CN101510826A - 基于可视化的DDoS攻击检测方法 - Google Patents
基于可视化的DDoS攻击检测方法 Download PDFInfo
- Publication number
- CN101510826A CN101510826A CNA2008101542045A CN200810154204A CN101510826A CN 101510826 A CN101510826 A CN 101510826A CN A2008101542045 A CNA2008101542045 A CN A2008101542045A CN 200810154204 A CN200810154204 A CN 200810154204A CN 101510826 A CN101510826 A CN 101510826A
- Authority
- CN
- China
- Prior art keywords
- node
- center
- ddos attack
- time period
- central node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,涉及一种DDoS攻击检测方法。包括下列步骤:采集源数据;确定需要检测的中心结点、时间段k;读取源数据中与中心结点相关联的各个主机结点的源数据;统计时间段k各个主机结点与中心结点建立连接的频率值,通信量;计算各个主机结点与中心结点之间的距离;计算各个主机结点在屏幕上显示的坐标值;绘制与中心结点有通信连接的各个主机结点及其与中心结点间的连线,绘制DDoS攻击检测图形;根据屏幕显示,确定异常结点;根据异常结点的统计参数,分析中心结点在时间段k内是否收到攻击DDoS攻击以及攻击类型。本发明具有可操作性强,易于实现DDoS攻击检测的优点。
Description
技术领域
本发明属于网络安全技术领域,涉及一种DDoS攻击检测方法。
背景技术
随着计算机网络的飞速发展,计算机犯罪对全球造成了日益严重的威胁。犯罪学家预言未来信息化社会犯罪的形式将主要是计算机网络犯罪。与传统分析日志数据方法不同,可视化技术带来研究方法的变革。随着这几年网络的普及,像DDoS(分散式拒绝服务攻击)这类的攻击,具有大规模化、多样化的特征,同时由于其利用大范围的被控制主机进行攻击,所以具有较强的隐蔽性,难以进行回溯。网络信息的可视化不但能有效处理海量数据信息,而且能够通过图形化的表示对攻击和异常进行有效的显示,甚至对网络中潜在的威胁进行预警。
网络安全可视化要处理的往往是高维、无结构化的多变量数据,同时这些数据具有规模大、非数值型等特点;在数据的关联关系上面临着关系隐式化、时间依赖性强、类型多等困难;在绘制方面也没有统一的显示模型。
目前为止,各种DDoS攻击威胁着包括企业、机构以及个人的主机安全,而其之所以如此猖獗也主要是因为其特征并不是显而易见。对于DDoS的可视化模型的建立及攻击检测的实现,其难度就更为难上加难。众所周知,系统智能性越高,其可扩展性就相对越低,目前的科技水平,计算机并不可以完全替代人脑,需要在智能度和人工度之间做出一个平衡的选择,这样才能达到最为理想的效果。所以提供能够在一个合适的度上进行智能显示和实现DDoS攻击检测是十分必要的。
发明内容
本发明的目的是,克服现有技术的上述不足,提供一种能够在智能度和人工度之间做出平衡选择的方法建立DDoS可视化模型和实现攻击检测。为此,本发明采用如下的技术方案:
一种基于可视化的DDOS攻击检测方法,其特征在于,包括下列步骤:
(1)采集包括源IP、目的IP、目的端口、访问时间和数据包大小在内的源数据;
(2)确定需要检测的中心结点、时间段k;
(3)读取采集到的源数据中与中心结点相关联的各个主机结点的源数据;
(4)统计时间段k各个主机结点与中心结点建立连接的频率值,通信量;
(5)按照下列公式计算各个主机结点与中心结点之间的距离:
d=Fmax-Fmin...........................(1)
Runit=Rmax/d........................(2)
Rx=Fx*Runit...........................(3)
其中,Fmax为各个主机结点频率值中的最大值,Fmin为各个主机结点频率值中的最小值,Rmax为屏幕显示的最大半径,Runit为单位半径,Fx为统计结果中各个结点的频率值,Rx是各个结点的实际显示半径,即其与中心结点之间的距离;
(6)采用赋随机值的方法,计算各个主机结点在屏幕上显示的坐标值;
(7)按照所有主机结点中最大和最小通信量进行灰度映射,将各个结点在时间段k内的通信量映射成其与中心结点之间连线的灰度值;
(8)围绕中心结点,根据坐标值和连线灰度值,在计算机屏幕上绘制与中心结点有通信连接的各个主机结点及其与中心结点间的连线,绘制DDoS攻击检测图形;
(9)根据屏幕显示,确定异常结点;
