采用符號(hào)動(dòng)力學(xué)方法檢測低速率拒絕服務(wù)攻擊

楊寶旺

(寧波大學(xué) 科學(xué)技術(shù)學(xué)院，浙江 寧波 315212)

采用符號(hào)動(dòng)力學(xué)方法檢測低速率拒絕服務(wù)攻擊

楊寶旺

(寧波大學(xué) 科學(xué)技術(shù)學(xué)院，浙江 寧波 315212)

針對(duì)低速率拒絕服務(wù)攻擊引起的網(wǎng)絡(luò)安全問題，提出采用符號(hào)動(dòng)力學(xué)方法對(duì)其進(jìn)行檢測，通過將采樣得到的數(shù)據(jù)包數(shù)量信號(hào)轉(zhuǎn)化為對(duì)應(yīng)的符號(hào)序列，并計(jì)算符號(hào)序列的熵值，發(fā)現(xiàn)低速率拒絕服務(wù)攻擊具有令數(shù)據(jù)包數(shù)量信號(hào)信息復(fù)雜度激增的特點(diǎn)，從而能夠結(jié)合預(yù)先設(shè)定的熵閾值進(jìn)行比較識(shí)別．分別在仿真環(huán)境和實(shí)際測試服務(wù)器上進(jìn)行了算法驗(yàn)證，實(shí)驗(yàn)結(jié)果表明，文中所提算法對(duì)低速率拒絕服務(wù)攻擊辨識(shí)平均準(zhǔn)確度超過92%．

低速拒絕服務(wù)攻擊;符號(hào)動(dòng)力學(xué);熵;信息復(fù)雜度;閾值;網(wǎng)絡(luò)安全

拒絕服務(wù)(Denial-Of-Service, DOS)攻擊是互聯(lián)網(wǎng)常見的惡意攻擊，其通過高頻高速率地產(chǎn)生大量無用數(shù)據(jù)占據(jù)被攻擊目標(biāo)的訪問帶寬，從而使其他正常用戶與被攻擊對(duì)象的數(shù)據(jù)交換變得緩慢甚至癱瘓[1-3]．隨著互聯(lián)網(wǎng)信息安全技術(shù)的發(fā)展，傳統(tǒng)DOS攻擊因?yàn)榻y(tǒng)計(jì)特性顯著區(qū)別于正常數(shù)據(jù)流，通過流量監(jiān)控和數(shù)據(jù)包掃描，可以有效地甄別出這種攻擊模式．然而，近年來卻出現(xiàn)了傳統(tǒng)DOS攻擊的多種變體，主要分為分布式拒絕服務(wù)(Distributed-Denial-Of-Service，DDOS)攻擊以及低速率拒絕服務(wù)(Low-rate-Denial-Of-Service，LDOS)攻擊[4-5]，其中LDOS因?yàn)槔昧司W(wǎng)絡(luò)協(xié)議或應(yīng)用服務(wù)器的自適應(yīng)機(jī)制中的安全漏洞，攻擊形式更加隱蔽，在攻擊方式和原理上都明顯區(qū)別于DOS以及DDOS，成為互聯(lián)網(wǎng)信息安全領(lǐng)域的研究熱點(diǎn)[6-7]．

LDOS攻擊最明顯的特點(diǎn)是只在特定周期性的短暫時(shí)間區(qū)間內(nèi)發(fā)送大量攻擊數(shù)據(jù)，而在其他時(shí)間內(nèi)并不進(jìn)行其他攻擊性行為．這種周期性攻擊的特點(diǎn)使得LDOS攻擊整體平均數(shù)據(jù)速率很低，難以被監(jiān)測，卻能使得受害者端的數(shù)據(jù)交互效率顯著降低．過往對(duì)于LDOS攻擊的檢測一般也主要從識(shí)別其周期參數(shù)入手，基于時(shí)域統(tǒng)計(jì)建模[8-11]，結(jié)合統(tǒng)計(jì)參數(shù)分析，以及進(jìn)一步引入動(dòng)態(tài)隨機(jī)過程模型檢測數(shù)據(jù)分布變化特征，或者基于信號(hào)變換技術(shù)[12-15]，分析其功率譜、小波域不同尺度的分量特性等．

