專(zhuān)利名稱(chēng):分布式拒絕服務(wù)攻擊的檢測(cè)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,特別涉及一種分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊的檢測(cè)方法和系統(tǒng)����。
背景技術(shù):
DDoS攻擊的發(fā)動(dòng)者通過(guò)脅迫散布在網(wǎng)絡(luò)中的多臺(tái)主機(jī),形成多個(gè)攻擊源���,同時(shí)對(duì)受害者發(fā)起攻擊��,使得受害者主機(jī)的關(guān)鍵資源(如帶寬�����、緩沖區(qū)��、CPU資源)迅速耗盡�����,從而使得受害者主機(jī)或者崩潰���,或者花大量時(shí)間處理攻擊包而不能正常服務(wù)。近年來(lái)����,攻擊者們又利用Botnet(也被稱(chēng)作僵尸網(wǎng)絡(luò)�����,是許多臺(tái)被惡意代碼感染����、控制的與互聯(lián)網(wǎng)相連接的計(jì)算機(jī))作為攻擊平臺(tái)���,形成規(guī)模更加龐大的DDoS攻擊��,使得攻擊流的分布程度更廣、危害更大���,DDoS攻擊的檢測(cè)更難���,給當(dāng)前的網(wǎng)絡(luò)和網(wǎng)絡(luò)上的計(jì)算機(jī)帶來(lái)了不容忽視的威脅。
DDoS攻擊檢測(cè)通常采用分布式的檢測(cè)機(jī)制���,在網(wǎng)絡(luò)中(自治系統(tǒng)AS或ISP網(wǎng)絡(luò)中)選取一些節(jié)點(diǎn)建立一個(gè)檢測(cè)子網(wǎng)絡(luò)�,各節(jié)點(diǎn)依靠自己搜集的信息�����,往往是單個(gè)流量或路由信息,展開(kāi)快速而簡(jiǎn)單的本地局部檢測(cè)���;再利用一定的通信機(jī)制��,交換各個(gè)節(jié)點(diǎn)的檢測(cè)結(jié)果���,對(duì)部分或者全部節(jié)點(diǎn)的檢測(cè)結(jié)果進(jìn)行綜合分析,以確認(rèn)是否發(fā)生異常�。如DAD(Distributed Attack Detection,分布式攻擊檢測(cè))�����,CITRA(Cooperative intrusion traceback and response�����,合作侵入的痕跡和響應(yīng))����,LADS(Large-Scale Automated DDoS detectionsystem,大尺度DDoS自動(dòng)攻擊檢測(cè)系統(tǒng))����,DCD(Distributed chang-pointdetection��,分布式變化檢測(cè))�,以及Chen等利用脈沖DDoS攻擊的與正常流量的功率譜密度在低頻部分的差異���,在頻域上做出局部檢測(cè)�����。分布式檢測(cè)機(jī)制對(duì)多個(gè)報(bào)警節(jié)點(diǎn)的局部檢測(cè)結(jié)果進(jìn)行綜合分析,一定程度上克服了僅在單點(diǎn)上檢測(cè)(單鏈路\單節(jié)點(diǎn)檢測(cè))的不足���,能夠有效地提高檢測(cè)精度����,但最終檢測(cè)結(jié)果在很大程度上仍依賴(lài)于單個(gè)節(jié)點(diǎn)的檢測(cè)結(jié)果�。而DDoS攻擊發(fā)生時(shí)����,攻擊流往往在用戶(hù)前端的路由器才最終匯聚形成巨大的流量幅值,部署在受害者路由器前端的檢測(cè)節(jié)點(diǎn)能夠通過(guò)明顯的流量變化檢測(cè)出攻擊流���,但此時(shí)攻擊流已經(jīng)到達(dá)受害者,使得受害者無(wú)法做出有效的攻擊響應(yīng)措施來(lái)對(duì)抗攻擊流。
可見(jiàn)����,要有效地防御DDoS攻擊,必須在攻擊流到達(dá)受害者路由器之前(也即攻擊流在骨干網(wǎng)絡(luò)中傳送時(shí))進(jìn)行早期檢測(cè),但是此時(shí)攻擊流通常分散在多條鏈路中�,在單條鏈路或節(jié)點(diǎn)中并不表現(xiàn)出明顯異常特征,因此很難做出準(zhǔn)確的局部檢測(cè)判斷��。盡管如此���,此時(shí)多個(gè)攻擊流在多條鏈路上的流量變化趨勢(shì)卻是有可能捕捉的�����,如果將網(wǎng)絡(luò)中多個(gè)流量信號(hào)收集在一起,利用流量之間的關(guān)系來(lái)進(jìn)行檢測(cè)將有可能獲得較好的檢測(cè)效果。
上述“利用流量之間的關(guān)系來(lái)揭示異常的方法”最初由Lakhina等人提出,利用子空間方法來(lái)分析網(wǎng)絡(luò)中所有鏈路幅值及OD(Origin-Destinationflow���,源到端的流)流幅值之間的關(guān)系以檢測(cè)網(wǎng)絡(luò)異常��,該方法主要包含兩部分內(nèi)容 一�、鏈路流量的子空間分析 將零均值化后的鏈路流量進(jìn)行主成分分析(Principal Componentanalysis�,PCA)分解��,分解為正常空間和異常空間序列���。
二、異常判決 由于一個(gè)幅值上的異常會(huì)導(dǎo)致異常空間序列有較大的變化�����,所以對(duì)異常部分的能量大小設(shè)定一個(gè)門(mén)限���,若所述異常空間序列的均方預(yù)測(cè)誤差(SPE)小于所述門(mén)限�,則認(rèn)為是正常,否則為異常���。
在實(shí)現(xiàn)本發(fā)明過(guò)程中���,發(fā)明人發(fā)現(xiàn)上述方法至少存在如下問(wèn)題 1、該方法認(rèn)為具有強(qiáng)相關(guān)性的流量屬于正?��?臻g��,對(duì)剩下的異?��?臻g序列進(jìn)行異常量判斷����,然而同一次發(fā)起的DDoS攻擊流之間無(wú)論在時(shí)間上還是空間上都存在強(qiáng)的相關(guān)性���,所以該方法將這部分流量劃分到了正?����?臻g�����,從而使得檢測(cè)時(shí)發(fā)生漏檢��; 2���、該方法的判決需要依賴(lài)異常空間序列中單個(gè)鏈路或單個(gè)OD流的異常流量幅值�����,只有當(dāng)異常流量幅值較大時(shí)才能檢測(cè)到。而DDoS攻擊由數(shù)量從多的被雇用主機(jī)沿多條路經(jīng)同時(shí)向受害者發(fā)送攻擊流量�����,因此單條鏈路或單個(gè)OD流上的異常流通常較小�����,而通信網(wǎng)絡(luò)中的背景流量及其正常流量變化是很大的��,因此�,僅靠單個(gè)鏈路或單個(gè)OD流的異常流量幅值進(jìn)行檢測(cè)容易造成漏檢�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實(shí)施例提供一種分布式拒絕服務(wù)攻擊的檢測(cè)方法和系統(tǒng)���,以解決現(xiàn)有技術(shù)容易造成攻擊漏檢的問(wèn)題��。
