CN109714329A - 一种云环境下基于贝叶斯网络的低速率DDoS检测方法 - Google Patents
一种云环境下基于贝叶斯网络的低速率DDoS检测方法 Download PDFInfo
- Publication number
- CN109714329A CN109714329A CN201811580303.XA CN201811580303A CN109714329A CN 109714329 A CN109714329 A CN 109714329A CN 201811580303 A CN201811580303 A CN 201811580303A CN 109714329 A CN109714329 A CN 109714329A
- Authority
- CN
- China
- Prior art keywords
- packet
- bayesian network
- follows
- low rate
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云环境下基于贝叶斯网络的低速率DDoS检测方法,包括以下步骤:步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;步骤2:根据步骤1得到的数据提取特征值;步骤3:构造贝叶斯网络,将步骤2得到的特征值输入贝叶斯网络,对模型进行训练;步骤4:将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测;本发明可消除主观因素的干扰,有效检测云环境下周期性、非周期性低速率DDoS攻击。
Description
技术领域
本发明涉及云环境下的网络攻击检测方法,具体涉及一种云环境下基于贝叶斯网络的低速率DDoS检测方法。
背景技术
随着互联网技术的不断发展,云计算在按需服务、泛在接入、弹性计算等特性可以使客户通过云服务来灵活的满足自身需求;企业、政府机构、组织以及个人逐步将其应用迁移至云计算环境下,而在这一过程中云环境的安全性是客户考虑的首要问题;目前云计算平台还存在着诸多的安全问题,云环境中的DDoS攻击是直接影响云服务可用性的主要安全威胁;一方面,在传统网络环境中的洪泛式DDoS攻击(如常规DDoS攻击、低速率DDoS攻击)会对云环境中的服务器进行直接攻击,另一方面,云环境中因其弹性计算等新特性出现了针对性的攻击方式,如EDOS等攻击。
软件定义网络(SDN,Software Defined Networking)架构的出现,给云计算平台的安全性带来了一种新途径;SDN网络架构采用集中的控制平面(即控制器)以及分布式的数据平面(即交换机),同时做到了数控分离以实现自动化、智能化的网络管理;云计算技术与SDN架构的结合愈加的紧密;但从另一个角度来看,SDN结构的引入云计算环境,同时也扩展了网络攻击的攻击面;云环境中SDN网络架构本身的安全性也是需要考虑,例如控制平面中控制器本身的安全性、控制器下发策略规则可能产生的不一致性等;数据平面中流表空间被侵占、内部宽带饥饿等;云环境中SDN自身架构的安全性是目前产业界和学术界研究的重点。
目前云环境下低速率DDoS检测主要包括以下几类方法:基于流量特征的检测方法,例如用包延迟变化来检测低速率DDoS攻击流,其提取每个流的前7个包计算包延迟变化以达到流级别的检测;还有人通过利用流中源IP集合的熵值、源IP集中数量的变化程度以及数据包速率,提出了特征和特征序的关系;通过FFSc方法来区分正常流量和攻击流量;现有的基于流量特征的检测方法,并没有考虑到非周期性的低速率DDoS,同时所提特征较为单一,没有多角度地描述攻击流;基于流量特征统计分析的检测方法,提出多个相关特征并通过真实数据集来计算各个特征的精准度,得出最优的方案和阈值。基于阈值的检测方法来说,阈值的选取过程,存在主观因素的干扰。
发明内容
本发明提供一种能有效检测云环境下周期性、非周期性低速率DDoS攻击的云环境下基于贝叶斯网络的低速率DDoS检测方法。
本发明采用的技术方案是:一种云环境下基于贝叶斯网络的低速率DDoS检测方法,包括以下步骤:
步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;
步骤2:根据步骤1得到的数据提取特征值;
步骤3:构造贝叶斯网络,将步骤2得到的特征值输入贝叶斯网络,对模型进行训练;
步骤4:将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测。
进一步的,所述步骤1中流表信息为match匹配项中的源IP地址、目的IP地址、数据包包长、数据包数量、持续时间。
进一步的,所述步骤2中特征值为包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。
进一步的,所述步骤3中模型训练过程中,通过k2搜索算法进行分类,十折交叉验证法对数据集进行分类。
进一步的,所述步骤3具体过程如下:
对采集到的实际攻击流量和正常流量构成的数据集进行可用性检验,剔除值为空的数据,对数据进行离散化处理;
对贝叶斯网络进行初始化,每个属性作为不同的节点,记录子节点不同父类属性值的组合对当前子节点的属性值产生的概率分布,根据当前属性的顺序构建有向无环的贝叶斯网络;分别计算各子节点的父节点概率值,当各子节点都取得其最大的父节点概率时,完成网络构建;
将数据集注入构建的网络,统计在子节点各父节点组合的情况下,其某个属性出现的次数和整个实例的次数;计算该节点属性值的概率分布,计算每种分类的概率值,取最高的概率值分类方式为该实例所预测的分类。
进一步的,所述包数量均值P_num_avgk如下:
式中:Pnumi为采集点采集到的数据包数量信息,T为采集窗口内采集次数,i为该数据流在时间窗口内第i次采集信息;
包长均值P_size_avgk如下:
式中:Psizei为采集点采集到的数据包长信息;
最大包数量P_num_maxk如下:
P_num_maxk=max{Pnumi},i=1,K,T
式中:K为不同数据流;
最大包长如下:
P_size_maxk=max{Psizei},i=1,K,T
包数量偏差度P_num_devk如下:
包长偏差度P_size_devk如下:
包数量平均绝对差P_num_avg_MADk如下:
包长平均绝对差如下:
存活时间durationk如下:
式中:durationi为采集点采集到的流表项持续时间;
存活程度duration_degreek如下:
式中:durationk为采集窗口内流表项持续时间的均值,idle_time为虚拟交换机空闲超时时间。
本发明的有益效果是:
(1)本发明通过控制器相应的API周期性采集关键虚拟交换机的流表统计信息,不需传统的流量导出、流量镜像等方式获取流量的相关信息,不需要对全网流量进行检测;只对需保护的服务器或与云外通信的服务器区的前置虚拟交换机流量进行检测;
(2)本发明根据低速率DDoS的攻击特性,提出基于流量的相关特征,能够有效的对低速DDoS进行检测。
附图说明
图1为本发明方法需要的低速率DDoS攻击检测框架。
图2为本发明数据处理及特征提取流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步说明。
如图1和图2所示,一种云环境下基于贝叶斯网络的低速率DDoS检测方法,包括以下步骤:
步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;
采集的流表信息为match匹配项中的源IP地址、目的IP地址以及数据包包长、数据包数量、持续时间;根据云环境中交换机流表不同的空闲超时时间,需要通过不同的采集周期进行数据采集,采集时间窗口设置为T*idle_time,采集时间间隔为idle_time。作为检测方可以通过控制器配置文件获得空闲超时时间idle_time,之后以idle_time为周期进行数据采集及预处理。
设采集时间窗口中进行第i次原始数据采集并预处理后数据为fi,那么源IP地址为Sipi,目的IP地址为Dipi,持续时间为durationi,流表空闲超时时间idle_time,设相应流规则的数据包数量为fnumi,相应流规则的数据总大小为fsizei;因流表中的数据为叠加值,所以在提取流初始数据时,需要时间窗口内的各采集点相减获取所需数据,则此数据流在采集时间窗口内第i次采集的数据包数量表述为:
Pnumi=fnumi-fnumi-1
数据包包长表述为:
fi数据格式如下:
fi={Sipi,Dipi,PsizeiPnumidurationi}。
根据步骤1得到的数据提取特征值;
针对云环境SDN网络中低速率DDoS攻击中的周期性、低速性等特性,提取下述相关特征:
包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。
(1)包数量均值,对周期性低速率DDoS攻击分析发现,攻击流在单位时间内发出的攻击数据包的数量是恒定的;同时在单位时间内采集到的包数量在整体上要高于正常流量所采集到的包数量;在多个采集点采集数据包数量信息并计算均值。
包数量均值P_num_avgk如下:
式中:Pnumi为采集点采集到的数据包数量信息,T为采集窗口内采集次数,i为该数据流在时间窗口内第i次采集信息。
(2)包长均值,对周期性低速率DDoS攻击分析发现,攻击流发出的攻击数据包长一般会低于正常数据包;在多个采集点采集数据包长信息并计算其均值。
包长均值P_size_avgk如下:
式中:Psizei为采集点采集到的数据包长信息。
(3)最大包数量和最大包长,在对低速率DDoS攻击分析发现,对于周期性攻击其最大数据包数量和最大数据包长与各自的均值香肠不大;而对于非周期性攻击,其最大数据包数量和最大数据包长与各自的均值有差别,但扔能与正常流量区分开;在多个采集点采集最大数据包数量和最大数据包长。
最大包数量P_num_maxk如下:
P_num_maxk=max{Pnumi},i=1,K,T
式中:K为不同的数据流;
最大包长如下:
P_size_maxk=max{Psizei},i=1,K,T
(4)包数量偏差度和包长偏差度,在对低速率DDoS攻击分析发现,由于周期性以及非周期性攻击的攻击周期上限的存在;再多个采集点中数据包数量的差别以及数据包长的差值不明显,而对于正常流量来说最大数据包数据与数据包平均数量以及最大数据包长与数据包平均包长会有较大的差值,其数据包数量偏差度与数据包长偏差度和正常流量相比较小。
包数量偏差度P_num_devk如下:
包长偏差度P_size_devk如下:
(5)包数量平均绝对差和包长平均绝对差,在周期性以及非周期性低速率DDoS攻击分析发现,在其攻击流上T个采集点获取的数据包数量以及数据包包长的变化趋势较为稳定,平均绝对差可以很好的描述数据变化的稳定性。
包数量平均绝对差P_num_avg_MADk如下:
包长平均绝对差如下:
(6)存活时间和存活程度,存活时间和存活程度可以衡量正常流量与攻击流量持续时间的差别这一特性。
存活时间durationk如下:
式中:durationi为采集点采集到的流表项持续时间;
存活程度duration_degreek如下:
式中:durationk为采集窗口内流表项持续时间的均值,idle_time为虚拟交换机空闲超时时间。
步骤3:构造贝叶斯网络,将步骤2得到的特征值输入贝叶斯网络,对模型进行训练;
在王城流级别特征提取后,采集实际的攻击流量与正常流量通过贝叶斯网络机器学习算法进行模型训练。
具体过程如下:
对采集到的实际攻击流量和正常流量构成的数据集进行可用性检验,剔除值为空的数据,对数据进行离散化处理;
对贝叶斯网络进行初始化,每个属性作为不同的节点,记录子节点不同父类属性值的组合对当前子节点的属性值产生的概率分布,根据当前属性的顺序构建有向无环的贝叶斯网络;下标为0的第一个节点始终做目标分类的节点,之后的顺序一般默认为训练数据的属性顺序;分别计算各子节点的父节点概率值,父节点只能从当前子节点之前选出,当各子节点都取得其最大的父节点概率时,完成网络构建。
