專利名稱:一種基于負載預測的分布式拒絕服務攻擊檢測方法
技術領域:
本發(fā)明涉及一種網(wǎng)絡攻擊檢測方法,特別的����,涉及一種基于負載預測的分 布式拒絕服務攻擊檢測方法,屬于網(wǎng)絡安全技術領域��。
背景技術:
分布式拒絕服務(Distributed Denial of Service, DDoS)是在傳統(tǒng)的拒絕服務 (Denial of Serivce,DoS)攻擊基礎之上產(chǎn)生的一類攻擊方式�����。它的原理與DoS 相似��,只是改變了單一DoS的一對一攻擊方式�����,利用更多的傀儡機來發(fā)起進攻, 以更大的規(guī)模來進攻受害者��。DDoS攻擊采用分布�����、協(xié)作的大規(guī)模攻擊模式�����,給 網(wǎng)絡的正常運行帶來了極大威脅��。
典型的DDoS攻擊可以分為兩大類直接DDoS攻擊和反射式DDoS攻擊����。如 圖l所示。
圖l(a)為直接DDoS攻擊��。攻擊主機首先入侵大量的攻擊從機�,并在攻擊從 機上安裝DDoS攻擊守護進程�����,當攻擊主機認為時機成熟時,發(fā)送攻擊命令給攻 擊從機����,攻擊從機就會向目標主機發(fā)出大量的服務請求數(shù)據(jù)包,最終導致目標 主機網(wǎng)絡和系統(tǒng)資源耗盡����,造成目標主機無法為正常用戶提供任何服務,甚至 導致系統(tǒng)崩潰�����。
圖l (b)為反射式DDoS攻擊����。該攻擊的模式是攻擊主機控制攻擊從機, 通過攻擊從機向反射服務器發(fā)送大量偽造的數(shù)據(jù)包����,這些偽造數(shù)據(jù)包的源IP地址 均為所要攻擊的目標主機的IP。反射服務器接收到偽造數(shù)據(jù)包后�����,依據(jù)包中的源 IP發(fā)出相應的回應數(shù)據(jù)包����。這樣��,目標主機的資源會被大量的回應數(shù)據(jù)包耗盡�����, 無法為合法用戶提供服務�����。
隨著DDoS攻擊軟件如TFN�, TFN2k等的出現(xiàn)�,發(fā)起DDoS攻擊更加容易。而 且�,為了對抗已有的DDoS攻擊檢測技術,攻擊的形式也發(fā)生了變化�����,出現(xiàn)了采 用反射式的DDoS攻擊等新方式����,使攻擊的檢測更為困難。
與其它的攻擊相比,DDoS攻擊具有以下特點
采取了分布式的攻擊手段����,改變了傳統(tǒng)的點對點攻擊模式����,使得攻擊數(shù)
據(jù)流呈現(xiàn)無規(guī)律狀態(tài); 通常使用常見的協(xié)議與服務���,僅從協(xié)議與服務類型方面難以區(qū)分正常連接請求與惡意請求�����; 攻擊數(shù)據(jù)包通常經(jīng)過偽裝�����,使用偽造的源IP地址���,無法識別來源。 以上特點使得對DDoS攻擊的檢測十分困難���。
有些機制可以用來對抗目前最流行的SYNFlooding型攻擊�,如SYN cache, SYNcookies等。但是�,這些機制都是維護狀態(tài)的,也就是每個TCP連接需要維 護狀態(tài)��,并進行狀態(tài)計算�。而實驗表明攻擊一個沒有特別保護的商業(yè)網(wǎng)站的 SYN速率至少需要達到14000Ps個SYN請求,如果將這些檢測系統(tǒng)集成到網(wǎng)關設 備上��,顯然會降低端到端TCP性能��,導致建立連接的延時增加���。
基于異常的檢測是該類攻擊最為有效的檢測手段����。異常檢測的核心問題是 如何實現(xiàn)負載正常狀態(tài)的描述����。目前普遍的做法是采集大量樣本數(shù)據(jù),基于統(tǒng) 計或人工智能方法對樣本數(shù)據(jù)進行分析���,從中抽取正常模式����。這種方式獲得的 正常行為描述完全依賴于歷史數(shù)據(jù),時效性差��,以此為依據(jù)的異常判斷準確性 也必然受到影響�。
文獻《基于負載預測的分布式拒絕服務攻擊檢測方法研究》(科技導報. 2005,23(外11-13)提出一種基于負載預測的DDOS檢測方法��,首先預測待檢測時 刻的服務請求數(shù)�,將其作為待測時段內(nèi)正常服務請求的估計值�,以此為參照判 斷異常,不僅可以明顯提高檢測準確性�,而且可以縮減歷史記錄存儲量。但該 文獻建立的小波-祌經(jīng)網(wǎng)絡預測模型精度還不夠高��,影響檢測響應時間����。
發(fā)明內(nèi)容
