CN110177115A

CN110177115A - 基于多特征融合的LDoS攻击检测方法

Info

Publication number: CN110177115A
Application number: CN201910495433.1A
Authority: CN
Inventors: 刘亮; 冯文治; 岳猛
Original assignee: Civil Aviation University of China
Current assignee: Civil Aviation University of China
Priority date: 2019-06-10
Filing date: 2019-06-10
Publication date: 2019-08-27

Abstract

低速率拒绝服务(LDoS)攻击可以根据TCP协议的反馈系统周期性地发送短时间脉冲造成网络拥塞，从而降低网络的服务水平。针对目前LDoS攻击识别率低和虚警率高的问题，本发明从多特征融合的角度对LDoS攻击进行检测，首先根据Apriori关联规则算法得到多个特征的支持度和置信度，并以此为依据设计了包含ACK差值、包大小和队列的LDoS攻击特征集。再分别对每个特征进行数字化预处理得到符合最小临近距离(KNN)分类器输入标准的输入特征，得出决策轮廓矩阵。最终将矩阵中的后验概率进行多特征决策融合，以融合后的决策结果作为LDoS的判定依据。实验结果表明本发明提出的方法明显好于以单一特征为依据的检测方法，并且具有更好的检测性能。

Description

基于多特征融合的LDoS攻击检测方法

技术领域

本发明涉及一种计算机网络安全技术，尤其是针对低速率拒绝服务(Low-rateDenial of Service，LDoS)攻击的检测，与其他单一特征检测方式相比，具有更高的识别能力和较低的虚警率，在此基础上更高准确率的检测出攻击。

背景技术

低速率拒绝服务LDoS攻击是一种新型的拒绝服务(Denial of Service，DoS)攻击方式。自LDoS攻击被发现的那一天起，它就一直是网络安全领域的研究热点。LDoS攻击的本质是一种降质攻击方式，其利用网络系统中自适应机制所存在的漏洞，造成虚假拥塞，迫使TCP 连接的服务质量大大降低。LDoS攻击以低速率持续使TCP质量下降，干扰正常用户与服务器的连接。它能以其低速率混合在正常网络流量中，不会像其他DDoS攻击形式一样出现十分明显的特征，不易被网络监测者发现，如若发现，管理者也很难消除LDoS攻击的影响，因此LDoS攻击的持续性更强，危害更大，对LDoS的检测及防御于网络安全领域十分关键。

虽然LDoS攻击有很多变种，但它们都是利用网络协议和网络服务的漏洞。Kuzmanovic 首先提出的shrew攻击即利用超时重传机制。shrew攻击以瓶颈链路速率向路由器发送短时高速攻击脉冲，造成瓶颈链路造成TCP分组丢失。Luo等人提出的PDoS攻击是一种基于拥塞控制的LDoS攻击。PDoS利用了拥塞控制机制中减小cwnd的部分。通过攻击造成TCP分组的丢失，PDoS以固定的间隔发送脉冲，使TCP的发送速度始终处于低水平。GUIRGUIS提出了RoQ攻击，它不需要特定的攻击参数，只需等间隔地向目标节点发送短时脉冲，从而破坏节点路由器的服务性能。Zhang等人基于LDoS攻击方式提出了针对BGP的ZMW攻击方式。这类LDoS会使网络延迟增加并覆盖BGP的进程。Schuhard研究出了另一种BGP层面的LDoS攻击，即CXPST。CXPST主要通过分布式的LDoS攻击并发地攻击关键路由，消耗路由器资源，进而使系统停止服务。上述对于LDoS模型或性能的研究为LDoS攻击检测的研究提供坚实的基础。

到目前为止，由于LDoS攻击能隐藏在正常网络中，研究学者们很难将遭受LDoS攻击后的网络流量划分为攻击与正常流量，因此，合理地检测以及防御LDoS攻击尤为重要。许多专家学者在攻击流量，TCP特征等多个方面进行了深入的研究，并根据不同的特征提出了多种检测算法。其中最为普遍的是基于信号处理的方法，这类算法是将LDoS流抽样，在时间和频率上对抽样后的序列进行分析，并根据分析结果得到不同于正常状态的流量的特征加以分辨。 Yu Chen提出频域检测LDoS攻击的方法，将序列自相关后经DFT后得到PSD，再将NPSD作为检测特征进行检测。何炎祥教授依据LDoS攻击特征，提出基于小波变换的方式检测LDoS攻击，利用小波变换和神经网络的泛化能力提取多个特征并形成分类器，进行综合诊断。Liu X 提出了一种基于随机游走算法建模的LDoS攻击，该攻击可以很好的绕过频域检测阶段。

在研究者发现的各个检测方法中，针对LDoS攻击单一特征的检测方法占大多数。其中包括网络吞吐量、丢包率、网络多重分型特征、网络频域特征等，这些方法虽然各有优势，但均有适用范围较窄，检测特征单一的缺点。本章详细分析了网络在正常和遭受LDoS攻击时出现的不同的行为，并挖掘了在受到LDoS攻击时易于提取且变化明显的特征，通过分析这些特征建立了关联规则集合，并根据规则提取了易于融合的3种特征，利用KNN分类器完成LDoS 攻击检测，并基于此提出了基于多特征融合的LDoS攻击检测方法。大量的实验证明，本发明所设计的方法优于其他方法，具有更高的识别率，和较低的虚警率。

发明内容

在对LDoS攻击会使其网络流量特征会发生变化。首先使用LDoS攻击工具产生攻击流量，攻击正常服务器；在服务器端采集队列特征，ACK序号，包大小等网络数据并进行预处理，将采集的样本按特征分类，分别作为各个KNN分类器的输入；将分类结果转换为决策轮廓矩阵，进行多特征融合，并以融合结果作为判决依据，判决LDoS攻击是否发生。

LDoS攻击产生之后，ACK序号的差值存在较明显减小。并且可以根据观察这种差异确定 LDoS攻击，起到检测LDoS攻击的作用(图7)，同时LDoS包越小，其攻击效能就越突出。因此在周期性的攻击下，链路会一直处于小包较多的状态，所以小包可以作为检测LDoS攻击的特征(图5)。LDoS攻击对RED队列造成影响时发现瞬时队列在LDoS攻击期间波动很大，并且其平均队列也会剧烈变化，特别是以瞬时队列作为测量尺度表示平均队列时，在LDoS攻击期间RED队列的变化是检测LDoS攻击的基础。

理想条件下，当数据包进入队列时瞬时队列是空的。当数据包已到达队列大小为零的路由器时，RED通过下式计算平均队列大小：

其中，t为当前统计时间；q_e是队列空闲的开始时间；t_a为小包特定的传输时间。

由于平均队列与瞬时队列共同表示的特征属于二维空间，在检测时不易处理，因此利用欧氏距离算法，将平均队列与瞬时队列表示为欧氏距离，以距离来判定正常与异常状态。欧式距离可以下式所示：

其中，d表示每个周期对应的平均欧氏距离，q_i为各个点的瞬时队列大小，Q_i为平均队列大小，q_c为正常状态下的瞬时队列的中值，Q_C为正常状态下的平均队列的中值。又由于攻击存在周期性，可以对每个周期的欧氏距离取平均值即：

其中，d表示每个周期对应的平均欧氏距离，q_i为各个点的瞬时队列大小，Q_i为平均队列大小，Q_C为正常状态下的平均欧式距离，N为每个采样周期的采样点数。每个周期下的LDoS 攻击队列平均欧式距离明显大于正常网络状态(包括加入随机突发)。

提出上述三种主要特征之后，本发明利用Apriori关联规则算法发现各个特征分别与 LDoS攻击共同发生时的联系，并根据各个特征的支持度和置信度，确定上述三种特征与LDoS 攻击关联性较强，可以作为检测LDoS攻击的依据，并建立相关的LDoS攻击特征集合，其支持度和置信度即计算过程如下：

其中每个特征样本为A_i，其中i为提取的样本类型，LDoS攻击状态为B，总体样本数为 N，支持度Ps即每个样本A_i(本文中为特征)与B在总体样本中同时出现的概率。

其中，P(A_i∩B)为特征A_i与LDoS攻击状态B同时出现的概率，P(A_i)为特征A_i出现在N中的概率，置信度P_c为检测到特征A_i时，得到攻击状态B的概率，P_c越高则认为特征A_i有大概率为检测LDoS攻击的特征。

选取样本总数N为10000，其中LDoS攻击状态B总数为5000。Apriori算法输出三个联合特征的规则为(A₁ A₂ A₃)→B(35.21％，99.4％)，由此可知，ACK差值，包大小和队列欧式距离三个特征对于攻击状态的置信度很高，又进行10组10000样本点数的实验，得到各个特征A_i的平均支持度和置信度。各个特征A_i对于LDoS攻击的支持度与置信度，如下表所示。

由于本文状态B总数为总样本数的一半，因此支持度不会大于50％，且一般Apriori算法中，最小支持度为20％，而对于UDP协议类型，由于在真实网络中协议类型多种多样，对 UDP的干扰很大，造成样本中的支持度低于最小支持度，所以认为UDP协议类型不适合作为检测LDoS攻击的依据。将上述三个选用特征分别作为KNN分类器1～3的输入，当Label 为0时判定为正常网络数据，当Label为1时判定为LDoS攻击数据，将输出经sigmoid函数拟合为正类的后验概率：{e_i，1(x)，e_i，2(x)，...，e_i，L(x)}，e_i，L是分类器i将测试数据判断成类别L 的后验概率，取L＝0，则e_i，1＝1-e_i，0，其中i∈[1，M]，M为特征的类别，本文中M＝3，且本文为二分类问题，因此L∈[0，1]，“0”代表正常网络状态，“1”代表异常网络状态。测试数据x经过3个KNN分类后能得出最终的决策轮廓矩阵S：

根据概率和准则思想，由决策轮廓矩阵S计算样本x属于第L类的置信度θ_L(x)：

式(3.9)中，N_L是测试数据中属第L类的样本总数，N为样本总数。根据置信度则可计算出决策融合后每个x的最终结果p(x)为：

p(x)＝arg max[θ_L(x)] (3.10)

将最终决策结果与设定好的阈值进行对比，若大于阈值则样本x为所对应的L类，反之则判定为另一类别。

附图说明

图1为基于多特征融合的LDoS攻击检测方法总体流程图；

图2为实验环境；

图3为LDoS产生前后采集到的各个特征数据图，(a)为ACK差值特征，(b)为路由器队列特征，(c)包大小特征；

图4为100个周期各单一特征的检测率图，(a)为ACK差值特征下两个类别的识别率，(b) 为小包特征下两个类别的识别率，(c)为队列特征下两个类别的识别率；

图5为多特征融合下单个周期的检测结果图；

图6为100个周期的多特征融合识别率图；

图7为多特征融合算法ROC曲线图；

具体实施方法

1.首先采用真实的网络设备搭建了测试平台test-bed实验平台，其拓扑结构如图2所示。其中，包含交换机及路由器各1台，5台客户端(Client)主机，1台LDoS攻击者(Attacker) 主机，以及1台FTP服务器(FTP server)，主机均采用Redhat9.0操作系统，Client1～5的IP 地址分别为10.1.20.1～5，攻击者的IP地址为10.1.30.1，服务器IP地址为10.1.10.1。RTO设置1s，连接的单向传播延迟在50ms左右，所以平均往返时间(RTT)设置为100ms。数据包的平均大小是1000B，瓶颈链路的缓冲区大小由公式确定，C为链路容量，为平均RTT。RED队列的最大和最小阈值分别为180和10，权值为0.0001。路由器使用RED 队列管理机制，瓶颈链路为15Mbps，其他链路带为100Mbps。本发明所用的攻击工具 ShrewAttack、流量生成工具make_trace和真实网络拓扑环境test-bed均是研究LDoS公认的攻击软件及平台，因此所采集到的特征不会对训练数据造成影响，同时也不会干扰分类器的泛化能力，其实验环境主机具体参数如下表所示。

2.实验中，分别对正常和遭受LDoS攻击状态下的ACK序号、包大小和平均与瞬时队列长度进行采样，实验参数设置如下：实验周期为2.6s(1.3s的正常网络状态和1.3s的LDoS攻击状态)，采样周期1.3s，且实验开始即进行数据采集，采样间隔为0.01s，实验总时长为260s(100个实验周期)，LDoS攻击的攻击速率为15Mbps，攻击周期为1.3s，攻击脉宽为0.3s，设置每隔1.3s发起一次攻击。采集到一个实验周期内的的各个特征的数据如图3所示。

3.对上述每组分别进行100个周期的实验，得到的各个标签的识别率如图4所示。根据实验结果可以得出每个单独特征都对LDoS攻击有一定的检测率，但是也有较高的误警率和漏警率，同时也可以证明Apriori算法得到的各个特征的置信度越高，特征越明显，则检测效果越好。对于LDoS攻击的检测，特征的选择尤为重要。而多特征融合的方法则可综合各个特征的优势，从而发挥最高的检测能力，根据各个分类器得到的决策轮廓矩阵，得到的一个周期内的多特征决策融合结果如图5所示。

4.根据决策轮廓矩阵，将各个样本的决策指标与阈值进行对比，并依据对比结果输出相应标签，最终得到图5，图5为一个实验周期的综合检测结果，实验周期为2.6s，在1.3s发起LDoS攻击，其中“0”代表正常状态，“1”代表LDoS攻击状态。在图5中，0到1.3秒的样本大多数被归到“0”类，1.3到2.6秒的样本也基本上被归到“1”类，在单个周期内正常状态与受到攻击状态的识别率都较高。

5.将上述实验进行100次后，分别计算各个类别的识别率，得到100个周期内正常状态与攻击状态的分辨率，如图6所示。两个类别的识别率基本在98％左右，明显高于单一特征的识别率，根据实验统计结果得到不同特征下的平均检测率如下表所示。

该表说明多特征融合的检测方法好于仅依据单一特征判别LDoS攻击的方法，且由于根据决策轮廓矩阵共同判断，其漏警率及误警率都比较低，是一种综合表现较好的LDoS攻击检测方法。

根据以上分析，特征的选择决定到检测效果的优劣，然而，其中各个参数的设置也会对检测结果产生一定影响。多特征融合检测算法流程图中，最后一步的判别直接关系到检测结果的输出，因此，阈值的选择至关重要。选择一定的阈值，得到各个阈值对应的检测率和虚警率，并由此得到多特征融合算法的受试者工作特征(ROC)曲线，通过图7的ROC曲线得到最终的阈值。

图7中，根据ROC曲线特性，右上角点为分类算法最佳临界点，此时阈值为0.60。因此，在阈值取0.60时，多特征融合算法可得到检测LDoS攻击的最佳效果。

Claims

1.基于多特征融合的低速率拒绝服务攻击(Low-rate Denial of Service，LDoS)检测方法，在详细分析了网络在正常和遭受LDoS攻击时出现的不同的行为后，该方法挖掘受到LDoS攻击时易于提取且变化明显的特征，通过分析这些特征建立了关联规则集合，并根据规则提取了较为明显的3种特征，基于此提出了多特征融合的LDoS攻击检测方法，该发明通过以下步骤实现：

(1)研究了LDoS的攻击模型，根据攻击模型，对LDoS攻击进行了较详细的分类，并根据各个检测算法的优缺点，提出了基于多特征融合的检测LDoS攻击的思想；

(2)通过流量分析，验证了LDoS攻击能隐藏在正常流量中的说法，并提取了ACK序号，路由器队列和包大小作为检测算法的特征，对ACK序号和路由器队列分别进行了数字化处理，使其更容易与正常网络下的特征区分；

(3)利用Apriori关联规则算法，得到了各个特征的支持度和置信度，并据此得到了检测LDoS攻击的攻击特征集，利用KNN分类器检测LDoS攻击，得到决策轮廓矩阵，并根据决策轮廓矩阵得到最后的决策值，根据以上分析，提出了基于多特征融合的检测LDoS攻击的方法；

(4)搭建了国际上通用的研究LDoS攻击的test-bed真实实验平台，分别对基于单一特征和多特征融合检测LDoS攻击的方法进行了实验对比，通过最后实验结果得出了多特征融合检测算法优于单一特征检测算法的结论；

该发明具体创新如下：

(1)对各个特征进行预处理，这样可以降低其复杂度，以提升实时性；

将ACK序号处理转变为ACK差值，在数据传输过程中，ACK序号为接收端期望收到发送端下一个报文段的第一个数据字节的序号，TCP使用的ACK是累积的，即当接收端收到连接的另一端发送的数据时，并不会立即回复确认，而是会延迟片刻，受到LDoS攻击后，由于要频繁进入快速重传和快速恢复，接收端会回传重复的ACK让发送端重传数据，此时ACK序号差值将会发生很大变化；

将LDoS攻击产生之后，发送的异常数据包处理转变为提取数据包的大小，正常网络状态下，为了传输效率，TCP数据包大小一般为1000字节以上，速率不变时，LDoS包越小，效能越突出，因此，LDoS攻击者一般把攻击包控制在200字节左右，因此数据包的大小变化是检测是否产生LDoS攻击的标准之一；

将平均与瞬时队列长度处理转变为欧氏距离，由于平均队列与瞬时队列共同表示的特征属于二维空间，在检测时不易处理，因此利用欧氏距离算法，将平均队列与瞬时队列表示为欧氏距离，以距离来判定正常与异常状态，欧式距离可以下式所示：

中，d表示每个周期对应的平均欧氏距离，q_i为各个点的瞬时队列大小，Q_i为平均队列大小，q_c为正常状态下的瞬时队列的中值，Q_C为正常状态下的平均队列的中值，又由于攻击存在周期性，可以对每个周期的欧氏距离取平均值即：

其中，d表示每个周期对应的平均欧氏距离，q_i为各个点的瞬时队列大小，Q_i为平均队列大小，Q_C为正常状态下的平均欧式距离，N为每个采样周期的采样点数，每个周期下的LDoS攻击队列平均欧式距离明显大于正常网络状态(包括加入随机突发)；

(2)在建立特征库之前评估不同特征的利用率和置信率，多方面选择特征以免造成特征不匹配，利用Apriori关联规则算法发现各个特征分别与LDoS攻击共同发生时的联系，并根据各个特征的支持度和置信度确定与LDoS攻击关联性最强的几个特征作为本发明检测LDoS攻击的依据，即ACK差值，包大小和队列欧式距离，最终Apriori算法输出三个联合特征的规则为(A₁ A₂ A₃)→B(35.21％，99.4％)，由此可知，ACK差值，包大小和队列欧式距离三个特征对于攻击状态的置信度很高；

(3)利用各个特征的特性，进行多特征的融合检测，通过各个特征在决策上的相互制约以提高检测率并降低虚警率，Apriori算法得到的LDoS规则特征集(ACK差值，包大小，队列距离特征)，以这三个特征分别作为KNN分类器1～3的输入，测试数据x经过3个KNN分类后能得出最终的决策轮廓矩阵S：

由决策轮廓矩阵S计算样本x属于第L类的置信度θ_L(x)：

在上式中，N_L是测试数据中属第L类的样本总数，N为样本总数，根据置信度则可计算出决策融合后每个x的最终结果p(x)为：

p(x)＝argmax[θ_L(x)] (3.10)

将融合后的结果决策指标作为LDoS攻击的判定依据D，在正常与异常状态中间选择合理的阈值，若D大于阈值则样本x为所对应的L类，反之则判定为另一类别。