(10)根据异常结点的统计参数,分析中心结点在时间段k内是否收到攻击DDoS攻击以及攻击类型。
本发明的可视化DDoS攻击检测方法,最好还包括下列步骤:
1)统计各个主机结点在时间段k内建立的与中心结点之间连接的端口数;
2)在绘制DDoS攻击检测图形时,将每个主机结点用同心圆表示,其色彩对比强烈程度表示涉及的端口数。
本发明提供的方法能够在智能度和人工度之间做出平衡选择,从而建立DDoS可视化模型和实现攻击检测。相对于现有技术而言,具有可操作性强,易于实现DDoS攻击检测的优点。
附图说明
图1是本发明的建立DDoS可视化系统的流程示意图;
图2是本发明采用的数据提取模块流程图;
图3计算机屏幕输出的Smurf类攻击测试结果图;
图4计算机屏幕输出的端口扫描测试效果图;
图5本发明的攻击检测方法综合应用效果图。
具体实施方式
本发明鉴于先前DDoS攻击检测可视化系统所具有的问题,提供了一个新型的可视化系统。在新的可视化系统中,我们用中心结点表示受监控的主机,用其它围绕它的结点表示其它主机。在这里,并将其算法原则可以总结为以下三条:
A.结点和中心结点的距离和该结点与中心主机间的通信频率有相同趋势。也就是说,如果一台主机与中心主机之间的连接通信过于频繁,它就会相对于中心结点距离更远。同样,如果像大多数正常连接一样,在较短时间内没有过于频繁的连接,那么,它将会分布在中心主机的相对不远的范围内。
B.主机结点和中心结点之间的连线表示在时间间隔K内通信数据量的大小。按照一定系数进行映射,通信数据量用不同灰度表示,颜色较深的表示通信数据量较大。
C.主机结点由若干同心圆组成,颜色的对比强烈程度代表着该连接中涉及的端口数量。即:如果在统计出的结果集里的结点中,相同IP涉及到的端口数量较多,那么对应的结点颜色对比度就会较为强烈。
下面将详细介绍本发明提出的DDoS可视化模型和如何利用它来实现攻击检测。
参见图1,该方法首先要对数据进行整理和统计。通过这一步的整理和统计,将为显示模型的坐标计算模块准备好基本的数据“原料”。源数据包括:源IP、目的IP、目的端口、时间和数据包大小等5个字段。采用的数据提取模块流程图见图2。其次,绘制表示主机的各结点。
结点有两个属性需要计算,一个是结点的位置,另一个是结点的颜色显示。在计算结点位置时,先计算其与中心结点的之间的距离。可以通过如下公式计算两个结点的距离:
d=Fmax-Fmin...........................(1)
Runit=Rmax/d........................(2)
Rx=Fx*Runit...........................(3)
其中,Fmax为结点中出现的最大频率,Fmin为结点中出现的最小频率。Rmax为屏幕显示的最大半径。用Rmax除以在(1)中算出来的d,就得到了单位半径Runit。Fx为统计结果中每个新结点的频率值,那么Fx与单位半径Runit相乘后就得到了Rx,即是每个新结点的实际显示半径。得出实际的显示半径之后,就要开始计算X的x,y值。在本模型里,生成x值时,可以采用赋随机值的方法。如下面公式所示:
X=Random()*Rx......................(4)
在得到R值和x值以后,即可通过如下方式计算y值:
它可以取两个值,这可以保证结点不重复。
在计算完结点的坐标后,就要计算结点与中心结点之间的连线了。两点间的连线体现该结点的主机与中心主机通信量的多少,对应到不同的灰度进行绘制。这需要对数据量和灰度全范围进行动态映射:
maxSize=maxViewMapDataSi ze
factor=255f/maxSize
s=255-PackageSize*factor
原理和结点的颜色映射是类似的,将255个灰度,和整体数据结点中最大、最小的数据量大小进行映射,算出单位值,那么每一个结点就可以通过乘以这个单位值即可得出相应的灰度值。
下面从两个方面说明如何利用本发明提供的可视化系统实现DDoS可视化攻击检测。●针对Smurf类攻击显示及分析
Smurf类攻击体现在较短时间内,受攻击主机会收到来自很多、大范围陌生IP的连接信息和数据包,这可能是由攻击者对某一些大范围网段的ping,将其源地址伪装成目的主机的IP造成的,也可能是DDoS中较为典型的“僵尸网络”式的攻击,攻击者通过控制很多主机,在一瞬间发布命令是其对某一台主机进行大强度的攻击等。这些类攻击本发明通称为Smurf类攻击,这类攻击的特征是在较短时间内主机与大量IP发生通信,而这些IP绝大多数是之前没有出现过的,测试结果如图3所示。
图3的显示结果是经过调整“显示系数”之后的结果,系统默认的效果会使大多数结点得到相对清晰的显示,但也可能会使真正异常的结点和正常结点无法区分,图中可以看出(虚线部分是本发明后加的注释),结果中有以下三种现象,本发明对其进行分析:
(1)外围有三个孤立的结点。用鼠标点击结点之后会弹出一个新的面板,显示的是这个结点的详细信息,其中可以看到点击结点一和结点二弹出的信息框中,涉及21和43969端口,并且有一定的不规则流量,可以推测用户很可能是在进行Ftp传输(21端口)、多点传输(类似BT之类的随机端口)等类似的数据传输服务,并不涉及异常攻击。
(2)在这三个孤立的结点上,结点1与中心主机的连线比结点二和结点三与中心主机的连线要深,可以更加有根据的推测,该用户可能在使用某种服务传输文件,特别是与59.247.12.45这个IP地址的43969端口。
(3)图3重点在解释图中中心主机周围的一圈分布很密的结点。在这些奇怪的结点中,随意用鼠标点击其中一些,可以看到,所有的结点IP都不相同,而且都是在K=1s的时间间隔内发生的通信行为,通过查看结点的详细信息,可以惊奇的发现,所有的结点都是在2008-4-2 18:05:02访问中心主机的“7”端口,并只进行一次连接,数据量也很小,通过经验知道,这可能是Echo信息,即某台主机收到Ping包后的反馈报文。由此就可以判断,这是一次Smurf类攻击。
以上是本发明对Smurf类的攻击检测,这并不局限于Echo信息的检测,攻击者也并在所有情况下都对一个端口进行攻击,但这类攻击的特征是显而易见的,就是在较短时间内会有大量陌生的IP进行连接,凡符合这样的特征,该模型都可以对其进行检测。
●针对端口扫描显示及分析
端口扫描是DDoS攻击的前期特征之一,特别是在其进行“肉鸡”抓取时,需要对要控制的主机进行端口扫描,而且通常是通过端口扫描进行的,寻找漏洞,再进行控制程序的注入,以便日后发布命令进行攻击。端口扫描本身可能并不会对某台主机造成致命的攻击和大强度破坏,正如前文所讲,检测并有效预防DDoS攻击者抓取控制主机,是非常有效的控制DDoS的方法。本发明对模型进行了测试,效果如图4。
从图中可以看出,非常明显有两个异常的结点,即结点1和结点2,这两个点与其他(结点群A)的区别在于,它们距离中心主机较远,并且更为显著的特征是结点的颜色层次很多,且与中心主机结点连接数据量较大。通过点击结点1、结点2和任意一个结点群A中的结点,可以看到结点的详细信息,详细信息包括:
通过查看详细信息,端口扫描的特征已经显露无疑,图中显示的只是很少一部分比例的信息,拖拽程序右边的滚动条可以继续查看其余的信息,上图已经省略。端口扫描中,每个端口中传输的数据量并不大,但由于端口扫描的范围很广,往往是1-65535的全范围扫描,所以在图中也一样会使得其与中心主机之间的连线较深,这其实也是其特征之一。当然,本节重点还是在结点颜色上,大量的端口使得结点颜色显得很繁杂,显而易见。通过这些特征,就可以很清楚的判断出攻击者的行为。
●综合应用显示及分析
在网络中,大多情况下是多种异常行为共存,因为网络是复杂的、公开的、共享的,这决定了网络中的行为是多种多样的,往往显示模型单纯为了充分利用显示空间,改变算法使显示元素充满所有显示区域,达到利用显示区域和美观的目的,但往往正是由于界面的过于饱满导致真正的异常无法清除显示,可视化模型的目的在于分离异常,将这些异常显示能够清楚独立于其他正常数据,特别是在数据混杂且数量很多的时候,尤其要将异常隔离出来,这才是有效地可视化效果。在综合应用显示中,测试结果如图5。正如期待的效果一样,虽然数据条目很大,但对于侦测攻击来说,是没必要将每一个点都清晰完整的呈现在用户面前,需要的只是将异常信息报告、显示即可,图中可见的异常结点有结点1、结点2和结点群A,通过分析可以知道,结点1无非是进行了一些大文件的传输,占了较大的带宽,单位传输量很大,但并非是异常攻击,只有结点群A和结点2是真正的异常,具体的原因已在上面两节进行了分析和阐述。
Claims (2)
1.一种基于可视化的DDOS攻击检测方法,其特征在于,包括下列步骤:
(1)采集包括源IP、目的IP、目的端口、访问时间和数据包大小在内的源数据;
(2)确定需要检测的中心结点、时间段k;
(3)读取采集到的源数据中与中心结点相关联的各个主机结点的源数据;
(4)统计时间段k各个主机结点与中心结点建立连接的频率值,通信量;
(5)按照下列公式计算各个主机结点与中心结点之间的距离:
d=Fmax-Fmin...........................(1)
Runit=Rmax/d........................(2)
Rx=Fx*Runit...........................(3)
其中,Fmax为各个主机结点频率值中的最大值,Fmin为各个主机结点频率值中的最小值,Rmax为屏幕显示的最大半径,Runit为单位半径,Fx为统计结果中各个结点的频率值,Rx是各个结点的实际显示半径,即其与中心结点之间的距离;
(6)采用赋随机值的方法,计算各个主机结点在屏幕上显示的坐标值;
(7)按照所有主机结点中最大和最小通信量进行灰度映射,将各个结点在时间段k内的通信量映射成其与中心结点之间连线的灰度值;
(8)围绕中心结点,根据坐标值和连线灰度值,在计算机屏幕上绘制与中心结点有通信连接的各个主机结点及其与中心结点间的连线,绘制DDoS攻击检测图形;
