一种DDoS攻击的检测算法概要

研究与开发一种DDoS攻击的检测算法杨松1。李宗林2(1.成都市华为赛门铁克科技有限公司成都611731;2.西南交通大学信息化研究院成都6100311引言聚。因此难以进行有效的检测。为了解决该问题,本文提出一种基于全局流量异常相关分析的检测方法.根据攻击流引起流量之间相关性的变化,采用主成份分析提取多条流量中的潜在异常部分之间的相关性.并将相关性变化程度作为攻击检测测度。实验结果证明了测度的可用性,能够克服骨干网中DDoS攻击流幅值相对低且不易检测的困难,同现有的全局流量检测方法相比,该方法能够取得更高的检测率。笑键谰网络安全;DDoS攻击;全局;襁关性分析;主成份分析分布式拒绝服务(DDoS攻击通过胁迫散布在网络中的多台主机,形成数目众多的攻击源,同时对受害者发起攻击,使得受害主机的关键资源(带宽、缓冲区、CPU资源等迅速耗尽,使得受害者崩溃或者花费大量时间处理攻击包而不能正常服务。近年来,攻击者又利用僵尸网络(Botnet作为攻击平台,形成规模更庞大的DDoS攻击,使得攻击流的分布程度更广、危害更大,对DDoS攻击的检测更难,给当前网络和网络上的计算机带来了不容忽视的威胁。DDoS攻击通常由一些特定的攻击工具或程序产生,对于同一次发起的众多攻击流,攻击幅值可能很小、不易察觉,但在攻击起始时间、持续时间、间隔时间、攻击类型和攻击强度等特征上.都存在一些相似性。攻击流往往在用户前端的路由器上最终汇聚形成巨大的流量幅值,部署在受害路由器前端的检测节点能够通过明显的流量变化三106_二检测出攻击流,但此时攻击流已到达受害者,使受害者无法做出有效的攻击响应措施来对抗攻击流。要有效防御DDoS攻击.有必要在攻击流到达受害路由器之前,即攻击流在骨干网络中传送时,进行早期检测。然而。此时攻击流分布式存在于多条链路中。容易被巨大的背景流掩盖,在单条链路或节点中并不表现出明显的异常特征。骨干网中的DDoS攻击检测通常采用多节点协作的分布式检测以及全局检测两种检测方式。多节点协作的分布式检测通过在网络中选取一些节点建立检测子网络,各节点依靠自己搜集的信息,展开快速简单的本地局部检测;再利用一定的通信机制交换各节点的检测结果.最后对部分或全部节点的检测结果进行综合分析,以确认是否发生异常。已提出的一些系统如LADS(1arge.scaleautomatedDDoSdetectionsystem【11、DED(distributedchange.pointdetectiont2l等.对多个节点的局部检测结果进行综合分析,在一定程度上克服了仅在单点检测的不足,能有效地提高检测效率。但最终检测结果仍在很大万方数据电信科学2010年第9期程度上依赖于局部检测结果。然而,DDoS攻击流在骨干网中的分布式特性.不利于在局部节点做出准确的检测判断。与前一种在不同位置相互独立进行检测的方式不同.全局检测{,J是一种同时对网络中的多条流量进行分析.利用流量之间的关系进行检测的方法。该方式从整个网络的角度出发.使用更丰富的全局信息,帮助克服局部少量信息对检测的不利影响,有助于对整个网络安全态势的了解。为了处理全局高维信息,参考文献【3】提出了一种使用基于均方误差最小的数据降维方法——主成份分析(PCAl对全局流量进行分析的方法.能够发现网络中的多种异常。随后,参考文献『4.81分别将PCA应用于网络全局的幅值、流量特征分布以及路由更新数据,进行网络异常检测.验证了全局检测方式的有效性。参考文献f3,41使用PCA根据流量间的相关性强弱将全局流量划分为正常和异常空间时,认为正常流量间由于相似的每日、每周流量模式,因此具有很强的相关性。属于正常空间,而异常流量之间与正常流量相比是缺乏相关性的那部分.该划分依据对于网络中一些常见异常.尤其是局部点上的流量突变。具有较好的检测效果。但是对于网络异常中的DDoS攻击流,可能由于其空间上存在的相关性,而将其划分到正常空间.导致漏检。