本發(fā)明的目的是基于負載預測的思想,通過構建高精度負載預測模型��,提 高攻擊檢測精度��,并進一步提高DDoS攻擊檢測的時效性����,保證在攻擊造成不良 影響之前有充分的時間進行防御。
本發(fā)明提供了一種基于負載預測的分布式拒絕服務攻擊檢測方法,該方法 包括對服務器的負載值進行檢測的步驟�,使用檢測值進行負載預測的步驟,將 預測值與實際檢測值比較�����,判斷是否是異常點并采取措施的步驟����,其中所述使
用檢測值進行負載預測的步驟包括
1)使用基于小波包的預測方法進行一步預測,具體步驟為 1.1對原始序列進行小波包分解與重構設^(^表示t時刻之前N個數(shù)據(jù)按時 間順序的排列����,對原始序列WW進行L層小波包分解,從分解樹中讀取結點 (L�,0) (L,2L"-1)���, (l����,l)的小波包分解系數(shù)�����,構成2L"+1個信號分量;對各分支進行 單支重構�,重構后的2L"+1個分支與原始序列的長度一致,記為AL/ 7 = 0~2"-l)禾卩;
1.2對ALO信號直接用AR線性模型進行預測�;
1.3對AL廣H"2"-D信號進行支持向量回歸預測,即對各分支分別執(zhí)行
1.3.1數(shù)據(jù)準備將該分支數(shù)據(jù)分為兩部分����, 一部分作為訓練數(shù)據(jù),另一部 分作為測試數(shù)據(jù)�����,將訓練數(shù)據(jù)以"為步長組織為學習樣本對"���,力; 1.3.2選取適當?shù)闹С窒蛄繖C模型��;
1.3.3根據(jù)確定的支持向量拓撲結構�,利用訓練數(shù)據(jù)集訓練模型; 1.3.4利用測試數(shù)據(jù)集中的數(shù)據(jù)進行預測����;
1.3.5根據(jù)預測結果進行模型評價,計算預測精度�,如果精度滿足預先設定 的閾值�,則結束算法����,否則調整參數(shù),重新訓練模型���; 1.4使用加權移動平均法對An分支數(shù)據(jù)進行預測�; 1.5對各分支預測值進行合成���,獲得最后的預測結果��;
2) 使用基于SVR的預測方法進行一步預測����,具體步驟為
2.1數(shù)據(jù)準備將原始負載數(shù)據(jù)分為兩部分�, 一部分作為訓練數(shù)據(jù),另一部 分作為測試數(shù)據(jù)��,將訓練數(shù)據(jù)以"為步長組織為學習樣本對"�����,"��、 2.2選取適當?shù)闹С窒蛄繖C模型;
2.3根據(jù)確定的支持向量拓撲結構��,利用訓練數(shù)據(jù)集訓練模型�����; 2.4利用測試數(shù)據(jù)集& ={《}^"中的數(shù)據(jù)進行單步預測���; 2.5根據(jù)預測結果進行模型評價��,計算預測精度���,如果精度滿足預先設定的 閾值��,則結束算法�����,否則調整參數(shù)���,重新訓練模型�����;
3) 使用基于支持向量回歸的非線性組合預測方法對兩項單項預測結果進行 組合�����,獲得最終的主機負載預測結果�����,具體步驟為
3.1數(shù)據(jù)準備將原始主機負載數(shù)據(jù)分別輸入到己訓練好的基于小波包的預 測模型和基于SVR的預測模型中����,獲得兩個預測值集合;
3.2將訓練數(shù)據(jù)以2為步長組織為如下表所示的學習樣本對"���,W;
樣本號輸入樣本輸出樣本
1x,4(l)��,永(1))"=/i(" + l)
2& = (4(2" (2))_y2 = A(w + 2)
Kx《=(^"W)其中纟,(i)�, ^(i)分別為使用基于小波包的預測模型和基于SVR的預測模型獲 得的預測值�;
3.3選取適當?shù)闹С窒蛄繖C模型;
13根據(jù)確定的支持向量拓撲結構�����,利用訓練樣本訓練模型����; 3.5將測試數(shù)據(jù)集中的數(shù)據(jù)輸入模型���,進行單步預測;
3.6根據(jù)預測結果進行模型評價�,計算預測精度,如果精度不滿足預先設定 的閾值���,則調整參數(shù)���,重新訓練模型。
本發(fā)明提出的基于負載預測的DDoS檢測方法���,以預測值作為未來時段內(nèi)網(wǎng) 絡正常行為的描述�,不需要了解攻擊的細節(jié)��,能夠有效區(qū)分正常的負載增加與 DDoS攻擊所導致的異常負載增加�,改進正常行為描述的時效性���,提高攻擊檢測 精度���,并有效降低攻擊發(fā)現(xiàn)延時����。
圖l DDoS攻擊示意圖�����。
