发明内容
本发明的目的是克服现有的分布式拒绝服务攻击检测方法依赖单一检测特征所带来的适应性差、误报率高的缺陷,从而提供一种具有较高适应性和检测准确率的攻击检测方法。
为了实现上述目的,本发明提供了一种分布式拒绝服务攻击的检测方法,包括:
步骤1)、接收网络数据包,在所述网络数据包中提取与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征;
步骤2)、将所述检测特征作为朴素可信度模型中的证据,计算证据可信度;其中,所述朴素可信度模型在可信度模型的基础上增加了知识中的证据总是支持结论为真的假设;
步骤3)、根据所述检测特征创建所述朴素可信度模型中的知识,计算所述知识的可信度;其中,在所述朴素可信度模型的知识中,所述检测特征中的独立检测特征对应一个独立的知识,而所述检测特征中的相关检测特征在同一个知识内;
步骤4)、将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式,对与分布式拒绝服务攻击有关的结论事件进行可信度计算
上述技术方案中,在所述的步骤1)中,所述与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征包括以下特征中的至少两个:全局数据流量特征、全局数据包速率特征、全局数据流量极差特征、全局数据包速率极差特征、全局源IP分布规模特征、全局源IP分布规律特征、全局目的IP分布规律特征、目的IP数据流量特征、目的IP数据包速率特征、目的IP数据流量极差特征、目的IP数据包速率极差特征、目的IP对应的源IP数据流量特征、目的IP对应的源IP数据包速率特征、目的IP对应的源IP数据流量极差特征、目的IP对应的源IP数据包速率极差特征、目的IP对应的源IP分布规模特征、目的IP对应的源IP分布规模极差特征、目的IP对应的源IP分布规律特征、目的IP对应的单包源IP分布规模特征、目的IP对应的源IP包速率均匀度特征、目的IP对应的源IP流量均匀度特征、目的IP对应的源IP包长均匀度特征。
上述技术方案中,所述的步骤2)包括:
步骤2-1)、考察全局数据以及所有数据包类型对应的目的IP及其对应源IP,判断所涉及的检测特征是否存在异常,若存在异常,执行下一步,若不存在异常,执行步骤2-3);
步骤2-2)、对检测特征的异常程度做归一化处理,根据归一化结果计算检测特征作为证据的可信度,继续处理下一数据包;
步骤2-3)、将检测特征作为证据的可信度设为0,然后继续处理下一数据包。
上述技术方案中,在所述的步骤2-2)中,所述的归一化处理采用如下的归一化公式:
其中,Pi表示一检测特征的统计值,thrshi表示该检测特征的阈值,ci表示允许的波动率,CF(Ei)表示证据Ei的可信度,i表示检测特征的序号。
上述技术方案中,在所述的步骤3)中,根据所述的22个检测特征所得到的知识包括:
K1:E1∨E2→H CF1(H,E)
K2:E3∨E4→H CF2(H,E)
K3:(E5∨E6)∧E7→H CF3(H,E)
K4:E8∨E9→H CF4(H,E)
K5:E10∨E11→H CF5(H,E)
K6:E12∨E13→S CF6(S,E)
K7:E14∨E15→S CF7(S,E)
K8:E16→H CF8(H,E)
K9:E17→H CF9(H,E)
K10:E18→H CF10(H,E)
K11:(E16∨E18)∧E19→F CF11(F,E)
K12:E20∨E21∨E22→S CF12(S,E)
