路由器之间链路带宽均为10Mbps,单向延时10ms、路由器与服务器之间链路 带宽均为100Mbps,单向延时为10ms。路由器的发送队列大小为100个数据包。实验开始 于Os,结束于150s。3个正常流量在Os开始,150s结束,攻击流量在IOOs开始,150s结束。 3、4节点是攻击者,其攻击速率为6Mbps,攻击周期为1150ms,攻击脉宽为200ms。3、4节点 同时开始攻击,汇聚后的攻击速率为12Mbps,略大于瓶颈带宽10Mbps,以产生更好的攻击 效果。
[0038] 2.对0、1节点间瓶颈链路上的数据包个数进行采样,采样间隔为20ms。设置一个 滑动窗口 W = 3s,即将每3s的采样值做一次NCPSD,得出一个检测结果。W每次滑动ls,将 下一个3s内的采样值再做检测。如此反复,共进行150s的实验。实验结果即图4NCPSD仿 真结果。NCPSD值在100秒前后出现了较大的变化,而NCPSD的判决门限γ = 0. 6,图6中 出现了较多的虚警。对该网络拓扑的NCPSD检测结果分析,得列NCPSD的判决结果如表1 所示。
[0039] 表1NCPSD判决结果
[0041] 在该实验设置下,滑动窗口 W = 3s,窗口每Is滑动一次。未攻击的时间为100s,所 以前 IOOs 的 NCPSD 的判决次数为 97,即[(ls,2s,3s) ; (2s,3s,4s);…;(97s,98s,99s)]。
[0042] 攻击在100s开始,因此包含有攻击点的NCPSD的判决次数为50,即[(98s,99s, 100s) ; (99s,100s,101s) (148s,149s,150s)]。由表 1 可以计算出,使用 NCPSD 算法 检测LDoS攻击的检测率为98 %,漏警率为2 %,虚警率为5. 15 %。
[0043] 3.通过前向算法计算ξ,为了进一步提高检测率,降低漏警率和虚警率,将每个 时间窗内得到的NCPSD检测结果作为观测值,每3个观测值一组,作为一个观测值序列。可 得:
[0045] 从而得到基于HMM的判决依据ξ的实验结果如图5所示。前100秒,不存在LDoS 攻击,符合正常行为的序列得出较高的ξ值。在100秒后,存在LDoS攻击,符合LDoS攻击 行为的序列得出较低的ξ值。对该网络拓扑的HMM检测结果分析,得到HMM的判决结果如 表2所示。
[0046] 表2 HMM判决结果
[0048] 表2的第1列,对未攻击时和有攻击时的观测值分别进行分组,采用滑动窗口大小 为3 (每3个观测值一组),每Is滑动一次的策略,所以未攻击时的判决次数为95,有攻击 时的判决次数为48。
[0049] 4.对大量数据进行采集分析,通过对大样本的假设检验可以得出HMM的检测性 能。
[0050] 根据中心极限定理,大量随机变量近似服从正态分布,对于参数假设如下:
[0052] 假设没有LDoS攻击时的Η。值服从均值μ。方差〇。2的正态分布,存在LDoS攻击 时的H1值服从均值μ i方差〇 i2的正态分布。统计3000个ξ值,通过计算可以得出:
[0055] 采用不同ξ值得出的检测率PD、漏警率PFN、虚警率P fp结果如表3所示。
[0056] 表3不同ξ值对应的检测性能
[0057]
[0058] 从表3中可以看到,不同ξ值对应的检测性能也有所不同,取最佳判决阈值ξ = 0. 0292。
【主权项】
1. 基于隐马尔可夫模型检测低速率拒绝服务攻击化ow-rateDenialofService, LDo巧攻击方法,其特征在于;是通过W下步骤实现的: (1)根据隐马尔科夫模型化idden Markov Model, HMM)对网络状态建模; (2)将归一化累积功率谱密度(Normalized Cumulative Power Spectrum Density, NCPSD)检测方法的检测结果作为HIM的观测值;定义不同观测值序列在该HIM下的概率 P(〇| λ)为该观测值序列对于HMM的偏离度S ; (3) 通过前向算法计算不同观测值序列在ΗΜΜ模型下的概率S; (4) 在网络未遭受攻击和遭受攻击的ξ之间选取阔值作为检测依据,如果ξ小于阔值 则认为网络环境遭受了LDoS攻击。2. 根据权利要求1所述的隐马尔可夫模型检测LDoS攻击方法,其特征在于: 其中:步骤(1)是对无法最终确定的网络状态看作隐藏状态,对正常稳定的网络建立HMM;-个HMM有五个元素;隐藏状态集合S、观测状态集合V、初始状态概率矩阵π、隐藏状 态转移概率矩阵Α、观测状态转移概率矩阵Β,ΗΜΜ模型参数λ= (Α,Β,π); ① 隐藏状态集合S 隐藏状态集合S=怯1,S2},Si表示未遭受LDoS攻击状态,S2表示遭受到LDoS攻击状 态; ② 观测状态集合V 利用NCPSD算法的检测结果,把所有的观测状态分为网络未遭受LDoS攻击状态Vi和 网络遭受LDoS攻击状态V2两类;观测值序列集合V={V1,Vz}; ⑨初始状态概率矩阵η 定义初始状态概率矩阵η,π中每个元素代表实际网络初始时刻处于某种状态的概 率,送些概率的和为1 ;对于LDoS攻击检测的ΗΜΜ,有= [Jii,JI2];其中,Jii=P(Si)为 网络初始时刻未遭受攻击的概率,η2=P(S2)为网络初始时刻遭受LDoS攻击的概率;对 于一个行为正常的网络,都可W认为在初始时刻,网络未遭受LDoS攻击;所WP(Si) = 1, P(S2)二0, η = [1,0]; ④隐藏状态转移概率矩阵A 定义隐藏状态转移概率矩阵A,A中每个元素代表实际网络环境由一个隐藏状态到另 一个隐藏状态的概率;对于LDoS攻击检测的HMM,有;其中aij=P(Si|Si)为 δ-1时刻HIM的隐藏状态为S拥,在δ时刻HIM的隐藏状态为Sj的概率;对于一个网络 来说,大多数时间会处于正常状态,而遭受LDoS攻击的时间相对较短;对于送样一个稳定 的网络环境,假设网络在δ-1时刻遭受LDoS攻击,下一时刻δ网络状态将恢复正常,所W P(Si|Si) = I'PGzISi) = 0,P(Si|S2) = 1,步骤(2)利用NCPSD方法对LDoS攻击进行粗检测,将得到的Τ个检测结果作为一组观 测值序列0,序列中每一个元素都是某一时刻的观测状态,即0 = {〇1,〇2,…,〇ι},〇sEV, 1《s《Τ,对于给定模型参数λ=(A, B,π)的HMM,定义不同观测值序列在该HIM下的 概率P(01λ)为该观测值序列对于HMM的偏离度ξ,由于HMM是W正常的稳定网络状态为 基础建立的,因此偏离度ξ越大说明网络遭受LDoS攻击的概率越大,反之说明网络正常; 步骤(3)对偏离度ξ的计算使用前向计算解决,前向算法具体过程为:定义变量α1 (j),bj(〇1),其中α1 (_]·) =Ρ脚〇2…化,SjIλ},1《j《Ν,1《t《Τ,隐藏状态数为Ν, cti(j)表示HIM参数为入及t时亥Ij内的观测J值序列为脚,〇2,···,ΟιΚΗΜΜ的隐藏状态为 Sj的概率,bi(〇i)表示在隐藏状态为Sj时,观察值为〇1的概率,使用归纳法解αi(j),进行 Η个步骤;初始化、递归、终结;对于步骤(1)中建立的ΗΜΜ,利用前向算法计算Ρ(0|λ)最终可得:其中,Τ为观测值序列中观测值的总数,a为观测序列中未遭受LDoS攻击的观测值数 目,P(V2lSi)为虚警率。 利用NCPSD检测方法对LDoS攻击进行粗检测,假设某次检测得出的虚警率为Tfp,则偏 离度为: S=P(0| 入)=(l-rfp)a(rfp)ia,〇《a《T ξ表示观测值序列相对于HMM的偏离度,U良大程度上由虚警率rfp所决定,其中1-rfp一定大于rfp,郝么T个观测值中,未遭受LDoS攻击的观测值数目a越多,得出的ξ越大, 网络未遭受LDoS攻击的概率也就越大; 步骤(4)将计算出的ξ值作为最终检测LDoS攻击的判决依据,在网络未遭受LDoS攻 击的ξ值和遭受LDoS攻击的ξ值之间选择一个阔值,根据判决依据确定当ξ小于阔值 时则认为发生了LDoS攻击。3.根据权利要求2所述的将NCPSD的检测结果作为观测值序列,其特征在于:每3个 观测值一组,作为一个观测值序列,ξ=P(〇|λ) = (0. 9485ΓΧ(0. 0515)3a,〇《a《3。
【专利摘要】低速率拒绝服务(Low-Rate?Denial?of?Service,LDoS)攻击具有平均速率低、隐蔽性强的特点,传统的检测方法难以奏效。本发明针对LDoS攻击提出了一种基于隐马尔科夫模型的LDoS攻击检测方法。首先对网络状态建立隐马尔科夫模型,将归一化累计功率谱密度(Normalized?Cumulative?Power?Spectrum?Density,NCPSD)方法的检测结果作为隐马尔科夫模型的观测值。利用前向算法得到不同观测值序列在该模型下的偏离度作为检测依据。在NS-2中对本检测方法进行测试,实验结果表明本方法能够有效的检测LDoS攻击,与其他方法相比也具有更好的检测性能。通过假设检验得出检测率为99.96%,具有检测概率高,以及虚警率和漏警率低的优点。
【IPC分类】H04L29/06
【公开号】CN105245503
【申请号】CN201510570178
【发明人】岳猛, 刘亮
【申请人】中国民航大学
【公开日】2016年1月13日
【申请日】2015年9月8日