一種基于信息熵的DDoS攻擊檢測(cè)方法
【專利摘要】本發(fā)明公開了一種基于信息熵的DDoS攻擊檢測(cè)方法,其實(shí)現(xiàn)過程為:高速網(wǎng)絡(luò)流量的獲取;異常流量的判斷,即本時(shí)刻是否有異常流量的發(fā)生;被攻擊主機(jī)的確認(rèn),主要是通過源IP地址、目的IP地址方式;攻擊流量的識(shí)別。本發(fā)明的一種基于信息熵的DDoS攻擊檢測(cè)方法與現(xiàn)有技術(shù)相比,具有檢測(cè)及時(shí)、準(zhǔn)確高效的特點(diǎn),可以有效的判別異常流量發(fā)生時(shí)刻,從而在目標(biāo)主機(jī)或者網(wǎng)絡(luò)資源耗盡之前做出相應(yīng)的處理。
【專利說明】一種基于信息熵的DDoS攻擊檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計(jì)算【技術(shù)領(lǐng)域】,具體地說是一種實(shí)用性強(qiáng)、基于信息熵的DDoS攻擊檢測(cè)方法。
【背景技術(shù)】
[0002]隨著信息及通信技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)在人們生活中扮演的越來越重要的角色。由于其開放性、自由性、共享性等特點(diǎn)以及安全協(xié)議存在的漏洞使得信息在傳輸過程中可能會(huì)被竊取、篡改、破壞等,從而造成巨大的經(jīng)濟(jì)損失,因此網(wǎng)絡(luò)安全問題日益嚴(yán)重。在眾多的網(wǎng)絡(luò)安全問題中,由于分布式拒絕服務(wù)(DDoS)攻擊易操作、技術(shù)要求低、攻擊方式多樣化、攻擊源分布廣泛難以檢測(cè)且造成的巨大破壞等越來越受到重視。而傳統(tǒng)的識(shí)別方式存在著誤報(bào)率高、難以檢測(cè)及受害終端的處理能力有限等問題都制約了 DDoS攻擊的有效檢測(cè)與識(shí)別。
[0003]基于此,現(xiàn)提供一種基于信息熵的DDoS攻擊異常流量檢測(cè)方法,該方法可以有效的判別異常流量發(fā)生時(shí)刻,從而在目標(biāo)主機(jī)或者網(wǎng)絡(luò)資源耗盡之前做出相應(yīng)的處理。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的技術(shù)任務(wù)是針對(duì)以上不足之處,提供一種實(shí)用性強(qiáng)、基于信息熵的DDoS攻擊檢測(cè)方法。
[0005]一種基于信息熵的DDoS攻擊檢測(cè)方法,其實(shí)現(xiàn)過程為:
一、獲取高速網(wǎng)絡(luò)流量:捕獲網(wǎng)絡(luò)中高速傳輸?shù)臄?shù)據(jù)報(bào)文和存儲(chǔ)內(nèi)容,進(jìn)行步驟二中網(wǎng)絡(luò)異常流量的分析;
二、判斷異常流量,對(duì)捕獲到的流量信息進(jìn)行分析,確定某時(shí)刻是否存在異常流量,作為判定攻擊發(fā)生的前提條件,這里的某時(shí)刻即為本時(shí)刻是否有異常流量的發(fā)生;
三、通過空間分析和聚類分析源IP地址、目的IP地址方式的變化情況,確認(rèn)被攻擊主機(jī):采用累積和算法對(duì)流經(jīng)檢測(cè)節(jié)點(diǎn)的數(shù)據(jù)流量檢測(cè)其變化識(shí)別出受到攻擊的目的IP地址,該累積和算法檢測(cè)偏移程度,通過累積誤差來檢測(cè)待檢測(cè)對(duì)象與目標(biāo)之間的偏移;
四、對(duì)產(chǎn)生的攻擊流量進(jìn)行甄別篩選,從而確認(rèn)攻擊流量,為流量清洗工作做準(zhǔn)備。
[0006]所述高速流量獲取的過程為:首先對(duì)高速網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集進(jìn)行壓縮存儲(chǔ),對(duì)采集到的高速流量進(jìn)行實(shí)時(shí)分析;這里采用的是交替的兩個(gè)sketch鏈表數(shù)據(jù)結(jié)構(gòu)對(duì)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行壓縮存儲(chǔ)以便進(jìn)行分析。
[0007]所述異常流量判斷的過程包括異常流量的檢測(cè)與受害主機(jī)的確認(rèn):
首先通過對(duì)sketch鏈表數(shù)據(jù)結(jié)構(gòu)進(jìn)行信息熵計(jì)算分析出其在單位時(shí)間內(nèi)流量變化情況:當(dāng)信息熵低于閾值時(shí)就認(rèn)為此時(shí)刻有異常行為的發(fā)生,對(duì)此該的sketch鏈表數(shù)據(jù)結(jié)構(gòu)及之前時(shí)刻的sketch鏈表數(shù)據(jù)結(jié)構(gòu)進(jìn)行累積和運(yùn)算,找出矩陣中不同位置即不同的目的IP的變化情況;當(dāng)超出累積和運(yùn)算的閾值,則認(rèn)為該目的IP即為受害主機(jī)的IP。
[0008]所述攻擊流量識(shí)別為:對(duì)存儲(chǔ)sketch鏈表結(jié)構(gòu)中被確認(rèn)為受害主機(jī)的位置的鏈表信息采用Pearson相關(guān)系數(shù)分析,得出正常訪問流量與異常訪問流量,為流量清洗工作做準(zhǔn)備。
[0009]本發(fā)明的一種基于信息熵的DDoS攻擊檢測(cè)方法,具有以下優(yōu)點(diǎn):
該發(fā)明的一種基于信息熵的DDoS攻擊檢測(cè)方法,對(duì)檢測(cè)到的異常流量矩陣采用累積和算法來確定被攻擊者目標(biāo),主要是使用累積和控制流量特征的變化以減緩抖動(dòng)性,CUSUM通過特征值的連續(xù)變化情況判斷攻擊是否發(fā)生;然后采用Pearson相關(guān)系數(shù)方法來識(shí)別出攻擊流量與正常流量,為流量清洗工作做準(zhǔn)備;具有及時(shí)快速高效的特點(diǎn),采用信息熵相關(guān)理論來檢測(cè)異常流量的發(fā)生,對(duì)出現(xiàn)的異常流量進(jìn)行判斷從而可以提高檢測(cè)效率與降低檢測(cè)負(fù)荷;實(shí)用性強(qiáng),適用范圍廣泛,安全性良好,易于推廣。
【專利附圖】
【附圖說明】
[0010]附圖1為本發(fā)明的結(jié)構(gòu)示意圖。
[0011]附圖2為本發(fā)明的Sketch鏈表存儲(chǔ)結(jié)構(gòu)圖。
[0012]附圖3為DDoS攻擊檢測(cè)識(shí)別流程圖。
【具體實(shí)施方式】
[0013]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明。
[0014]本發(fā)明提供一種基于信息熵的DDoS攻擊檢測(cè)方法,本發(fā)明通過信息熵的方式來確定異常流量的發(fā)生,使用兩個(gè)sketch鏈表矩陣交替對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)存儲(chǔ),通過對(duì)當(dāng)前時(shí)刻的矩陣進(jìn)行信息熵的運(yùn)算從而判斷是否有異常流量的發(fā)生。對(duì)異常流量矩陣采用累積和(CUSUM)算法的累積誤差來檢測(cè)待檢對(duì)象與目標(biāo)之間的偏移的方式來確定被攻擊者的IP地址。對(duì)確定的被攻擊IP地址流量采用Pearson相關(guān)系統(tǒng)方法對(duì)鏈表信息進(jìn)行類別來確定攻擊流量,為下一步的流量清洗工作做準(zhǔn)備?;谏鲜鏊悸?,如附圖1、圖2、圖3所示,其具體實(shí)現(xiàn)過程為:
一、獲取高速網(wǎng)絡(luò)流量:捕獲網(wǎng)絡(luò)中高速傳輸?shù)臄?shù)據(jù)報(bào)文和存儲(chǔ)內(nèi)容,進(jìn)行步驟二中網(wǎng)絡(luò)異常流量的分析。
[0015]二、判斷異常流量,對(duì)捕獲到的流量信息進(jìn)行分析,確定某時(shí)刻是否存在異常流量,作為判定攻擊發(fā)生的前提條件,這里的某時(shí)刻即為本時(shí)刻是否有異常流量的發(fā)生。
[0016]三、通過空間分析和聚類分析源IP地址、目的IP地址方式的變化情況,確認(rèn)被攻擊主機(jī):采用累積和算法對(duì)流經(jīng)檢測(cè)節(jié)點(diǎn)的數(shù)據(jù)流量檢測(cè)其變化識(shí)別出受到攻擊的目的IP地址,該累積和算法檢測(cè)偏移程度,通過累積誤差來檢測(cè)待檢測(cè)對(duì)象與目標(biāo)之間的偏移,通過采用各種技術(shù)手段及方法確定受害主機(jī)從而采取進(jìn)一步的防御措施,避免造成更大的損失。
[0017]四、對(duì)產(chǎn)生的攻擊流量進(jìn)行甄別篩選,從而確認(rèn)攻擊流量,為流量清洗工作做準(zhǔn)備,也可以作為確認(rèn)攻擊源的一種方式。
[0018]為了保證網(wǎng)絡(luò)傳輸數(shù)據(jù)報(bào)文的實(shí)時(shí)捕獲與處理,采用sketch鏈表數(shù)據(jù)結(jié)構(gòu)對(duì)網(wǎng)絡(luò)流量進(jìn)行存儲(chǔ),這樣就能將網(wǎng)絡(luò)信息存入到概要矩陣中方便分析。通過對(duì)相鄰采樣間隔所生成的不同sketch鏈表數(shù)據(jù)結(jié)構(gòu)的方式,實(shí)現(xiàn)網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)控。由于DDoS攻擊的原理及特點(diǎn),只須對(duì)目的IP地址分析就可以通過流量的變化來識(shí)別攻擊行為的發(fā)生,在分析異常流量時(shí)需要區(qū)分不同的數(shù)據(jù)包,因此在Sketch鏈表數(shù)據(jù)結(jié)構(gòu)中只存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址與目的IP地址,這樣可以有效的減少數(shù)據(jù)報(bào)文處理時(shí)間,提高效率。
[0019]本發(fā)明結(jié)合信息熵理論與DDoS攻擊的特點(diǎn),對(duì)流經(jīng)該路由器的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的目的IP地址進(jìn)行統(tǒng)計(jì)分析。正常情況下,網(wǎng)絡(luò)數(shù)據(jù)包是正常分布的,當(dāng)攻擊發(fā)生時(shí),會(huì)有大量具有相同的目的IP地址的數(shù)據(jù)包,當(dāng)對(duì)這些目的IP地址進(jìn)行統(tǒng)計(jì)時(shí),計(jì)算得出的信息熵值會(huì)發(fā)生變化。DDoS攻擊的強(qiáng)度越大,這種變化越明顯。由此可以用信息熵的理論根據(jù)其值變化來檢測(cè)是否有DDoS攻擊行為的發(fā)生。當(dāng)計(jì)算的熵值超過閾值時(shí)即認(rèn)為有攻擊行為的發(fā)生。
[0020]為了確定受害主機(jī),本發(fā)明采用累積和(CUSUM)算法對(duì)流經(jīng)檢測(cè)節(jié)點(diǎn)的數(shù)據(jù)流量檢測(cè)其變化可以識(shí)別出受到攻擊的目的IP地址。CUSUM算法用于檢測(cè)偏移程度,通過累積誤差來檢測(cè)待檢測(cè)對(duì)象與目標(biāo)之間的偏移。
[0021]為了識(shí)別攻擊流量與正常流量,本發(fā)明采用Pearson相關(guān)系數(shù)(PMCC)判斷流向受害主機(jī)的流量是否為攻擊流量,主要是因?yàn)?DDoS攻擊一般通過傀儡機(jī)向受害主機(jī)發(fā)送大量數(shù)據(jù)報(bào)文來達(dá)到網(wǎng)絡(luò)資源與主機(jī)資源耗盡的一種方式,一般攻擊報(bào)文都是通過攻擊工具自動(dòng)生成,與正常用戶訪問產(chǎn)生的報(bào)文明顯不同,因此DDoS攻擊工具產(chǎn)生的攻擊流量呈現(xiàn)模式化且有規(guī)律可循。通過觀測(cè)數(shù)據(jù)包的傳輸速率可以辨別DDoS攻擊流量與正常用戶訪問流量。
[0022]所述高速流量獲取的過程為:首先對(duì)高速網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集進(jìn)行壓縮存儲(chǔ),對(duì)采集到的高速流量進(jìn)行實(shí)時(shí)分析;這里采用的是交替的兩個(gè)sketch鏈表數(shù)據(jù)結(jié)構(gòu)對(duì)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行壓縮存儲(chǔ)以便進(jìn)行分析。
[0023]所述異常流量判斷的過程包括異常流量的檢測(cè)與受害主機(jī)的確認(rèn):
首先通過對(duì)sketch鏈表數(shù)據(jù)結(jié)構(gòu)進(jìn)行信息熵計(jì)算分析出其在單位時(shí)間內(nèi)流量變化情況:當(dāng)信息熵低于閾值時(shí)就認(rèn)為此時(shí)刻有異常行為的發(fā)生,對(duì)此該的sketch鏈表數(shù)據(jù)結(jié)構(gòu)及之前時(shí)刻的sketch鏈表數(shù)據(jù)結(jié)構(gòu)進(jìn)行累積和運(yùn)算,找出矩陣中不同位置即不同的目的IP的變化情況;當(dāng)超出累積和運(yùn)算的閾值,則認(rèn)為該目的IP即為受害主機(jī)的IP。
[0024]所述攻擊流量識(shí)別為:對(duì)存儲(chǔ)sketch鏈表結(jié)構(gòu)中被確認(rèn)為受害主機(jī)的位置的鏈表信息采用Pearson相關(guān)系數(shù)分析,得出正常訪問流量與異常訪問流量,為流量清洗工作做準(zhǔn)備。
[0025]本發(fā)明的檢測(cè)流程如圖3所示,首先對(duì)流經(jīng)本路由的網(wǎng)絡(luò)流量進(jìn)行抓取,交替存放到兩個(gè)sketch鏈表存儲(chǔ)矩陣中,通過信息熵的方式來計(jì)算當(dāng)前存儲(chǔ)矩陣是否有異常流量的發(fā)生,如果有則對(duì)相鄰矩陣采用累積和算法進(jìn)行被害主機(jī)的篩選,確認(rèn)被害主機(jī)后對(duì)流向本主機(jī)的網(wǎng)絡(luò)流量進(jìn)行識(shí)別,識(shí)別出攻擊流量與正常訪問流量,以便流量清洗工作的進(jìn)行。本系統(tǒng)中,時(shí)間間隔可以取值為lS,sketch鏈接矩陣中H取為3,信息熵閾值可由前一段時(shí)間間隔內(nèi)所得信息熵得出,累積和閾值可動(dòng)態(tài)獲取,以上參數(shù)可在具體部署時(shí)根據(jù)具體情況設(shè)定。
[0026]上述【具體實(shí)施方式】?jī)H是本發(fā)明的具體個(gè)案,本發(fā)明的專利保護(hù)范圍包括但不限于上述【具體實(shí)施方式】,任何符合本發(fā)明的一種基于信息熵的DDoS攻擊檢測(cè)方法的權(quán)利要求書的且任何所屬【技術(shù)領(lǐng)域】的普通技術(shù)人員對(duì)其所做的適當(dāng)變化或替換,皆應(yīng)落入本發(fā)明的專利保護(hù)范圍。
【權(quán)利要求】
1.一種基于信息熵的DDoS攻擊檢測(cè)方法,其特征在于:其實(shí)現(xiàn)過程為: 一、獲取高速網(wǎng)絡(luò)流量:捕獲網(wǎng)絡(luò)中高速傳輸?shù)臄?shù)據(jù)報(bào)文和存儲(chǔ)內(nèi)容,進(jìn)行步驟二中網(wǎng)絡(luò)異常流量的分析; 二、判斷異常流量,對(duì)捕獲到的流量信息進(jìn)行分析,確定某時(shí)刻是否存在異常流量,作為判定攻擊發(fā)生的前提條件,這里的某時(shí)刻即為本時(shí)刻是否有異常流量的發(fā)生; 三、通過空間分析和聚類分析源IP地址、目的IP地址方式的變化情況,確認(rèn)被攻擊主機(jī):采用累積和算法對(duì)流經(jīng)檢測(cè)節(jié)點(diǎn)的數(shù)據(jù)流量檢測(cè)其變化識(shí)別出受到攻擊的目的IP地址,該累積和算法檢測(cè)偏移程度,通過累積誤差來檢測(cè)待檢測(cè)對(duì)象與目標(biāo)之間的偏移; 四、對(duì)產(chǎn)生的攻擊流量進(jìn)行甄別篩選,從而確認(rèn)攻擊流量,為流量清洗工作做準(zhǔn)備。
2.根據(jù)權(quán)利要求1所述的一種基于信息熵的DDoS攻擊檢測(cè)方法,其特征在于:所述高速流量獲取的過程為:對(duì)高速網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集進(jìn)行壓縮存儲(chǔ),對(duì)采集到的高速流量進(jìn)行實(shí)時(shí)分析;這里采用的是交替的兩個(gè)sketch鏈表數(shù)據(jù)結(jié)構(gòu)對(duì)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行壓縮存儲(chǔ)以便進(jìn)行分析。
3.根據(jù)權(quán)利要求1所述的一種基于信息熵的DDoS攻擊檢測(cè)方法,其特征在于:所述異常流量判斷的過程包括異常流量的檢測(cè)與受害主機(jī)的確認(rèn): 通過對(duì)sketch鏈表數(shù)據(jù)結(jié)構(gòu)進(jìn)行信息熵計(jì)算分析出其在單位時(shí)間內(nèi)流量變化情況:當(dāng)信息熵低于閾值時(shí)就認(rèn)為此時(shí)刻有異常行為的發(fā)生,對(duì)此該的sketch鏈表數(shù)據(jù)結(jié)構(gòu)及之前時(shí)刻的sketch鏈表數(shù)據(jù)結(jié)構(gòu)進(jìn)行累積和運(yùn)算,找出矩陣中不同位置即不同的目的IP的變化情況;當(dāng)超出累積和運(yùn)算的閾值,則認(rèn)為該目的IP即為受害主機(jī)的IP。
4.根據(jù)權(quán)利要求1所述的一種基于信息熵的DDoS攻擊檢測(cè)方法,其特征在于:所述攻擊流量識(shí)別為:對(duì)存儲(chǔ)sketch鏈表結(jié)構(gòu)中被確認(rèn)為受害主機(jī)的位置的鏈表信息采用Pearson相關(guān)系數(shù)分析,得出正常訪問流量與異常訪問流量,為流量清洗工作做準(zhǔn)備。
【文檔編號(hào)】H04L29/06GK104202336SQ201410484936
【公開日】2014年12月10日 申請(qǐng)日期:2014年9月22日 優(yōu)先權(quán)日:2014年9月22日
【發(fā)明者】宋洪濤 申請(qǐng)人:浪潮電子信息產(chǎn)業(yè)股份有限公司