第五章一種基于流量自相似的DDoS攻擊檢測

1、第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法計算機(jī)入侵檢測技術(shù)一種基于流量自相似性的一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五章 一種基于流量自相似性的一種基于流量自相似性的DDoS攻攻擊檢測方法擊檢測方法第一節(jié)第一節(jié) 引言引言一、介紹一、介紹近年來對計算機(jī)網(wǎng)絡(luò)的研究表明，無論是WAN還是LAN，網(wǎng)絡(luò)中的業(yè)務(wù)流在幾毫秒至幾個小時甚至幾天的時間段上，均表現(xiàn)出很強(qiáng)的突發(fā)性。而并不同于傳統(tǒng)上基于泊松分布的業(yè)務(wù)流模型。 “自相似性”或者“分形”模型能更好的

2、描述這種業(yè)務(wù)流特點。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法二本章內(nèi)容1、以自相似性模型作為網(wǎng)絡(luò)業(yè)務(wù)流模型，對自相似性系數(shù)及其相關(guān)特性、各類自相似業(yè)務(wù)模型以及各種系數(shù)估計方法進(jìn)行了研究；2、通過實驗驗證了真實局域網(wǎng)業(yè)務(wù)流量具有嚴(yán)格的自相似性； 3、比較各種系數(shù)估計方法的性能和特點；4、通過實驗驗證DDoS攻擊對自相似性系數(shù)的影響；5、并最終在實驗數(shù)據(jù)和分析的基礎(chǔ)上給出了DDoS攻擊發(fā)生和結(jié)束的判定條件。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié) 網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性一、自相

3、似性一、自相似性定義5.1自相似性（self-similarity）：指一個隨機(jī)過程在各個時間規(guī)模上具有相同的統(tǒng)計特性。網(wǎng)絡(luò)通信中的自相似性表現(xiàn)在一段較長時間里，單位時間內(nèi)分組數(shù)的統(tǒng)計特性不隨時間規(guī)模的變化而改變自相似過程具有很多特性，典型的特性包括：第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性1、長程相關(guān)LRD（Long-Range Dependence），自協(xié)方差函數(shù)不可加； 2、隨著 時帶來的方差的緩慢衰減； 3、重尾分布（Heavy-tailed Distributions），即當(dāng) 時，存在0，

4、使得 ；4、自相似過程的功率譜密度函數(shù)S(w)在 且 時有 5、具有分形維度d。 m m Pr() Xxx0w011() Sww第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性定義5.2分形：一個圖形通過變比例（可能是x，y都變比例，變比例的系數(shù)可能不同），與原圖形相同（自相似），或是分?jǐn)?shù)維。其中分?jǐn)?shù)維是指同一形狀圖形的拷貝次數(shù)的 N.下圖的分?jǐn)?shù)維為 圖5.1 N3時的分形情況3log22log第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相

5、似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性定義定義5.3圖形的自相似：1、一個具有一定形狀的圖形， 通過變比例（對于寬、高使用同一放大因子），與原圖形相同；2、兩者的概率特性相同。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性二、自相似性系數(shù)計算的示例二、自相似性系數(shù)計算的示例下面給出一個通過網(wǎng)絡(luò)流量計算系數(shù)的示例：圖5.2為一個局域網(wǎng)中對兩周網(wǎng)絡(luò)流量進(jìn)行的數(shù)據(jù)采樣，樣本均值為3.3789e+005、標(biāo)準(zhǔn)偏差為4.2389e+005。對左圖中的取(6000-8000)間的點作為子樣本，其均值為3.6231e+005、標(biāo)準(zhǔn)偏差

6、為4.2189e+005，與總樣本為同一數(shù)量級，但有細(xì)微的差別。對子樣本變比例，對乘以，對乘以，得到5.2中的右圖，使兩者同概率特性。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性 圖5.2 局域網(wǎng)中網(wǎng)絡(luò)流量變化及其比例圖第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性X2/1H)(mX)()()(krkrm,.)2, 1,.,2, 1(km第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻

7、擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性定義定義5.5過程 X 被稱為是漸近二階自相似的，且具有自相似系數(shù) ，如果 及 2/1Hmrm, 12) 1 (1)(,.)3 , 2(),(2/1)(22)(kmkkrm第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性盡管存在著大量具有自相似特性的隨機(jī)模型，但通過與真實業(yè)務(wù)流量數(shù)據(jù)比較之后，目前主要有分形布朗運動和分形ARIMA過程，被認(rèn)為適于作為突發(fā)業(yè)務(wù)建模的隨機(jī)模型，而且它們都基于分形高斯噪聲。 當(dāng) 時，分形高斯噪聲就是具有Hurst系數(shù)的嚴(yán)格

