攻击洪水攻击

第32卷第6期北京交通大学学报V01.
32No,62丝§篁!
至旦』Q堑墼墼垒LQ星旦曼!
』!
墼坌』!
垒Q!
Q墼堡堑墼!
至垦曼曼!
!
兰望墼:至塑垒文章编号:1673.
0291(2008}06.
0073.
05自适应参数的网络异常流量检测方法步山岳1,王汝传2,张海艳1(1.
淮阴工学院计算机工程系,江苏淮安223001;2.
南京邮电大学计算机学院,南京210003)摘要:分布式拒绝服务(DDoS)攻击对互联网的稳定性和安全性构成了严重的威胁.
对网络流量进行异常检测,发现异常后再对数据包进行分析,实施相应措施,有利于降低系统开销.
该文给出了网络流量均值和阈值能够根据网络环境变化的自适应调整算法.
分析了参数的设置对误报警、动态调整报警阈值等的影响.
实验结果表明设计的系统是有效和正确的,可以在提高异常流量检测准确性的同时降低运行开销,可以直接应用于检测SYN洪水攻击等.
关键词:流量检测;CUSUM算法;EWMA算法;报警闽值中图分类号:TP393.
08文献标志码:AAnomalyNetworkTrafficDetectionBasedonAuto—AdaptedParametersMethodBUShanyuel,WANGRuchuan2;ZHANGHaiyanl(1.
DepartmentofComputerEngineering,HuaiyinInstituteofTechnology,HuaianJiangsu223001,China;2.
SchoolofComputerTechnology,NanjingPostandCommunicationUniversity,Nanjing210003,China)Abstract:DistributedDenialofService(DDoS)attackpresentsaveryseriousthreattothestabilityandsecurityoftheInternet.
Itshouldbemoreefficienttodetecttheanomalyofnetworktrafficfirstlyratherthantoanalyzethedatapacketsdirectly.
Inthispaper,analgorithmisproposedforthenumberofnetworktrafficandalarmthresholdwillbeadjustedtoadaptthechangingofnetworkenvironment.
Theinfluenceonsettingparametersofthefailingalarmandthedynamicadjustingofalarmthreshold,etc,isinvestigatedthen.
Theexperimentshowsthatthealgorithmiseffectiveandcorrect,whichcanimprovetheaccuracyofanomalytrafficdetectionandreducetheoperationcost.
SoitcanbedirectlyappliedindetectingSYNfloodingattacksandSOon.
Keywords:trafficdetection;cumulativesum(CUSUM)algorithm;exponentialweightedmovingaver-age(EWMA)algorithm;alarmthreshold目前,网络攻击的形式和方法千变万化,其中拒绝服务DoS(DenialofService)攻击是利用网络协议等存在的安全缺陷或漏洞,消耗被攻击对象的资源,使计算机或网络无法提供正常的服务.
由于现在的计算机处理能力迅速增长,内存容量大大增加,同时出现了千兆级别的网络,单靠一台计算机实施DoS攻击是无法达到攻击效果的,这就出现了分布式拒绝服务DDoS(DistributedDenialofService)攻击.
DDoS是借助于客户机/服务器技术,将众多计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而提高拒绝服务攻击的威力.
正是由于DDoS攻击的普遍性和危害性,引起了众多的国内外网络安全专家的注意.
目前对DDoS攻击的研究主要集中在对特定类型的DDoS攻收稿日期:2008.
06.
21基金项目:国家自然科学基金资助项目(60573141;60773041)作者简介:步山岳(1959一),男,江苏淮安人,副教授.
tmall:bushanyue@126.
com王汝传(1943一),男,安徽合肥人,教授,博士生导师.
2生!
!
塞茎望奎兰兰堡竺!
!
堂击分析、检测和防范,如TCPSYN洪水攻击.
按照检测点的部署位置,又可以分为基于受害端的检测、基于中间网络的检测和基于攻击源端的检测.
由于DDoS攻击的具体方法和类型各不相同,而且新的攻击手段也会不断出现,因此,针对特定的攻击方法研究成果缺少普适性.
基于攻击源端的检测部署,可以及时发现攻击数据,并及时过滤掉攻击数据,在对整个网络造成破坏之前终止攻击行为.
但是在巨大的网络节点中如何发现攻击源仍然困扰着该成果的应用.
本文作者分析了国内外对网络流量异常检测的研究现状及CUSUM算法在网络流量检测中的应用基础,给出了k、h自适应调整算法;通过实验验证了本文提出算法的有效性,并对原始参数选择和系统性能进行评估.
1累积和算法在流量检测中的应用1.
1研究现状目前,应用CUSUM算法检测DDoS攻击已经取得了一些研究成果.
文献[1]中给出了基于CUSUM检测TCPSYN攻击算法,并对算法的检测概率、误报警率、检测延迟、不同的攻击强度、需要训练的参数等进行了分析.
不过,我们认为该文献中提出的一些方法还需要进一步探讨.
文献[2]利用CUSUM算法检测TCPSYN攻击方法是在连续的时间间隔内测量SYN包数和相应的FIN包.
对于正常的TCP连接行为,TCP包中SYN包、FIN包存在着一对一的关系.
当发生SYN洪流攻击时,SYN包、FIN包的个数平衡关系被破坏,从而检测出攻击行为.
文献(3]提出了一种在攻击源端拒绝服务攻击检测方法,先使用BloomFilter方法提取检测数据,然后使用CUSUM方法对数据进行分析,实现用较少的资源进行检测的目的.
文献[4]针对核心路由器端口的输入、输出流量的变化,基于路由器的多端口的特点,提出了矩阵式的多统计量CUSUM算法,文献[53根据数据包源lP地址的数量变化特征,运用熵的方法对网络流量异常进行检测.
本文作者研究的重点是利用网络数据包个数的变化来发现网络流量的异常,尽可能减少检测系统对网络资源的占用.
同时还研究了有关参数的取值随网络环境自适应调整和参数优化设置等问题.
减少了人为对网络流量异常检测系统的干预,提高了网络流量异常检测系统智能化和报警的准确性,使系统在正常的高流量和低流量的环境下都能有效地检测出攻击行为.
实验结果表明我们的方法是有效和可行的.
1.
2应用分析CUSUM(CumulativeSUM)累积和算法峥7J是工业生产过程中常用的异常检测算法,它基于这样一个事实:如果检测到统计过程的均值发生变化,则随机概率分布也会发生变化,CUSUM是著名的变化点检测算法.
假设检测时间序列为t1,t2,…,tf,…,检测到的值为艽1,省2,…茗f'.
一,其中并f表示在第i个时间序列中检测的值.
如果在某个时间序列t前(包括t)的时候网络处于正常状态.
但在运行到时间序列t+l、检测值戈.
+l处(称戈.
+l为变点),网络流量迅速增大或有攻击行为,我们要解决的问题是利用CUSUM算法在尽可能短的时间内检测出攻击行为,并及时报警.
定义1设戈l,茹2,…,戈.
为独立jv(O,1)同分布,Ⅳ.
+l,戈¨2,菇.
+3为独立N(3,1)同分布,其中t+1是未知变点,对于给定检测序列x,,戈2,…,戈.
,令勘=#+1(∞0,2.
一1≤h,i=1,2,…,n一1,说明前n一1个检测值的均值没有发生偏移,网络流量为正常状态.
若某个彳.
>h,则网络流量发生了异常.
定义2设前n一1个检测的均值没有发生偏移,即zi≤h,i=l,2,…,,l一1,h为阈值.
如果在时孝弼n有戈.
一8/2>h,或石.
+戈.
一1一艿>h,或z.
+zn一1+戈n一2—38/2>h,…,或石n+戈Ⅱ一1+…+菇1一时/2>h,则这个过程发生了均值向上偏移,令矗=8/2,可以将式(1)改写成如下梯推公式zn=max{0,z.
一l+面n—k},n=1,2,…(2)为了提高式(2)的执行效率,可以将其改写成z.
=(gn-1+x.
一k)+,zo=0(3)式(3)(%一1+‰一k)+中右上角+表示当(%一1+‰一k)+>0时(:.
一i+菇.
一k)+=(z.
一l+菇.
一k),(z.
一l+戈.
一k)+≤0时(z.
一1+龙.
一^=)+=0.
石.
代表x.
一五的累积和正值,z.
值越大表示网络流量异常的可能性越大.
若设定报警阈值为h,在时间厅发生的变化判断网络流量异常函数.
^(Zn)可以表示为北卜{:譬Znh缸a:;㈥如果名.
≤h,.
^(z.
)=0,表明检测序列{茗.
}没有发生统计特性变化,网络流量正常.
如果Z-.
>h.
.
^('.
)=1,则表明检测序列{茗.
}发生了统计特性变化,网络流量出现异常现象,并给出报警.
竺!
翌兰些里竺:皇垩坚至鳖竺翌竺茎堂鎏兰竺塑查鎏251.
3参数的自适应调整如网络的正常流量增加时,就有必要在不影响网络系统性能的前提下适当地提高阈值h,以减少误报警率.
在网络正常流量处于低水平时,为了能检测出隐蔽的异常攻击行为,同样应该减少阈值^.
所以需系统能据网络的实际运行情况动态调整网络流量的均值k和报警阈值h,以提高报警的准确性.
网络流量均值k的初始值或统计值可以通过递归方法来计算.
假设在当前时间段t前没有发生攻击行为,当前流量为x(t),当前时间点的流量平均值是冤(t),至(t)统计值的计算如下ift、一立二监立二盟!
丛直f气、.
'、.
7t、.
7当t足够大的时候,可以用面(t)代替k的值.
实际上,我们并不需要得到k的精确初值,在后继的流量统计中使用EWMA算法完全可以得到和实际流量相接近的k值.
设hmax是网络最大容忍的上升阈值,p为阈值倍数,我们给出k与^的关系为h=h.
.
.
(1一e-肚),0后,p>ln(鑫J/J|}·图3芦=0.
008时.
东、h变化Fig.
3Changeof^,hwhen口=0.
008当卢的取值太大时,容易对低流量时发生的异常隋况产生漏报警,图4是j9=0.
20、A=0.
6、口=0.
6的情况下露、h变化图形.
从图4中看到在流量均值后正常的情况下,报警阈值h大多接近h.
.
.
值,容易导致漏报警发生.
p的取值太大,最终会导致^一^.
.
,即e一肚一0.
如取≯=1000时,在初始正常情况下,网络系统基础配置应该使h.
.
>h,即p<6.
907/k.
;r叶r丁r—u1旷是i选i生虫立坚图4p=O.
20时.
J}、h变化Fig.
4Changeof||},hwhenp=0.
20所以,我们定义卢的取值范围是((1n(hmax/(h.
.
一|j})))/k,6.
907/k).
例如,令初始的h=2k时,则卢:幽k坐趔.
2.
2口的取值在卢、A固定的情况下,当a的取值太大时,加重了当前流量变化对流量均值影响的权重,使||}、h波动频繁,波动振幅小,计算量增加,总体对流量的变化反应迟钝.
取口=0.
063、A=0.
6、口=0.
98时,后、h变化趋势如图5所示,7500ms图5a=O.
98时.
七、Jl变化Fig.
5Changeof矗-hwhena=O.
98当口的取值太小时,使尼、h波动频繁,波动振幅大,计算量增加,总体对流量的变化反映过于敏感.
取』9=0.
063、A=0.
6、a=0.
20时,七、h变化趋势如图6所示.
我们实验建议的口取值在[O.
4,0.
8]之间,至少口值不能太大.
^删x43是21O微勰舻__》¨归图6口=0.
20.
露、Jl变化Fig.
6Changeof露.
hwhen口=O.
202.
3A的取值在p、口固定的情况下,当A的取值太大时,.
j}、h变化减少,计算量减少,在网络流量波动的情况下,.
|}、h值的自适应能力减弱,当A=1时,阈值h将几乎不受流量的影响.
取口=0.
063、A=0.
98、口=0.
6时,素、h变化趋势如图7所示.
h43鐾21图8A=0.
毙、^变化Fig.
8Changeof_j}-hwhenJ:l=0第6期步山岳等:自适应参数的网络异常流量检测方法773结语、本文利用CUSUM算法,提出了一种比较完整的轻量级网络流量异常检测方法.
对检测系统中参数选择和参数的个数进行了优化,实现了网络流量的均值和阈值能够根据网络环境的变化而自适应调整,提高网络流量检测的灵敏度.
分析了系统参数对报警延迟时间、误报警、动态调整阈值的影响,给出了检测参数的取值范围,以实现所需要的检测效果.
利用网络协议缺陷的DDoS攻击方式是多种多样的,先对网络流量变化进行异常分析,发现异常时再对攻击类型进行离线分析,可以减少检测系统对网络资源的占用.
本文提出的算法更具有一般性,可以应用与路由器端口的输入流量与输出流量的异常分析,也可以用来检测SYNflooding攻击,在网络QoS异常发生之前,提前报警.