圖2本發(fā)明提供的攻擊檢測方法的檢測原理圖����。 圖3基于小波包和SVR的非線性組合預測模型。 圖4三層小波包分解樹����。 圖5基于小波包的預測模型。
圖6 ^空間的小波包劃分�����。
圖7主機負載序列的三層DB4小波包分解與單支重構����。
具體實施例方式
下面結合附圖對本發(fā)明所述方法做進一步的描述。
DDOS的攻擊目標是網(wǎng)絡內(nèi)的重點服務器��,對其負載本發(fā)明采用并發(fā)連接數(shù) 作為衡量指標。對基于TCP的服務���,并發(fā)連接數(shù)直接取Socket數(shù)�����,對DNS等采用 UDP非連接協(xié)議的服務��,可以采用虛擬連接的方式���,把五元組(協(xié)議,源地址���, 源端口�,目的地址�,目的端口)相同的訪問視為一個連接,效果是一樣的�����。
設采樣的時間間隔是"��。令x(i)表示第i個觀測點的并發(fā)數(shù)��,X表示服務器并
發(fā)連接時間序列�,則
JT = {x(l), ;c(2), x(3),…, }
根據(jù)X構造與預測相關的歷史序列����。 設與待預測時刻t相關的序列為WW ,貝U其中WW表示t時刻之前N個數(shù)據(jù)按時間順序的排列����,稱為歷史序列。對序 列中元素分別重新編號���,則77(,)可表示為= �����。
利用本發(fā)明的技術方案���,進行攻擊檢測的原理如圖2所示。
本實施例考慮對歷史序列^W-^《i分別用基于小波包的預測和基于SVR 的預測兩種方法進行一步預測���,然后將預測值進行組合��,獲得最終的預測結果��, 采用的基于小波包和SVR的非線性組合預測模型如圖3所示�。在實際應用中可 以根據(jù)具體的需求將該機制應用于更多預測方法的組合。
圖3中�����,^"表示對歷史序列用基于小波包的預測模型進行一步預測獲得的 預測值����,""表示對歷史序列用SVR方法進行一步預測獲得的預測值,將這兩 個單項預測結果經(jīng)支持向量回歸組合之后��,獲得最終的預測值"+'��。
本實施例的具體實施過程如下
一����、 對服務器的負載值進行檢測 該步驟是收集服務器負載值數(shù)據(jù)集的過程。該數(shù)據(jù)集合通?���?梢苑譃閮刹?br>
分訓練數(shù)據(jù)集和測試數(shù)據(jù)集。訓練數(shù)據(jù)集主要用來構造訓練模型的樣本數(shù)據(jù)�����; 測試數(shù)據(jù)集用來構造與預測相關的歷史序列。
本實施例中的實驗數(shù)據(jù)取自某高校校園網(wǎng)的一臺WWW服務器���,收集該主機 在一段時間內(nèi)的并發(fā)連接數(shù),連續(xù)收集10個工作日��,釆樣間隔取"=&�����,構成數(shù) 據(jù)集^"""�����。以下實驗的數(shù)據(jù)均取自該數(shù)據(jù)集�����。
二�����、 使用基于小波包的預測方法進行一步預測 1��、預測模型
依據(jù)小波包分解理論在小波包分解中����,每一個高頻系數(shù)向量也與低頻部
分的分解一樣��,被分解成兩個部分��, 一維情況下產(chǎn)生的是一個完整的二叉樹�。
如圖4所示���。
小波包分解樹中任一個結點都可以讀取其分解系數(shù)�����,這樣���,基于小波包分 解的預測可以有更多的組合方式,并非一定用最底層結點����,只要所選結點對應 空間的直和剛好覆蓋原始信號空間,又不互相重疊即可�。如選擇結點((3,0)����, (3,1)��,
(2.1) �, (l���,l)),就相當于按Mallat小波多分辨分析作空間剖分���。 本實施例基于小波包理論的預測模型組合方式為選擇結點(3�,0)�����, (3�,1),
(3.2) �����, (3,3)����, (1,1)。即在三層小波分解基礎上��,對第二層細節(jié)信號(結點(2,1)) 進一步分解?�?紤]到第一層細節(jié)信號(結點(l���,l))是原始負載信號中的隨機負載 分量�����,是由偶發(fā)事件導致的負載增量����, 一般在整個負載中所占的比例很小�,所以預測中不需要再對其進一步分解。
令WW表示原始負載序列���,即t時刻之前N個負載數(shù)據(jù)按時間順序的排列��。
基于歷史序列進行一步預測����,預測^"的值�,記為《'w+,。以三層小波包分解
為例����,預測模型如圖5所示�。
