《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 嵌入式技術(shù) > 設(shè)計(jì)應(yīng)用 > 實(shí)時(shí)的移動(dòng)互聯(lián)網(wǎng)攻擊盲檢測(cè)與分析算法
實(shí)時(shí)的移動(dòng)互聯(lián)網(wǎng)攻擊盲檢測(cè)與分析算法
2018年電子技術(shù)應(yīng)用第3期
史二穎1,王 正2
1.常州機(jī)電職業(yè)技術(shù)學(xué)院,江蘇 常州213164,;2.南京大學(xué) 電子科學(xué)與工程學(xué)院,,江蘇 南京210093
摘要: 大規(guī)模移動(dòng)互聯(lián)網(wǎng)攻擊檢測(cè)算法需要攻擊行為的先驗(yàn)信息或者需要對(duì)攻擊行為進(jìn)行監(jiān)督學(xué)習(xí),降低了攻擊檢測(cè)算法的實(shí)時(shí)性與實(shí)用性,為此提出了一種實(shí)時(shí)的移動(dòng)互聯(lián)網(wǎng)攻擊盲檢測(cè)與分析算法。首先,提取每個(gè)時(shí)段網(wǎng)絡(luò)流量的最大特征值,,結(jié)合最大特征值與模型階數(shù)選擇技術(shù)檢測(cè)每個(gè)時(shí)段是否存在攻擊行為;然后,,通過特征值分析技術(shù)來識(shí)別攻擊的類型,,識(shí)別出特征值的變化細(xì)節(jié);最終,,設(shè)計(jì)了相似性分析方案來分析攻擊的端口與時(shí)間等細(xì)節(jié)信息,。基于真實(shí)實(shí)驗(yàn)與公開網(wǎng)絡(luò)流量數(shù)據(jù)集的仿真結(jié)果表明,,該算法獲得較高的攻擊檢測(cè)準(zhǔn)確率,。
中圖分類號(hào): TN91;TP393
文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.172314
中文引用格式: 史二穎,,王正. 實(shí)時(shí)的移動(dòng)互聯(lián)網(wǎng)攻擊盲檢測(cè)與分析算法[J].電子技術(shù)應(yīng)用,,2018,,44(3):89-93.
英文引用格式: Shi Erying,Wang Zheng. Real-time attacks blind detection and analysis algorithm of mobile internet network[J]. Application of Electronic Technique,,2018,,44(3):89-93.

Real-time attacks blind detection and analysis algorithm of mobile internet network
Shi Erying1,Wang Zheng2
1.Changzhou Vocational Institute of Mechatronic Technology,,Changzhou 213164,,China; 2.School of Electronic Science and Engineering,,Nanjing University,,Nanjing 210093,China
Abstract: Attack detection algorithms of large scale mobile internet network need the prior information of attack behaviors or supervised learning to attack behaviors, so these algorithms is not real time and applicable, a real-time attacks blind detection and analysis algorithm of mobile internet network is proposed to handle that problems. Firstly, the largest eigenvalues for all time frames are extracted, the attack behaviors of each time frame are detected by analysis combined largest eigenvalues with model order. Then, the types of detections are analyzed by eigenvalues analysis technique, and the variations details of the eigenvalues are identified. Lastly, similarity analysis schema are designed to analyze the detail information, such as port count and time. Simulation results based on the real experiment and public network traffic dataset show that the proposed algorithm realizes a good attack detection accuracy.
Key words : mobile internet network,;attack detection,;network safety;model order selection,;distributed denial of service,;port scan attack

