CN105245503A - 隐马尔可夫模型检测LDoS攻击方法 - Google Patents

Abstract

低速率拒绝服务(Low-Rate？Denial？of？Service，LDoS)攻击具有平均速率低、隐蔽性强的特点，传统的检测方法难以奏效。本发明针对LDoS攻击提出了一种基于隐马尔科夫模型的LDoS攻击检测方法。首先对网络状态建立隐马尔科夫模型，将归一化累计功率谱密度(Normalized？Cumulative？Power？Spectrum？Density，NCPSD)方法的检测结果作为隐马尔科夫模型的观测值。利用前向算法得到不同观测值序列在该模型下的偏离度作为检测依据。在NS-2中对本检测方法进行测试，实验结果表明本方法能够有效的检测LDoS攻击，与其他方法相比也具有更好的检测性能。通过假设检验得出检测率为99.96％，具有检测概率高，以及虚警率和漏警率低的优点。

Description

隐马尔可夫模型检测LDoS攻击方法

技术领域

本发明涉及一种计算机网络安全技术，尤其是针对低速率拒绝服务(Low-rateDenialofService，LDoS)攻击的检测，可以高准确率的检测出攻击。

背景技术

低速率拒绝服务LDoS攻击是一种新型的拒绝服务(DenialofService，DoS)攻击方式。自LDoS攻击被发现的那一天起，它就一直是网络安全领域的研究热点。LDoS攻击的本质是利用网络系统中自适应机制所存在的漏洞，造成虚假拥塞，迫使TCP连接的服务质量大大降低。据统计，网络中80％以上的流量是TCP，因此，LDoS攻击会产生巨大的威胁。LDoS攻击不需一直维持很高的攻击速率，只需在固定的周期发送高速率的短脉冲攻击流。因此，LDoS攻击的平均速率低，甚至低于正常的网络流量。这种特点使得LDoS攻击具有很强的隐蔽性，传统的检测方法难以奏效。

目前，基于信号处理理论的LDoS攻击检测方法得到了广泛的研究，并取得了一定的成果。这类方法主要是将LDoS攻击流量进行抽样，在时频域对抽样序列统计分析，进而得到攻击流异于正常流的特征加以区分。YuChen等提出了一种频域检测法是将采样序列的自相关函数通过离散傅里叶变换(DiscreteFourierTransform，DFT)得到功率谱密度(PowerSpectrumDensity，PSD)，然后选择一个固定频率点的归一化累积功率谱密度(NormalizedCumulativePowerSpectrumDensity，NCPSD)值作为特征，利用似然比函数找到一个门限值作为判决依据。但是该方法计算量大，检测率较低，存在一定的漏警概率和虚警概率。吴志军教授领导的团队对LDoS攻击进行了一定的研究：提出了基于卡尔曼滤波技术的LDoS攻击检测方法。该方法首先对受害端的流量抽样序列进行小波变换，提取波形趋势，然后采用卡尔曼滤波算法以一步预测与最优估算的误差值作为检测突变的依据。该方法较YuChen的方法检测性能有一定的提高，但没有考虑FDoS(FloodingDenialofService)攻击的影响，当FDoS攻击发生时，会被误检为LDoS攻击，从而无法通过检测结果来判别攻击类型。吴志军教授将Duffing系统相轨迹的转变作为检测LDoS攻击的依据。通过测量网络是否脱离混沌(Chaos)状态，来判断是否存在LDoS攻击。该方法的优势在于背景噪声远强于攻击信号时，检测效果依然理想。缺点在于系统实现复杂。此外，并未给出具体的检测率。依据Holder指数值的异常变化提出基于多重分形的LDoS攻击检测方法。该方法的核心思想是当LDoS攻击发生时，网络流量的多重分形特征必然有所改变，而这种改变可以由Holder指数来体现。该方法假设LDoS攻击流采用UDP协议，并未对其他协议类型的LDoS攻击进行测试，因此有一定局限性。

为了克服现有方法的缺点，本文在国内外相关研究的基础上，借助HMM对网络状态建模，将NCPSD检测方法的检测结果作为HMM的观测值序列，通过前向算法计算不同观测值序列在该模型下的概率，以此作为依据来衡量不同观测值序列对于HMM的偏离程度，从而实现了一种高性能的检测LDoS攻击的方法。