首先對歷史序列"W進行三層小波包分解��。從分解樹中讀取結點(3����,0), (3,1)���, (3,2), (3,3)���, (l,l)的小波包分解系數(shù)���,構成5個信號分量 a3/={^y,,},7' = 0�,l,2,3; //n:(�����、,J
為了使各分支的長度保持不變�����,對各分支進行單支重構,重構后的5個分 支與原始序列的長度一致����,艮P:
S" = {《j,, , 1《z. ^ 〃}��, 乂 = 0,1,2,3 #u = ,. ���, 1 S / S 〃}
分別對5個分支建立如圖5所示的預測模型進行一步預測����,獲得5個預測 值�,將其合成得^+'。 2�、預測過程
從s。^e中取20.28萬個數(shù)據(jù)作為實驗原始數(shù)據(jù)��,將其分為兩組����,前17,28萬 個數(shù)據(jù)為第一組,作為模型訓練數(shù)據(jù)���,最后的3萬個數(shù)據(jù)為第二組�,作為模型 測試數(shù)據(jù)��。
2.1小波包分解與重構
首先選擇一個母小波��,并確定分解層數(shù)L���。本實施例選定分解層數(shù)"3�����。 對原始序列進行小波包分解
分解過程如圖6所示����。其中^表示原始序列占據(jù)的總頻帶空間�����,^表示第 j尺度上的第n個子空間�����。 由圖可知
(7;—1 = t/)"十t/廣1 (1)
對應各子空間的序列用W"表示��,則利用小波分解算法
dK (2)
f (3)
將小波包空l^]逐層細分��。其中A"����、 g"分別是低通、高通分解濾波器系數(shù)�。
分解進行到第L層時,得到^個信號分量����。利用小波包重構算法 《''"=;[1"/'2"+^—2^/'2"+1] (4)
對各信號分量重構,得到最終的信號分量��。其中^�、 ^分別是低通、高通
9重構濾波器系數(shù)����。
用A重新對各信號分量編號,貝ij:
= (5)
圖7為任意截取的一段負載序列經(jīng)DB4小波包三層分解與重構后的結果���。 工程上����,小波包分解與重構可以用以下matlab程序段實現(xiàn) /oad "e麗"肌, %辟實殺辰始教薪文/f源A
戶w;^c(U,'必《^^',7」,i^DS4 z力鍵對嚴始教薪,舞遂療三f^趁包 �����,
:wjwro祈f�����, ,3,77人 A3 =H7 rcoe/", 2/人
/^��,騰,,〃,〃;,%對吝鼓游激
WmMT/te���。M^f'力5��,' 9;%游吝分支存儲為教薪文斧 2.2 ^3o信號的自回歸預測
圖7中���,H3o比較平滑�,較好地體現(xiàn)了負載的周期性,同時保持了與原負載 序列完全相同的變化趨勢且數(shù)值很接近����,對該信號直接用AR線性模型預測。 AR模型的數(shù)學表達式為
X, = #,—1 + 2 +…+ p + ", (6)
其中,^為AR模型的階數(shù)����,^為模型的系數(shù),為待估參數(shù)�,a是白噪聲。 用AR模型預測的最關鍵問題是確定模型階數(shù)及參數(shù)���。本實施例中���,模型的
參數(shù)采用LS (最小二乘)估計法,階采用在一定范圍內(nèi)從低階到高階逐個擬合����,
利用最小信息準則(AIC)確定。
對信號分支#3�。的模型選用^(6),則^3�。信號的自回歸預測可以用以下
matlab程序段實現(xiàn)
/oa^W.tto;X搭W3。游教薪源乂/^/存
10"W (7,%;0—做邀教薪
jc^":/e"人%教幼滯練教薪 賺/t訓咖,���,/六%/鍵全,教蘊 設定微,教
々r f=7. 》r f=_/../ew
W徵鄉(xiāng),
々r A:=/: eW
resw/柳=/^5^/柳+—"-/+^) */欣
%凝扁三萬教薪遂療—2.3 #31~存33信號的支持向量回歸預測
圖7中��,#31~存33的數(shù)值較小����,具有較強的規(guī)律性,對負載周期內(nèi)的波峰����、 波谷也有重要影響。本實施例對其采用支持向量回歸預測�����。
支持向量回歸的基本思想是通過一個非線性映射*將數(shù)據(jù)^映射到高維空 間中�,并在這個高維空間進行線性回歸,則該線性回歸就對應于低維輸入空間 的非線性回歸�。
用D = 表示任意一個分支信號,由,時刻前"個值預測^時刻的值4的問題 可以表示為尋找如下對應關系f ��。
(^FH".義) (7)
對回歸模型的訓練來說�����,由w個訓練樣本就可以構建w-"個訓練樣本對�,即