0 引言

    移動(dòng)互聯(lián)網(wǎng)的攻擊事件可以按照攻擊意圖分為4種類型:DoS攻擊(拒絕服務(wù)攻擊)[1]、R2L攻擊(遠(yuǎn)程用戶攻擊攻擊)[2],、U2R攻擊(提權(quán)攻擊)[2]、Probe攻擊(掃描端口攻擊)[3],。分布式拒絕服務(wù)攻擊(DDoS)是一種分布式的DoS攻擊技術(shù)[4],,現(xiàn)有的攻擊檢測(cè)算法大多采用監(jiān)督學(xué)習(xí)的算法來確定正常行為與異常行為的分類標(biāo)記,但監(jiān)督學(xué)習(xí)類算法在檢測(cè)之前需要進(jìn)行復(fù)雜的學(xué)習(xí)過程,,極大地降低了系統(tǒng)的實(shí)時(shí)性[5],。文獻(xiàn)[6]提取攻擊流量并將流量建模為一個(gè)盲源分離過程,提出了基于快速ICA(Independent Component Analysis)的攻擊流特征提取算法,,該方案對(duì)于RoQ具有較高的檢測(cè)準(zhǔn)確率,,但對(duì)于其他類型的攻擊沒有效果。文獻(xiàn)[7]設(shè)計(jì)了使用信號(hào)處理技術(shù)建模網(wǎng)絡(luò)流量的時(shí)間幀,,該方案實(shí)現(xiàn)了異常網(wǎng)絡(luò)流量的盲檢測(cè),,但是無法分析與識(shí)別攻擊的具體類型與細(xì)節(jié)信息。

    當(dāng)前的移動(dòng)互聯(lián)網(wǎng)規(guī)模極大,,對(duì)網(wǎng)絡(luò)攻擊技術(shù)的計(jì)算效率與檢測(cè)準(zhǔn)確率均具有極高的要求,,本文設(shè)計(jì)了移動(dòng)互聯(lián)網(wǎng)的實(shí)時(shí)盲檢測(cè)與識(shí)別算法。將特征分析技術(shù)與模型階數(shù)選擇技術(shù)融合,,無監(jiān)督地檢測(cè)網(wǎng)絡(luò)攻擊的時(shí)段,;然后,設(shè)計(jì)了實(shí)時(shí)的相似性分析算法,,分析網(wǎng)絡(luò)攻擊的類型,、端口等細(xì)節(jié)信息,。基于公開網(wǎng)絡(luò)數(shù)據(jù)集進(jìn)行了實(shí)驗(yàn),,結(jié)果證明本算法實(shí)現(xiàn)了較高的檢測(cè)準(zhǔn)確率與合理的計(jì)算時(shí)間,。

1 網(wǎng)絡(luò)攻擊的檢測(cè)與分析技術(shù)

    圖1所示是本文網(wǎng)絡(luò)攻擊檢測(cè)與分析技術(shù)的流程框圖,具體步驟:(1)提取每個(gè)時(shí)段的最大特征值,;(2)結(jié)合最大特征值與模型階數(shù)選擇技術(shù)來檢測(cè)該時(shí)段是否存在攻擊行為,;(3)通過特征值分析來識(shí)別攻擊的類型;(4)設(shè)計(jì)了相似性分析方案來分析攻擊的細(xì)節(jié)信息,。

tx3-t1.gif

1.1 數(shù)據(jù)模型

    本文采用文獻(xiàn)[7]的數(shù)據(jù)模型,,將網(wǎng)絡(luò)流量數(shù)據(jù)集建模為信號(hào)累加形式,假設(shè)網(wǎng)絡(luò)流量為X,,合法流量為U,,噪聲為N,異常流量為A,,則可獲得下式:

tx3-gs1.gif

1.2 時(shí)間幀的最大特征

tx3-gs2-4.gif

tx3-gs5-9.gif

1.3 模型階數(shù)選擇技術(shù)

tx3-1.3-x1.gif

1.4 特征值分析

tx3-1.4-x1.gif

     tx3-1.4-x2.gif

    隨后應(yīng)當(dāng)分析攻擊的更多細(xì)節(jié)信息,,設(shè)計(jì)了余弦相似性分析技術(shù)來度量合法流量與異常流量。

1.5 特征相似性分析

    使用余弦相似性度量V(q)的最顯著特征向量與受攻擊時(shí)段最顯著特征向量之間的相似性,。

1.5.1 時(shí)間相似性分析

    合法流量與惡意流量的余弦相似性計(jì)算為:

tx3-gs10-12.gif

    圖2所示是將網(wǎng)絡(luò)流量添加到特征向量尾端的相似性疊加方案實(shí)例,。根據(jù)式(10)計(jì)算sn值,如果sn=1,,那么兩個(gè)特征向量完全相似,,即未檢測(cè)到異常,sn值越小表示相似性越低,。定義一個(gè)相似性閾值l,,如果sn<l,表示在第n分鐘檢測(cè)到網(wǎng)絡(luò)攻擊,,因此,,是否存在攻擊行為的計(jì)算方法為:

tx3-gs13.gif

tx3-t2.gif

1.5.2 端口相似性分析

tx3-gs14.gif

2 實(shí)驗(yàn)與結(jié)果分析

2.1 真實(shí)場(chǎng)景的實(shí)驗(yàn)與結(jié)果分析

2.1.1 實(shí)驗(yàn)環(huán)境與參數(shù)設(shè)置

    實(shí)驗(yàn)的時(shí)長(zhǎng)為120 min,分為6個(gè)時(shí)段,,每個(gè)時(shí)段為20 min,,每個(gè)采樣周期的時(shí)間(時(shí)隙)是1 min,因此N=20,。為每個(gè)時(shí)段q建立一個(gè)流量矩陣tx3-2.1.1-x1.gif協(xié)方差為tx3-2.1.1-x2.gif(式(3)),,采樣的協(xié)方差矩陣為tx3-2.1.1-x3.gif其中q=1,2,,…,,6。

    實(shí)驗(yàn)開始于14:00,,第一個(gè)時(shí)段從14:00~14:20(q=1),,每20 min為一個(gè)時(shí)段,,網(wǎng)絡(luò)共設(shè)置5個(gè)端口。實(shí)驗(yàn)過程中合法用戶進(jìn)行合法的訪問,,攻擊者的攻擊行為如下:在14:54對(duì)端口1進(jìn)行一個(gè)端口掃描攻擊,,在15:10~15:20對(duì)端口1進(jìn)行synflood攻擊,在15:30~15:40對(duì)端口1進(jìn)行fraggle攻擊,。

2.1.2 實(shí)驗(yàn)結(jié)果與分析

    本算法獲得網(wǎng)絡(luò)流量每個(gè)時(shí)段的最大特征值,,通過流量的特征值分析網(wǎng)絡(luò)的攻擊行為,觀察攻擊行為的特征值變化,。圖3所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計(jì)算的特征值,,用以檢測(cè)synflood攻擊行為。圖3中顯示端口1在第4個(gè)時(shí)段的特征值明顯高于其他時(shí)段,、其他端口的特征值,,與實(shí)驗(yàn)中發(fā)動(dòng)synflood攻擊的時(shí)間吻合。

tx3-t3.gif

    圖4所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計(jì)算的特征值,,用以檢測(cè)fraggle攻擊行為,。圖4中顯示端口1在第5個(gè)時(shí)段的特征值明顯高于其他時(shí)段、其他端口的特征值,,與實(shí)驗(yàn)中發(fā)動(dòng)fraggle攻擊的時(shí)間吻合,。

tx3-t4.gif

    圖5所示為根據(jù)網(wǎng)絡(luò)流量的協(xié)方差矩陣計(jì)算的特征值,用以檢測(cè)端口掃描攻擊行為,。圖5中顯示端口1在第3個(gè)時(shí)段的特征值明顯的高于其他時(shí)段,、其他端口的特征值,與實(shí)驗(yàn)中發(fā)動(dòng)端口掃描攻擊的時(shí)間吻合,。