本發(fā)明實(shí)施例是這樣實(shí)現(xiàn)的 一種分布式拒絕服務(wù)攻擊的檢測(cè)方法�����,包括 提取目的端相同的OD流的異?��?臻g序列�����; 計(jì)算所述目的端相同的各OD流的異?����?臻g序列之間的相關(guān)系數(shù)�; 依據(jù)所述相關(guān)系數(shù)計(jì)算全局相關(guān)系數(shù)���; 當(dāng)所述全局相關(guān)系數(shù)大于預(yù)設(shè)報(bào)警門(mén)限時(shí)����,確認(rèn)發(fā)生攻擊����,進(jìn)行報(bào)警。
本發(fā)明實(shí)施例同時(shí)還公開(kāi)了一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)�,包括 設(shè)置在網(wǎng)絡(luò)各個(gè)局部節(jié)點(diǎn)中的異常空間序列提取單元和第一計(jì)算單元����,及設(shè)置在網(wǎng)絡(luò)中心節(jié)點(diǎn)中的信息獲取單元���、第二計(jì)算單元和信息處理單元; 所述異常空間序列提取單元,用于提取以所在節(jié)點(diǎn)為目的端的各OD流的異?����?臻g序列; 所述第一計(jì)算單元��,用于計(jì)算所述各OD流的異?�?臻g序列之間的相關(guān)系數(shù)�����; 所述信息獲取單元���,用于獲取各第一計(jì)算單元計(jì)算得出的相關(guān)系數(shù); 所述第二計(jì)算單元�,用于依據(jù)所述信息獲取單元獲取的相關(guān)系數(shù),計(jì)算全局相關(guān)系數(shù)���; 所述信息處理單元���,用于獲取所述第二計(jì)算單元的計(jì)算結(jié)果��,將其與預(yù)設(shè)報(bào)警門(mén)限進(jìn)行比較��,并當(dāng)計(jì)算結(jié)果大于所述報(bào)警門(mén)限時(shí)�,確認(rèn)發(fā)生攻擊����,進(jìn)行報(bào)警。
從上述的技術(shù)方案可以看出���,與現(xiàn)有技術(shù)相比���,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)和特點(diǎn) 1、通過(guò)求取OD流預(yù)測(cè)值與實(shí)際值的差值提取異?����?臻g序列�����,克服了PCA方法無(wú)法檢測(cè)相關(guān)攻擊流的問(wèn)題; 2��、針對(duì)DDoS攻擊流在空間分散但是具有強(qiáng)相關(guān)性的特點(diǎn)�,采用多個(gè)OD流異常空間序列的相關(guān)性分析后�,進(jìn)行檢測(cè),能夠檢測(cè)出單條流量上幅值很小的攻擊流��; 3�����、與現(xiàn)有的基于PCA的多數(shù)全局檢測(cè)方法只能進(jìn)行集中式計(jì)算相比��,本發(fā)明實(shí)施例可以從局部節(jié)點(diǎn)進(jìn)行計(jì)算���,有助于減輕中心節(jié)點(diǎn)的工作負(fù)擔(dān)�����,提高整個(gè)檢測(cè)過(guò)程的計(jì)算速度,降低局部節(jié)點(diǎn)與中心節(jié)點(diǎn)間的通信負(fù)載�。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹�����,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖�����。
圖1為本發(fā)明一種DDoS攻擊的檢測(cè)方法的實(shí)施例一的流程圖�����; 圖2為本發(fā)明一種DDoS攻擊的檢測(cè)方法的實(shí)施例二中提取異?��?臻g的流程圖�����; 圖3為本發(fā)明一種DDoS攻擊的檢測(cè)方法的實(shí)施例三中兩條OD流異?���?臻g相關(guān)系數(shù)的計(jì)算示意圖; 圖4為本發(fā)明實(shí)施例中26號(hào)����、50號(hào)OD流的流量示意圖1; 圖5為利用PCA對(duì)圖4所示流量分解所得的異??臻g序列示意圖; 圖6為本發(fā)明實(shí)施例中26號(hào)��、50號(hào)OD流的流量示意圖2���; 圖7為利用PCA對(duì)圖6所示流量分解所得的異??臻g序列示意圖��; 圖8a為采用本發(fā)明實(shí)施例提取的26號(hào)OD流的異?��?臻g序列示意圖�����; 圖8b為采用本發(fā)明實(shí)施例提取的50號(hào)OD流的異?��?臻g序列示意圖�; 圖9為依據(jù)本發(fā)明實(shí)施例對(duì)26號(hào)、50號(hào)OD流加入DDoS攻擊后的全局相關(guān)系數(shù)示意圖; 圖10a為第六周的112號(hào)OD流注入非周期攻擊前的流量示意圖���; 圖10b為第六周的112號(hào)OD流注入非周期攻擊后的流量示意圖����; 圖11a為第六周的124號(hào)OD流注入非周期攻擊前的流量示意圖��; 圖11b為第六周的124號(hào)OD流注入非周期攻擊后的流量示意圖����; 圖12為本發(fā)明實(shí)施例對(duì)上述非周期DDoS攻擊的檢測(cè)結(jié)果; 圖13a為第17周的76號(hào)OD流注入周期性攻擊前的流量示意圖��; 圖13b為第17周的76號(hào)OD流注入周期性攻擊后的流量示意圖�; 圖14a為第17周的124號(hào)OD流注入周期性攻擊前的流量示意圖; 圖14b為第17周的124號(hào)OD流注入周期性攻擊后的流量示意圖�; 圖15為圖13b和圖14b所示流量的檢測(cè)結(jié)果; 圖16為本發(fā)明一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)實(shí)施例一的結(jié)構(gòu)示意圖�����; 圖17為本發(fā)明一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)實(shí)施例二的異?��?臻g序列提取單元的結(jié)構(gòu)示意圖����; 圖18為本發(fā)明一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)實(shí)施例三的第一計(jì)算單元的結(jié)構(gòu)示意圖。
具體實(shí)施例方式 下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述�����,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例�?��;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍����。
Trinoo,TFN��,TFN2K和Shaft等許多DDoS攻擊的產(chǎn)生工具可輕易獲得�����,是導(dǎo)致了DDoS泛濫的重要原因����。這些工具產(chǎn)生的攻擊流除了在幅值上具有相同特征外,在攻擊時(shí)間�、持續(xù)時(shí)間、間隔時(shí)間和攻擊類(lèi)型方面也具有相似性�,因而具有很強(qiáng)的相關(guān)性。攻擊流分布到多條鏈路時(shí)����,將導(dǎo)致攻擊流流量中包含攻擊流的異常部分之間所具有的相關(guān)性較正常情況下發(fā)生改變。于是���,借助多條流量同時(shí)發(fā)生改變的這種特征所引起的相關(guān)性變化(不僅僅是攻擊流幅值的大小)進(jìn)行檢測(cè)�,避免了單個(gè)攻擊流較小而不易檢測(cè)的問(wèn)題。