輸入("'…,"���,對應的輸出為《m輸入(",…,《"),對應的輸出為《+2;...依此 類推�。
下面以#31為例說明具體的算法實現(xiàn)過程�����,#32���、 #33除輸入數(shù)據(jù)不同外��, 步驟均相同����。具體算法歩驟為:
2.3.1數(shù)據(jù)準備����。將采集到的數(shù)據(jù)分為兩部分, 一部分作為訓練數(shù)據(jù)�����,記為 d',W^��,另一部分作為測試數(shù)據(jù)����,記為CK《^��。首先將訓練數(shù)據(jù)以"為步
長組織為學習樣本對"���,^ ,如表1所示����。
表1SVR預測模型學習樣本樣本號輸入樣本輸出樣本
h =《+l
h =《"
,"=4
將原始時間序列數(shù)據(jù)整理為特定格式���。方法為假設sh2.dat的前20個數(shù)據(jù) 如下所示�。
294 302 309 319 325 330 288 291 280 285 305 319 294 303 306 30& 311 314 293 2恥
若以15為預測步長��,則將原始數(shù)據(jù)整理為如下所示格式��,存入文件 sh2-2.dat���。
123081294 23023:309 431953256:3307:288 829 i9:280:to285n3051231913:29430315306
311i302 23093:S19 432553306:2887:291 82809:28510305u3191229413:3031430615308
3H1309 23193:325 43305288 6:2917:280 82859:30510:31912:30313:306308i5311
293i3:t9 23253:330 42885291:285 83059:319102943031230613:3083U15314
296I325 23303:288 42915:2806:2857:305 83199:29410303113061230813:3U1431415293
每一行的含義是用帶序號的15個數(shù)據(jù)�����,預測出的值應該是每行的第一個 數(shù)值�。
2.3.2選取適當?shù)闹С窒蛄繖C模型。支持向量回歸算法主要由核函數(shù)����、損失 函數(shù)和容量控制因子確定���。
目前常用的核函數(shù)有線性核函數(shù)�、多項式核函數(shù)��、高斯徑向基核函數(shù)等����, 從這些核函數(shù)中選擇一個最好的核函數(shù), 一種方法是通過比較各種核函數(shù)的VC 維的上界��,但這種方法要在非線性特征空間計算包含數(shù)據(jù)的超平面的半徑����。另 一種方法是采用Cross validation (交叉校驗)來選擇核函數(shù)及其參數(shù)。免費軟件 包Libsvm就提供了該項功能���。
損失函數(shù)選取Vapnik的s不敏感損失函數(shù)���,M直根據(jù)具體應用的預測精度需 求確定,在滿足精度需求的前提下盡可能選取較大的s值以減少計算量���。
容量控制因子用來控制對超出s的樣本的懲罰程度�����。
本實施例中�����, 〃" &3采用相同的s-sra模型����,令損失函數(shù)5 = 0.1,控制因子 c-ioo�����,核函數(shù)選用最常用的高斯基徑向核函數(shù)且取^ = 50;
2.3.3根據(jù)確定的支持向量拓撲結構�,禾,訓練數(shù)據(jù)集^={《《='訓練模型。 工程上該部分可以直接調用libsvm程序包中的可執(zhí)行文件����,在DOS下完成-
其中,msh2為生成的訓練模型
2.3.4利用測試數(shù)據(jù)集^ = {《}^+1中的數(shù)據(jù)進行單步預測�。 工程上可以如下實現(xiàn)
psh2.dat格式與sh2-2.dat—樣,只是預測值位置可以填寫任意數(shù)字,如下所
0 h254 2:260 3:254 4:252 5:254 6:249 7:245 8:254 9:258 10:264 11:275 12:256 i3:26i i4:27i 15:282 0 1:260 2:254 3:252 4:254 5:249 6:245 7:254 8:258 9:264 10:275 11:256 12:261 13:271 14:282 15:286 0 1:254 2:252 3:254 4:249 5:245 6:254 7:258 8:264 9:275 10:2S6 n:26l 12:271 13:2S2 14:286 15:287 0 2:254 3:249 4:245 5:254 6:258 7:264 8:275 9:2S6 K):加n:27i 12:282 13:286 U:287 15:253
