隐马尔可夫模型检测LDoS攻击方法
【技术领域】
[0001] 本发明涉及一种计算机网络安全技术,尤其是针对低速率拒绝服务(Low-rate Denial of Service,LDoS)攻击的检测,可以高准确率的检测出攻击。
【背景技术】
[0002] 低速率拒绝服务LDoS攻击是一种新型的拒绝服务(Denial of Service, DoS)攻 击方式。自LDoS攻击被发现的那一天起,它就一直是网络安全领域的研究热点。LDoS攻 击的本质是利用网络系统中自适应机制所存在的漏洞,造成虚假拥塞,迫使TCP连接的服 务质量大大降低。据统计,网络中80%以上的流量是TCP,因此,LDoS攻击会产生巨大的威 胁。LDoS攻击不需一直维持很高的攻击速率,只需在固定的周期发送高速率的短脉冲攻击 流。因此,LDoS攻击的平均速率低,甚至低于正常的网络流量。这种特点使得LDoS攻击具 有很强的隐蔽性,传统的检测方法难以奏效。
[0003] 目前,基于信号处理理论的LDoS攻击检测方法得到了广泛的研究,并取得了一定 的成果。这类方法主要是将LDoS攻击流量进行抽样,在时频域对抽样序列统计分析,进而 得到攻击流异于正常流的特征加以区分。Yu Chen等提出了一种频域检测法是将采样序 列的自相关函数通过离散傅里叶变换(Discrete Fourier Transform, DFT)得到功率谱密 度(Power Spectrum Density,PSD),然后选择一个固定频率点的归一化累积功率谱密度 (Normalized Cumulative Power Spectrum Density,NCPSD)值作为特征,利用似然比函数 找到一个门限值作为判决依据。但是该方法计算量大,检测率较低,存在一定的漏警概率和 虚警概率。吴志军教授领导的团队对LDoS攻击进行了一定的研究:提出了基于卡尔曼滤 波技术的LDoS攻击检测方法。该方法首先对受害端的流量抽样序列进行小波变换,提取波 形趋势,然后采用卡尔曼滤波算法以一步预测与最优估算的误差值作为检测突变的依据。 该方法较Yu Chen的方法检测性能有一定的提高,但没有考虑FDoS (Flooding Denial of Service)攻击的影响,当FDoS攻击发生时,会被误检为LDoS攻击,从而无法通过检测结果 来判别攻击类型。吴志军教授将Duffing系统相轨迹的转变作为检测LDoS攻击的依据。通 过测量网络是否脱离混沌(Chaos)状态,来判断是否存在LDoS攻击。该方法的优势在于背 景噪声远强于攻击信号时,检测效果依然理想。缺点在于系统实现复杂。此外,并未给出具 体的检测率。依据Holder指数值的异常变化提出基于多重分形的LDoS攻击检测方法。该 方法的核心思想是当LDoS攻击发生时,网络流量的多重分形特征必然有所改变,而这种改 变可以由Holder指数来体现。该方法假设LDoS攻击流采用UDP协议,并未对其他协议类 型的LDoS攻击进行测试,因此有一定局限性。
[0004] 为了克服现有方法的缺点,本文在国内外相关研究的基础上,借助HMM对网络状 态建模,将NCPSD检测方法的检测结果作为HMM的观测值序列,通过前向算法计算不同观测 值序列在该模型下的概率,以此作为依据来衡量不同观测值序列对于HMM的偏离程度,从 而实现了一种高性能的检测LDoS攻击的方法。
[0005] LDoS攻击的低速率特性使其很难在时域中被检测。因此Yu Chen等研究了 LDoS 攻击的频域特性,期望在频域发现LDoS攻击的显著特征。对网络流量在时间上进行采样, 计算每一个采样序列的自相关函数,对结果进行傅里叶变换得出其功率谱密度,再计算功 率谱密度的归一化累计值,即得到流量的归一化累计功率谱密度(NCPSD)。对比正常流量 和攻击流量的NCPSD可以发现,相对于正常的TCP流,LDoS攻击流的功率谱主要集中在低 频段。NCPSD检测方法的核心思想就是选取一个差异最大的频点对应的NCPSD值作为检测 LDoS攻击的标准。该方法的优点在于提取了 LDoS攻击最本质的特征,该特征不易伪造,是 其他攻击类型或其他正常网络行为所不具备的。但是,该方法也有较突出的缺点,即计算量 大,检测率低,存在一定的漏警概率和虚警概率。
【发明内容】
[0006] 为了最大限度的发挥NCPSD检测算法的优点,避免其缺点。本发明对网络建立 HMM,将NCPSD的检测结果作为输入,期望得到更好地检测效果。由于NCPSD存在较高的误 报率,因此可以假设NCPSD得出的检测结果只是一种粗检测,而最终网络是否遭受LDoS攻 击要通过隐马尔科夫模型进一步确定。
