CN107302517A - 面向互联网自治域的LDoS攻击检测方法和装置 - Google Patents
面向互联网自治域的LDoS攻击检测方法和装置 Download PDFInfo
- Publication number
- CN107302517A CN107302517A CN201610235349.2A CN201610235349A CN107302517A CN 107302517 A CN107302517 A CN 107302517A CN 201610235349 A CN201610235349 A CN 201610235349A CN 107302517 A CN107302517 A CN 107302517A
- Authority
- CN
- China
- Prior art keywords
- ldos attack
- flow pulse
- network state
- unknown parameter
- disaggregated model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向互联网自治域的LDoS攻击检测方法和装置,所述方法包括:从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与流量脉冲特征对应的网络状态;根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数;根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。本发明通过上述方法可以实现在不用修改通信协议的条件下,能有效准确地检测出面向互联网自治域的LDoS攻击。
Description
技术领域
本发明涉及互联网安全技术领域,特别涉及一种面向互联网自治域的LDoS攻击检测方法和装置。
背景技术
作为互联网的关键支撑部分,基于边界网关协议(Border Gateway Protocol,简称“BGP”)的域间路由系统位于整个网络的控制平面,是互联网中不同自治域互连及交换网络可达信息的主要机制,其安全对整个互联网具有重要影响。然而由于BGP协议存在设计缺陷(例如:自适应机制的安全漏洞),致使域间路由系统安全问题日益突出,尤其是近年来针对域间路由系统的攻击技术越来越复杂,造成的危害也远大于传统网络攻击。
其中,低速率拒绝服务攻击(Low rate Denial of Service,简称“LDoS”)是近年来提出的一类新型拒绝服务(Denial of Service,简称“DoS”)攻击,其不同于传统洪泛式DoS攻击,其利用了BGP协议的自适应机制所存在的安全漏洞(自适应性机制的主要作用是维持系统稳定运行,因此在其设计过程中,设计者们主要注重的是高效性、公平性和稳定性,而对安全性考虑不多,这就导致了其自身的脆弱性),通过低速率周期性流量攻击,使网络路由器间的互连链路反复拥塞,引发域间路由节点或邻接的大范围级联失效,从而影响控制平面并将攻击造成的影响扩大到全局网络。
现阶段,针对LDoS攻击的防范,主要是对LDoS攻击所针对的安全漏洞进行修改,但是由于BGP协议已得到广泛应用,对其进行修改并不合适,因此,还是需要一种比较有效的LDoS攻击的检测方法,来防范面向互联网自治域的LDoS攻击。
发明内容
为了解决现有技术中缺乏一种有效的LDoS攻击的检测方法,来防范面向互 联网自治域的LDoS攻击的问题,本发明实施例提供了一种面向互联网自治域的LDoS攻击检测方法和装置。所述技术方案如下:
一方面,提供了一种面向互联网自治域的LDoS攻击检测方法,所述方法包括:
从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与所述流量脉冲特征对应的网络状态,所述流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,所述网络状态包括:受到LDoS攻击和未受到LDoS攻击;
根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;
根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型;
根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
本发明上述的面向互联网自治域的LDoS攻击检测方法中,所述根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型,包括:
根据所述条件随机场算法,建立如下LDoS攻击的分类模型:
其中,λ和μ均为所述LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即 );y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,所述网络状态为受到LDoS攻击,当y为1时,所述网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数;
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点和连接两个节点的边,CG有是无向图G中所用c的集合;
λT=[λ1,λ2,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ1,μ2,…,μq]T 为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi对应于无向图G中的向量相加得到的。
本发明上述的面向互联网自治域的LDoS攻击检测方法中,所述根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,包括:
采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
本发明上述的面向互联网自治域的LDoS攻击检测方法中,所述根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态,包括:
根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
本发明上述的面向互联网自治域的LDoS攻击检测方法中,所述方法还包括:
将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算所述LDoS攻击的分类模型中的未知参数。
另一方面,提供了一种面向互联网自治域的LDoS攻击检测装置,所述装置包括:
获取模块,用于从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与所述流量脉冲特征对应的网络状态,所述流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,所述网络状态包括:受到LDoS攻击和未受到LDoS攻击;
