CN105208037B - 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 - Google Patents

一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 Download PDF

Info

Publication number
CN105208037B
CN105208037B CN201510652229.8A CN201510652229A CN105208037B CN 105208037 B CN105208037 B CN 105208037B CN 201510652229 A CN201510652229 A CN 201510652229A CN 105208037 B CN105208037 B CN 105208037B
Authority
CN
China
Prior art keywords
attack
feature
detection
dos
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510652229.8A
Other languages
English (en)
Other versions
CN105208037A (zh
Inventor
扈红超
姜宏
陈庶樵
杜飞
王雨
马海龙
张震
程国振
张明明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201510652229.8A priority Critical patent/CN105208037B/zh
Publication of CN105208037A publication Critical patent/CN105208037A/zh
Application granted granted Critical
Publication of CN105208037B publication Critical patent/CN105208037B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明公开了一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法,克服了现有技术中,入侵检测准确率仍需提高的问题。该发明包括:步骤1.基于时间窗的流量预警;步骤2.异常流量特征处理;步骤3.基于规则匹配的快速攻击检测;步骤4.未知类型攻击的挖掘与检测;步骤5.基于IP列表的攻击过滤。与现有技术相比,本发明通过轻量级入侵检测技术结合特征选择,基本解决了原有基于分类检测的DoS/DDoS攻击检测方法实时性差的问题;通过结合在线增量学习和特征选择,解决了未匹配预建攻击模式的未知类型攻击检测问题。