[0007] 将无法最终确定的网络状态看作隐藏状态,对正常稳定的网络建立HMM。一个HMM 有五个元素:隐藏状态集合S、观测状态集合V、初始状态概率矩阵π、隐藏状态转移概率矩 阵Α、观测状态转移概率矩阵B,HMM模型参数λ = (Α,Β,π )。
[0008] 利用NCPSD方法对LDoS攻击进行检测,将得到的T个检测结果作为-组观测值序 列〇,序列中每一个元素都是某一时刻的观测状态,即〇 = IO1,O2,…,〇τ},Ose V,1彡s彡Τ。 对于给定模型参数λ = (Α,Β,π)的HMM,定义不同观测值序列在该IIMM下的概率Ρ(0| λ) 为该观测值序列对于HMM的偏离度。由于HMM是以正常的稳定网络状态为基础建立的,因 此偏离度Ρ(〇| λ)越大说明网络遭受LDoS攻击的概率越大,反之说明网络正常。
[0009] Ρ(0| λ)的计算使用前向算法解决,前向算法具体过程如下所示。定义变量 〇山-),4(01),其中(!山-)=?{〇 1〇广.〇14|人},1;^:^115^<1'。隐藏状态数为1 a t(j)表示HMM参数为λ及t时刻内的观测值序列为IO1, O2,…,OJ,HMM的隐藏状态为 SjW概率,I^ j(Ot)表示在隐藏状态为SjW,观察值为O1W概率。使用归纳法解a t(j),分为 三个步骤:初始化、递归、终结。
[0010] 利用NCPSD方法对LDoS攻击进行检测,将得到的T个检测结果作为一组观测值序 列〇,序列中每一个元素都是某一时刻的观测状态,即〇 = IO1,O2,…,〇τ},Ose V,1彡S彡T。 对于给定模型参数λ = (A,B,JT)的HMM,定义不同观测值序列在该HMM下的概率Ρ(0| λ) 为该观测值序列对于HMM的偏离度。由于HMM是以正常的稳定网络状态为基础建立的,因 此偏离度Ρ(〇| λ)越大说明网络遭受LDoS攻击的概率越大,反之说明网络正常。
[0011] Ρ(0| λ)的计算使用前向算法解决,前向算法具体过程如下所示。定义变量 at (Jlbj(Ot),其中 at(j) = P IO1OfOt, SjI λ},1 <N,1 StST。隐藏状态数为 Ν。 a t(j)表示HMM参数为λ及t时刻内的观测值序列为IO1, O2,…,OJ,HMM的隐藏状态为 Sj的概率A j(O1)表示在隐藏状态为SjW,观察值为O1W概率。使用归纳法解a t(j),分为 三个步骤:初始化、递归、终结。
[0012] ⑴初始化:a ! (j) = P (O1, Sj I λ ) = Ji 九(O1);
[0013] (2)递归:
[0014] (3)终结:
[0015] 对于建立的HMM,利用前向算法计算Ρ(〇| λ )。当j = 1时,可得:
[0027] 其中T为观测值序列中观测值的总数,a为观测序列中未遭受LDoS攻击的观测值 数目,P(V 2IS1)为虚警率。
[0028] 利用NCPSD检测方法对LDoS攻击进行检测,假设某次检测得出的虚警率为rfp,则 为:
[0029] ξ = ρ(〇| λ) = (l-rfp)a(rfp)Ta,〇 彡 a 彡 T
[0030] 用ξ代替P(〇| λ)表示观测值序列相对于HMM的偏离度。可知,ξ很大程度上 由虚警率rfp所决定。根据经验可知,1-r fp-定大于r fp,那么T个观测值中,未遭受LDoS攻 击的观测值数目a越多,得出的ξ越大,网络未遭受LDoS攻击的概率也就越大。将NCPSD 的检测结果作为HMM的观测值,通过式计算出的ξ值作为最终检测LDoS攻击的判决依据。 在网络未遭受LDoS攻击的ξ值和遭受LDoS攻击的ξ值之间选择一个阈值,如果ξ值比 阈值小就说明网络环境遭受了 LDoS攻击。
【附图说明】
[0031] 图1为TCP流量分布图,(a)表示正常情况,(b)表示有LDoS攻击时的流量分布 图。
[0032] 图2为网络状态的隐马尔科夫模型。
[0033] 图3为NS-2环境下的网络拓扑图,图5中,0、1节点是路由器,2节点是FTP服务 器,3、4节点是攻击者,5、6、7节点是正常用户。
[0034] 图4为NCPSD仿真结果图。
[0035] 图5为ξ实验结果图。
[0036] 图6为基于HMM的LDoS攻击检测方法总体流程图。
【具体实施方式】
[0037] 1.首先验证LDoS攻击检测效果,利用NS-2搭建测试环境,图5拓扑结构为哑铃型 结构,能代表实际网络特征。〇、1节点是路由器,2节点是FTP服务器,3、4节点是攻击者, 5、6、7节点是正常用户。合法用户、LDoS攻击方与路由器之间的链路带宽均为100Mbps,单 向延时10ms,