8、二階自相似過程，因其系數(shù)簡單目前已成為自相似業(yè)務(wù)建模的主要工具。,.3 , 2 , 1),121(2)(2222kkkkkrHHH15.0 H第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第二節(jié)第二節(jié)網(wǎng)絡(luò)業(yè)務(wù)的自相似性網(wǎng)絡(luò)業(yè)務(wù)的自相似性四、網(wǎng)絡(luò)業(yè)務(wù)的自相似性四、網(wǎng)絡(luò)業(yè)務(wù)的自相似性自相似（Self-Similarity）模型是目前已知的流量模型中，最能描述網(wǎng)絡(luò)中數(shù)據(jù)流長程相關(guān)性的流量模型。所謂數(shù)據(jù)流的自相似性，就是網(wǎng)絡(luò)上的數(shù)據(jù)流沒有一個本質(zhì)的突發(fā)長度，在每個時間規(guī)模上，從微秒到分鐘，從分鐘到小時，突發(fā)期由一些突發(fā)子周期構(gòu)成，這些突發(fā)子周期又由一些更小的突

9、發(fā)子周期構(gòu)成。 第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第三節(jié)第三節(jié) 自相似性模型及對自相似性的研究自相似性模型及對自相似性的研究一、一、 常見自相似性業(yè)務(wù)模型常見自相似性業(yè)務(wù)模型常見的自相似數(shù)據(jù)業(yè)務(wù)模型分為單源和聚合源兩類。中單源模型有：Pareto分布、對數(shù)正態(tài)分布；聚合源模型有：ONOFF模型、分形布朗運動模型、分形高斯噪聲模型、分形ARIMA過程模型、分形Lvy過程模型、基于混沌映射的確定性模型。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第三節(jié)第三節(jié) 自相似性模型及對自相似性的研究自相似性模型

10、及對自相似性的研究1、單源模型 (1) Pareto分布模型 (2)對數(shù)正態(tài)分布模型2、聚合源模型 (2) ON-OFF模型 (2)分形布朗運動模型 (3)分形高斯噪聲模型 (4)分形ARIMA過程模型第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第四節(jié)第四節(jié) 自相似性系數(shù)的估計方法及其討論自相似性系數(shù)的估計方法及其討論一、自相似性系數(shù)的快速估計算法一、自相似性系數(shù)的快速估計算法目前，對自相似性Hurst系數(shù)進(jìn)行測量的方法有多種，可大致分為圖形法和非圖形法兩種。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第四

11、節(jié)第四節(jié) 自相似性系數(shù)的估計方法及其討論自相似性系數(shù)的估計方法及其討論二、圖形法二、圖形法1、絕對值法（Absolute Value Method）2、方差法（Variance Method）3、 方差冗余法（Variance of Residuals Method）4、R/S法（Rescaled Range Method）5、周期圖法 （Period gram Method）第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第四節(jié)第四節(jié) 自相似性系數(shù)的估計方法及其討論自相似性系數(shù)的估計方法及其討論三、非圖形法三、非圖形法1、Whittle法（Whittl

12、e Method）2、集合Whittle法（Aggregated Whittle method）3、局部Whittle法（Local Whittle Method）4、小波法（Wavelet Method）第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較一、業(yè)務(wù)流模型的相關(guān)理論研究一、業(yè)務(wù)流模型的相關(guān)理論研究前面已給出常見的自相似數(shù)據(jù)業(yè)務(wù)模型，分為單源和聚合源兩類，每類又細(xì)分為一些具體的種類。其中基于分形布朗運動FBM，以及分形高斯噪聲FGN的模型應(yīng)用最廣，Norros給出了

13、基于FGN模型的一些數(shù)學(xué)表達(dá)，并采用數(shù)學(xué)方法求出了一些近似的排隊特性。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較就數(shù)學(xué)模型而言，自相似模型與傳統(tǒng)使用的模型具有明顯不同：首先，對于自相似過程，樣點均值的方差不隨樣點個 數(shù)的增加呈反比的減少；其次，自相似過程是長相關(guān)的，其自相似函數(shù)不以指 數(shù)形式下降；最后，自相似過程的譜密度 在原點附近符合 噪聲分布，而泊松過程的譜密度是集中于原 點附近的。)(ff1第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方

14、法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較二、真實業(yè)務(wù)流量的數(shù)據(jù)采集二、真實業(yè)務(wù)流量的數(shù)據(jù)采集數(shù)據(jù)采集工作主要使用Libpcap進(jìn)行，Libpcap（Packet Capture library）由Berkeley大學(xué)Lawrence Berkeley National Laboratory研究院開發(fā)，通過直接訪問數(shù)據(jù)鏈路層，利用了在LINUX中比較成熟的伯克利包過濾器BPF(Berkeley Packet Filter)機(jī)制，為應(yīng)用層程序捕獲底層數(shù)據(jù)包API的代碼庫。 第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測

15、方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較三、真實業(yè)務(wù)流量的三、真實業(yè)務(wù)流量的Hurst計算和自相似性驗證計算和自相似性驗證為研究LAN上的業(yè)務(wù)流量并驗證Hurst計算方法，選取在電子科技大學(xué)網(wǎng)絡(luò)中心206室子網(wǎng)網(wǎng)段監(jiān)測的兩周數(shù)據(jù)。數(shù)據(jù)為從2002年12月24日0：00am開始到2003年1月4日0：00am為止的所有該子網(wǎng)上傳送的數(shù)據(jù)包的大?。ㄒ詁yte記）（采樣間隔1s），監(jiān)測時間共11天，這些數(shù)據(jù)基本可以代表LAN中，及LAN-WAN互聯(lián)時傳輸?shù)牧髁繕I(yè)務(wù)。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊

16、檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較 圖5.3 LAN上兩周真實業(yè)務(wù)流量 1 05 t（ s）第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較將對數(shù)據(jù)進(jìn)行期望值規(guī)正后，用前面所述的方法進(jìn)行處理，估計采樣序列的Hurst系數(shù)。將總數(shù)據(jù)樣本分為94個子樣本，每個子樣本大小為10000秒（實際時間長度上為2.78小時），然后對每個子樣本運用六種方法進(jìn)行Hurst系數(shù)估算，得到 值。H第五章一種基于流量自相似性的第五章一種基于流量自

17、相似性的DDoS攻擊檢測方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較圖5.4為使用聚集方差法、R/S法和周期圖法得到的值（其中聚集方差法為、R/S法為x、周期圖法為+） 0 . 51 . 00 . 60 . 70 . 80 . 92 04 06 08 000 . 4表 示 聚 集 方 差 法表 示 周 期 圖 法表 示 R / S 法1 0 0 1 05 t（ s ）Hurst圖5.4 運用聚集方差法、R/S法、周期圖法得到的H值第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集

18、與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較以下為其它三種方法計算出的值。1、whittle（fGN）方法，如圖5.5所示：Whittle(fGN)法105 t（s）Hurst 圖5.5 Whittle（fGN）法得到的H值第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較2、whittle（fARIMA）方法，共94個子樣本，其中有4個空值為由奇異陣引起的無解，如圖5.6： 圖5.6 Whittle（fARIMA）方法得到的H值202040608000.250.50

19、.751.01001.25105 t（s）Hurst第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較3、運用局部Whittle法，如圖5.7所示： 圖5.7 運用局部Whittle法得到的H值20406080100200.250.50.751.01.250105 t（s）Hurst第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第五節(jié)第五節(jié) 流量數(shù)據(jù)采集與流量數(shù)據(jù)采集與Hurst估計方法的比較估計方法的比較若 時，表示 具有一定程度的自

20、相似性，H的值越大，自相似性越強(qiáng)。若 時，缺乏或不具有自相似性。通過上面的實驗可得出以下結(jié)論：1、局域網(wǎng)流量具有嚴(yán)格的自相似性；2、對比各種系數(shù)估計方法可見： R/S方法較為穩(wěn)定，Whittle（fGN）次之，周期圖法對向高端突變較為靈敏，聚集方差法對向低端突變較為靈敏；局部Whittle也較為靈敏；Whittle（fARIMA）最為靈敏，但Whittle（fARIMA）計算運算量較大，且有部分空值；3、經(jīng)過以上對比，本課程擬在后面的實驗中優(yōu)先采用R/S法或Whittle法對Hurst系數(shù)進(jìn)行計算，以實現(xiàn)對DDoS攻擊的檢測。15 . 0 HX5 . 00 H第五章一種基于流量自相似性的第五章

21、一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)一、根據(jù)自相似性系數(shù)檢測一、根據(jù)自相似性系數(shù)檢測DDoS攻擊的可行性攻擊的可行性 對于網(wǎng)絡(luò)業(yè)務(wù)流量聚合后的特征，根據(jù)相關(guān)文獻(xiàn)有以下兩條相關(guān)推論： 推論一推論一：當(dāng)一個數(shù)據(jù)流具有長程相關(guān)性時，多個數(shù)據(jù)流與之聚合后仍然具有長程相關(guān)性，不論加入的其它數(shù)據(jù)流本身是短程相關(guān)還是長程相關(guān)的；推論二推論二：同時，聚合數(shù)據(jù)流的Hurst系數(shù)、均值、方差等都會有所改變。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn) 根據(jù)以上推論，提出以下假設(shè)：

22、在正常網(wǎng)絡(luò)業(yè)務(wù)中，來自大量不同數(shù)據(jù)源的數(shù)據(jù)之間，通常不具有時間和分組特征方面的相關(guān)性，因而不會改變網(wǎng)絡(luò)流量的自相似性；而DDoS攻擊是由MASTER控制大量不同的SLAVES，在同一時段向攻擊目標(biāo)發(fā)送大量請求，將會導(dǎo)致其流量模型的相關(guān)系數(shù)發(fā)生變化，并破壞網(wǎng)絡(luò)流量的自相似性。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)二、二、 實驗環(huán)境實驗環(huán)境1、實驗環(huán)境 圖5.8 實驗環(huán)境示意圖A0A4A3A2A1A7A6A5BTAD第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) D

23、DoS攻擊的實驗環(huán)境與實現(xiàn)為驗證DDoS對自相似性系數(shù)的影響，進(jìn)行了一系列攻擊實驗，實驗環(huán)境為：1臺100兆交換機(jī)，1臺路由器（Cisco Catalyst 3550），1臺產(chǎn)生背景數(shù)據(jù)的BT（background Traffic）計算機(jī)（Win2K），8臺攻擊計算機(jī)（Win2K），1臺用于檢測的AD（Attack Detection）計算機(jī)（RedHat Linux8.0），其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如5.8所示。實驗開始后，BT持續(xù)提供正常的背景流量，數(shù)據(jù)流的路由全部指向檢測機(jī)；攻擊開始后，多個攻擊機(jī)進(jìn)行攻擊協(xié)同，在一個時間段內(nèi)同時向檢測機(jī)發(fā)動DDoS攻擊。此時，檢測機(jī)將接收到來自路由器上的正常流量

24、和攻擊流量。 第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)2、攻擊類型的選取與實現(xiàn)為簡化起見，實驗中的攻擊類型選取了常見的SYN flood。通過C語言編程實現(xiàn)后，安裝于各攻擊機(jī)上，在攻擊開始時同步啟動，就能模擬真實的攻擊行為了。此外，生成攻擊數(shù)據(jù)還可以采用DDoS工具TFN2k等方式進(jìn)行。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)3、背景流量的選取為模擬真實情況下的DDoS攻擊，對電子科技大學(xué)信息中心Web服務(wù)器進(jìn)行了流量數(shù)據(jù)采樣，

25、共進(jìn)行了40小時。在模擬攻擊時，可以將TDF作為真實的背景流量使用，將TDF分為160個子樣本，每個子樣本大小為900秒，記為TDF1TDF160。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)三、實驗準(zhǔn)備工作三、實驗準(zhǔn)備工作1、攻擊流量大?。涸跍?zhǔn)備好160個真實背景流量的數(shù)據(jù)樣本之后，在攻擊軟件中設(shè)定了4種不同流量大小的攻擊過程，分別為100kBps、500kBps、1MBps、1.5MBps，并記為P1、P2、P3、P4。用于驗證在同樣背景流量下，不同大小的攻擊流量所造成的結(jié)果。第五章一種基于流量自相似性的第五章

26、一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)2、攻擊方式：一次真實的DDoS攻擊過程可看作如下4種情況，或這4種情況的組合，如圖5.9所示。 tttTrafficTrafficTraffictTraffic勻 速 攻 擊斷 續(xù) 攻 擊漸 增 攻 擊漸 減 攻 擊A1A1A2A3圖5.9 DDoS攻擊方式第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)四、實驗過程四、實驗過程通過對160個背景流量子樣本（TDF1TDF160）、3種攻擊方式（A1A3）、4種攻擊流量大?。≒1

27、P4）進(jìn)行組合來完成，共160341920次，并采集了1920個攻擊過程中的流量數(shù)據(jù)樣本，每個子樣本采樣時間總長度為900秒（實驗數(shù)據(jù)與背景流量的子樣本時間相等）。限于篇幅，本次授課僅從限于篇幅，本次授課僅從1920個數(shù)據(jù)采樣中，任意選個數(shù)據(jù)采樣中，任意選取了子樣本取了子樣本TDF38，并給出此數(shù)據(jù)樣本下各種攻擊方，并給出此數(shù)據(jù)樣本下各種攻擊方式和流量大小對自相似性系數(shù)式和流量大小對自相似性系數(shù)Hurst的影響情況。其余的影響情況。其余子樣本的實驗分析過程和結(jié)論與之類似，故略去子樣本的實驗分析過程和結(jié)論與之類似，故略去。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方

