CN112637224A - 一种自治系统内基于子空间和相对熵的DDoS攻击检测方法 - Google Patents

Abstract

本发明涉及一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，本发明首先统计某一时间段的自治系统的流量大小并判断是否超出预测流量，其次通过主成分分析法对这一自治系统内的边缘路由器的熵值构建子空间，并以此来区分正常和异常的网络流量，最后计算出异常流量相对熵，从而判断此自治系统是否发生DDoS攻击。本发明对于检测某一自治系统区域内的DDoS攻击检测具有重大意义。

Description

一种自治系统内基于子空间和相对熵的DDoS攻击检测方法

技术领域

本发明涉及网络安全中的DDoS攻击检测领域，尤其涉及一种自治系统内基于子空间和相对熵的DDoS攻击检测方法。

背景技术

随着人工智能和5G技术的相继到来，网络数据量出现几何式爆炸增长，随之而来的网络安全问题也愈发严峻，多样化的攻击方式使网络的安全性能遭受不小的挑战。在网络安全威胁中，分布式拒绝服务攻击(DDoS，distributed denial-of-service)作为最常见和最主要的攻击方式，已然成为互联网的公敌。DDoS攻击主要表现为流量攻击和资源耗尽攻击。流量攻击是专门对网络带宽的一种攻击，通过发送大量无效数据包挤爆带宽使正常数据包无法正常送达，导致主机拒绝服务。资源耗尽攻击是对服务器的一种攻击，通过占用服务器内存或让服务器一直处于等待响应的状态，最终实现服务器无法正常提供服务。发起DDoS攻击的成本较低，且破坏能力较大，攻击者可以在短时间内发起规模巨大的DDoS攻击，并且难以防御。而且许多DDoS流量会模拟正常流量的请求，从大量的网络流量中发现并识别出DDoS的流量，是一项必要而又繁琐的工作。

现有的DDoS攻击检测方法有很多，大致可以分为基于统计方法、基于传统机器学习算法、基于深度学习、基于知识方法以及以上两种方法的混合方法。这些方案针对某一链路或者某一网络设备具有较好的检测效果，但是针对某一区域或某一自治系统来说，还没有较好的整体防御DDoS攻击检测的方法。

发明内容

本发明为克服上述的不足之处，目的在于提供一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，本发明首先统计某一时间段的自治系统的流量大小并判断是否超出预测流量，其次通过主成分分析法对这一自治系统内的边缘路由器的熵值构建子空间，并以此来区分正常和异常的网络流量，最后计算出异常流量相对熵，从而判断此自治系统是否发生DDoS攻击。本发明对于检测某一自治系统区域内的DDoS攻击检测具有重大意义。

本发明是通过以下技术方案达到上述目的：一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，包括如下步骤：

(1)定时采集自治系统内的流量数据，并统计一段时间内该自治系统的流量大小，预测当前时间段内该自治系统的流量大小，将预测流量作为当前时间段内的阈值，并与实际流量相比，若超出阈值，则此自治系统标记为可疑自治系统；

(2)依据信息熵的概念，对可疑自治系统中的各边缘路由器选取源IP地址、目的IP地址两个特征，分别计算信息熵；

(3)将各边缘路由器源IP地址、目的IP地址的信息熵按时间序列组成一个矩阵，通过主成分分析法构建子空间，并以此来区分正常和异常的网络流量；

(4)将异常流量与之前时间段内的信息熵差值得出相对熵，通过设置相对应的检测阈值来判断是否属于DDoS攻击流量。

作为优选，所述步骤(1)具体如下：

(1.1)定时采集自治系统内的流量数据，并统计一段时间内该自治系统的流量大小，按下列公式计算前n个时间段内流量的均值：

(1.2)由于当前时间段内的流量大小与前几个时间段内的流量大小相关联，利用如下公式计算预测当前时间段内的流量：

其中，α取值为[0,1]，α越接近于0，预测流量与实际流量越接近；

(1.3)当发生洪泛式DDoS攻击时，自治系统中的流量会迅速增大，以此来初步判断是否发生了DDoS攻击；若出现T_t值大于所预测的ET_t阈值，则将这一段时间内的流量标记为疑似DDoS攻击流量。

作为优选，所述步骤(2)具体为：两个特征的信息熵计算过程相似，以计算目的IP地址特征的信息熵为例：统计一段时间t内目的IP地址数据包的总数，记为S，N表示不同IP地址数量，n_i则表示同一IP地址出现的次数。根据信息熵的计算公式，计算某一目的IP地址的熵值E：

其中

作为优选，所述步骤(3)具体如下：

(3.1)采用E_(scrIP)、E_(dstIP)分别表示源IP地址和目的IP地址矩阵，该矩阵是一个t×p的数据矩阵，其中列表示同一流在不同时间段t时的信息熵，行表示同一时间段内不同流的信息熵；通过对E_(scrIP)、E_(dstIP)两个数据矩阵并排排列组成一个新的合并矩阵H，其大小为t×2p，如下所示：

其中前p列表示源IP地址的熵子矩阵，后p列表示目的IP地址的熵子矩阵，E_(p，t)代表边缘路由器p在时间段t内源IP地址所对应的信息熵；

(3.2)由于矩阵H中的列向量具有相关性，采用主成分分析法对合并矩阵进行处理；

(3.3)对多维度的变量进行处理，计算各维度两两之间的协方差，协方差的绝对值大小与两两变量之间的相互影响成正相关趋势；计算后的协方差组成了矩阵C，如下所示：

根据矩阵特征值和特征向量的概念，协方差矩阵C对应的值为：

其中，2p阶矩阵特征值有2p个，将这些特征值按照从大到小的顺序排列；第一主成分是单个轴上尽可能最大程度地捕获数据的方差，下一主成分则是捕获各自其余正交方向中的最大方差，以此类推；选择最大的前k个特征值，其相对应的k个特征向量

代表着是k个主轴的方向；

(3.4)确认主轴后，将数据集映射到新的轴上；数据到主轴i的映射由

给出，此向量可以通过除以

来单位化；因此对于每个主轴i：

上面的等式表明，当用

加权时，边缘路由器所有的熵值都转换为一维的数据；因此，矢量

捕获整个自治系统边缘路由器熵值沿着主轴i的时间变化；根据最大方差理论，方差越大，所包含的信息量就越大；由于各主轴中总方差大小是有序的，

捕获自治系统边缘路由器熵的方差最大，

捕获的方差其次，以此类推；由于主轴的存在，子空间方法可以将其分成两组，分别对应流量的正常和异常变化；其中使用一种基于阈值的分离方法，具体为：首先按顺序检查每个主轴上的投影，一旦发现投影的值超过阈值，该主轴标记为异常部分，并将后续的主轴都分配给异常子空间；其次，将所有先前的主轴分配给正常子空间；将自治系统内所有可能的边缘路由器信息熵值的空间分成子空间S_nor和S_ano之后，将各边缘路由器信息熵值分解成正常分量和异常分量。

作为优选，所述步骤(3.2)具体为首先对矩阵进行数据中心化，使每一列的数据之和的平均值为零，即每列字段减去每一列数据的平均值，得到

当使用平均值为零的数据时，每个主成分都具有指向数据中最大方差向量的属性。

作为优选，所述步骤(3.4)具体如下：

(3.4.1)通过将边缘路由器信息熵值投影到正常子空间和异常子空间上，有效地分解成正常分量和异常分量；以某一时间段内自治系统内某路由器测量的值

为例：

其中

表示正常分量，是

在正常子空间S_nor的投影；

则表示异常分量，是

在异常子空间S_ano的投影；

(3.4.2)将与正常子空间

相对应的主轴集合作为矩阵P，其中r表示正常子空间的主轴数量，然后可以将

和

写成：

其中矩阵C_nor＝PP^T表示投影到正常子空间S_nor上的线性操作，同理，C_ano＝E-PP^T表示投影到异常子空间S_ano上的线性操作；

(3.4.3)使用平方预测误差(SPE)来检测

中异常变化，如下公式所示：

(3.4.4)在1-α置信水平下SPE的阈值

由Q统计量检验方法得出：

并且

其中λ_j是将数据投影到第j个主轴上捕获的方差，而c_α是标准正态分布的1-α分位点；

(3.4.5)如果

则表明通过该路由器的网络流量异常。

作为优选，所述步骤(4)具体如下：

(4.1)采用如下公式计算异常流量的相对熵：

其中，L(x)、M(x)分别代表当前时间段内、上一个时间段内通过边缘路由器的数据包中目的IP地址数量占总目的IP地址数量的概率；(4.2)当发生DDoS攻击时，源IP地址的相对熵KL会急剧变小，目的IP地址的相对熵KL会急剧变大，基于这两特征，最终确定此路由器是否发生DDoS攻击。

本发明的有益效果在于：本发明可实现对某一区域或某一自治系统中的整体防御DDoS攻击检测，本发明对于检测某一自治系统区域内的DDoS攻击检测具有重大意义。

附图说明

图1是本发明的方法流程示意图；

图2是本发明实施例的自治系统架构示意图。

具体实施方式

下面结合具体实施例对本发明进行进一步描述，但本发明的保护范围并不仅限于此：

实施例：如图1所示，本发明主要分为三个部分，第一部分统计和预测当前时间段该自治系统的流量大小，第二部分通过主成分分析法构建子空间，并以此来区分正常和异常的网络流量，第三个部分计算异常的相对熵，通过设置相对应的检测阈值来判断是否属于DDoS攻击流量，包括如下步骤：

步骤1:每隔10秒统计某个自治系统的流量大小，并预测当前时间段该自治系统的流量大小，将预测流量作为当前时间段内的阈值，与实际流量相比，若超出阈值，则此自治系统标记为可疑自治系统。

步骤1.1:自治系统的实际流量的大小，并按下列公式计算前3个时间段(前30秒)内流量的均值：

步骤1.2:利用如下公式计算预测当前时间段内的流量:

其中，为了让预测流量与最近时间段的实际流量更接近，α取值为0.9，δ取值为0.9。

步骤1.3:当发生洪泛式DDoS攻击时，自治系统中的流量会迅速增大，以此来初步判断是否发生了DDoS攻击。若出现T_t值大于所预测的ET_t阈值，则将这一段时间内的流量标记为疑似DDoS攻击流量。

步骤2:对可疑自治系统中的各边缘路由器选取源IP地址、目的IP地址两个特征计算信息熵，两个特征的信息熵计算过程相似，以目的IP地址为例，统计10秒内，目的IP地址数据包的总数，记为S，N表示不同IP地址数量，n_i则表示同一IP地址出现的次数。根据信息熵的计算公式，计算某一目的IP地址的熵值E：

其中

步骤3:将各边缘路由器源IP地址、目的IP地址的信息熵按时间序列组成一个矩阵，通过主成分分析法构建子空间，并以此来区分正常和异常的网络流量；

步骤3.1:如图2所示，自治系统内有5个边缘路由器，用E_(scrIP)、E_(dstIP)分别表示源IP地址和目的IP地址在100秒(每隔10秒)时间内的矩阵。通过对E_(scrIP)、E_(dstIP)两个数据矩阵并排排列组成一个新的合并矩阵H，其大小为t×2p，如下所示：

其中前5列表示源IP地址的熵子矩阵，后5列表示目的IP地址的熵子矩阵，E_(p，t)代表边缘路由器p在时间段t内源IP地址所对应的信息熵。

步骤3.2:矩阵H中的列向量具有相关性，因此可以使用主成分分析法对合并矩阵进行处理。首先要对矩阵进行数据中心化，使每一列的数据之和的平均值为零，即每列字段减去每一列数据的平均值，得到

当使用平均值为零的数据时，每个主成分都具有指向数据中最大方差向量的属性。

步骤3.3：对多维度的变量进行处理，首先计算各维度两两之间的协方差，协方差的绝对值大小与两变量之间的相互影响成正相关趋势。计算后的协方差组成了矩阵C，如下所示：

根据矩阵特征值和特征向量的概念，求协方差矩阵C的对应的值:

其中，10阶矩阵特征值一定有10个，将这些特征值按照从大到小的顺序排列。第一主成分是单个轴上尽可能最大程度地捕获数据的方差，下一主成分则是捕获各自其余正交方向中的最大方差，以此类推。选择最大的前k个特征值，其相对应的k个特征向量

代表着是k个主轴的方向。

步骤3.4：确认主轴后，可以将数据集映射到新的轴上。数据到主轴i的映射由

给出，此向量可以通过除以

来单位化。因此，对于每个主轴i：

上面的等式表明，当用

加权时，边缘路由所有的熵值都生成为转换为一维的数据。因此，矢量

捕获整个自治系统边缘路由器熵值沿着主轴i的时间变化。根据最大方差理论，方差越大，所包含的信息量就越大。由于各主轴中总方差大小是有序的，

捕获自治系统边缘路由器熵的方差最大，

捕获的方差其次，以此类推。由于主轴的存在，子空间方法可以将其分成两组，分别对应流量的正常和异常变化。使用一种简单的基于阈值的分离方法。具体来说，首先按顺序检查每个主轴上的投影，一旦发现投影的值超过阈值(例如，与平均值有3σ偏差)，该主轴标记为异常部分，并将后续的主轴都分配给异常子空间。其次，将所有先前的主轴分配给正常子空间。将自治系统内所有可能的边缘路由器信息熵值的空间分成子空间S_nor和S_ano之后，就可以将各边缘路由器信息熵值分解成正常分量和异常分量。

步骤3.5：通过将边缘路由器信息熵值投影到这正常子空间和异常子空间上可以有效地分解成正常分量和异常分量。以前100秒内自治系统内路由器R1测量的值

为例：

其中

表示正常分量，是

在正常子空间S_nor的投影；

则表示异常分量，是

在异常子空间S_ano的投影。

步骤3.6：将与正常子空间

相对应的主轴集合作为矩阵P，其中r表示正常子空间的主轴数量，然后可以将

和

写成：

其中矩阵C_nor＝PP^T表示投影到正常子空间S_nor上的线性操作，同理，C_ano＝E-PP^T表示投影到异常子空间S_ano上的线性操作。

步骤3.7：使用平方预测误差(SPE)来检测

中异常变化，如下列公式所示：

步骤3.8：在1-α置信水平下SPE的阈值

由Q统计量检验方法得出：

并且

其中λ_j是通过将数据投影到第j个主轴上捕获的方差，而c_α是标准正态分布的1-α分位点。

步骤3.9：如果

则表明通过该路由器的网络流量异常。

步骤4:将异常流量与之前时间段内的信息熵对比得出相对熵，通过设置相对应的检测阈值来判断是否属于DDoS攻击流量。

步骤4.1：使用下列公式计算异常流量的相对熵：

其中，L(x)、M(x)分别代表当前时间段内、上一个时间段内通过边缘路由器的包中目的IP地址数量占总目的IP地址数量的概率。

步骤4.2：当发生DDoS攻击时，源IP地址的相对熵KL会急剧变小，目的IP地址的相对熵KL会急剧变大，基于这两特征，最终确定此路由器是否发生DDoS攻击。

以上的所述乃是本发明的具体实施例及所运用的技术原理，若依本发明的构想所作的改变，其所产生的功能作用仍未超出说明书及附图所涵盖的精神时，仍应属本发明的保护范围。

Claims (7)

1.一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，其特征在于，包括如下步骤：

(1)定时采集自治系统内的流量数据，并统计一段时间内该自治系统的流量大小，预测当前时间段内该自治系统的流量大小，将预测流量作为当前时间段内的阈值，并与实际流量相比，若超出阈值，则此自治系统标记为可疑自治系统；

(2)依据信息熵的概念，对可疑自治系统中的各边缘路由器选取源IP地址、目的IP地址两个特征，分别计算信息熵；

(3)将各边缘路由器源IP地址、目的IP地址的信息熵按时间序列组成一个矩阵，通过主成分分析法构建子空间，并以此来区分正常和异常的网络流量；

(4)将异常流量与之前时间段内的信息熵差值得出相对熵，通过设置相对应的检测阈值来判断是否属于DDoS攻击流量。

2.根据权利要求1所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，其特征在于：所述步骤(1)具体如下：

(1.1)定时采集自治系统内的流量数据，并统计一段时间内该自治系统的流量大小，按下列公式计算前n个时间段内流量的均值：

(1.2)由于当前时间段内的流量大小与前几个时间段内的流量大小相关联，利用如下公式计算预测当前时间段内的流量：

其中，α取值为[0,1]，α越接近于0，预测流量与实际流量越接近；

(1.3)当发生洪泛式DDoS攻击时，自治系统中的流量会迅速增大，以此来初步判断是否发生了DDoS攻击；若出现T_t值大于所预测的ET_t阈值，则将这一段时间内的流量标记为疑似DDoS攻击流量。

3.根据权利要求1所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，其特征在于：所述步骤(2)具体为：两个特征的信息熵计算过程相似，以计算目的IP地址特征的信息熵为例：统计一段时间t内目的IP地址数据包的总数，记为S，N表示不同IP地址数量，n_i则表示同一IP地址出现的次数；根据信息熵的计算公式，计算某一目的IP地址的熵值E：

其中

4.根据权利要求1所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，其特征在于：所述步骤(3)具体如下：

(3.1)采用E_(scrIP)、E_(dstIP)分别表示源IP地址和目的IP地址矩阵，该矩阵是一个t×p的数据矩阵，其中列表示同一流在不同时间段t时的信息熵，行表示同一时间段内不同流的信息熵；通过对E_(scrIP)、E_(dstIP)两个数据矩阵并排排列组成一个新的合并矩阵H，其大小为t×2p，如下所示：

其中前p列表示源IP地址的熵子矩阵，后p列表示目的IP地址的熵子矩阵，E_(p，t)代表边缘路由器p在时间段t内源IP地址所对应的信息熵；

(3.2)由于矩阵H中的列向量具有相关性，采用主成分分析法对合并矩阵进行处理；

(3.3)对多维度的变量进行处理，计算各维度两两之间的协方差，协方差的绝对值大小与两两变量之间的相互影响成正相关趋势；计算后的协方差组成了矩阵C，如下所示：

根据矩阵特征值和特征向量的概念，协方差矩阵C对应的值为：

其中，2p阶矩阵特征值有2p个，将这些特征值按照从大到小的顺序排列；第一主成分是单个轴上尽可能最大程度地捕获数据的方差，下一主成分则是捕获各自其余正交方向中的最大方差，以此类推；选择最大的前k个特征值，其相对应的k个特征向量

代表着是k个主轴的方向；

(3.4)确认主轴后，将数据集映射到新的轴上；数据到主轴i的映射由

给出，此向量可以通过除以

来单位化；因此对于每个主轴i：

上面的等式表明，当用

加权时，边缘路由器所有的熵值都转换为一维的数据；因此，矢量

捕获整个自治系统边缘路由器熵值沿着主轴i的时间变化；根据最大方差理论，方差越大，所包含的信息量就越大；由于各主轴中总方差大小是有序的，

捕获自治系统边缘路由器熵的方差最大，

捕获的方差其次，以此类推；由于主轴的存在，子空间方法可以将其分成两组，分别对应流量的正常和异常变化；其中使用一种基于阈值的分离方法，具体为：首先按顺序检查每个主轴上的投影，一旦发现投影的值超过阈值，该主轴标记为异常部分，并将后续的主轴都分配给异常子空间；其次，将所有先前的主轴分配给正常子空间；将自治系统内所有可能的边缘路由器信息熵值的空间分成子空间S_nor和S_ano之后，将各边缘路由器信息熵值分解成正常分量和异常分量。

5.根据权利要求4所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，其特征在于：所述步骤(3.2)具体为首先对矩阵进行数据中心化，使每一列的数据之和的平均值为零，即每列字段减去每一列数据的平均值，得到

当使用平均值为零的数据时，每个主成分都具有指向数据中最大方差向量的属性。

6.根据权利要求4所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，其特征在于：所述步骤(3.4)具体如下：

(3.4.1)通过将边缘路由器信息熵值投影到正常子空间和异常子空间上，有效地分解成正常分量和异常分量；以某一时间段内自治系统内某路由器测量的值

为例：

其中

表示正常分量，是

在正常子空间S_nor的投影；

则表示异常分量，是

在异常子空间S_ano的投影；

(3.4.2)将与正常子空间

相对应的主轴集合作为矩阵P，其中r表示正常子空间的主轴数量，然后可以将

和

写成：

其中矩阵C_nor＝PP^T表示投影到正常子空间S_nor上的线性操作，同理，C_ano＝E-PP^T表示投影到异常子空间S_ano上的线性操作；

(3.4.3)使用平方预测误差来检测

中异常变化，如下公式所示：

(3.4.4)在1-α置信水平下SPE的阈值

由Q统计量检验方法得出：

并且

其中λ_j是将数据投影到第j个主轴上捕获的方差，而c_α是标准正态分布的1-α分位点；

(3.4.5)如果

则表明通过该路由器的网络流量异常。

7.根据权利要求1所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法，其特征在于：所述步骤(4)具体如下：

(4.1)采用如下公式计算异常流量的相对熵：

其中，L(x)、M(x)分别代表当前时间段内、上一个时间段内通过边缘路由器的数据包中目的IP地址数量占总目的IP地址数量的概率；

(4.2)当发生DDoS攻击时，源IP地址的相对熵KL会急剧变小，目的IP地址的相对熵KL会急剧变大，基于这两特征，最终确定此路由器是否发生DDoS攻击。

Images