第五章一種基于流量自相似的DDoS攻擊檢測

計(jì)算機(jī)入侵檢測技術(shù)一種基于流量自相似性的DDoS攻擊檢測方法第五章一種基于流量自相似性的DDoS攻擊檢測方法第一節(jié)引言一、介紹

近年來對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的研究表明，無論是WAN還是LAN，網(wǎng)絡(luò)中的業(yè)務(wù)流在幾毫秒至幾個(gè)小時(shí)甚至幾天的時(shí)間段上，均表現(xiàn)出很強(qiáng)的突發(fā)性。而并不同于傳統(tǒng)上基于泊松分布的業(yè)務(wù)流模型。

“自相似性”或者“分形”模型能更好的描述這種業(yè)務(wù)流特點(diǎn)。

二 本章內(nèi)容1、以自相似性模型作為網(wǎng)絡(luò)業(yè)務(wù)流模型，對(duì)自相似性系數(shù)及其相關(guān)特性、各類自相似業(yè)務(wù)模型以及各種系數(shù)估計(jì)方法進(jìn)行了研究；2、通過實(shí)驗(yàn)驗(yàn)證了真實(shí)局域網(wǎng)業(yè)務(wù)流量具有嚴(yán)格的自相似性；3、比較各種系數(shù)估計(jì)方法的性能和特點(diǎn)；4、通過實(shí)驗(yàn)驗(yàn)證DDoS攻擊對(duì)自相似性系數(shù)的影響；5、并最終在實(shí)驗(yàn)數(shù)據(jù)和分析的基礎(chǔ)上給出了DDoS攻擊發(fā)生和結(jié)束的判定條件。第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性一、自相似性

定義5.1 自相似性（self-similarity）：指一個(gè)隨機(jī)過程在各個(gè)時(shí)間規(guī)模上具有相同的統(tǒng)計(jì)特性。網(wǎng)絡(luò)通信中的自相似性表現(xiàn)在一段較長時(shí)間里，單位時(shí)間內(nèi)分組數(shù)的統(tǒng)計(jì)特性不隨時(shí)間規(guī)模的變化而改變自相似過程具有很多特性，典型的特性包括：

第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性1、長程相關(guān)LRD（Long-RangeDependence），自協(xié)方差函數(shù)不可加；2、隨著時(shí)帶來的方差的緩慢衰減；

3、重尾分布（Heavy-tailedDistributions），即 當(dāng)時(shí)，存在α>0，使得；4、自相似過程的功率譜密度函數(shù)S(w)在且時(shí)有5、具有分形維度d。

第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性 定義5.2 分形：一個(gè)圖形通過變比例（可能是x，y都變比 例，變比例的系數(shù)可能不同），與原圖形相同（自相似），或是分?jǐn)?shù)維。其中分?jǐn)?shù)維是指同一形狀圖形的拷貝次數(shù)的N.下圖的分?jǐn)?shù)維為

圖5.1N＝3時(shí)的分形情況第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性 定義5.3

圖形的自相似：

1、一個(gè)具有一定形狀的圖形， 通過變比例（對(duì)于寬、高使用同一放大因子）， 與原圖形相同；

2、兩者的概率特性相同。第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性二、自相似性系數(shù)計(jì)算的示例

下面給出一個(gè)通過網(wǎng)絡(luò)流量計(jì)算系數(shù)的示例：圖5.2為一個(gè)局域網(wǎng)中對(duì)兩周網(wǎng)絡(luò)流量進(jìn)行的數(shù)據(jù)采樣，樣本均值為3.3789e+005、標(biāo)準(zhǔn)偏差為4.2389e+005。對(duì)左圖中的取(6000-8000)間的點(diǎn)作為子樣本，其均值為3.6231e+005、標(biāo)準(zhǔn)偏差為4.2189e+005，與總樣本為同一數(shù)量級(jí)，但有細(xì)微的差別。對(duì)子樣本變比例，對(duì)乘以，對(duì)乘以，得到5.2中的右圖，使兩者同概率特性。第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性圖5.2局域網(wǎng)中網(wǎng)絡(luò)流量變化及其比例圖第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性三、自相似性的統(tǒng)計(jì)描述 定義5.4

過程被稱為嚴(yán)格二階自相似的，且具有自相似 系數(shù)，如果其階聚集過程具有與 原過程X

同樣的相關(guān)函數(shù)，即對(duì)所 有成立。第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性

