本发明专利技术公开了一种云环境下基于贝叶斯网络的低速率DDoS检测方法,包括以下步骤:步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;步骤2:根据步骤1得到的数据提取特征值;步骤3:构造贝叶斯网络,将步骤2得到的特征值输入贝叶斯网络,对模型进行训练;步骤4:将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测;本发明专利技术可消除主观因素的干扰,有效检测云环境下周期性、非周期性低速率DDoS攻击。
A Low-Rate DDoS Detection Method Based on Bayesian Network in Cloud Environment
【技术实现步骤摘要】
一种云环境下基于贝叶斯网络的低速率DDoS检测方法
本专利技术涉及云环境下的网络攻击检测方法,具体涉及一种云环境下基于贝叶斯网络的低速率DDoS检测方法。
技术介绍
随着互联网技术的不断发展,云计算在按需服务、泛在接入、弹性计算等特性可以使客户通过云服务来灵活的满足自身需求;企业、政府机构、组织以及个人逐步将其应用迁移至云计算环境下,而在这一过程中云环境的安全性是客户考虑的首要问题;目前云计算平台还存在着诸多的安全问题,云环境中的DDoS攻击是直接影响云服务可用性的主要安全威胁;一方面,在传统网络环境中的洪泛式DDoS攻击(如常规DDoS攻击、低速率DDoS攻击)会对云环境中的服务器进行直接攻击,另一方面,云环境中因其弹性计算等新特性出现了针对性的攻击方式,如EDOS等攻击。软件定义网络(SDN,SoftwareDefinedNetworking)架构的出现,给云计算平台的安全性带来了一种新途径;SDN网络架构采用集中的控制平面(即控制器)以及分布式的数据平面(即交换机),同时做到了数控分离以实现自动化、智能化的网络管理;云计算技术与SDN架构的结合愈加的紧密;但从另一个角度来看,SDN结构的引入云计算环境,同时也扩展了网络攻击的攻击面;云环境中SDN网络架构本身的安全性也是需要考虑,例如控制平面中控制器本身的安全性、控制器下发策略规则可能产生的不一致性等;数据平面中流表空间被侵占、内部宽带饥饿等;云环境中SDN自身架构的安全性是目前产业界和学术界研究的重点。目前云环境下低速率DDoS检测主要包括以下几类方法:基于流量特征的检测方法,例如用包延迟变化来检测低速率DDoS攻击流,其提取每个流的前7个包计算包延迟变化以达到流级别的检测;还有人通过利用流中源IP集合的熵值、源IP集中数量的变化程度以及数据包速率,提出了特征和特征序的关系;通过FFSc方法来区分正常流量和攻击流量;现有的基于流量特征的检测方法,并没有考虑到非周期性的低速率DDoS,同时所提特征较为单一,没有多角度地描述攻击流;基于流量特征统计分析的检测方法,提出多个相关特征并通过真实数据集来计算各个特征的精准度,得出最优的方案和阈值。基于阈值的检测方法来说,阈值的选取过程,存在主观因素的干扰。
技术实现思路
本专利技术提供一种能有效检测云环境下周期性、非周期性低速率DDoS攻击的云环境下基于贝叶斯网络的低速率DDoS检测方法。本专利技术采用的技术方案是:一种云环境下基于贝叶斯网络的低速率DDoS检测方法,包括以下步骤:步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;步骤2:根据步骤1得到的数据提取特征值;步骤3:构造贝叶斯网络,将步骤2得到的特征值输入贝叶斯网络,对模型进行训练;步骤4:将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测。进一步的,所述步骤1中流表信息为match匹配项中的源IP地址、目的IP地址、数据包包长、数据包数量、持续时间。进一步的,所述步骤2中特征值为包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。进一步的,所述步骤3中模型训练过程中,通过k2搜索算法进行分类,十折交叉验证法对数据集进行分类。进一步的,所述步骤3具体过程如下:对采集到的实际攻击流量和正常流量构成的数据集进行可用性检验,剔除值为空的数据,对数据进行离散化处理;对贝叶斯网络进行初始化,每个属性作为不同的节点,记录子节点不同父类属性值的组合对当前子节点的属性值产生的概率分布,根据当前属性的顺序构建有向无环的贝叶斯网络;分别计算各子节点的父节点概率值,当各子节点都取得其最大的父节点概率时,完成网络构建;将数据集注入构建的网络,统计在子节点各父节点组合的情况下,其某个属性出现的次数和整个实例的次数;计算该节点属性值的概率分布,计算每种分类的概率值,取最高的概率值分类方式为该实例所预测的分类。进一步的,所述包数量均值P_num_avgk如下:式中:Pnumi为采集点采集到的数据包数量信息,T为采集窗口内采集次数,i为该数据流在时间窗口内第i次采集信息;包长均值P_size_avgk如下:式中:Psizei为采集点采集到的数据包长信息;最大包数量P_num_maxk如下:P_num_maxk=max{Pnumi},i=1,K,T式中:K为不同数据流;最大包长如下:P_size_maxk=max{Psizei},i=1,K,T包数量偏差度P_num_devk如下:包长偏差度P_size_devk如下:包数量平均绝对差P_num_avg_MADk如下:包长平均绝对差如下:存活时间durationk如下:式中:durationi为采集点采集到的流表项持续时间;存活程度duration_degreek如下:式中:durationk为采集窗口内流表项持续时间的均值,idle_time为虚拟交换机空闲超时时间。