其中,E1表示全局数据流量特征所得到的证据;E2表示全局数据包速率特征所得到的证据;E3表示全局数据流量极差特征所得到的证据;E4表示全局数据包速率极差特征所得到的证据;E5表示全局源IP分布规模特征所得到的证据;E6表示全局源IP分布规律特征所得到的证据;E7表示全局目的IP分布规律特征所得到的证据;E8表示目的IP数据流量特征所得到的证据;E9表示目的IP数据包速率特征所得到的证据;E10表示目的IP数据流量极差特征所得到的证据;E11表示目的IP数据包速率极差特征所得到的证据;E12表示目的IP对应的源IP数据流量特征所得到的证据;E13表示目的IP对应的源IP数据包速率特征所得到的证据;E14表示目的IP对应的源IP数据流量极差特征所得到的证据;E15表示目的IP对应的源IP数据包速率极差特征所得到的证据;E16表示目的IP对应的源IP分布规模特征所得到的证据;E17表示目的IP对应的源IP分布规模极差特征所得到的证据;E18表示目的IP对应的源IP分布规律特征所得到的证据;E19表示目的IP对应的单包源IP分布规模特征所得到的证据;E20表示目的IP对应的源IP包速率均匀度特征所得到的证据;E21表示目的IP对应的源IP流量均匀度特征所得到的证据;E22表示目的IP对应的源IP包长均匀度特征所得到的证据;H表示结论事件“存在DDoS攻击以及确定攻击目标”;S表示结论事件“确定攻击源”;F表示结论事件“存在随机 伪造源IP的DDoS攻击”,CFi(i=1~12)表示知识的可信度。
上述技术方案中,在所述的步骤4)中,所述知识中与分布式拒绝服务攻击有关的结论事件包括用于表示“存在DDoS攻击以及确定攻击目标”的结论事件H。
上述技术方案中,在所述的步骤4)中,所述知识中与分布式拒绝服务攻击有关的结论事件还包括用于表示“确定攻击源”的结论事件S和用于表示“存在随机伪造源IP的DDoS攻击”的结论事件F。
上述技术方案中,在所述的步骤4)中,所述的可信度计算公式包括复合证据可信度计算公式以及结论可信度计算公式;其中,
所述的复合证据可信度计算公式包括:
当所述证据为合取事件时,将证据E表示为E=E1∧...∧En,则其可信度计算公式为:
CF(E)=CF(E1∧...∧En)=min{CF(E1),...,CF(En)}; (1)
当所述证据为析取事件时,将证据E表示为E=E1∨...∨En,则其可信度计算公式为:
CF(E)=CF(E1∨...∨En)=max{CF(E1),...,CF(En)}; (2)
当证据为同时包含合取事件和析取事件的复合事件时,将其拆解成若干合取和析取事件,分别应用公式(1)和(2)求得;
所述的结论可信度的计算公式包括对一个知识的结论可信度计算公式以及对多知识同一结论的合成计算公式;其中,
所述的一个知识的结论可信度计算公式包括:
CF(H)=CF(H,E)×CF(E) (3)
所述的CF(H)表示所述的结论可信度,CF(E)表示所述的证据可信度,CF(H,E)表示知识可信度;
所述的多知识同一结论的合成计算公式包括:
CF(H)=CF1(H)+CF2(H)-CF1(H)×CF2(H) (4)
所述的CF1(H)表示在一个知识中对结论H的可信度,CF2(H)表示在另一个知识中对结论H的可信度。
本发明还提供了一种分布式拒绝服务攻击的检测***,包括检测特征提取模块、证据可信度计算模块、知识创建模块以及分布式拒绝服务攻击检测模块;其中,
所述的检测特征提取模块接收网络数据包,在所述网络数据包中提取 与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征;
所述的证据可信度计算模块将所述检测特征作为朴素可信度模型中的证据,计算证据可信度;其中,所述朴素可信度模型在可信度模型的基础上增加了知识中的证据总是支持结论为真的假设;
所述的知识创建模块根据所述检测特征创建所述朴素可信度模型中的知识,计算所述知识的可信度;