处理模块,用于根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;
计算模块,用于根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型;
所述计算模块,还用于根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
本发明上述的面向互联网自治域的LDoS攻击检测装置中,所述处理模块, 还用于根据所述条件随机场算法,建立如下LDoS攻击的分类模型:
其中,λ和μ均为所述LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即 );y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,所述网络状态为受到LDoS攻击,当y为1时,所述网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数;
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点和连接两个节点的边,CG有是无向图G中所用c的集合;
λT=[λ1,λ2,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ1,μ2,…,μq]T为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi对应于无向图G中的向量相加得到的。
本发明上述的面向互联网自治域的LDoS攻击检测装置中,所述计算模块。还用于采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
本发明上述的面向互联网自治域的LDoS攻击检测装置中,所述计算模块,还用于根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
本发明上述的面向互联网自治域的LDoS攻击检测装置中,所述计算模块,还用于将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算所述LDoS攻击的分类模型中的未知参数。
本发明实施例提供的技术方案带来的有益效果是:
通过从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与流量脉冲特征对应的网络状态,并根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;然后,根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数;最后,根据计算出 未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。这样可以在不用修改通信协议的条件下,实时有效准确地检测出面向互联网自治域的LDoS攻击。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种面向互联网自治域的LDoS攻击检测方法的流程图;
图2是本发明实施例一提供的一种面向互联网自治域的LDoS攻击检测方法的流程图;
图3是本发明实施例一提供的一种一阶链式条件随机场无向图的原理示意图;
图4是本发明实施例二提供的一种面向互联网自治域的LDoS攻击检测装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明实施例提供了一种面向互联网自治域的LDoS攻击检测方法,参见图1,该方法包括:
步骤S11,从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和流量脉冲特征对应的网络状态,该流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,该网络状态包括受到LDoS攻击和未受到LDoS攻击。
需要说明的是,面向互联网自治域的LDoS攻击的流量脉冲具有至少三个重要特征,包括脉冲长度L、脉冲周期T、以及脉冲强度R。其中,LDoS攻击的脉冲长度L必须足够大,才能引发数据包丢失进而诱使以传输控制协议 (Transmission Control Protocol,简称“TCP”)为通信协议的BGP会话进入超时重传状态,因此,LDoS攻击的脉冲长度L一般为不同时刻下往返时延(Round Trip Time,简称“RTT”)的最大值的2倍,即L=2*max(RTT1,RTT2,…,RTTn);LDoS攻击的脉冲周期T一般为最小超时重传(Retransmission Timeout,简称“RTO”)时间,即T=minRTO;LDoS攻击的脉冲强度R也必须足够大,才能引起网络拥塞,至少要大于目标链路的带宽,即R≥Ctarget_link。由此可知,LDoS攻击的脉冲长度L、脉冲周期T、以及脉冲强度R,这三个流量脉冲特征能够有效的将LDoS攻击与正常的流量脉冲区分开来。
在本实施例中,可以将获取的流量脉冲特征的数据和流量脉冲特征对应的网络状态,采用四元组<L,T,R,Y>来表示,其中Y为网络状态标记,0表示正常(即未受到LDoS攻击),1表示异常(即受到LDoS攻击)。
步骤S12,根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型。
具体地,上述步骤S12可以通过如下方式来实现:
根据条件随机场算法,建立如下LDoS攻击的分类模型:
其中,λ和μ均为LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即 );y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,网络状态为受到LDoS攻击,当y为1时,网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数。
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点(即yi或xi)和连接两个节点的边,CG有是无向图G中所用c的集合。采用归一化因子,可以将上述LDoS攻击的分类模型的输出结果控制在0至1之间,有利于后续计算判断。
λT=[λ1,λ2,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ1,μ2,…,μq]T为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应 于无向图G中的向量与流量脉冲特征xi-1对应于无向图G中的向量相加得到的,或者说gi,i-1(x)表示从观测序列x提取的位置对(i,i-1)且维数为q的特征向量,它通过特征向量xi和xi-1首尾相连而得到。
在本实施例中,参见图2,为了兼顾检测的性能和效率,LDoS攻击的分类模型采用一阶链式条件随机场模型。即当前判定标记yi(即网络状态yi)只与前一时刻的标记yi-1(即网络状态yi-1)输出有关,相邻标记具有一阶Malkov特性。
和分别为单位置势函数和双位置势函数,且分别采用对数回归(logistic regression,简称“LR”)和Ising/Potts模型定义。这里采用对数回归来建立模型,首先,是因为它具有闭合性,适于融入条件随机场模型;其次,相比于传统线性判别分析,它不要求观测数据满足高斯分布等限制条件,可以适应更多类型的观测数据。Ising/Potts模型会对两个相邻位置标记(即无向图G流量脉冲特征xi和流量脉冲特征xi-1对应的位置)中不相同的情况产生一个惩罚代价μTgi,i-1(x),保证最终检测结果趋于平滑。
需要说明的是,上述步骤S11和步骤S12没有先后之分,可以先执行步骤S12,也可以步骤S11和步骤S12同时执行。
步骤S13,根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型。
具体地,上述步骤S13可以通过如下方式实现:
采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
在本实施例中,极大似然估计,是一种概率论在统计学的应用,它是参数估计的方法之一,即可以计算未知参数λ和μ。说的是已知某个随机样本满足某种概率分布,但是其中具体的参数(例如:λ和μ)不清楚,极大似然估计就是通过若干次试验,观察其结果,利用结果推出参数的值。通过极大似然估计法,能够快速有效地计算出LDoS攻击的分类模型中的未知参数λ和μ。
在实际应用中,可以根据给定的训练数据集D,包括观测序列 和标记序列y={yi|yi∈{0,1},i∈n},采用极大似然估计法对LDoS攻击的分类模型中的未知参数λ和μ进行调整优化。
步骤S14,根据计算出未知参数的LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
具体地,上述步骤S14可以通过如下方式实现:
根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
在本实施例中,采用Viterbi算法,是在给定LDoS攻击的分类模型P(Y|X)参数(即λ和μ)和观测序列X*=(x* 1,x* 2,…,x* n)(即实时采集的流量脉冲特征数据)条件下,求解条件概率最大时的输出标记序列(即实时采集的流量脉冲特征数据对应的网络状态)。其中,观测序列X*=(x* 1,x* 2,…,x* n)的每个数据都对应脉冲长度L、脉冲周期T和脉冲强度R组成的序列,即:输出标记为网络流量正常或异常的判断输出(即是否受到LDoS攻击)。采用Viterbi算法,可以在较少计算量的条件下获取较优的输出结果,有利于快速对网络是否受到LDoS攻击做出准确判断。
参见图2,该方法可以还包括:
步骤S15,将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算LDoS攻击的分类模型中的未知参数。
在本实施例中,将已判断出结果的流量脉冲特征数据和与其对应的网络状态,重新加入到历史流量数据中,更新历史流量数据,并重新计算LDoS攻击的分类模型中的未知参数,使得重新计算出来的未知参数更符合实际情况,进而促使LDoS攻击的分类模型能够更准确的检验出网络状态。
本发明实施例先通过从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与流量脉冲特征对应的网络状态,并根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;然后,根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数;最后,根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。这样可以在不用修改通信协议的条件下,实时有效准确地检测出面向互联网自治域的LDoS攻击。
实施例二
本发明实施例提供了一种面向互联网自治域的LDoS攻击检测装置,可以用于实现实施例一所述的方法,参见图4,该装置包括:
获取模块201,用于从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和流量脉冲特征对应的网络状态,该流量脉冲特征包括:脉冲长度、脉 冲周期、以及脉冲强度,该网络状态包括受到LDoS攻击和未受到LDoS攻击。
需要说明的是,面向互联网自治域的LDoS攻击的流量脉冲具有至少三个重要特征,包括脉冲长度L、脉冲周期T、以及脉冲强度R。其中,LDoS攻击的脉冲长度L必须足够大,才能引发数据包丢失进而诱使以传输控制协议(Transmission Control Protocol,简称“TCP”)为通信协议的BGP会话进入超时重传状态,因此,LDoS攻击的脉冲长度L一般为不同时刻下往返时延(Round Trip Time,简称“RTT”)的最大值的2倍,即L=2*max(RTT1,RTT2,…,RTTn);LDoS攻击的脉冲周期T一般为最小超时重传(Retransmission Timeout,简称“RTO”)时间,即T=minRTO;LDoS攻击的脉冲强度R也必须足够大,才能引起网络拥塞,至少要大于目标链路的带宽,即R≥Ctarget_link。由此可知,LDoS攻击的脉冲长度L、脉冲周期T、以及脉冲强度R,这三个流量脉冲特征能够有效的将LDoS攻击与正常的流量脉冲区分开来。
处理模块202,用于根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型。
具体地,处理模块202,还用于根据条件随机场算法,建立如下LDoS攻击的分类模型:
其中,λ和μ均为LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即 );y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,网络状态为受到LDoS攻击,当y为1时,网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数。
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点(即yi或xi)和连接两个节点的边,CG有是无向图G中所用c的集合。采用归一化因子,可以将上述LDoS攻击的分类模型的输出结果控制在0至1之间,有利于后续计算判断。
λT=[λ1,λ2,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ1,μ2,…,μq]T 为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi-1对应于无向图G中的向量相加得到的。
在本实施例中,参见图2,为了兼顾检测的性能和效率,LDoS攻击的分类模型采用一阶链式条件随机场模型。即当前判定标记yi(即网络状态yi)只与前一时刻的标记yi-1(即网络状态yi-1)输出有关,相邻标记具有一阶Malkov特性。
