原创基于MFF时间序列预测的分布式拒绝服务攻击

Posted 2021-05-02 夏安日记

分布式拒绝服务（Distributed Denial-of-Service, DDoS）攻击是目前最具有破坏力的一种网络攻击.当前检测方法存在检测攻击类型单一、漏报率和误报率较高等问题.本文提出一种基于时间序列预测的DDoS攻击检测方法,定义多特征融合（MFF，Multi-feature Fusion）的IP协议特征来表征正常时的网络流特征,采用时间序列ARIMA模型对MFF序列进行建模并基于该模型对待测流进行预测,利用傅里叶级数对预测偏差进行修正,最后对正常流设置阈值并建立傅里叶误差修正的MFF-ARIMA检测模型来识别DDoS攻击.实验结果表明该方法能够准确地区分正常流量和攻击流量,与同类方法相比, 能较早地检测出DDoS攻击,且具有较高的检测率和较低的误报率.

Distributed denial of service (DDoS) attack is one of the mostdestructive cyber attacks at present.Current detection methods havethe problems of single detection, low false negative rate and high falsepositive rate. In this paper, a method of DDoS attack detection based on timeseries prediction is proposed. The IP protocol characteristics of multiplefeature fusion (MFF) are defined to represent the network traffic characteristics at the normaltime. Using time series ARIMA model to modeling the MFF sequence and predictsthe measurement flow based on this model. And Fourier series is used to correctthe prediction deviation. Finally, the threshold for normal flow is set up anda MFF-ARIMA detection model based on Fourier error correction is established torecognize DDoS attacks. Experimental results show that the proposed method canaccurately distinguish normal traffic and attack traffic, compared with othermethods, can early detect DDoS attacks, and has higher detection rate and lowerfalse positive rate.

Internet在全球的迅猛发展给人们的生活带来了巨大的变化，它已经把人们的学习、工作、生活紧密地联系在一起，人类社会进入了一个崭新的信息化时代。而信息化社会在为人们带来诸多便利的同时，也带来了许多安全性的问题。其中，信息安全就是一个突出的问题。现如今，网络安全事件发生的频率不断升高，攻击手段越来越复杂，计算机网络的保密性、完整性和可用性受到严峻的考验。分布式拒绝服务（distributed denial of service, DDoS）攻击是一种由拒绝服务攻击衍生出来的攻击技术^[1]。攻击者借助于客户或服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而增强攻击的威力^[2]。DDoS攻击的破坏性大、危害广、发生的频率和设计复杂度不断增加，已成为当今因特网的最主要威胁之一^[3]。2016年我国境内共发生DDoS攻击22万次，与2015年同期相比增长了18.6%，全年峰值超过300Gbps的超大流量攻击有358次，其中2016年第四季度发生的大于50Gbps的大流量攻击次数高达9718次^[4]。因此，分布式拒绝服务攻击已成为影响网络安全的一个不容忽视的问题，对DDoS攻击的检测进行深入分析研究就显得必要和紧迫。

为降低DDoS攻击对互联网的危害，不少学者在DDoS攻击的入侵检测上做出了很多努力。但是随着网络技术的不断发展，DDoS攻击手段越来越复杂多样，攻击的速度也越来越快。这使得一些基于单一网络流特征的DDoS攻击检测方法难以检测出多种类型的DDoS攻击，而多特征的DDoS攻击检测方法由于算法的复杂性，其检测效果存在一定的滞后性。因此，尽早、准确地识别DDoS攻击显得更加困难，使得人们无法及时地获取DDoS攻击入侵警报。

本文第1节介绍相关研究成果。第2节是DDoS攻击特征分析。第3节介绍分类特征的融合算法。第4节详细描述了基于MFF的DDoS攻击检测方法。第5节是实验结果和分析。第6节是全文总结和展望。

1  相关研究现状

近年来，研究者提出了大量的分布式拒绝服务攻击检测方法。参考网络异常检测领域的分类方式^[5]，将已有的分布式拒绝服务攻击检测方法分为基于统计的DDoS攻击检测和基于分类的DDoS攻击检测两类。

(1)       基于统计的DDoS攻击检测

基于统计的DDoS攻击检测通过统计量表征由DDoS攻击引起的流量特征的变化或数据包信息结构的变化等，并设置阈值以界定是否发生攻击。其主要的研究包括熵、Hurst参数和流量矩阵等。David等^[6]提出了一种基于流分析的快速熵方法，通过比较多项式时间内的熵值变化实现统计检测。ZHANG Dong-mei等^[7]提出一种基于网络自相似性的DDoS攻击检测方法，通过实时建模和动态分析检测拒绝服务攻击发生前后网络流量自相似性参数Hurst的变化来检测DDoS攻击。Sang Min Lee等^[8]提出了一种改进的DDoS攻击检测方法，通过利用遗传算法（GA）来优化流量矩阵的参数，极大地提高了检测率。

(2)       基于分类的DDoS攻击检测

基于分类的DDoS攻击检测通过从网络流中提取特征样本序列，使用机器学习算法对训练样本进行学习，然后建立分类器模型，最后使用该模型对待测样本进行分类，区分待测样本中的网络正常流量和攻击流量以达到检测DDoS攻击的目的。其主要的研究有支持向量机（support vector machine，SVM）、朴素贝叶斯算法（Naïve Bayes，NB）和决策树等。Karnwal等^[9]人将一维的时序转换成多维的AR模型参数时序，采用支持向量机对数据流进行学习和分类。Tama等人^[10]利用异常检测的手段，根据报文头属性对网络数据流进行建模，采用朴素贝叶斯算法给每个到达的数据流评分，评价报文的合理性。Rabia Latif等^[11]针对传感器产生数据时噪音对准确度的影响，提出了一种增强的决策树算法，可以有效地检测云辅助WBAN中DDoS攻击的发生。

本文提出的多特征融合的IP协议特征可以很好地解决时间序列预测方法在DDoS攻击检测上存在的问题。本文采用了与文献[14]不同的单一网络流特征算法，针对不同协议下网络流的不同特性，分别提取3种协议的流量特征，然后根据多特征融合算法对3种协议的流量特征进行融合。基于多特征融合的DDoS攻击检测方法与单一网络流特征的检测方法相比，能更充分地利用报文信息，提高DDoS攻击检测的检测率，与多特征的检测方法相比，其算法复杂度低，计算开销较小，具有时效性。

另一方面，为提高MFF时间序列建模DDoS攻击检测的实时性，我们采用ARIMA模型动静结合的方法来对未来的样本进行预测。但由于该动静结合预测方法在预测样本数量过大时会出现偏差累积的问题，使得检测率降低，所以我们在第一次预测结束后，利用傅里叶级数对首次预测的偏差进行预测，然后再根据预测偏差进行最终预测，从而达到修正偏差的效果。因此，本文提出的傅里叶误差修正MFF-ARIMA检测模型，可以很好地提高DDoS攻击检测的时效性和鲁棒性。

本站所有文章均为原创,转载请注明出处