定義5.5

過程X

被稱為是漸近二階自相似的，且具有自相 似系數(shù)，如果及

第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性

盡管存在著大量具有自相似特性的隨機(jī)模型，但通過與真實(shí)業(yè)務(wù)流量數(shù)據(jù)比較之后，目前主要有分形布朗運(yùn)動(dòng)和分形ARIMA過程，被認(rèn)為適于作為突發(fā)業(yè)務(wù)建模的隨機(jī)模型，而且它們都基于分形高斯噪聲。

當(dāng)時(shí)，分形高斯噪聲就是具有Hurst系數(shù)的嚴(yán)格二階自相似過程，因其系數(shù)簡單目前已成為自相似業(yè)務(wù)建模的主要工具。第二節(jié)

網(wǎng)絡(luò)業(yè)務(wù)的自相似性 四、網(wǎng)絡(luò)業(yè)務(wù)的自相似性

自相似（Self-Similarity）模型是目前已知的流量 模型中，最能描述網(wǎng)絡(luò)中數(shù)據(jù)流長程相關(guān)性的流 量模型。所謂數(shù)據(jù)流的自相似性，就是網(wǎng)絡(luò)上的 數(shù)據(jù)流沒有一個(gè)本質(zhì)的突發(fā)長度，在每個(gè)時(shí)間規(guī) 模上，從微秒到分鐘，從分鐘到小時(shí)，突發(fā)期由 一些突發(fā)子周期構(gòu)成，這些突發(fā)子周期又由一些 更小的突發(fā)子周期構(gòu)成。

第三節(jié)自相似性模型及對(duì)自相似性的研究一、

常見自相似性業(yè)務(wù)模型 常見的自相似數(shù)據(jù)業(yè)務(wù)模型分為單源和聚合源兩類。中單源模型有：Pareto分布、對(duì)數(shù)正態(tài)分布；聚合源模型有：ON－OFF模型、分形布朗運(yùn)動(dòng)模型、分形高斯噪聲模型、分形ARIMA過程模型、分形Lévy過程模型、基于混沌映射的確定性模型。第三節(jié)自相似性模型及對(duì)自相似性的研究1、單源模型 (1)Pareto分布模型 (2)對(duì)數(shù)正態(tài)分布模型2、聚合源模型 (2)ON-OFF模型 (2)分形布朗運(yùn)動(dòng)模型 (3)分形高斯噪聲模型 (4)分形ARIMA過程模型第四節(jié)自相似性系數(shù)的估計(jì)方法及其討論一、自相似性系數(shù)的快速估計(jì)算法 目前，對(duì)自相似性Hurst系數(shù)進(jìn)行測量的方法有多種，可大致分為圖形法和非圖形法兩種。

第四節(jié)自相似性系數(shù)的估計(jì)方法及其討論二、圖形法

1、絕對(duì)值法（AbsoluteValueMethod）

2、方差法（VarianceMethod）

3、方差冗余法（VarianceofResidualsMethod）

4、R/S法（RescaledRangeMethod）

5、周期圖法（PeriodgramMethod）第四節(jié)自相似性系數(shù)的估計(jì)方法及其討論三、非圖形法

1、Whittle法（WhittleMethod）

2、集合Whittle法（AggregatedWhittlemethod）

3、局部Whittle法（LocalWhittleMethod）

4、小波法（WaveletMethod）第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較一、業(yè)務(wù)流模型的相關(guān)理論研究 前面已給出常見的自相似數(shù)據(jù)業(yè)務(wù)模型，分為單源和聚合源兩類，每類又細(xì)分為一些具體的種類。其中基于分形布朗運(yùn)動(dòng)FBM，以及分形高斯噪聲FGN的模型應(yīng)用最廣，Norros給出了基于FGN模型的一些數(shù)學(xué)表達(dá)，并采用數(shù)學(xué)方法求出了一些近似的排隊(duì)特性。

第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較 就數(shù)學(xué)模型而言，自相似模型與傳統(tǒng)使用的模型具有明顯不同： 首先，對(duì)于自相似過程，樣點(diǎn)均值的方差不隨樣點(diǎn)個(gè) 數(shù)的增加呈反比的減少； 其次，自相似過程是長相關(guān)的，其自相似函數(shù)不以指 數(shù)形式下降； 最后，自相似過程的譜密度在原點(diǎn)附近符合 －噪聲分布，而泊松過程的譜密度是集中于原 點(diǎn)附近的。第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較二、真實(shí)業(yè)務(wù)流量的數(shù)據(jù)采集 數(shù)據(jù)采集工作主要使用Libpcap進(jìn)行，Libpcap（PacketCapturelibrary）由Berkeley大學(xué)LawrenceBerkeleyNationalLaboratory研究院開發(fā)，通過直接訪問數(shù)據(jù)鏈路層，利用了在LINUX中比較成熟的伯克利包過濾器BPF(BerkeleyPacketFilter)機(jī)制，為應(yīng)用層程序捕獲底層數(shù)據(jù)包API的代碼庫。

