一种基于RBF-NN的DDoS攻击检测方法
开篇:润墨网以专业的文秘视角,为您筛选了一篇一种基于RBF-NN的DDoS攻击检测方法范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
(内蒙古科技大学 信息工程学院,内蒙古 包头 014010)
摘要:在网络攻击事件中DDoS攻击是一种难以防范的攻击方式,它已成为系统和网络安全亟待解决的重要问题。该文介绍了DDoS攻击的概念,分析了DDoS攻击的原理,详细讨论了DDoS攻击检测方法。
关键词:DDoS;黑客;攻击检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)28-7882-02
A Method of DDoS Attacks Detection Based on RBF-NN
ZHANG Jing
(College of Information Engineering, Inner Mongolia University of Science and Technology, Baotou 014010, China)
Abstract: The Distributed Denial of Service (DDoS) attack is the attack method of the most in common use and Hardguard against in the network, becomes the important problem for resolve in the fields of the system and the networksafety. This paper presents the conception of DDoS attack, analyzes the principle of DDoS attack technology, anddiscusses the countermeasures of DDoS attack in detail.
Key words: DDOS; hacker; attacks detection
随着Internet互联网络带宽的增加和多种DDoS黑客工具的不断,DDoS拒绝服务攻击的实施越来越容易,DDoS攻击事件正在成上升趋势。DDoS攻击已经是当前网络安全最严重的威胁之一,是对网络可用性的挑战。反弹攻击和IP源地址伪造技术的使用使得攻击更加难以察觉。就目前的网络状况而言,世界的每一个角落都有可能受到DDoS攻击,但是只要能够尽可能检测到这种攻击并且作出反应,损失就能够减到最小程度。因此,DDoS攻击检测方法的研究一直受到关注。
1 DDoS攻击原理
DoS(denial of service,拒绝服务)攻击是对网络服务有效性的一种破坏,使受害主机或网络不能及时接收并处理外界请求,或无法及时回应外界请求,从而不能提供给合法用户正常的服务,形成拒绝服务。DDoS攻击是DoS攻击的一种延伸,因为具有协同攻击的能力所以威胁巨大。DDoS攻击是用很多计算机发起协作性的DOS攻击来攻击一个或者多个目标。用客户端/服务器模式,DDoS攻击的攻击者能够获得很好的效果,远比用多个单一的DOS攻击合起来的效果要好的。它们利用很多有漏洞的计算机作为攻击平台和帮凶来进行攻击。DDoS攻击是最先进的DOS攻击形式,它区别于其它攻击形式是它可以在Internet进行分布式的配置,从而加强了攻击的能力给网络以致命的打击。DDoS攻击从来不试图去破坏受害者的系统,因此使得常规的安全防御机制对它来说是无效。DDoS攻击的主要目的是对受害者的机器产生破坏,从而影响合法用户的请求。在发起DDoS攻击前,攻击者必须要建立攻击网络,一个完善的DDoS攻击网络体系可分成四部分:
1) 黑客主机:用于控制整个攻击过程,从而发起对目标的攻击;它把相应的DDoS程序上传到控制傀儡机上,这些程序与正常的程序一样运行并等待来自黑客的攻击指令。
2) 控制傀儡机:控制傀儡机是指受到黑客主机非法入侵并加以控制利用的那些主机,这些主机还分别控制大量的攻击傀儡机。黑客主机一般不直接发起攻击,而是通过控制傀儡机来实现,这主要是为了防止攻击者不被发现。控制傀儡机通常只是把来自于黑客主机的指令发送到攻击傀儡机群上而不参与直接攻击。
3) 攻击傀儡机群:用控制傀儡机将攻击程序传到更多的傀儡机上形成攻击傀儡机群,攻击程序用于接收和运行控制傀儡机发来的指令。攻击傀儡机群是攻击的执行者,真正向受害者发送攻击包。受害者即使进行跟踪,也只能发现控制傀儡机而发现不了黑客主机。