tx3-t5.gif

    表1所示是6個(gè)時(shí)段對(duì)于端口掃描攻擊、synflood攻擊與fraggle攻擊檢測(cè)的最大特征值,,從表中可看出,,在q=4,發(fā)生了synflood攻擊,,此時(shí)的最大特征值約為第二大特征值的21倍,;在q=5,發(fā)生了fraggle攻擊,,此時(shí)的最大特征值約為第二大特征值的29 000倍,。在q=3,發(fā)生了端口掃描攻擊,,此時(shí)的最大特征值約為第二大特征值的4倍,。

tx3-b1.gif

    從表1的結(jié)果,可看出攻擊行為導(dǎo)致最大特征值與其他特征值具有顯著的差異,。采用樣本協(xié)方差矩陣建模synflood攻擊的特征值,,采用零均值的協(xié)方差矩陣建模端口掃描攻擊的特征值,。

2.2 基于DARPA公開數(shù)據(jù)集的實(shí)驗(yàn)

    基于公開的DARPA 1998數(shù)據(jù)集[11]進(jìn)行攻擊檢測(cè)實(shí)驗(yàn),DARPA數(shù)據(jù)集包含7個(gè)星期網(wǎng)絡(luò)流量的原報(bào)文數(shù)據(jù),,將流量與標(biāo)記的攻擊按照日期分組,。對(duì)每天24小時(shí)的網(wǎng)絡(luò)流量均進(jìn)行攻擊檢測(cè)與分析,將24小時(shí)的網(wǎng)絡(luò)流量分為Q個(gè)時(shí)段,,每個(gè)時(shí)段為60 min(N=60),。對(duì)于每個(gè)時(shí)段q,計(jì)算該時(shí)段的流量矩陣tx3-2.2-x1.gif實(shí)驗(yàn)流量數(shù)據(jù)的端口號(hào)分別為20,,21,,22,23,,25,,79,80,,88,,107,109,,110,,113,115,,143,,161,389,,443,。

    因?yàn)楸疚闹饕獧z測(cè)與分析synflood攻擊與端口掃描攻擊,所以統(tǒng)計(jì)了這兩個(gè)攻擊的檢測(cè)準(zhǔn)確率結(jié)果,。采用TP[12],、FP[12]與誤檢率[13]3個(gè)指標(biāo)評(píng)估攻擊檢測(cè)的準(zhǔn)確率,文獻(xiàn)[14]是近年一種基于統(tǒng)計(jì)分析的攻擊檢測(cè)算法,,與本算法較為接近,;文獻(xiàn)[15]是一種基于擴(kuò)散小波的攻擊檢測(cè)算法,該算法對(duì)端口掃描攻擊具有較好的效果,。

    表2所示是攻擊檢測(cè)的實(shí)驗(yàn)結(jié)果,。本算法對(duì)于synflood攻擊的TP值、FP值與誤檢率分別為100%,、6%與5%,,而文獻(xiàn)[14]的TP結(jié)果為82%,明顯低于本算法。雖然本算法具有一定的誤檢率與FP值,,但是均較小,。本算法對(duì)于端口掃描攻擊的TP值、FP值與誤檢率分別為76.92%,、8.52%與3.73%,,而文獻(xiàn)[15]的TP結(jié)果為63.00%,略低于本算法,。

tx3-b2.gif

3 結(jié)束語

    本文設(shè)計(jì)了移動(dòng)互聯(lián)網(wǎng)的實(shí)時(shí)盲檢測(cè)與識(shí)別算法,。將特征分析技術(shù)與模型階數(shù)選擇技術(shù)融合,無監(jiān)督地檢測(cè)網(wǎng)絡(luò)攻擊的時(shí)段,;然后,,設(shè)計(jì)了實(shí)時(shí)的相似性分析算法,分析網(wǎng)絡(luò)攻擊的類型,、端口等細(xì)節(jié)信息,。最終,基于真實(shí)實(shí)驗(yàn)與公開網(wǎng)絡(luò)流量數(shù)據(jù)集的實(shí)驗(yàn)結(jié)果證明了本算法對(duì)于synflood攻擊與端口掃描攻擊表現(xiàn)出了較好的效果,。

參考文獻(xiàn)

[1] 李昆侖,,董寧,關(guān)立偉,,等.一種改進(jìn)Kohonen網(wǎng)絡(luò)的DoS攻擊檢測(cè)算法[J].小型微型計(jì)算機(jī)系統(tǒng),,2017(3):450-454.

[2] 康松林,劉樂,,劉楚楚,,等.多層極限學(xué)習(xí)機(jī)在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用,2015,,35(9):2513-2518.

[3] 王輝,,劉淑芬,張欣佳.信息系統(tǒng)“Insider threat”分析及其解決方案[J].吉林大學(xué)學(xué)報(bào)(工學(xué)版),,2006,,36(5):809-813.

[4] 姜華林,李立新,,黃平,等.有效防御DDoS攻擊的密鑰交換協(xié)議的設(shè)計(jì)研究[J].西南師范大學(xué)學(xué)報(bào)(自然科學(xué)版),,2009,,34(2):127-131.

[5] 楊曉峰,李偉,,孫明明,,等.基于文本聚類的網(wǎng)絡(luò)攻擊檢測(cè)方法[J].智能系統(tǒng)學(xué)報(bào),2014(1):40-46.

[6] 榮宏,王會(huì)梅,,鮮明,,等.基于快速獨(dú)立成分分析的RoQ攻擊檢測(cè)方法[J].電子與信息學(xué)報(bào),2013,,35(10):2307-2313.

[7] TENORIO D,,COSTA J,JUNIOR R S.Greatest eigenvalue time vector approach for blind detection of malicious traffic[C].The Eighth International Conference on Forensic Computer Science,,2013:46-51.

[8] JIN S,,YEUNG D S.A covariance analysis model for DDoS attack detection[C].IEEE International Conference on Communications.IEEE,2004,,14:1882-1886.

[9] LAKHINA A,,CROVELLA M,DIOT C.Mining anomalies using traffic feature distributions[C].Conference on Applications,,Technologies,,Architectures,and Protocols for Computer Communications.ACM,,2005:217-228.

[10] TENORIO T,,BITTENCOURT I I,ISOTANI S,,et al.Dataset of two experiments of the application of gamified peer assessment model into online learning environment MeuTutor[J].Data in Brief,,2017,12(C):433-437.

[11] OSANAIYE O,,CHOO K K R,,DLODLO M.Distributed denial of service(DDoS) resilience in cloud:Review and conceptual cloud DDoS mitigation framework[J].Journal of Network & Computer Applications,2016,,67(C):147-165.

[12] SENN S.Review of Fleiss,,statistical methods for rates and proportions[J].Research Synthesis Methods,2011,,2(3):221-222.

[13] BHUYAN M H,,BHATTACHARYYA D K,KALITA J K.Network anomaly detection:Methods,,systems and tools[J].IEEE Communications Surveys & Tutorials,,2014,16(1):303-336.

[14] CAMACHO J,,PEREZ-VILLEGAS A,,GARCIA-TEODORO P,et al.PCA-based multivariate statistical network monitoring for anomaly detection[J].Computers & Security,,2016,,59:118-137.

[15] SUN T,TIAN H.Anomaly detection by diffusion wavelet-based analysis on traffic matrix[C].2014 Sixth International Symposium on PAAP,2014:13-15.



作者信息:

史二穎1,,王  正2

(1.常州機(jī)電職業(yè)技術(shù)學(xué)院,,江蘇 常州213164;2.南京大學(xué) 電子科學(xué)與工程學(xué)院,,江蘇 南京210093)

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。