LDoS攻击的低速率特性使其很难在时域中被检测。因此YuChen等研究了LDoS攻击的频域特性，期望在频域发现LDoS攻击的显著特征。对网络流量在时间上进行采样，计算每一个采样序列的自相关函数，对结果进行傅里叶变换得出其功率谱密度，再计算功率谱密度的归一化累计值，即得到流量的归一化累计功率谱密度(NCPSD)。对比正常流量和攻击流量的NCPSD可以发现，相对于正常的TCP流，LDoS攻击流的功率谱主要集中在低频段。NCPSD检测方法的核心思想就是选取一个差异最大的频点对应的NCPSD值作为检测LDoS攻击的标准。该方法的优点在于提取了LDoS攻击最本质的特征，该特征不易伪造，是其他攻击类型或其他正常网络行为所不具备的。但是，该方法也有较突出的缺点，即计算量大，检测率低，存在一定的漏警概率和虚警概率。

发明内容

为了最大限度的发挥NCPSD检测算法的优点，避免其缺点。本发明对网络建立HMM，将NCPSD的检测结果作为输入，期望得到更好地检测效果。由于NCPSD存在较高的误报率，因此可以假设NCPSD得出的检测结果只是一种粗检测，而最终网络是否遭受LDoS攻击要通过隐马尔科夫模型进一步确定。

将无法最终确定的网络状态看作隐藏状态，对正常稳定的网络建立HMM。一个HMM有五个元素：隐藏状态集合S、观测状态集合V、初始状态概率矩阵π、隐藏状态转移概率矩阵A、观测状态转移概率矩阵B，HMM模型参数λ＝(A，B，π)。

利用NCPSD方法对LDoS攻击进行检测，将得到的T个检测结果作为-组观测值序列O，序列中每一个元素都是某一时刻的观测状态，即O＝{O₁，O₂，…，O_T}，O_s∈V，1≤s≤T。对于给定模型参数λ＝(A，B，π)的HMM，定义不同观测值序列在该IIMM下的概率P(O|λ)为该观测值序列对于HMM的偏离度。由于HMM是以正常的稳定网络状态为基础建立的，因此偏离度P(O|λ)越大说明网络遭受LDoS攻击的概率越大，反之说明网络正常。

P(O|λ)的计算使用前向算法解决，前向算法具体过程如下所示。定义变量α_t(j)，b_j(O_i)，其中α_t(j)＝P{O₁O₂…O_t，S_j|λ}，1≤j≤N，1≤t≤T。隐藏状态数为N。α_t(j)表示HMM参数为λ及t时刻内的观测值序列为{O₁，O₂，…，O_t}，HMM的隐藏状态为S_j的概率，b_j(O_t)表示在隐藏状态为S_j时，观察值为O_i的概率。使用归纳法解α_t(j)，分为三个步骤：初始化、递归、终结。

利用NCPSD方法对LDoS攻击进行检测，将得到的T个检测结果作为一组观测值序列O，序列中每一个元素都是某一时刻的观测状态，即O＝{O₁，O₂，…，O_T}，O_s∈V，1≤s≤T。对于给定模型参数λ＝(A，B，π)的HMM，定义不同观测值序列在该HMM下的概率P(O|λ)为该观测值序列对于HMM的偏离度。由于HMM是以正常的稳定网络状态为基础建立的，因此偏离度P(O|λ)越大说明网络遭受LDoS攻击的概率越大，反之说明网络正常。

P(O|λ)的计算使用前向算法解决，前向算法具体过程如下所示。定义变量α_t(j)，b_j(O_t)，其中α_t(j)＝P{O₁O₂…O_t，S_j|λ}，1≤j≤N，1≤t≤T。隐藏状态数为N。α_t(j)表示HMM参数为λ及t时刻内的观测值序列为{O₁，O₂，…，O_t}，HMM的隐藏状态为S_j的概率，b_j(O_i)表示在隐藏状态为S_j时，观察值为O_i的概率。使用归纳法解α_t(j)，分为三个步骤：初始化、递归、终结。

(1)初始化：α₁(j)＝P(O₁，S_j|λ)＝π_jb_j(O₁)；

(2)递归： ${\mathrm{\α}}_{t+1}\left(j\right)=\left[\underset{t=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{\α}}_t\left(i\right)a_{\mathrm{ij}}\right]b_j\left(O_{t+1}\right);$

(3)终结： $P\left(O\right|\mathrm{\λ})=\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{\α}}_T\left(j\right).$

对于建立的HMM，利用前向算法计算P(O|λ)。当j＝1时，可得：

当j＝2时，可得：

由此可将式化简为：

α_T(1)＝α_T-1(1)·b₁(O_T)

