源IP的DDoS攻击”的结论事件F。

8.根据权利要求1所述的分布式拒绝服务攻击的检测方法，其特征在于，在所述的步骤4)中，所述的可信度计算公式包括复合证据可信度计算公式以及结论可信度计算公式；其中，

所述的复合证据可信度计算公式包括：

当所述证据为合取事件时，将证据E表示为E＝E₁∧…∧En，则其可信度计算公式为：

CF(E)＝CF(E₁∧…∧En)＝min{CF(E₁)，…，CF(En)}；(1)

当所述证据为析取事件时，将证据E表示为E＝E₁∨…∨En，则其可信度计算公式为： 

CF(E)＝CF(E₁∨…∨En)＝max{CF(E₁)，…，CF(En)}；(2)

当证据为同时包含合取事件和析取事件的复合事件时，将其拆解成若干合取和析取事件，分别应用公式(1)和(2)求得；

所述的结论可信度的计算公式包括对一个知识的结论可信度计算公式以及对多知识同一结论的合成计算公式；其中，

所述的一个知识的结论可信度计算公式包括：

CF(H)＝CF(H，E)×CF(E)(3)

所述的CF(H)表示所述的结论可信度，CF(E)表示所述的证据可信度，CF(H，E)表示知识可信度；

所述的多知识同一结论的合成计算公式包括：

CF(H)＝CF₁(H)+CF₂(H)-CF₁(H)×CF₂(H)(4)

所述的CF₁(H)表示在一个知识中对结论H的可信度，CF₂(H)表示在另一个知识中对结论H的可信度。

9.一种分布式拒绝服务攻击的检测***，其特征在于，包括检测特征提取模块、证据可信度计算模块、知识创建模块以及分布式拒绝服务攻击检测模块；其中，

所述的检测特征提取模块接收网络数据包，在所述网络数据包中提取与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征；

所述的证据可信度计算模块将所述检测特征作为朴素可信度模型中的证据，计算证据可信度；其中，所述朴素可信度模型在可信度模型的基础上增加了知识中的证据总是支持结论为真的假设；

所述的知识创建模块根据所述检测特征创建所述朴素可信度模型中的知识，计算所述知识的可信度；

所述的分布式拒绝服务攻击检测模块将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式，对与分布式拒绝服务攻击有关的结论事件进行可信度计算。 

Images