CN109714329A

CN109714329A - 一种云环境下基于贝叶斯网络的低速率DDoS检测方法

Info

Publication number: CN109714329A
Application number: CN201811580303.XA
Authority: CN
Inventors: 朱毅; 滑强
Original assignee: Chengdu Shudao Yixin Technology Co Ltd
Current assignee: Chengdu Shudao Yixin Technology Co Ltd
Priority date: 2018-12-24
Filing date: 2018-12-24
Publication date: 2019-05-03

Abstract

本发明公开了一种云环境下基于贝叶斯网络的低速率DDoS检测方法，包括以下步骤：步骤1：周期性调用API接口，获取流表信息，并对采集的信息进行预处理；步骤2：根据步骤1得到的数据提取特征值；步骤3：构造贝叶斯网络，将步骤2得到的特征值输入贝叶斯网络，对模型进行训练；步骤4：将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测；本发明可消除主观因素的干扰，有效检测云环境下周期性、非周期性低速率DDoS攻击。

Description

一种云环境下基于贝叶斯网络的低速率DDoS检测方法

技术领域

本发明涉及云环境下的网络攻击检测方法，具体涉及一种云环境下基于贝叶斯网络的低速率DDoS检测方法。

背景技术

随着互联网技术的不断发展，云计算在按需服务、泛在接入、弹性计算等特性可以使客户通过云服务来灵活的满足自身需求；企业、政府机构、组织以及个人逐步将其应用迁移至云计算环境下，而在这一过程中云环境的安全性是客户考虑的首要问题；目前云计算平台还存在着诸多的安全问题，云环境中的DDoS攻击是直接影响云服务可用性的主要安全威胁；一方面，在传统网络环境中的洪泛式DDoS攻击(如常规DDoS攻击、低速率DDoS攻击)会对云环境中的服务器进行直接攻击，另一方面，云环境中因其弹性计算等新特性出现了针对性的攻击方式，如EDOS等攻击。

软件定义网络(SDN，Software Defined Networking)架构的出现，给云计算平台的安全性带来了一种新途径；SDN网络架构采用集中的控制平面(即控制器)以及分布式的数据平面(即交换机)，同时做到了数控分离以实现自动化、智能化的网络管理；云计算技术与SDN架构的结合愈加的紧密；但从另一个角度来看，SDN结构的引入云计算环境，同时也扩展了网络攻击的攻击面；云环境中SDN网络架构本身的安全性也是需要考虑，例如控制平面中控制器本身的安全性、控制器下发策略规则可能产生的不一致性等；数据平面中流表空间被侵占、内部宽带饥饿等；云环境中SDN自身架构的安全性是目前产业界和学术界研究的重点。

目前云环境下低速率DDoS检测主要包括以下几类方法：基于流量特征的检测方法，例如用包延迟变化来检测低速率DDoS攻击流，其提取每个流的前7个包计算包延迟变化以达到流级别的检测；还有人通过利用流中源IP集合的熵值、源IP集中数量的变化程度以及数据包速率，提出了特征和特征序的关系；通过FFSc方法来区分正常流量和攻击流量；现有的基于流量特征的检测方法，并没有考虑到非周期性的低速率DDoS，同时所提特征较为单一，没有多角度地描述攻击流；基于流量特征统计分析的检测方法，提出多个相关特征并通过真实数据集来计算各个特征的精准度，得出最优的方案和阈值。基于阈值的检测方法来说，阈值的选取过程，存在主观因素的干扰。

发明内容

本发明提供一种能有效检测云环境下周期性、非周期性低速率DDoS攻击的云环境下基于贝叶斯网络的低速率DDoS检测方法。

本发明采用的技术方案是：一种云环境下基于贝叶斯网络的低速率DDoS检测方法，包括以下步骤：

步骤1：周期性调用API接口，获取流表信息，并对采集的信息进行预处理；

步骤2：根据步骤1得到的数据提取特征值；

步骤3：构造贝叶斯网络，将步骤2得到的特征值输入贝叶斯网络，对模型进行训练；

步骤4：将实时全流量信息输入步骤3得到的贝叶斯网络模型进行低速率DDoS攻击检测。

进一步的，所述步骤1中流表信息为match匹配项中的源IP地址、目的IP地址、数据包包长、数据包数量、持续时间。

进一步的，所述步骤2中特征值为包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。

进一步的，所述步骤3中模型训练过程中，通过k2搜索算法进行分类，十折交叉验证法对数据集进行分类。

进一步的，所述步骤3具体过程如下：

对采集到的实际攻击流量和正常流量构成的数据集进行可用性检验，剔除值为空的数据，对数据进行离散化处理；

对贝叶斯网络进行初始化，每个属性作为不同的节点，记录子节点不同父类属性值的组合对当前子节点的属性值产生的概率分布，根据当前属性的顺序构建有向无环的贝叶斯网络；分别计算各子节点的父节点概率值，当各子节点都取得其最大的父节点概率时，完成网络构建；

将数据集注入构建的网络，统计在子节点各父节点组合的情况下，其某个属性出现的次数和整个实例的次数；计算该节点属性值的概率分布，计算每种分类的概率值，取最高的概率值分类方式为该实例所预测的分类。

进一步的，所述包数量均值P_num_avg_k如下：

式中：Pnum_i为采集点采集到的数据包数量信息，T为采集窗口内采集次数，i为该数据流在时间窗口内第i次采集信息；

包长均值P_size_avg_k如下：

式中：Psize_i为采集点采集到的数据包长信息；

最大包数量P_num_max_k如下：

P_num_max_k＝max{Pnum_i},i＝1,K,T

式中：K为不同数据流；

最大包长如下：

P_size_max_k＝max{Psize_i},i＝1,K,T

包数量偏差度P_num_dev_k如下：

包长偏差度P_size_dev_k如下：

包数量平均绝对差P_num_avg_MAD_k如下：

包长平均绝对差如下：

存活时间duration_k如下：

式中：duration_i为采集点采集到的流表项持续时间；

存活程度duration_degree_k如下：

式中：duration_k为采集窗口内流表项持续时间的均值，idle_time为虚拟交换机空闲超时时间。

本发明的有益效果是：

(1)本发明通过控制器相应的API周期性采集关键虚拟交换机的流表统计信息，不需传统的流量导出、流量镜像等方式获取流量的相关信息，不需要对全网流量进行检测；只对需保护的服务器或与云外通信的服务器区的前置虚拟交换机流量进行检测；

(2)本发明根据低速率DDoS的攻击特性，提出基于流量的相关特征，能够有效的对低速DDoS进行检测。

附图说明

图1为本发明方法需要的低速率DDoS攻击检测框架。

图2为本发明数据处理及特征提取流程示意图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步说明。

如图1和图2所示，一种云环境下基于贝叶斯网络的低速率DDoS检测方法，包括以下步骤：

采集的流表信息为match匹配项中的源IP地址、目的IP地址以及数据包包长、数据包数量、持续时间；根据云环境中交换机流表不同的空闲超时时间，需要通过不同的采集周期进行数据采集，采集时间窗口设置为T*idle_time，采集时间间隔为idle_time。作为检测方可以通过控制器配置文件获得空闲超时时间idle_time，之后以idle_time为周期进行数据采集及预处理。

设采集时间窗口中进行第i次原始数据采集并预处理后数据为f_i，那么源IP地址为Sip_i，目的IP地址为Dip_i，持续时间为duration_i，流表空闲超时时间idle_time，设相应流规则的数据包数量为fnum_i，相应流规则的数据总大小为fsize_i；因流表中的数据为叠加值，所以在提取流初始数据时，需要时间窗口内的各采集点相减获取所需数据，则此数据流在采集时间窗口内第i次采集的数据包数量表述为：

Pnum_i＝fnum_i-fnum_i-1

数据包包长表述为：

f_i数据格式如下：

f_i＝{Sip_i,Dip_i,Psize_iPnum_iduration_i}。

根据步骤1得到的数据提取特征值；

针对云环境SDN网络中低速率DDoS攻击中的周期性、低速性等特性，提取下述相关特征：

包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。

(1)包数量均值，对周期性低速率DDoS攻击分析发现，攻击流在单位时间内发出的攻击数据包的数量是恒定的；同时在单位时间内采集到的包数量在整体上要高于正常流量所采集到的包数量；在多个采集点采集数据包数量信息并计算均值。

包数量均值P_num_avg_k如下：

式中：Pnum_i为采集点采集到的数据包数量信息，T为采集窗口内采集次数，i为该数据流在时间窗口内第i次采集信息。

(2)包长均值，对周期性低速率DDoS攻击分析发现，攻击流发出的攻击数据包长一般会低于正常数据包；在多个采集点采集数据包长信息并计算其均值。

包长均值P_size_avg_k如下：

式中：Psize_i为采集点采集到的数据包长信息。

(3)最大包数量和最大包长，在对低速率DDoS攻击分析发现，对于周期性攻击其最大数据包数量和最大数据包长与各自的均值香肠不大；而对于非周期性攻击，其最大数据包数量和最大数据包长与各自的均值有差别，但扔能与正常流量区分开；在多个采集点采集最大数据包数量和最大数据包长。

最大包数量P_num_max_k如下：

P_num_max_k＝max{Pnum_i},i＝1,K,T

式中：K为不同的数据流；

最大包长如下：

P_size_max_k＝max{Psize_i},i＝1,K,T

(4)包数量偏差度和包长偏差度，在对低速率DDoS攻击分析发现，由于周期性以及非周期性攻击的攻击周期上限的存在；再多个采集点中数据包数量的差别以及数据包长的差值不明显，而对于正常流量来说最大数据包数据与数据包平均数量以及最大数据包长与数据包平均包长会有较大的差值，其数据包数量偏差度与数据包长偏差度和正常流量相比较小。

包数量偏差度P_num_dev_k如下：

包长偏差度P_size_dev_k如下：

(5)包数量平均绝对差和包长平均绝对差，在周期性以及非周期性低速率DDoS攻击分析发现，在其攻击流上T个采集点获取的数据包数量以及数据包包长的变化趋势较为稳定，平均绝对差可以很好的描述数据变化的稳定性。

包数量平均绝对差P_num_avg_MAD_k如下：

包长平均绝对差如下：

(6)存活时间和存活程度，存活时间和存活程度可以衡量正常流量与攻击流量持续时间的差别这一特性。

存活时间duration_k如下：

式中：duration_i为采集点采集到的流表项持续时间；

存活程度duration_degree_k如下：

在王城流级别特征提取后，采集实际的攻击流量与正常流量通过贝叶斯网络机器学习算法进行模型训练。

具体过程如下：

对贝叶斯网络进行初始化，每个属性作为不同的节点，记录子节点不同父类属性值的组合对当前子节点的属性值产生的概率分布，根据当前属性的顺序构建有向无环的贝叶斯网络；下标为0的第一个节点始终做目标分类的节点，之后的顺序一般默认为训练数据的属性顺序；分别计算各子节点的父节点概率值，父节点只能从当前子节点之前选出，当各子节点都取得其最大的父节点概率时，完成网络构建。

本发明构建的贝叶斯网络模型采用k2搜索算法进行分类，因要做二分类的检测模型，父节点取1个，对数据集中每条数据进行标记，flag为0时是正常数据，flag为1时是攻击数据，将flag属性作为总的父节点，进行模型训练；通过十折交叉验证法，将数据集分为10份，轮流将其中9份作为训练数据，1份作为测试数据测试算法准确性；当完成模型训练后，将实时的全流量信息输入模型即可完成低速率DDoS攻击的检测。

本发明在检测的流量中加入了非周期性的低速DDoS攻击流量，同时从攻击的低速率、稳定性等多个角度提取相关特征；通过基于贝叶斯网络的检测方法进行检测，消除主观因素的干扰；能有效检测云环境下周期性、非周期性低速率DDoS攻击。

Claims

1.一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，包括以下步骤：

步骤2：根据步骤1得到的数据提取特征值；

2.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述步骤1中流表信息为match匹配项中的源IP地址、目的IP地址、数据包包长、数据包数量、持续时间。

3.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述步骤2中特征值为包数量均值、包长均值、最大包数量、最大包长、包数量偏差度、包长偏差度、包数量平均绝对差、包长平均绝对差、存活时间、存活程度。

4.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述步骤3中模型训练过程中，通过k2搜索算法进行分类，十折交叉验证法对数据集进行分类。

5.根据权利要求1所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述步骤3具体过程如下：

6.根据权利要求3所述的一种云环境下基于贝叶斯网络的低速率DDoS检测方法，其特征在于，所述包数量均值P_num_avg_k如下：

包长均值P_size_avg_k如下：

式中：Psize_i为采集点采集到的数据包长信息；

最大包数量P_num_max_k如下：

P_num_max_k＝max{Pnum_i},i＝1,K,T

式中：K为不同的数据流；

最大包长如下：

P_size_max_k＝max{Psize_i},i＝1,K,T

包数量偏差度P_num_dev_k如下：

包长偏差度P_size_dev_k如下：

包数量平均绝对差P_num_avg_MAD_k如下：

包长平均绝对差如下：

存活时间duration_k如下：

式中：duration_i为采集点采集到的流表项持续时间；

存活程度duration_degree_k如下：