OD(Origin-Destination flow���,源到端的流)流間相關(guān)性的改變并不安全是由于攻擊流的影響���,正常的OD流間由于相似的每日每周流量模式存在,同樣也使OD流間存在一定的相關(guān)性�,因此,在對(duì)OD流間的相關(guān)性進(jìn)行分析前�����,需要從OD流中去除正常流量對(duì)相關(guān)性的影響��,即提取出包含攻擊流的異?�?臻g序列�,再對(duì)異常空間序列進(jìn)行相關(guān)性分析���。
基于上述分析�,為了能及時(shí)、準(zhǔn)確地在非網(wǎng)絡(luò)邊界的位置對(duì)攻擊進(jìn)行檢測(cè)����,本發(fā)明提供了一種DDoS攻擊的檢測(cè)方法,通過(guò)對(duì)每條OD流進(jìn)行流量預(yù)測(cè)�,提取與預(yù)測(cè)值相異的異??臻g序列,再對(duì)多條OD流異?����?臻g序列的相關(guān)性進(jìn)行分析��,根據(jù)相關(guān)性的變化程度來(lái)檢測(cè)攻擊��。
為了方便理解��,下面對(duì)相關(guān)系數(shù)和全局相關(guān)系數(shù)進(jìn)行簡(jiǎn)單的說(shuō)明 相關(guān)系數(shù) 假設(shè)X和Y為隨機(jī)變量��,X和Y的協(xié)方差為 Cov(x�����,y)=E{[X-E(X)][Y-E(Y)]} (1) 其中���,E(X)為X的均值����,E(Y)為Y的均值,則X和Y間的相關(guān)系數(shù)為 其中����,D(X)和D(Y)分別為X和Y的方差。
相關(guān)系數(shù)反映了兩個(gè)向量在不同時(shí)刻之間的統(tǒng)計(jì)關(guān)聯(lián)程度���,若ρxy=0���,則表示X和Y不相關(guān),|ρxy|越接近1��,表示X和Y的關(guān)聯(lián)程度越大�,當(dāng)p{Y=aX+b}=1時(shí),其中a���、b均為常數(shù)���,也即是Y與X具有固定的函數(shù)關(guān)系,則|ρxy|=1�,即X和Y完全相關(guān)。
全局相關(guān)系數(shù) DDoS攻擊流具有明顯的定向特點(diǎn),總是指向受害者的接入路由器��,從OD流的角度出發(fā)�����,攻擊流對(duì)應(yīng)存在于多條目的節(jié)點(diǎn)相同的OD流中���,對(duì)相同目的節(jié)點(diǎn)的所有OD流間的相關(guān)性進(jìn)行分析更符合攻擊流的指向性特點(diǎn)�����。為了求取多個(gè)異常空間序列的相關(guān)性�����,本文將相關(guān)系數(shù)的概念進(jìn)行延展�����,提出了全局相關(guān)系數(shù)的概念����。
由于骨干網(wǎng)中任意節(jié)點(diǎn)可能是DDoS攻擊流所指向的節(jié)點(diǎn),因此,全局相關(guān)系數(shù)由以不同節(jié)點(diǎn)為目的端的OD流異??臻g序列的相關(guān)系數(shù)組成。
為了使得本領(lǐng)域技術(shù)人員更好理解本發(fā)明實(shí)施例的技術(shù)方案�,下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明技術(shù)方案進(jìn)行詳細(xì)描述。
請(qǐng)參考圖1���,為本發(fā)明一種DDoS攻擊的檢測(cè)方法的實(shí)施例一的流程圖���。
具體包括以下步驟 步驟S101、提取目的端相同的OD流的異?���?臻g序列。
步驟S102���、計(jì)算所述目的端相同的OD流的異??臻g序列之間的相關(guān)系數(shù)���。
步驟S103�、依據(jù)所述相關(guān)系數(shù)��,計(jì)算全局相關(guān)系數(shù)��。
步驟S104、將所述全局相關(guān)系數(shù)與預(yù)先設(shè)置的報(bào)警門(mén)限進(jìn)行比較���,如果所述全局相關(guān)系數(shù)大于所述報(bào)警門(mén)限����,則進(jìn)入步驟S105���;否則��,確認(rèn)正常�����,返回步驟S101。
步驟S105��、確認(rèn)發(fā)生攻擊�,進(jìn)行報(bào)警。
在不包含攻擊流的情況下���,每條OD流中����,必然包含其本身的正常流量(例如每日、每周的固定模式的流量)及一些具有隨機(jī)性因素的流量(對(duì)用戶(hù)來(lái)說(shuō)可能是一些偶然性的行為)��。
上述步驟S101中��,提取異?���?臻g序列的具體過(guò)程如圖2所示,具體包括以下步驟 步驟S201�����、建立時(shí)間序列模型�。
正常的OD流流量模式可以通過(guò)建立對(duì)應(yīng)的時(shí)間序列模型來(lái)描述(詳細(xì)的時(shí)間序列模型的建立過(guò)程屬于現(xiàn)有技術(shù),在此不對(duì)其進(jìn)行詳細(xì)描述)�。
步驟S202、利用所述時(shí)間序列模型對(duì)下一時(shí)刻的流量進(jìn)行預(yù)測(cè)����。
步驟S203、計(jì)算預(yù)測(cè)得到的預(yù)測(cè)值與流量實(shí)際值之間的差值����,將該差值確定為異常空間序列���。
本文根據(jù)采集到的流量數(shù)據(jù)建立模型���,對(duì)下一時(shí)刻的流量進(jìn)行預(yù)測(cè)��,由此得到的預(yù)測(cè)值與流量實(shí)際值之間的差值則代表不符合流量模型的隨機(jī)性因素流量與攻擊流����,也即OD流的異??臻g序列。
假設(shè)提取出來(lái)的OD流的異?��?臻g序列為RTt����,則RTt中可能包含兩種成分預(yù)測(cè)誤差et以及異常At�����,也即RTt=et+At��。由于上述RTt是由預(yù)測(cè)值和流量實(shí)際值產(chǎn)生的�����,因此���,預(yù)測(cè)誤差et的存在是必然的�,當(dāng)OD流不存在攻擊時(shí)����,At=0。預(yù)測(cè)算法的結(jié)果與實(shí)際值之間總有差異�����,異?�?臻g序列的誤差(et)即是由預(yù)測(cè)算法產(chǎn)生的誤差��。預(yù)測(cè)誤差對(duì)相關(guān)系數(shù)大小存在一定的影響��,假設(shè)存在兩條OD流預(yù)測(cè)差值序列����,分別為RT1t和RT2t,由于分別對(duì)兩條OD流進(jìn)行獨(dú)立預(yù)測(cè)���,所以這兩條OD流的預(yù)測(cè)誤差e1t與e2t相互獨(dú)立�,不同OD流間的預(yù)測(cè)誤差與異常流量之間(例如e1t與A1t、e2t與A2t)也是相互獨(dú)立的���,因此可以證明得出 Cov(RT1t�����,RT2t)=Cov(e1t+A1t�����,e2t+A2t)=Cov(A1t�����,A2t) 假設(shè)完全不存在預(yù)測(cè)誤差的情況下�����,即e1t=0�,e2t=0���,兩條OD流間的相關(guān)系數(shù)為 當(dāng)存在誤差時(shí),相關(guān)系數(shù)為 其中�,Δ=D(e1)D(e2)+D(e1)D(A2)+D(e2)D(A1)為非負(fù)實(shí)數(shù)����。