254.94 282.細263,98 255,123 259,053娜,鵬267,014 267,746 247.662 234-913
2.3.5根據(jù)預測結果進行模型評價�。計算預測精度,如果精度滿足預先設定
rsh2.dat為預測結果文件:的閾值�����,則結束算法����,否則調整參數(shù)���,重新訓練模型���。
2.4 5 信號的加權移動平均預測
依然沿用"={《}^表示分支信號,加權移動平均法的預測公式為-
' =o
式中^"表示第"+l個釆樣點的負載預測值�,M為移動平均的項數(shù),即每次預測 需要使用的觀察值的個數(shù),"為對應權值�����。預測時�,"每次向前移動一步,就增 加一個新近數(shù)據(jù)����,去掉一個遠期數(shù)據(jù)���,得到一個新的M個數(shù)的平均數(shù),這樣不斷 地"吐故納新"逐期向前移動�����。
》u采用加權移動平均模型���,移動窗口定為5�����,則工程上可以用以下matlab 程序段實現(xiàn)
w=/", 0���, O.膨0." ,%沒定攻澄
,tw+六/ew 々r/=六附
步鵬 r ��,(7 7譜7 .�,,, d/證WM^U々r,,卩%游鄉(xiāng)條榮存盡 2.5預測值合成算法
預測值合成可^表示為i ^. .
JV+1 = ^(^30�,^+1,》31���,屈�����,力32��,屈����,^33,屈,^n����,iV+i) (9)
其中����,^為線性或非線性函數(shù)。
預測值合成方法很多����,例如可以使用SVR方法對各分支的數(shù)據(jù)進行合成。最簡單的是將各分支預測值直接對應相加����,本實施例釆用該方法��。
三�、 使用基于SVR的主機負載預測方法進行一步預測 該方法與基于小波包的主機負載預測方法的預測算法過程2.3 #31~》33信
號的支持向量回歸預測基本相同���,只是輸入為原始負載序列��,輸出為預測值&+1 �。
四���、 基于SVR的非線性組合預測 基于支持向量回歸的主機負載非線性組合預測的原理為首先確定待訓練
支持向量機的各項參數(shù)�,然后將兩種單項預測的預測結果組成二維的輸入樣本���, 對應的實際負載作為輸出樣本��,用一定數(shù)量的輸入輸出訓練樣本對進行訓練���, 使不同的輸入向量得到相應的輸出值,從而在各單項預測結果與實際負載值之 間建立一種非線性映射關系���,當訓練及測試滿足精度需求后���,該系統(tǒng)就可以應 用于主機負載非線性組合預測��。
該預測算法的主要步驟為
4.1數(shù)據(jù)準備
令if =諷%:1表示收集到的原始主機負載數(shù)據(jù)�,其中^表示數(shù)據(jù)個數(shù)��。以"為
預測步長���,將這些數(shù)據(jù)分別輸入到已訓練好的基于小波包的預測模型和基于 SVR^預fj模型中獲f兩個預測值集合���,表示為
A={A(0}-,》2={40')}-���,其中��,M-iV- ����,為預測值個數(shù)����。
分別將數(shù)據(jù)集合4和A分為兩部分���,
其中����,^和^為訓練數(shù)據(jù)集,4和^2為測試數(shù)據(jù)集����,《為訓練數(shù)據(jù)個數(shù)。
本實施例中����,訓練數(shù)據(jù)文件格式如下 291 1:290. U 2:291.01 308 1:308.2 2:308. 00
其中,1:后面的數(shù)字為用基于小波包方法的預測結果���,2:后面的數(shù)據(jù)是
基于SVR方法的預測結果��,每一行最前面的數(shù)字是實際負載值�。
預測數(shù)據(jù)文件格式如下 0 1:300.11 2:299.91 ■0 1:208.2 2:208.00
4.2.構造訓練樣本
將訓練數(shù)據(jù)以2為步長組織為學習樣本對"�����,X)�����,如表2所示����。 表2 SVR非線性組合預測模型學習樣本
樣本號輸入樣本_輸出樣本
1 x1=A(l),&(l)) 力"("+ l)
152
& (2))
_y2 = + 2)
K