不断迭代可以得到：

α_T(1)＝b₁(O_T)·b₁(O_T-1)…b₁(O₃)·b₁(O₂)·α₁(1)

α₁(1)＝b₁(O₁)带入，则：

α_T(1)＝b₁(O_T)·b₁(O_T-1)…b₁(O₃)·b₁(O₂)·b₁(O₁)

所以：

$\begin{array}{c}P\left(O\right|\mathrm{\λ})=\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{\α}}_T\left(j\right)={\mathrm{\α}}_T\left(1\right)+{\mathrm{\α}}_T\left(2\right)\\ ={\mathrm{\α}}_T\left(1\right)=b_1\left(O_T\right)\·b_1\left(O_{T-1}\right)...b_1\left(O_3\right)\·b_1\left(O_2\right)\·b_1\left(O_1\right)\\ =\underset{t=1}{\overset{T}{\mathrm{\Π}}}{b}_1\left(O_t\right)=\left[P\left(V_1\right|S_1){]}^a\right[P\left(V_2\right|S_1){]}^{T-a}\\ =[1-P\left(V_2\right|S_1){]}^a[P\left(V_2\right|S_1){]}^{T-a}\end{array}$

其中T为观测值序列中观测值的总数，a为观测序列中未遭受LDoS攻击的观测值数目，P(V₂|S₁)为虚警率。

利用NCPSD检测方法对LDoS攻击进行检测，假设某次检测得出的虚警率为r_fp，则为：

ξ＝P(O|λ)＝(1-r_fp)^a(r_fp)^T-a，0≤a≤T

用ξ代替P(O|λ)表示观测值序列相对于HMM的偏离度。可知，ξ很大程度上由虚警率r_fp所决定。根据经验可知，1-r_fp一定大于r_fp，那么T个观测值中，未遭受LDoS攻击的观测值数目a越多，得出的ξ越大，网络未遭受LDoS攻击的概率也就越大。将NCPSD的检测结果作为HMM的观测值，通过式计算出的ξ值作为最终检测LDoS攻击的判决依据。在网络未遭受LDoS攻击的ξ值和遭受LDoS攻击的ξ值之间选择一个阈值，如果ξ值比阈值小就说明网络环境遭受了LDoS攻击。

附图说明

图1为TCP流量分布图，(a)表示正常情况，(b)表示有LDoS攻击时的流量分布图。

图2为网络状态的隐马尔科夫模型。

图3为NS-2环境下的网络拓扑图，图5中，0、1节点是路由器，2节点是FTP服务器，3、4节点是攻击者，5、6、7节点是正常用户。

图4为NCPSD仿真结果图。

图5为ξ实验结果图。

图6为基于HMM的LDoS攻击检测方法总体流程图。

具体实施方式

1.首先验证LDoS攻击检测效果，利用NS-2搭建测试环境，图5拓扑结构为哑铃型结构，能代表实际网络特征。0、1节点是路由器，2节点是FTP服务器，3、4节点是攻击者，5、6、7节点是正常用户。合法用户、LDoS攻击方与路由器之间的链路带宽均为100Mbps，单向延时10ms，路由器之间链路带宽均为10Mbps，单向延时10ms、路由器与服务器之间链路带宽均为100Mbps，单向延时为10ms。路由器的发送队列大小为100个数据包。实验开始于0s，结束于150s。3个正常流量在0s开始，150s结束，攻击流量在100s开始，150s结束。3、4节点是攻击者，其攻击速率为6Mbps，攻击周期为1150ms，攻击脉宽为200ms。3、4节点同时开始攻击，汇聚后的攻击速率为12Mbps，略大于瓶颈带宽10Mbps，以产生更好的攻击效果。

2.对0、1节点间瓶颈链路上的数据包个数进行采样，采样间隔为20ms。设置一个滑动窗口W＝3s，即将每3s的采样值做一次NCPSD，得出一个检测结果。W每次滑动1s，将下一个3s内的采样值再做检测。如此反复，共进行150s的实验。实验结果即图4NCPSD仿真结果。NCPSD值在100秒前后出现了较大的变化，而NCPSD的判决门限γ＝0.6，图6中出现了较多的虚警。对该网络拓扑的NCPSD检测结果分析，得列NCPSD的判决结果如表1所示。

表1NCPSD判决结果

在该实验设置下，滑动窗口W＝3s，窗口每1s滑动一次。未攻击的时间为100s，所以前100s的NCPSD的判决次数为97，即[(1s，2s，3s)；(2s，3s，4s)；...；(97s，98s，99s)]。