因此��,如果存在預(yù)測(cè)誤差����,會(huì)使得相關(guān)系數(shù)變小。但在本發(fā)明實(shí)施例中�,由于采用計(jì)算任意兩條同一目的節(jié)點(diǎn)OD流間的相關(guān)性的方式,因此這些相關(guān)系數(shù)相比較無(wú)預(yù)測(cè)誤差的情況下的相關(guān)系數(shù)均會(huì)變小���,是一個(gè)總體效應(yīng)�,而相關(guān)系數(shù)間數(shù)值上的相對(duì)大小信息仍然得到保留���。
可以將目的端相同的多條OD流的組合稱(chēng)為OD流組�,于是�,上述步驟S102中所述計(jì)算目的端相同的OD流的異常空間序列之間的相關(guān)系數(shù)的具體方式可以為 計(jì)算OD流組中任意兩條OD流之間的相關(guān)性 在計(jì)算OD流組的相關(guān)系數(shù)前����,需要計(jì)算其中任意兩條OD流之間的相關(guān)性。由于網(wǎng)絡(luò)路徑、時(shí)延等原因����,眾多攻擊流不一定在時(shí)間上完全同步,只考慮同樣時(shí)間段內(nèi)OD流異?��?臻g序列的相關(guān)性可能導(dǎo)致結(jié)果不準(zhǔn)確�。因此���,計(jì)算OD流組中任意兩條OD流的相關(guān)系數(shù)時(shí)��,可以引入兩個(gè)滑動(dòng)時(shí)窗���,考慮鄰近時(shí)間段內(nèi)異常空間序列的相關(guān)性��。
如圖3所示�����,Oid和Ojd分別為兩條目的節(jié)點(diǎn)相同的OD流異?����?臻g序列,時(shí)窗w1以時(shí)刻點(diǎn)t為起始點(diǎn)�,截取Oid中長(zhǎng)度為w1的子段,作為一個(gè)向量Vid(t���,w1)。
序列中截取的子段的起始位置點(diǎn)tj����,可在(t-w2,t+w2)中滑動(dòng)���,同樣截取的長(zhǎng)度為w1為另一個(gè)向量Vjd(tj���,w1);在Ojd中的截取向量的起始位置點(diǎn)tj每滑動(dòng)一次�,可得到一個(gè)相關(guān)系數(shù)corrcoef[Vid(t,w1)��,Vjd(tj��,w1)]����,取這多個(gè)相關(guān)系數(shù)中最大值作為Oid和Ojd在時(shí)間點(diǎn)t上的相關(guān)系數(shù) 若骨干網(wǎng)中共有N個(gè)節(jié)點(diǎn),以節(jié)點(diǎn)d為目的節(jié)點(diǎn)的OD流共有N-1條,因此以該節(jié)點(diǎn)為目的節(jié)點(diǎn)的OD流異?��?臻g序列的相關(guān)系數(shù)為這些OD流中任意兩條的相關(guān)系數(shù)的平均值 于是�,上述步驟S103中���,計(jì)算全局相關(guān)系數(shù)的具體方式為 依據(jù)上述公式(6)��,當(dāng)目的節(jié)點(diǎn)d為網(wǎng)絡(luò)中不同的節(jié)點(diǎn)時(shí)���,可得t時(shí)刻全局相關(guān)系數(shù),為各個(gè)節(jié)點(diǎn)相關(guān)系數(shù)的平均值 所述報(bào)警門(mén)限是作為一個(gè)判斷全局相關(guān)系數(shù)是否發(fā)生異常的依據(jù)����,通過(guò)對(duì)網(wǎng)絡(luò)流量全局相關(guān)系數(shù)進(jìn)行統(tǒng)計(jì)后,發(fā)現(xiàn)其滿(mǎn)足正態(tài)分布的規(guī)律�����。因此�,可以選擇一個(gè)歷史時(shí)間段的相關(guān)系數(shù)的分布情況來(lái)設(shè)置所述報(bào)警門(mén)限。
假設(shè)在該歷史時(shí)間段中相關(guān)系數(shù)的平均值為m��,方差為δ2�,標(biāo)準(zhǔn)差為δ���,并引入預(yù)設(shè)門(mén)限系數(shù)α,則報(bào)警門(mén)限d的取值公式為 d=m+α×δ (8) 如果設(shè)置a=2.4�,報(bào)警門(mén)限d的置信區(qū)間為m±2.4δ,等效于檢測(cè)率可達(dá)99.6%的置信度��,誤報(bào)率為0.4%����。
這種根據(jù)歷史時(shí)間段的相關(guān)系數(shù)的分布情況設(shè)置報(bào)警門(mén)限的方式可以較大程度上消除上述預(yù)測(cè)誤差對(duì)相關(guān)系數(shù)的影響��。
需要說(shuō)明的是��,由于本發(fā)明實(shí)施例采用流量預(yù)測(cè)值作為正常流量估計(jì)值的目的是為了獲得下一時(shí)刻的流量趨勢(shì)����,以便將多個(gè)OD流中與趨勢(shì)相違背的部分提取出來(lái),考察它們之間是否存在關(guān)聯(lián)性����,并非為了獲得確切的值,所以預(yù)測(cè)算法的精確性并不是本文考慮的重點(diǎn)���,而在要求實(shí)時(shí)性的檢測(cè)過(guò)程中����,預(yù)測(cè)算法的簡(jiǎn)單快速成為選擇的主要依據(jù),因此����,本文采用ARIMA(p,d�,q)模型對(duì)流量進(jìn)行進(jìn)一步預(yù)報(bào),用預(yù)測(cè)值作為下一時(shí)刻正常流量的估計(jì)�����,進(jìn)而可通過(guò)求取預(yù)測(cè)值與下一時(shí)刻真實(shí)值之間的差值提取異?���?臻g序列。
另外��,從操作的觀點(diǎn)來(lái)看���,全局相關(guān)系數(shù)的計(jì)算過(guò)程可以由網(wǎng)絡(luò)中的局部節(jié)點(diǎn)和中心節(jié)點(diǎn)共同完成�����。在各個(gè)局部節(jié)點(diǎn)采集到以該節(jié)點(diǎn)為目的端的OD流�,分別對(duì)其進(jìn)行異常空間序列的提取���,再對(duì)這些OD流中任意兩條OD流的相關(guān)性進(jìn)行計(jì)算����,得到各個(gè)局部節(jié)點(diǎn)的相關(guān)性分析結(jié)果��。在網(wǎng)絡(luò)中各個(gè)局部節(jié)點(diǎn)進(jìn)行相關(guān)性分析后��,由中心節(jié)點(diǎn)計(jì)算出全局相關(guān)系數(shù)�����。需要指出的是����,本文中在局部節(jié)點(diǎn)的計(jì)算方式����,與現(xiàn)有分布式檢測(cè)機(jī)制的局部檢測(cè)方法存在較大的不同,其最大的區(qū)別在于本文在局部節(jié)點(diǎn)的分析對(duì)象是全局所有指向同一個(gè)局部節(jié)點(diǎn)的OD流之間的相互關(guān)系���,而現(xiàn)有分布式檢測(cè)機(jī)制的局部檢測(cè)方法僅對(duì)流過(guò)該節(jié)點(diǎn)的單條流量或者單個(gè)節(jié)點(diǎn)的路由信息進(jìn)行分析�����,簡(jiǎn)而言之��,本文所采用的方法是從全局的角度出發(fā)進(jìn)行檢測(cè)的�����。此外�����,與現(xiàn)有的基于PCA的多數(shù)全局檢測(cè)方法只能進(jìn)行集中式計(jì)算相比���,本發(fā)明實(shí)施例可以從局部節(jié)點(diǎn)進(jìn)行計(jì)算�,有助于減輕中心節(jié)點(diǎn)的工作負(fù)擔(dān)���,提高整個(gè)檢測(cè)過(guò)程的計(jì)算速度���,降低局部節(jié)點(diǎn)與中心節(jié)點(diǎn)間的通信負(fù)載。
在另外的實(shí)施例中���,計(jì)算目的端相同的OD流的異?���?臻g序列之間的相關(guān)系數(shù)的具體方式可以通過(guò)K-L變換進(jìn)行,也即通過(guò)K-L變換提取多條OD流異?�?臻g中的強(qiáng)相關(guān)部分作為全局相關(guān)系數(shù)���。
K-L變換是一種基于均方誤差最小的數(shù)據(jù)降維方法���,當(dāng)原始數(shù)據(jù)列向量是零均值時(shí),若數(shù)據(jù)集的維度為m���,K-L變換的目的是找到相互正交的n個(gè)主軸(n<m)�,使得數(shù)據(jù)集在這些方向上的投影能夠盡可能地解釋原始數(shù)據(jù)集的方差�,其中第一個(gè)主軸指向數(shù)據(jù)集中的最大方差方向����,反映了數(shù)據(jù)集中的最強(qiáng)相關(guān)性,其余主軸依次指向剩余數(shù)據(jù)集中的最大方差方向���,所反映的數(shù)據(jù)集中的相關(guān)性也依次降低�����,因此可以通過(guò)K-L變換分析全局流量異?��?臻g中相關(guān)性的強(qiáng)弱��。
對(duì)于變換Y=VX�����,如果Y正交�����,則Y滿(mǎn)足下邊的統(tǒng)計(jì)特性 E{[yi-E(yi)][yj-E(yj)]*}=λjδji (9) 其中 從(9)式可以看出�����,當(dāng)i=j(luò)時(shí)�,式子左邊是向量yi的方差var(yi)��,式子右邊為常數(shù)��;當(dāng)i≠j時(shí)�,式子左邊是yi和yj的協(xié)方差cov(yi,yj),右邊為0�。因此,Y的協(xié)方差矩陣就是一個(gè)對(duì)角陣diag(cov(yi�����,yj))���。
由(9)式可以推出cov{X��,X}Vj=λjVj (10) (10)式說(shuō)明X的協(xié)方差矩陣的特征值對(duì)應(yīng)變換后的矩陣Y的方差�����,X的協(xié)方差矩陣的特征值對(duì)應(yīng)變換后的矩陣Y的方差����,X的協(xié)方差矩陣的特征向量對(duì)應(yīng)變換的正交矩陣�,即主成份。
根據(jù)上述(9)式和(10)式��,K-L分解流程包括以下步驟 步驟S401��、計(jì)算主軸�。
首先對(duì)Xt×m的每一列進(jìn)行零均值化,后邊所有提到X都表示X為零化均值后的異?���?臻g矩陣。然后計(jì)算XTX的特征值和特征向量�,特征值對(duì)應(yīng)X的能量特征向量對(duì)應(yīng)主軸。按照特征值從大到小的關(guān)系排列特征值和特征向量����。在重新排列后的主軸中,排列在前面的主軸攜帶的信息量較大�,排列在后面的主軸攜帶的信息量較小。
步驟S402�����、找出r個(gè)主軸�。
為了對(duì)異常空間矩陣進(jìn)行分解���,需要找出r個(gè)能夠代表矩陣絕大部分能量的主軸�����。r值的尋找有很多方法���,在這里計(jì)算m個(gè)特征值的平均值�����,如果第r個(gè)特征值大于平均值��,而第r+1個(gè)特征值小于平均值�����,則該r即為所求�����。
步驟S403���、分解強(qiáng)相關(guān)部分作為全局相關(guān)系數(shù)。
用上述步驟S402計(jì)算出的r個(gè)主成份將異??臻g矩陣分解為強(qiáng)相關(guān)部分和弱相關(guān)空間。每一個(gè)主成份vi是一個(gè)m維的向量���,這樣前面r個(gè)主成份(v1����,v2���,v3���,...vr)構(gòu)成了一個(gè)Pm×r的矩陣。分解矩陣就是用Pm×r將時(shí)間點(diǎn)t的流量分解為強(qiáng)相關(guān)部分和弱相關(guān)部分���。假定xt是X一個(gè)行向量的轉(zhuǎn)置���,也就是把xt分解為兩個(gè)部分,強(qiáng)相關(guān)部分xt1和弱相關(guān)部分xt2����,即 xt=xt1+xt2 (11) 其中 xt1=PPTxt,xt2=(I-PPT)xt(12) 按照時(shí)間點(diǎn)順序把相關(guān)性強(qiáng)的部分xt1作為一個(gè)行向量排列起來(lái)構(gòu)成所需的全局相關(guān)系數(shù)�����。
下面通過(guò)一個(gè)具體實(shí)例對(duì)本發(fā)明技術(shù)方案進(jìn)行進(jìn)一步的詳細(xì)說(shuō)明���。
假設(shè)網(wǎng)絡(luò)為美國(guó)教育網(wǎng)的Abilene骨干網(wǎng)��,其包含12個(gè)POP節(jié)點(diǎn)�����,144條OD流(分別為1號(hào)OD流�、2號(hào)OD流、...���、144號(hào)OD流)�,采集時(shí)按照1%的采樣率在每個(gè)節(jié)點(diǎn)上采集端到端數(shù)據(jù)����,將每5分鐘采集到的數(shù)據(jù)作為一個(gè)時(shí)間點(diǎn),每個(gè)周2016個(gè)時(shí)間點(diǎn)�����。按照這種方式采集從2004年3月1日到2004年9月10日總共24周的數(shù)據(jù)�。
在基于PCA的異常檢測(cè)方法中,將流量分解為正??臻g序列和異常空間序列����,其分解依據(jù)是提取具有強(qiáng)時(shí)間相關(guān)性的部分作為正常空間序列����,該方法對(duì)于單條流量上局部點(diǎn)突變具有較好的檢測(cè)效果��,但是對(duì)于DDoS攻擊這種分布在多條流量中的異常卻無(wú)法較好地檢測(cè),因?yàn)榫哂邢嚓P(guān)性的多個(gè)攻擊流可能被該方法劃分到正??臻g序列中。
為了驗(yàn)證本發(fā)明實(shí)施例中異?�?臻g序列提取的準(zhǔn)確性�,下面實(shí)驗(yàn)效果進(jìn)行說(shuō)明 Abilene網(wǎng)第三周數(shù)據(jù)的26號(hào)以及50號(hào)OD流,都是以節(jié)點(diǎn)2為目的節(jié)點(diǎn)的OD流�����,假設(shè)在26號(hào)OD流1000-1004個(gè)采樣點(diǎn)間加入一個(gè)5倍于其均值大小的脈沖式DDoS攻擊流���,而50號(hào)OD流流量為原始流量���,如圖4所示。這種情況下����,利用PCA分解所得的異常空間序列如圖5所示�����,可以看出26號(hào)OD流的攻擊流被劃分到了異常空間序列中�����。如果在此基礎(chǔ)上���,對(duì)50號(hào)OD流加入同樣持續(xù)時(shí)間����,且5倍于其均值大小的攻擊流�,如圖6所示,兩條OD流上加入攻擊流的開(kāi)始時(shí)間����、持續(xù)時(shí)間以及幅值上都具有一定的相似性,而對(duì)這兩條加入了相似攻擊的OD流進(jìn)行PCA分解的結(jié)果如圖7所示����,可以看出,在1000采樣點(diǎn)位置附近�����,這兩條OD流上的異常并沒(méi)有劃分到異常空間序列中��,反而因?yàn)榫哂幸欢ǖ臅r(shí)間相關(guān)性��,被錯(cuò)誤劃分到正??臻g序列中。
圖8a和圖8b分別示出了采用本發(fā)明實(shí)施例提取的26號(hào)�、50號(hào)OD流的異?�?臻g序列示意圖���,可以看出在攻擊發(fā)生位置均準(zhǔn)確地提取到了攻擊流的相似性變化特征��,這種相似特征的存在具有強(qiáng)相關(guān)性�����。圖9為依據(jù)本發(fā)明實(shí)施例對(duì)第三周26號(hào)�、50號(hào)OD流加入DDoS攻擊后的全局相關(guān)系數(shù)示意圖���,可以看出�,在1000采樣點(diǎn)位置�,全局相關(guān)系數(shù)數(shù)值突變���,急劇增長(zhǎng)接近1,準(zhǔn)確地反映了圖8a和圖8b所示的異?��?臻g序列�����,在1000采樣點(diǎn)位置附近����,所包含的異?��?臻g序列之間的強(qiáng)相關(guān)性�。
為了進(jìn)一步驗(yàn)證本發(fā)明實(shí)施例對(duì)DDoS攻擊的檢測(cè)效果�,可以在采集到的數(shù)據(jù)中分別注入非周期性和周期性的DDoS攻擊流,在注入攻擊流時(shí)�,依照以下原則注入攻擊流大小與正常的OD流的均值成正比;注入的攻擊流在時(shí)間域上不表現(xiàn)出明顯的攻擊痕跡���;不在同一時(shí)間注入�。
例如,對(duì)于第6周數(shù)據(jù)中注入非周期性DDoS攻擊��,以節(jié)點(diǎn)4為受害者前端路由器所連接的PoP節(jié)點(diǎn)�����,76�、88、100��、112和136號(hào)OD流以該節(jié)點(diǎn)作為目的端���,分別在400�����、900和1600時(shí)刻點(diǎn)附近隨機(jī)選擇一個(gè)異常注入點(diǎn),分別注入白噪聲��、增速攻擊����、勻速攻擊,每種攻擊的持續(xù)時(shí)間是100個(gè)采樣點(diǎn)���。圖10a示出了第六周的112號(hào)OD流注入非周期攻擊前的流量示意圖���,圖10b示出了第六周的112號(hào)OD流注入非周期攻擊后的流量示意圖��。圖11a示出了第六周的124號(hào)OD流注入非周期攻擊前的流量示意圖����;圖11b示出了第六周的124號(hào)OD流注入非周期攻擊后的流量示意圖���。
圖12示出了本發(fā)明實(shí)施例對(duì)上述非周期DDoS攻擊的檢測(cè)結(jié)果����。其中�����,直線01表示報(bào)警門(mén)限(取α=3)����,曲線02為正常流量直接求取全局相關(guān)系數(shù),曲線03為正常流量求取預(yù)測(cè)差后的相關(guān)系數(shù)即異?���?臻g序列的相關(guān)系數(shù)���。該圖可以直觀顯示曲線02大部分在報(bào)警門(mén)限上方,很明顯未能去除正?���?臻g的相關(guān)性;曲線03與曲線02相比��,具有以下特點(diǎn)(1)波動(dòng)程度小��,這是因?yàn)橥ㄟ^(guò)將預(yù)測(cè)值與實(shí)際值相減及異?��?臻g序列的提取����,減小了正常流量相關(guān)性對(duì)結(jié)果的影響��;(2)出現(xiàn)一個(gè)整體下移現(xiàn)象���,且相關(guān)系數(shù)數(shù)值上的相對(duì)大小信息仍然得到保留,這一點(diǎn)可以說(shuō)明���,預(yù)測(cè)誤差的存在對(duì)檢測(cè)結(jié)果并不存在較大影響�����;(3)注入攻擊前后變化劇烈����,在攻擊注入前,曲線03變化緩慢��,波動(dòng)很小�,攻擊注入后,曲線03變化劇烈�,在對(duì)應(yīng)的攻擊注入位置均超過(guò)報(bào)警門(mén)限,三種攻擊均被檢測(cè)出���。
對(duì)第17周數(shù)據(jù)中注入周期性DDoS攻擊����,在76���、88���、100、112��、124和136號(hào)OD流的400、800和1400時(shí)刻點(diǎn)附近隨機(jī)選擇一個(gè)異常注入點(diǎn)���,分別注入周期性增速攻擊�����、中頻周期攻擊和高頻周期攻擊���,每種攻擊的持續(xù)時(shí)間是100個(gè)采樣點(diǎn)。圖13a和圖13b分別示出了第17周的76號(hào)OD流注入周期性攻擊前后的流量示意圖�;圖14a和圖14b分別示出了第17周的124號(hào)OD流注入周期性攻擊前后的流量示意圖。檢測(cè)結(jié)果如圖15所示�����,從圖中可以看出�����,在加入了攻擊位置的相關(guān)系數(shù)都發(fā)生了明顯變化�����,三種攻擊都沒(méi)成功檢測(cè)出���。
從上述描述可以看出�,本發(fā)明實(shí)施例與現(xiàn)有技術(shù)相比���,具有以下優(yōu)點(diǎn)和特點(diǎn) 1��、通過(guò)求取OD流預(yù)測(cè)值與實(shí)際值的差值提取異?����?臻g序列�����,克服了PCA方法無(wú)法檢測(cè)相關(guān)攻擊流的問(wèn)題����; 2��、針對(duì)DDoS攻擊流在空間分散但是具有強(qiáng)相關(guān)性的特點(diǎn)��,采用多個(gè)OD流異?����?臻g序列的相關(guān)性分析后,進(jìn)行檢測(cè)�,能夠檢測(cè)出單條流量上幅值很小的攻擊流; 3��、與現(xiàn)有的基于PCA的多數(shù)全局檢測(cè)方法只能進(jìn)行集中式計(jì)算相比�����,本發(fā)明實(shí)施例可以從局部節(jié)點(diǎn)進(jìn)行計(jì)算����,有助于減輕中心節(jié)點(diǎn)的工作負(fù)擔(dān),提高整個(gè)檢測(cè)過(guò)程的計(jì)算速度��,降低局部節(jié)點(diǎn)與中心節(jié)點(diǎn)間的通信負(fù)載�����。
針對(duì)上述方法部分的實(shí)施例�,本發(fā)明同時(shí)還公開(kāi)了一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)。
請(qǐng)參考圖16�����,為本發(fā)明一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)實(shí)施例一的結(jié)構(gòu)示意圖。
本檢測(cè)系統(tǒng)包括異?���?臻g序列提取單元111����、第一計(jì)算單元112、信息獲取單元113����、第二計(jì)算單元114和信息處理單元115。
其中 所述異?��?臻g序列提取單元111和第一計(jì)算單元112設(shè)置在網(wǎng)絡(luò)的各局部節(jié)點(diǎn)10上�,也即網(wǎng)絡(luò)中每個(gè)局部節(jié)點(diǎn)10均包含所述異?�?臻g序列提取單元111和第一計(jì)算單元112��。