這些算法對(duì)于LDOS攻擊檢測的焦點(diǎn)主要是放在了攻擊帶來的周期性信號(hào)能量的改變，卻忽視了周期性攻擊所帶來的數(shù)據(jù)信號(hào)信息量的差異，其數(shù)據(jù)在一段時(shí)間內(nèi)的整體熵值將會(huì)相應(yīng)改變．經(jīng)典的時(shí)間序列熵值計(jì)算方法包括香農(nóng)熵、近似熵、樣本熵和符號(hào)動(dòng)力學(xué)熵等，網(wǎng)絡(luò)數(shù)據(jù)流所構(gòu)成的隨時(shí)間變化的信號(hào)，數(shù)據(jù)流量出現(xiàn)階梯式變化特點(diǎn)，并不適于采用近似熵或者樣本熵進(jìn)行分析[16-17]．筆者提出采用符號(hào)動(dòng)力學(xué)熵方法進(jìn)行LDOS攻擊檢測，通過分析采集得到的攻擊以及非攻擊數(shù)據(jù)流的序列信息復(fù)雜度，能夠?qū)崿F(xiàn)對(duì)于LDOS攻擊的準(zhǔn)確識(shí)別以及持續(xù)時(shí)間判斷，從而有效阻攔并輔助剔除此類信息安全攻擊，保障服務(wù)器正常運(yùn)行．

1 符號(hào)動(dòng)力學(xué)以及符號(hào)動(dòng)力學(xué)熵

網(wǎng)絡(luò)數(shù)據(jù)流是存在于不同終端之間的隨時(shí)間變化的信號(hào)，LDOS攻擊可以建模為一種由攻擊服務(wù)器和受到影響的網(wǎng)絡(luò)空間的數(shù)據(jù)流量時(shí)間序列疊加生成的非平穩(wěn)信號(hào)．符號(hào)動(dòng)力學(xué)正是將這種數(shù)據(jù)信號(hào)序列抽象和粗粒化后，分析其不同行為模式的方法．這里對(duì)于數(shù)據(jù)序列的粗?；軌蛳肼晫?duì)于序列信息量的影響，反應(yīng)出時(shí)間序列的信息復(fù)雜度．

網(wǎng)絡(luò)數(shù)據(jù)流時(shí)間序列簡單的粗?；?hào)描述，可以通過對(duì)原始采樣數(shù)據(jù)集進(jìn)行閾值對(duì)比和分割來實(shí)現(xiàn)．

采集一段網(wǎng)絡(luò)數(shù)據(jù)流時(shí)間序列X{xi|i=1,2,…,N}，上述序列X系統(tǒng)性能可以由一個(gè)M個(gè)符號(hào)組成的符號(hào)集{s0,s1,…,sM-1)和一個(gè)M+1 個(gè)臨界點(diǎn)組成的集合{c0,c1,…,cM}進(jìn)行描述，進(jìn)而可以將網(wǎng)絡(luò)數(shù)據(jù)流X轉(zhuǎn)換為一個(gè)與其對(duì)等的符號(hào)序列X{s(j)|j= 1,2,…,N}，具體轉(zhuǎn)化規(guī)則如下:

(1) 符號(hào)化．如果ck

(2) 給定一個(gè)長度為L的窗體，將X{s(j)|j=1,2,…,N}符號(hào)序列分割成長度為對(duì)應(yīng)的片段序列u(i)= [s(i),s(i+1), …,s(i+L- 1)]．

(3) 將每一個(gè)片段序列構(gòu)成的符號(hào)碼組成為矩陣u(1)，…,u(N-L+1)，這些片段序列可以簡化統(tǒng)一標(biāo)記如下:

其中，m對(duì)應(yīng)序列{si|i=0,1,2,…,M-1}中不同整數(shù)的數(shù)量，i代表符號(hào)化后的片段序列的起始位置．

(4) 用整數(shù)K替代對(duì)應(yīng)的符號(hào)sK，代入lx(L,i)，可以得到每個(gè)片段序列對(duì)應(yīng)的整數(shù)數(shù)值V，這里V屬于整數(shù)集{0,1,…,ML-1}，且每個(gè)lx(L,i)存在和僅存在惟一的一個(gè)整數(shù)與其對(duì)應(yīng)．網(wǎng)絡(luò)數(shù)據(jù)流X符號(hào)化轉(zhuǎn)化完畢．

對(duì)于整數(shù)轉(zhuǎn)化后的符號(hào)序列，可以進(jìn)一步定義其符號(hào)動(dòng)力學(xué)熵，具體定義為

其中，Plx=nlx/nsum，是lx出現(xiàn)的頻率，nlx是lx出現(xiàn)的次數(shù)，而nsum是符號(hào)化后的片段序列的總數(shù)．文中對(duì)于網(wǎng)絡(luò)流信息序列的辨識(shí)具體采用一個(gè)三符號(hào){s0,s1,s2}系統(tǒng)，其分別對(duì)應(yīng)整數(shù){0,1,2}，用于將原始采樣序列劃分為不用符號(hào)的閾值為采樣信號(hào)均值的上下 1±α倍，這里α∈ (0.1, 0.5)，L=3，則原始采樣數(shù)據(jù)流信號(hào)可以依次每3個(gè)數(shù)值惟一轉(zhuǎn)化為 1～ 27中的一個(gè)整數(shù)．

圖1 NS2仿真網(wǎng)絡(luò)拓?fù)?/p>

2 實(shí)驗(yàn)平臺(tái)搭建與結(jié)果驗(yàn)證

為了驗(yàn)證基于符號(hào)動(dòng)力學(xué)熵方法對(duì)于LDOS攻擊的檢測能力，文中同時(shí)在基于NS2仿真模擬平臺(tái)和實(shí)際測試網(wǎng)絡(luò)服務(wù)器上進(jìn)行．其NS2仿真模擬平臺(tái)對(duì)應(yīng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示，LDOS攻擊算法采用基于Linux傳輸控制協(xié)議(Transmission Control Protocol，TCP)核生成的Shrew攻擊序列[14]，通過用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol，UDP)軟件生成攻擊流．網(wǎng)絡(luò)流數(shù)據(jù)包被采樣，計(jì)算符號(hào)動(dòng)力學(xué)熵值反映時(shí)序信號(hào)的信息復(fù)雜度．

基于NS2仿真實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用非對(duì)稱啞鈴形態(tài)，其包含兩個(gè)路由器R0和R1，4組合法的TCP數(shù)據(jù)發(fā)送端N1～N4和接受端S1～S4，以及1個(gè)UDP-LDOS攻擊端A1．除了兩個(gè)路由器之間加入隨機(jī)早起檢測(Random Early Detection，RED)，限制了接受和發(fā)送之間的數(shù)據(jù)流速率為 10 Mbit/s 以外，其他連接之間的網(wǎng)絡(luò)數(shù)據(jù)流速率均為 100 Mbit/s．網(wǎng)絡(luò)最小恢復(fù)時(shí)間目標(biāo)(Recovery Time Objective，RTO)為 1 000 ms，模擬周期為 200 s，攻擊起始為第 100 s，持續(xù)時(shí)間為 20 s，對(duì)應(yīng)的LDOS攻擊參數(shù)LDOS(T，Len，R)為 (1 100 ms，200 ms，10 Mbit/s)．

對(duì)于符號(hào)動(dòng)力學(xué)熵值計(jì)算，可以基于一個(gè)滑動(dòng)的時(shí)間窗口W，為了兼顧計(jì)算的時(shí)效性，一般W內(nèi)的采樣點(diǎn)數(shù)的數(shù)量為 100～ 1 000，以生成能夠反應(yīng)檢測時(shí)間區(qū)間內(nèi)穩(wěn)定的符號(hào)化分布．圖2展示了利用NS2平臺(tái)模擬生成的帶有仿真LDOS攻擊的時(shí)間序列．可以看出，在引入了LDOS攻擊之后，數(shù)據(jù)包數(shù)量出現(xiàn)了明顯增加．

圖2 數(shù)據(jù)包量信號(hào)圖3 仿真數(shù)據(jù)符號(hào)動(dòng)力學(xué)熵

圖2中仿真信號(hào)的符號(hào)動(dòng)力學(xué)熵，在圖3中給出了對(duì)應(yīng)的熵值時(shí)間序列．在攻擊開始和結(jié)束時(shí)，符號(hào)動(dòng)力學(xué)熵出現(xiàn)了明顯增加，如圖3虛線橢圓框中所示，其熵值接近是普通正常數(shù)據(jù)傳輸?shù)膬杀叮w現(xiàn)對(duì)攻擊序列檢測的敏感性．同時(shí)，在攻擊持續(xù)過程中，其熵值也大于多數(shù)正常時(shí)間的熵值，攻擊過程中熵值的降低是因?yàn)榇藭r(shí)有多個(gè)攻擊序列存在于檢測窗口內(nèi)．這些相似的攻擊信息，被符號(hào)動(dòng)力學(xué)熵識(shí)別為同一類型數(shù)據(jù)模式，從而使得其整體信息復(fù)雜度降低．

進(jìn)一步，設(shè)置一個(gè)熵門限閾值δ，采用簡單的閾值比較進(jìn)行攻擊時(shí)間的檢測和篩選．將上述實(shí)驗(yàn)重復(fù)100次，每次隨機(jī)添加攻擊的起始時(shí)間和持續(xù)時(shí)間，從中隨機(jī)選取50組，采用一個(gè)線性分類器[18]學(xué)習(xí)門限閾值δ，再用剩余的50組進(jìn)行檢測驗(yàn)證，測試一共進(jìn)行了4次，后3次在檢測的數(shù)據(jù)流中引入一個(gè)隨機(jī)白噪聲，白噪聲的均值為零，標(biāo)準(zhǔn)差分別為數(shù)據(jù)包量平均量的10%、20%和30%，得到相應(yīng)的檢測準(zhǔn)確度如表1所示．

在不同的外加噪聲影響下，基于符號(hào)動(dòng)力學(xué)檢測方法的穩(wěn)定性一直保持良好，噪聲對(duì)于檢測精度的影響主要體現(xiàn)在使得整體檢測的精確度的波動(dòng)范圍更大．為了更好地說明中文方法的實(shí)際應(yīng)用效果，將上述符號(hào)動(dòng)力學(xué)熵檢測方法在實(shí)際測試網(wǎng)絡(luò)服務(wù)器上進(jìn)行了驗(yàn)證．測試服務(wù)器組的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示．

實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包含：1個(gè)思科路由器，4個(gè)正常用戶TCP數(shù)據(jù)發(fā)送端用戶1～用戶4，一個(gè) 100 M 網(wǎng)關(guān)以及文件傳輸協(xié)議(File Transfer Protocol，F(xiàn)TP)服務(wù)器．黑客攻擊端，網(wǎng)絡(luò)連接之間的網(wǎng)絡(luò)數(shù)據(jù)流速率均為 100 Mbit/s．LDOS攻擊參數(shù)LDOS(T，Len，R)為 (1 100 ms，200 ms，10 Mbit/s)．隨機(jī)進(jìn)行攻擊行為100次，每次攻擊的時(shí)間起點(diǎn)隨機(jī)，持續(xù)時(shí)間取值服從 20～ 60 s 的均勻分布，每段采樣信號(hào)檢測時(shí)間長度為 200 s，同樣利用線性分類器訓(xùn)練50組樣本得到一個(gè)對(duì)應(yīng)的符號(hào)動(dòng)力熵閾值，如圖5所示．

最后，文中提出的算法與現(xiàn)有技術(shù)中的基于時(shí)域?yàn)V波方法，例如卡爾曼濾波檢測方法[9]、頻域變換方法和NCAS方法[7]，進(jìn)行了計(jì)算結(jié)果準(zhǔn)確性以及算法復(fù)雜度的對(duì)比，對(duì)于實(shí)際采集的數(shù)據(jù)，在四核型號(hào)為Intel(R)Core(TM)i5-4460 CPU @3.20 GHz 的處理器運(yùn)行上述3種算法對(duì)比，具體對(duì)比結(jié)果如表2所示．

表2 不同算法的檢測結(jié)果比較

可見，基于符號(hào)動(dòng)力學(xué)熵的計(jì)算方法在計(jì)算時(shí)間復(fù)雜度以及準(zhǔn)確性上，都優(yōu)于常見的基于頻域或者時(shí)域的檢測算法，檢測精確度提高了2%以上，且算法的計(jì)算復(fù)雜度低，更加便于實(shí)施和工程應(yīng)用．

3 結(jié) 束 語

文中提出的將符號(hào)動(dòng)力學(xué)方法應(yīng)用于LDOS攻擊檢測，并通過檢測符號(hào)動(dòng)力學(xué)熵的方法進(jìn)行攻擊行為甄別．符號(hào)動(dòng)力學(xué)將原始采集的數(shù)據(jù)包信號(hào)轉(zhuǎn)化為更容易表征其序列信息模式的符號(hào)序列，在通過熵值計(jì)算反應(yīng)出LDOS攻擊所帶來的信息量激增特征，將LDOS檢測轉(zhuǎn)變?yōu)樽R(shí)別時(shí)間序列信息復(fù)雜度檢測問題，并結(jié)合簡單的閾值比較，實(shí)現(xiàn)了對(duì)LDOS攻擊的準(zhǔn)確、高效識(shí)別．

參考文獻(xiàn)：

[1] WOOD A D, STANKOVIC J A. Denial of Service in Sensor Networks[J]. Computer, 2002, 35(10): 54-62.

[2] ZHANG H, CHENG P, SHI L, et al. Optimal Denial-of-service Attack Scheduling with Energy Constraint[J]. IEEE Transactions on Automatic Control, 2015, 60(11): 3023-3028.

[3] MAHIMKAR A, DANGE J, SHMATIKOV V, et al. Dfence: Transparent Network-based Denial of Service Mitigation[C]//Proceedings of the 4th USENIX Conference on Networked Systems Design & Implementation. Berkeley: USENIX Association, 2007: 24.

[4] 梁洪泉, 吳巍. 利用節(jié)點(diǎn)可信度的安全鏈路狀態(tài)路由協(xié)議[J]. 西安電子科技大學(xué)學(xué)報(bào), 2016, 43(5): 121-127.

LIANG Hongquanl, WU Wei. Secure Link Status Routing Protocol Based on Node Trustworthiness[J]. Journal of Xidian University, 2016, 43(5): 121-127.

[5] YAN Q, YU F R, GONG Q, et al. Software-defined Networking (SDN) and Distributed Denial of Service (DDoS) Attacks in Cloud Computing Environments: a Survey, Some Research Issues, and Challenges[J]. IEEE Communications Surveys and Tutorials, 2016, 18(1): 602-622.

[6] ZHANG C W, YIN J P, CAI Z P, et al. RRED: Robust RED Algorithm to Counter Low-rate Denial-of-service Attacks[J]. IEEE Communications Letters, 2010, 14(5): 489-491.

[7] BAI Y, XIE C Y, QIN J C. Research of Three-level Detection Algorithm Against Low-rate Denial of Service Attacks[J]. Advanced Materials Research, 2012, 403/404/405/406/407/408: 2325-2328.

[8] ARAVIND B, NARAYANA M L. Detecting Constant Low-frequency Appilication Layer DDOS Attacks Using, Collaborative Algorithms[J]. International Journal of Computer Trends & Technology, 2013, 4(10): 1132-1139.

[9] YU C, KAI H, YU-KWONG K. Collaborative Defense Against Periodic Shrew DDoS Attacks in Frequency Domain[J]. ACM Transactions on Information and System Security, 2005(3): 59-67.

[10] 吳志軍, 岳猛. 基于卡爾曼濾波的LDDoS攻擊檢測方法[J]. 電子學(xué)報(bào), 2008, 36(8): 1590-1594.

WU Zhijun, YUE Meng. Detection of LDDoS Attack Based on Kalman Filtering[J]. Acta Electronica Sinica, 2008, 36(8): 1590-1594.

[11] ZHANG X Y, WU Z J, CHEN J S, et al. An Adaptive KPCA Approach for Detecting LDoS Attack[J]. International Journal of Communication Systems, 2017, 30(4): e2993.

[12] WU Z J, JIANG J, YUE M. A Particle Filter-based Approach for Effectively Detecting Low-rate Denial of Service Attacks[C]//Proceedings of the 2016 International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery. Piscataway: IEEE, 2017: 86-90.

[13] KANG J, YANG M, ZHANG J Y. Accurately Identifying New QoS Violation Driven by High-distributed Low-rate Denial of Service Attacks Based on Multiple Observed Features[J]. Journal of Sensors, 2015, 2015(2015): 465402.

[14] WU Z J, ZHANG L Y, YUE M. Low-rate DoS Attacks Detection Based on Network Multifractal[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(5): 559-567.

[15] AIN A, BHUYAN M H, BHATTACHARYYA D K, et al. Rank Correlation for Low-rate DDoS Attack Detection: an Empirical Evaluation[J]. International Journal of Network Security, 2016, 18(3): 474-480.

[17] CORDOVA J, NAVARRO G. Practical Dynamic Entropy-compressed Bitvectors with Applications[C]//Lecture Notes in Computer Science: 9685. Heidelberg: Springer Verlag, 2016: 105-117.

[18] 李青茹. 網(wǎng)絡(luò)蠕蟲的傳播模型及其檢測技術(shù)研究[D]. 西安: 西安電子科技大學(xué), 2016.

Low-rate-denial-of-serviceattackdetectionbysymbolicdynamicsmethod

YANGBaowang

(College of Science & Technology, Ningbo Univ., Ningbo 315212, China)

In terms of the network security problem caused by Low-rate-Denial-of-Service attack, this paper proposes a symbolic dynamics method to detect such attacks. The number of packets sampled signals is transferred into the symbol sequence and the calculate the entropy corresponding to the symbol sequence. There is a significant increase in packets number signal information complexity caused by Low-rate-Denial-of-Service attack arrival, which can be compared with a default entropy threshold for recognition. We verify the algorithm in the simulation environment and the actual test servers respectively and the experimental results show that the proposed algorithm has an average accuracy of 92% to achieve the Low-rate-Denial-of-Service attack recognition.

low-rate-denial-of-service attack;symbolic dynamics;entropy;information complexity;threshold;network security

2017-05-15

時(shí)間：2017-07-04

國家自然科學(xué)基金資助項(xiàng)目(61573235)

楊寶旺(1983-)，男，碩士，E-mail: yangbaowang@nbu.edu.cn．

http://kns.cnki.net/kcms/detail/61.1076.TN.20170704.1644.002.html

10.3969/j.issn.1001-2400.2018.01.025

TN911.7

A

1001-2400(2018)01-0140-05

(編輯： 齊淑娟)