Description

一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
技术领域
该发明涉及计算机网络安全领域的一种数据检测方法,特别是涉及一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法。
背景技术
拒绝服务(Denial of Service,DoS)攻击是一种阻止合法用户正常访问目标服务的网络攻击,它具有两种攻击形式,一种是利用目标系统的软件脆弱性,通过向目标主机发送畸形报文致使系统崩溃等;另一种是向目标持续发送大量无用报文,以此占用目标的带宽资源和主机资源。目前,通常所说的DoS攻击指的是第二种,又称为泛洪(flooding)攻击。
近年来,随着计算机硬件技术的发展,为了增大攻击强度,攻击者通过控制网络中多台不同位置的主机同时向受害者实施DoS攻击,即分布式拒绝服务(Distributed Denialof Service,DDoS)攻击。其中被控制的主机称为傀儡机(zombies),由傀儡机组成的网络称为僵尸网络。利用僵尸网络和受害者间资源的不对称,DDoS攻击可产生庞大的攻击流量,其破坏力远超DoS攻击。
作为一种入侵检测机制,DoS/DDoS攻击检测通过分析被保护对象的信息,从而判别网络中是否存在DoS/DDoS攻击行为,通常包括数据采集、特征提取和攻击检测三个阶段。数据采集是指在计算机网络系统的若干关键节点(如网络出入口、服务器等)收集用户行为信息,具体可包括网络流量、应用程序日志等;特征提取是指从采集的信息中提取一定的流量和行为特征;攻击检测则是根据提取的特征,采用模式匹配、统计分析、机器学习等手段,判定是否发生攻击。
基于分类的DoS/DDoS攻击检测方法通过选取分类检测特征将流量抽象为特征样本序列,选取机器学习算法对训练样本进行学习,构建分类器模型,最后使用已构建的分类器对待测流量样本进行分类,将DoS/DDoS攻击检测转化为区分网络流量“正常”与“攻击”的二分类问题。例如在文献“Abbes T,Bouhoula A,Rusinowitch M,Efficient decisiontree for protocol analysis in intrusion detection.International Journal ofSecurity and Networks,2010”使用决策树分类器实现了攻击检测,电子科技大学的发明专利“基于数据挖掘技术的拒绝服务攻击防御方法”,申请号200710049921.7,使用了贝叶斯分类。解放军信息工程大学的发明专利“一种基于访问标记的应用层DDoS攻击的检测过滤方法”,申请号201210590828.8,使用了SVDD分类。但分类检测特征中固有的冗余信息增加了分类检测的计算和存储开销、影响了检测的实时性。
特征选择作为网络异常检测的数据预处理方式,能够有效地去除冗余特征、获得用于检测的最小特征子集,可以减少检测对数据存储和处理能力的消耗、提高处理能力。文献“KASHYAP H J,BHATTACHARYYA D K,A DDoS attack detection mechanism based onprotocol specific traffic features.Proceedings of the Second InternationalConference on Computational Science,Engineering and Information Technology,ACM,2012”,通过使用线性相关特征选择(LCFS)降低检测特征维度,大大提高了检测速度。文献“Li Y,Wang J L,Tian Z H,et al,Building lightweight intrusion detectionsystem using wrapper-based feature selection mechanisms.Computers&Security,2009”使用了轻量级入侵检测技术,即通过结合特征选择,提取具有高区分度的检测特征、降低检测特征维度,从而提升分类器的处理性能,建立准确性、实时性兼顾的检测系统。但现有的检测依赖于对已知攻击的学习,未知类型攻击的分类检测准确率仍需提高,以增强检测系统的适用性。
由此可见,现有的方案中仍然存在一些不足,基于分类检测的方法受限于冗余信息,导致检测资源的过度消耗,制约了检测的实时性;而结合特征选择的轻量级入侵检测技术虽然提升了检测处理速度,但未知攻击检测问题并未得到相应地解决。
发明内容
本发明克服了现有技术中,现有的入侵检测准确率仍需提高的问题,提供一种结构简单、使用方便的基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法。
本发明的技术解决方案是,提供一种具有以下步骤的基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法:具体包括如下步骤:步骤1.基于时间窗的流量预警;步骤2.异常流量特征处理;步骤3.基于规则匹配的快速攻击检测;步骤4.未知类型攻击的挖掘与检测;步骤5.基于IP列表的攻击过滤。
所述步骤1基于时间窗监测流量的到达情况,定位异常流量,当有突发访问或者流量激增的异常情况时触发后续机制。
所述步骤2将步骤1中存在的异常流量处理为检测特征样本序列,供后续步骤使用,典型的特征标准包括KDD CUP 99特征集、Moore特征集。
所述步骤3基于轻量级入侵检测的DoS/DDoS攻击匹配检测机制,由数据挖掘工具Weka进行特征选择,处理训练数据得到检测特征,实现步骤2中检测特征样本序列的快速匹配攻击检测,并输出特征样本对应的攻击源IP、攻击目标IP。
所述步骤4为预建正常流量模式,对步骤3中未匹配预建攻击模式的异常流量进行未知类型攻击检测,由具有在线增量学习功能的机器学习算法C4.5决策树构建分类器实现,检测得到的不符合正常模式的未知类型攻击经过特征选择作为未知类型攻击的检测特征,通过C4.5决策树的在线增量学习强化未知类型攻击样本的分类准确率,进一步提升未知类型攻击的分类检测效果,并输出攻击源IP、攻击目标IP。
所述步骤5由步骤3和步骤4中输出的攻击源IP、攻击目标IP,建立攻击流量过滤表,进行攻击流量的过滤,过滤不仅作用于当前时间窗,而是通过维护恶意攻击源IP列表,过滤攻击源IP的后续访问。
与现有技术相比,本发明基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法具有以下优点:1.具有高效性,可以准确实时地处理DoS/DDoS攻击;2.具有可维护性,可以更新维护流量预警方式、检测特征标准、基于规则的攻击匹配库、基于Weka的特征选择和在线增量学习算法等;3.具有可移植性,数据挖掘工具Weka基于java实现;4.能够有效区分正常流量和异常流量,可以提高对未知类型攻击的检测效果。
该攻击检测和过滤方法主要解决了两个问题:1.通过轻量级入侵检测技术结合特征选择,基本解决了原有基于分类检测的DoS/DDoS攻击检测方法实时性差的问题;2.通过结合在线增量学习和特征选择,解决了未匹配预建攻击模式的未知类型攻击检测问题。
附图说明
图1是本发明基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法在中DoS/DDoS攻击检测与过滤流程示意图;
图2是本发明基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法的功能模块图。
具体实施方式
下面结合附图和具体实施方式对本发明基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法作进一步说明:
如附图1所示,本发明的DoS/DDoS攻击检测与过滤流程分为:
1.基于时间窗的流量预警
逐个时间窗更新监测流量的到达情况,根据防御目标处理能力定义时间窗的窗长tW和流数阈值Δ0,当有突发访问或者流量激增且达到阈值Δ0时,该窗内为异常流量,触发后续检测和过滤机制。
2.异常流量特征处理
将步骤1中存在的异常流量处理为检测特征样本序列,供后续步骤使用,典型的特征标准包括KDD CUP99特征集、Moore特征集等。
3.基于规则匹配的快速攻击检测
由数据挖掘工具Weka进行特征选择,使用基于信息增益的特征选择,某一特征的信息增益(IG)值即为从该特征上获得划分的信息增益,而具有最高IG值的特征就是给定特征集合中具有最高区分度的特征。
在一组训练样本T中,t为样本总数且有m个类别,设其中类别i含有ti个样本,样本熵为:若有v个不同的值的特征A可将T划分为v个子集,其中第j子集为特征A取aj时的子集,其样本数为Tj。第j子集中包含类别i的样本数为tij,有Tj=t1j+t2j+…+tmj。特征A的信息熵为
特征A的信息增益为样本熵与其信息熵之差,IG(A)=I(t1,t2,…,tm)-E(A)。
由信息增益进行样本寻优即可完成特征选择,处理训练数据可得到检测特征。结合特征选择后的检测特征,预建基于规则的DoS/DDoS攻击匹配检测机制。步骤3实现步骤2中检测特征样本序列的快速匹配攻击检测,并输出特征样本对应的攻击源IP、攻击目标IP;
4.未知类型攻击的挖掘与检测
预建正常流量模式,对步骤3中未匹配预建攻击模式的异常流量进行未知类型攻击检测。由具有在线增量学习功能的机器学习算法C4.5决策树构建分类器实现,检测得到的不符合正常模式的未知类型攻击经过特征选择作为未知类型攻击的检测特征,通过C4.5决策树的在线增量学习强化未知类型攻击样本的分类准确率,进一步提升未知类型攻击的分类检测效果,并输出攻击源IP、攻击目标IP。
5.基于IP列表的攻击过滤
由步骤3和步骤4中输出的攻击源IP、攻击目标IP,建立攻击流量过滤表,进行攻击流量的过滤。过滤不仅作用于当前时间窗,对于后续检测,维护恶意攻击源IP列表,过滤恶意访问。
如附图2所示,本发明的系统实现分为:基于时间窗的流到达预警模块,检测特征处理模块,轻量级入侵检测模块、未知类型攻击检测模块和攻击过滤模块。流到达预警模块完成步骤1的功能,逐个时间窗更新监测流量的到达情况。检测特征处理模块完成步骤2的功能,处理异常流量的检测特征。轻量级入侵检测模块完成步骤3的功能,结合特征选择进行快速匹配攻击检测。未知类型攻击检测模块完成步骤4的功能,结合在线增量学习分类器挖掘未知类型攻击。攻击过滤模块完成步骤5的功能,建立攻击过滤表,过滤攻击数据包。

Claims (1)

1.一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法,其特征在于:具体包括如下步骤:
步骤1.基于时间窗的流量预警,基于时间窗监测流量的到达情况,定位异常流量,当有突发访问或者流量激增的异常情况时触发后续机制;
步骤2.异常流量特征处理,将步骤1中存在的异常流量处理为检测特征样本序列,供后续步骤使用,典型的特征标准包括KDD CUP 99特征集、Moore特征集;
步骤3.基于规则匹配的快速攻击检测,为基于轻量级入侵检测的DoS/DDoS攻击匹配检测机制,由数据挖掘工具Weka进行特征选择,使用基于信息增益的特征选择,某一特征的信息增益IG值即为从该特征上获得划分的信息增益,而具有最高IG值的特征就是给定特征集合中具有最高区分度的特征,处理训练数据得到检测特征,实现步骤2中检测特征样本序列的快速匹配攻击检测,并输出特征样本对应的攻击源IP、攻击目标IP,具体步骤如下,设定在一组训练样本T中,t为样本总数且有m个类别,设其中类别i含有ti个样本,样本熵为:若有v个不同的值的特征A可将T划分为v个子集,其中第j子集为特征A取aj时的子集,其样本数为Tj,第j子集中包含类别i的样本数为tij,有Tj=t1j+t2j+...+tmj,特征A的信息熵为特征A的信息增益为样本熵与其信息熵之差,IG(A)=I(t1,t2,...,tm)-E(A),由信息增益进行样本寻优即可完成特征选择,结合特征选择后的检测特征,预建基于规则的DoS/DDoS攻击匹配检测机制;
步骤4.未知类型攻击的挖掘与检测,为预建正常流量模式,对步骤3中未匹配预建攻击模式的异常流量进行未知类型攻击检测,由具有在线增量学习功能的机器学习算法C4.5决策树构建分类器实现,检测得到的不符合正常模式的未知类型攻击经过特征选择作为未知类型攻击的检测特征,通过C4.5决策树的在线增量学习强化未知类型攻击样本的分类准确率,进一步提升未知类型攻击的分类检测效果,并输出攻击源IP、攻击目标IP;
步骤5.基于IP列表的攻击过滤,由步骤3和步骤4中输出的攻击源IP、攻击目标IP,建立攻击流量过滤表,进行攻击流量的过滤,过滤不仅作用于当前时间窗,而是通过维护恶意攻击源IP列表,过滤攻击源IP的后续访问。
CN201510652229.8A 2015-10-10 2015-10-10 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 Active CN105208037B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510652229.8A CN105208037B (zh) 2015-10-10 2015-10-10 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510652229.8A CN105208037B (zh) 2015-10-10 2015-10-10 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法

Publications (2)

Publication Number Publication Date
CN105208037A CN105208037A (zh) 2015-12-30
CN105208037B true CN105208037B (zh) 2018-05-08

Family

ID=54955470

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510652229.8A Active CN105208037B (zh) 2015-10-10 2015-10-10 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法

Country Status (1)

Country Link
CN (1) CN105208037B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105611561B (zh) * 2016-01-07 2019-08-27 中国联合网络通信集团有限公司 一种链路故障处理方法、装置和系统
CN107124386B (zh) * 2016-02-24 2021-05-04 深信服科技股份有限公司 黑色产业内容的检测分析方法及装置
CN106060043B (zh) * 2016-05-31 2019-06-07 北京邮电大学 一种异常流量的检测方法及装置
CN106657126B (zh) * 2017-01-05 2019-11-08 盛科网络(苏州)有限公司 检测及防御DDoS攻击的装置及方法
CN108347411B (zh) * 2017-01-23 2021-09-17 北京京东尚科信息技术有限公司 一种统一安全保障方法、防火墙系统、设备及存储介质
CN107169353B (zh) * 2017-04-20 2021-05-14 腾讯科技(深圳)有限公司 异常文件识别方法及装置
CN107395597A (zh) * 2017-07-25 2017-11-24 合肥红铭网络科技有限公司 一种虚拟主机防御优化方法
CN109600345A (zh) * 2017-09-30 2019-04-09 北京国双科技有限公司 异常数据流量检测方法及装置
CN107689967B (zh) * 2017-10-23 2020-03-03 中国联合网络通信集团有限公司 一种DDoS攻击检测方法和装置
CN107872460B (zh) * 2017-11-10 2019-09-24 重庆邮电大学 一种基于随机森林的无线传感网DoS攻击轻量级检测方法
CN108491717A (zh) * 2018-03-28 2018-09-04 四川长虹电器股份有限公司 一种基于机器学习的xss防御系统及其实现方法
CN108566392B (zh) * 2018-04-11 2020-10-23 四川长虹电器股份有限公司 基于机器学习的防御cc攻击系统与方法
CN108632269B (zh) * 2018-05-02 2020-06-02 南京邮电大学 基于c4.5决策树算法的分布式拒绝服务攻击检测方法
CN110943961B (zh) 2018-09-21 2022-06-21 阿里巴巴集团控股有限公司 数据处理方法、设备以及存储介质
CN110753064B (zh) * 2019-10-28 2021-05-07 中国科学技术大学 机器学习和规则匹配融合的安全检测系统
CN110769007B (zh) * 2019-12-26 2020-11-24 国网电子商务有限公司 一种基于异常流量检测的网络安全态势感知方法及装置
US11611588B2 (en) * 2020-07-10 2023-03-21 Kyndryl, Inc. Deep learning network intrusion detection
CN113225321A (zh) * 2021-04-22 2021-08-06 福建奇点时空数字科技有限公司 一种基于智能迁移策略的SDN虚拟机抗Dos方法
CN113242240B (zh) * 2021-05-10 2022-07-01 北京交通大学 一种可检测多种类应用层DDoS攻击的方法和装置
CN114021040B (zh) * 2021-11-15 2022-05-24 北京华清信安科技有限公司 基于业务访问的恶意事件的告警及防护方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360023A (zh) * 2008-09-09 2009-02-04 成都市华为赛门铁克科技有限公司 一种异常检测方法、装置及系统
CN102271068A (zh) * 2011-09-06 2011-12-07 电子科技大学 一种dos/ddos攻击检测方法
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块
US8819821B2 (en) * 2007-05-25 2014-08-26 New Jersey Institute Of Technology Proactive test-based differentiation method and system to mitigate low rate DoS attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8819821B2 (en) * 2007-05-25 2014-08-26 New Jersey Institute Of Technology Proactive test-based differentiation method and system to mitigate low rate DoS attacks
CN101360023A (zh) * 2008-09-09 2009-02-04 成都市华为赛门铁克科技有限公司 一种异常检测方法、装置及系统
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块
CN102271068A (zh) * 2011-09-06 2011-12-07 电子科技大学 一种dos/ddos攻击检测方法

Also Published As

Publication number Publication date
CN105208037A (zh) 2015-12-30

Similar Documents

Publication Publication Date Title
CN105208037B (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
Karatas et al. Deep learning in intrusion detection systems
Janarthanan et al. Feature selection in UNSW-NB15 and KDDCUP'99 datasets
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN103368979B (zh) 一种基于改进K-means算法的网络安全性验证装置
CN104618377B (zh) 基于NetFlow的僵尸网络检测系统与检测方法
CN102271068B (zh) 一种dos/ddos攻击检测方法
Hassan Network intrusion detection system using genetic algorithm and fuzzy logic
CN107370752B (zh) 一种高效的远控木马检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
Dhakar et al. A novel data mining based hybrid intrusion detection framework
Akbar et al. Intrusion detection system methodologies based on data analysis
CN114513340B (zh) 一种软件定义网络中的两级DDoS攻击检测与防御方法
CN112491860A (zh) 一种面向工业控制网络的协同入侵检测方法
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
Zhai et al. Distributed denial of service defense in software defined network using openflow
Yadav et al. Comparative study of datasets used in cyber security intrusion detection
Yang et al. Botnet detection based on machine learning
CN113965393B (zh) 一种基于复杂网络和图神经网络的僵尸网络检测方法
CN110611636B (zh) 一种基于大数据算法的失陷主机检测方法
Fu et al. Event prediction technology based on graph neural network
Lee et al. Automatically generating payload-based models for botnet detection
Devi et al. Intrusion detection system based on genetic–SVM for DoS attacks
Mohi-Ud-Din et al. NIDS: Random Forest Based Novel Network Intrusion Detection System for Enhanced Cybersecurity in VANET's
Feng et al. A congestion attack behaviour recognition method for wireless sensor networks based on a decision tree

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant