CN107302517B - 面向互联网自治域的LDoS攻击检测方法和装置 - Google Patents

面向互联网自治域的LDoS攻击检测方法和装置 Download PDF

Info

Publication number
CN107302517B
CN107302517B CN201610235349.2A CN201610235349A CN107302517B CN 107302517 B CN107302517 B CN 107302517B CN 201610235349 A CN201610235349 A CN 201610235349A CN 107302517 B CN107302517 B CN 107302517B
Authority
CN
China
Prior art keywords
pulse
network state
ldos attack
ldos
classification model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610235349.2A
Other languages
English (en)
Other versions
CN107302517A (zh
Inventor
景晓军
沈智杰
刘永强
郭毅
段海新
魏克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Surfilter Network Technology Co ltd
Original Assignee
Surfilter Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Surfilter Network Technology Co ltd filed Critical Surfilter Network Technology Co ltd
Priority to CN201610235349.2A priority Critical patent/CN107302517B/zh
Publication of CN107302517A publication Critical patent/CN107302517A/zh
Application granted granted Critical
Publication of CN107302517B publication Critical patent/CN107302517B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向互联网自治域的LDoS攻击检测方法和装置,所述方法包括:从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与流量脉冲特征对应的网络状态;根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数;根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。本发明通过上述方法可以实现在不用修改通信协议的条件下,能有效准确地检测出面向互联网自治域的LDoS攻击。