第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較三、真實(shí)業(yè)務(wù)流量的Hurst計(jì)算和自相似性驗(yàn)證

為研究LAN上的業(yè)務(wù)流量并驗(yàn)證Hurst計(jì)算方法，選取在電子科技大學(xué)網(wǎng)絡(luò)中心206室子網(wǎng)網(wǎng)段監(jiān)測的兩周數(shù)據(jù)。數(shù)據(jù)為從2002年12月24日0：00am開始到2003年1月4日0：00am為止的所有該子網(wǎng)上傳送的數(shù)據(jù)包的大小（以byte記）（采樣間隔1s），監(jiān)測時(shí)間共11天，這些數(shù)據(jù)基本可以代表LAN中，及LAN-WAN互聯(lián)時(shí)傳輸?shù)牧髁繕I(yè)務(wù)。第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較圖5.3LAN上兩周真實(shí)業(yè)務(wù)流量第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較 將對(duì)數(shù)據(jù)進(jìn)行期望值規(guī)正后，用前面所述的方法進(jìn)行處理，估計(jì)采樣序列的Hurst系數(shù)。將總數(shù)據(jù)樣本分為94個(gè)子樣本，每個(gè)子樣本大小為10000秒（實(shí)際時(shí)間長度上為2.78小時(shí)），然后對(duì)每個(gè)子樣本運(yùn)用六種方法進(jìn)行Hurst系數(shù)估算，得到值。第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較 圖5.4為使用聚集方差法、R/S法和周期圖法得到的值（其中聚集方差法為○、R/S法為x、周期圖法為+）

圖5.4運(yùn)用聚集方差法、R/S法、周期圖法得到的H值第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較以下為其它三種方法計(jì)算出的值。

1、whittle（fGN）方法，如圖5.5所示：

圖5.5Whittle（fGN）法得到的H值第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較 2、whittle（fARIMA）方法，共94個(gè)子樣本，其中有4 個(gè)空值為由奇異陣引起的無解，如圖5.6：

圖5.6Whittle（fARIMA）方法得到的H值第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較

3、運(yùn)用局部Whittle法，如圖5.7所示：

圖5.7運(yùn)用局部Whittle法得到的H值第五節(jié)流量數(shù)據(jù)采集與Hurst估計(jì)方法的比較 若時(shí)，表示具有一定程度的自相似性，H的值越大，自相似性越強(qiáng)。若時(shí)，缺乏或不具有自相似性。通過上面的實(shí)驗(yàn)可得出以下結(jié)論：

1、局域網(wǎng)流量具有嚴(yán)格的自相似性；

2、對(duì)比各種系數(shù)估計(jì)方法可見：R/S方法較為穩(wěn) 定，Whittle（fGN）次之，周期圖法對(duì)向高端突變 較為靈敏，聚集方差法對(duì)向低端突變較為靈敏； 局部Whittle也較為靈敏；Whittle（fARIMA）最為 靈敏，但Whittle（fARIMA）計(jì)算運(yùn)算量較大，且 有部分空值；

3、經(jīng)過以上對(duì)比，本課程擬在后面的實(shí)驗(yàn)中優(yōu)先采 用R/S法或Whittle法對(duì)Hurst系數(shù)進(jìn)行計(jì)算，以實(shí) 現(xiàn)對(duì)DDoS攻擊的檢測。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)一、根據(jù)自相似性系數(shù)檢測DDoS攻擊的可行性 對(duì)于網(wǎng)絡(luò)業(yè)務(wù)流量聚合后的特征，根據(jù)相關(guān)文獻(xiàn)有以下兩條相關(guān)推論：

推論一：當(dāng)一個(gè)數(shù)據(jù)流具有長程相關(guān)性時(shí)，多個(gè)數(shù)據(jù)流與之聚合后仍然具有長程相關(guān)性，不論加入的其它數(shù)據(jù)流本身是短程相關(guān)還是長程相關(guān)的；