(9)根据屏幕显示,确定异常结点;
(10)根据异常结点的统计参数,分析中心结点在时间段k内是否收到攻击DDoS攻击以及攻击类型。
2.根据权利要求1所示的可视化DDoS攻击检测方法,其特征在于,还包括下列步骤:
1)统计各个主机结点在时间段k内建立的与中心结点之间连接的端口数;
2)在绘制DDoS攻击检测图形时,将每个主机结点用同心圆表示,其色彩对比强烈程度表示涉及的端口数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101542045A CN101510826B (zh) | 2008-12-17 | 2008-12-17 | 基于可视化的DDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101542045A CN101510826B (zh) | 2008-12-17 | 2008-12-17 | 基于可视化的DDoS攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101510826A true CN101510826A (zh) | 2009-08-19 |
CN101510826B CN101510826B (zh) | 2010-12-22 |
Family
ID=41003093
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101542045A Expired - Fee Related CN101510826B (zh) | 2008-12-17 | 2008-12-17 | 基于可视化的DDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101510826B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102299911A (zh) * | 2011-06-22 | 2011-12-28 | 天津大学 | 基于同心轴多维数据可视化模型检测DDos攻击的方法 |
CN109478219A (zh) * | 2016-03-15 | 2019-03-15 | 戴特威瑟公司 | 用于显示网络分析的用户界面 |
CN110225006A (zh) * | 2019-05-27 | 2019-09-10 | 国家计算机网络与信息安全管理中心 | 网络安全数据可视化方法、控制器和介质 |
CN110336785A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 网络攻击链图的可视化方法及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100384149C (zh) * | 2005-11-11 | 2008-04-23 | 上海交通大学 | 突发性异常网络流量的检测与监控方法 |
EP1926277A1 (en) * | 2006-11-24 | 2008-05-28 | Matsushita Electric Industrial Co., Ltd. | Method for mitigating denial of service attacks against a home agent |
CN101217377B (zh) * | 2008-01-18 | 2010-12-22 | 南京邮电大学 | 基于改进的序列尺度调整的分布式拒绝服务攻击检测方法 |
CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
-
2008
- 2008-12-17 CN CN2008101542045A patent/CN101510826B/zh not_active Expired - Fee Related
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102299911A (zh) * | 2011-06-22 | 2011-12-28 | 天津大学 | 基于同心轴多维数据可视化模型检测DDos攻击的方法 |
CN102299911B (zh) * | 2011-06-22 | 2014-04-30 | 天津大学 | 基于同心轴多维数据可视化模型检测DDos攻击的方法 |
CN109478219A (zh) * | 2016-03-15 | 2019-03-15 | 戴特威瑟公司 | 用于显示网络分析的用户界面 |
CN110336785A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 网络攻击链图的可视化方法及存储介质 |
