CN111756685B

CN111756685B - 一种基于假设检验的ddos攻击检测方法

Info

Publication number: CN111756685B
Application number: CN202010412575.XA
Authority: CN
Inventors: 黄惟
Original assignee: Changsha Zhiwei Information Technology Co ltd
Current assignee: Changsha Zhiwei Information Technology Co ltd
Priority date: 2020-05-15
Filing date: 2020-05-15
Publication date: 2022-05-20
Anticipated expiration: 2040-05-15
Also published as: CN111756685A

Abstract

本发明公开了一种基于假设检验的DDOS攻击检测方法，用于检测低速率DDoS攻击，方法包括：抓取网络数据包，按照一定时间窗口对网络数据包进行分段；按照一定频率对每段网络数据包进行抽样；计算网络数据流特征值，构建符合正态分布的概率密度特征函数；计算概率密度特征函数的参数；基于假设检验构造检测条件进行DDoS攻击检测。相较于现有技术基于深度学习的DDoS攻击检测方法，本方法计算效率更高，实时性更强，而且无需大量的计算资源和存储资源，更加节省成本。

Description

一种基于假设检验的DDOS攻击检测方法

技术领域

本发明涉及DDoS技术领域，特别涉及一种基于假设检验的DDOS攻击检测方法。

背景技术

目前，分布式拒绝服务攻击(Distributed Denial of Service,DDoS)的攻击形式不断地在发生变化。但主要特征还是通过被控制的僵尸主机向受害主机发送海量的数据包，造成受害主机的网络资源或计算资源耗尽，丧失向客户提供服务的能力。其中典型的攻击为泛洪攻击，例如SYN/ACK泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击等。利用这个主要的特征，目前已经提出了很多针对传统DDoS攻击的检测和防御方法。这些检测和防御方法主要利用这个异常统计特征来识别DDoS攻击，一旦检测到DDoS攻击流，就激活防御机制来丢弃所有具有攻击特征的数据流传送的数据包，或采用一定的速率限制技术来降低攻击影响。然而随着网络攻击技术的进一步发展，有别于传统的DDoS新型的低速DDoS攻击出现了。

低速率DDoS攻击(Low-rate Distributed Denial-of-Service,LDDoS)与传统的泛洪式攻击有很大不同，其主要特点是不需要利用高速率攻击流耗尽受害主机的网络资源或计算资源耗尽，而是利用网络协议或应用服务中常见的自适应机制(如TCP/IP的拥塞控制机制)中所存在的网络安全漏洞，通过周期性地在一个特定的短暂时间间隔内突发性地发送大量攻击数据包，从而降低受害主机服务性能。现阶段它主要是利用TCP超时重传机制的安全漏洞，通过估计合法流的超时重传时间(Retransmission Time out,RTO)作为低速率攻击发包的周期，周期性的发送高强度的短脉冲，使得攻击流可以周期性地占用网络带宽资源，造成所有受其影响的合法流进入RTO状态，最终使得受害主机的吞吐量大幅度降低，从而达到攻击目的。具体如下所示：

LDDoS攻击模式可以使用四个参数F_a、L_b、R_a和S来进行建模。其中，F_a是攻击的频率，L_b是攻击突发的长度，R_a是攻击期间的数据包速率，S是攻击的开始时间，如图1所示；

在以TCP为目标的攻击中，攻击流是与正常流共同分享链路资源，当攻击流速率R_a大于链路带宽容量时，后续达到数据包则将进入缓存队列排队处理。攻击者在攻击时长，即脉冲宽度L_b内，如果处理效率赶不上达到速度，则缓存队列将持续增长，队列的长度将是：

其中，λ是到达速率，μ是处理速率，l是队列长度；

攻击者在L_b内，如果l溢出，则产生丢包。不同协议的丢包策略不同，有的可能超出最大长度了才开始丢包，有的可能队列长度过半就以一定概率丢包。一旦检测到丢包，TCP则启动RTO。

在拥塞避免期间，一个TCP拥塞窗口(Congestion Windows,CW)以每个往返时延(Round Trip Time,RTT)一个发送端最大数据段字节的速度增加。因此，RTO的发生意味着一个RTT内TCP流量过载。此时，TCP降低发送速率，启动慢启动算法，所谓慢启动算法即将慢启动阈值(l_thresh)设为当前的一半，拥塞窗口设置为1，重新启动，如图2所示；

在LDDoS攻击中，攻击者以“适当地”频率发送攻击数据包。如果在一个RTT内，占满缓存队列的攻击数据包导致正常数据包大量丢失，TCP机制会使发送方在RTO时间之后发送一个新的数据包；如果攻击流量周期1/F_a和RTO接近，则TCP一直丢包，从而达到拒绝服务的目的，如图3所示。