推論二：同時(shí)，聚合數(shù)據(jù)流的Hurst系數(shù)、均值、方差等都會(huì)有所改變。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)

根據(jù)以上推論，提出以下假設(shè)：在正常網(wǎng)絡(luò)業(yè)務(wù)中，來自大量不同數(shù)據(jù)源的數(shù)據(jù)之間，通常不具有時(shí)間和分組特征方面的相關(guān)性，因而不會(huì)改變網(wǎng)絡(luò)流量的自相似性；而DDoS攻擊是由MASTER控制大量不同的SLAVES，在同一時(shí)段向攻擊目標(biāo)發(fā)送大量請(qǐng)求，將會(huì)導(dǎo)致其流量模型的相關(guān)系數(shù)發(fā)生變化，并破壞網(wǎng)絡(luò)流量的自相似性。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)二、

實(shí)驗(yàn)環(huán)境

1、實(shí)驗(yàn)環(huán)境

圖5.8實(shí)驗(yàn)環(huán)境示意圖第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn) 為驗(yàn)證DDoS對(duì)自相似性系數(shù)的影響，進(jìn)行了一系列攻擊實(shí)驗(yàn)，實(shí)驗(yàn)環(huán)境為：1臺(tái)100兆交換機(jī)，1臺(tái)路由器（CiscoCatalyst3550），1臺(tái)產(chǎn)生背景數(shù)據(jù)的BT（backgroundTraffic）計(jì)算機(jī)（Win2K），8臺(tái)攻擊計(jì)算機(jī)（Win2K），1臺(tái)用于檢測的AD（AttackDetection）計(jì)算機(jī)（RedHatLinux8.0），其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如5.8所示。 實(shí)驗(yàn)開始后，BT持續(xù)提供正常的背景流量，數(shù)據(jù)流的路由全部指向檢測機(jī)；攻擊開始后，多個(gè)攻擊機(jī)進(jìn)行攻擊協(xié)同，在一個(gè)時(shí)間段內(nèi)同時(shí)向檢測機(jī)發(fā)動(dòng)DDoS攻擊。此時(shí)，檢測機(jī)將接收到來自路由器上的正常流量和攻擊流量。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)

2、攻擊類型的選取與實(shí)現(xiàn) 為簡化起見，實(shí)驗(yàn)中的攻擊類型選取了常見的SYN flood。通過C語言編程實(shí)現(xiàn)后，安裝于各攻擊機(jī) 上，在攻擊開始時(shí)同步啟動(dòng)，就能模擬真實(shí)的攻 擊行為了。此外，生成攻擊數(shù)據(jù)還可以采用DDoS 工具TFN2k等方式進(jìn)行。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)

3、背景流量的選取

為模擬真實(shí)情況下的DDoS攻擊，對(duì)電子科技大學(xué)信息中心Web服務(wù)器進(jìn)行了流量數(shù)據(jù)采樣，共進(jìn)行了40小時(shí)。在模擬攻擊時(shí)，可以將TDF作為真實(shí)的背景流量使用，將TDF分為160個(gè)子樣本，每個(gè)子樣本大小為900秒，記為TDF1～TDF160。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)三、實(shí)驗(yàn)準(zhǔn)備工作

1、攻擊流量大小： 在準(zhǔn)備好160個(gè)真實(shí)背景流量的數(shù)據(jù)樣本之后，在攻擊軟件中設(shè)定了4種不同流量大小的攻擊過程，分別為100kBps、500kBps、1MBps、1.5MBps，并記為P1、P2、P3、P4。用于驗(yàn)證在同樣背景流量下，不同大小的攻擊流量所造成的結(jié)果。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn) 2、攻擊方式：一次真實(shí)的DDoS攻擊過程可看作如下4種情況，或這4種情況的組合，如圖5.9所示。

圖5.9DDoS攻擊方式第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)四、實(shí)驗(yàn)過程 通過對(duì)160個(gè)背景流量子樣本（TDF1～TDF160）、3種攻擊方式（A1～A3）、4種攻擊流量大小（P1～P4）進(jìn)行組合來完成，共160×3×4＝1920次，并采集了1920個(gè)攻擊過程中的流量數(shù)據(jù)樣本，每個(gè)子樣本采樣時(shí)間總長度為900秒（實(shí)驗(yàn)數(shù)據(jù)與背景流量的子樣本時(shí)間相等）。 限于篇幅，本次授課僅從1920個(gè)數(shù)據(jù)采樣中，任意選取了子樣本TDF38，并給出此數(shù)據(jù)樣本下各種攻擊方式和流量大小對(duì)自相似性系數(shù)Hurst的影響情況。其余子樣本的實(shí)驗(yàn)分析過程和結(jié)論與之類似，故略去。

