基于时间序列PDD的DDoS攻击检测

i2010年4月枣庄学院学报Apr.2010第27卷第2期JOURNALOFZAOZHUANGUNIVERSITYVo.l27NO.2基于时间序列PDD的DDoS攻击检测母军臣,陈书理(开封大学软件技术学院,河南开封475004)[摘要]基于DDoS攻击的相关特性,提出了一种时间序列PDD的DDoS攻击检测方法,结合时间序列PDD的平稳性,采用了非参数的CUSUM算法检测DDoS攻击,并对该方法的有效性进行了模拟.*[关键词]DDoS;时间序列;非参数;CUSUM算法[中图分类号]TP393.08[文献标识码]A[文章编号]1004-7077(2010)02-0070-05Internet应用范围越来越广,网络安全问题已经成为制约Internet应用和发展的主要问题.在若干网络安全问题中,DDoS(DDoS,DistributedDenialofService)攻击[1,2,3]尤为突出.针对DDoS攻击的特点,结合相关网络协议和技术等,已经提出了很多种DDoS攻击检测和防御策略,本文主要介绍一种基于时间序列PDD的DDoS攻击检测方法,并给出了模拟测试结果.1时间序列PDD分析1.1相关概念基于时间序列PDD的检测模型中,用到了一个时间序列PDD(端口数据密度PDD,PorttoPortDataDensity),其定义和相关信息如下.定义1:设r={p1,p2,,,pi}为网络数据包集合,用三元组(SAi,SPi,DPi)表示r中的元素Pi,其中SA、SPi和DPi分别表示数据包Pi的源IP地址、源端口号和目的端口号.如果集合r中所有元素的三元组(SAi,SPi,DPi)相同,则称r为相关集合.定义2:设P={p1,p2,,,pi}为$t时间内网络数据包集合,P的一个划分为r1,r2,,,rm,且r1Gr2G,Grm=P,r1Hr2H,Hrm=U.集合P内相关数据包集合为R={r1,r2,,,rm},定义集合R中元素的个数(即|R|)为网络流量的端口数据密度PDD.图1数据包信息*[收稿日期]2010-03-03[基金项目]河南省科技厅重点攻关项目(082102240038);开封市科技发展计划项目(100124)[作者简介]母军臣(1979-),男,硕士,河南鹿邑人,主要研究方向为信息安全.#70#a,ia,N+1RC=游程标准差=C-LCa,i,i.aaRC(1)母军臣,陈书理基于时间序列PDD的DDoS攻击检测图2聚合后的关联关系假设得到的网络流量的数据包集合为P={p1,p2,p3,p4,p5,p6,p7,p8},该集合的数据包信息如图1所示,聚合后得到的关联关系如图2所示.根据定义1对数据包集合P进行分析,可以得到相关的数据包集合有r1={p1,p2}、r2={p3}、r3={p4}、r4={p5}、r5={p6}、r6={p7}和r7={p8}则有R={r1,r2,,rm,r4,,r5,r6,,r7}.根据定义2可知,此网络流量的时间序列PDD为|R|=7.DDoS的攻击特性使网络的PDD异常增加,因此,可以根据PDD可以检测DDoS攻击.需要说明的是,合法的网络流量也会使PDD增加,但是合法网络流量所要求服务的单一性,源IP地址、源端口号和目标端口号的相对稳定性与DDoS攻击的大量不稳定性相比,PDD变化模式有显著的区别.从而,通过研究PDD的相关特性,可以检测DDoS攻击（ddos攻击器）.1.2时间序列PDD平稳性分析要进行DDoS攻击检测,必须对实时的网络流量采样,根据采样样本得到时间序列PDD,再进一步分析时间序列PDD的特性.假设每$t时间内对网络流F采样,得到T1时间样本P1、T2时间样本2、,,、Tn时间样本Pn.通过样本Pi计算Ti时间的时间序列PDD(1[i[n),得到集合R.网络流F所有采样样本的时间序列PDD集合便组成了一个时间序列Z(n,i$t)={ai|i=1,2,,,n}.时间序列平稳性检测方法有很多,本文采用非参数检验法.该方法只涉及一组实测数据,而不需要假设数据的分布规律.在保持随即时间序列原有顺序的情况下,游程定义为具有相同符号的序列,这种符号可把观测值分成两个相互排斥的类.对于时间序列ai(i=1,2,,,n),其均值为€用符号/+0表示a\…而/-0表示a…按符号/+0和/-0的出现顺序将原序列写成如下形式:++---+--+++++--+--++-+1234567891011每个游程的长短并不重要,游程太多或太少都被认为是存在非平稳性趋势,样本数据出现的顺序没有明显的趋势,就是平稳的.记N1为一种符号出现的总数,N2为另一种符号出现的总数,C为游程的总数.其中C作为检验统计量.如果C在界限以内,接受原假设,否则拒绝假设.当N1或N2超过15时可以用正态分布来近似,此时用的统计量为Z=游程数-游程的期望数其中LC=2N1N22N1N2(2N1N2-N)N2(N-1)12N=N1+N2对于A=0.05的显著水平,若|Z|[1.96(按2R原则),则可接受原假设,否则就拒绝.本文通过获得的网络流量样本,得到40个时间序列PDD.设/+0表示a\…/-0表示ai…设N1表示/-0出现的总数,N2表示/+0出现的总数.根据上述定义,利用#71#^nnn^枣庄学院学报2010年第2期上述公式计算后的结果见表1.表1PDD时间序列平稳性检验CN1N2NLCRC1123174020.553.05因为N1和N2均大于15,所以可以用公式(1)计算Z,得ZU-3.131.因为|Z|1.96,所以对于A=0.05的显著水平,该时间序列为非平稳的时间序列.2基于时间序列PDD的DDoS攻击检测（ddos攻击软件）由于时间序列PDD是非平稳时间序列,DDoS攻击检测又需要在线分析,因此,采用在线分析能力比较强的自适应自回归(AAR)模型[4]描述PDD时间序列.