所述異?��?臻g序列提取單元111���,用于提取以本節(jié)點(diǎn)為目的端的各OD流的異常空間序列。
所述第一計(jì)算單元112�����,用于計(jì)算所述各OD流的異?���?臻g序列之間的相關(guān)系數(shù)。
所述信息獲取單元113�、第二計(jì)算單元114和信息處理單元115設(shè)置在網(wǎng)絡(luò)的中心節(jié)點(diǎn)20上。
所述信息獲取單元113��,用于獲取各局部節(jié)點(diǎn)計(jì)算得出的相關(guān)系數(shù)����。
所述第二計(jì)算單元114,用于依據(jù)所述信息獲取單元113獲取的相關(guān)系數(shù)�,計(jì)算全局相關(guān)系數(shù)。
所述信息處理單元115�����,用于獲取所述第二計(jì)算單元114的計(jì)算結(jié)果�����,將其與預(yù)設(shè)報(bào)警門(mén)限進(jìn)行比較,并當(dāng)計(jì)算結(jié)果大于所述報(bào)警門(mén)限時(shí)�,確認(rèn)發(fā)生攻擊,進(jìn)行報(bào)警����。
本發(fā)明實(shí)施例的工作原理和工作過(guò)程如下 各局部節(jié)點(diǎn)10中的異??臻g序列提取單元111提取以本節(jié)點(diǎn)為目的端的各OD流的異常空間序列��,并由所述第一計(jì)算單元112計(jì)算所述各OD流的異??臻g序列之間的相關(guān)系數(shù)。中心節(jié)點(diǎn)20中的信息獲取單元113獲取各個(gè)局部節(jié)點(diǎn)計(jì)算得出的相關(guān)系數(shù)����,由所述第二計(jì)算單元114計(jì)算出全局相關(guān)系數(shù),然后由信息處理單元115將該全局相關(guān)系數(shù)與預(yù)設(shè)報(bào)警門(mén)限進(jìn)行比較����,并當(dāng)計(jì)算結(jié)果大于所述報(bào)警門(mén)限時(shí),確認(rèn)發(fā)生攻擊��,進(jìn)行報(bào)警����。
所述第二計(jì)算單元114計(jì)算全局相關(guān)系數(shù)的過(guò)程請(qǐng)參考前文方法部分的相關(guān)描述。
圖17示出了本發(fā)明一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)實(shí)施例二的異常空間序列提取單元的結(jié)構(gòu)示意圖��。
所述異??臻g序列提取單元111包括 第一處理單元1111,用于依照預(yù)先建立的時(shí)間序列模型對(duì)各OD流下一時(shí)刻的流量進(jìn)行預(yù)測(cè)���,得到預(yù)測(cè)值����; 第二處理單元1112��,用于將所述預(yù)測(cè)值與實(shí)際值的差值確定為可能包含攻擊的異?��?臻g序列����,并進(jìn)行提取�。
具體的提取過(guò)程可參照前文方法部分的描述。
圖18示出了本發(fā)明一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)實(shí)施例三的第一計(jì)算單元112的結(jié)構(gòu)示意圖�。
所述第一計(jì)算單元112包括第一計(jì)算子單元1121和第二計(jì)算子單元1122。
其中 所述第一計(jì)算子單元1121��,用于計(jì)算任意兩條OD流異?����?臻g序列的相關(guān)系數(shù)。
所述第二計(jì)算子單元1122����,計(jì)算所述相關(guān)系數(shù)的平均值,將其確定為所述目的端相同的各OD流的異?��?臻g序列之間的相關(guān)系數(shù)���。
具體的過(guò)程可以參照前文方法部分的相關(guān)描述�。
在另外的實(shí)施例中,所述第一計(jì)算單元112計(jì)算目的端相同的OD流的異?����?臻g序列之間的相關(guān)系數(shù)的具體方式可以通過(guò)K-L變換進(jìn)行�����,也即通過(guò)K-L變換提取多條OD流異?�?臻g中的強(qiáng)相關(guān)部分作為全局相關(guān)系數(shù)���。具體過(guò)程可以參照前文方法部分的相關(guān)描述���,在此不再贅述��。
本領(lǐng)域技術(shù)人員可以理解�����,可以使用許多不同的工藝和技術(shù)中的任意一種來(lái)表示信息��、消息和信號(hào)��。例如��,上述說(shuō)明中提到過(guò)的消息���、信息都可以表示為電壓、電流��、電磁波��、磁場(chǎng)或磁性粒子�����、光場(chǎng)或以上任意組合。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程�,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序在執(zhí)行時(shí)����,可包括如上述各方法的實(shí)施例的流程。其中����,所述的存儲(chǔ)介質(zhì)可為磁碟、光盤(pán)���、只讀存儲(chǔ)記憶體(Read-OnlyMemory,ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory�����,RAM)等���。
對(duì)所公開(kāi)的實(shí)施例的上述說(shuō)明���,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明���。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專(zhuān)業(yè)技術(shù)人員來(lái)說(shuō)將是顯而易見(jiàn)的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下�,在其它實(shí)施例中實(shí)現(xiàn)。因此����,本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開(kāi)的原理和新穎特點(diǎn)相一致的最寬的范圍����。
權(quán)利要求
1、一種分布式拒絕服務(wù)攻擊的檢測(cè)方法�����,其特征在于�,包括
提取目的端相同的OD流的異常空間序列�;
計(jì)算所述目的端相同的各OD流的異常空間序列之間的相關(guān)系數(shù)���;
依據(jù)所述相關(guān)系數(shù)計(jì)算全局相關(guān)系數(shù)����;
當(dāng)所述全局相關(guān)系數(shù)大于預(yù)設(shè)報(bào)警門(mén)限時(shí),確認(rèn)發(fā)生攻擊��,進(jìn)行報(bào)警�。
2、如權(quán)利要求1所述的檢測(cè)方法����,其特征在于,提取目的端相同的OD流的異?�?臻g序列包括
依照預(yù)先建立的時(shí)間序列模型對(duì)各OD流下一時(shí)刻的流量進(jìn)行預(yù)測(cè)���;
將預(yù)測(cè)值與實(shí)際值的差值確定為可能包含攻擊的異?����?臻g序列�����,并進(jìn)行提取。
3����、如權(quán)利要求1或2所述的檢測(cè)方法�,其特征在于��,計(jì)算所述目的端相同的各OD流的異?��?臻g序列之間的相關(guān)系數(shù)包括