第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)1、恒定流量的攻擊實(shí)驗(yàn)（A1）圖5.10背景流量TDF38、攻擊方式A1下的Hurst變化第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)2、漸增方式的攻擊實(shí)驗(yàn)（A2）

圖5.11背景流量TDF38、攻擊方式A2下的Hurst變化第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)3、漸減方式的攻擊實(shí)驗(yàn)（A3）

圖5.12背景流量TDF38、攻擊方式A3下的Hurst變化第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)五、實(shí)驗(yàn)分析對(duì)以上3個(gè)示例圖，及其所代表的所有樣本圖進(jìn)行分析，均可得出以下結(jié)論：1、在攻擊沒有發(fā)生時(shí)（區(qū)間為0s<T<200s)，Hurst系數(shù)隨時(shí)間變化較為平穩(wěn)，處于0.5到1.0之間，具有較好的自相似性；

2、在攻擊發(fā)生后的較短時(shí)間內(nèi)，Hurst值將發(fā)生較大變化，并躍升至1.0以上，這表示隨著攻擊的發(fā)生，流量的自相似性受到破壞。這一現(xiàn)象符合前面的兩條推論，攻擊流量加入正常背景流量后，網(wǎng)絡(luò)的長程相關(guān)性不會(huì)改變，但在聚合后，新流量的一些系數(shù)值會(huì)發(fā)生改變；

第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)3、攻擊持續(xù)過程中，Hurst系數(shù)值發(fā)生較大抖動(dòng)，

H<0.5，0.5<H<1.0，以及H>1.0都有發(fā)生。同時(shí)還發(fā)現(xiàn)，所有1920個(gè)攻擊樣本的實(shí)驗(yàn)數(shù)據(jù)都顯示出一個(gè)共同規(guī)律，Hurst系數(shù)在攻擊持續(xù)過程中的抖動(dòng)不會(huì)全部集中于0.5～1.0之間（只有自相似性程度較好的正常流量才應(yīng)完全符合此條件）。從全部實(shí)驗(yàn)樣本可得，在攻擊持續(xù)過程中，Hurst系數(shù)在0.5～1.0之間變化的最大連續(xù)時(shí)間間隔個(gè)數(shù)為4，本文將其記為CCmax（continuouscountmax）。該數(shù)值反映了在特定背景流量、特定的攻擊方式和大小下，Hurst系數(shù)在攻擊持續(xù)過程中的變化程度，可作為描述攻擊持續(xù)過程的重要特征參數(shù)。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)4、攻擊結(jié)束后的較短時(shí)間內(nèi)（實(shí)驗(yàn)中該時(shí)間間隔小于1秒），Hurst系數(shù)再次發(fā)生較大變化，表示網(wǎng)絡(luò)流量的自相似性特性再次受到較大影響；5、對(duì)于不同大小的攻擊流量，其Hurst系數(shù)值在攻擊發(fā)生時(shí)，變化幅度有一定差異，表現(xiàn)出攻擊流量越大系數(shù)抖動(dòng)越大的現(xiàn)象。這可以解釋為不同流量的攻擊對(duì)網(wǎng)絡(luò)自相似性系數(shù)的影響程度，是隨攻擊大小成正比關(guān)系的。但在本章的實(shí)驗(yàn)中，無論攻擊大小，此時(shí)的Hurst系數(shù)都大于1.0；第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)6、對(duì)于變速（漸增或漸減）攻擊而言，流量逐漸變化對(duì)網(wǎng)絡(luò)自相似性的影響，基本與連續(xù)的、恒定速率的攻擊區(qū)別不大；7、攻擊發(fā)生和結(jié)束時(shí)，Hurst系數(shù)變化相對(duì)較大，其值都達(dá)到1.0以上，但在實(shí)驗(yàn)過程中，甚至無攻擊流量時(shí)，Hurst系數(shù)本身也有較大抖動(dòng)。因而不能以此作為攻擊發(fā)生或結(jié)束的準(zhǔn)確判斷條件；8、由于計(jì)算Hurst系數(shù)的時(shí)間很小，該方法能保證檢測的及時(shí)性。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)六、

