基于网络自相似性的DDoS攻击检测

基于网络自相似性的DDoS攻击检测

张冬梅

DDoSAttackDetectionBasedontheSelf-similarNetwork

张冬梅ZHANGDong-mei曰李浩LIHao曰胡金鱼HUJin-yu（河北省新闻出版广电局，石家庄050000）（HebeiAdministrationofPressandPublication，Radio，FilmandTelevision，Shijiazhuang050000，China）

摘要院虽然目前在危害Internet的安全中，分布式拒绝服务即DDOS已经成为重要的隐患之一，但是由于对DDOS攻击进行防范、检测和反击的研究工作还没有取得实质性的重大突破，因此，目前还没有一种有效的方法来准确及时的预测DDOS攻击的发生。

本文提出一种根据网络业务自相似性，通过实时建模和动态分析检测拒绝服务攻击发生前后网络流量自相似性参数Hurst的变化来检测DDoS攻击。通过仿真试验，该方法能够快速准确的检测出DDoS攻击的发生。

Abstract:AlthoughtheharmfulnessofInternetsecurity,distributeddenialofserviceDDOShasbecomeoneoftheimportantpotentialdanger,butbecauseoftheworkofprevention,detectionandresponsetoDDOSattackshavenotachievedamajorbreakthrough,thereisnotanefficientwaytopredictDDOSattacksaccuratelyandtimely.Thispaperpresentsaselfsimilaritybasedonnetworktraffic,byreal-timemodelinganddynamicanalysistodetectdenialofserviceattacksoccurredbeforeandaftertheselfsimilarnetworktrafficchangesofparametersofHursttodetectDDoSattacks.Throughthesimulationtest,themethodcanquicklyandaccuratelydetecttheoccurrenceofDDoSattack.

关键词院自相似；DDoS；HurstKeywords:self-similiarity；DDoS；Hurst中图分类号院TP393文献标识码院A文章编号院1006-4311（2014）21-0232-020

引言目前，在计算机网络安全方面，DDOS的攻击最为突出，现有的DDoS入侵检测主要以模式匹配，流量限制，手工分析为主。模式匹配对入侵只能进行有限的防御，网络攻击手段发展变化后就无能为力了，流量检测方法比较单一，准确率低。手工检测工作量大，速度慢，误报率较高。本文提出了一种基于网络自相似性的检测方法。该方法根据文献[2]的相关理论，通过分析DDoS攻击前后网络自相似性Hurst参数的统计特性的变化来检测DDoS。

1分布式拒绝服务攻击渊DDOS冤1.1分布式拒绝服务攻击（DDOS）攻击方法由于分布式拒绝服务攻击能够联合或控制网络上能够发动DOS攻击的若干主机同时制造成千上万的数据分组流入想要攻击的目标，因此，会导致流向目标的服务请求极其拥塞而造成目标的系统瘫痪。在客户端，攻击者操纵攻击过程，每个主控端主机能够控制多个代理端，并且每个主控端和代理端都是一台被入侵并运行某种特定程序的系统主机，每个代理端会向被攻击目标主机发送拒绝服务的攻击数据包。目前，虽然业内普遍认为Internet基本架构难以避免的缺陷之一就是DDOS，但是目前还没有一种有效的方法来准确预测DDOS攻击的发生。

1.2拒绝服务攻击（DDoS）数据类型分类根据DDoS攻击的数据流特征，分为以下四种类型，如图1所示：第一，恒速率攻击。从图1（a）看出，从攻击开始到结束一直保持恒定的最大攻击速率，记为D1。

第二，间歇式攻击。如图1（b）看出，0和最大值的持续时间都是100s，记作D2。

第三，数率渐增的攻击。如图1（c）看出，在300s内，攻击速率从0到最大值并持续到攻击结束，记作D3。

第四，如图1（d）看出，作为第二三种攻击的组合最为复杂，300s内，攻击速率从0增大到最大值并保持20s。接下来10s逐渐降低到0，持续0值40s后攻击重新开始，记作D4。

程的一种简单模型，在网络通信中的较长的一段时间内，随着时间的变化，单位时间内的网络流量统计特性不发生变化。此模型唯一的参数Hurst不仅描述了时间序列的自相关程度，更表示了自相关函数的衰减速度。网络业务流量具有正相关性，当H寅1，自相似程度增加。

3基于网络自相似性的DDOS攻击检测根据文献[2]有以下推论：当一个数据流具有长相关性时，无论加入它的数据量本身是否具有长相关，汇聚后仍具有长相关性。但是，聚合数据流的Hurst系数、均值、方差等都会发生改变。另外，文献[3]指出，网络的正常流量除了具有长相关外，还能够用自相似模型进行描述。当DDOS发生攻击时，虽然大量与其汇聚的流量仍旧呈现长相关，但是其参数却可能发生较大变化。

我们认为，正常网络业务中的某一特定节点，各个数据之间并没有时间和分组特性方面的相关性，但是根据DDOS攻击原理由于同一时间段向攻击目标发送大量的请求从而造成了临近分组段之间存在某种特定的相关性，而就是这种相关系才有可能利用流量分析方法区分包含DDOS攻击数据的业务和正常业务。

3.1Hurst系数实时算法

通过试验看出，攻击时Hurst系数方差跳变程度直接受到攻击与背景流量比值的直接影响，并且方差跳变程度随着比值的增大而增大。在同一攻击中，对于大背景流量，攻击发生时Hurst系数的跳变与正常的相比并不显著。而对于中等流量背景，跳变的程度较为显著，对于小背景流量，跳变的程度更为显著。另外，在正常业务和攻击流量同时存在时，Hurst的方差原时间图可以看出，Hurst系数抖动比较大。因此，Hurst系数的跳变在某些情况下能够反映出DDOS攻击对正常业务自相似特征的影响。

4结论根据文献[2]理论，我们提出的基于网络流量自相似特征变化尤其是Hurst系数的变化进行DDoS攻击实时检测的方法。根据我们提出的基于R/S法的实时算法计算Hurst参数方差变化来检测DDoS，与传统的方法比较，在绝大多数情况下，能够对DDos攻击的发生进行快速准确的判断，效率较高。

参考文献院[1]W.E.Leland,M.S.Taqqu,W.WillingerandD.V.Wilson.OntheSelf-SimilarNatureofEthernetTraffic(ExtendedVersion)[A]IEEE/ACMTrans.OnNetworking,Feb,1994,2(1):1-15.[2]ErramilliA,NarayanOandWillingerW.ExperimentalQueuingAnalysiswithLong-RangeDependentPacketTraffic[C],IEEE/ACMTransactionsonNetworking,Vol.4,No.2,April,1996:45-85.[3]PopescuA.TrafficSelf-Similarity[C],Proc.oftheIEEEInternationalConferenceonTelecommunications,Jun,2001:89-108.作者简介院张冬梅（1977-），女，河北张家口人，工程师，研究方向为计算机工程。