CN110225006A (zh) * | 2019-05-27 | 2019-09-10 | 国家计算机网络与信息安全管理中心 | 网络安全数据可视化方法、控制器和介质 |
CN110225006B (zh) * | 2019-05-27 | 2022-01-04 | 国家计算机网络与信息安全管理中心 | 网络安全数据可视化方法、控制器和介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101510826B (zh) | 2010-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Labib et al. | NSOM: A real-time network-based intrusion detection system using self-organizing maps | |
Ball et al. | Home-centric visualization of network traffic for security administration | |
Shiravi et al. | A survey of visualization systems for network security | |
Koike et al. | Visualizing cyber attacks using IP matrix | |
Lung-Yut-Fong et al. | Distributed detection/localization of change-points in high-dimensional network traffic data | |
CN106034056A (zh) | 一种业务安全分析的方法和系统 | |
CN106506486A (zh) | 一种基于白名单矩阵的智能工控网络信息安全监控方法 | |
CN101510826B (zh) | 基于可视化的DDoS攻击检测方法 | |
CN103746885A (zh) | 一种面向下一代防火墙的测试系统和测试方法 | |
KR20010085057A (ko) | 네트워크 흐름 분석에 의한 침입 탐지 장치 | |
Ren et al. | IDGraphs: intrusion detection and analysis using histographs | |
CN106254318A (zh) | 一种网络攻击分析方法 | |
Ji et al. | Evaluating visualization approaches to detect abnormal activities in network traffic data | |
CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
CN113938401A (zh) | 一种舰艇网络安全可视化系统 | |
Goodall et al. | A user-centered approach to visualizing network traffic for intrusion detection | |
Ohnof et al. | IPMatrix: An effective visualization framework for cyber threat monitoring | |
CN108923954A (zh) | 一种网络数据可视化分析及展示系统 | |
Chang et al. | An efficient network attack visualization using security quad and cube | |
CN107483413A (zh) | 基于云计算的双向入侵检测系统及方法、认知无线电网络 | |
Yu et al. | A visualization analysis tool for DNS amplification attack | |
Yang et al. | Botnet detection based on machine learning | |
Li et al. | The research on network security visualization key technology | |
CN115913632A (zh) | 一种工业控制系统蜜网集群部署方法 | |
Langin et al. | ANNaBell Island: a 3D color hexagonal SOM for visual intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101222 Termination date: 20201217 |
|
CF01 | Termination of patent right due to non-payment of annual fee |