DDoS攻擊的判決依據(jù)1、實(shí)驗(yàn)原始數(shù)據(jù)不能直接作為判據(jù)不能直接以Hurst系數(shù)作為準(zhǔn)確的判據(jù)條件，有以下兩個(gè)原因：在攻擊持續(xù)過程中所計(jì)算出的Hurst系數(shù)值，隨時(shí)間變化很大，并且有時(shí)大于1.0或小于0.5；在攻擊沒有發(fā)生、僅有正常流量的情況下，Hurst系數(shù)值也會(huì)隨時(shí)間而發(fā)生變化，有時(shí)還比較大；第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)2、變換計(jì)算進(jìn)一步分析可知，攻擊發(fā)生時(shí)的Hurst系數(shù)變化程度遠(yuǎn)大于此前一段時(shí)間的變化，而在攻擊持續(xù)過程中，任一時(shí)刻的變化程度都不具有此特征，只要能將此本質(zhì)特征表達(dá)出來就可以作為判決依據(jù)，方差這一數(shù)學(xué)工具就能滿足以上需求。為此，對(duì)原始實(shí)驗(yàn)數(shù)據(jù)進(jìn)行變換計(jì)算，將時(shí)刻t的Hurst方差定義為從0到t的所有Hurst系數(shù)值的方差，并得出DDoS攻擊發(fā)生前后Hurst系數(shù)方差變化圖。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn) 限于篇幅，本文僅給出方差變化圖示例，如下圖所示，對(duì)其它數(shù)據(jù)樣本進(jìn)行變換計(jì)算后的結(jié)果與此類似，這里從略。

圖5.13背景流量TDF38、攻擊方式A1下的Hurst方差變化第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)

圖5.14背景流量TDF38、攻擊方式A2下的Hurst方差變化第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)

圖5.15背景流量TDF38、攻擊方式A3下的Hurst方差變化第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)3、對(duì)變換計(jì)算的結(jié)果進(jìn)行分析(1)在沒有攻擊發(fā)生時(shí)，相鄰計(jì)算時(shí)間間隔的Hurst系數(shù)方差變化比較平穩(wěn)；(2)發(fā)生了較大變化，在1920個(gè)實(shí)驗(yàn)樣本數(shù)據(jù)中，該變化值均大于2倍；(3)在攻擊持續(xù)過程中，方差值也隨時(shí)間有一定變化，但即便在較大情況下也小于1.5倍。對(duì)1920個(gè)實(shí)驗(yàn)樣本數(shù)據(jù)進(jìn)行全面分析，攻擊持續(xù)過程中相鄰時(shí)間間隔的Hurst系數(shù)方差變化值沒有任何1次大于2倍；第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)(4)如攻擊發(fā)生時(shí)那樣顯著，因而不能把方差變化作為結(jié)束的判據(jù)；(5)不同大小的攻擊流量對(duì)方差變化的影響程度不同，在同樣背景流量下，方差變化程度與攻擊流量的大小成正比；(6)另外，在Hurst系數(shù)已知的基礎(chǔ)上，進(jìn)一步求出系數(shù)方差的計(jì)算開銷不會(huì)顯著增長。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)4、DDoS攻擊發(fā)生判據(jù)由以上分析可得結(jié)論，DDoS攻擊發(fā)生的判據(jù)為：按設(shè)定時(shí)隔，不斷對(duì)網(wǎng)絡(luò)流量自相似性系數(shù)Hurst的方差進(jìn)行計(jì)算，當(dāng)相鄰兩個(gè)時(shí)隔的變化超過2倍時(shí)，可判決為攻擊發(fā)生。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)5、DDoS攻擊結(jié)束判據(jù)攻擊結(jié)束時(shí)，實(shí)時(shí)判決所存在的困難可以通過延遲判決的方法來加以解決。只要沒有新的攻擊到達(dá)，其Hurst系數(shù)由于具有自相似特性，將一直在0.5～1.0之間變化，不會(huì)受到CCmax值的約束，由此可得出DDoS攻擊的結(jié)束判據(jù)。

DDoS攻擊的結(jié)束判據(jù)為：當(dāng)攻擊發(fā)生后，如果從某個(gè)時(shí)刻起，超過系統(tǒng)給定的CCmax個(gè)計(jì)算時(shí)隔，Hurst值的變化都持續(xù)保持在0.5~1.0，則可判斷為攻擊結(jié)束。第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)6、CCmax值大小的選取

