CN102271068B - 一种dos/ddos攻击检测方法 - Google Patents

Abstract

本发明公开了一种DOS/DDOS攻击检测方法。本发明的方法首先从网络流数据中提取需要的流量特征参数，通过分析流量特征参数确定异常时间点并构建历史时间窗，然后找出异常时间点流量最大的前N个目的IP，通过分析历史时间窗内包含各选出目的IP的子流确定异常目的IP，最后确认攻击并识别出异常流。本发明的方法有别于传统的逐包分析的方法，适应了骨干网络流量巨大的特点，能满足骨干网络异常检测的实时性要求，能较为精确的检测出骨干网络中的DoS/DDoS攻击，能识别出骨干网络中的攻击流，从而使网络管理者能够及时地在路由器进行设置，过滤掉攻击者发送的流量，防止其对目的主机造成危害。

Description

一种DOS/DDOS攻击检测方法

技术领域

本发明属于网络技术领域，特别涉及一种DOS/DDOS攻击检测方法。

背景技术

拒绝服务（Denial of Service，DoS）攻击是一种通过发送大量数据包使得计算机或网络无法提供正常服务的攻击形式。它可能在短时间内耗尽所有可用的网络资源或被攻击对象的系统资源，使得合法的用户请求无法通过或被处理，从而阻碍网络中的正常通信，给被攻击者乃至网络带来巨大的危害。

分布式拒绝服务（Distributed Denial of Service，DDoS）攻击是一种隐蔽的拒绝服务攻击，攻击中的数据包来自不同的攻击源。与DoS攻击相比，DDoS攻击在单条链路上的流量更小，难以被网络设备检测，因而更易于形成。另一方面，DDoS攻击汇聚后的异常流量总量很大，极具破坏力。目前，国内外已对网络中的DoS/DDoS攻击检测进行了大量研究，提出了很多方法。然而，这些方法大部分是基于一般的用户网络的，适用于骨干网中DoS/DDoS攻击检测的方法很少。现有的DoS/DDoS攻击检测方法按照数据源的不同主要可以分为两类：基于包信息的检测方法和基于网络流量特征的检测方法。以下对这两种方法进行简要介绍：

基于包信息的检测方法通过分析数据包中的特定信息或是用户日志等，建立判定规则，并根据实际的流量数据和这些规则的匹配关系来检测DoS/DDoS攻击。例如，在文献“S.E.Smaha,Haystack:An Intrusion Detection System.Proc,IEEE Fourth Aerospace ComputerSecurity Applications Conference,Orlando,FL,Dec.1988”提出的基于主机日志分析的统计方法通过对主机日志数据的分析，利用统计理论提取用户或系统正常行为的活动数据，从而建立起系统主体（单个用户、一组用户、主机甚至系统中某个关键程序和文件等）的正常行为特征。之后，若检测到系统中的日志数据与已建立的系统主体正常行为特征有较大出入，则认为系统可能遭到了攻击。这一类的检测方法检测粒度很细，其检测准确度也很高，并且能够追溯攻击源，在一般用户网络中的效果很好。然而，由于骨干网中的流量巨大，使用这种方法将耗费大量的时间，无法保证检测的实时性。

基于网络流量特征的检测方法对网络中的流进行分析，提取出流数据中的一些特征，与攻击发生时的数据特征相对照，从而判断是否发生了攻击。例如，Cheng等人在文献“Chen-Mou Cheng,Kung,H.T.,Koan-Sin Tan,Use of spectral analysis in defense against DoSattacks.Global Telecommunications Conference,2002”用一条流在定长的时隙内到达的数据包数作为信号，估算其功率谱密度，从中观察其周期性，基于正常的TCP流在其往返时间内在两个方向都会表现出较强的周期性这一性质来判断是否出现了攻击；P.Barford等人在文献“P.Barford,J.Lline,D.Plonka,A.Ron,A Signal Analysis of Network Traffic Anomalies.InProceedings,ACM SIGCOMM Internet Measurement Workshop,2002”首先对网络流量进行小波分析，区分出背景流量和异常流量，而后根据异常持续时间和信号频率的不同采用不同的方式来检测攻击。这类方法的检测粒度相对较粗，效率较高，可以做到实时检测，但使用这类方法难以准确识别出攻击流，并找出攻击者的确切IP地址，以便对攻击流进行过滤。其次，这类检测方法的准确度普遍不高，经常出现漏检。

发明内容

本发明的目的是为了解决现有的DoS/DDoS攻击检测方法存在的问题，提出了一种DOS/DDOS攻击检测方法。

本发明的技术方案是：一种DOS/DDOS攻击检测方法，具体包括如下步骤：

S1.从网络设备中获取网络中的流数据，从流数据中提取出流量特征参数;

S2.对步骤S1提取的流量特征参数进行处理，确定异常时间点，根据异常时间点进行扩展，形成历史时间窗；

S3.找出在异常时间点流量最大的前N个目的IP，对找出的每一目的IP，根据流量特征参数在异常时间点的变化与其在历史时间窗内的平均波动之比是否超过训练得到的阀值来判定该目的IP是否为异常目的IP；

所述流量特征参数包括流数量、包数量、字节数和服务率，其中，服务率用于反映节点响应用户访问的能力，具体定义为：

某IP在某时刻t的服务率=该IP在时刻t发送的数据包数/该IP在时刻t接收的数据包数；

S4.找出异常目的IP在历史时间窗内对应的源IP地址并统计这些源IP到该目的IP的流量大小，若某个源IP到该目的IP的流量变化高于给定阀值Ω₁，则标记为疑似DoS攻击，若存在多个源IP到该目的IP的流量变化之和高于给定阀值Ω₂，则标记为疑似DDoS攻击；然后判断标记的疑似DoS攻击或疑似DDoS攻击是否为DoS攻击或DDoS攻击。

本发明的有益效果：本发明的方法首先从网络流数据中提取需要的流量特征参数，通过分析流量特征参数确定异常时间点并构建历史时间窗，然后找出异常时间点流量最大的前N个目的IP，通过分析历史时间窗内包含各选出目的IP的子流确定异常目的IP，最后确认攻击并识别出异常流。本发明的方法有别于传统的逐包分析的方法，适应了骨干网络流量巨大的特点，能满足骨干网络异常检测的实时性要求，能较为精确的检测出骨干网络中的DoS/DDoS攻击，能识别出骨干网络中的攻击流，找出攻击者的确切IP，从而使网络管理者能够及时地在路由器进行设置，过滤掉攻击者发送的流量，防止其对目的主机造成危害。

附图说明

图1是本发明的攻击检测方法的流程示意图。

图2是本发明的攻击类型判断示意图。

具体实施方式

下面结合具体的实施例对本发明作进一步的阐述。

本发明的DOS/DDOS攻击检测方法首先提取出需要的流量特征参数，通过计算信息熵，按照提取流量特征参数——确定异常时间点——确定异常目的IP——识别异常流并判别攻击类型的顺序完成DoS/DDoS攻击的检测和异常流的识别，具体流程示意图如图1所示。

具体包括如下步骤：

S1.从网络设备中获取网络中的流数据，从流数据中提取出流量特征参数;

S2.对步骤S1提取的流量特征参数进行处理，确定异常时间点，根据异常时间点进行扩展，形成历史时间窗；

S3.找出在异常时间点流量最大的前N个目的IP，对找出的每一目的IP，根据流量特征参数在异常时间点的变化与其在历史时间窗内的平均波动之比是否超过训练得到的阀值来判定该目的IP是否为异常目的IP；

S4.找出异常目的IP在历史时间窗内对应的源IP地址并统计这些源IP到该目的IP的流量大小，若某个源IP到该目的IP的流量变化高于给定阀值Ω₁，则标记为疑似DoS攻击，若存在多个源IP到该目的IP的流量变化之和高于给定阀值Ω₂，则标记为疑似DDoS攻击；然后判断标记的疑似DoS攻击或疑似DDoS攻击是否为DoS攻击或DDoS攻击。

在步骤S1中，首先从网络设备中获取网络中的流数据，在这里以Netflow数据为例进行说明。在本实施例中，提取了以下流量特征参数：流数量，包数量，字节数，源/目的IP，源/目的自治域，目的端口号。

在提取的流量特征参数中，流数量、包数量和字节数从不同层次反映网络中各节点间的数据交换量，由于DoS/DDoS攻击会在攻击期间发出大量攻击包，因而大部分情况下会使网络中特定节点间的流数量、包数量和字节数上升，故这几项参数可作为DoS/DDoS攻击的依据之一；源/目的IP反映网络中数据的流向，根据这两个参数才能取得各主机间的流量，并判断攻击者和受害者；源/目的自治域反映节点的分布情况，目的端口号反映攻击的性质，主要用于将DoS/DDoS攻击和与其特征相似的其它网络异常区分开来。

在步骤S2中，对步骤S1提取的流量特征参数进行处理，确定异常时间点。具体为：计算待处理时刻的目的IP信息熵，若该时刻的目的IP信息熵小于前一时刻的目的IP信息熵，则判定该时刻为异常时间点，这里，也可以将所有目的IP熵小于前一时刻目的IP熵的时间点作为异常时间点，取异常时间点之前的k个时刻（k默认为5），形成历史时间窗；否则，则认为该时刻是正常的，继续计算下一时刻的目的IP熵。

信息熵标志着系统所含信息量的多少，是对系统不确定性的描述。信息熵定义如下:

$H\left(x\right)=-\underset{i=1}{\overset{N}{\mathrm{\Σ}}}(n_i/s){\log }_2(n_i/s)$

其中,X={n_i,i=1,…,N}表示在参数X的值为i的实例数为n_i，表示X的实例总数。

在大规模网络流量中，数据越集中的地方熵值越小，数据越分散的地方熵值越大。由于在DoS/DDoS攻击期间，一个或多个受害者会收到大量攻击包，即在此期间网络中流的目的IP相对集中，目的IP熵势必会迅速下降。基于这一点，有上述确定异常时间点的方式。本领域的普通技术人员应该意识到，还可以通过其它方式确定异常时间点。

在确定异常时间点后，之所以构建历史时间窗，是为了便于考查特定目的IP的流量以及相关参数在异常时刻之前一小段时间的变化趋势，由此判定该目的IP是否异常。

在步骤S3中，对于每个异常时间点，筛选出在该时间点的流量排名前N的目的IP（N可根据具体数据自行设置），之后，对于每个筛选出的目的IP，提取出在历史时间窗内各时刻包含该目的IP的子流，并统计其流量参数（默认选择流数量，包数量，字节数和服务率，也可只选一部分），接着由计算这些参数在异常时间点的变化与其在历史时间窗内的平均波动之比是否超过训练得到的阀值来判定该目的IP是否为异常目的IP。

遭受DoS/DDoS攻击的主机将会收到大量的攻击包，故其在异常时间点的流量较大。将异常时间点的所有目的IP按其流量大小（默认以流数量来反映其流量大小）进行降序排序，将排序后得到的前N（N的经验值为50）个目的IP作为疑似异常目的IP。这种筛选方法无法检测出某些特殊的DoS/DDoS攻击，例如周期性、小流量的隐蔽DDoS攻击，不过这一类DoS/DDoS攻击出现的概率很小，为了提高检测的效率，在本方案中还是采用了这种筛选方法。

在选定的流量参数中，流数量指NetFlow流的数量，一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源/目的端口号，故流数量反映了一对源/目的IP间在传输层的流量大小；包数量指同一源IP发给同一目的IP的数据包的个数，反映网络层的流量大小；字节数指同一源IP发给同一目的IP的字节数量，反映物理层的流量大小；这三个参数从不同的层次反映了同一时刻发往目的IP的流量大小，因而可以作为判断异常的标准。而这里的服务率，反映了节点响应用户访问的能力，这里将其定义为：

某IP在某时刻t的服务率=该IP在时刻t发送的数据包数/该IP在时刻t接收的数据包数；

由于被攻击的IP会收到大量的攻击包，且链路几乎完全被这些攻击包堵塞，因而发出的数据包将大大减少，故其服务率在被攻击期间也将大幅下降。因此，也可以将目的IP的服务率作为进行筛选的一项指标。

通过对流量参数进行处理，判别某目的IP是否异常的具体过程如下：

S31.设历史时间窗长度为k，获取该目的IP在历史时间窗内各时刻的流量参数值A_i,(i=1,2,…k)；

S32.计算该目的IP的各项流量参数在历史时间窗内的均值

S33.计算该目的IP的各项流量参数在历史时间窗内的平均波动A_var，计算公式如下：

$A_{\mathrm{var}}=\underset{i=1}{\overset{k}{\mathrm{\Σ}}}|A_i-\stackrel{\‾}{A}|/k$

S34.获取该目的IP在异常时刻的流量参数值A，计算当前波动与平均波动的比值rate，公式如下： $\mathrm{rate}=|A-\stackrel{\‾}{A}|/A_{\mathrm{var}};$

S35.将rate与预设定的门限值进行比较，若超过门限值，则判定为异常。

这里的预设定的门限值即训练得到的阀值，是通过使用历史数据进行训练来确定，流数量、包数量和字节数默认门限为2.2，服务率默认门限为6。

在步骤S4中，找出在历史时间窗内与异常目的IP对应的源IP及相应的流量，接着，试着寻找在异常时刻与该目的IP之间的流量变化非常大的源IP（默认判定规则为异常时刻流量参数值的变化量ΔA大于给定阀值Ω₁，对于流数量，Ω₁的默认值为1500；其中，A为该源IP在异常时刻与给定目的IP间的流量参数值，为该源IP在历史时间窗内与给定目的IP间的流量参数值的均值）。若能找到这样的源IP，则标记为疑似DoS攻击，所有找出的符合条件的源IP为攻击源；否则，试着找出在历史时间窗内某一时刻与该目的IP之间的流量较大的源IP。若满足条件的源IP有多个，且它们与目的IP间的总流量很大时，则标记为疑似DDoS攻击，找出的源IP就是攻击源（默认判定规则为首先找出满足以下条件的源IP：1.历史时间窗内各时刻的流量参数值A_i中至少有三个小于A；2.小于A的0.4倍。若所有满足以上条件的源IP的ΔA之和大于给定阀值Ω₂，则标记为疑似DDoS攻击。对于流数量，Ω₂的默认值为900）；若以上条件均不满足，则可能在该时刻有其它网络异常。对于标记的疑似DoS/DDoS攻击，还需结合之前取得的其它流特征参数，排除一些与DoS/DDoS攻击特征相似的网络异常，从而得到最终结果。具体为：可以利用端口号、自治域号等其它网络流量特征参数确认该异常是否是DoS/DDoS攻击，若疑似攻击不具有大文件传输、Flash Crowd等合法行为的特征，则判定为DoS攻击或DDoS攻击，具体如图2所示。之后，返回上一步，继续检测下一个目的IP。

DoS攻击是由单个或少量的攻击源发起的，为了达到攻击效果，攻击源与受害者之间的流量势必很大，攻击开始时的流量变化趋势也就很剧烈；相比DoS攻击，DDoS攻击的攻击源数目众多，单个攻击源与受害者之间的流量不算太大，但所有攻击源和受害者间的流量总和却很大，因此，采用上面的方法来标记DoS/DDoS攻击。

但是，有一些其它的网络异常也具有以上的特征，因此，还需要利用步骤S1得到的其它网络流量特征参数来将它们与DoS/DDoS攻击区分开来。例如，大文件传输具有与DoS攻击相似的特征，但绝大部分大文件传输都是针对5000-5050以及56117、1412等特定端口，而DoS攻击则主要对0、110、113以及1433等端口进行攻击，故可以通过异常流量的目的端口号对两者进行区分；又如Flash Crowd与DDoS特征相似，但Flash Crowd的攻击源数目虽多，但在逻辑拓扑上往往相对集中，而DDoS攻击的攻击源则广泛分布于互联网中各处。因此，可以通过反映节点分布的自治域这一参数来分辨两者，若攻击源集中在一个或几个自治域中，则判断为Flash Crowd，否则就认为是DDoS攻击。

本发明的方法保证了检测的实时性，又有较高的准确度，还要求能识别出攻击流，找出攻击者的确切IP，从而使网络管理者能够在路由器进行设置，过滤掉攻击者发送的流量，防止其对目的主机造成危害。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。

Claims (1)

1.一种DOS/DDOS攻击检测方法，其特征在于，包括如下步骤：

S1.从网络设备中获取网络中的流数据，从流数据中提取出流量特征参数；所述的流量特征参数具体为：流数量，包数量，字节数，源/目的IP，源/目的自治域，目的端口号和服务率；

S2.对步骤S1提取的流量特征参数进行处理，确定异常时间点，根据异常时间点进行扩展，形成历史时间窗；

S3.找出在异常时间点流量最大的前N个目的IP，对找出的每一目的IP，根据流量特征参数在异常时间点的变化与其在历史时间窗内的平均波动之比是否超过训练得到的阀值来判定该目的IP是否为异常目的IP；

所述服务率用于反映节点响应用户访问的能力，具体定义为：

某IP在某时刻t的服务率＝该IP在时刻t发送的数据包数/该IP在时刻t接收的数据包数；

S4.找出异常目的IP在历史时间窗内对应的源IP地址并统计这些源IP到该目的IP的流量大小，若某个源IP到该目的IP的流量变化高于给定阀值Ω₁，则标记为疑似DoS攻击，若存在多个源IP到该目的IP的流量变化之和高于给定阀值Ω₂，则标记为疑似DDoS攻击；然后判断标记的疑似DoS攻击或疑似DDoS攻击是否为DoS攻击或DDoS攻击；

步骤S3所述的判断目的IP是否为异常目的IP的具体过程如下：

S31.设历史时间窗长度为k，获取该目的IP在历史时间窗内各时刻的流量参数值A_i,(i＝1,2,…k)；

S32.计算该目的IP的各项流量参数在历史时间窗内的均值

S33.计算该目的IP的各项流量参数在历史时间窗内的平均波动A_var，计算公式如下：

$A_{\mathrm{var}}=\underset{i=1}{\overset{k}{\mathrm{\Σ}}}|A_i-\stackrel{\‾}{A}|/k$

S34.获取该目的IP在异常时刻的流量参数值A，计算当前波动与平均波动的比值rate，公式如下： $\mathrm{rate}=|A-\stackrel{\‾}{A}|/A_{\mathrm{var}};$

S35.将rate与预设定的门限值进行比较，若超过门限值，则判定为异常。