CN106411829A

CN106411829A - 基于小波能量谱和组合神经网络的LDoS攻击检测方法

Info

Publication number: CN106411829A
Application number: CN201510938103.7A
Authority: CN
Inventors: 岳猛; 刘亮
Original assignee: Civil Aviation University of China
Current assignee: Civil Aviation University of China
Priority date: 2015-12-14
Filing date: 2015-12-14
Publication date: 2017-02-15

Abstract

低速率拒绝服务攻击(Low‑Rate Denial of Service，LDoS)具有平均速率低、隐蔽性强的特点，传统的检测方法难以奏效。本发明根据多重分形存在于网络流量中的特点，提出一种基于小波变换与组合神经网络相结合的检测方法来检测LDoS攻击。这种检测方法首先把采集到的流量进行小波变换，将小波能量谱系数化为归一化小波能量谱系数(Normalized Wavelet Energy Spectrum Coefficients，NWESCs)。再将NWESCs分为五类，作出初步的小波能量谱系数图。将分组后的NWESCs作为训练序列对二层神经网络训练，并保存得分类器。该方法与其他方法相比有更高的检测率。

Description

基于小波能量谱和组合神经网络的LDoS攻击检测方法

技术领域

本发明涉及一种计算机网络安全技术，尤其是针对低速率拒绝服务(Low-rateDenial of Service，LDoS)攻击的检测，可以高准确率的检测出攻击。

背景技术

低速率拒绝服务LDoS攻击是一种新型的拒绝服务(Denial of Service，DoS)攻击方式。自LDoS攻击被发现的那一天起，它就一直是网络安全领域的研究热点。LDoS攻击的本质是利用网络系统中自适应机制所存在的漏洞，造成虚假拥塞，迫使TCP连接的服务质量大大降低。据统计，网络中80％以上的流量是TCP，因此，LDoS攻击会产生巨大的威胁。LDoS攻击不需一直维持很高的攻击速率，只需在固定的周期发送高速率的短脉冲攻击流。因此，LDoS攻击的平均速率低，甚至低于正常的网络流量。这种特点使得LDoS攻击具有很强的隐蔽性，传统的检测方法难以奏效。

虽然LDoS攻击有很多变种，但它们都是利用网络协议和网络服务的漏洞。Kuzmanovic等人提出了一种叫做地鼠攻击的LDoS攻击方式。攻击者发送与RTO相同周期的高速矩形脉冲流，使TCP端系统频繁的进入超时状态。Guirguis等人研究了另一种类型的LDoS攻击称为RoQ攻击。RoQ攻击利用网络自适应机制的漏洞，降低网络的服务质量。此外，他们采用一种控制理论模型和相关指标来量化这些漏洞，并评估对TCPRED自适应机制的潜在损害。Tang等研究了LDoS攻击对反馈控制系统的威胁。他们建立了一个ON/OFF模型来描述系统的攻击。证明LDoS攻击可以造成ON/OFF系统处于不稳定的状态。此外，他们采用了Web服务器和IBMNotes服务器做攻击性能的评估。Luo等进一步推导了LDoS攻击的数学模型，用于评估攻击的影响和提取攻击特征。该模型是基于TCP的拥塞窗口，能揭示一些LDoS攻击和网络环境之间的相互作用关系。上述对于LDoS模型或性能的研究为LDoS攻击检测的研究提供坚实的基础。

最近许多研究表明，多重分形理论有助于分析在网络流量在小时间尺度上的特征。TCP协议的拥塞控制机制是导致网络流量多重分形特征的主要因素。当LDoS攻击发出，受害网络频繁的进行拥塞控制(如超时重传时间，快速重传，快速恢复)。在这种情况下，网络的多重分形特性会出现不寻常特征，这可作为识别的LDoS攻击流量的基础。基于上述分析，网络流量分为两类：正常网络流量和LDoS攻击流量。LDoS攻击流量的识别可以被视为一个网络流量分类问题。这样分类的目标是通过学习训练集的数据，建立一个分类模型来预测未知的流量类别。组合神经网络是一种更优秀的分类器，能更好的分辨这两类流量。

到目前为止，检测LDoS攻击的主要方法是利用信号处理技术分析网络流量的时频域特征。Chen等人提出了一种检测周期LDoS攻击的频域分析方法。首先对网络包数量进行采样，然后计算包个数序列的归一化累积功率谱密度(NCPSD)，在固定频点通过阈值比较法确定是否发生LDoS攻击。该方法实现了多个路由器协同检测，只需要一点时间来成功检测LDoS攻击。Luo等发现LDoS攻击导致上行TCP流量和下行ACK流量异常波动。基于此，他们利用离散小波变换(DWT)和CUSUM法检测的变化点。实验结果表明，该方法能够有效的鉴别LDoS攻击，具有较低的时间复杂度。

现有的基于信号处理识别方法通常有三大缺点：1)这些方法主要分析上行或下行流量，没有提取LDoS攻击的本质特征。一个聪明的攻击者可以通过隐藏已知的流量特征逃避检测。2)这些方法的结果对检测参数的选择很敏感，因此，随着网络规模的扩大和网络带宽的增加，检测的准确性和效率将会大大降低。3)在实际网络中经常出现的一些正常随机突发流会影响这些算法的检测性能，呈现出较低的检测概率，更高的漏警率和更高的虚警率。

本专利设计了一种新的方法来识别LDoS攻击流量。该方法依赖于LDoS攻击流量的多重分形特征。将小波变换和神经网络相结合使用形成一种新的LDoS攻击识别方法。首先，对不同的网络流量(正常网络流量和LDoS攻击流量)进行多重分形分析，使用离散小波变换获得网络流量的小波能量谱系数。然后，设计两层的组合神经网络模型来分类小波能量频谱系数，有类似行为的属于同一类网络流量，而不同行为的属于不同类网络流量。大量的实验证明，所设计的方法优于其他检测方法，有更高的识别率，较低的虚警率，和较低的漏警率。

发明内容

在受害端采集网络流量(图1)，将所采集的数据进行db五阶小波变换，一个网络流量信号X(t)可以被尺度函数和小波函数表示：

其中，是尺度系数，d_j，k是小波系数。

多重分形可以反应小时间尺度上的网络流量特征，而小波能量谱可以用来评估多重分形特征。假设X(t)是多重分形过程，d_j，k是小波系数，小波能量谱系数μ_j为d_j，k的平方均值：

n_j是小波系数在尺度j下的个数，μ_j是可用带宽在2^-1频率在2^-1ω₀能量谱系数。得出μ_j后，对μ_j进行零均值化处理：

其中J是最大的时间尺度。这些就是标准化小波能量谱系数(NormalizedWavelet Energy Spectrum Coefficients，NWESCs)。NWESCs作为神经网络的输入数据。

设计组合神经网络模型。神经网络是一种典型的机器学习算法，而组合神经网络比单神经网络模型的精度要高。组合神经网络是基于堆栈泛化理论的，即前一层的预测结果作为后一层的输入，并在最后输出预测值。基于上述理论，建立一个两层的组合神经网络模型。因为有两类数据(正常流量和LDoS流量)，因此第一层包含两个子网络，而第二层网络的输入数据是来自第一层的输出，两层训练目标是相同的。

对于组合神经网络的每一层，采用MLPNN(Multilayer Perceptron NeuralNetwork)模型。对于隐含层的每一个神经元j，输出y_j是输入信号x_i与权值w_ji相乘求和的函数：

y_j＝f(∑w_jix_i)

f是一个激活函数，它可以把所有信号的总和转换为一个神经元，本专利选用S型函数作为隐含层和输出层的激活函数。后向学习算法用于训练多层神经网络，在后向学习算法中，均方误差作为期望与实际输出的误差E，可以表示为：

y_dj是期望输出神经元，y_j是实际输出神经元。在第一层和第二层神经网络中，Levenberg-Marquardt优化算法可以最快的是E减小。将所分类数据分别作为训练序列进入二层BP神经网络，将训练好的网络保存，做为分类器使用。

附图说明

图1为TCP流量分布图，(a)表示正常情况，(b)表示有LDoS攻击时的流量分布图；

图2为实验环境拓扑图；

图3为小波能量谱比较图，(a)表示上行流量，(b)表示下行流量，(c)表示双向流量；

图4为隐含层神经元个数比较图；

图5为组合神经网络输出图，(a)为上行输出，(b)为下行输出，(c)为双向输出，(d)为上行+下行输出，(e)为上行+下行+双向输出；

图6为本专利实验方法流程图。

具体实施方法

1.首先验证LDoS攻击检测效果，利用test-bed搭建实际实验环境。图2为实验环境的拓扑图。其中，有4个客户端，一个攻击端，一个FTP服务器，瓶颈链路带宽为10Mbps，其余带宽为100Mbps。FTP服务器基于TCP协议，因此服务端为受害端，用户从FTP服务器下载资源。实验中，LDoS产生工具发送基于UDP的脉冲，阻止交换机和路由器间的瓶颈链路。攻击参数为：脉宽300ms，速率10Mbps，周期1100ms。采集到的流量数据，如图1所示。

2.采集到数据后，对每组数据进行特征提取。对所采集数据用五阶db小波作为母函数，经研究，由于在不同时间尺度上的小波能量谱系数的统计特性，小波分解的层次越多，就能更好的反映网络流量的特点，由于识别算法的效率限制，分解层次不能无限大。根据测试结果，小波能量谱五层分解后有最小的偏差。因此，网络流量被分解为五层小波系数，并计算相应的能量谱。再对分解后的小波谱系数进行零均值标准化，对标准化后的小波谱系数进行分组，按以下规则分类：

1)只有上行流量的NWESCs；

2)只有下行流量的NWESCs；

3)只有双向流量的NWESCs；

4)有上行+下行流量的NWESCs；

5)有上行+下行+双向流量的NWESCs。

其中每组各有20个数据(正常和攻击各10个)，得到NWESCs分类图，如图3所示，可以反映出攻击和正常流量的尺度特性的不同。

3.对两层组合神经网络建模，其中两层网络的学习率、训练目标和迭代次数分别均为0.01，0.001和500。根据实验结果，如图4所示，第一层神经元个数为20，第二层为25个。输出标准为：正常序列输出为(1，0)，异常(攻击)序列输出为(0，1)。

4.将分类好的数据各取出一组作为训练序列，分别训练神经网络，将达到目标后的神经网络保存，可以得到符合要求的分类器。训练成功的输出序列如图5所示。

对应步骤2不同的输入类型，采用更多的数据进入分类器，可以得到每类输入的检测性能如下表所示。

从上表，我们可以观察到，对于采用单向流量NWESCs的LDoS攻击流量识别，它有一定的局限性。方案1的识别率，虚警率，漏警性率分别为95.7％、4.3％和6.7％，且方案2的识别率，虚警率和漏警率分别为90.4％、9.6％和8％。这些不理想的识别结果的单向流量表明攻击流量会出现类似的多重分形特征。例如，一些突发流量在网络上可能会导致错误的判断。相比之下，方案3，4，和5可以更准确地确定LDoS攻击流量。方案3，由于多重分形特性的差异不同的双向流量的增加，它提高了识别性能。方案4，使用上行和下行的所有NWESCs，从而使特征向量的数目增加，有准确的识别结果。方案5，它结合方案3和方案4的特征向量，从而获得最佳的识别率，虚警率和漏警率分别为99.6％，0.4％，和1.3％。

Claims

1.基于小波能量谱和组合神经网络的低速率拒绝服务攻击(Low-rate Denial ofService，LDoS)检测方法，其特征在于：将流量的小波能量谱系数作为特征，将组合神经网络作为分类器，对正常流量和LDoS攻击流量进行分类；是通过以下步骤实现的：

(1)在受害端采集网络流量；

(2)对正常流量和攻击流量分别进行小波变换，得到小波系数；

(3)计算零均值化的小波能量谱系数；

(4)设计一个组合神经网络模型；

(5)利用不同的采样数据对组合神经网络进行训练，得到分类器；

(6)将测试数据集作为输入，验证检测性能。

2.根据权利要求1所述的小波功率谱和组合神经网络的LDoS攻击检测方法，其特征在于：

其中，步骤(1)是分别采集正常流量和攻击流量的上行、下行和双向数据，采样间隔500ms，采样周期5min，采样值以Byte为单位；

步骤(2)将所采集的数据当作一个网络流量样本信号X(t)，根据如下算法进行db五阶小波变换：

其中，是尺度系数，是小波系数，尺度函数和小波函数；

步骤(3)将小波系数进行平方均值化，得到小波能量谱系数

其中，是小波系数在尺度j下的个数；然后，对进行零均值化处理：

其中，J是最大时间尺度；

步骤(4)所设计的组合神经网络模型有两层，第一层的输出作为第二层的输入，第二层输出最后预测结果；第一层包含两个两输入两输出的子网，第二层为一个四输入两输出的网络；第一层隐含层神经元个数为20，第二层隐含层神经元个数为25；传递函数使用双曲正切S型函数；网络以基于Levenberg-Marquardt算法的误差反向传播作为学习算法；学习率、训练目标和最大迭代次数为别设置为0.01、0.001和500；组合神经网络的期望输出以矩阵形式表示，正常流量的期望输出为(m1，m2)＝(1，0)，攻击流量的期望输出为(m1，m2)＝(0，1)；

步骤(5)用于训练组合神经网络的数据包含五种类型：

1)5个上行流量的零均值化小波能量谱系数；

2)5个下行流量的零均值化小波能量谱系数；

3)5个双向流量的零均值化小波能量谱系数；

4)上行+下行流量的零均值化小波能量谱系数，共10个；

5)上行+下行+双向流量的零均值化小波能量谱系数，共15个；

分别用200组正常流量和200组异常流量作为训练数据集；

步骤(6)采用1000组正常流量和1000组异常流量作为测试数据集，验证检测方法的性能，可达到的检测率、虚警率和漏警率为：99.6％，0.4％和1.3％。