攻击在100s开始，因此包含有攻击点的NCPSD的判决次数为50，即[(98s，99s，100s)；(99s，100s，101s)；...；(148s，149s，150s)]。由表1可以计算出，使用NCPSD算法检测LDoS攻击的检测率为98％，漏警率为2％，虚警率为5.15％。

3.通过前向算法计算ξ，为了进一步提高检测率，降低漏警率和虚警率，将每个时间窗内得到的NCPSD检测结果作为观测值，每3个观测值一组，作为一个观测值序列。可得：

从而得到基于HMM的判决依据ξ的实验结果如图5所示。前100秒，不存在LDoS攻击，符合正常行为的序列得出较高的ξ值。在100秒后，存在LDoS攻击，符合LDoS攻击行为的序列得出较低的ξ值。对该网络拓扑的HMM检测结果分析，得到HMM的判决结果如表2所示。

表2HMM判决结果

表2的第1列，对未攻击时和有攻击时的观测值分别进行分组，采用滑动窗口大小为3(每3个观测值一组)，每1s滑动一次的策略，所以未攻击时的判决次数为95，有攻击时的判决次数为48。

4.对大量数据进行采集分析，通过对大样本的假设检验可以得出HMM的检测性能。

根据中心极限定理，大量随机变量近似服从正态分布，对于参数假设如下：

假设没有LDoS攻击时的H₀值服从均值μ₀方差σ₀ ²的正态分布，存在LDoS攻击时的H₁值服从均值μ₁方差σ₁ ²的正态分布。统计3000个ξ值，通过计算可以得出：

采用不同ξ值得出的检测率P_D、漏警率P_FN、虚警率P_FP结果如表3所示。

表3不同ξ值对应的检测性能

从表3中可以看到，不同ξ值对应的检测性能也有所不同，取最佳判决阈值ξ＝0.0292。

Claims (3)

1.基于隐马尔可夫模型检测低速率拒绝服务攻击(Low-rateDenialofService，LDoS)攻击方法，其特征在于：是通过以下步骤实现的：

(1)根据隐马尔科夫模型(HiddenMarkovModel，HMM)对网络状态建模；

(2)将归一化累积功率谱密度(NormalizedCumulativePowerSpectrumDensity，NCPSD)检测方法的检测结果作为HMM的观测值；定义不同观测值序列在该HMM下的概率P(O|λ)为该观测值序列对于HMM的偏离度ξ；

(3)通过前向算法计算不同观测值序列在HMM模型下的概率ξ；

(4)在网络未遭受攻击和遭受攻击的ξ之间选取阈值作为检测依据，如果ξ小于阈值则认为网络环境遭受了LDoS攻击。

2.根据权利要求1所述的隐马尔可夫模型检测LDoS攻击方法，其特征在于：

其中：步骤(1)是对无法最终确定的网络状态看作隐藏状态，对正常稳定的网络建立HMM；一个HMM有五个元素：隐藏状态集合S、观测状态集合V、初始状态概率矩阵π、隐藏状态转移概率矩阵A、观测状态转移概率矩阵B，HMM模型参数λ＝(A，B，π)；

①隐藏状态集合S

隐藏状态集合S＝{S₁，S₂}，S₁表示未遭受LDoS攻击状态，S₂表示遭受到LDoS攻击状态；

②观测状态集合V

利用NCPSD算法的检测结果，把所有的观测状态分为网络未遭受LDoS攻击状态V₁和网络遭受LDoS攻击状态V₂两类；观测值序列集合V＝{V₁，V₂}；

③初始状态概率矩阵π

定义初始状态概率矩阵π，π中每个元素代表实际网络初始时刻处于某种状态的概率，这些概率的和为1；对于LDoS攻击检测的HMM，有π＝[π₁，π₂]；其中，π₁＝P(S₁)为网络初始时刻未遭受攻击的概率，π₂＝P(S₂)为网络初始时刻遭受LDoS攻击的概率；对于一个行为正常的网络，都可以认为在初始时刻，网络未遭受LDoS攻击；所以P(S₁)＝1，P(S₂)＝0，π＝[1，0]；