4) 受害者:被攻击的对象,接收到攻击傀儡机群的大量攻击包,从而使主机处于不断的忙碌状态,不能进行正常响应,导致服务器不能工作,网络带宽被耗尽可能导致整个网络。
2.1 系统的组成
1) 数据采集器
数据采集器用sniffer嗅探器可以捕捉到TCP报文,当抓到每个TCP数据包的:源端口号,客户端的SEQ序列号,窗口大小,和SYN,ACK,FIN,PSH,URG,RST六个标志位字段时,同时把每个数据包的时间戳也记录下来以便把数据包分到重叠的时间帧中。不同的源端口和窗口大小的数目用来评估每一个时间帧。SEQ序列号是由客户端产生的32位的TCP随机数作为TCP连接的认证。估算出不同的SEQ序列号需要很大的存储空间和计算能力。实验结果显示,尽管客户端的SEQ序列号不同,但是用高16位足够可以估算出SEQ序列号的特征。16位可以存储65535字节长的信息。每一时间帧的统计信息是来自下面六个标志出现时被设置的频率:SYN,ACK,FIN,PSH,URG,RST。实验显示,这些标志在DDoS攻击的出现时提供了重要的信息。
2) 特征估计器
特征估计器是用六个标志位出现的频率,源端口的地址,SEQ序列号和窗口大小来评估每个时间帧。六个标记的每个时间帧的统计特性是每个标记被设置的概率。用源端口,SEQ序列号和窗口大小的每个时间帧的数据包的总数来划分不同的值。
3) DDoS检测器
每个时间帧用9个特征向量来激活有两个输出的基于RBF的神经网络。最活跃的输出神经元检测出DDoS攻击的出现,或者判断出时间帧是常规的流量。研究显示,少量的隐单元用来检测DDoS攻击就能够获得很高的检测效率。评价RBF-NN区分是DDoS攻击流量还是常规的数据流的分类的能力,用一个仅包含三个特征的输入向量来实现。
2.2 RBF―NN的工作过程
收集来的数据用来产生两个不同学习场景。在第一个场景中,DDoS监测器用常规的WWW和纯粹的DDoS攻击流量来学习。第二个场景中把纯粹的DDoS流量换成正在发起DDoS攻击时,正在提供正常服务的服务器时的混合的数据流。在这两个学习场景中,分别用单一种类的数据流和混合的数据流用来估BF-NN的效率。混合的高斯函数用来作为RBF的非线性函数。高斯函数的阀值和变量用K-means聚族算法来获得。K-means初始中心的选取将会严重影响学习过程的质量。选择好的初始中心对不同的网络拓扑都能够获得很好的分类效率。因此,用不同的初始值和K-means算法可以得到多个局部的K-means中心。在从多个局部的K-means中心中选取出最适当的一个中心作为最终K-means中心,以便使分类错误率达到最小。在重新估计K-means中心的过程中,K-means算法中一些标记的变量为0(例如,RST,URG标志)或者非常接近于零,这样就会造成局部最小化问题。为了解决这个问题,我们可以从具体的实验中获得一个小的数值,作为估计变量的值,这样将会得到很好的分类速率。用两个不同的特征集来评价RBF-NN监测DDoS攻击的效率,这两个特征集是由建立输入向量的特征的数目来决定的。这个监测模型可以把输入向量集减少到3个,即只运用源端口,SEQ序列号,SYN标志作为输入向量。这个特征的集用常规的低性能的计算机系统就能够用来评价实时的监测情况。
3 总结
为了避免DDoS造成灾难性的后果,尽早识别攻击并采取相应的对策是十分重要的。这种基于RBF-NN实时监测DDoS攻击的模型,能在受害者机器受到DDoS攻击发生时或者发生后来追查攻击源,并且响应速度快,不需要增加任何网络流量,就可以监测出当前存在的所有类型的DDoS攻击。
参考文献:
[1] 陈伟,何炎祥,彭文灵,等.一种轻量级的拒绝服务攻击检测方法[J].计算机学报, 2006,29(8): 1392-1400.
[2] 何慧,张宏莉,张伟哲,等.一种基于相似度的DDoS攻击检测方法[J].通信学报, 2004,25(7): 176-184.200
[3] SUN H B,LUI J C S,YAU D K Y. Defending against low-rate TCP attacks:dynamic detection and protection[A].Proc IEEE International Conference on Network Protocols(ICNP)[C]. Berlin,Germany. 2004:5-8.