本发明专利技术公开一种云环境LDoS攻击数据流检测方法及系统,用网络模拟软件模拟各种攻击,并提取相应的网络流量;对服务器端到达和丢失数据包进行采样和分类统计;提取出样本中给定周期的数据流中数据包数均值、源IP增速、小波特征和拥塞参与度等特征;对得到的特征值进行分析并建立随机森林分类模型,使用正常数据流和异常数据流对建立的随机森林模型进行测试,对于每一次特征分类,计算相应信息熵,根据信息熵的大小不断调整特征值的阈值,使分类效果达到最优;根据随机森林分类模型设计LDoS攻击数据流检测系统并部署在云服务器上,实时检测并处理各种LDoS攻击数据流。本发明专利技术具有低能耗、高检测率和低误报率的优点,还有较高的实用价值。
【技术实现步骤摘要】
一种云环境LDoS攻击数据流检测方法及系统
本专利技术涉及云环境的安全领域,尤其涉及一种云环境LDoS(低速率拒绝服务)攻击数据流检测方法及系统。
技术介绍
传统的DoS(DenialofService,拒绝服务)攻击检测方法是针对网络数据流和服务器负荷短时间内快速增加等特征进行检测的,而LDoS(Low-rateDenialofService,低速率拒绝服务)攻击表现出许多不同的特征,比如攻击数据流平均速率较低、服务器负荷并没有太多变化等。因此,传统的检测方法不适用于检测LDoS攻击。根据是否需要提前建立攻击模式特征库,可以将大多数检测方法分为两类:特征检测和异常检测。特征检测针对具有明确攻击特征的已知攻击,要先建立了一个特征库,如果检测到数据与特征库中的特征参数匹配,则判定为有攻击发生。异常检测针对尚无明确攻击特征的未知攻击,需要用统计的网络数据建立一个正常的网络流量模型,如果检测到的数据使得流量模型出现异常,则判定为有攻击发生。除此之外,研究者还提出了一些其他的方法,比如改进网络协议和服务协议的防御方法、基于终端服务器的检测和防御等。其中,最常见的检测方法就是特征检测及防御。尽管LDoS攻击平均速率低、隐蔽性很强,但其脉冲强度、持续时间和攻击周期等特征也很明显,特别是结合其周期性特征和短时高速脉冲特征,能够很好检测到攻击。当识别到LDoS攻击时,最常见的防御策略是改进路由器的主动队列管理(ActiveQueueManagement,简称AQM)技术,其目的一是丢弃符合设定攻击特征的数据流的数据包;二是更新进行带宽分配,尽量保护TCP(TransmissionControlProtocol,传输控制协议)数据流,抑制LDoS攻击流。AQM技术是为了解决Internet拥塞控制问题而提出的一种路由器缓存管理技术。它具有主动防御的特性:根据队列的实时情况自动地进行拥塞控制。AQM会根据各种网络特性进行,计算一定的概率来提前丢弃数据包,从而达到减少和避免网络拥塞,提高服务质量。在现有的主动队列管理机制方案中,判断拥塞的度量有队列长度、输入速率、缓冲溢出或空白等网络特性。在构造LDoS攻击的防御方法时,绝大多数研究者会在路由器上选用一种AQM机制,并对AQM算法做相应的修改,使之适应LDoS攻击所造成的拥塞模式。当路由器在收到攻击数据流的时候会感觉到拥塞,于是会主动丢弃攻击流中的数据包,降低攻击的效果。这种特征检测及防御方法的优点是容易实现,对基于RTO(retransmissiontimeout,超时重传)和AIMD(additiveincreasemultiplicativedecrease,和增积减)机制的LDoS攻击都有很好的防御效果。其缺点是误报率较高,且需要一定的存储空间来存放攻击流特征信息。特征检测需要有明确的攻击特征,通过特征匹配来检测攻击行为,但是对于层出不穷的新类型攻击而言,攻击特征并不完全明确,特征检测方法误报率会很高;同时,特征检测方法很容易将Internet上正常的数据流误报为攻击流量,比如流媒体点播协议等业务所产生的瞬时突发流量等。因此,为解决上述问题,有些研究者采用了异常检测的方法。