基于生物免疫原理的DDoS攻擊檢測方法研究

高大偉 申 杰 沈?qū)W利 王兆福

1(92941部隊 遼寧葫蘆島 125000) 2(遼寧工程技術(shù)大學(xué)軟件學(xué)院 遼寧葫蘆島 125105)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，人們的工作和生活已同其密不可分，人們在享受便利和快捷的同時，也正遭到多種類型的網(wǎng)絡(luò)惡意攻擊，并且這種情形變得愈加嚴重.分布式拒絕服務(wù)(distributed denial of service, DDoS)攻擊方式相對簡單且效果明顯，很難被檢測，成為黑客比較慣用的一種攻擊手段，具有很大的威脅性.為了確保網(wǎng)絡(luò)安全性與健壯性，如何準確、快速地對DDoS攻擊進行檢測成為全世界網(wǎng)絡(luò)安全專家關(guān)注的難點問題之一[1].

陳佳[2]提出了基于知識圖譜的DDoS攻擊檢測方法.該方法使用知識圖譜的形式表述2個主機之間TCP流量的通信過程，在此基礎(chǔ)上進行DDoS攻擊檢測.楊可心等人[3]構(gòu)建了基于數(shù)據(jù)包長度、數(shù)據(jù)包發(fā)送時間間隔以及數(shù)據(jù)包長度變化率等6項特征的攻擊流量特征模型，提出對神經(jīng)網(wǎng)絡(luò)誤差調(diào)整參數(shù)進行優(yōu)化的方法.李傳煌等人[4]提出了基于深度學(xué)習(xí)的DDoS攻擊檢測方法，在特征處理階段對輸入的數(shù)據(jù)分組進行特征提取、格式轉(zhuǎn)換和維度重構(gòu)，在模型檢測階段將處理后的特征輸入深度學(xué)習(xí)網(wǎng)絡(luò)模型進行檢測.郭偉等人[5]結(jié)合通信熵和IP熵提出一個基于熵變量的DDoS攻擊溯源模型.Bhuyan等人[6]實證地評估了香農(nóng)熵、廣義熵的KL散度和廣義信息距離測度，以及其檢測低速率和高速率DDoS攻擊的能力.羅梓露等人[7]闡述了一個基于Hadoop的DDoS檢測框架，利用MapReduce和HDFS處理對DDoS攻擊進行分析.Hoque等人[8]提出了一種利用新的相關(guān)性度量識別DDoS攻擊的實時檢測方法.田俊峰等人[9]提出了基于條件熵和GHSOM(growing hierarchical SOM)神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測方法.周穎杰等人[10]提出一種基于流量行為特征的骨干網(wǎng)絡(luò)DoS&DDoS攻擊檢測與異常流識別的方法，對異常流量進行分析并提取特征.

本文通過綜合分析上述相關(guān)方法，提出了一種基于生物免疫原理的DDoS攻擊檢測系統(tǒng)，結(jié)合生物免疫原理和DDoS攻擊原理，通過建立DDoS特征庫和在此特征庫的基礎(chǔ)上利用DDoS檢測算法來實現(xiàn)對DDoS攻擊的識別與防范.

1 相關(guān)原理

1.1 生物免疫原理

免疫是生物體的一種特殊保護性生理功能[11]，免疫系統(tǒng)可以識別“自我”，排除“異己”，便于保持生物體內(nèi)環(huán)境的穩(wěn)定及平衡.免疫系統(tǒng)有3道防線，其中第1,2道防線構(gòu)成生物體的非特異性免疫，第3道防則是特異性免疫.皮膚和粘膜等組成生物體的第1道防線；體液中的殺菌物質(zhì)和吞噬細胞構(gòu)成生物體的第2道防線；若病菌進入生物體體內(nèi)，將由生物體獲得性免疫系統(tǒng)以及自身的先天性免疫系統(tǒng)來抵抗病原體，其構(gòu)成生物體的第3道防線.非特異性免疫又名先天性免疫，是一種天然防御系統(tǒng)，是在長期進化過程中逐步建立起來的；特異性免疫又稱獲得性免疫，是后天獲得的免疫，通常只能對某特定的病原體或異物起作用.抗原進入生物體后，體液中的抗原被體液中的抗體殲滅，稱為體液免疫，若侵入了細胞，抗體就無能為力了，只能被相應(yīng)的免疫細胞消滅，稱為細胞免疫.

1.2 DDoS攻擊原理

DDoS攻擊方式有很多種[12]，最基本的DoS攻擊就是利用正當(dāng)?shù)姆?wù)請求來占用過多的服務(wù)資源，使合法用戶無法得到服務(wù)的響應(yīng).DDoS攻擊是由DoS攻擊進化而來的.DoS攻擊為1對1方式，當(dāng)攻擊目標(biāo)的硬件配置的各項指標(biāo)較低時，它會有一定的攻擊效果.隨著服務(wù)終端硬件性能和網(wǎng)絡(luò)帶寬的不斷提高，普通的DoS攻擊很難再造成較大的破壞.這時分布式的拒絕服務(wù)攻擊(DDoS)應(yīng)運而生.DDoS攻擊就是通過指令操縱更多的傀儡機[13]發(fā)起攻擊，以超大流量的形式攻擊目標(biāo).DDoS攻擊是一種十分隱秘的網(wǎng)絡(luò)流量攻擊，攻擊中的流量來自大量的不同源，DDoS攻擊在每條線路上的攻擊包相對少，很難被監(jiān)測，DDoS攻擊流量聚集后形成的攻擊數(shù)據(jù)包總量非常多，具有極大破壞性.

2 基于生物免疫原理的DDoS攻擊檢測方法

2.1 方法結(jié)構(gòu)

本文方法主要由蜜罐主機、DDoS特征庫以及DDoS檢測器等部分構(gòu)成，命名為DDBIP(DDoS attack detection based on biological immune principle).

當(dāng)攻擊者發(fā)起DDoS攻擊時，由蜜罐主機進行誘騙，誘騙成功后，對其攻擊流量進行特征提取并存入特征庫，對于誘騙失敗的攻擊流量由檢測器利用已有的特征庫進行對比；檢測器經(jīng)過訓(xùn)練具有一定的發(fā)現(xiàn)新DDoS攻擊的能力，經(jīng)過特征提取后，進一步豐富特征庫；正常流量通過檢測轉(zhuǎn)發(fā)至服務(wù)器，異常流量過濾丟棄.

蜜罐主機[14]起到緩解對被保護主機攻擊的作用，相當(dāng)于非特異性免疫，由于蜜罐主機具有相對容易攻擊的特點，可以吸引攻擊者的攻擊，同時，可以記錄攻擊行為，供特征提取.

DDoS特征庫通過存儲DDoS的相關(guān)行為特征來訓(xùn)練DDoS檢測器，使其可以檢測出DDoS攻擊，相當(dāng)于生成記憶細胞的過程.

DDoS檢測器用于檢測DDoS攻擊，通過高效、準確的算法檢測DDoS，保護服務(wù)器不被攻擊，使之能夠被正常訪問，相當(dāng)于特異性免疫.圖1示出該系統(tǒng)的結(jié)構(gòu)圖：

2.2 關(guān)鍵算法

2.2.1 DDoS特征庫的建立

1) 獲取骨干網(wǎng)中的Netflow[15]二進制流數(shù)據(jù)，轉(zhuǎn)為文本形式，提取DDoS相關(guān)的流量行為特征.本文提取以下行為特征：數(shù)據(jù)流、包數(shù)量、字節(jié)數(shù)、源IP、目的IP和目的端口.

2) 引入信息熵[16]，對目的IP信息熵進行分析判斷異常行為發(fā)生的時間節(jié)點.將時間劃分成一個個時間片，在每個時間片內(nèi)計算網(wǎng)絡(luò)中的數(shù)據(jù)流，其中屬性M為在該時間片內(nèi)的信息熵，定義為

(1)

其中S為屬性M中所有可能取值的個數(shù)，Qi為屬性M中某個取值出現(xiàn)的概率.在本文中，信息熵作為網(wǎng)絡(luò)流量信息的粗粒度[13]特征參數(shù).

算法1.異常時間節(jié)點監(jiān)測算法.

輸入：流量行為特征；

輸出：異常發(fā)生時間.

① floatp=p0，t1，t2，error;

② floatT=0;

③ while (t1

/*此時時間點屬于待檢時間點*/

④ 計算目的IP信息熵在時間點的相對變化值c;

⑤ ifc>p

⑥error=T;/*記錄異常時間點*/

⑦ end if

⑧T++;

⑨ end while

其中p0由實際骨干網(wǎng)絡(luò)帶標(biāo)記的流量數(shù)據(jù)經(jīng)過學(xué)習(xí)訓(xùn)練獲得.當(dāng)p0≥0時，p0的值越小，異常時間點中DDoS攻擊數(shù)目越多，即檢測的漏檢率越低.

3) 引入響應(yīng)率和參數(shù)變化比率[17]作為細粒度的網(wǎng)絡(luò)流量行為特征參數(shù)，監(jiān)測異常流量目的IP的特征.響應(yīng)率表示目的IP響應(yīng)用戶請求的能力，其定義為

Ge(T)=ng(T)/nq(T),

(2)

其中Ge(T)為待檢測目的IP在時間點T的響應(yīng)率，ng(T)為該IP在時間點T發(fā)送的數(shù)據(jù)包數(shù)量，nq(T)為該IP在時間點T接收的數(shù)據(jù)包數(shù)量，待監(jiān)測IP的響應(yīng)率下降越大，該IP受到DDoS攻擊概率越大.

進行DDoS攻擊時，會引起目標(biāo)主機的目的IP對應(yīng)的子流流量增大.將各目的IP對應(yīng)子流的流數(shù)量、包數(shù)量、字節(jié)數(shù)以及響應(yīng)率這4個流量行為特征作為細粒度特征參數(shù)，通過對異常時間點細粒度特征參數(shù)進行分析，確定異常的目的IP.參數(shù)值變化比率R定義如下：

(3)

(4)

算法2.異常目的IP監(jiān)測算法.

輸入：與異常時間點相關(guān)的數(shù)據(jù)；

輸出：與異常目的IP相關(guān)的數(shù)據(jù).

① floatq=q0;

② 提取流量排名前N的目的IP;

③ 提取歷史時間窗內(nèi)該目的IP的子流；

④ 計算各流量行為特征參數(shù)及其變化比率；

⑤ ifR>p標(biāo)記該目的IP為異常目的IP；

⑥ else 轉(zhuǎn)到③；

⑦ end if

4) 綜合分析異常流量的行為特征在異常時間點的變化，判斷該異常流量是否為DDoS攻擊.

5) 提取判斷為DDoS攻擊的特征參數(shù)，錄入特征庫.

2.2.2 DDoS檢測算法

算法3.DDoS檢測算法.

① 一個檢測周期T內(nèi)，收集誘騙失敗節(jié)點的數(shù)據(jù)流，對其特征進行提取，寫入表A中；

② 整理數(shù)據(jù)，約簡去冗余；

③ 監(jiān)測網(wǎng)絡(luò)運行狀態(tài)，若運行穩(wěn)定，則在下一個檢測周期繼續(xù)進行監(jiān)測；若網(wǎng)絡(luò)出現(xiàn)異常，則與DDoS特征庫進行對比，查詢異常特征是否存在，若存在，則按現(xiàn)有方法隔離異常節(jié)點，過濾異常數(shù)據(jù)流，否則，轉(zhuǎn)到④；

④ 對異常特征進行分類，使其關(guān)系清楚，判斷閾值是否小于T0，若否，重復(fù)④；

⑤ 根據(jù)異常特征確定并定位攻擊節(jié)點，通知其他內(nèi)部節(jié)點，停止與攻擊節(jié)點進行通信；

⑥ 對于未知DDoS并對網(wǎng)絡(luò)造成異常的攻擊，進行粗糙集的判斷、決策，并提取特征，將異常特征寫入特征庫等待進入下一檢測周期，圖2為DDoS檢測示意圖：

其中利用粗糙集[18]對未知DDoS進行判斷、決策.粗糙集是一種處理不確定性的方法，其主要思想是利用已有的知識庫系統(tǒng)，將不確定、模糊的知識用已知的知識庫系統(tǒng)中的知識數(shù)據(jù)來刻畫或者近似刻畫要處理的問題.

3 實驗結(jié)果

為了驗證本文提出的基于生物免疫原理檢測方法的性能，我們對其進行了測試，實驗采用CPU Intel Q8200、內(nèi)存6 GB、顯卡AMD 5750的配置，在仿真軟件NS2[19]的環(huán)境300 m×300 m的區(qū)域設(shè)置了50個攻擊源節(jié)點、5個服務(wù)器節(jié)點(同網(wǎng)段)，攻擊節(jié)點模擬DDoS攻擊.其中攻擊源IP設(shè)置為192.168.1.101至192.168.1.150，服務(wù)器節(jié)點設(shè)置為192.168.2.101至192.168.2.105.本實驗使用Abilence網(wǎng)絡(luò)[20]1osa匯接節(jié)點上的網(wǎng)絡(luò)數(shù)據(jù)，使用Netflow協(xié)議對網(wǎng)絡(luò)流量數(shù)據(jù)進行采樣，采樣率為1%.

3.1 使用DDBIP和未使用DDBIP對比

為了測試本文方法的有效性，設(shè)置了使用DDBIP和未使用DDBIP的對比實驗，如圖3所示，由圖3可知未使用本文方法時，攻擊連接數(shù)隨著時間的變化不斷上升，最終達到飽和，而使用本文方法后，連接數(shù)有一個上升的過程，隨著時間變化，經(jīng)過學(xué)習(xí)訓(xùn)練一段時間后，連接數(shù)逐漸下降，最后趨于平穩(wěn).

3.2 閾值T0與檢測率、誤檢率變化關(guān)系

由圖4可以看出，當(dāng)閾值在0.8左右時，檢測率最高，約為98.5%，誤檢率最低，約為0.95%，此時效用性較好.

3.3 DDBIP與其他方法的檢測率、誤檢率對比

將本文方法與基于小波與信息熵的方法[21]和HsMM[22]方法的檢測率和誤檢率作比較，如表1所示，可以發(fā)現(xiàn)本文方法較其他方法的檢測率有一些提升，誤檢率大大降低，其中未使用本文方法的檢測率為65.6%，是防火墻本身自帶的DDoS檢測起到部分作用.

表1 DDBIP和其他檢測方法檢測率、誤檢率對比 %

4 結(jié)束語

本文提出了一種基于生物免疫原理的DDoS攻擊檢測方法，利用信息熵、響應(yīng)率和參數(shù)變化比率等方法進行特征提取，建立DDoS特征庫，在此特征庫的基礎(chǔ)上通過DDoS檢測算法實現(xiàn)對DDoS攻擊的識別與過濾.實驗結(jié)果證明該方法是可行、有效的，為DDoS攻擊的檢測與防范提供重要依據(jù).