28、法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)1、恒定流量的攻擊實驗（A1）5001001506506 60 00 05505004504003503002502 20 00 0700750800 850900T(s)0.200.40.60.81.01.21.41.6P1P2P3P4背景流量TDF38計算間隔50秒Hurst系數(shù)圖5.10 背景流量TDF38、攻擊方式A1下的Hurst變化第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)2、漸增方式的攻擊實驗（A2） Hurst系數(shù)50010015065060060

29、0550500450400350300250200200700750800 850900T(s)0.200.40.60.81.01.21.41.6P1P2P3P4背景流量TDF38計算間隔50秒圖5.11 背景流量TDF38、攻擊方式A2下的Hurst變化第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)3、漸減方式的攻擊實驗（A3） Hurst系數(shù)5001001506506 60 00 05505004504003503002502 20 00 0700750800 850900T(s)0.200.40.60.81.0

30、1.21.41.6P1P2P3P4背景流量TDF38計算間隔50秒圖5.12 背景流量TDF38、攻擊方式A3下的Hurst變化第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)五、實驗分析五、實驗分析 對以上3個示例圖，及其所代表的所有樣本圖進(jìn)行分析，均可得出以下結(jié)論：1、在攻擊沒有發(fā)生時（區(qū)間為0sT200s)，Hurst系數(shù)隨時間變化較為平穩(wěn)，處于0.5到1.0之間，具有較好的自相似性； 2、在攻擊發(fā)生后的較短時間內(nèi)，Hurst值將發(fā)生較大變化，并躍升至1.0以上，這表示隨著攻擊的發(fā)生，流量的自相似性受到破壞。這一

31、現(xiàn)象符合前面的兩條推論，攻擊流量加入正常背景流量后，網(wǎng)絡(luò)的長程相關(guān)性不會改變，但在聚合后，新流量的一些系數(shù)值會發(fā)生改變； 第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)3、攻擊持續(xù)過程中，Hurst系數(shù)值發(fā)生較大抖動， H0.5，0.5H1.0都有發(fā)生。同時還發(fā)現(xiàn)，所有1920個攻擊樣本的實驗數(shù)據(jù)都顯示出一個共同規(guī)律，Hurst系數(shù)在攻擊持續(xù)過程中的抖動不會全部集中于0.51.0之間（只有自相似性程度較好的正常流量才應(yīng)完全符合此條件）。從全部實驗樣本可得，在攻擊持續(xù)過程中，Hurst系數(shù)在0.51.0之間變化的最大連

32、續(xù)時間間隔個數(shù)為4，本文將其記為CCmax（continuous count max）。該數(shù)值反映了在特定背景流量、特定的攻擊方式和大小下，Hurst系數(shù)在攻擊持續(xù)過程中的變化程度，可作為描述攻擊持續(xù)過程的重要特征參數(shù)。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)4、攻擊結(jié)束后的較短時間內(nèi)（實驗中該時間間隔小于1秒），Hurst系數(shù)再次發(fā)生較大變化，表示網(wǎng)絡(luò)流量的自相似性特性再次受到較大影響；5、對于不同大小的攻擊流量，其Hurst系數(shù)值在攻擊發(fā)生時，變化幅度有一定差異，表現(xiàn)出攻擊流量越大系數(shù)抖動越大的現(xiàn)象。這可以

33、解釋為不同流量的攻擊對網(wǎng)絡(luò)自相似性系數(shù)的影響程度，是隨攻擊大小成正比關(guān)系的。但在本章的實驗中，無論攻擊大小，此時的Hurst系數(shù)都大于1.0；第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)6、對于變速（漸增或漸減）攻擊而言，流量逐漸變化對網(wǎng)絡(luò)自相似性的影響，基本與連續(xù)的、恒定速率的攻擊區(qū)別不大；7、攻擊發(fā)生和結(jié)束時，Hurst系數(shù)變化相對較大，其值都達(dá)到1.0以上，但在實驗過程中，甚至無攻擊流量時，Hurst系數(shù)本身也有較大抖動。因而不能以此作為攻擊發(fā)生或結(jié)束的準(zhǔn)確判斷條件；8、由于計算Hurst系數(shù)的時間很小，該方

34、法能保證檢測的及時性。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)六、六、 DDoS攻擊的判決依據(jù)攻擊的判決依據(jù)1、實驗原始數(shù)據(jù)不能直接作為判據(jù) 不能直接以Hurst系數(shù)作為準(zhǔn)確的判據(jù)條件，有以下兩個原因：在攻擊持續(xù)過程中所計算出的Hurst系數(shù)值，隨時間變化很大，并且有時大于1.0或小于0.5；在攻擊沒有發(fā)生、僅有正常流量的情況下， Hurst系數(shù)值也會隨時間而發(fā)生變化，有時還比較大；第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)2、變

35、換計算 進(jìn)一步分析可知，攻擊發(fā)生時的Hurst系數(shù)變化程度遠(yuǎn)大于此前一段時間的變化，而在攻擊持續(xù)過程中，任一時刻的變化程度都不具有此特征，只要能將此本質(zhì)特征表達(dá)出來就可以作為判決依據(jù)，方差這一數(shù)學(xué)工具就能滿足以上需求。為此，對原始實驗數(shù)據(jù)進(jìn)行變換計算，將時刻t的Hurst方差定義為從0到t的所有Hurst系數(shù)值的方差，并得出DDoS攻擊發(fā)生前后Hurst系數(shù)方差變化圖。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)限于篇幅，本文僅給出方差變化圖示例，如下圖所示，對其它數(shù)據(jù)樣本進(jìn)行變換計算后的結(jié)果與此類似，這里從略。

36、圖5.13 背景流量TDF38、攻擊方式A1下的Hurst方差變化500100 150650600600550500450400350300250200200700 750 800850 900T(s)方差P1P2P3P4背景流量TDF38計算間隔50秒0.010.010.020.020.030.030.040.040.050.050.060.060.070.07第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn) 500100 150650600600550500450400350300250200200700 750

37、800850 900T(s)方差P1P2P3P4背景流量TDF38計算間隔50秒0.010.010.080.080.070.070.060.060.050.050.040.040.030.030.020.020.090.09圖5.14 背景流量TDF38、攻擊方式A2下的Hurst方差變化第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn) 500100 150650600600550500450400350300250200200700 750 800850 900T(s)方差P1P2P3P4背景流量TDF38計算間隔5

38、0秒0.0050.0050.010.010.0150.0150.020.020.0250.0250.030.030.0350.0350.040.040.0450.045圖5.15 背景流量TDF38、攻擊方式A3下的Hurst方差變化第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)3、對變換計算的結(jié)果進(jìn)行分析(1) 在沒有攻擊發(fā)生時，相鄰計算時間間隔的Hurst系數(shù)方差變化比較平穩(wěn)；(2) 發(fā)生了較大變化，在1920個實驗樣本數(shù)據(jù)中，該變化值均大于2倍；(3) 在攻擊持續(xù)過程中，方差值也隨時間有一定變化，但即便在較大情

39、況下也小于1.5倍。對1920個實驗樣本數(shù)據(jù)進(jìn)行全面分析，攻擊持續(xù)過程中相鄰時間間隔的Hurst系數(shù)方差變化值沒有任何1次大于2倍；第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)(4) 如攻擊發(fā)生時那樣顯著，因而不能把方差變化作為結(jié)束的判據(jù)；(5) 不同大小的攻擊流量對方差變化的影響程度不同，在同樣背景流量下，方差變化程度與攻擊流量的大小成正比；(6) 另外，在Hurst系數(shù)已知的基礎(chǔ)上，進(jìn)一步求出系數(shù)方差的計算開銷不會顯著增長。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法

40、第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)4、DDoS攻擊發(fā)生判據(jù) 由以上分析可得結(jié)論，DDoS攻擊發(fā)生的判據(jù)為：按攻擊發(fā)生的判據(jù)為：按設(shè)定時隔，不斷對網(wǎng)絡(luò)流量自相似性系數(shù)設(shè)定時隔，不斷對網(wǎng)絡(luò)流量自相似性系數(shù)Hurst的方差的方差進(jìn)行計算，當(dāng)相鄰兩個時隔的變化超過進(jìn)行計算，當(dāng)相鄰兩個時隔的變化超過2倍時，可判決倍時，可判決為攻擊發(fā)生。為攻擊發(fā)生。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)5、DDoS攻擊結(jié)束判據(jù) 攻擊結(jié)束時，實時判決所存在的困難可以通過延遲判決的方法來加以解決。只要沒有新的攻擊到達(dá)，其Hurst系數(shù)由于

41、具有自相似特性，將一直在0.51.0之間變化，不會受到CCmax值的約束，由此可得出DDoS攻擊的結(jié)束判據(jù)。 DDoS攻擊的結(jié)束判據(jù)為：當(dāng)攻擊發(fā)生后，如果從攻擊的結(jié)束判據(jù)為：當(dāng)攻擊發(fā)生后，如果從某個時刻起，超過系統(tǒng)給定的某個時刻起，超過系統(tǒng)給定的CCmax個計算時隔，個計算時隔，Hurst值的變化都持續(xù)保持在值的變化都持續(xù)保持在0.51.0，則可判斷為攻擊，則可判斷為攻擊結(jié)束。結(jié)束。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)6、 CCmax值大小的選取 CCmax不應(yīng)選取過大，這會導(dǎo)致判決的延遲過長以及系統(tǒng)“空轉(zhuǎn)

42、”而引起的開銷增加； CCmax更不能選取過小，否則會出現(xiàn)系統(tǒng)誤判； 權(quán)衡以上兩個因素，誤判的損失遠(yuǎn)大于增加系統(tǒng)開銷所帶來的損失。所以在實際防護(hù)系統(tǒng)的設(shè)計中， CCmax可以在經(jīng)驗值基礎(chǔ)上適當(dāng)加大。 第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第六節(jié) DDoS攻擊的實驗環(huán)境與實現(xiàn)0timeHurst方差攻擊發(fā)生（a） DDoS攻擊發(fā)生判據(jù)示意圖0timeHurst攻擊結(jié)束攻擊發(fā)生1.0該時間段內(nèi)，至少存在一個大于1.0或小于0.5的Hurst值系統(tǒng)所認(rèn)為的攻擊持續(xù)過程0.5H1.0的區(qū)域（b） DDoS攻擊結(jié)束判據(jù)示意圖t t0 0ccccmaxma

43、x該時間段從t0開始，共持續(xù)大于ccmax個計算時隔，其間所有Hurst值都介于0.5到1.0之間圖5.16 第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性攻擊結(jié)束判決條件 ：從實驗過程、數(shù)據(jù)和分析可知，攻擊的結(jié)束判決條件是以網(wǎng)絡(luò)自相似性定義作為理論依據(jù)，并已通過了實驗的驗證，無需進(jìn)一步分析。一、發(fā)生條件：一、發(fā)生條件：1、針對攻擊發(fā)生時的判決條件的充要性進(jìn)行研究。從形式邏輯的角度看，與等價應(yīng)有與互為充要條件，只有在此情況下，滿足條件時所做出的結(jié)論才是準(zhǔn)確的。2、條件是指 “相鄰時隔Hurst方差變

44、化大于2倍”，而結(jié)論則為“攻擊發(fā)生”。它們是否互為充要條件？ 3、問題的表述。在并非攻擊流量，而是突發(fā)的大量正常流量到達(dá)時，是否會滿足同樣的判決條件，這是針對該判決條件虛警率的研究；對于主要針對主機(jī)資源耗盡的DDoS攻擊，該判決條件是否有效，這是針對該判決條件漏報率的研究；第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性造成主機(jī)資源耗盡的DDoS攻擊，可能出現(xiàn)漏判。與判決條件吻合的DDoS攻擊。非已知DDoS攻擊類型的其它流量，可能出現(xiàn)誤判。圖5.17 判決條件的有效性第五章一種基于流量自相似性的第五

45、章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性二、虛警情況的研究二、虛警情況的研究1、數(shù)據(jù)采集 主要針對大量正常流量到達(dá)對Hurst系數(shù)方差變化造成的影響，進(jìn)行了相關(guān)實驗和分析。為此，采集了兩組大流量的正常數(shù)據(jù)樣本，一組是在電子科技大學(xué)信息中心對Web服務(wù)器訪問高峰期進(jìn)行的流量數(shù)據(jù)采樣數(shù)據(jù)采集時間2.5小時，即9000秒，并將其分解為20個正常流量的數(shù)據(jù)樣本（Natural Data File）NDF120，每個450秒，這部分?jǐn)?shù)據(jù)可作為中等正常網(wǎng)絡(luò)流量的代表；另一組是對電子科技大學(xué)出口流量的高峰期進(jìn)行的流量數(shù)據(jù)采樣，數(shù)據(jù)采集時間

46、2.5小時，即9000秒，并將其分解為20個正常流量的數(shù)據(jù)樣本（Natural Data File）NDF2140，每個450秒，這部分?jǐn)?shù)據(jù)可作為較大正常網(wǎng)絡(luò)流量的代表。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性2、實驗過程與結(jié)果 將NDF140分別疊加到背景流量TDF1TDF160中，疊加方法為當(dāng)TDF開始450秒后，再將NDF疊加上去，實驗共進(jìn)行401606400次。計算每次開始疊加時相鄰時隔Hurst方差的變化情況，共記錄了6400個樣本數(shù)據(jù)，并按照背景流量樣本TDF為序作圖，共160幅。