迄今为止,研究者已将小波变换分析、频谱分析、统计分析和信息度量分析等技术引入到异常检测中来提高检测效果。相对而言,异常检测的方法可以对时间序列变化信息进行更全面细致的分析,因此检测精度比较高。但是现有的异常检测方法在检测LDoS攻击时,只是从整体上分析信息变化情况,却都没有考虑基于RTO和AIMD机制的攻击之间的差别,因而不能更准确地区分攻击方法。如果要检测这两种不同的攻击方式,需要利用时频分析的方法在局部进行更多的分析:一方面,在频率变化上要划分更多层进行分析;另一方面,在时间上要进行信息变化的周期性分析。同时还有研究者提出了基于终端应用服务器的检测和防御,基于应用服务器端的LDoS攻击建立了一个数学模型,这种模型允许在动态网络中,通过配置攻击参数实现对相关性能的评估。通过将性能结果与仿真结果比较,证明该数学模型是有效的。但其在建模中忽略了攻击时的有序的、动态的进程。基于研究者针对应用层协议提出了一种针对应用服务器的低速率拒绝服务攻击(Low-ratedenialofserviceattacksagainstapplicationservers,简称LoRDAS)。从一个全局的观点进行观察和研究,提出了一种攻击进程的队列模型,把攻击作为一个单独的进程,通过改变场景和协同不同攻击策略,精确地表示动态的行为。通过计算概率分布,评估了攻击带给不同网络流量的影响程度。通过实验分析,证明了该模型能精确地描述攻击行为。改进网络协议和服务协议也是一种减轻LDoS攻击的方法,但这种方法带来的代价太高,而且也无法保证新的网络协议就可以完全抵御LDoS攻击,而且对于现有完好的网络协议系统,实施新的协议成本太高,方法不可行。
技术实现思路
本专利技术的目的是提供一种云环境LDoS攻击数据流检测方法及系统,能有效地抵御云环境中云服务器的LDoS攻击,提高云服务器和客户端的正常通信的效率以及云系统对用户的服务质量;通过分析和挖掘这类攻击的原理和基本规律,提取攻击发生时的数据流的流量特性和流量分布特性的变化规律,建立相应的检测模型,能有效地检测和防御LDoS攻击。为了达到上述目的,本专利技术提供的一种云环境低速率拒绝服务攻击数据流检测方法,该方法包含以下步骤:S1、通过网络模拟软件模拟各种LDoS攻击,并提取相应的网络流量;S2、对云服务器端到达和丢失数据包进行采样和分类统计;S3、提取样本中在给定周期的数据流中数据包数均值、源IP增速、小波特征和拥塞参与度;S4、根据所述步骤S3中所提取出的特征结果进行分析,并建立随机森林分类模型,分别使用正常数据流和异常数据流对所建立的随机森林模型进行测试,对于每一次特征分类,计算相应的信息熵,并根据信息熵的大小调整特征结果的阈值,以优化分类效果;S5、根据所建立的随机森林分类模型,实时检测并处理各种LDoS攻击数据流。优选地,所述步骤S2中,进一步包含:S21、对样本中正常数据流和异常数据流进行标记,以便于检验分类的结果;S22、采用随机抽取的方法从样本数据中抽取a%的数据流作为训练数据集train,剩下的1-a%数据流作为测试数据集test。优选地,所述步骤S22中,a%=70%,1-a%=30%。优选地,所述步骤S3中,进一步包含:S31、将模拟的LDoS攻击数据流流量按照数据传输往返时间为周期进行切割;S32、统计周期内数据流中的数据包数均值:式中,Ti表示第i个周期,PacketsNumi表示第i个周期内的数据包总数,APFi表示第i个周期内的数据流中的数据包数均值;S33、计算源IP增速:式中,SIS表示源IP增速,sIPNum表示源IP地址总数,interval表示固定的时间间隔;S34、提取数据流的小波特征:将二进离散小波变换应用于数据包过程的处理,通过小波函数ψj,k(t)和尺度函数将数据包过程{X(t)}做J层分解,如公式(3)所示:式中,dj,k为小波系数,表示尺度j上的细节信息,aJ,k为近似系数,表示尺度J上的逼近信息,从而得到信号{X(t)}分布在中心频率为2本文档来自技高网...
【技术保护点】
1.一种云环境低速率拒绝服务LDoS攻击数据流检测方法,其特征在于,该方法包含以下步骤:S1、通过网络模拟软件模拟各种LDoS攻击,并提取相应的网络流量;S2、对云服务器端到达和丢失数据包进行采样和分类统计;S3、提取样本中在给定周期的数据流中数据包数均值、源IP增速、小波特征和拥塞参与度;S4、根据所述步骤S3中所提取出的特征结果进行分析,并建立随机森林分类模型,分别使用正常数据流和异常数据流对所建立的随机森林模型进行测试,对于每一次特征分类,计算相应的信息熵,并根据信息熵的大小调整特征结果的阈值,以优化分类效果;S5、根据所建立的随机森林分类模型,实时检测并处理各种LDoS攻击数据流。
【技术特征摘要】
1.一种云环境低速率拒绝服务LDoS攻击数据流检测方法,其特征在于,该方法包含以下步骤:S1、通过网络模拟软件模拟各种LDoS攻击,并提取相应的网络流量;S2、对云服务器端到达和丢失数据包进行采样和分类统计;S3、提取样本中在给定周期的数据流中数据包数均值、源IP增速、小波特征和拥塞参与度;S4、根据所述步骤S3中所提取出的特征结果进行分析,并建立随机森林分类模型,分别使用正常数据流和异常数据流对所建立的随机森林模型进行测试,对于每一次特征分类,计算相应的信息熵,并根据信息熵的大小调整特征结果的阈值,以优化分类效果;S5、根据所建立的随机森林分类模型,实时检测并处理各种LDoS攻击数据流。2.如权利要求1所述的一种云环境LDoS攻击数据流检测方法,其特征在于,所述步骤S2中,进一步包含:S21、对样本中正常数据流和异常数据流进行标记,以便于检验分类的结果;S22、采用随机抽取的方法从样本数据中抽取a%的数据流作为训练数据集train,剩下的1-a%%数据流作为测试数据集test。3.如权利要求2所述的一种云环境LDoS攻击数据流检测方法,其特征在于,所述步骤S22中,a%=70%,1-a%=30%。4.如权利要求2或3所述的一种云环境LDoS攻击数据流检测方法,其特征在于,所述步骤S3中,进一步包含:S31、将模拟的LDoS攻击数据流流量按照数据传输往返时间为周期进行切割;S32、统计周期内数据流中的数据包数均值:式中,Ti表示第i个周期,PacketsNumi表示第i个周期内的数据包总数,APFi表示第i个周期内的数据流中的数据包数均值;S33、计算源IP增速:式中,SIS表示源IP增速,sIPNum表示源IP地址总数,interval表示固定的时间间隔;S34、提取数据流的小波特征:将二进离散小波变换应用于数据包过程的处理,通过小波函数ψj,k(t)和尺度函数将数据包过程{X(t)}做J层分解,如公式(3)所示:式中,dj,k为小波系数,表示尺度j上的细节信息,aJ,k为近似系数,表示尺度J上的逼近信息,从而得到信号{X(t)}分布在中心频...
【专利技术属性】
技术研发人员:郭钰君,韩德志,毕坤,王军,
申请(专利权)人:上海海事大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。