計(jì)算任意兩條OD流異?�?臻g序列的相關(guān)系數(shù)�;
計(jì)算所述相關(guān)系數(shù)的平均值��,將其確定為所述目的端相同的各OD流的異?��?臻g序列之間的相關(guān)系數(shù)����。
4���、如權(quán)利要求3所述的檢測(cè)方法�,其特征在于����,計(jì)算任意兩條OD流之間的相關(guān)系數(shù)包括
設(shè)置兩個(gè)滑動(dòng)時(shí)窗w1和w2,分別對(duì)應(yīng)OD流異常空間序列Oid和Ojd�,所述滑動(dòng)時(shí)窗w1以時(shí)刻t為起始點(diǎn),截取Oid中長(zhǎng)度為w1的子段作為一個(gè)向量Vid(t�,w11;所述滑動(dòng)時(shí)窗w2以時(shí)刻tj為起始點(diǎn)����,截取Ojd中長(zhǎng)度為w1的子段作為另一個(gè)向量Vjd(tj,w1)���;
Ojd中tj每滑動(dòng)一次�,即可根據(jù)預(yù)設(shè)公式計(jì)算得出一個(gè)相關(guān)系數(shù)�,確定多個(gè)相關(guān)系數(shù)中數(shù)值最大的相關(guān)系數(shù)為上述Oid和Ojd的相關(guān)系數(shù)。
5����、如權(quán)利要求1所述的檢測(cè)方法,其特征在于�,計(jì)算所述目的端相同的各OD流的異常空間序列之間的相關(guān)系數(shù)包括通過(guò)K-L變換計(jì)算所述目的端相同的各OD流的異??臻g序列之間的相關(guān)系數(shù)。
6����、如權(quán)利要求1或2所述的檢測(cè)方法,其特征在于��,所述報(bào)警門(mén)限符合一個(gè)預(yù)設(shè)歷史時(shí)間段的相關(guān)系數(shù)分布情況����,該報(bào)警門(mén)限=m+α×δ,其中�����,α為預(yù)設(shè)門(mén)限系數(shù)�����,m為所述預(yù)設(shè)歷史時(shí)間段的相關(guān)系數(shù)的均值���,δ為標(biāo)準(zhǔn)差�。
7��、一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)���,其特征在于�����,包括
設(shè)置在網(wǎng)絡(luò)各個(gè)局部節(jié)點(diǎn)中的異??臻g序列提取單元和第一計(jì)算單元,及設(shè)置在網(wǎng)絡(luò)中心節(jié)點(diǎn)中的信息獲取單元��、第二計(jì)算單元和信息處理單元�����;
所述異?���?臻g序列提取單元,用于提取以所在節(jié)點(diǎn)為目的端的各OD流的異?����?臻g序列����;
所述第一計(jì)算單元,用于計(jì)算所述各OD流的異?���?臻g序列之間的相關(guān)系數(shù);
所述信息獲取單元�����,用于獲取各第一計(jì)算單元計(jì)算得出的相關(guān)系數(shù);
所述第二計(jì)算單元�,用于依據(jù)所述信息獲取單元獲取的相關(guān)系數(shù)����,計(jì)算全局相關(guān)系數(shù);
所述信息處理單元�,用于獲取所述第二計(jì)算單元的計(jì)算結(jié)果,將其與預(yù)設(shè)報(bào)警門(mén)限進(jìn)行比較���,并當(dāng)計(jì)算結(jié)果大于所述報(bào)警門(mén)限時(shí)��,確認(rèn)發(fā)生攻擊��,進(jìn)行報(bào)警�。
8�����、如權(quán)利要求7所述的檢測(cè)系統(tǒng)����,其特征在于�����,所述異?���?臻g序列提取單元包括
第一處理單元�����,用于依照預(yù)先建立的時(shí)間序列模型對(duì)各OD流下一時(shí)刻的流量進(jìn)行預(yù)測(cè)����,得到預(yù)測(cè)值;
第二處理單元��,用于將所述預(yù)測(cè)值與實(shí)際值的差值確定為可能包含攻擊的異?��?臻g序列�����,并進(jìn)行提取���。
9����、如權(quán)利要求7或8所述的檢測(cè)系統(tǒng)�,其特征在于,所述第一計(jì)算單元包括
第一計(jì)算子單元����,用于計(jì)算任意兩條OD流異?����?臻g序列的相關(guān)系數(shù)�;
第二計(jì)算子單元,計(jì)算所述相關(guān)系數(shù)的平均值��,將其確定為所述目的端相同的各OD流的異?�?臻g序列之間的相關(guān)系數(shù)�。
10、如權(quán)利要求7所述的檢測(cè)系統(tǒng)����,其特征在于,所述第一計(jì)算單元計(jì)算所述目的端相同的各OD流的異??臻g序列之間的相關(guān)系數(shù)是通過(guò)K-L變換進(jìn)行的����。
11�����、如權(quán)利要求7或8所述的檢測(cè)系統(tǒng)�,其特征在于,所述報(bào)警門(mén)限符合一個(gè)預(yù)設(shè)歷史時(shí)間段的相關(guān)系數(shù)分布情況����,該報(bào)警門(mén)限=m+α×δ,其中��,α為預(yù)設(shè)門(mén)限系數(shù)�,m為所述預(yù)設(shè)歷史時(shí)間段的相關(guān)系數(shù)的均值,δ為標(biāo)準(zhǔn)差�����。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種分布式拒絕服務(wù)攻擊的檢測(cè)方法�����,包括提取目的端相同的OD流的異??臻g序列�;計(jì)算所述目的端相同的各OD流的異?���?臻g序列之間的相關(guān)系數(shù);依據(jù)所述相關(guān)系數(shù)計(jì)算全局相關(guān)系數(shù)���;當(dāng)所述全局相關(guān)系數(shù)大于預(yù)設(shè)報(bào)警門(mén)限時(shí)�����,確認(rèn)發(fā)生攻擊,進(jìn)行報(bào)警�。本發(fā)明同時(shí)還公開(kāi)了一種分布式拒絕服務(wù)攻擊的檢測(cè)系統(tǒng)。本發(fā)明實(shí)施例克服了PCA方法無(wú)法檢測(cè)相關(guān)攻擊流的問(wèn)題���,并能夠檢測(cè)出單條流量上幅值很小的攻擊流����;另外�����,與現(xiàn)有的基于PCA的多數(shù)全局檢測(cè)方法只能進(jìn)行集中式計(jì)算相比����,本發(fā)明實(shí)施例可以從局部節(jié)點(diǎn)進(jìn)行計(jì)算�����,有助于減輕中心節(jié)點(diǎn)的工作負(fù)擔(dān)�,提高整個(gè)檢測(cè)過(guò)程的計(jì)算速度����,降低局部節(jié)點(diǎn)與中心節(jié)點(diǎn)間的通信負(fù)載。
文檔編號(hào)H04L12/24GK101388885SQ200810134728
公開(kāi)日2009年3月18日 申請(qǐng)日期2008年7月23日 優(yōu)先權(quán)日2008年7月23日
發(fā)明者李宗林, 胡光岷, 松 楊 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司, 電子科技大學(xué)