Description

面向互联网自治域的LDoS攻击检测方法和装置
技术领域
本发明涉及互联网安全技术领域,特别涉及一种面向互联网自治域的LDoS攻击检测方法和装置。
背景技术
作为互联网的关键支撑部分,基于边界网关协议(Border Gateway Protocol,简称“BGP”)的域间路由系统位于整个网络的控制平面,是互联网中不同自治域互连及交换网络可达信息的主要机制,其安全对整个互联网具有重要影响。然而由于BGP协议存在设计缺陷(例如:自适应机制的安全漏洞),致使域间路由系统安全问题日益突出,尤其是近年来针对域间路由系统的攻击技术越来越复杂,造成的危害也远大于传统网络攻击。
其中,低速率拒绝服务攻击(Low rate Denial of Service,简称“LDoS”)是近年来提出的一类新型拒绝服务(Denial of Service,简称“DoS”)攻击,其不同于传统洪泛式DoS攻击,其利用了BGP协议的自适应机制所存在的安全漏洞(自适应性机制的主要作用是维持系统稳定运行,因此在其设计过程中,设计者们主要注重的是高效性、公平性和稳定性,而对安全性考虑不多,这就导致了其自身的脆弱性),通过低速率周期性流量攻击,使网络路由器间的互连链路反复拥塞,引发域间路由节点或邻接的大范围级联失效,从而影响控制平面并将攻击造成的影响扩大到全局网络。
现阶段,针对LDoS攻击的防范,主要是对LDoS攻击所针对的安全漏洞进行修改,但是由于BGP协议已得到广泛应用,对其进行修改并不合适,因此,还是需要一种比较有效的LDoS攻击的检测方法,来防范面向互联网自治域的LDoS攻击。
发明内容
为了解决现有技术中缺乏一种有效的LDoS攻击的检测方法,来防范面向互 联网自治域的LDoS攻击的问题,本发明实施例提供了一种面向互联网自治域的LDoS攻击检测方法和装置。所述技术方案如下:
一方面,提供了一种面向互联网自治域的LDoS攻击检测方法,所述方法包括:
从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与所述流量脉冲特征对应的网络状态,所述流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,所述网络状态包括:受到LDoS攻击和未受到LDoS攻击;
根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;
根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型;
根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
本发明上述的面向互联网自治域的LDoS攻击检测方法中,所述根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型,包括:
根据所述条件随机场算法,建立如下LDoS攻击的分类模型:
Figure DEST_PATH_GDA0001052140650000021
Figure DEST_PATH_GDA0001052140650000022
其中,λ和μ均为所述LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即
Figure DEST_PATH_GDA0001052140650000023
);y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,所述网络状态为受到LDoS攻击,当y为1时,所述网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数;
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点和连接两个节点的边,CG有是无向图G中所用c的集合;
λT=[λ12,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ12,…,μq]T 为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi对应于无向图G中的向量相加得到的。
本发明上述的面向互联网自治域的LDoS攻击检测方法中,所述根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,包括:
采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
本发明上述的面向互联网自治域的LDoS攻击检测方法中,所述根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态,包括:
根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
本发明上述的面向互联网自治域的LDoS攻击检测方法中,所述方法还包括:
将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算所述LDoS攻击的分类模型中的未知参数。
另一方面,提供了一种面向互联网自治域的LDoS攻击检测装置,所述装置包括:
获取模块,用于从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与所述流量脉冲特征对应的网络状态,所述流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,所述网络状态包括:受到LDoS攻击和未受到LDoS攻击;
处理模块,用于根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;
计算模块,用于根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型;
所述计算模块,还用于根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
本发明上述的面向互联网自治域的LDoS攻击检测装置中,所述处理模块, 还用于根据所述条件随机场算法,建立如下LDoS攻击的分类模型:
Figure DEST_PATH_GDA0001052140650000041
Figure DEST_PATH_GDA0001052140650000042
其中,λ和μ均为所述LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即
Figure DEST_PATH_GDA0001052140650000043
);y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,所述网络状态为受到LDoS攻击,当y为1时,所述网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数;
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点和连接两个节点的边,CG有是无向图G中所用c的集合;
λT=[λ12,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ12,…,μq]T为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi对应于无向图G中的向量相加得到的。
本发明上述的面向互联网自治域的LDoS攻击检测装置中,所述计算模块。还用于采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
本发明上述的面向互联网自治域的LDoS攻击检测装置中,所述计算模块,还用于根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
本发明上述的面向互联网自治域的LDoS攻击检测装置中,所述计算模块,还用于将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算所述LDoS攻击的分类模型中的未知参数。
本发明实施例提供的技术方案带来的有益效果是:
通过从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与流量脉冲特征对应的网络状态,并根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;然后,根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数;最后,根据计算出 未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。这样可以在不用修改通信协议的条件下,实时有效准确地检测出面向互联网自治域的LDoS攻击。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种面向互联网自治域的LDoS攻击检测方法的流程图;
图2是本发明实施例一提供的一种面向互联网自治域的LDoS攻击检测方法的流程图;
图3是本发明实施例一提供的一种一阶链式条件随机场无向图的原理示意图;
图4是本发明实施例二提供的一种面向互联网自治域的LDoS攻击检测装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明实施例提供了一种面向互联网自治域的LDoS攻击检测方法,参见图1,该方法包括:
步骤S11,从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和流量脉冲特征对应的网络状态,该流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,该网络状态包括受到LDoS攻击和未受到LDoS攻击。
需要说明的是,面向互联网自治域的LDoS攻击的流量脉冲具有至少三个重要特征,包括脉冲长度L、脉冲周期T、以及脉冲强度R。其中,LDoS攻击的脉冲长度L必须足够大,才能引发数据包丢失进而诱使以传输控制协议 (Transmission Control Protocol,简称“TCP”)为通信协议的BGP会话进入超时重传状态,因此,LDoS攻击的脉冲长度L一般为不同时刻下往返时延(Round Trip Time,简称“RTT”)的最大值的2倍,即L=2*max(RTT1,RTT2,…,RTTn);LDoS攻击的脉冲周期T一般为最小超时重传(Retransmission Timeout,简称“RTO”)时间,即T=minRTO;LDoS攻击的脉冲强度R也必须足够大,才能引起网络拥塞,至少要大于目标链路的带宽,即R≥Ctarget_link。由此可知,LDoS攻击的脉冲长度L、脉冲周期T、以及脉冲强度R,这三个流量脉冲特征能够有效的将LDoS攻击与正常的流量脉冲区分开来。
在本实施例中,可以将获取的流量脉冲特征的数据和流量脉冲特征对应的网络状态,采用四元组<L,T,R,Y>来表示,其中Y为网络状态标记,0表示正常(即未受到LDoS攻击),1表示异常(即受到LDoS攻击)。
步骤S12,根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型。
具体地,上述步骤S12可以通过如下方式来实现:
根据条件随机场算法,建立如下LDoS攻击的分类模型:
Figure DEST_PATH_GDA0001052140650000061
Figure DEST_PATH_GDA0001052140650000062
其中,λ和μ均为LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即
Figure DEST_PATH_GDA0001052140650000063
);y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,网络状态为受到LDoS攻击,当y为1时,网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数。
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点(即yi或xi)和连接两个节点的边,CG有是无向图G中所用c的集合。采用归一化因子,可以将上述LDoS攻击的分类模型的输出结果控制在0至1之间,有利于后续计算判断。
λT=[λ12,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ12,…,μq]T为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应 于无向图G中的向量与流量脉冲特征xi-1对应于无向图G中的向量相加得到的,或者说gi,i-1(x)表示从观测序列x提取的位置对(i,i-1)且维数为q的特征向量,它通过特征向量xi和xi-1首尾相连而得到。
在本实施例中,参见图2,为了兼顾检测的性能和效率,LDoS攻击的分类模型采用一阶链式条件随机场模型。即当前判定标记yi(即网络状态yi)只与前一时刻的标记yi-1(即网络状态yi-1)输出有关,相邻标记具有一阶Malkov特性。
Figure DEST_PATH_GDA0001052140650000071
Figure DEST_PATH_GDA0001052140650000072
分别为单位置势函数和双位置势函数,且分别采用对数回归(logistic regression,简称“LR”)和Ising/Potts模型定义。这里采用对数回归来建立模型,首先,是因为它具有闭合性,适于融入条件随机场模型;其次,相比于传统线性判别分析,它不要求观测数据满足高斯分布等限制条件,可以适应更多类型的观测数据。Ising/Potts模型会对两个相邻位置标记(即无向图G流量脉冲特征xi和流量脉冲特征xi-1对应的位置)中不相同的情况产生一个惩罚代价μTgi,i-1(x),保证最终检测结果趋于平滑。
需要说明的是,上述步骤S11和步骤S12没有先后之分,可以先执行步骤S12,也可以步骤S11和步骤S12同时执行。
步骤S13,根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型。
具体地,上述步骤S13可以通过如下方式实现:
采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
在本实施例中,极大似然估计,是一种概率论在统计学的应用,它是参数估计的方法之一,即可以计算未知参数λ和μ。说的是已知某个随机样本满足某种概率分布,但是其中具体的参数(例如:λ和μ)不清楚,极大似然估计就是通过若干次试验,观察其结果,利用结果推出参数的值。通过极大似然估计法,能够快速有效地计算出LDoS攻击的分类模型中的未知参数λ和μ。
在实际应用中,可以根据给定的训练数据集D,包括观测序列
Figure DEST_PATH_GDA0001052140650000073
和标记序列y={yi|yi∈{0,1},i∈n},采用极大似然估计法对LDoS攻击的分类模型中的未知参数λ和μ进行调整优化。
步骤S14,根据计算出未知参数的LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
具体地,上述步骤S14可以通过如下方式实现:
根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
在本实施例中,采用Viterbi算法,是在给定LDoS攻击的分类模型P(Y|X)参数(即λ和μ)和观测序列X*=(x* 1,x* 2,…,x* n)(即实时采集的流量脉冲特征数据)条件下,求解条件概率最大时的输出标记序列
Figure DEST_PATH_GDA0001052140650000081
(即实时采集的流量脉冲特征数据对应的网络状态)。其中,观测序列X*=(x* 1,x* 2,…,x* n)的每个数据都对应脉冲长度L、脉冲周期T和脉冲强度R组成的序列,即:
Figure DEST_PATH_GDA0001052140650000082
输出标记
Figure DEST_PATH_GDA0001052140650000083
为网络流量正常或异常的判断输出(即是否受到LDoS攻击)。采用Viterbi算法,可以在较少计算量的条件下获取较优的输出结果,有利于快速对网络是否受到LDoS攻击做出准确判断。
参见图2,该方法可以还包括:
步骤S15,将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算LDoS攻击的分类模型中的未知参数。
在本实施例中,将已判断出结果的流量脉冲特征数据和与其对应的网络状态,重新加入到历史流量数据中,更新历史流量数据,并重新计算LDoS攻击的分类模型中的未知参数,使得重新计算出来的未知参数更符合实际情况,进而促使LDoS攻击的分类模型能够更准确的检验出网络状态。
本发明实施例先通过从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与流量脉冲特征对应的网络状态,并根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;然后,根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数;最后,根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。这样可以在不用修改通信协议的条件下,实时有效准确地检测出面向互联网自治域的LDoS攻击。
实施例二
本发明实施例提供了一种面向互联网自治域的LDoS攻击检测装置,可以用于实现实施例一所述的方法,参见图4,该装置包括:
获取模块201,用于从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和流量脉冲特征对应的网络状态,该流量脉冲特征包括:脉冲长度、脉 冲周期、以及脉冲强度,该网络状态包括受到LDoS攻击和未受到LDoS攻击。
需要说明的是,面向互联网自治域的LDoS攻击的流量脉冲具有至少三个重要特征,包括脉冲长度L、脉冲周期T、以及脉冲强度R。其中,LDoS攻击的脉冲长度L必须足够大,才能引发数据包丢失进而诱使以传输控制协议(Transmission Control Protocol,简称“TCP”)为通信协议的BGP会话进入超时重传状态,因此,LDoS攻击的脉冲长度L一般为不同时刻下往返时延(Round Trip Time,简称“RTT”)的最大值的2倍,即L=2*max(RTT1,RTT2,…,RTTn);LDoS攻击的脉冲周期T一般为最小超时重传(Retransmission Timeout,简称“RTO”)时间,即T=minRTO;LDoS攻击的脉冲强度R也必须足够大,才能引起网络拥塞,至少要大于目标链路的带宽,即R≥Ctarget_link。由此可知,LDoS攻击的脉冲长度L、脉冲周期T、以及脉冲强度R,这三个流量脉冲特征能够有效的将LDoS攻击与正常的流量脉冲区分开来。