自相似性分析检测需要大量的网络数据样本,公式计算复杂,计算量非常大,在线检测效果不理想.非参数CUSUM算法不需要大量的网络数据样本,公式计算简单,计算量不大,由于检测结果与门限值N的选取有关,检测比较灵活.本文采用非参数CUSUM算法[5,6]检测DDoS攻击.设从网络流中得到的时间序列PDD为{xn},AAR模型对时间序列{xn}拟合后得到AAR参数向量,通过拟合后的AAR参数向量得到序列{xcn}和{xccn},其中,序列{xcn}为带E项的时间序列,{xcc}为不带E项的时间序列.用非参数CUSUM算法检测DDoS攻击时,需要对序列{xcn}和{xccn}进行转换.转换公式为ai-1=aci-aci-1ac0=ac1(2)其中,序列aci为待转换时间序列,1[i[n.转换后得到的时间序列{an}Y就可以用来检测DDoS攻击.3模拟测试结果在模拟测试过程中,本文使用了网络模拟器NS2,每隔5ms对网络数据流采集一次数据,并去除开始阶段30ms的数据.模拟结果的.tr文件如图3所示.图3模拟结果.tr文件数据截图设{xn}为得到的时间序列PDD.AAR模型的阶数反映的是时间序列的相似程度,本文采用2阶AAR模型,取更新参数UC=0.025.通过用AAR模型的拟合公式,得到AAR参数向量得到序列{acn}和{bcn},继续对时间序列{acn}和{bcn}进行转换,设an=acn-Bbn=bcn-B(3)其中,B为人工改造因子,本文取B=0.03,然后根据非参数CUSUM算法检测网络#72#母军臣,陈书理基于时间序列PDD的DDoS攻击检测流量状态,检测过程中取检测门限值N=15,B因子改造后的拟合时间序列{an}和{bn}如图4所示.图4B因子改造后的时间序列{an}和{bn}Time(s)其中,序列1描述{an},述序列2描述{bn}.通过图4可以看出,时间序列{an}和{bn}震动的中心点重合,但是{bn}的振幅较大.分别用时间序列{an}和{bn}对DDoS攻击进行检测,其模拟检测结果分别如图5和图6所示.图5时间序列{an}模拟检测结果Time(s)图6时间序列{an}模拟检测结果Time(s)从图5和图6可以看出,时间序列{an}的检测结果与检测结果的期望值差别较大,误报和漏报现象较多,而时间序列{bn}的检测结果与检测结果的期望值差别较小,可以使用{bn}检测DDoS攻击.（ddos攻击软件）结语本文定义了一个时间序列PDD,并根据游程检测法分析了该时间序列的平稳性,结果表明,时间序列PDD是一个非平稳的时间序列.为了使用该时间序列检测DDoS攻击,#73#枣庄学院学报2010年第2期引入了2阶的AAR模型对时间序列PDD进行处理,得到适合检测DDoS攻击的时间序列.结合非参数CUSUM算法,使用网络模拟器NS2模拟检测DDoS攻击.模拟测试结果表明,时间序列PDD能有效的检测DDoS攻击.但检测结果仍有误报和漏报现象,我们将在下一步的工作中进行改进.参考文献[1]OuligerisC,MitrokotsaA.DDoSattacksanddefensemechanisms:classificationandstate-of-the-art[J].ComputerNetworks,2004(44):643-666.[2]Li-ChiouChen,ThomasA.Longstaf,fKathieenM.Carley.Charterizationofdefensemechanismsagainstdistributedde-nialofserviceattacks[J].Computer&Security,2004,(23):665-678.[3]MirkovicJ,ReiherP.ATaxonomyofDDoSAttackandDDoSdefenseechanisms[J].ACMSIGCOMMComputerCommu-nicationsReview,2004,34(2):39-54.[4]SchloglA,RobertsSJ,FurtSchellerGP.A.criterionforadaptiveautoregressivemodels[C].Proceedingsofthe22ndAnnualInternationalConferenceoftheIEEEEngineeringinMedicineandBiologySociety,2000:1581-1582.[5]孙知信,唐益慰,程媛.基于改进CUSUM算法的路由器异常流量检测[J].软件学报,2005,16(12):2117-2123.[6]程军,林白,芦建芝.基于非参数CUSUM算法的SYNFlooding攻击检测[J].计算机工程,2006,32(2):159-161.[责任编辑:袁伟]DDoSAttackDetectionBasedonTimeSeriesPDDMUJun-chenCHENShu-li(SoftwareCollegeofKaifengUniversity,Kaifeng475004,China)Abstract:BasedonDDoSattacks'attributes,amethodisproposedforDDoSdetectionwithatimeseriesofPDD.CombinedwithPDDofstationarytimeseries,anon-parameterCUSUMalgorithmisusedtodetectDDoSattacks,andthemethodofe-ffectiveofsimulated.Keywords:Distributeddenialofserviceattacks;Timeseries;Non-parametricCUSUMalgorithm#74#