因此，在数据包入队列之前，对数据流进行过滤，识别出异常流量，对于改善网络性能具有重要意义。

目前，对LDDoS的攻击检测方法主要是基于深度学习的DDoS攻击检测方法，该方法通过采集网络中的流量、报文数、连接数等特征指标，建立深度学习的模型，对已有的数据进行训练，然后基于训练的结果，对网络进行预测是否发生了DDoS攻击。但是，这种方法需要比较大量的计算资源和存储资源，计算效率低。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明提出一种基于假设检验的DDOS攻击检测方法，能够提高检测计算效率，加强检测的实时性，而且还能够降低检测成本。

根据本发明实施例提供的一种基于假设检验的DDOS攻击检测方法，用于检测低速率DDoS攻击，包括以下步骤：

S100、抓取网络数据包，按照一定时间窗口对所述网络数据包进行分段；

S200、按照一定频率对每段所述网络数据包进行抽样；

S300、计算网络数据流特征值，构建符合正态分布的概率密度特征函数；

S400、计算所述概率密度特征函数的参数；

S500、基于假设检验构造检测条件进行DDoS攻击检测。

根据本发明实施例提供的一种基于假设检验的DDOS攻击检测方法，至少具有如下技术效果：

本方法首先设定时间窗口进行数据流分段，可以对窗口值进行调整以用来适应不同的应用场景；然后对分段数据流进行抽样建模，引入特征函数，可以构造出服从正态分布网络特征量的特征函数；最后基于假设检验的方法判断当前网络数据流量是否发生DDoS攻击；相较于现有技术基于深度学习的DDoS攻击检测方法，本方法计算效率更高，实时性更强，而且无需大量的计算资源和存储资源，更加节省成本。

根据本发明的一些实施例，所述网络数据流特征值包括：网络连接时间t_ct、数据吞吐量d_t、丢包率PLR、以及数据流字节数Size_data。

根据本发明的一些实施例，所述构建符合正态分布的概率密度特征函数，进一步包括：

设所述概率密度特征函数为

则

其中，a_i为调节系数，i∈{1,2}，t₁为源主机发送连接请求的时间，t₂为目的主机发送确认应答的时间。

根据本发明的一些实施例，所述基于假设检验构造检验条件进行DDoS攻击检测，进一步包括：

S501、构造检验条件：

H₀:δ_n＝δ₀，不存在DDoS攻击，正常网络流量；

H₁:δ_n<δ₀，存在DDoS攻击，异常网络流量；

其中，δ₀为待检测网络流量样本的标准方差，δ_n为正常网络流量样本的标准方差，设显著性水平α＝0.1；

S502、计算t统计量：

其中，μ₀为待检测网络流量样本的均值，μ_n为正常网络流量样本的均值，Q为待检测网络流量样本的数量，M为正常网络流量样本的数量；

S503、确定拒绝域t_r：

t_r≥t_α(Δ)

其中，t_α(Δ)为显著水平为α的T分布函数，Δ为自由度，

S504、检测判定：

若t_r≥t_α(Δ)，则接受H₁；若t_r<t_α(Δ)，则接受H₀。

根据本发明的一些实施例，还包括步骤：

若抓取的所述网络数据包检测为DDoS攻击时，则将所述网络数据包丢弃；

若抓取的所述网络数据包检测为正常数据流量时，则将所述网络数据包重新送入网络。

根据本发明实施例提供的一种基于假设检验的DDOS攻击检测装置，用于检测低速率DDoS攻击，包括：抓取模块、抽样模块、特征函数构建模块、参数计算模块、以及假设检验模块；

所述抓取模块用于抓取网络数据包，按照一定时间窗口对所述网络数据包进行分段；

所述抽样模块用于按照一定频率对每段所述网络数据包进行抽样；

所述特征函数构建模块用于计算网络数据流特征值，构建符合正态分布的概率密度特征函数；

所述参数计算模块用于计算所述概率密度特征函数的参数；

所述假设检验模块用于基于假设检验构造检测条件进行DDoS攻击检测。

根据本发明实施例提供的一种基于假设检验的DDOS攻击检测装置，至少具有如下技术效果：

本装置首先能够设定时间窗口进行数据流分段，可以对窗口值进行调整以用来适应不同的应用场景；然后能够对分段数据流进行抽样建模，引入特征函数，可以构造出服从正态分布网络特征量的特征函数；最后能够基于假设检验的方法判断当前网络数据流量是否发生DDoS攻击；本装置计算效率高，数据检测实时性强，可行性高，而且无需大量的计算资源和存储资源，检测成本较低。

根据本发明的一些实施例，还包括处理模块，若抓取的所述网络数据包检测为DDoS攻击时，所述处理模块用于将所述网络数据包丢弃；若抓取的所述网络数据包检测为正常数据流量时，所述处理模块还用于将所述网络数据包重新送入网络。

根据本发明实施例提供的一种基于假设检验的DDOS攻击检测设备，包括：至少一个控制处理器和用于与所述至少一个控制处理器通信连接的存储器；所述存储器存储有可被所述至少一个控制处理器执行的指令，所述指令被所述至少一个控制处理器执行，以使所述至少一个控制处理器能够执行如上述的一种基于假设检验的DDOS攻击检测方法。

根据本发明实施例提供的一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行如上述的一种基于假设检验的DDOS攻击检测方法。

本公开实施例所实现的更多特点和优势，将在具体实施方式或实践中给出。

附图说明

下面结合附图和实施例对本发明进一步地说明；

图1为现有技术的LDDoS的建模示意图；

图2为现有技术的拥塞避免的示意图；

图3为现有技术的LDDoS的攻击示意图；

图4为本发明实施例提供的一种基于假设检验的DDOS攻击检测方法的流程示意图；

图5为图4中步骤S500的进一步流程示意图；

图6为本发明实施例提供的一种基于假设检验的DDOS攻击检测装置的结构示意图；

图7为本发明实施例提供的一种基于假设检验的DDOS攻击检测装置的结构示意图；

图8为本发明实施例提供的一种基于假设检验的DDOS攻击检测设备的结构示意图。

具体实施方式

下面将结合附图，对本公开实施例的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。需要说明的是，在不冲突的情况下，本公开实施例及实施例中的特征可以相互组合。另外，附图的作用在于用图形补充说明书文字部分的描述，使人能够直观地、形象地理解本公开的每个技术特征和整体技术方案，但其不能理解为对本公开保护范围的限制。

在本发明的描述中，若干的含义是一个或者多个，多个的含义是两个以上，大于、小于、超过等理解为不包括本数，以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。

在一般情况下，合法用户的IP地址所覆盖的地理区域大于攻击流量所覆盖的地理区域。因此，与攻击流量相比，正常业务数据流量的源IP地址的地理分布更为分散。此外，正常流量的数据包长度大小取决于会话类型和正常业务需求。然而，攻击流量中的数据包长度大小一致，或者变化不大。因此，与攻击流量相比，正常业务数据流的数据包大小的概率密度函数更为发散。可以选择抽取数据包IP地址和数据包长度等特征信息进行建模，可以得到服从正态分布的特征值，然后利用假设检验原理进行异常DDoS流量检测。

方法实施例：

参照图4和图5，本发明的一个实施例，提供了一种基于假设检验的DDOS攻击检测方法，用于检测低速率DDoS攻击，包括以下步骤：

步骤S100、抓取网络数据包，按照一定时间窗口对网络数据包进行分段；

在本步骤中，首先抓取网络数据包并进行记录，记录每个包的到达时间；接着对捕获的数据包进行分段，设时间窗口为t_w，每间隔t_w时间进行分段，后续将对分段后的数据进行统计分析。需要说明的是，时间窗口t_w值的选择需要根据网络实际情况确定，如果t_w过小，则无法显示数据包的行为模式；如果t_w值过大，可能检测不到攻击数据流。

步骤S200、按照一定频率对每段网络数据包进行抽样；

需要说明的是，频率值的选择也需要根据网络实际情况确定。这里，假设本步骤中的抽样频率为f，则

其中，r_sample为抽样速率。

步骤S300、计算网络数据流特征值，构建符合正态分布的概率密度特征函数；

在本步骤中，首先，提取数据流特征，该数据流特征包括但不仅限于：

SrcIP：源IP地址

DstIP：目的IP地址；

Count_data:数据流的报文数；

Timestamp：时间戳，采样此流的时间；

Size_data：数据流的字节数；

t_ct：网络连接时间(t_ct代表连接网络主机所需要的时间。具体是指TCP/IP三次握手所需要的时间，包括三部分，源主机发送连接请求所需时间t1，目的主机发送确认应答时间t2，源主机再次发送确认应答时间t3。因此，t_ct＝t1+t2+t3)；

d_t：数据吞吐量，代表服务器对数据处理的性能，单位时间之内所处理的数据包的大小，一般单位取Mbps；

PLR：丢包率，代表数据传输中丢失的数据包数占整个传输数据包的比例。

其次，根据上述的数据流特征来计算数据流特征值，这里优选包括：t_ct,、d_t、PLR、Size_data，由于计算方法是本领域公知，此处不再细述。

然后，构建符合正态分布的概率密度特征函数，设该特征函数为

则：

其中，a_i为调节系数、i∈{1，2}，通过调节a_i和i∈{1，2}构建

使得该特征函数v_ne满足正态分布，即表示为：

v_ne～N(μ，δ²)

其中，μ为期望，δ²为方差。

步骤S400、计算概率密度特征函数的参数；

根据上述步骤S100和S200，抽样频率为f，抽样速率为r_sample，时间窗口为t_w，令抽样数据包个数为Y，则Y表示为：

这里调节系数取a₁＝a₂＝1；

参数计算：

计算Y个数据样本的均值为：

计算Y个数据样本的方差为：

步骤S500、基于假设检验构造检验条件进行DDoS攻击检测；

在本步骤中，先假设事先提取了M个均为正常网络流量的数据样本、Q个待检测数据样本，需要理解的是，该M个样本和Q个样本均通过上述步骤S100-S400而提取出；

步骤S501、构造检验条件：

H₀:δ_n＝δ₀，不存在DDoS攻击，正常网络流量；

H₁:δ_n<δ₀，存在DDoS攻击，异常网络流量；

其中，δ₀为待检测网络流量样本的标准方差，δ_n为正常网络流量样本的标准方差；这里，设显著性水平α＝0.1；

步骤S502、计算t统计量：

其中，μ₀为待检测网络流量样本的均值，μ_n为正常网络流量样本的均值；

步骤S503、确定拒绝域t_r：

t_r≥t_α(Δ)

其中，t_α(Δ)为显著水平为α的T分布函数，Δ为自由度：

步骤S504、检测判定：

若t_r≥t_α(Δ)，则拒绝H₀，接受H₁，表明当前流量是DDoS攻击流量；

若t_r<t_α(Δ)，则拒绝H₁，接受H₀，表明当前流量是正常流量。

本实施例提供的一种基于假设检验的DDOS攻击检测方法，首先设定时间窗口进行数据流分段，可以对窗口值进行调整以用来适应不同的应用场景；然后对分段数据流进行抽样建模，引入特征函数，可以构造出服从正态分布网络特征量的特征函数；最后基于假设检验的方法判断当前网络数据流量是否发生DDoS攻击；相较于现有技术基于深度学习的DDoS攻击检测方法，本方法计算效率更高，实时性更强，而且无需大量的计算资源和存储资源，更加节省成本。

优选的，还包括步骤：若抓取的网络数据包检测为DDoS攻击时，处理模块用于将网络数据包丢弃；若抓取的网络数据包检测为正常数据流量时，处理模块还用于将网络数据包重新送入网络。这样对检测后的网络数据包进行处理，能够确保DDoS攻击流量被丢弃，正常网络数据流量被保留。

装置实施例：

参照图6，本发明的一个实施例，提供了一种基于假设检验的DDOS攻击检测装置，用于检测低速率DDoS攻击，包括：抓取模块、抽样模块、特征函数构建模块、参数计算模块、以及假设检验模块；

抓取模块用于抓取网络数据包，按照一定时间窗口对网络数据包进行分段；

抽样模块用于按照一定频率对每段网络数据包进行抽样；

特征函数构建模块用于计算网络数据流特征值，构建符合正态分布的概率密度特征函数；

参数计算模块用于计算概率密度特征函数的参数；

假设检验模块用于基于假设检验构造检测条件进行DDoS攻击检测。

参照图7，优选的，还包括处理模块，若抓取的网络数据包检测为DDoS攻击时，处理模块用于将网络数据包丢弃；若抓取的网络数据包检测为正常数据流量时，处理模块还用于将网络数据包重新送入网络。

需要说明的是，由于本实施例中的一种基于假设检验的DDOS攻击检测装置与上述的一种基于假设检验的DDOS攻击检测方法基于相同的发明构思，因此，方法实施例中的相应内容同样适用于本装置实施例，此处不再详述。

参照图8，本发明实施例还提供了一种基于假设检验的DDOS攻击检测设备，该基于假设检验的DDOS攻击检测设备可以是任意类型的智能终端，例如手机、平板电脑、个人计算机等。

具体地，该基于假设检验的DDOS攻击检测设备包括：一个或多个控制处理器和存储器，图8中以一个控制处理器为例。

控制处理器和存储器可以通过总线或者其他方式连接，图8中以通过总线连接为例。

存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态性计算机可执行程序以及模块，如本发明实施例中的基于假设检验的DDOS攻击检测设备对应的程序指令/模块，例如，图6中所示的抓取模块、抽样模块、特征函数构建模块、参数计算模块、以及假设检验模块以及图7中所示的处理模块；控制处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块，从而执行基于假设检验的DDOS攻击检测装置的各种功能应用以及数据处理，即实现上述方法实施例的基于假设检验的DDOS攻击检测方法。

存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据基于假设检验的DDOS攻击检测装置的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可选包括相对于控制处理器远程设置的存储器，这些远程存储器可以通过网络连接至该基于假设检验的DDOS攻击检测设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个模块存储在所述存储器中，当被所述一个或者多个控制处理器执行时，执行上述方法实施例中的基于假设检验的DDOS攻击检测方法，例如，执行以上描述的图4中的方法步骤S100至S500，实现图6装置的功能。

本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个控制处理器执行，例如，被图8中的一个控制处理器执行，可使得上述一个或多个控制处理器执行上述方法实施例中的基于假设检验的DDOS攻击检测方法，例如，执行以上描述的图4中的方法步骤S100至S500，实现图6装置的功能。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

通过以上的实施方式的描述，本领域技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现。本领域技术人员可以理解实现上述实施例方法中的全部或部分流程是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

上面结合附图对本发明实施例作了详细说明，但是本发明不限于上述实施例，在所述技术领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化。

Claims

1.一种基于假设检验的DDOS攻击检测方法，其特征在于，用于检测低速率DDoS攻击，包括以下步骤：

S200、按照一定频率对每段所述网络数据包进行抽样；

S300、计算网络数据流特征值，构建符合正态分布的概率密度特征函数；其中，网络数据流特征值包括：网络连接时间t_ct、数据吞吐量d_t、丢包率PLR、以及数据流字节数Size_data；所述构建符合正态分布的概率密度特征函数，进一步包括：

设所述概率密度特征函数为

则

其中，a_i为调节系数，i∈{1,2}，t₁为源主机发送连接请求的时间，t₂为目的主机发送确认应答的时间；

S400、计算所述概率密度特征函数的参数；

S500、基于假设检验构造检测条件进行DDoS攻击检测。

2.根据权利要求1所述的一种基于假设检验的DDOS攻击检测方法，其特征在于，所述基于假设检验构造检验条件进行DDoS攻击检测，进一步包括：

S501、构造检验条件：

H₀:δ_n＝δ₀，不存在DDoS攻击，正常网络流量；

H₁:δ_n＜δ₀，存在DDoS攻击，异常网络流量；

S502、计算t统计量：

S503、确定拒绝域t_r：

t_r≥t_α(Δ)

其中，t_α(Δ)为显著水平为α的T分布函数，Δ为自由度，

S504、检测判定：

若t_r≥t_α(Δ)，则接受H₁；若t_r＜t_α(Δ)，则接受H₀。

3.根据权利要求1所述的一种基于假设检验的DDOS攻击检测方法，其特征在于，还包括步骤：

4.一种基于假设检验的DDOS攻击检测装置，其特征在于，用于检测低速率DDoS攻击，包括：抓取模块、抽样模块、特征函数构建模块、参数计算模块、以及假设检验模块；

所述特征函数构建模块用于计算网络数据流特征值，构建符合正态分布的概率密度特征函数；其中，网络数据流特征值包括：网络连接时间t_ct、数据吞吐量d_t、丢包率PLR、以及数据流字节数Size_data；所述构建符合正态分布的概率密度特征函数，进一步包括：

设所述概率密度特征函数为

则

所述参数计算模块用于计算所述概率密度特征函数的参数；

5.根据权利要求4所述的一种基于假设检验的DDOS攻击检测装置，其特征在于，还包括处理模块，若抓取的所述网络数据包检测为DDoS攻击时，所述处理模块用于将所述网络数据包丢弃；若抓取的所述网络数据包检测为正常数据流量时，所述处理模块还用于将所述网络数据包重新送入网络。

6.一种基于假设检验的DDOS攻击检测设备，其特征在于，包括：至少一个控制处理器和用于与所述至少一个控制处理器通信连接的存储器；所述存储器存储有可被所述至少一个控制处理器执行的指令，所述指令被所述至少一个控制处理器执行，以使所述至少一个控制处理器能够执行如权利要求1至3任一项所述的一种基于假设检验的DDOS攻击检测方法。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行如权利要求1至3任一项所述的一种基于假设检验的DDOS攻击检测方法。