文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.172314
中文引用格式: 史二穎,王正. 實(shí)時(shí)的移動(dòng)互聯(lián)網(wǎng)攻擊盲檢測(cè)與分析算法[J].電子技術(shù)應(yīng)用,2018,44(3):89-93.
英文引用格式: Shi Erying,Wang Zheng. Real-time attacks blind detection and analysis algorithm of mobile internet network[J]. Application of Electronic Technique,2018,44(3):89-93.
0 引言
移動(dòng)互聯(lián)網(wǎng)的攻擊事件可以按照攻擊意圖分為4種類(lèi)型:DoS攻擊(拒絕服務(wù)攻擊)[1]、R2L攻擊(遠(yuǎn)程用戶(hù)攻擊攻擊)[2]、U2R攻擊(提權(quán)攻擊)[2]、Probe攻擊(掃描端口攻擊)[3]。分布式拒絕服務(wù)攻擊(DDoS)是一種分布式的DoS攻擊技術(shù)[4],現(xiàn)有的攻擊檢測(cè)算法大多采用監(jiān)督學(xué)習(xí)的算法來(lái)確定正常行為與異常行為的分類(lèi)標(biāo)記,但監(jiān)督學(xué)習(xí)類(lèi)算法在檢測(cè)之前需要進(jìn)行復(fù)雜的學(xué)習(xí)過(guò)程,極大地降低了系統(tǒng)的實(shí)時(shí)性[5]。文獻(xiàn)[6]提取攻擊流量并將流量建模為一個(gè)盲源分離過(guò)程,提出了基于快速I(mǎi)CA(Independent Component Analysis)的攻擊流特征提取算法,該方案對(duì)于RoQ具有較高的檢測(cè)準(zhǔn)確率,但對(duì)于其他類(lèi)型的攻擊沒(méi)有效果。文獻(xiàn)[7]設(shè)計(jì)了使用信號(hào)處理技術(shù)建模網(wǎng)絡(luò)流量的時(shí)間幀,該方案實(shí)現(xiàn)了異常網(wǎng)絡(luò)流量的盲檢測(cè),但是無(wú)法分析與識(shí)別攻擊的具體類(lèi)型與細(xì)節(jié)信息。
當(dāng)前的移動(dòng)互聯(lián)網(wǎng)規(guī)模極大,對(duì)網(wǎng)絡(luò)攻擊技術(shù)的計(jì)算效率與檢測(cè)準(zhǔn)確率均具有極高的要求,本文設(shè)計(jì)了移動(dòng)互聯(lián)網(wǎng)的實(shí)時(shí)盲檢測(cè)與識(shí)別算法。將特征分析技術(shù)與模型階數(shù)選擇技術(shù)融合,無(wú)監(jiān)督地檢測(cè)網(wǎng)絡(luò)攻擊的時(shí)段;然后,設(shè)計(jì)了實(shí)時(shí)的相似性分析算法,分析網(wǎng)絡(luò)攻擊的類(lèi)型、端口等細(xì)節(jié)信息。基于公開(kāi)網(wǎng)絡(luò)數(shù)據(jù)集進(jìn)行了實(shí)驗(yàn),結(jié)果證明本算法實(shí)現(xiàn)了較高的檢測(cè)準(zhǔn)確率與合理的計(jì)算時(shí)間。
1 網(wǎng)絡(luò)攻擊的檢測(cè)與分析技術(shù)
圖1所示是本文網(wǎng)絡(luò)攻擊檢測(cè)與分析技術(shù)的流程框圖,具體步驟:(1)提取每個(gè)時(shí)段的最大特征值;(2)結(jié)合最大特征值與模型階數(shù)選擇技術(shù)來(lái)檢測(cè)該時(shí)段是否存在攻擊行為;(3)通過(guò)特征值分析來(lái)識(shí)別攻擊的類(lèi)型;(4)設(shè)計(jì)了相似性分析方案來(lái)分析攻擊的細(xì)節(jié)信息。
1.1 數(shù)據(jù)模型
本文采用文獻(xiàn)[7]的數(shù)據(jù)模型,將網(wǎng)絡(luò)流量數(shù)據(jù)集建模為信號(hào)累加形式,假設(shè)網(wǎng)絡(luò)流量為X,合法流量為U,噪聲為N,異常流量為A,則可獲得下式:
1.2 時(shí)間幀的最大特征
1.3 模型階數(shù)選擇技術(shù)
1.4 特征值分析
隨后應(yīng)當(dāng)分析攻擊的更多細(xì)節(jié)信息,設(shè)計(jì)了余弦相似性分析技術(shù)來(lái)度量合法流量與異常流量。
1.5 特征相似性分析
使用余弦相似性度量V(q)的最顯著特征向量與受攻擊時(shí)段最顯著特征向量之間的相似性。
1.5.1 時(shí)間相似性分析
合法流量與惡意流量的余弦相似性計(jì)算為:
圖2所示是將網(wǎng)絡(luò)流量添加到特征向量尾端的相似性疊加方案實(shí)例。根據(jù)式(10)計(jì)算sn值,如果sn=1,那么兩個(gè)特征向量完全相似,即未檢測(cè)到異常,sn值越小表示相似性越低。定義一個(gè)相似性閾值l,如果sn<l,表示在第n分鐘檢測(cè)到網(wǎng)絡(luò)攻擊,因此,是否存在攻擊行為的計(jì)算方法為:
1.5.2 端口相似性分析
2 實(shí)驗(yàn)與結(jié)果分析
2.1 真實(shí)場(chǎng)景的實(shí)驗(yàn)與結(jié)果分析
2.1.1 實(shí)驗(yàn)環(huán)境與參數(shù)設(shè)置
實(shí)驗(yàn)的時(shí)長(zhǎng)為120 min,分為6個(gè)時(shí)段,每個(gè)時(shí)段為20 min,每個(gè)采樣周期的時(shí)間(時(shí)隙)是1 min,因此N=20。為每個(gè)時(shí)段q建立一個(gè)流量矩陣
協(xié)方差為
(式(3)),采樣的協(xié)方差矩陣為
其中q=1,2,…,6。
實(shí)驗(yàn)開(kāi)始于14:00,第一個(gè)時(shí)段從14:00~14:20(q=1),每20 min為一個(gè)時(shí)段,網(wǎng)絡(luò)共設(shè)置5個(gè)端口。實(shí)驗(yàn)過(guò)程中合法用戶(hù)進(jìn)行合法的訪問(wèn),攻擊者的攻擊行為如下:在14:54對(duì)端口1進(jìn)行一個(gè)端口掃描攻擊,在15:10~15:20對(duì)端口1進(jìn)行synflood攻擊,在15:30~15:40對(duì)端口1進(jìn)行fraggle攻擊。
2.1.2 實(shí)驗(yàn)結(jié)果與分析
本算法獲得網(wǎng)絡(luò)流量每個(gè)時(shí)段的最大特征值,通過(guò)流量的特征值分析網(wǎng)絡(luò)的攻擊行為,觀察攻擊行為的特征值變化。圖3所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計(jì)算的特征值,用以檢測(cè)synflood攻擊行為。圖3中顯示端口1在第4個(gè)時(shí)段的特征值明顯高于其他時(shí)段、其他端口的特征值,與實(shí)驗(yàn)中發(fā)動(dòng)synflood攻擊的時(shí)間吻合。
圖4所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計(jì)算的特征值,用以檢測(cè)fraggle攻擊行為。圖4中顯示端口1在第5個(gè)時(shí)段的特征值明顯高于其他時(shí)段、其他端口的特征值,與實(shí)驗(yàn)中發(fā)動(dòng)fraggle攻擊的時(shí)間吻合。
圖5所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計(jì)算的特征值,用以檢測(cè)端口掃描攻擊行為。圖5中顯示端口1在第3個(gè)時(shí)段的特征值明顯的高于其他時(shí)段、其他端口的特征值,與實(shí)驗(yàn)中發(fā)動(dòng)端口掃描攻擊的時(shí)間吻合。
表1所示是6個(gè)時(shí)段對(duì)于端口掃描攻擊、synflood攻擊與fraggle攻擊檢測(cè)的最大特征值,從表中可看出,在q=4,發(fā)生了synflood攻擊,此時(shí)的最大特征值約為第二大特征值的21倍;在q=5,發(fā)生了fraggle攻擊,此時(shí)的最大特征值約為第二大特征值的29 000倍。在q=3,發(fā)生了端口掃描攻擊,此時(shí)的最大特征值約為第二大特征值的4倍。
從表1的結(jié)果,可看出攻擊行為導(dǎo)致最大特征值與其他特征值具有顯著的差異。采用樣本協(xié)方差矩陣建模synflood攻擊的特征值,采用零均值的協(xié)方差矩陣建模端口掃描攻擊的特征值。
2.2 基于DARPA公開(kāi)數(shù)據(jù)集的實(shí)驗(yàn)
基于公開(kāi)的DARPA 1998數(shù)據(jù)集[11]進(jìn)行攻擊檢測(cè)實(shí)驗(yàn),DARPA數(shù)據(jù)集包含7個(gè)星期網(wǎng)絡(luò)流量的原報(bào)文數(shù)據(jù),將流量與標(biāo)記的攻擊按照日期分組。對(duì)每天24小時(shí)的網(wǎng)絡(luò)流量均進(jìn)行攻擊檢測(cè)與分析,將24小時(shí)的網(wǎng)絡(luò)流量分為Q個(gè)時(shí)段,每個(gè)時(shí)段為60 min(N=60)。對(duì)于每個(gè)時(shí)段q,計(jì)算該時(shí)段的流量矩陣
實(shí)驗(yàn)流量數(shù)據(jù)的端口號(hào)分別為20,21,22,23,25,79,80,88,107,109,110,113,115,143,161,389,443。
因?yàn)楸疚闹饕獧z測(cè)與分析synflood攻擊與端口掃描攻擊,所以統(tǒng)計(jì)了這兩個(gè)攻擊的檢測(cè)準(zhǔn)確率結(jié)果。采用TP[12]、FP[12]與誤檢率[13]3個(gè)指標(biāo)評(píng)估攻擊檢測(cè)的準(zhǔn)確率,文獻(xiàn)[14]是近年一種基于統(tǒng)計(jì)分析的攻擊檢測(cè)算法,與本算法較為接近;文獻(xiàn)[15]是一種基于擴(kuò)散小波的攻擊檢測(cè)算法,該算法對(duì)端口掃描攻擊具有較好的效果。
表2所示是攻擊檢測(cè)的實(shí)驗(yàn)結(jié)果。本算法對(duì)于synflood攻擊的TP值、FP值與誤檢率分別為100%、6%與5%,而文獻(xiàn)[14]的TP結(jié)果為82%,明顯低于本算法。雖然本算法具有一定的誤檢率與FP值,但是均較小。本算法對(duì)于端口掃描攻擊的TP值、FP值與誤檢率分別為76.92%、8.52%與3.73%,而文獻(xiàn)[15]的TP結(jié)果為63.00%,略低于本算法。
3 結(jié)束語(yǔ)
本文設(shè)計(jì)了移動(dòng)互聯(lián)網(wǎng)的實(shí)時(shí)盲檢測(cè)與識(shí)別算法。將特征分析技術(shù)與模型階數(shù)選擇技術(shù)融合,無(wú)監(jiān)督地檢測(cè)網(wǎng)絡(luò)攻擊的時(shí)段;然后,設(shè)計(jì)了實(shí)時(shí)的相似性分析算法,分析網(wǎng)絡(luò)攻擊的類(lèi)型、端口等細(xì)節(jié)信息。最終,基于真實(shí)實(shí)驗(yàn)與公開(kāi)網(wǎng)絡(luò)流量數(shù)據(jù)集的實(shí)驗(yàn)結(jié)果證明了本算法對(duì)于synflood攻擊與端口掃描攻擊表現(xiàn)出了較好的效果。
參考文獻(xiàn)
[1] 李昆侖,董寧,關(guān)立偉,等.一種改進(jìn)Kohonen網(wǎng)絡(luò)的DoS攻擊檢測(cè)算法[J].小型微型計(jì)算機(jī)系統(tǒng),2017(3):450-454.
[2] 康松林,劉樂(lè),劉楚楚,等.多層極限學(xué)習(xí)機(jī)在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用,2015,35(9):2513-2518.
[3] 王輝,劉淑芬,張欣佳.信息系統(tǒng)“Insider threat”分析及其解決方案[J].吉林大學(xué)學(xué)報(bào)(工學(xué)版),2006,36(5):809-813.
[4] 姜華林,李立新,黃平,等.有效防御DDoS攻擊的密鑰交換協(xié)議的設(shè)計(jì)研究[J].西南師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2009,34(2):127-131.
[5] 楊曉峰,李偉,孫明明,等.基于文本聚類(lèi)的網(wǎng)絡(luò)攻擊檢測(cè)方法[J].智能系統(tǒng)學(xué)報(bào),2014(1):40-46.
[6] 榮宏,王會(huì)梅,鮮明,等.基于快速獨(dú)立成分分析的RoQ攻擊檢測(cè)方法[J].電子與信息學(xué)報(bào),2013,35(10):2307-2313.
[7] TENORIO D,COSTA J,JUNIOR R S.Greatest eigenvalue time vector approach for blind detection of malicious traffic[C].The Eighth International Conference on Forensic Computer Science,2013:46-51.
[8] JIN S,YEUNG D S.A covariance analysis model for DDoS attack detection[C].IEEE International Conference on Communications.IEEE,2004,14:1882-1886.
[9] LAKHINA A,CROVELLA M,DIOT C.Mining anomalies using traffic feature distributions[C].Conference on Applications,Technologies,Architectures,and Protocols for Computer Communications.ACM,2005:217-228.
[10] TENORIO T,BITTENCOURT I I,ISOTANI S,et al.Dataset of two experiments of the application of gamified peer assessment model into online learning environment MeuTutor[J].Data in Brief,2017,12(C):433-437.
[11] OSANAIYE O,CHOO K K R,DLODLO M.Distributed denial of service(DDoS) resilience in cloud:Review and conceptual cloud DDoS mitigation framework[J].Journal of Network & Computer Applications,2016,67(C):147-165.
[12] SENN S.Review of Fleiss,statistical methods for rates and proportions[J].Research Synthesis Methods,2011,2(3):221-222.
[13] BHUYAN M H,BHATTACHARYYA D K,KALITA J K.Network anomaly detection:Methods,systems and tools[J].IEEE Communications Surveys & Tutorials,2014,16(1):303-336.
[14] CAMACHO J,PEREZ-VILLEGAS A,GARCIA-TEODORO P,et al.PCA-based multivariate statistical network monitoring for anomaly detection[J].Computers & Security,2016,59:118-137.
[15] SUN T,TIAN H.Anomaly detection by diffusion wavelet-based analysis on traffic matrix[C].2014 Sixth International Symposium on PAAP,2014:13-15.
作者信息:
史二穎1,王 正2
(1.常州機(jī)電職業(yè)技術(shù)學(xué)院,江蘇 常州213164;2.南京大學(xué) 電子科學(xué)與工程學(xué)院,江蘇 南京210093)