将数据集注入构建的网络,统计在子节点各父节点组合的情况下,其某个属性出现的次数和整个实例的次数;计算该节点属性值的概率分布,计算每种分类的概率值,取最高的概率值分类方式为该实例所预测的分类。
本发明构建的贝叶斯网络模型采用k2搜索算法进行分类,因要做二分类的检测模型,父节点取1个,对数据集中每条数据进行标记,flag为0时是正常数据,flag为1时是攻击数据,将flag属性作为总的父节点,进行模型训练;通过十折交叉验证法,将数据集分为10份,轮流将其中9份作为训练数据,1份作为测试数据测试算法准确性;当完成模型训练后,将实时的全流量信息输入模型即可完成低速率DDoS攻击的检测。
本发明在检测的流量中加入了非周期性的低速DDoS攻击流量,同时从攻击的低速率、稳定性等多个角度提取相关特征;通过基于贝叶斯网络的检测方法进行检测,消除主观因素的干扰;能有效检测云环境下周期性、非周期性低速率DDoS攻击。
Claims (6)
1.一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,包括以下步骤:
步骤1:周期性调用API接口,获取流表信息,并对采集的信息进行预处理;
步骤2:根据步骤1得到的数据提取特征值;
步骤3:构造贝叶斯网络,将步骤2得到的特征值输入贝叶斯网络,对模型进行训练;
步骤4:将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测。
2.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述步骤1中流表信息为match匹配项中的源IP地址、目的IP地址、数据包包长、数据包数量、持续时间。
3.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述步骤2中特征值为包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。
4.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述步骤3中模型训练过程中,通过k2搜索算法进行分类,十折交叉验证法对数据集进行分类。
5.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述步骤3具体过程如下:
对采集到的实际攻击流量和正常流量构成的数据集进行可用性检验,剔除值为空的数据,对数据进行离散化处理;
对贝叶斯网络进行初始化,每个属性作为不同的节点,记录子节点不同父类属性值的组合对当前子节点的属性值产生的概率分布,根据当前属性的顺序构建有向无环的贝叶斯网络;分别计算各子节点的父节点概率值,当各子节点都取得其最大的父节点概率时,完成网络构建;
将数据集注入构建的网络,统计在子节点各父节点组合的情况下,其某个属性出现的次数和整个实例的次数;计算该节点属性值的概率分布,计算每种分类的概率值,取最高的概率值分类方式为该实例所预测的分类。
6.根据权利要求3所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法,其特征在于,所述包数量均值P_num_avgk如下:
式中:Pnumi为采集点采集到的数据包数量信息,T为采集窗口内采集次数,i为该数据流在时间窗口内第i次采集信息;
包长均值P_size_avgk如下:
式中:Psizei为采集点采集到的数据包长信息;
最大包数量P_num_maxk如下:
P_num_maxk=max{Pnumi},i=1,K,T
式中:K为不同的数据流;
最大包长如下:
P_size_maxk=max{Psizei},i=1,K,T
包数量偏差度P_num_devk如下:
包长偏差度P_size_devk如下:
包数量平均绝对差P_num_avg_MADk如下:
包长平均绝对差如下:
存活时间durationk如下:
式中:durationi为采集点采集到的流表项持续时间;
存活程度duration_degreek如下:
式中:durationk为采集窗口内流表项持续时间的均值,idle_time为虚拟交换机空闲超时时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811580303.XA CN109714329A (zh) | 2018-12-24 | 2018-12-24 | 一种云环境下基于贝叶斯网络的低速率DDoS检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811580303.XA CN109714329A (zh) | 2018-12-24 | 2018-12-24 | 一种云环境下基于贝叶斯网络的低速率DDoS检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109714329A true CN109714329A (zh) | 2019-05-03 |
Family
ID=66257381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811580303.XA Pending CN109714329A (zh) | 2018-12-24 | 2018-12-24 | 一种云环境下基于贝叶斯网络的低速率DDoS检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109714329A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102426585A (zh) * | 2011-08-09 | 2012-04-25 | 中国科学技术信息研究所 | 一种基于贝叶斯网络的网页自动分类方法 |
CN104376261A (zh) * | 2014-11-27 | 2015-02-25 | 南京大学 | 一种在取证场景下自动检测恶意进程的方法 |
CN106124175A (zh) * | 2016-06-14 | 2016-11-16 | 电子科技大学 | 一种基于贝叶斯网络的压缩机气阀故障诊断方法 |
CN108540329A (zh) * | 2018-04-24 | 2018-09-14 | 中国人民解放军国防科技大学 | 基于两层贝叶斯网络模型的网络安全推断方法 |
CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
-
2018
- 2018-12-24 CN CN201811580303.XA patent/CN109714329A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102426585A (zh) * | 2011-08-09 | 2012-04-25 | 中国科学技术信息研究所 | 一种基于贝叶斯网络的网页自动分类方法 |
CN104376261A (zh) * | 2014-11-27 | 2015-02-25 | 南京大学 | 一种在取证场景下自动检测恶意进程的方法 |
CN106124175A (zh) * | 2016-06-14 | 2016-11-16 | 电子科技大学 | 一种基于贝叶斯网络的压缩机气阀故障诊断方法 |
CN108540329A (zh) * | 2018-04-24 | 2018-09-14 | 中国人民解放军国防科技大学 | 基于两层贝叶斯网络模型的网络安全推断方法 |
CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
张峰: "基于机器学习的VoIP流量识别技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑(2014)》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Elsayed et al. | Machine-learning techniques for detecting attacks in SDN | |
Liu et al. | A class-oriented feature selection approach for multi-class imbalanced network traffic datasets based on local and global metrics fusion | |
CN106357622B (zh) | 基于软件定义网络的网络异常流量检测防御系统 | |
CN107959690A (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
CN103095711B (zh) | 一种针对网站的应用层DDoS攻击检测方法和防御系统 | |
CN105847283A (zh) | 一种基于信息熵方差分析的异常流量检测方法 | |
CN104052639B (zh) | 基于支持向量机的实时多应用网络流量识别方法 | |
CN107896160B (zh) | 一种基于分布式系统的数据中心网络流量建模方法 | |
CN107786388B (zh) | 一种基于大规模网络流数据的异常检测系统 | |
CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
CN108848095A (zh) | SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 | |
CN103905440A (zh) | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 | |
CN113660209B (zh) | 一种基于sketch与联邦学习的DDoS攻击检测系统及应用 | |
CN107302534A (zh) | 一种基于大数据平台的DDoS网络攻击检测方法及装置 | |
CN104159089A (zh) | 一种异常事件报警高清视频智能处理器 | |
CN107341508A (zh) | 一种快速美食图片识别方法及系统 | |
CN115776449B (zh) | 列车以太网通信状态监测方法及系统 | |
CN106372171B (zh) | 监控平台实时数据处理方法 | |
CN105357071A (zh) | 一种网络复杂流量识别方法及识别系统 | |
CN105577438B (zh) | 一种基于MapReduce的网络流量本体构建方法 | |
Saravanan et al. | A graph-based churn prediction model for mobile telecom networks | |
CN109714329A (zh) | 一种云环境下基于贝叶斯网络的低速率DDoS检测方法 | |
Viard et al. | Movie rating prediction using content-based and link stream features | |
CN109831450A (zh) | 一种自适应的网络流量异常检测方法 | |
Muzammil et al. | Comparative analysis of classification algorithms performance for statistical based intrusion detection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190503 |
|
RJ01 | Rejection of invention patent application after publication |