处理模块202,用于根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型。
具体地,处理模块202,还用于根据条件随机场算法,建立如下LDoS攻击的分类模型:
Figure DEST_PATH_GDA0001052140650000091
Figure DEST_PATH_GDA0001052140650000092
其中,λ和μ均为LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即
Figure DEST_PATH_GDA0001052140650000093
);y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,网络状态为受到LDoS攻击,当y为1时,网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数。
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点(即yi或xi)和连接两个节点的边,CG有是无向图G中所用c的集合。采用归一化因子,可以将上述LDoS攻击的分类模型的输出结果控制在0至1之间,有利于后续计算判断。
λT=[λ12,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ12,…,μq]T 为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi-1对应于无向图G中的向量相加得到的。
在本实施例中,参见图2,为了兼顾检测的性能和效率,LDoS攻击的分类模型采用一阶链式条件随机场模型。即当前判定标记yi(即网络状态yi)只与前一时刻的标记yi-1(即网络状态yi-1)输出有关,相邻标记具有一阶Malkov特性。
Figure DEST_PATH_GDA0001052140650000101
Figure DEST_PATH_GDA0001052140650000102
分别为单位置势函数和双位置势函数,且分别采用对数回归(logistic regression,简称“LR”)和Ising/Potts模型定义。这里采用对数回归来建立模型,首先,是因为它具有闭合性,适于融入条件随机场模型;其次,相比于传统线性判别分析,它不要求观测数据满足高斯分布等限制条件,可以适应更多类型的观测数据。Ising/Potts模型会对两个相邻位置标记(即无向图G流量脉冲特征xi和流量脉冲特征xi-1对应的位置)中不相同的情况产生一个惩罚代价μTgi,i-1(x),保证最终检测结果趋于平滑。
计算模块203,用于根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型。
具体地,计算模块203,还用于采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
在本实施例中,极大似然估计,是一种概率论在统计学的应用,它是参数估计的方法之一,即可以计算未知参数λ和μ。说的是已知某个随机样本满足某种概率分布,但是其中具体的参数(例如:λ和μ)不清楚,极大似然估计就是通过若干次试验,观察其结果,利用结果推出参数的值。通过极大似然估计法,能够快速有效地计算出LDoS攻击的分类模型中的未知参数λ和μ。
在实际应用中,可以根据给定的训练数据集D,包括观测序列
Figure DEST_PATH_GDA0001052140650000103
和标记序列y={yi|yi∈{0,1},i∈n},采用极大似然估计法对LDoS攻击的分类模型中的未知参数λ和μ进行调整优化。
计算模块203,还用于根据计算出未知参数的LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
具体地,计算模块203,还用于根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
在本实施例中,采用Viterbi算法,是在给定LDoS攻击的分类模型P(Y|X)参数(即λ和μ)和观测序列X*=(x* 1,x* 2,…,x* n)(即实时采集的流量脉冲特征数据) 条件下,求解条件概率最大时的输出标记序列
Figure DEST_PATH_GDA0001052140650000111
(即实时采集的流量脉冲特征数据对应的网络状态)。其中,观测序列X*=(x* 1,x* 2,…,x* n)的每个数据都对应脉冲长度L、脉冲周期T和脉冲强度R组成的序列,即:
Figure DEST_PATH_GDA0001052140650000112
输出标记
Figure DEST_PATH_GDA0001052140650000113
为网络流量正常或异常的判断输出(即是否受到LDoS攻击)。采用Viterbi算法,可以在较少计算量的条件下获取较优的输出结果,有利于快速对网络是否受到LDoS攻击做出准确判断。
计算模块203,还用于将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算LDoS攻击的分类模型中的未知参数。
在本实施例中,将已判断出结果的流量脉冲特征数据和与其对应的网络状态,重新加入到历史流量数据中,更新历史流量数据,并重新计算LDoS攻击的分类模型中的未知参数,使得重新计算出来的未知参数更符合实际情况,进而促使LDoS攻击的分类模型能够更准确的检验出网络状态。
本发明实施例先通过获取模块,从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与流量脉冲特征对应的网络状态,并通过处理模块,根据条件随机场算法,建立带有未知参数的LDoS攻击的分类模型;然后,通过计算模块,根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算LDoS攻击的分类模型中的未知参数;最后,通过计算模块,根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。这样可以在不用修改通信协议的条件下,实时有效准确地检测出面向互联网自治域的LDoS攻击。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是:上述实施例提供的面向互联网自治域的LDoS攻击检测装置在实现面向互联网自治域的LDoS攻击检测方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的面向互联网自治域的LDoS攻击检测装置与面向互联网自治域的LDoS攻击检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于 一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种面向互联网自治域的LDoS攻击检测方法,其特征在于,所述方法包括:
从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与所述流量脉冲特征对应的网络状态,所述流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,所述网络状态包括:受到LDoS攻击和未受到LDoS攻击;
根据条件随机场算法,建立如下LDoS攻击的分类模型:
Figure FDA0002382191850000011
Figure FDA0002382191850000012
其中,λ和μ均为所述LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即
Figure FDA0002382191850000013
);y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,所述网络状态为受到LDoS攻击,当y为1时,所述网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数;
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点和连接两个节点的边,CG有是无向图G中所用c的集合;
λT=[λ12,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ12,…,μq]T为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi对应于无向图G中的向量相加得到的;
根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型;
根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
2.根据权利要求1所述的方法,其特征在于,所述根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,包括:
采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
3.根据权利要求2所述的方法,其特征在于,所述根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态,包括:
根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算所述LDoS攻击的分类模型中的未知参数。
5.一种面向互联网自治域的LDoS攻击检测装置,其特征在于,所述装置包括:
获取模块,用于从互联网自治域的历史流量数据中,获取流量脉冲特征的数据和与所述流量脉冲特征对应的网络状态,所述流量脉冲特征包括:脉冲长度、脉冲周期、以及脉冲强度,所述网络状态包括:受到LDoS攻击和未受到LDoS攻击;
处理模块,用于根据条件随机场算法,建立如下LDoS攻击的分类模型:
Figure FDA0002382191850000021
Figure FDA0002382191850000022
其中,λ和μ均为所述LDoS攻击的分类模型的未知参数;x表示流量脉冲特征(即x=(x1,x2,…,xn)),包括脉冲长度L、脉冲周期T、以及脉冲强度R(即
Figure FDA0002382191850000023
);y表示流量脉冲特征x对应的网络状态,可以为0或者1,当y为0时,所述网络状态为受到LDoS攻击,当y为1时,所述网络状态为未受到LDoS攻击;i表示从互联网自治域的历史流量数据中,第i次获取流量脉冲特征x的数据和与流量脉冲特征x对应的网络状态y;n为获取流量脉冲特征x的总次数;
Z(x)为归一化因子,G为一阶链式条件随机场无向图,yi和xi均在无向图G中对应生成节点,c为无向图G中的节点和连接两个节点的边,CG有是无向图G中所用c的集合;
λT=[λ12,…,λp]T为未知参数λ的模型参数向量,p为λT的维数,μT=[μ12,…,μq]T为未知参数μ的模型参数向量,q为μT的维数;gi,i-1(x)是流量脉冲特征xi对应于无向图G中的向量与流量脉冲特征xi对应于无向图G中的向量相加得到的;
计算模块,用于根据获取的流量脉冲特征数据和与流量脉冲特征对应的网络状态,计算所述LDoS攻击的分类模型中的未知参数,以得到符合检测要求的LDoS攻击的分类模型;
所述计算模块,还用于根据计算出未知参数的所述LDoS攻击的分类模型,计算实时采集的流量脉冲特征数据对应的网络状态。
6.根据权利要求5所述的装置,其特征在于,所述计算模块还用于采用极大似然估计法,来计算LDoS攻击的分类模型中的未知参数λ和μ。
7.根据权利要求6所述的装置,其特征在于,所述计算模块,还用于根据计算出未知参数的LDoS攻击的分类模型,采用Viterbi算法来计算出实时采集的流量脉冲特征数据对应的网络状态。
8.根据权利要求5所述的装置,其特征在于,所述计算模块,还用于将已计算出结果的流量脉冲特征数据和与其对应的网络状态,加入到历史流量数据中,重新计算所述LDoS攻击的分类模型中的未知参数。
CN201610235349.2A 2016-04-15 2016-04-15 面向互联网自治域的LDoS攻击检测方法和装置 Active CN107302517B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610235349.2A CN107302517B (zh) 2016-04-15 2016-04-15 面向互联网自治域的LDoS攻击检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610235349.2A CN107302517B (zh) 2016-04-15 2016-04-15 面向互联网自治域的LDoS攻击检测方法和装置

Publications (2)

Publication Number Publication Date
CN107302517A CN107302517A (zh) 2017-10-27
CN107302517B true CN107302517B (zh) 2020-05-05

Family

ID=60136687

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610235349.2A Active CN107302517B (zh) 2016-04-15 2016-04-15 面向互联网自治域的LDoS攻击检测方法和装置

Country Status (1)

Country Link
CN (1) CN107302517B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167789B (zh) * 2018-09-13 2021-04-13 上海海事大学 一种云环境LDoS攻击数据流检测方法及系统
CN112073402B (zh) * 2020-08-31 2022-05-27 新华三信息安全技术有限公司 一种流量攻击检测方法及装置
CN112804248B (zh) * 2021-01-28 2022-02-01 湖南大学 一种基于频域特征融合的LDoS攻击检测方法
CN112788063B (zh) * 2021-01-29 2022-03-01 湖南大学 基于RF-GMM的SDN中LDoS攻击检测方法
CN114629695A (zh) * 2022-02-28 2022-06-14 天翼安全科技有限公司 一种网络异常检测方法、装置、设备和介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821007A (zh) * 2012-08-06 2012-12-12 河南科技大学 一种基于自律计算的网络安全态势感知系统及其处理方法
CN102882883A (zh) * 2012-10-11 2013-01-16 常州大学 P2P网络中基于节点分级的DDoS攻击防御方法
CN103944887A (zh) * 2014-03-24 2014-07-23 西安电子科技大学 基于隐条件随机场的入侵事件检测方法
CN104113544A (zh) * 2014-07-18 2014-10-22 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8392991B2 (en) * 2007-05-25 2013-03-05 New Jersey Institute Of Technology Proactive test-based differentiation method and system to mitigate low rate DoS attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821007A (zh) * 2012-08-06 2012-12-12 河南科技大学 一种基于自律计算的网络安全态势感知系统及其处理方法
CN102882883A (zh) * 2012-10-11 2013-01-16 常州大学 P2P网络中基于节点分级的DDoS攻击防御方法
CN103944887A (zh) * 2014-03-24 2014-07-23 西安电子科技大学 基于隐条件随机场的入侵事件检测方法
CN104113544A (zh) * 2014-07-18 2014-10-22 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"基于条件随机场的DDoS攻击检测方法";刘运,蔡志平,钟平,殷建平,程杰仁;《软件学报》;20110815;第1903页第4段至1904页第5段 *
"基于路由器BGP协议的低速率攻击与防御";刘文胜,周长胜;《北京信息科技大学学报(自然科学版)》;20141215;第91页第5段,第92页第1段 *

Also Published As

Publication number Publication date
CN107302517A (zh) 2017-10-27

Similar Documents

Publication Publication Date Title
CN107302517B (zh) 面向互联网自治域的LDoS攻击检测方法和装置
Prasad et al. DoS and DDoS attacks: defense, detection and traceback mechanisms-a survey
Smys DDOS attack detection in telecommunication network using machine learning
CN109639515A (zh) 基于隐马尔可夫和Q学习协作的DDoS攻击检测方法
Xu et al. Defending DDoS attacks using hidden Markov models and cooperative reinforcement learning
Shen et al. Adaptive Markov game theoretic data fusion approach for cyber network defense
Ahmed et al. Filtration model for the detection of malicious traffic in large-scale networks
CN106534068A (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
Song et al. Flow-based statistical aggregation schemes for network anomaly detection
Kavousi et al. Automatic learning of attack behavior patterns using Bayesian networks
Xie et al. Online anomaly detection based on web usage mining
Laraba et al. Mitigating TCP protocol misuse with programmable data planes
You et al. Detecting flooding-based DDoS attacks
Gupta Predicting number of zombies in DDoS attacks using pace regression model
Sun et al. A principal components analysis-based robust DDoS defense system
CN111447182A (zh) 链路洪泛攻击的防御方法及链路洪泛攻击模拟方法
Li et al. Simulation study of flood attacking of DDOS
CN108521413A (zh) 一种未来信息战争的网络抵抗和防御方法及系统
Jongsawat et al. Creating behavior-based rules for snort based on Bayesian network learning algorithms
Molina A scalable and efficient methodology for flow monitoring in the Internet
RU2683631C1 (ru) Способ обнаружения компьютерных атак
Bringas Intensive use of Bayesian belief networks for the unified, flexible and adaptable analysis of misuses and anomalies in network intrusion detection and prevention systems
Trabelsi et al. IDS performance enhancement technique based on dynamic traffic awareness histograms
Kuhn et al. Detecting changes in the scale of dependent Gaussian processes: A large deviations approach
Demir et al. Quantifying distributed system stability through simulation: A case study of an agent-based system for flow reconstruction of ddos attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant