CN116506225A - 协作式DDoS攻击检测方法、系统、设备及存储介质 - Google Patents

协作式DDoS攻击检测方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN116506225A
CN116506225A CN202310765471.0A CN202310765471A CN116506225A CN 116506225 A CN116506225 A CN 116506225A CN 202310765471 A CN202310765471 A CN 202310765471A CN 116506225 A CN116506225 A CN 116506225A
Authority
CN
China
Prior art keywords
suspicious
source
ddos attack
flow
attack detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310765471.0A
Other languages
English (en)
Inventor
朱博
王洵
罗伦文
任明
谭军胜
黄建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Zhongke Tongda High New Technology Co Ltd
Original Assignee
Wuhan Zhongke Tongda High New Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Zhongke Tongda High New Technology Co Ltd filed Critical Wuhan Zhongke Tongda High New Technology Co Ltd
Priority to CN202310765471.0A priority Critical patent/CN116506225A/zh
Publication of CN116506225A publication Critical patent/CN116506225A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种协作式DDoS攻击检测方法、系统、设备及存储介质,所述方法包括:根据待处理流量的多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流;根据可疑数据流对应的多个被监控数据包生成可疑流量报告;基于流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率对可疑流量报告进行特征提取,获得可疑特征信息;通过预设分析引擎对可疑特征信息进行DDoS攻击检测。现有技术中依赖于网络中的专用安全设备进行检测,导致灵活性不足,而本发明基于源IP离散度分析法、预设特征约束条件及预设分析引擎进行DDoS攻击检测,实现了对DDoS攻击进行快速精准检测。

Description

协作式DDoS攻击检测方法、系统、设备及存储介质
技术领域
本发明涉及DDoS攻击技术领域,尤其涉及一种协作式DDoS攻击检测方法、系统、设备及存储介质。
背景技术
分布式拒绝服务(Distributed Denial of Service)简称DDoS攻击,是一种易发起,破坏性强的网络攻击行为,其通过多个分布式节点伪造海量虚拟IP地址对服务器发起密集访问式攻击,通过短时内大量消耗服务器资源,导致受害服务器崩溃而无法响应正常用户的服务请求。这种在互联网发展初期便存在的网络安全威胁,时至今日仍然是互联网上最流行,效率最高的攻击方式。
传统的DDoS攻击检测主要依赖于网络中的专用安全设备,比如深度包检测技术(Deep Packet Inspection DPI)、防火墙、入侵检测系统(Intrusion Detection SystemsIDS)等。它们都是由专用的软硬件组成,虽然这些设备具有很高的性能,但价格昂贵,且部署和维护成本高,这种过于依赖专用安全设备的防御方式显得灵活性不足。因此,如何对DDoS攻击进行快速精准检测成为一个亟待解决的问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供了一种协作式DDoS攻击检测方法、系统、设备及存储介质,旨在解决如何对DDoS攻击进行快速精准检测的技术问题。
为实现上述目的,本发明提供了一种协作式DDoS攻击检测方法,所述协作式DDoS攻击检测方法包括:
在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段;
根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流;
根据所述可疑数据流对应的多个被监控数据包生成可疑流量报告;
基于预设特征约束条件对所述可疑流量报告进行特征提取,获得可疑特征信息,所述预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率;
通过预设分析引擎对所述可疑特征信息进行DDoS攻击检测。
可选地,所述根据多个源IP地址字段通过源IP离散度分析确定可疑源IP地址字段对应的可疑数据流的步骤,包括:
基于通过源IP离散度分析法对多个源IP地址字段分别进行哈希预算,得到各源IP地址字段对应的随机数;
根据各源IP地址字段对应的随机数确定第一预设时间内各源IP地址字段对应的地址数量;
根据各源IP地址字段对应的地址数量确定可疑源IP地址字段;
根据可疑源IP地址字段确定对应的可疑数据流。
可选地,所述根据各源IP地址字段对应的地址数量确定可疑源IP地址字段的步骤,包括:
分别判断各源IP地址字段对应的地址数量是否大于或等于预设阈值;
在所述地址数量大于所述预设阈值时,根据所述地址数量从多个源IP地址字段中选取可疑源IP地址字段。
可选地,所述根据可疑源IP地址字段确定对应的可疑数据流的步骤,包括:
根据所述可疑源IP地址字段确定包头五元组信息;
根据所述包头五元组信息确定可疑数据流。
可选地,所述通过预设分析引擎对所述可疑特征信息进行DDoS攻击检测的步骤,包括:
通过SAE分析引擎对所述可疑特征信息进行降维处理,获得标签特征向量;
根据所述标签特征向量通过SVM分类器确定DDoS攻击结果;
根据所述DDoS攻击结果进行DDoS攻击检测。
可选地,所述根据所述DDoS攻击结果进行DDoS攻击检测的步骤之后,还包括:
在所述DDoS攻击结果为阳性时,判定网络遭受DDoS攻击,并根据所述可疑源IP地址字段生成配置文件;
根据所述配置文件将所述可疑源IP地址字段加入至本地规则库中进行DDoS攻击防御。
可选地,所述根据所述配置文件将所述可疑源IP地址字段加入至本地规则库中进行DDoS攻击防御的步骤之后,还包括:
基于所述本地规则库检测第二预设时间内是否存在重复源IP地址字段;
若存在,将所述重复IP地址字段作为误判IP地址字段,并根据所述误判IP地址字段对所述本地规则库进行修改。
此外,为实现上述目的,本发明还提出一种协作式DDoS攻击检测系统,所述协作式DDoS攻击检测系统包括:
确定模块,用于在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段;
所述确定模块,还用于根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流;
生成模块,用于根据所述可疑数据流对应的多个被监控数据包生成可疑流量报告;
分析模块,用于基于预设特征约束条件对所述可疑流量报告进行特征提取,获得可疑特征信息,所述预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率;
检测模块,用于通过预设分析引擎对所述可疑特征信息进行DDoS攻击检测。
此外,为实现上述目的,本发明还提出一种协作式DDoS攻击检测设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的协作式DDoS攻击检测程序,所述协作式DDoS攻击检测程序配置为实现如上文所述的协作式DDoS攻击检测方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有协作式DDoS攻击检测程序,所述协作式DDoS攻击检测程序被处理器执行时实现如上文所述的协作式DDoS攻击检测方法的步骤。
本发明首先在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段,然后根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流,并根据可疑数据流对应的多个被监控数据包生成可疑流量报告,之后基于预设特征约束条件对可疑流量报告进行特征提取,获得可疑特征信息,预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率,最后通过预设分析引擎对可疑特征信息进行DDoS攻击检测。现有技术中依赖于网络中的专用安全设备进行检测,导致防御灵活性不足,而本发明基于源IP离散度分析法、预设特征约束条件及预设分析引擎进行DDoS攻击检测,实现了对DDoS攻击进行快速精准检测。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的协作式DDoS攻击检测设备的结构示意图;
图2为本发明协作式DDoS攻击检测方法第一实施例的流程示意图;
图3为本发明协作式DDoS攻击检测方法第一实施例的HLL模块结构图;
图4为本发明协作式DDoS攻击检测方法第一实施例的跨平面协作式DDoS检测和防御结构图;
图5为本发明协作式DDoS攻击检测方法第一实施例的栈式自编码模型结构图;
图6为本发明协作式DDoS攻击检测方法第一实施例的防误判机制原理图;
图7为本发明协作式DDoS攻击检测方法第一实施例的预设时间内流量图;
图8为本发明协作式DDoS攻击检测方法第一实施例的网络拓扑图;
图9为本发明协作式DDoS攻击检测方法第一实施例的试验流程图;
图10为本发明协作式DDoS攻击检测方法第一实施例的数据曲线图;
图11为本发明协作式DDoS攻击检测方法第二实施例的流程示意图;
图12为本发明协作式DDoS攻击检测系统第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的协作式DDoS攻击检测设备结构示意图。
如图1所示,该协作式DDoS攻击检测设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,Wi-Fi)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储系统。
本领域技术人员可以理解,图1中示出的结构并不构成对协作式DDoS攻击检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及协作式DDoS攻击检测程序。
在图1所示的协作式DDoS攻击检测设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明协作式DDoS攻击检测设备中的处理器1001、存储器1005可以设置在协作式DDoS攻击检测设备中,所述协作式DDoS攻击检测设备通过处理器1001调用存储器1005中存储的协作式DDoS攻击检测程序,并执行本发明实施例提供的协作式DDoS攻击检测方法。
本发明实施例提供了一种协作式DDoS攻击检测方法,参照图2,图2为本发明协作式DDoS攻击检测方法第一实施例的流程示意图。
本实施例中,所述协作式DDoS攻击检测方法包括以下步骤:
步骤S10:在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段。
易于理解的是,本实施例的执行主体可以是具有数据处理、网络通讯和程序运行等功能的协作式DDoS攻击检测设备,也可以为其他具有相似功能的计算机设备等,本实施例并不加以限制。
需要说明的是,可以从待处理流量中提取多个源IP地址字段,实时检测多个源IP地址字段,将多个源IP地址字段与本地规则库即黑名单中的源IP地址字段进行比对,若匹配到黑名单中的源IP地址字段,则直接丢弃,若未匹配黑名单中的源IP地址字段,则进行正常转发,但在转发的同时需要监控多个源IP地址字段等。
步骤S20:根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流。
进一步地,根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流的处理方式为基于通过源IP离散度分析法对多个源IP地址字段分别进行哈希预算,得到各源IP地址字段对应的随机数,根据各源IP地址字段对应的随机数确定第一预设时间内各源IP地址字段对应的地址数量,根据各源IP地址字段对应的地址数量确定可疑源IP地址字段,根据可疑源IP地址字段确定对应的可疑数据流。
在本实施例中,在数据平面上实现了一个轻量级的快速筛查模块,由于数据平面的硬件流水线对数据包的处理效率很高,这种操作基本不会影响转发效率。因此,利用PSA架构内可自定义的寄存器、哈希函数以及大量的查找表单元实现了源IP离散度分析法即HLL(HyperLogLog)模块,HLL模块利用统计特性来实现海量数据去重的方法,其效率很高,是更适合转发流水线工作模式的计算逻辑。
进一步地,根据各源IP地址字段对应的地址数量确定可疑源IP地址字段的处理方式为分别判断各源IP地址字段对应的地址数量是否大于或等于预设阈值,在地址数量大于预设阈值时,根据地址数量从多个源IP地址字段中选取可疑源IP地址字段。
在具体实现中,参考图3,图3为本发明协作式DDoS攻击检测方法第一实施例的HLL模块结构图,在HLL模块中,将被监听流量即待处理流量中各源IP地址字段统一进行哈希预算,生成各源IP地址字段对应的随机数,之后将这些随机数按照数据包到达时间的先后分为若干桶,每桶数量相等,在每桶内分别统计每个Hash值低位有多少个连续的零,将每个桶曾经出现最多个连续0的数记为Kmax,根据m个桶的Kmax取调和平均值得到一段时间即第一预设时间内各源IP地址字段对应的地址数量。
还应理解的是,判断各源IP地址字段对应的地址数量是否大于或等于预设阈值,在地址数量大于预设阈值时,根据地址数量从多个源IP地址字段中选取可疑源IP地址字段,由于本实施例中根据相同的包头五元组定义同一条流,每条流只取一份包头,通过去重计数的方法实现监听流量的包头源IP地址字段,因此可根据可疑源IP地址字段确定对应的包头五元组信息,之后根据包头五元组信息确定可疑数据流。
需要说明的是,第一预设时间和预设阈值均为用户自定义设置,本实施例并不加以限制。
步骤S30:根据所述可疑数据流对应的多个被监控数据包生成可疑流量报告。
在本实施例中,将可疑数据流为疑似DDoS流量并报警,同时将可疑数据流中所有被监控的数据包包头克隆后打上标签生成可疑流量报告,上传至控制平面上的分析引擎。
步骤S40:基于预设特征约束条件对所述可疑流量报告进行特征提取,获得可疑特征信息,所述预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率。
在本实施例中,参考图4,图4为本发明协作式DDoS攻击检测方法第一实施例的跨平面协作式DDoS检测和防御结构图,在数据平面产生告警之后,控制平面会收到来自数据平面上传的可疑流量报告,此时控制平面需要对可疑流量进行一次细粒度的检测,其主要分为三个子步骤:一、特征提取;二、数据降维;三、流量分类。一、关于提取的特征,根据DDoS攻击流量的特性,无论是TCP、UDP还是ICMP流,在本实施例中归纳出六个最重要的特征,根据统计的特征对可疑流量报告进行分析,以获取对应的可疑特征信息,其中统计的特征分别为流平均数据分组量(AveragePacketsPerFlow APPF)、流平均字节数(AverageBytesPerFlow ABPF)、流平均持续时长(AverageDurationsPerFlow ADPF)、单流增长率(GrowthRateofSingleFlow GRSF)、对流比例(PercentageofPair-Flows PCPF)及端口数量增长率(GrowthRateofDifferentPort GRDP)。
流平均数据分组量(AveragePacketsPerFlow APPF):DDoS攻击通过源IP欺骗,产生大量的、伪装不同 IP 的数据分组,且不同IP对应的数据分组数量较少。这种攻击方式使溯源任务非常困难,但是这也成为了区分正常分组和攻击分组的重要特征,因为正常流量分组中同一个IP对应的数据分组数量较大。
式中,为采集的所有流表中第 k 条流的数量,/>为每条流中的数据分组数量。
流平均字节数(AverageBytesPerFlow ABPF):与定义流平均数据分组量相似,DDoS攻击的另一个特点是不同IP对应的数据分组的比特数较小。例如,在TCP泛洪攻击中,攻击者会发送大量的小包进行攻击,这种特征也为DDoS攻击检测提供了依据。
式中,为每条流表中的数据分组比特大小。
流平均持续时长(AverageDurationsPerFlow ADPF):DDoS攻击发生时,不同 IP对应的持续时间较短,因此流平均持续时间也是一个重要特征。
式中,为每条流表的持续时间。
单流增长率(GrowthRateofSingleFlow GRSF):单流指的是从源到目的地址单方向的流量。
式中,为在时间周期 T内采集的流数量,T为采集周期,为每个周期T内采集到的流中单流的数量。
对流比例(PercentageofPair-Flows PCPF):给定任意流A和流B,当其IP地址互为源目的地址,且流A和流B具有相同的通信协议时,流A和流B就构成对流关系。DDoS常以IP欺骗的方式发起攻击,因为它们使用虚假IP地址发送数据分组,所以攻击发生时,单流增长率迅速增大而对流所占比例很小。
式中,为每个周期 T 内采集到的流中单流的数量。
端口数量增长率(GrowthRateofDifferentPort GRDP):与DDoS攻击产生的IP欺骗类似,攻击者也可以通过随机生成端口进行扫描攻击。因此DDoS流量中不同端口的增长率远高于正常流量。
式中,为每个周期 T 内采集到的流表中不同端口号的流数量。
还应理解的是,可疑特征信息可以为基于统计的特征相似的特征信息。
步骤S50:通过预设分析引擎对所述可疑特征信息进行DDoS攻击检测。
需要说明的是,预设分析引擎包括SAE分析引擎和SVM分类器。
在本实施例中,通过预设分析引擎对可疑特征信息进行DDoS攻击检测的处理方式为通过SAE分析引擎对可疑特征信息进行降维处理,获得标签特征向量,之后根据标签特征向量通过SVM分类器确定DDoS攻击结果,根据DDoS攻击结果进行DDoS攻击检测。
在具体实现中,可疑特征信息输入进SAE(Stacked Auto-Encoder)模块,SAE模块是一种由层叠稀疏自动编码器组成的无监督特征学习和分类方法。在本实施例中通过SAE模块对可疑特征信息进行降维处理。
参考图5,图5为本发明协作式DDoS攻击检测方法第一实施例的栈式自编码模型结构图,图中稀疏自动编码器是由包含m个节点的输入层和输出层,包含n个节点的隐藏层组成的三层神经网络。自编码AE(AutoEncoder)是一种前馈神经网络,它具有一个或多个隐藏层。当模型具有一个隐藏层时,隐藏层是输入特征向量的抽象表示,相当于主成分分析;当模型具有多个隐藏层时,在前向传递训练过程中,每2层之间通过受限玻尔兹曼机进行预训练,正向训练完成后,再通过误差反向传递调整权重和偏置,最小化输入和输出之间的差异。多个稀疏自动编码器相互叠加,使得每个层的输出被当作下一层的输入以创建SAE。采用贪婪训练法获得各层的权重矩阵和偏差向量的最优值。最后,将SAE的所有层作为一个单一模型进行处理,并对其进行微调,以提高栈式自编码模型性能。
还需要说明的是,SAE模块的输出为带有标签的经过降维的特征向量即标签特征向量,在面对这些向量时,对攻击流量的判断就可以看作一个机器学习领域的二元分类问题。
SVM分类器是基于统计学习理论和结构风险最小化理论的二元分类算法。
在本实施例中,选择SVM分类器作为第二级检测DDoS攻击的分类算法。应用过去M个时间段的经过SAE模块降维的特征向量来构造训练样本集。其中/>是i时间段的网络特征向量,/>是网络状态的类别标签,/>,其中取值+1表示阳性结果,取值-1表示阴性结果。为了提高训练速度和模型的准确性,需要根据Min-Max归一化算法对数据集进行归一化,归一化范围为/>。SVM分类器使用数据集D进行训练,然后用于对k时间段的网络特征向量/>进行分类。阳性结果即表明网络可能遭受DDoS攻击。通过使用这种方法,可以实时准确地检测DDoS攻击。
进一步地,在DDoS攻击结果为阳性时,判定网络遭受DDoS攻击,并根据可疑源IP地址字段生成配置文件,根据配置文件将可疑源IP地址字段加入至本地规则库中进行DDoS攻击防御。之后基于本地规则库检测第二预设时间内是否存在重复源IP地址字段,若存在,将重复IP地址字段作为误判IP地址字段,并根据误判IP地址字段对本地规则库进行修改。
在具体实现中,通过SVM分类器检测出DDoS攻击流量后,从中提取出源IP地址字段,生成一条配置文件通过SDN控制器下发给数据平台,将这个检测出的DDoS流量源地址加入到数据平面的本地规则库(黑名单)中。等待数据平面更新本地规则库之后,如果再收到来自源地址为这个IP地址的流量将会被交换机丢弃,从而防御了本次攻击,保护了服务器安全。
在本实施例中,还考虑到对于是否为DDoS攻击的分类结果存在一定程度的误判率,如果发生误判将会导致正常流量被丢弃。因此基于此方法也提出了一种防误判机制来使系统的可用性更强。
参考图6,图6为本发明协作式DDoS攻击检测方法第一实施例的防误判机制原理图,根据DDoS的特征,其使用的是随机产生的虚拟IP地址进行攻击,当一条恶意流量被阻止后,其不会使用相同的源地址重新发送流量,即当攻击者发送的具有相同五元组的流量被阻止后,攻击者不会重复发送相同的流,即DDoS泛洪攻击流量源IP具有随机性。而普通流量会在内多次到来,并且中间间隔有其他流,参考图7,图7为本发明协作式DDoS攻击检测方法第一实施例的预设时间内流量图,图7中/>为检测时间窗的长度,在这个/>的窗口时间内进行判断一条流量中是否存在含有重复的源IP地址的数据包头。在本实施例中因为根据DDoS的特征,DDoS攻击者在短时间内有间隔的随机伪造相同源IP的流概率是极低的,这个概率可以忽略不计。因此,根据这个特点,设置了一个计数模块,判断检测时间窗/>内查看分类结果中被判断为攻击流量的结果中有没有出现重复的源IP地址,检测时间窗/>可以为用户自定义设置,如果一旦检测到重复地址,我们则认为前面被加入黑名单的地址是被误判的结果,立即告知控制器修改流规则,将这条表项的action改为forwarding(黑名单中的表项action是drop),如此一来可以防止由于分类器的精度问题而导致对正常流量的转发造成影响。
在本实施例中,参考图8,图8为本发明协作式DDoS攻击检测方法第一实施例的网络拓扑图,实验环境中数据平面由3台P4可编程交换机组成主机H1和受保护服务器H3分别连接在两台边缘交换机S1和S3上,作为客户机和受保护的服务器。S1交换机上还连接一台安装了hping-3流量工具的主机H2,用于制造攻击流。两台部署了分析引擎和SDN控制器的计算服务器配置为Intel E5-2620v3 CPU、64 GB内存。操作系统的版本为ubuntu16.04,控制器版本为ONOS1.13。
本试验中DDoS训练数据集采用DARPA99作为正常流量数据集,采用CAIDADDOS2007作为攻击数据集attack_1,同时将MIT林肯实验室提供的DDOS攻击数据集LLS_DDOS_1.0&2.0作为攻击数据集attack_2,分别将异常流量attack_1 和 attack_2与正常数据集normal混合作为样本数据集data_1和 data_2。DARPA 99是由MIT林肯实验室和美国空军研究实验室合作,用于实验室的评估入侵检测系统,该数据集的每条数据完整记录了数据包的详细信息。CAIDA DDoS 2007包含了大约一个小时的DDoS的攻击流量数据。
在本试验中,对照组一(case2)中检测模块分为三个部分,sFlow收集模块,异常检测模块和攻击缓解模块。控制器通过sFlow以抽样率1/64的频率对数据面的数据进行抽样,之后sFlow收集器将所有必要的流量相关统计信息转发给异常检测模块。由于在攻击流中,ip地址和端口号的熵会小于正常流中ip地址和端口号的熵,因此检测模块采用基于熵检测DDOS的方法。
对照组二(case3)的方法中DDOS检测模块包含三个部分,流收集模块、特征提取模块和分类模块,以及攻击缓解模块。流提取模块按周期5s的频率从交换机中提取流表信息,特征提取模块从流收集模块提取所需特征,并送入到分类模块进行流量判断,控制平面利用SAE对数据进行分类,识别攻击流后激活攻击缓解模块。
参考图9,图9为本发明协作式DDoS攻击检测方法第一实施例的试验流程图,H1首先与服务器H3建立TCP连接,产生一个稳定的背景流量。10s后H2从DDoS流量样本库中随机播放流量向H3发起攻击,考虑到网络带宽和机器性能限制,将实验用攻击流量速率设定为约3Mbps,持续时间为15秒,由于在H3处没有部署防火墙,所以以H3接收到的流量减去背景流量来近似处理被攻击主机承受的恶意流量。在实验过程中实时监听4个端口的流量,分别是H1的输出端口S1-P1,H2的输出端口S1-P2,和H3的流量输入端口S3-P3和S1与控制平面的端口S1-P3。
实验开始时先用H1与H3建立TCP连接,产生约500Mbps的背景流量,持续30秒,参考图10,图10为本发明协作式DDoS攻击检测方法第一实施例的数据曲线图,图10中包括(A)、(B)、(C)、(D)。如图10中的(A)所示,实验开始时先用H1与H3建立TCP连接,产生约500Mbps的背景流量,持续30秒。参考图10中的(C),同时监听H3主机收到的流量,在t=10秒处,H2开始向H3发起DDoS攻击。参考图10中的(B)中大量DDoS数据包从S1-P3注入网络中,攻击流量持续时间15秒后停止。从图10中的(C)中我们可以看出,当攻击发起后,服务器端的流量快速增加,大约2秒后我们的防御机制开始生效,S3-P3端的流量快速下降到约0.8Mbps,而对照组二在5秒后才有明显反应,在17秒时快速下降,然后可以将稳定到大约1.3mbps,效果最差的是对照组三,大约19秒时才能将流量控制在1.5mbps的程度。在25秒时,H2停止发送攻击流量,S3-P3的流量恢复到原始背景流量。图10中的(D)反映南向接口通信量的区别,可以看出因为case2和case3都是三台交换机同时向控制器发送流量,所有以所有南向通信流量的总和为对比。可见,case2 sflow由于是持续周期性采样流量,所有其南向通道一直很繁忙,但是对于攻击流量不敏感的原因是,其对DDoS在数据平面上不做判断,所以其南向流量一直比较稳定。case3是根据TCP计数器来判断,所以其对于攻击流量有一定敏感,通过观察计数值来感知异常,加快上报速度,但是由于这种基于Openflow的Packet-in消息机制限制了其上报频率,并且其对于异常IP的感知比较慢,所以处理速度比case1慢,但是其判断精度比case3高,漏检率更低。
而本实施例中由于是基于事件触发机制的主动push,在网络中没有异常流量时,不会向控制平面发送流量,只有HLL检测到异常时,才会将可疑流量(仅包头)上传控制平面做进一步分析,因此可以看出在攻击发起之前,南向链路上的流量很小,当H2发起攻击后,很短时间内系统就启动了可疑流量上传机制,南向链路上的通信流量快速增大,明显大于对照2和对照3,在攻击停止后迅速恢复初始状态,可见其在平时正常转发流量时,占用南向链路带宽很少。而不像对照2需要一直不停对流量进行采样,这就体现了我们将一部分分析任务下放到数据平面的好处,因为毕竟网络中异常时刻是极少数,所以大部分时候,本实施例这种架构可以极大地缓解控制平面的计算压力和南向接口链路的带宽压力。
本实施例中首先在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段,然后根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流,并根据可疑数据流对应的多个被监控数据包生成可疑流量报告,之后基于预设特征约束条件对可疑流量报告进行特征提取,获得可疑特征信息,预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率,最后通过预设分析引擎对可疑特征信息进行DDoS攻击检测。相较于现有技术中依赖于网络中的专用安全设备进行检测,导致防御灵活性不足,而本实施例基于源IP离散度分析法、预设特征约束条件及预设分析引擎进行DDoS攻击检测,实现了对DDoS攻击进行快速精准检测。
参考图11,图11为本发明协作式DDoS攻击检测方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S50,还包括:
步骤S501:通过SAE分析引擎对所述可疑特征信息进行降维处理,获得标签特征向量。
在具体实现中,可疑特征信息输入进SAE(Stacked Auto-Encoder)模块,SAE模块是一种由层叠稀疏自动编码器组成的无监督特征学习和分类方法。在本实施例中通过SAE模块对可疑特征信息进行降维处理。
参考图5,图5为本发明协作式DDoS攻击检测方法第一实施例的栈式自编码模型结构图,图中稀疏自动编码器是由包含m个节点的输入层和输出层,包含n个节点的隐藏层组成的三层神经网络。自编码AE(AutoEncoder)是一种前馈神经网络,它具有一个或多个隐藏层。当模型具有一个隐藏层时,隐藏层是输入特征向量的抽象表示,相当于主成分分析;当模型具有多个隐藏层时,在前向传递训练过程中,每2层之间通过受限玻尔兹曼机进行预训练,正向训练完成后,再通过误差反向传递调整权重和偏置,最小化输入和输出之间的差异。多个稀疏自动编码器相互叠加,使得每个层的输出被当作下一层的输入以创建SAE。采用贪婪训练法获得各层的权重矩阵和偏差向量的最优值。最后,将SAE的所有层作为一个单一模型进行处理,并对其进行微调,以提高栈式自编码模型性能。
还需要说明的是,SAE模块的输出为带有标签的经过降维的特征向量即标签特征向量,在面对这些向量时,对攻击流量的判断就可以看作一个机器学习领域的二元分类问题。
步骤S502:根据所述标签特征向量通过SVM分类机确定DDoS攻击结果。
SVM分类器是基于统计学习理论和结构风险最小化理论的二元分类算法。
在本实施例中,选择SVM分类器作为第二级检测DDoS攻击的分类算法。应用过去M个时间段的经过SAE模块降维的特征向量来构造训练样本集。其中/>是i时间段的网络特征向量,/>是网络状态的类别标签,/>,其中取值+1表示阳性结果,取值-1表示阴性结果。为了提高训练速度和模型的准确性,需要根据Min-Max归一化算法对数据集进行归一化,归一化范围为/>。SVM分类器使用数据集D进行训练,然后用于对k时间段的网络特征向量/>进行分类。
步骤S503:根据所述DDoS攻击结果进行DDoS攻击检测。
还需要说明的是,DDoS攻击结果可以为阳性,还可以为阴性,阳性结果即表明网络可能遭受DDoS攻击,阴性结果即表明网络未遭受DDoS攻击。
在本实施例中通过SAE分析引擎对可疑特征信息进行降维处理,获得标签特征向量,之后根据标签特征向量通过SVM分类器确定DDoS攻击结果,根据DDoS攻击结果进行DDoS攻击检测,本实施例中采用了机器学习的方法对可疑流量进行特征提取和分类,可以精确地判断可疑流量是否属于DDoS攻击,本实施例中SAE与SVM两级处理的架构,使得DDoS攻击检测速度更快,分类结果更准确。
参照图12,图12为本发明协作式DDoS攻击检测系统第一实施例的结构框图。
如图12所示,本发明实施例提出的协作式DDoS攻击检测系统包括:
确定模块1201,用于在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段;
所述确定模块1201,还用于根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流;
生成模块1202,用于根据所述可疑数据流对应的多个被监控数据包生成可疑流量报告;
分析模块1203,用于基于预设特征约束条件对所述可疑流量报告进行特征提取,获得可疑特征信息,所述预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率;
检测模块1204,用于通过预设分析引擎对所述可疑特征信息进行DDoS攻击检测。
本实施例中首先在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段,然后根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流,并根据可疑数据流对应的多个被监控数据包生成可疑流量报告,之后基于预设特征约束条件对可疑流量报告进行特征提取,获得可疑特征信息,预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率,最后通过预设分析引擎对可疑特征信息进行DDoS攻击检测。相较于现有技术中依赖于网络中的专用安全设备进行检测,导致防御灵活性不足,而本实施例基于源IP离散度分析法、预设特征约束条件及预设分析引擎进行DDoS攻击检测,实现了对DDoS攻击进行快速精准检测。
本发明协作式DDoS攻击检测系统的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种协作式DDoS攻击检测方法,其特征在于,所述协作式DDoS攻击检测方法包括以下步骤:
在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段;
根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流;
根据所述可疑数据流对应的多个被监控数据包生成可疑流量报告;
基于预设特征约束条件对所述可疑流量报告进行特征提取,获得可疑特征信息,所述预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率;
通过预设分析引擎对所述可疑特征信息进行DDoS攻击检测。
2.如权利要求1所述的方法,其特征在于,所述根据多个源IP地址字段通过源IP离散度分析确定可疑源IP地址字段对应的可疑数据流的步骤,包括:
基于通过源IP离散度分析法对多个源IP地址字段分别进行哈希预算,得到各源IP地址字段对应的随机数;
根据各源IP地址字段对应的随机数确定第一预设时间内各源IP地址字段对应的地址数量;
根据各源IP地址字段对应的地址数量确定可疑源IP地址字段;
根据可疑源IP地址字段确定对应的可疑数据流。
3.如权利要求2所述的方法,其特征在于,所述根据各源IP地址字段对应的地址数量确定可疑源IP地址字段的步骤,包括:
分别判断各源IP地址字段对应的地址数量是否大于或等于预设阈值;
在所述地址数量大于所述预设阈值时,根据所述地址数量从多个源IP地址字段中选取可疑源IP地址字段。
4.如权利要求3所述的方法,其特征在于,所述根据可疑源IP地址字段确定对应的可疑数据流的步骤,包括:
根据所述可疑源IP地址字段确定包头五元组信息;
根据所述包头五元组信息确定可疑数据流。
5.如权利要求1或2所述的方法,其特征在于,所述通过预设分析引擎对所述可疑特征信息进行DDoS攻击检测的步骤,包括:
通过SAE分析引擎对所述可疑特征信息进行降维处理,获得标签特征向量;
根据所述标签特征向量通过SVM分类器确定DDoS攻击结果;
根据所述DDoS攻击结果进行DDoS攻击检测。
6.如权利要求5所述的方法,其特征在于,所述根据所述DDoS攻击结果进行DDoS攻击检测的步骤之后,还包括:
在所述DDoS攻击结果为阳性时,判定网络遭受DDoS攻击,并根据所述可疑源IP地址字段生成配置文件;
根据所述配置文件将所述可疑源IP地址字段加入至本地规则库中进行DDoS攻击防御。
7.如权利要求6所述的方法,其特征在于,所述根据所述配置文件将所述可疑源IP地址字段加入至本地规则库中进行DDoS攻击防御的步骤之后,还包括:
基于所述本地规则库检测第二预设时间内是否存在重复源IP地址字段;
若存在,将所述重复IP地址字段作为误判IP地址字段,并根据所述误判IP地址字段对所述本地规则库进行修改。
8.一种协作式DDoS攻击检测系统,其特征在于,所述协作式DDoS攻击检测系统包括:
确定模块,用于在监测待处理流量进入边缘交换机时,根据所述待处理流量确定多个源IP地址字段;
所述确定模块,还用于根据多个源IP地址字段通过源IP离散度分析法确定可疑源IP地址字段对应的可疑数据流;
生成模块,用于根据所述可疑数据流对应的多个被监控数据包生成可疑流量报告;
分析模块,用于基于预设特征约束条件对所述可疑流量报告进行特征提取,获得可疑特征信息,所述预设特征约束条件包括流平均数据分组量、流平均字节数、流平均持续时长、单流增长率、对流比例及端口数量增长率;
检测模块,用于通过预设分析引擎对所述可疑特征信息进行DDoS攻击检测。
9.一种协作式DDoS攻击检测设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的协作式DDoS攻击检测程序,所述协作式DDoS攻击检测程序配置为实现如权利要求1至7中任一项所述的协作式DDoS攻击检测方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有协作式DDoS攻击检测程序,所述协作式DDoS攻击检测程序被处理器执行时实现如权利要求1至7任一项所述的协作式DDoS攻击检测方法的步骤。
CN202310765471.0A 2023-06-27 2023-06-27 协作式DDoS攻击检测方法、系统、设备及存储介质 Pending CN116506225A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310765471.0A CN116506225A (zh) 2023-06-27 2023-06-27 协作式DDoS攻击检测方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310765471.0A CN116506225A (zh) 2023-06-27 2023-06-27 协作式DDoS攻击检测方法、系统、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116506225A true CN116506225A (zh) 2023-07-28

Family

ID=87316971

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310765471.0A Pending CN116506225A (zh) 2023-06-27 2023-06-27 协作式DDoS攻击检测方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116506225A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109005157A (zh) * 2018-07-09 2018-12-14 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN111541655A (zh) * 2020-04-08 2020-08-14 国家计算机网络与信息安全管理中心 网络异常流量检测方法、控制器及介质
CN111614627A (zh) * 2020-04-27 2020-09-01 中国舰船研究设计中心 一种面向sdn的跨平面协作ddos检测与防御方法与系统
US20210112092A1 (en) * 2017-03-27 2021-04-15 New H3C Technologies Co., Ltd. Preventing advanced persistent threat attack
CN115695041A (zh) * 2022-11-17 2023-02-03 安超云软件有限公司 基于sdn的ddos攻击检测与防护的方法及应用

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210112092A1 (en) * 2017-03-27 2021-04-15 New H3C Technologies Co., Ltd. Preventing advanced persistent threat attack
CN109005157A (zh) * 2018-07-09 2018-12-14 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN111541655A (zh) * 2020-04-08 2020-08-14 国家计算机网络与信息安全管理中心 网络异常流量检测方法、控制器及介质
CN111614627A (zh) * 2020-04-27 2020-09-01 中国舰船研究设计中心 一种面向sdn的跨平面协作ddos检测与防御方法与系统
CN115695041A (zh) * 2022-11-17 2023-02-03 安超云软件有限公司 基于sdn的ddos攻击检测与防护的方法及应用

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
汤琛: "利用 HyperLogLog 基数估法进行DDoS攻击预警", 中国新通信, pages 123 - 124 *

Similar Documents

Publication Publication Date Title
Jing et al. Security data collection and data analytics in the internet: A survey
Cui et al. SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks
Najafabadi et al. Machine learning for detecting brute force attacks at the network level
Singh et al. Automated Worm Fingerprinting.
Chen et al. Defending against TCP SYN flooding attacks under different types of IP spoofing
US9094288B1 (en) Automated discovery, attribution, analysis, and risk assessment of security threats
Zhang et al. Real-time distributed-random-forest-based network intrusion detection system using Apache spark
Cheng et al. Machine learning based low-rate DDoS attack detection for SDN enabled IoT networks
Bouyeddou et al. Detection of smurf flooding attacks using Kullback-Leibler-based scheme
Buragohain et al. Anomaly based DDoS attack detection
Thakur et al. Detection and Prevention of Botnets and malware in an enterprise network
Xiao et al. Discovery method for distributed denial-of-service attack behavior in SDNs using a feature-pattern graph model
Liu et al. Real-time diagnosis of network anomaly based on statistical traffic analysis
BACHAR et al. Towards a behavioral network intrusion detection system based on the SVM model
Jose et al. Towards detecting flooding DDOS attacks over software defined networks using machine learning techniques
Swami et al. DDoS attacks and defense mechanisms using machine learning techniques for SDN
Mohsin et al. Performance evaluation of SDN DDoS attack detection and mitigation based random forest and K-nearest neighbors machine learning algorithms
Li et al. DDoS attack detection algorithms based on entropy computing
Shahrestani et al. Architecture for applying data mining and visualization on network flow for botnet traffic detection
Bawa et al. Enhanced mechanism to detect and mitigate economic denial of sustainability (EDoS) attack in cloud computing environments
Bin et al. A NetFlow based flow analysis and monitoring system in enterprise networks
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
Sree et al. Detection of http flooding attacks in cloud using dynamic entropy method
Yong et al. Understanding botnet: From mathematical modelling to integrated detection and mitigation framework
KR20110107880A (ko) 패스트 정보 엔트로피와 능동형 이동평균 탐지기를 이용한 분산형 서비스 거부 공격 탐지 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20230728