4.3選取適當?shù)闹С窒蛄繖C模型�。按照2.3.2中所述方法�,確定核函數(shù)、損 失函數(shù)和容量控制因子���。
4.4根據(jù)確定的支持向量拓撲結構����,利用訓練樣本訓練模型���。工程上該步驟 實現(xiàn)方法參見2.3.3�����。a a a a
4.5將測試數(shù)據(jù)集& = ^ W《m ��, & = A中的數(shù)據(jù)輸入模型��,進行 單步預測。工程上該步驟實現(xiàn)方法參見2.3.4�����。
4.6根據(jù)預測結果進行模型評價。計算預測精度����,如果精度滿足預先設定的 閾值,則結束算法��,否則調整參數(shù)����,重新訓練模型。 五���、將預測值與實際檢測值比較�����,判斷是否是異常點并采取措施
-水
描述主機正常
值��,記為厶���;
'為所采用預測模
異常檢測采用基于滑動窗口的方式實現(xiàn)。系統(tǒng)需要維護-行為的歷史窗口��,記為^,窗口寬度為T�。攻擊檢測流程為
(1) 初始化異常點計數(shù)器,使異常點數(shù)"=0;
(2) 取檢測時刻^前T個采樣值作為^的初始值�����;
(3) 利用『A中的歷史數(shù)據(jù)進行一步預測�����,獲得^時刻的負載3
(4) 獲取,時刻的實際負載:直�,記為力;
(5) 異常點的判定�����。比較》和力���,看是否滿足以下條件
, -義2.—
其中�����,《W為預先定義的與檢測時刻相關的常數(shù)�����,— 型的最大絕對值誤差�。
如果條件不滿足�,則將歷史窗口^向右滑動一步,使乂進入窗口����,并修改 檢測時刻,<=,+ 1,如果">0����,則執(zhí)行"仁0,轉(3);
如果條件滿足��,則判定該點是負載異常點���,此時���,執(zhí)行"^" + 1,并判斷是
否"的值等于預先設定的異常點;t數(shù)閾值w�����,如果是����,則報警��;否則����,將歷史窗 口^向右滑動一步���,以預測值^代替實際負載值力進入窗口��,并修改檢測時刻 f"+l�����,轉(3)�����。
本實施例只給出了具有兩種單項預測的組合方法����,在實際應用中可以根據(jù) 具體的需求將該機制應用于更多預測方法的組合����。
1權利要求
1.一種基于負載預測的分布式拒絕服務攻擊檢測方法�����,該方法包括對服務器的負載值進行檢測的步驟���,使用檢測值進行負載預測的步驟��,將預測值與實際檢測值比較�����,判斷是否是異常點并采取措施的步驟�,其特征在于,所述使用檢測值進行負載預測的步驟包括1)使用基于小波包的預測方法進行一步預測����,具體步驟為1.1對原始序列進行小波包分解與重構設H(t)表示t時刻之前N個數(shù)據(jù)按時間順序的排列,對原始序列H(t)進行L層小波包分解����,從分解樹中讀取結點(L,0)~(L�����,2L-1-1),(1�,1)的小波包分解系數(shù),構成2L-1+1個信號分量�;對各分支進行單支重構,重構后的2L-1+1個分支與原始序列的長度一致�,記為 和1.2對信號直接用AR線性模型進行預測;1.3對信號進行支持向量回歸預測�,即對各分支分別執(zhí)行1.3.1數(shù)據(jù)準備將該分支數(shù)據(jù)分為兩部分,一部分作為訓練數(shù)據(jù)�,另一部分作為測試數(shù)據(jù),將訓練數(shù)據(jù)以n為步長組織為學習樣本對(xi���,yi)����;1.3.2選取適當?shù)闹С窒蛄繖C模型����;1.3.3根據(jù)確定的支持向量拓撲結構,利用訓練數(shù)據(jù)集訓練模型�����;1.3.4利用測試數(shù)據(jù)集中的數(shù)據(jù)進行預測��;1.3.5根據(jù)預測結果進行模型評價,計算預測精度����,如果精度滿足預先設定的閾值,則結束算法����,否則調整參數(shù),重新訓練模型��;1.4使用加權移動平均法對分支數(shù)據(jù)進行預測����;1.5對各分支預測值進行合成���,獲得最后的預測結果���;2)使用基于SVR的預測方法進行一步預測,具體步驟為2.1數(shù)據(jù)準備將原始負載數(shù)據(jù)分為兩部分�,一部分作為訓練數(shù)據(jù),另一部分作為測試數(shù)據(jù)���,將訓練數(shù)據(jù)以n為步長組織為學習樣本對(xi�����,yi)�;2.2選取適當?shù)闹С窒蛄繖C模型;2.3根據(jù)確定的支持向量拓撲結構����,利用訓練數(shù)據(jù)集訓練模型;2.4利用測試數(shù)據(jù)集中的數(shù)據(jù)進行單步預測�����;2.5根據(jù)預測結果進行模型評價�,計算預測精度,如果精度滿足預先設定的閾值��,則結束算法�����,否則調整參數(shù)����,重新訓練模型;3)使用基于支持向量回歸的非線性組合預測方法對兩項單項預測結果進行組合�����,獲得最終的主機負載預測結果,具體步驟為3.1數(shù)據(jù)準備將原始主機負載數(shù)據(jù)分別輸入到已訓練好的基于小波包的預測模型和基于SVR的預測模型中��,獲得兩個預測值集合�����;3.2將訓練數(shù)據(jù)以2為步長組織為如下表所示的學習樣本對(xi���,yi)���;其中分別為使用基于小波包的預測模型和基于SVR的預測模型獲得的預測值�;3.3選取適當?shù)闹С窒蛄繖C模型;3.4根據(jù)確定的支持向量拓撲結構�,利用訓練樣本訓練模型;3.5將測試數(shù)據(jù)集中的數(shù)據(jù)輸入模型���,進行單步預測����;3.6根據(jù)預測結果進行模型評價�,計算預測精度����,如果精度不滿足預先設定的閾值��,則調整參數(shù)���,重新訓練模型��。
2.1數(shù)據(jù)準備將原始負載數(shù)據(jù)分為兩部分��, 一部分作為訓練數(shù)據(jù)���,另一部 分作為測試數(shù)據(jù),將訓練數(shù)據(jù)以"為步長組織為學習樣本對"�����,^; 2.2選取適當?shù)闹С窒蛄繖C模型��;2.3根據(jù)確定的支持向量拓撲結構����,利用訓練數(shù)據(jù)集訓練模型; 2.4利用測試數(shù)據(jù)集^ = ^"^'中的數(shù)據(jù)進行單步預測; 2.5根據(jù)預測結果進行模型評價�����,計算預測精度����,如果精度滿足預先設定的 閾值,則結束算法���,否則調整參數(shù)����,重新訓練模型��;3) 使用基于支持向量回歸的非線性組合預測方法對兩項單項預測結果進行 組合���,獲得最終的主機負載預測結果,具體步驟為3.1數(shù)據(jù)準備將原始主機負載數(shù)據(jù)分別輸入到已訓練好的基于小波包的預測模型和基于SVR的預測模型中��,獲得兩個預測值集合��;(3.2將訓練數(shù)據(jù)以2為步長組織為如下表所示的學習樣本對"�����,X);<formula>formula see original document page 0</formula>其中4 (i), ^(i)分別為使用基于小波包的預測模型和基于SVR的預測模型獲 得的預測值;(3.3選取適當?shù)闹С窒蛄繖C模型����;(3.4根據(jù)確定的支持向量拓撲結構,利用訓練樣本訓練模型��; 3.5將測試數(shù)據(jù)集中的數(shù)據(jù)輸入模型���,進行單步預測���;(3.6根據(jù)預測結果進行模型評價,計算預測精度�,如果精度不滿足預先設定 的閾值,則調整參數(shù)���,重新訓練模型���。2、根據(jù)權利要求l所述的分布式拒絕服務攻擊檢測方法����,其特征在于��,所 述服務器的負載值采用并發(fā)連接數(shù)作為衡量指標�;對基于TCP的服務�,并發(fā)連接 數(shù)直接取Socket數(shù),對采用UDP非連接協(xié)議的服務�,采用虛擬連接的方式,把五 元組(協(xié)議����,源地址,源端口�,目的地址,目的端口)相同的訪問視為一個連 接�。
全文摘要
本發(fā)明涉及一種基于負載預測的分布式拒絕服務攻擊檢測方法,屬于網(wǎng)絡安全技術領域��。本發(fā)明的方法包括對服務器的負載值進行檢測的步驟����,使用檢測值進行負載預測的步驟,將預測值與實際檢測值比較����,判斷是否是異常點并采取措施的步驟�,其特征在于,所述使用檢測值進行負載預測的步驟包括1)使用基于小波包的預測方法進行一步預測;2)使用基于SVR的預測方法進行一步預測���;3)使用基于支持向量回歸的非線性組合預測方法對兩項單項預測結果進行組合����,獲得最終的主機負載預測結果�。本發(fā)明的檢測方法能夠提高攻擊檢測精度,并有效降低攻擊發(fā)現(xiàn)延時��。
文檔編號H04L12/26GK101494567SQ20081011943
公開日2009年7月29日 申請日期2008年8月29日 優(yōu)先權日2008年8月29日
發(fā)明者姚淑萍, 胡昌振 申請人:北京理工大學