本文提出了一种基于全局异常相关分析的DDoS攻击检测方法。根据攻击流引起流量之间相关性的变化,通过流量预测划分异常空间.从而去除正常流量间相关性的影响.利用PCA提取多条源端不同但目的端相同的源到端(OD流的潜在异常部分之间的相关性,将其变化程度作为检测测度。从攻击流之间的相关性角度进行检测,而不是幅值角度.有利于检测单条流量上的低幅值攻击。同参考文献【4】方法相比,使用流量预测划分异常部分,避免了将攻击流划分到正常空间的情况:且与其集中式的计算方法不同,本方法可进行分布式计算,减轻了中-0节点的计算负担以及相应的通信负载,使算法能更好地适应网络大小的增加。2全局异常相关检测方法Trinoo、1TN、TFN2K、Shaft等许多DDoS攻击的产生工具可随意下载,导致DDoS攻击泛滥。这些攻击工具产生的攻击流,除了在幅值上具有相同特征外,在攻击起始时间、持续时间、间隔时间、攻击类型等方面也具有相似性.因而与仅利用攻击流幅值大小检测的方法相比,利用攻击流间的相同特征越多,进行检测时就越有利于揭示DDoS攻击。当攻击流分布到多条OD流上时.由于攻击流问在多方面存在相似性。导致多个OD流的相关性也同时增强,但OD流间相关性增大并不完全是由于攻击流的影响,正常的OD流问由于相似的每日、每周流量模式存在,同样也使得0D流间存在一定的相关性.因此在对OD流问的相关性进行分析前,需要从OD流中去除正常流量对相关性的影响.即提取出包含攻击流的异常空间.再对异常空间进行全局相关性分析。2.1异常空间提取流量信号异常空间的提取是通过去除包含正常流量行为的部分取得的。在参考文献14】的方法中(以下称为全局PCA方法,将流量分毹为正常及异常空间,其分解依据是提取具有强时间相关性的部分作为正常部分。该方法对于单条流量上局部点突变具有较好的检测效果,但是对于DDoS攻击这种分布在多条流量中的异常却是不适用的.因为具有相关性的多个攻击流可能被该方法划分到正常的空间中。下面通过改变包含攻击流的OD流数目,对全局PCA方法检测多个攻击流的不足进行说明。Abilene流量数据中的26号以及50号OD流,都是以节点2为目的节点的0D流。首先在26号0D流1000-1004个采样点间加入了一个5倍于其均值大小的短持续期DDoS攻击,如图1(a中对应位置的尖峰,而50号0D流流量86霎。2×107时间为5rain..‰Mp凡^,刖~一.M1舢.刖O200400600800l000l200l400l60018002000采样点数目(a26号OD流加入一个攻击采样点数目(b50号OD流图1加入一个攻击:二…107-一万方数据86袭。2研究与开发..¨.¨p.k^I川~H..M—k.刖020040060080010001200l400160018002000采样点数目(a26号OD流加入一个攻击采样点数日(b50号OD流加入一个攻击图2加入两个攻击(图l(b为原始流量。按照全局PCA方法,利用PCA分解所得的异常空间如图3所示,可以看出,26号OO流的攻击流被划分到异常空间中。同样地,对50号OD流加入同样持续时间,且5倍于其均值大小的攻击流,如图2(b所示.两条OD流上注入的攻击在开始时间、持续时间以及幅值上都具有一定的相似性,而对这两条注入了相似攻击的OD流进行PCA分解的结果如图4所示.在1000采样点位置附近.这两条0D流上的异常并没有被划分到异常空间.反而因为具有一定的时间相关性,被错误地划分到了正常空间.因此全局PCA方法不能准确地将具有强相采样点数目图3PcA检测单个攻击流采样点数目图4PcA检测两个攻击流关性的分布式DDoS攻击流划分到异常空间。从0D流流量图中可以看出,在不包含攻击流的情况下,每条OD流中,必然包含了其本身的正常流量(如每日、每周的正常流量模式等以及一些具有随机性因素的流量(对用户来说可能是一些偶然性的行为。正常的OD流流量模式可以通过建立对应的时间序列模型来描述【9’・ol。根据现有采集到的流量数据建立模型,再对下一时刻流量进行预测.用预测值来近似符合流量模型的正常流量。那么实际的下一时刻流量与预测流量之间的差值,则代表不符合流量模型的随机性因素流量与攻击流,即0D流的异常空间。在本文中采用ARIMA函,d,g模型来对流量进行一步预报,将目的节点相同的多个0D流在其目的端分别进行预测,预测值X删(￡作为下一时刻正常流量的估计,通过求取预测值与下一时刻真实值之间的差值提取异常近似:LO=XO一X州(f(1其中,X。O为异常近似,X(f为流量观测值。由于本文采用流量预测值作为正常流量估计值的目的是为了获得下一时刻的流量趋势.将多个OD流中与趋势相违背的部分提取出来,考察它们之间是否存在关联性.而并非为了获得确切的值,故预测算法的精确性不是本文考虑的重点。图5为采用本文方法对图2中的两个攻击流提取的异常空间。在攻击发生位置均准确提取到攻击流的相似变化特征,这种相似特征的存在具有强相关性。对异常空间—.....1_...——.J.。L。.LJ_.J_.…。.J..Ll~‘——.....“J…..“.…叩r…1’rl…一’。……I…一。l…-’I’r…一1●●采样点数日(a26号rOD流异常空间山¨..一u。lu-L●L一..^山…mI.|jl—JLI_J』h-LIJ.J—r”’_1—1'l’一’1’。。1’1l…rol…o”’…”¨…『r。’1rrr'『7即。1■采样点数日(b50号OD流异常空间图5异常空间提取万方数据“电信科学2010筚第9辫:之间的相关性分析将在§2.2中介绍。2.2异常相关分析DDoS攻击流具有明显的定向特点,总是指向受害者的接人路由器。从0D流的角度出发,对应存在于多个源节点不同但目的节点相同的多条OD流中。对相同目的节点的所有OD流问的相关性进行分析,更符合攻击流的指向性特点。由于骨干网中的任意节点可能是DDoS攻击流所指向的节点,因此,异常相关性将在各个节点分别提取。PCA是一种基于均方误差最小的数据降维方法.已被用于多种数据集的分析当中。若数据集X的维度为m.PCA的目的是找到相互正交的n个主成分肜l,...,W。(n伽,使得数据集在这些方向上的投影,能够尽可能地解释原始数据集的方差。其中,第一个主成分形。指向数据集中的最大方差方向:称为余数向量,异常判决是通过对异常空间分析得到的,所以参考文献【4】PCA提取的是流量的异常空间,而本文运用PCA是为了提取异常近似之间的“正常空间”,即相关部分。3结束语针对骨干网中DDos攻击在单条链路上攻击流量幅值低。但攻击流量之间具有相关性的特点,提出了一种基于全局流量异常相关分析的DDoS攻击检测方法。能克服骨干网流量巨大、攻击流相对较小而不易察觉带来的困难。仿真结果证明,该方法较现有全局检测方法.能取得更高的检测率。并且可进行分布式计算,适用于不同规模网络的检测要求。彬=argm秽aq:x。E{(形1x2}(2l其余主成分依次指向剩余数据集中的最大方差方向:职=a唱冒瞥E{[形T(x一荟k-I彬彬7彳]]2}参考文献SekarV,DuffieldNG,SpatscheekO,eta1.LADS:large-scaleautomatedDDoSdetectionsystem.In:USENIX06,BostonUSA,June2006(32ChenY,HwangK,Kuw・c。uabomtivedetec‘i。nDDOSattacks由于主成分根据其具有的数据方差大小进行了排序,数据X在主成分形。上的映射啦为ui=XWi,则“。包含了数据集中最强的相关性,u2,…,11,n依次递减。由头k个主成分形成的P三№,,加:,…,wit】就包含了数据集中的绝大多数方差。那么X在P上的投影,包含了数据集中的具有强相关性的那部分,记为X。(f,其中X。(t=PPrX。因此,同目的节点的0D流异常近似X。(￡的相关性可通过向头几个主成分形成的空间投影得到,即求出异常近似的相关部分:X。(t=pprx。(4其中,X。(t由式(1计算得到。由于到达各