和分别为单位置势函数和双位置势函数,且分别采用对数回归(logistic regression,简称“LR”)和Ising/Potts模型定义。这里采用对数回归来建立模型,首先,是因为它具有闭合性,适于融入条件随机场模型;其次,相比于传统线性判别分析,它不要求观测数据满足高斯分布等限制条件,可以适应更多类型的观测数据。Ising/Potts模型会对两个相邻位置标记(即无向图G流量脉冲特征xi和流量脉冲特征xi-1对应的位置)中不相同的情况产生一个惩罚代价μTgi,i-1(x),保证最终检测结果趋于平滑。
计算模块203,用于根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型。
具体地,计算模块203,还用于采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
在本实施例中,极大似然估计,是一种概率论在统计学的应用,它是参数估计的方法之一,即可以计算未知参数λ和μ。说的是已知某个随机样本满足某种概率分布,但是其中具体的参数(例如:λ和μ)不清楚,极大似然估计就是通过若干次试验,观察其结果,利用结果推出参数的值。通过极大似然估计法,能够快速有效地计算出LDoS攻击的分类模型中的未知参数λ和μ。
在实际应用中,可以根据给定的训练数据集D,包括观测序列 和标记序列y={yi|yi∈{0,1},i∈n},采用极大似然估计法对LDoS攻击的分类模型中的未知参数λ和μ进行调整优化。
计算模块203,还用于根据计算出未知参数的LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
具体地,计算模块203,还用于根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
在本实施例中,采用Viterbi算法,是在给定LDoS攻击的分类模型P(Y|X)参数(即λ和μ)和观测序列X*=(x* 1,x* 2,…,x* n)(即实时采集的流量脉冲特征数据) 条件下,求解条件概率最大时的输出标记序列(即实时采集的流量脉冲特征数据对应的网络状态)。其中,观测序列X*=(x* 1,x* 2,…,x* n)的每个数据都对应脉冲长度L、脉冲周期T和脉冲强度R组成的序列,即:输出标记为网络流量正常或异常的判断输出(即是否受到LDoS攻击)。采用Viterbi算法,可以在较少计算量的条件下获取较优的输出结果,有利于快速对网络是否受到LDoS攻击做出准确判断。
计算模块203,还用于将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算LDoS攻击的分类模型中的未知参数。
在本实施例中,将已判断出结果的流量脉冲特征数据和与其对应的网络状态,重新加入到历史流量数据中,更新历史流量数据,并重新计算LDoS攻击的分类模型中的未知参数,使得重新计算出来的未知参数更符合实际情况,进而促使LDoS攻击的分类模型能够更准确的检验出网络状态。
本发明实施例先通过获取模块,从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与流量脉冲特征对应的网络状态,并通过处理模块,根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;然后,通过计算模块,根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数;最后,通过计算模块,根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。这样可以在不用修改通信协议的条件下,实时有效准确地检测出面向互联网自治域的LDoS攻击。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是:上述实施例提供的面向互联网自治域的LDoS攻击检测装置在实现面向互联网自治域的LDoS攻击检测方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的面向互联网自治域的LDoS攻击检测装置与面向互联网自治域的LDoS攻击检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于 一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种面向互联网自治域的LDoS攻击检测方法,其特征在于,所述方法包括:
从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与所述流量脉冲特征对应的网络状态,所述流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,所述网络状态包括:受到LDoS攻击和未受到LDoS攻击;
根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;
根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型;
根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
2.根据权利要求1所述的方法,其特征在于,所述根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型,包括:
根据所述条件随机场算法,建立如下LDoS攻击的分类模型:
其中,λ和μ均为所述LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即);y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,所述网络状态为受到LDoS攻击,当y为1时,所述网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数;
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点和连接两个节点的边,CG有是无向图G中所用c的集合;
λT=[λ1,λ2,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ1,μ2,…,μq]T为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi对应于无向图G中的向量相加得到的。
3.根据权利要求2所述的方法,其特征在于,所述根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,包括:
采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
4.根据权利要求3所述的方法,其特征在于,所述根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态,包括:
根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算所述LDoS攻击的分类模型中的未知参数。
6.一种面向互联网自治域的LDoS攻击检测装置,其特征在于,所述装置包括:
获取模块,用于从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与所述流量脉冲特征对应的网络状态,所述流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,所述网络状态包括:受到LDoS攻击和未受到LDoS攻击;
处理模块,用于根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;
计算模块,用于根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型;
所述计算模块,还用于根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
7.根据权利要求6所述的装置,其特征在于,所述处理模块,还用于根据所述条件随机场算法,建立如下LDoS攻击的分类模型:
其中,λ和μ均为所述LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即);y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,所述网络状态为受到LDoS攻击,当y为1时,所述网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数;
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点和连接两个节点的边,CG有是无向图G中所用c的集合;
λT=[λ1,λ2,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ1,μ2,…,μq]T为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi对应于无向图G中的向量相加得到的。
8.根据权利要求7所述的装置,其特征在于,所述计算模块。还用于采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
9.根据权利要求8所述的装置,其特征在于,所述计算模块,还用于根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
10.根据权利要求6所述的装置,其特征在于,所述计算模块,还用于将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算所述LDoS攻击的分类模型中的未知参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610235349.2A CN107302517B (zh) | 2016-04-15 | 2016-04-15 | 面向互联网自治域的LDoS攻击检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610235349.2A CN107302517B (zh) | 2016-04-15 | 2016-04-15 | 面向互联网自治域的LDoS攻击检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107302517A true CN107302517A (zh) | 2017-10-27 |
| CN107302517B CN107302517B (zh) | 2020-05-05 |
Family
ID=60136687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610235349.2A Active CN107302517B (zh) | 2016-04-15 | 2016-04-15 | 面向互联网自治域的LDoS攻击检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107302517B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109167789A (zh) * | 2018-09-13 | 2019-01-08 | 上海海事大学 | 一种云环境LDoS攻击数据流检测方法及系统 |
| CN112073402A (zh) * | 2020-08-31 | 2020-12-11 | 新华三信息安全技术有限公司 | 一种流量攻击检测方法及装置 |
| CN112788063A (zh) * | 2021-01-29 | 2021-05-11 | 湖南大学 | 基于RF-GMM的SDN中LDoS攻击检测方法 |
| CN112804248A (zh) * | 2021-01-28 | 2021-05-14 | 湖南大学 | 一种基于频域特征融合的LDoS攻击检测方法 |
| CN114629695A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种网络异常检测方法、装置、设备和介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080295175A1 (en) * | 2007-05-25 | 2008-11-27 | Nirwan Ansari | PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS |
| CN102821007A (zh) * | 2012-08-06 | 2012-12-12 | 河南科技大学 | 一种基于自律计算的网络安全态势感知系统及其处理方法 |
| CN102882883A (zh) * | 2012-10-11 | 2013-01-16 | 常州大学 | P2P网络中基于节点分级的DDoS攻击防御方法 |
| CN103944887A (zh) * | 2014-03-24 | 2014-07-23 | 西安电子科技大学 | 基于隐条件随机场的入侵事件检测方法 |
| CN104113544A (zh) * | 2014-07-18 | 2014-10-22 | 重庆大学 | 基于模糊隐条件随机场模型的网络入侵检测方法及系统 |
-
2016
- 2016-04-15 CN CN201610235349.2A patent/CN107302517B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080295175A1 (en) * | 2007-05-25 | 2008-11-27 | Nirwan Ansari | PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS |
| CN102821007A (zh) * | 2012-08-06 | 2012-12-12 | 河南科技大学 | 一种基于自律计算的网络安全态势感知系统及其处理方法 |
| CN102882883A (zh) * | 2012-10-11 | 2013-01-16 | 常州大学 | P2P网络中基于节点分级的DDoS攻击防御方法 |
| CN103944887A (zh) * | 2014-03-24 | 2014-07-23 | 西安电子科技大学 | 基于隐条件随机场的入侵事件检测方法 |
| CN104113544A (zh) * | 2014-07-18 | 2014-10-22 | 重庆大学 | 基于模糊隐条件随机场模型的网络入侵检测方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 刘文胜,周长胜: ""基于路由器BGP协议的低速率攻击与防御"", 《北京信息科技大学学报(自然科学版)》 * |
| 刘运,蔡志平,钟平,殷建平,程杰仁: ""基于条件随机场的DDoS攻击检测方法"", 《软件学报》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109167789A (zh) * | 2018-09-13 | 2019-01-08 | 上海海事大学 | 一种云环境LDoS攻击数据流检测方法及系统 |
| CN109167789B (zh) * | 2018-09-13 | 2021-04-13 | 上海海事大学 | 一种云环境LDoS攻击数据流检测方法及系统 |
| CN112073402A (zh) * | 2020-08-31 | 2020-12-11 | 新华三信息安全技术有限公司 | 一种流量攻击检测方法及装置 |
| CN112073402B (zh) * | 2020-08-31 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种流量攻击检测方法及装置 |
| CN112804248A (zh) * | 2021-01-28 | 2021-05-14 | 湖南大学 | 一种基于频域特征融合的LDoS攻击检测方法 |
| CN112804248B (zh) * | 2021-01-28 | 2022-02-01 | 湖南大学 | 一种基于频域特征融合的LDoS攻击检测方法 |
| CN112788063A (zh) * | 2021-01-29 | 2021-05-11 | 湖南大学 | 基于RF-GMM的SDN中LDoS攻击检测方法 |
| CN114629695A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种网络异常检测方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107302517B (zh) | 2020-05-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107302517A (zh) | 面向互联网自治域的LDoS攻击检测方法和装置 | |
| WO2021227322A1 (zh) | 一种SDN环境DDoS攻击检测防御方法 | |
| DE60307707T2 (de) | Einfache Zugangskontrolle für IP basierte Netze | |
| CN104618377B (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
| CN106921666A (zh) | 一种基于协同理论的DDoS攻击防御系统及方法 | |
| CN108282497A (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
| WO2009118602A2 (en) | Available bandwidth estimation in a packet-switched communication network | |
| CN109768981B (zh) | 一种在sdn架构下基于机器学习的网络攻击防御方法和系统 | |
| Xu et al. | Defending DDoS attacks using hidden Markov models and cooperative reinforcement learning | |
| CN112422584A (zh) | 一种基于深度学习的DDoS攻击回溯抵御方法 | |
| EP2727284B1 (en) | Determining path congestion measures | |
| Xiang et al. | Mark-aided distributed filtering by using neural network for DDoS defense | |
| Gupta | Predicting number of zombies in DDoS attacks using pace regression model | |
| CN107809381B (zh) | 一种实现基于sdn中路由环路主动审计方法 | |
| CN105323241A (zh) | 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法 | |
| Gupta et al. | Prediction of number of zombies in a DDoS attack using polynomial regression model | |
| CN105007271A (zh) | 一种DDoS攻击僵尸网络的识别方法及系统 | |
| Dong et al. | Research on network traffic identification based on improved BP neural network | |
| CN107454052A (zh) | 网络攻击检测方法以及攻击检测装置 | |
| Affinito et al. | Spark-based port and net scan detection | |
| CN108521413A (zh) | 一种未来信息战争的网络抵抗和防御方法及系统 | |
| CN109257384A (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
| Mouchet et al. | A flexible infinite HMM model for accurate characterization and segmentation of RTT timeseries | |
| Wang et al. | Ensemble classifier for traffic in presence of changing distributions | |
| Molina | A scalable and efficient methodology for flow monitoring in the Internet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |