一种多层次信息融合的网络攻击态势实时感知方法技术

本发明专利技术提出了一种基于多层次网络信息融合的网络攻击态势实时感知方法，该方法利用提出的层次化监控Sketch结构能够实时检测出高速网络中的DDoS攻击态势，具体步骤分为离线模型训练和在线模型使用两个场景，离线模型训练时，首先采用系统抽样技术对网络分组进行抽样，然后分别在接口层次、区域层次和主机层次对抽样网络分组进行流量聚合，在线使用三个检测模型时，首先在网络中的流量采集点进行真实流量的抽样采集，并利用层次化监控Sketch实时提取接口层等三个层次的流量特征。通过融合多个层次的网络异常信息来逐步缩小网络攻击态势的监测范围，实现在高速网络环境中快速发现和定位DDoS攻击，可用于高速网络的安全监测。可用于高速网络的安全监测。可用于高速网络的安全监测。

【技术实现步骤摘要】
一种多层次信息融合的网络攻击态势实时感知方法


[0001]本专利技术涉及一种多层次信息融合的网络攻击态势实时感知方法，属于网络安全


技术介绍

[0002]近年来，随着互联网的飞速发展，新型互联网产品和服务大量出现，网络流量呈现爆发式增长。与此同时，网络安全事件也频繁发生，各种网络攻击层出不穷，给社会带来了巨大的损失。可见，网络安全问题已成为计算机网络应用、管理和发展的重大威胁。在这些安全威胁中，DDoS攻击因其攻击成本低、效果明显而逐渐成为影响较严重的网络安全威胁之一。因此，检测网络上的DDoS攻击对于维护基础网络和关键信息基础设施具有重要意义。
[0003]当前，学术界对于DDoS攻击已提出许多检测方法，其中一些检测方法是基于Sketch数据结构提出的。Sketch是一种概率数据结构，由二维计数器数组或二维计数桶数组组成。通过给定的一组散列函数可以将一个数据包哈希到Sketch每一行的某个计数器或计数桶中，在该计数器或计数桶中存储数据包的特征信息。由于Sketch结构可以使用少量内存处理大量的网络流量，因此Sketch非常适本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多层次网络信息融合的网络攻击态势实时感知方法，其特征在于，包括如下步骤：步骤(1)获取在两个不同时间段采集的主干网公开流量数据集，第一部分流量采集时间要早于第二部分流量，两部分流量均包含常见的DDoS攻击UDP Flood流量和正常流量；步骤(2)对第一部分流量实施系统抽样，抽样率设置为1:p，即每隔p个网络分组抽取一个分组，p可取值为2
3+i
(0≤i≤8)；步骤(3)对抽样后的网络分组分别记录其接口层的特征、区域层的特征和主机层的特征到层次化监控Sketch中，层次化监控Sketch由r行c列的二维计数桶数组构成，每个计数桶Sketch[i][j]用于存储一个数据包的前向特征和反向特征，层次化监控Sketch的计数桶结构，包含2个计数器和2个哈希表；步骤(4)在步骤(3)对某一层的key进行特征记录的过程中，若key对应的计数桶达到阈值时，从层次化监控Sketch中提取该层属于key的特征，形成一个样本存入文件中；步骤(5)根据步骤(4)得到的接口层特征样本数据构造接口层训练数据集，使用决策树方法离线训练接口层的DDoS攻击态势监测模型，用于监测接口层的DDoS攻击态势；步骤(6)根据步骤(4)得到的区域层特征样本数据构造区域层训练数据集，使用决策树方法离线训练区域层的DDoS攻击态势监测模型，用于监测区域层的DDoS攻击态势；步骤(7)根据步骤(4)得到的主机层特征样本数据构造区域层训练数据集，使用决策树方法离线训练主机层的DDoS攻击态势监测模型，用于检测主机层的DDoS攻击态势；步骤(8)使用第二部分流量对构造好的接口层、区域层和主机层的DDoS攻击态势监测模型进行测试；步骤(9)根据测试后的三个层次的DDoS攻击态势监测模型可直接应用于高速网络环境中进行网络攻击态势的实时监测。2.根据权利要求1所述的一种多层次网络信息融合的网络攻击态势实时感知方法，其特征在于，步骤(3)中，在层次化监控Sketch中记录抽样网络分组某一层的特征的方法如下：(3.1)提取抽样网络分组在该层的正向key和反向key，对于接口层，分组的正向key是源MAC，目的MAC，反向key是目的MAC，源MAC；对于区域层，分组的正向key 是源MAC，源子网IP，反向key是目的MAC，目的子网IP；对于主机层，分组的正向key是协议号，源IP，反向key是协议号，目的IP；(3.2)使用Farm哈希函数计算网络分组的正向key对应的一个128位哈希值，将其分成r个位的哈希地址，定位层次化监控Sketch中的r个计数桶；对计数桶中的计数器Fp进行加1操作；使用Farm哈希函数计算分组的源IP，源端口号对应的哈希地址，取哈希地址的前4位定位r个计数桶中的Fh哈希表的一个位置，对其进行置1操作；(3.3)使用Farm哈希函数计算网络分组的反向key对应的一个128位哈希值，将其分成r个位的哈希地址，定位层次化监控Sketch中的r个计数桶；并对计数桶中的计数器Bp进行加1操作；使用Farm哈希函数计算分组的目的IP，目的端口号对应的哈希地址，取哈希地址的前4位定位r个计数桶中的Bh哈希表的一个位置，对其进行置1操作。
3.根据权利要求1所述的一种面向高速网络的流量丢包状态实时感知方法，其特征在于，步骤(4)中，层次化监控Sketch提取某一层的key的特征的方法如下：(4.1)key对应的某个计数桶中的Fp计数器值和Bp计数器值之和达到阈值100时，选择key对应的所有计数桶中每个计数器的最小值，合并所有计数桶中相应的哈希表；(4.2)将key对应的所有计数桶中的每个计数器减去在(4.1)步骤得到的相应最小值，并清空所有哈希表；(4.3)根据(4.1)步骤提取的特征向量中的Fp和Bp，计算包发送速率Fp_Spd和包接收速率B...

【专利技术属性】
技术研发人员：吴桦，庄幼琼，程光，
申请(专利权)人：东南大学，
类型：发明
国别省市：