我们今后的工作是对异常流量的数据包进行分析,区分攻击类型,并采取相应的报警机制和有效的过滤策略.
参考文献:[1]SiftsVA,PapagalouF.
ApplicationofAnomalyDetectionAlgorithmsforDetectingSYNFloodingAttacks[C]∥Proc.
oftheConf.
onGlobalTelecommunications,2004:1882一1886.
[2]WangH,ZhangD,ShinKG.
DetectingSYNFloodingAt—tacks[C]∥.
Proceedin98oftheAnnualJointConferenceoftheIEEEComputerSocietyandCommunicationsSociety(INF02COM),NewYork:NY,USA,2002,3:1530—1539.
[3]WeiChen,DitYanYeung.
ThrottlingSpoofedSYNFlood—ingTrafficattheSource[J].
TelecommunicationSystems,2006,33:47—65.
[4]SUNZhixin,TANGYiwei,CHENGYuan.
RouterAnomalyTrafficDetectionBasedonModified—CUSUMAlgorithms[J].
JournalofSoftware,2005,16(12):2117—2123.
[5]FeinsteinL,SchnackenbergD,BalupariR,eta1.
Statisti—calApproachestoDDoSAttackDetectionandResponse[C]//.
Proc.
oftheDARPAInformationSurvivabilityConf,andExposition,2003:303—314.
[6]PageES.
ContinuousInspectionSchemes[J].
Biometrika,1954,41:100—115.
[7]GanFF.
AnOptimalDesignofCUSUMQualityControlCharts[J].
JournalofQualityTechnology,1991,23(4):273—286.
(上接第72页)参考文献:[1]沈南,王华.
基于FPGA的高性能Viterbi译码器的设计与实现[J].
中国有线电视,2006(2):163—167.
SHENNan,WANGHua.
DesignandImplementationofAHigh—PerformanceViterbiDecoderBasedonFPGA[J].
ChinaCableTelevision,2006(2):163—167.
(inChinese)[2]张健,刘小林,匡镜明,等.
高速Viterbi译码器的FPGA实现[J].
电讯技术,2006,43(3):37—41.
ZHANGJian,LIUXiaolin,KUANGJingming,eta1.
FPGAImplementationofAHigh-SpeedViterbiDecoder[J].
TelecommunicationEngineering,2006,43(03):37—41.
(inChinese)[3]章宇,马彬.
DRM系统中卷积编码及Viterbi译码的实现[J].
无线电工程,2006.
36(11):25—28.
ZHANGYu,MABin.
ImplementationofConvolutionalCodingandViterbiDecodinginDRMSystem[Jj.
RadioEngineeringofChina,2006,36(11):25—28.
(inChinese)[4]高志斌,黄联芬.
无线通信系统维特比译码的FPGA仿真验证[J].
现代电子技术,2006,29(13):20—23.
GAOZhibin,HUANGLianfen,FPGASimulationVerifi-cationofViterbiDecoderinWirelessCommunicationSys-tem[J].
ModernElectronicTechnique,2006,29(13):20—23.
(inChinese)[5]罗向阳,陆佩忠,刘粉林.
基于Viterbi算法LFSR的恢复与设计[J].
计算机工程,2006,32(17):178—181.
LUOXiangyang,LUPeizhong,LIUFenlin.
InitialStatesofLFSRRestoringBasedonOptimizedViterbiAlgorithm[J].
ComputerEngineering,2006,32(17):178—181.
(inChinese)[6]WEICHEN.
RTLImplementationofViterbiDecoder[DJ.
LinkopingsUniversity,2006.
[7]熊磊,姚冬苹,谈振辉.
基于FPGA的删除卷积码Viterbi软判决译码器的研究[J].
北京交通大学学报,2004,28(5):36—40.
XIONGLei,YAODongping,TANZhenhui.
ResearchonFPGA.
.
BasedSoft.
.
DecisionViterbiDecoderforConvolu.
.
tionalCodesPuncturation[J].
JournalofBeijingJiaotongUniversity,2004,28(5):36—40.
(inChinese)[8]仇佩亮,陈慧芳,谢磊.
数字通信基础[M].
北京:电子工业出版社,2006:372—374.
QOUPeiliang,CHENHuifang,XIELei.
FundamentalofDigitalCommunications[M].
Beijing:PublishingHouseofElectronicsIndustry,2006:372—374.
(inChinese)