47、分析實驗數(shù)據(jù)可知，在所有160幅圖的6400個方差變化數(shù)據(jù)中，僅在TDF74與NDF7以及TDF133 與NDF32進(jìn)行疊加時出現(xiàn)了方差值略大于2倍的情況，前者為2.23，后者為2.11，其余的6398個方差變化倍數(shù)值均小于2.0。限于篇幅，僅列出TDF74和TDF133的情況，其余樣本圖從略。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性NDF1背景流量樣本TDF740.400.81.21.62.02.420191817161514131211109NDF8NDF7NDF6NDF5NDF4NDF3

48、2Hurst方差變化情況NDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDF222123 242530292827263433323138373635NDF39 40圖5.18各正常流量樣本數(shù)據(jù)與背景流量TDF74開始疊加的Hrust方差變化情況實驗結(jié)果如下圖所示第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性實驗結(jié)果如下圖所示：圖5.19 各正常流量樣本數(shù)據(jù)與背

49、景流量TDF133開始疊加的Hrust方差變化情況NDF1背景流量樣本TDF740.400.81.21.62.02.420191817161514131211109NDF8NDF7NDF6NDF5NDF4NDF32Hurst方差變化情況NDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDF222123 242530292827263433323138373635NDF39 40第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢

50、測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性3、通過分析可知：（1）當(dāng)較大的突發(fā)正常流量到達(dá)時，絕大部分情況下相鄰時隔的Hurst系數(shù)方差變化在1.4倍以下，在極為個別的情況下變化倍數(shù)值超過了2.0。如果使用本章的判決條件，該情況即為誤判。如果將誤判率定義為誤判次數(shù)與疊加后的總測試次數(shù)的比值，則在本實驗中的誤判率為0.000625（2/3200），由此可知該判決條件的誤判率很小；（2）對以上情況進(jìn)行分析，突發(fā)的正常流量加入網(wǎng)絡(luò)后不會從根本上改變原有背景流量的相關(guān)性，這一點與DDoS攻擊發(fā)生時不同，前者相關(guān)性較弱，而后者由于DDoS攻擊的發(fā)生機(jī)制而相關(guān)性較強(qiáng)。因此，本章給出的判決

51、條件可以區(qū)分流量的增加是正常流量的到達(dá)還是DDoS攻擊的發(fā)生；第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性（3）進(jìn)一步分析發(fā)現(xiàn)，誤判存在著三種可能性。其一，該判決條件本身就存在一定的誤判率；其二，因誤差而出現(xiàn)的誤判，對于這樣的情況可通過提高實驗精度來加以解決；其三，在個別情況下，當(dāng)正常流量的突發(fā)性達(dá)到某個程度時，相關(guān)性可能會受到較大改變，甚至類似于DDoS攻擊，對于這樣的情況（即突發(fā)的正常流量造成了拒絕服務(wù)效果），該判決可視為正確的判決結(jié)果；從本章實驗結(jié)果可以看出，該判決條件具有很小的誤判率，因此

52、不會影響到檢測的有效性。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性三、三、 漏判情況的研究漏判情況的研究下面再考慮漏判的情況，對于造成主機(jī)資源耗盡的DDoS攻擊類型（如半連接等），由于這類攻擊并未通過大流量來造成網(wǎng)絡(luò)擁塞，而可能是通過發(fā)送多個小數(shù)據(jù)包消耗主機(jī)資源來達(dá)到攻擊效果，所以在其攻擊過程中的網(wǎng)絡(luò)流量變化不會太大，是否能按本章的方式進(jìn)行判決需要進(jìn)一步考慮。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法第七節(jié)第七節(jié) 判決攻擊發(fā)生的有效性判決攻擊發(fā)生的有效性結(jié)論：由以上分析可見，本節(jié)所提出的判據(jù)對引起流量變化較大的DDoS攻擊具 有較好適用性，并具有較小的誤判和漏判率，而對于主機(jī)資源耗盡類型的攻擊判決條件還需要作進(jìn)一步的實驗和研究工作。第五章一種基于流量自相似性的第五章一種基于流量自相似性的DDoS攻擊檢測方法攻擊檢測方法附:參考文獻(xiàn)w 陳惠民，蔡弘，李衍達(dá)，“自相似業(yè)務(wù)：基于多分辨