所述的分布式拒绝服务攻击检测模块将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式,对与分布式拒绝服务攻击有关的结论事件进行可信度计算。
本发明的优点在于:具有更强的检测能力,更高的检测准确率,同时也具有较好的处理性能。
具体实施方式
下面结合附图和具体实施方式对本发明加以说明。
不确定性推理是人工智能研究领域的重要组成部分,它为解决所需知识不充分、不准确,或多原因导致同一结论的应用问题提供了坚实的理论基础和有效的方法手段。1975年,肖特里菲等人(E.H.Shortliffe and B.G.Buchanan,“A Model of Inexact Reasoning in Medicine,”MathematicalBiosciences,vol.23,pp.351-379,1975)提出了一种不确定性推理的可信度模型(Certainty Factor模型,简称为CF模型),并在医疗会诊***MYCIN中得到了成功应用。科学实践活动表明,DDoS攻击过程中往往呈现出不同的网络行为异常,同时,DDoS攻击检测问题也具有已知经验知识不完整、不准确的特点,因此,本发明考虑采用CF模型来解决DDoS攻击检测问题。为便于CF模型的实际应用,本发明在其基础上增加了一个假设:知识中的证据总是支持结论为真,从而提出了一种朴素可信度模型(Naive Certainty Factor模型,简称为N-CF模型)。N-CF模型具有简单、直观、实用性强等特点。为了方便理解,在此首先对朴素可信度模型的概念及具体的内容加以说明。
定义1知识(Knowledge,简写为K)。知识是指由证据推理出结论为真的规则,通常用产生式规则来表示,其一般形式为:
K:E→H
其中,E为证据,H为结论。证据是一个简单事件或由合取和/或析取构成的复合事件,结论是一个或多个事件,一个知识的结论也可以作为另一个知识的证据。
定义2可信度(Certainty Factor,简写为CF)。可信度是指确定对象事件为真的可信程度,包括证据可信度CF(E),知识可信度CF(H,E)和结论可信度CF(H),其大小通常用模糊数(∈[0,1])来表述,当可信度为0,表示对象事件为假或不相关。
下面给出N-CF模型中可信度的计算公式。
1、复合证据可信度的计算
如果证据为合取事件,设为E=E1∧...∧En,则其可信度计算公式为:
CF(E)=CF(E1∧...∧En)=min{CF(E1),...,CF(En)} (1)
如果证据为析取事件,设为E=E1∨...∨En,则其可信度计算公式为:
CF(E)=CF(E1∨...∨En)=max{CF(E1),...,CF(En)} (2)
如果证据为复合事件,则将其拆解成若干合取和析取事件,分别应用公式(1)和(2)求得。
2、知识可信度的计算
知识可信度通常由具有丰富专业知识及实践经验的领域专家直接给出,或者由客观历史数据通过学习或训练方法计算得出,其原则是:证据的出现对结论为真的支持度越高,则知识可信度的值越大。
3、结论可信度的计算
a、一个知识的结论可信度计算
一个知识的结论可信度计算公式为:
CF(H)=CF(H,E)×CF(E) (3)
b、多知识同一结论的合成
如果两个知识K1和K2可推理出同一结论H,并且K1的证据E1与K2的证据E2是相互独立的,则可通过合成运算计算出两个知识推出的结论的综合可信度,其结论合成运算的计算公式如下:
CF(H)=CF1(H)+CF2(H)-CF1(H)×CF2(H) (4)