CCmax不應(yīng)選取過大，這會(huì)導(dǎo)致判決的延遲過長以及系統(tǒng)“空轉(zhuǎn)”而引起的開銷增加；

CCmax更不能選取過小，否則會(huì)出現(xiàn)系統(tǒng)誤判；

權(quán)衡以上兩個(gè)因素，誤判的損失遠(yuǎn)大于增加系統(tǒng)開銷所帶來的損失。所以在實(shí)際防護(hù)系統(tǒng)的設(shè)計(jì)中，CCmax可以在經(jīng)驗(yàn)值基礎(chǔ)上適當(dāng)加大。

第六節(jié)DDoS攻擊的實(shí)驗(yàn)環(huán)境與實(shí)現(xiàn)圖5.16DDoS攻擊起止判據(jù)示意圖第七節(jié)判決攻擊發(fā)生的有效性 攻擊結(jié)束判決條件：從實(shí)驗(yàn)過程、數(shù)據(jù)和分析可知，攻擊的結(jié)束判決條件是以網(wǎng)絡(luò)自相似性定義作為理論依據(jù)，并已通過了實(shí)驗(yàn)的驗(yàn)證，無需進(jìn)一步分析。一、發(fā)生條件：1、針對(duì)攻擊發(fā)生時(shí)的判決條件的充要性進(jìn)行研究。從形式邏輯的角度看，與等價(jià)應(yīng)有與互為充要條件，只有在此情況下，滿足條件時(shí)所做出的結(jié)論才是準(zhǔn)確的。2、條件是指“相鄰時(shí)隔Hurst方差變化大于2倍”，而結(jié)論則為“攻擊發(fā)生”。它們是否互為充要條件？

3、問題的表述。在并非攻擊流量，而是突發(fā)的大量正常流量到達(dá)時(shí)，是否會(huì)滿足同樣的判決條件，這是針對(duì)該判決條件虛警率的研究；對(duì)于主要針對(duì)主機(jī)資源耗盡的DDoS攻擊，該判決條件是否有效，這是針對(duì)該判決條件漏報(bào)率的研究；4、以上判決條件的有效性問題可用圖的形式加以表示，圖中的交叉區(qū)域是判決條件等價(jià)于結(jié)論的情形，而非交叉區(qū)域是誤判和漏判情況。第七節(jié)判決攻擊發(fā)生的有效性圖5.17判決條件的有效性第七節(jié)判決攻擊發(fā)生的有效性二、虛警情況的研究1、數(shù)據(jù)采集 主要針對(duì)大量正常流量到達(dá)對(duì)Hurst系數(shù)方差變化造成的影響，進(jìn)行了相關(guān)實(shí)驗(yàn)和分析。為此，采集了兩組大流量的正常數(shù)據(jù)樣本，一組是在電子科技大學(xué)信息中心對(duì)Web服務(wù)器訪問高峰期進(jìn)行的流量數(shù)據(jù)采樣數(shù)據(jù)采集時(shí)間2.5小時(shí)，即9000秒，并將其分解為20個(gè)正常流量的數(shù)據(jù)樣本（NaturalDataFile）NDF1～20，每個(gè)450秒，這部分?jǐn)?shù)據(jù)可作為中等正常網(wǎng)絡(luò)流量的代表；另一組是對(duì)電子科技大學(xué)出口流量的高峰期進(jìn)行的流量數(shù)據(jù)采樣，數(shù)據(jù)采集時(shí)間2.5小時(shí)，即9000秒，并將其分解為20個(gè)正常流量的數(shù)據(jù)樣本（NaturalDataFile）NDF21～40，每個(gè)450秒，這部分?jǐn)?shù)據(jù)可作為較大正常網(wǎng)絡(luò)流量的代表。第七節(jié)判決攻擊發(fā)生的有效性2、實(shí)驗(yàn)過程與結(jié)果將NDF1～40分別疊加到背景流量TDF1～TDF160中，疊加方法為當(dāng)TDF開始450秒后，再將NDF疊加上去，實(shí)驗(yàn)共進(jìn)行40×160＝6400次。計(jì)算每次開始疊加時(shí)相鄰時(shí)隔Hurst方差的變化情況，共記錄了6400個(gè)樣本數(shù)據(jù)，并按照背景流量樣本TDF為序作圖，共160幅。分析實(shí)驗(yàn)數(shù)據(jù)可知，在所有160幅圖的6400個(gè)方差變化數(shù)據(jù)中，僅在TDF74與NDF7以及TDF133與NDF32進(jìn)行疊加時(shí)出現(xiàn)了方差值略大于2倍的情況，前者為2.23，后者為2.11，其余的6398個(gè)方差變化倍數(shù)值均小于2.0。限于篇幅，僅列出TDF74和TDF133的情況，其余樣本圖從略。第七節(jié)判決攻擊發(fā)生的有效性圖5.18各正常流量樣本數(shù)據(jù)與背景流量TDF74開始疊加的Hrust方差變化情況實(shí)驗(yàn)結(jié)果如下圖所示：第七節(jié)判決攻擊發(fā)生的有效性實(shí)驗(yàn)結(jié)果如下圖所示：圖5.19各正常流量樣本數(shù)據(jù)與背景流量TDF133開始疊加的Hrust方差變化情況第七節(jié)判決攻擊發(fā)生的有效性3、通過分析可知：（1）當(dāng)較大的突發(fā)正常流量到達(dá)時(shí)，絕大部分情況下相鄰時(shí)隔的Hurst系數(shù)方差變化在1.4倍以下，在極為個(gè)別的情況下變化倍數(shù)值超過了2.0。如果使用本章的判決條件，該情況即為誤判。如果將誤判率定義為誤判次數(shù)與疊加后的總測試次數(shù)的比值，則在本實(shí)驗(yàn)中的誤判率為0.000625（2/3200），由此可知該判決條件的誤判率很?。唬?）對(duì)以上情況進(jìn)行分析，突發(fā)的正常流量加入網(wǎng)絡(luò)后不會(huì)從根本上改變?cè)斜尘傲髁康南嚓P(guān)性，這一點(diǎn)與DDoS攻擊發(fā)生時(shí)不同，前者相關(guān)性較弱，而后者由于DDoS攻擊的發(fā)生機(jī)制而相關(guān)性較強(qiáng)。因此，本章給出的判決條件可以區(qū)分流量的增加是正常流量的到達(dá)還是DDoS攻擊的發(fā)生；第七節(jié)判決攻擊發(fā)生的有效性（3）進(jìn)一步分析發(fā)現(xiàn)，誤判存在著三種可能性。其一，該判決條件本身就存在一定的誤判率；其二，因誤差而出現(xiàn)的誤判，對(duì)于這樣的情況可通 過提高實(shí)驗(yàn)精度來加以解決；其三，在個(gè)別情況下，當(dāng)正常流量的突發(fā)性達(dá)到某個(gè)程度時(shí)，相關(guān)性可能會(huì)受到較大改變，甚至類似于DDoS攻擊，對(duì)于這樣的情況（即突發(fā)的正常流量造成了拒絕服務(wù)效果），該判決可視為正確的判決結(jié)果； 從本章實(shí)驗(yàn)結(jié)果可以看出，該判決條件具有很小的誤判率，因此不會(huì)影響到檢測的有效性。第七節(jié)判決攻擊發(fā)生的有效性三、