本专利技术的有益效果是:(1)本专利技术通过控制器相应的API周期性采集关键虚拟交换机的流表统计信息,不需传统的流量导出、流量镜像等方式获取流量的相关信息,不需要对全网流量进行检测;只对需保护的服务器或与云外通信的服务器区的前置虚拟交换机流量进行检测;(2)本专利技术根据低速率DDoS的攻击特性,提出基于流量的相关特征,能够有效的对低速DDoS进行检测。附图说明图1为本专利技术方法需要的低速率DDoS攻击检测框架。图2为本专利技术数据处理及特征提取流程示意图。具体实施方式下面结合附图和具体实施例对本专利技术做进一步说明。如图1和图2所示,一种云环境下基于贝叶斯网络的低速率DDoS检测方法,包括以下步骤:步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;采集的流表信息为match匹配项中的源IP地址、目的IP地址以及数据包包长、数据包数量、持续时间;根据云环境中交换机流表不同的空闲超时时间,需要通过不同的采集周期进行数据采集,采集时间窗口设置为T*idle_time,采集时间间隔为idle_time。作为检测方可以通过控制器配置文件获得空闲超时时间idle_time,之后以idle_time为周期进行数据采集及预处理。设采集时间窗口中进行第i次原始数据采集并预处理后数据为fi,那么源IP地址为Sipi,目的IP地址为Dipi,持续时间为durationi,流表空闲超时时间idle_time,设相应流规则的数据包数量为fnumi,相应流规则的数据总大小为fsizei;因流表中的数据为叠加值,所以在提取流初始数据时,需要时间窗口内的各采集点相减获取所需数据,则此数据流在采集时间窗口内第i次采集的数据包数量表述为:Pnumi=fnumi-fnumi-1数据包包长表述为:fi数据格式如下:fi={Sipi,Dipi,PsizeiPnumidurationi}。根据步骤1得到的数据提取特征值;针对云环境SDN网络中低速率DDoS攻击中的周期性、低速性等特性,提取下述相关特征:包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。(1)包数量均值,对周期性低速率DDoS攻击分析发现,攻击流在单位时间内发本文档来自技高网...
【技术保护点】
1.一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,包括以下步骤:步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;步骤2:根据步骤1得到的数据提取特征值;步骤3:构造贝叶斯网络,将步骤2得到的特征值输入贝叶斯网络,对模型进行训练;步骤4:将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测。
【技术特征摘要】
1.一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,包括以下步骤:步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;步骤2:根据步骤1得到的数据提取特征值;步骤3:构造贝叶斯网络,将步骤2得到的特征值输入贝叶斯网络,对模型进行训练;步骤4:将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测。2.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述步骤1中流表信息为match匹配项中的源IP地址、目的IP地址、数据包包长、数据包数量、持续时间。3.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述步骤2中特征值为包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。4.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述步骤3中模型训练过程中,通过k2搜索算法进行分类,十折交叉验证法对数据集进行分类。5.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述步骤3具体过程如下:对采集到的实际攻击流量和正常流量构成的数据集进行可用性检验,剔除值为空的数据,对数据进行离散化处理;对贝叶斯网络进行初始化,每个属性作为不同的节点,记录子节点不同父类属性值的组合对当前子...
【专利技术属性】
技术研发人员:朱毅,滑强,
申请(专利权)人:成都蜀道易信科技有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。