一種檢測網(wǎng)絡(luò)流量異常和網(wǎng)絡(luò)攻擊的算法

朱俚治 朱梧檟

摘要：盡管網(wǎng)絡(luò)流量會(huì)出現(xiàn)異常，但大部分時(shí)間里流量變化是有規(guī)律的。如果網(wǎng)絡(luò)流量出現(xiàn)異常，那么對整個(gè)網(wǎng)絡(luò)具有較大的危害性，因此網(wǎng)管人員必須及時(shí)發(fā)現(xiàn)流量是否異常。在以往的流量檢測算法中聚焦的焦點(diǎn)只是如何區(qū)分流量是正常還是異常，并未討論此時(shí)是否存在攻擊行為，這些是算法的不足之處。為了改進(jìn)現(xiàn)有算法的不足之處，作者在查閱了有關(guān)資料和文獻(xiàn)之后，提出了一種新的流量檢測算法，該算法使用了相似性計(jì)算法算法，MMTD算法和粗糙集中的決策系統(tǒng)，將這三種算法在流量檢測中進(jìn)行應(yīng)用是本文的創(chuàng)新點(diǎn)。本文解決問題的思路是首先使用MMTD算法對當(dāng)前的流量是否異常做出判斷，如果出現(xiàn)異常，則使用相似性計(jì)算算法將此時(shí)的流量與預(yù)警值進(jìn)行比較，并且判斷此時(shí)是否存在攻擊行為，在文章的最后使用粗糙集中的決策系統(tǒng)對流量異常的原因做出決策。

關(guān)鍵詞：MMTD；決策系統(tǒng)；相似性

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：ADOI：10.3969/j.issn.10036199.2017.01.019

1引言

當(dāng)今網(wǎng)絡(luò)流量出現(xiàn)異常有兩種情況：⑴有規(guī)律的出現(xiàn)，⑵沒有規(guī)律的突發(fā)性出現(xiàn)。對于網(wǎng)絡(luò)流量有規(guī)律的出現(xiàn)異常，只要網(wǎng)管人員及時(shí)合理的處理問題，就能夠使得流量回復(fù)正常。對于沒有規(guī)律性的出現(xiàn)是難以應(yīng)付的，因?yàn)榱髁孔兊卯惓Ｇ巴ǔＨ狈η罢?，沒有規(guī)律可循。對于網(wǎng)絡(luò)流量突發(fā)性地出現(xiàn)異常，很大部分原因是由于黑客攻擊網(wǎng)絡(luò)引起的[4-6]。

為了維護(hù)網(wǎng)絡(luò)的安全，人們研發(fā)了各種網(wǎng)絡(luò)流量檢測算法。目前大部分流量檢測算法只是對正常流量和異常流量進(jìn)行識別和分類，并未討論引起流量異常的原因 [10-13]。在目前的算法中有以下幾種技術(shù)在其中進(jìn)行應(yīng)用：（1）將線性模型與小波技術(shù)相結(jié)合對GLR算法的改進(jìn)[10]，（2）滑動(dòng)窗口與網(wǎng)絡(luò)基線在檢測網(wǎng)絡(luò)流量中的使用[12]，（3）將遞歸最小二乘法在檢測網(wǎng)絡(luò)流量中的應(yīng)用[13]。還有些文獻(xiàn)使用了模糊C均值算法在流量方面進(jìn)行研究，但該算法只是從流量聚類的角度來區(qū)分流量是異常還是正常，同樣未討論引起流量異常的原因[11]。

前人已將模糊聚類思想在流量檢測上進(jìn)行應(yīng)用，根據(jù)已有的流量檢測算法本文將采用具有中介思想作為流量研究的主要算法，這兩種算法是相似性計(jì)算算法和MMTD算法。本文提出的流量檢測算法不僅能夠區(qū)分流量是正常還是異常，而且還能夠判斷此時(shí)是否存在網(wǎng)絡(luò)攻擊行為，這些都是本文的創(chuàng)新點(diǎn)之處。

2MMTD算法技術(shù)簡介

2.1中介真值程度度量知識簡介

中介邏輯將事物的屬性描述成三種狀態(tài)，事物屬性的兩個(gè)對立面和對立面的中間過渡狀態(tài)。在中介真值程度度量方法中，提出了事物超態(tài)屬性概念，該方法符合中介思想事物的屬性并且被劃分為五種狀態(tài)：事物的兩個(gè)對立面，對立面的中間過渡狀態(tài)和事物超態(tài)對立面[1-2]。這里用符號表示為～P，P與┒P，超態(tài)+p與超態(tài)┒+p?，F(xiàn)用數(shù)軸將以上的描述的概念表達(dá)如下[1-2]：