以上是对本发明所涉及的朴素可信度模型的说明,在上述模型的基础 上,可实现对网络是否受到分布式拒绝服务攻击的检测。本发明的分布式拒绝服务攻击检测方法在给定的时间间隔内接收网络数据包,从网络数据包中提取与分布式拒绝服务攻击有关的检测特征,计算由这些检测特征所形成的证据的可信度,然后根据前述的检测特征创建朴素可信度模型中的知识,最后利用证据的可信度以及知识的可信度计算知识中结论的可信度,从而得出网络中是否存在分布式拒绝服务攻击的结论。为了方便理解,在下文中将结合图1与一个具体实施例,对本发明的分布式拒绝服务攻击的检测方法加以说明。
参考图1,在对分布式拒绝服务攻击做具体的检测操作前,首先应当对与检测相关的参数做初始化操作。例如,将计时器T设置为0,将检测时间间隔设置为T0。
完成对参数的初始化操作后,就可以接收网络数据包,并对网络数据包进行协议还原,以获取网络数据包的网络层首部和传输层首部的信息。在本实施例中,所述的协议还原为TCP/IP协议还原,所能获取的网络层首部和传输层首部的信息包括源IP、目的IP、源端口、目的端口、协议、包长、TCP标志信息等。
通过协议还原得到网络数据包的网络层首部和传输层首部的信息后,根据这些信息明确数据包的类型,然后再根据数据包类型统计相应的检测特征。在本实施例中,所能检测的数据包类型有多种,包括但不限于ICMP包、ICMP Echo包(类型Type为8的ICMP包)、ICMP Reply(类型Type为0的ICMP包)、ICMP Unreachable包(类型Type为3的ICMP包)、TCP包、TCP Syn包(标志位为Syn的TCP包)、TCP Rst包(标志位为Rst的TCP包)、UDP包、DNS包、HTTP包等。一个数据包类型对应一个DDoS攻击类型,所能检测的数据包类型的数量代表了本发明的检测方法对DDoS攻击类型的检测能力。在本实施例中,所述的检测特征为发生DDoS攻击时所呈现出的网络流量特征和/或行为特征,通过这些检测特征可发现网络中是否存在分布式服务攻击。检测特征的种类与数量可由本领域技术人员根据需要加以选择,在本实施例中,所选取的检测特征分为5类22个,对不同检测特征的统计结果分别加以存储,这些检测特征的详细内容将在下文中分别加以说明。
在得到网络数据包的检测特征后,对计数器T是否超过了检测时间间隔T0进行判断,若超过则根据这些检测特征计算它们所形成的证据的可信 度,若没有超过则继续接收网络数据包。证据的可信度可以用上述检测特征的异常程度来度量。关于证据可信度如何计算的详细内容将在下文中结合前述的22个特征加以说明。
在得到由检测特征所生成的证据的可信度后,根据检测特征为朴素可信度模型创建相关的知识,然后将证据可信度代入朴素可信度模型,从而利用朴素可信度模型中的可信度计算公式计算知识中相关结论的可信度,进而得出网络是否存在分布式拒绝服务攻击的结果。
以上是本发明的分布式拒绝服务攻击检测方法在一个实施例中的大致实现过程的说明。下面就该方法中的某些具体的技术细节做进一步的讨论。
一、关于5类22个检测特征
第一类:针对所采集到的所有数据包的全局流量特征。考虑到流量型DDoS攻击在攻击过程中往往呈现出网络总体流量的异常,因此有必要提取全局流量特征。此类特征具体包括:
a、全局数据流量特征(单位:bps,bits per second,比特/秒);
b、全局数据包速率特征(单位:pps,packets per second,包/秒);
c、全局数据流量极差特征;
d、全局数据包速率极差特征。
在特征c和d中所涉及的极差是指检测时间间隔内所述对象的最大值与最小值的差。
第二类:针对所采集到的所有数据包的全局IP分布特征。考虑到非流量型DDoS攻击在攻击过程中往往呈现出网络总体IP地址分布的异常,因此有必要提取全局IP分布特征。此类特征具体包括:
e、全局源IP分布规模特征;
f、全局源IP分布规律特征;
g、全局目的IP分布规律特征;
其中,分布规模为检测时间间隔内不同的所述对象的个数;分布规律为检测时间间隔内所述对象的数值分布特性,可采用已公开的技术和方法来计算,例如全局源IP分布规律可采用相对熵来计算,全局目的IP分布规律可采用绝对熵来计算。
第三类:针对每个目的IP所对应的数据包的流量特征。考虑到流量型DDoS攻击在攻击过程中往往呈现出流向受害目标IP地址的数据流量的 异常,因此有必要提取每个目的IP流量特征。此类特征具体包括:
h、目的IP数据流量特征;
i、目的IP数据包速率特征;
j、目的IP数据流量极差特征;
k、目的IP数据包速率极差特征;
l、源IP数据流量特征;
m、源IP数据包速率特征;
n、源IP数据流量极差特征;
o、源IP数据包速率极差特征。
第四类:针对每个目的IP所对应的数据包的源IP分布特征。考虑到非流量型DDoS攻击在攻击过程中往往呈现出流向受害目标IP地址流量中源IP地址分布的异常,因此有必要提取每个目的IP的源IP分布特征。此类特征具体包括:
p、源IP分布规模特征;
q、源IP分布规模极差特征;
r、源IP分布规律特征;
s、单包源IP分布规模特征。
其中,单包源IP为向目的IP发送一个或几个数据包的源IP。单包源IP分布规模特征是随机伪造源IP的DDoS攻击检测的依据之一。
第五类:针对每个源IP所对应的数据包的均匀度特征。考虑到在DDoS攻击过程中,每个攻击源发送的数据包往往呈现出相似性或均匀性,因此有必要提取每个源IP的数据包均匀度特征。此类特征具体包括:
t、包速率均匀度特征;
u、流量均匀度特征;
v、包长均匀度特征。
在本发明中,所能提取的与DDoS攻击检测相关的检测特征并不局限于本实施例所提到的上述5类22个检测特征,在其他实施例中,也可采用其他检测特征,例如TCP Syn包与TCPAck/Syn包的比例特征、流出流量与流入流量的比例特征、IP地址、端口、协议类型与数据负载特征等。
二、关于检测特征的证据可信度的计算
由检测特征所形成的证据的可信度可以用检测特征的异常程度来度量,其大小通常用模糊数(∈[0,1])来表述。对于前述22个检测特征,它们的证据可信度计算方法相类似,都包括:考察全局数据以及所有数据包类型所对应的目的IP及其源IP,判断它们所涉及的检测特征是否异常,如果异常,则将其异常程度做归一化处理,计算出证据的可信度,如果不异常,则令其对应证据的可信度为0,继续处理下一个数据。重复上述过程直至处理完全局数据以及所有数据包类型所对应的目的IP及其源IP。其中,对检测特征是否异常的判断一般可通过将前述检测特征所涉及的统计量与其对应的阈值进行比较。所述阈值可根据实践经验和应用环境为每个特征分别设置,比如流量及其极差阈值可分别设为1Mbps、300Kbps,包速率及其极差阈值可分别设为500pps、200pps,分布规模及其极差阈值可分别设为1024、256,分布规律阈值可设为0.5,均匀度阈值可设为0.95。此外,所述阈值也可以通过采用已公开的技术和方法对应用环境的网络数据进行预先训练和学习来设置。对所述异常程度的归一化处理可采用现有技术中已公开的方法,利用这些已公开的方法将异常程度映射成一个模糊数(∈[0,1]),如线性函数归一化方法,y=(x-Min)/(Max-Min),x∈[Min,Max],y∈[0,1]。为了便于理解,下面给出一个用于将异常程度映射到模糊数的映射公式:
其中,Pi表示上述特征的统计值,thrshi表示该特征的阈值,ci表示允许的波动率,CF(Ei)表示证据Ei的可信度,i表示检测特征的序号。
由于在计算检测特征的证据可信度时的相关方法都可以通过现有技术实现,因此,在此只做简要说明。
三、关于如何利用朴素可信度模型计算结论的可信度
在朴素可信度模型中,知识会根据朴素可信度模型所适用的场景(主要是检测特征的内容)不同而发生变化。因此,在进行朴素可信度模型的相关计算前,需要根据检测特征构建知识,在构建时,应当使得独立的检测特征对应一个知识,而相关的检测特征在同一个知识内。下面以本实施例所提到的5类22个特征为基础,给出一个用于DDoS攻击检测的知识 库实例:
K1:E1∨E2→H CF1(H,E)
K2:E3∨E4→H CF2(H,E)
K3:(E5∨E6)∧E7→H CF3(H,E)
K4:E8∨E9→H CF4(H,E)
K5:E10∨E11→H CF5(H,E)
K6:E12∨E13→S CF6(S,E)
K7:E14∨E15→S CF7(S,E)
K8:E16→H CF8(H,E)
K9:E17→H CF9(H,E)
K10:E18→H CF10(H,E)
K11:(E16∨E18)∧E19→F CF11(F,E)
K12:E20∨E21∨E22→S CF12(S,E)
其中,Ei(i=1~22)依次表示上述所述22个特征所对应的证据,具体的说,E1表示全局数据流量特征所得到的证据;E2表示全局数据包速率特征所得到的证据;E3表示全局数据流量极差特征所得到的证据;E4表示全局数据包速率极差特征所得到的证据;E5表示全局源IP分布规模特征所得到的证据;E6表示全局源IP分布规律特征所得到的证据;E7表示全局目的IP分布规律特征所得到的证据;E8表示目的IP数据流量特征所得到的证据;E9表示目的IP数据包速率特征所得到的证据;E10表示目的IP数据流量极差特征所得到的证据;E11表示目的IP数据包速率极差特征所得到的证据;E12表示目的IP对应的源IP数据流量特征所得到的证据;E13表示目的IP对应的源IP数据包速率特征所得到的证据;E14表示目的IP对应的源IP数据流量极差特征所得到的证据;E15表示目的IP对应的源IP数据包速率极差特征所得到的证据;E16表示目的IP对应的源IP分布规模特征所得到的证据;E17表示目的IP对应的源IP分布规模极差特征所得到的证据;E18表示目的IP对应的源IP分布规律特征所得到的证据;E19表示目的IP对应的单包源IP分布规模特征所得到的证据;E20表示目的IP对应的源IP包速率均匀度特征所得到的证据;E21表示目的IP对应的源IP流量均匀度特征所得到的证据;E22表示目的IP对应的源IP包长均匀度特征所得到的证据;H表示结论事件“存在DDoS攻击以及确定攻击目标”,S表示结论事件“确定攻击源”,F表示结论事件“存在随机伪造源IP的 DDoS攻击”,CFi(i=1~12)表示知识的可信度。每个知识的可信度由领域专家直接给出,或者由客观历史数据通过学习或训练方法计算得出,其度量原则应保证证据的出现对结论为真的支持度越高,则知识可信度的值越大。以上知识库仅为本发明为了说明检测方法而给出的一个具体实施例,在具体应用时并不局限于上述知识库中的内容。
有了上述知识后,参考图2并根据前述说明中所提到的公式(1)-(4),对知识中所包含的三个结论事件H、S、F的可信度进行计算。在计算过程中,通过实践经验或科学实验结果为H事件、S事件、F事件分别设置可信度的检测阈值;然后考察全局数据以及所有数据包类型对应的目的IP及其对应源IP,在考察过程中,基于上述22个证据的可信度,对知识库中的每个知识运用公式(1)或(2)计算合取事件或/和析取事件的证据可信度;运用公式(3)计算每个知识的结论可信度;然后通过反复运用公式(4)将知识库中所有知识的同一结论可信度进行两两合成运算,最终生成结论事件的综合可信度;最后判断结论事件的可信度。如果H事件的综合可信度超过该事件的检测阈值,则认为存在DDoS攻击,攻击目标为当前考察的目的IP;如果F事件的可信度超过该事件的检测阈值,则进一步认为该攻击为随机伪造源IP攻击,同时所有单包源IP被确定为攻击源;进一步,如果该目的IP对应的源IP的S事件综合可信度超过该事件的检测阈值,则确定该源IP为攻击源,生成报警事件,写入攻击事件库。如果H事件综合可信度不超过检测阈值,则无需考虑S事件和F事件的可信度是否超过了对应的阈值,即可认为不存在DDoS攻击,继续处理下一个数据。重复上述过程直至处理完全局数据以及所有数据包类型对应的目的IP及其对应源IP。
需要说明的是,上述知识库中包含了三个结论事件H、S、F,在实际应用中,并不要求计算上述所有结论事件的可信度,如只有结论事件H的可信度计算结果亦可,但同时得到三个结论事件的计算结果则更佳。
本发明还提供了一种分布式拒绝服务攻击的检测***,包括检测特征提取模块、证据可信度计算模块、知识创建模块以及分布式拒绝服务攻击检测模块;其中,
所述的检测特征提取模块接收网络数据包,在所述网络数据包中提取与分布式拒绝服务攻击检测有关且用于证明分布式拒绝服务攻击存在的检测特征;
所述的证据可信度计算模块将所述检测特征作为朴素可信度模型中的证据,计算证据可信度;
所述的知识创建模块根据所述检测特征创建所述朴素可信度模型中的知识,计算所述知识的可信度;
所述的分布式拒绝服务攻击检测模块将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式,对与分布式拒绝服务攻击有关的结论事件进行可信度计算。
本发明的分布式拒绝服务攻击检测方法与检测***在实现DDoS攻击的检测过程中,利用朴素可信度模型对全局流量特征、全局IP分布特征、目的IP的流量特征、目的IP对应源IP分布特征、源IP数据包均匀度特征等5类22种网络流量及行为特征进行融合,与现有方法只孤立地利用个别特征相比,无论是准确率还是适应性上都有了较大的提高。此外,本发明提供的检测方法主要利用特征统计与阈值比较,所以方法简单,具有很好的实时性和实用性,适合于大规模高速网络环境下DDoS攻击的检测。再次,本发明的方法与现有方法相比,不仅能够判定DDoS攻击存在性问题,更重要的是能够进一步确定攻击目标、攻击源以及随机伪造源IP的攻击特性,为进一步DDoS攻击的过滤、缓解和防御提供了有效信息。
为进一步说明本发明方法的有效性,以UDP Flood攻击检测为例通过一组实验来比较本发明方法与孤立采用流量特征的传统方法。
实验环境如下:
(1)软硬件环境:采用曙光服务器,4个CPU(Dual-Core AMD Opteron,2211MHz,64位),4GB内存,CentOS Linux 5.264位操作***。本实验仅采用一个CPU处理数据。
(2)背景流量:2008年10月在某电信国际出入口采集的全报文流量,平均发包率为22496pps,平均流量91.2Mbps。在实验过程中始终采用上述流量作为背景流量。
为了保证实验的公平性,对2种方法设定同样的流量阈值参数,具体阈值参数设置如下表1所示:
表1
其中目的IP数据流量和目的IP数据包速率也是传统检测方法的阈值。本发明方法所涉及的知识可信度CFi(i=1~12)分别设置为0.2,0.1,0.3,0.5,0.4,0.5,0.4,0.4,0.5,0.4,1.0,0.3,结论事件的检测阈值为0.5,其他阈值均采用已公开的学习方法获取。
我们分别针对具有相同攻击目标IP地址的2种攻击情况设计了2个实验:
实验1:针对2个真实攻击源的大流量(相对背景流量而言)UDP Flood攻击的检测;
实验2:针对随机伪造攻击源的小流量UDP Flood攻击的检测;
实验结果如下表2所示:
表2
上述实验结果中,“√”表示相应的检测方法可用,而“×”表示相应的检测方法不可用。实验结果表明,传统方法缺乏对小流量慢速攻击的检测能力,而本发明方法融合了多种行为特征,具有更强的检测能力,更高的检测准确率,同时也具有较好的处理性能。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。