漏判情況的研究

下面再考慮漏判的情況，對(duì)于造成主機(jī)資源耗盡的DDoS攻擊類型（如半連接等），由于這類攻擊并未通過大流量來造成網(wǎng)絡(luò)擁塞，而可能是通過發(fā)送多個(gè)小數(shù)據(jù)包消耗主機(jī)資源來達(dá)到攻擊效果，所以在其攻擊過程中的網(wǎng)絡(luò)流量變化不會(huì)太大，是否能按本章的方式進(jìn)行判決需要進(jìn)一步考慮。第七節(jié)判決攻擊發(fā)生的有效性 結(jié)論： 由以上分析可見，本節(jié)所提出的判據(jù)對(duì)引起流量變化較大的DDoS攻擊具 有較好適用性，并具有較小的誤判和漏判率，而對(duì)于主機(jī)資源耗盡類型的攻擊判決條件還需要作進(jìn)一步的實(shí)驗(yàn)和研究工作。附:參考文獻(xiàn)

陳惠民，蔡弘，李衍達(dá)，“自相似業(yè)務(wù)：基于多分辨率采樣和小波分析的Hurst系數(shù)估計(jì)方法”，電子學(xué)報(bào)，1998,7.VernPaxson,Fast,ApproximateSynthesisofFractionalGaussianNoiseforGeneratingSelf-SimilarNetworkTraffic.ComputerCommunicationsReview,V.27N.5,October1997,pp.5-18.LelandW.,TaqquM.,WillingerW.andWilsonD.,’OntheSelf-SimilarNatureofEthernetTraffic’,ProceedingsofACMSIGCOMM,1993.