計(jì)算技術(shù)與自動(dòng)化2017年3月

對數(shù)軸y=f（x）表示的含義有以下說明[1-2]：

數(shù)軸上用符號P與┒P分別表示事物對立面的兩個(gè)屬性，符號～P表示反對對立面的中間過渡狀態(tài)達(dá)事物的屬性。

①如果數(shù)軸上數(shù)值點(diǎn)的位置逐步接近P，則事物A所具有P的屬性逐步增強(qiáng)

②如果該數(shù)值點(diǎn)的位置落在真值┒P和 P的取范圍之間，則事物A的屬性就部分地具有┒P的屬性，同時(shí)又部分地具有P的屬性。

③如果數(shù)軸上數(shù)值點(diǎn)的位置逐步接近┒P，則事物A所具有┒P的屬性逐步增強(qiáng)。

2.2中介真值程度度量中的距離比率函數(shù)

在中介真值程度度量的方法中，數(shù)軸上某數(shù)值點(diǎn)通過距離比率函數(shù)來計(jì)算事物所具有屬性的強(qiáng)弱。

定理1 給定y= f（x）

3流與流量的介紹

（1）正常流量

如果網(wǎng)絡(luò)中的數(shù)據(jù)包流量發(fā)生變化時(shí)有一定的時(shí)間規(guī)律，例如每日流量的高峰和低谷都在某個(gè)時(shí)段出現(xiàn)，則此時(shí)網(wǎng)絡(luò)流量的變化屬于正常狀態(tài)。在正常狀態(tài)的網(wǎng)絡(luò)流量中，一組數(shù)據(jù)包含有的包個(gè)數(shù)為10-15個(gè)，一般不會(huì)超過30個(gè)。在分組中數(shù)據(jù)包個(gè)數(shù)大于20個(gè)的幾率小于5%[5-7]。

（2）異常流量

當(dāng)網(wǎng)絡(luò)被攻擊時(shí)，包組數(shù)目將明顯地變大并且一般都超過50。不同強(qiáng)度的攻擊數(shù)據(jù)包組數(shù)目分布不同，越強(qiáng)烈的攻擊，其包組數(shù)目就越大，包組數(shù)目甚至達(dá)到幾百個(gè)[5-7]。如果單位時(shí)間里流量中數(shù)據(jù)包數(shù)值超出了正常限定值，那么某種特定長度的數(shù)據(jù)包數(shù)量大幅地增加，能夠在短時(shí)間內(nèi)使網(wǎng)絡(luò)的吞吐量明顯地下降，最終使得網(wǎng)絡(luò)處于擁塞狀態(tài)。流量中小包對網(wǎng)絡(luò)來說是有害的，如果小包出現(xiàn)的概率遠(yuǎn)大于大包出現(xiàn)的概率，那么這時(shí)網(wǎng)絡(luò)的流量就會(huì)變得異常。網(wǎng)絡(luò)流量中出現(xiàn)大量小包未必是由網(wǎng)絡(luò)攻擊造成的，但當(dāng)發(fā)生網(wǎng)絡(luò)攻擊時(shí)必然出現(xiàn)大量的小包，然而這些小包必然引起網(wǎng)絡(luò)流量的異常。

4MMTD算法在檢測網(wǎng)絡(luò)流量上的應(yīng)用

檢測函數(shù)：

f（x）=1-單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量，δ為網(wǎng)絡(luò)流量變得異常時(shí)的預(yù)警值。

（1）如果單位時(shí)間內(nèi)網(wǎng)絡(luò)中某種數(shù)據(jù)包的數(shù)量十分接近正常單位時(shí)間內(nèi)該種數(shù)據(jù)包的數(shù)量時(shí)，有以下的結(jié)論：，

如果表示單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量偏離日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量的程度越小，那么單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量的比值越接近于1。當(dāng)單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量的比值越接近于1，那么有f（x）=1-單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量≈0的值越接近于0，則此時(shí)該種數(shù)據(jù)包的數(shù)量越接近正常狀態(tài)下的數(shù)據(jù)包數(shù)量，這時(shí)網(wǎng)絡(luò)流量處于正常狀態(tài)。

（2）對于一般的拒絕服務(wù)攻擊，網(wǎng)絡(luò)中的包組數(shù)目明顯地變大，一般都超過50。不同強(qiáng)度的攻擊數(shù)據(jù)包組數(shù)目分布不同，越強(qiáng)烈的攻擊，其包組數(shù)目就越大，包組數(shù)目甚至達(dá)到幾百。該種數(shù)據(jù)包在鏈路中的流量將變得異常。

當(dāng)單位時(shí)間內(nèi)某種數(shù)據(jù)包的數(shù)量大于正常單位時(shí)間內(nèi)該種數(shù)據(jù)包的數(shù)量時(shí)，有以下的結(jié)論：

如果單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量偏離日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量的程度越嚴(yán)重，那么f（x）=單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量的比值偏離1的程度越大。當(dāng)單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量的比值偏離1的程度越大，那么有f（x）=1-單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量>δ的值越大，則此時(shí)該種數(shù)據(jù)包的數(shù)量偏離正常狀態(tài)下的數(shù)量越嚴(yán)重，這時(shí)網(wǎng)絡(luò)流量處于異常的狀態(tài)。

（3）如果單位時(shí)間內(nèi)某種數(shù)據(jù)包的數(shù)量略微小于或略微大于正常單位時(shí)間內(nèi)該種數(shù)據(jù)包的數(shù)量時(shí)，有以下的結(jié)論：

如果0<單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量≈δ時(shí)，則有：f（x）=1-單位時(shí)間內(nèi)實(shí)際數(shù)據(jù)包的數(shù)量日常單位時(shí)間內(nèi)統(tǒng)計(jì)的數(shù)據(jù)包數(shù)量≈δ

這時(shí)數(shù)據(jù)包的數(shù)量部分異常部分正常，網(wǎng)絡(luò)流量處于異常狀態(tài)的邊緣。

5MMTD方法的應(yīng)用

（1）中介對網(wǎng)絡(luò)流量的描述

以下用中介真值程度度量方法做以下的研究：

數(shù)軸y=f（x）上有P，～P，┒P三個(gè)數(shù)據(jù)區(qū)域，P代表異常區(qū)域，┒P代表正常區(qū)域，～P代表部分正常和部分異常區(qū)域。

（2）距離比率函數(shù)

從數(shù)軸上y=f（x）可以知道，在數(shù)軸上以～P為對稱中心，左右分別為┒P和P。

基于上述情況有以下的分析和討論：

當(dāng)某種屬性的數(shù)據(jù)包的數(shù)量大于預(yù)警值時(shí)，并且這時(shí)該種數(shù)據(jù)包的數(shù)量偏離預(yù)警值程度越來越大，則這時(shí)網(wǎng)絡(luò)被黑客攻擊的可能性很大。

當(dāng)某種屬性的數(shù)據(jù)包的數(shù)量小于預(yù)警值時(shí)，并且這時(shí)該種數(shù)據(jù)包的數(shù)量偏離預(yù)警值程度越來越大，則這時(shí)網(wǎng)絡(luò)被黑客攻擊的可能性很小。

當(dāng)某種屬性的數(shù)據(jù)包的數(shù)量略微大于或略微小于預(yù)警值時(shí)，并且這時(shí)該種數(shù)據(jù)包數(shù)量十分地接近于預(yù)警值時(shí)，則這時(shí)網(wǎng)絡(luò)被黑客攻擊的可能性較小。

結(jié)論：當(dāng)某種數(shù)據(jù)包的數(shù)量大于預(yù)警值時(shí)，并且這時(shí)該種數(shù)據(jù)包的數(shù)量偏離預(yù)警值的程度越大，這時(shí)網(wǎng)絡(luò)被黑客攻擊的可能性很大。因此：只有當(dāng)①與②的屬性值都取Y時(shí)：決策屬性的屬性值為Y，否則屬性值為N。

當(dāng)某種屬性數(shù)據(jù)包數(shù)量異常時(shí)是否屬于攻擊行為的決策規(guī)則：

（某種屬性的數(shù)據(jù)包的數(shù)量大于預(yù)警值，Y）

A

（該種數(shù)據(jù)包偏離預(yù)警值的程度，Y）

（用戶的行為屬于攻行為，Y）

8檢測算法

（1）使用MMTD算法對流量是否異常做出衡量。

（2）如果流量異常，則使用相似性算法對用戶的行為屬性做出判斷。

（3）最后使用粗糙集中的決策系統(tǒng)對用戶的行為做出最后的決策。

9結(jié)束語

本文提出的算法的優(yōu)點(diǎn)在于，該算法在于發(fā)現(xiàn)網(wǎng)絡(luò)流量異常的狀態(tài)的同時(shí)，還能夠判斷是否存在網(wǎng)絡(luò)攻擊，如果不存在網(wǎng)絡(luò)攻擊的行為，那么網(wǎng)絡(luò)流量異常的問題是能夠容易決定的。該算法具有一定的智能性，能夠自動(dòng)地檢測網(wǎng)絡(luò)流量的變化。將MMTD算法，相似性計(jì)算算法和粗糙集中決策系統(tǒng)在檢測網(wǎng)絡(luò)流量中進(jìn)行計(jì)算有一定的創(chuàng)新性。

本文提出的檢測流量使用的算法是：（1）使用模糊的算法來衡量網(wǎng)絡(luò)中的流量是否異常，與傳統(tǒng)的檢測方法更具科學(xué)性和精確性。（2）如果發(fā)生了網(wǎng)絡(luò)流量異常的狀況，則可以利用本文提出的算法來判斷流量的異常是否由黑客攻擊引起的。（3）最后使用決策系統(tǒng)對流量是否異常和是否存在網(wǎng)絡(luò)攻擊做出決策。本文提出的流量檢測算法在一定程度上能夠檢測出網(wǎng)絡(luò)流量的異常和來自網(wǎng)絡(luò)的攻擊行為，但是δ取值的范圍，以及δ如何取值還需要繼續(xù)研究和考慮，是人們值得研究的問題。

參考文獻(xiàn)

[1] 洪龍，肖奚安，朱梧槚.中介真值程度的度量及其應(yīng)用（I）[J].計(jì)算機(jī)學(xué)報(bào)，2006，（12）：2186-2193.

[2]朱梧槚，肖奚安.數(shù)學(xué)基礎(chǔ)與模糊數(shù)學(xué)基礎(chǔ)[J].自然雜志，1980，（7）：723-726.

[3]許曉東，卞鵬，朱士瑞.基于Netflow的異常流量分離以及歸類[J]，計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（21）：4818-4831.

[4]楊雅輝.網(wǎng)絡(luò)流量異常檢測及分析的研究[J].計(jì)算機(jī)科學(xué)，2008，35（5）：108-111.

[5]劉穎秋，李巍，李云春.網(wǎng)絡(luò)流量分類與應(yīng)用識別的研究[J].計(jì)算機(jī)應(yīng)用研究，2008，25（5）1492-1495.

[6]孫知信.網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究[M].北京：清華大學(xué)出版社，2009.

[7]李志敏，趙治國，朱安新.校園網(wǎng)流量異常檢測與處理方法[J].計(jì)算技術(shù)與自動(dòng)化，2011，30（3）：131-134.

[8]胡清華，于達(dá)仁.應(yīng)用粗糙集計(jì)算[M].北京：科學(xué)出版社，2012.

[9]陳德剛.模糊粗糙集理論與方法[M].北京：科學(xué)出版社，2013.

[10]許曉東，朱瑞士，孫亞民.基于分形特性的宏觀網(wǎng)絡(luò)流量異常分析[J].通信學(xué)報(bào)，2009，30（9）：43-53.

[11]賴英旭，李秀龍，楊震，等.基于流量監(jiān)測的用戶流量行為分析[J].北京工業(yè)大學(xué)學(xué)報(bào)，2013，39（11）：1692-1699.

[12]呂軍，李星.一種網(wǎng)絡(luò)流量異常檢測算法[J].計(jì)算機(jī)應(yīng)用研究，2006（11）：217-219.

[13]馮震，胡光岷，姚興苗，等.骨干通信網(wǎng)多流多特征流量異常檢測[J].網(wǎng)絡(luò)與通信，2010，26（8-3）：99-101.

第36卷第1期2017年3月計(jì)算技術(shù)與自動(dòng)化Computing Technology and AutomationVol36，No1Mar. 2 0 1 7第36卷第1期2017年3月計(jì)算技術(shù)與自動(dòng)化Computing Technology and AutomationVol36，No1Mar. 2 0 1 7