④隐藏状态转移概率矩阵A

定义隐藏状态转移概率矩阵A，A中每个元素代表实际网络环境由一个隐藏状态到另一个隐藏状态的概率；对于LDoS攻击检测的HMM，有 $A=\left[\begin{array}{cc}{a}_{11}& a_{12}\\ a_{21}& a_{22}\end{array}\right];$ 其中a_ij＝P(S_j|S_i)为δ-1时刻HMM的隐藏状态为S_i时，在δ时刻HMM的隐藏状态为S_j的概率；对于一个网络来说，大多数时间会处于正常状态，而遭受LDoS攻击的时间相对较短；对于这样一个稳定的网络环境，假设网络在δ-1时刻遭受LDoS攻击，下一时刻δ网络状态将恢复正常，所以P(S₁|S₁)＝1，P(S₂|S₁)＝0，P(S₁|S₂)＝1，P(S₂|S₂)＝0， $A=\left[\begin{array}{cc}1& 0\\ 1& 0\end{array}\right];$

步骤(2)利用NCPSD方法对LDoS攻击进行粗检测，将得到的T个检测结果作为一组观测值序列O，序列中每一个元素都是某一时刻的观测状态，即O＝{O₁，O₂，…，O_l}，O_s∈V，1≤s≤T，对于给定模型参数λ＝(A，B，π)的HMM，定义不同观测值序列在该HMM下的概率P(O|λ)为该观测值序列对于HMM的偏离度ξ，由于HMM是以正常的稳定网络状态为基础建立的，因此偏离度ξ越大说明网络遭受LDoS攻击的概率越大，反之说明网络正常；

步骤(3)对偏离度ξ的计算使用前向计算解决，前向算法具体过程为：定义变量α_i(j)，b_j(O_i)，其中α_i(j)＝P{O₁O₂…O_i，S_j|λ}，1≤j≤N，1≤t≤T，隐藏状态数为N，α_i(j)表示HMM参数为λ及t时刻内的观测值序列为{O₁，O₂，…，O_i}，HMM的隐藏状态为S_j的概率，b_i(O_i)表示在隐藏状态为S_j时，观察值为O_i的概率，使用归纳法解α_i(j)，进行三个步骤：初始化、递归、终结；

①初始化：α₁(j)＝P(O₁，S_i|λ)＝π_jb_i(O₁)；

②递归： ${\mathrm{\α}}_{i+1}\left(j\right)=\left[\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{\α}}_i\left(i\right)a_{\mathrm{ij}}\right]b_j\left(O_{i+1}\right);$

③终结： $P\left(O\right|\mathrm{\λ})=\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{\α}}_i\left(j\right);$

对于步骤(1)中建立的HMM，利用前向算法计算P(O|λ)最终可得：

$\begin{array}{c}P\left(O\right|\mathrm{\λ})=\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{\α}}_i\left(j\right)={\mathrm{\α}}_T\left(1\right)+{\mathrm{\α}}_T\left(2\right)\\ ={\mathrm{\α}}_l\left(1\right)=b_1\left(O_T\right)\·b_1\left(O_{T-1}\right)...b_1\left(O_3\right)\·b_1\left(O_2\right)\·b_1\left(O_1\right)\\ =\underset{i=1}{\overset{l}{\mathrm{\Π}}}{b}_1\left(O_i\right)={\left[P\left(V_1\right|S_1)\right]}^a{\left[P\left(V_2\right|S_1)\right]}^{T-a}\\ ={[1-P\left(V_2\right|S_1)]}^a{\left[P\left(V_2\right|S_1)\right]}^{T-a}\end{array}$

其中，T为观测值序列中观测值的总数，a为观测序列中未遭受LDoS攻击的观测值数目，P(V₂|S₁)为虚警率。

利用NCPSD检测方法对LDoS攻击进行粗检测，假设某次检测得出的虚警率为r_fp，则偏离度为：

ξ＝P(O|λ)＝(1-r_fp)^a(r_fp)^l-a，0≤a≤T

ξ表示观测值序列相对于HMM的偏离度，ξ很大程度上由虚警率r_fp所决定，其中1-r_fp一定大于r_fp，那么T个观测值中，未遭受LDoS攻击的观测值数目a越多，得出的ξ越大，网络未遭受LDoS攻击的概率也就越大；

步骤(4)将计算出的ξ值作为最终检测LDoS攻击的判决依据，在网络未遭受LDoS攻击的ξ值和遭受LDoS攻击的ξ值之间选择一个阈值，根据判决依据确定当ξ小于阈值时则认为发生了LDoS攻击。

3.根据权利要求2所述的将NCPSD的检测结果作为观测值序列，其特征在于：每3个观测值一组，作为一个观测值序列，ξ＝P(O|λ)＝(0.9485)^a×(0.0515)^3-a，0≤a≤3。