《电子技术应用》

实时的移动互联网攻击盲检测与分析算法

2018年电子技术应用第3期
史二颖1,王 正2
(1.常州机电职业技术学院,江苏 常州213164;2.南京大学 电子科学与工程学院,江苏 南京210093)
摘要: 大规模移动互联网攻击检测算法需要攻击行为的先验信息或者需要对攻击行为进行监督学习,降低了攻击检测算法的实时性与实用性,为此提出了一种实时的移动互联网攻击盲检测与分析算法。首先,提取每个时段网络流量的最大特征值,结合最大特征值与模型阶数选择技术检测每个时段是否存在攻击行为;然后,通过特征值分析技术来识别攻击的类型,识别出特征值的变化细节;最终,设计了相似性分析方案来分析攻击的端口与时间等细节信息。基于真实实验与公开网络流量数据集的仿真结果表明,该算法获得较高的攻击检测准确率。

Real-time attacks blind detection and analysis algorithm of mobile internet network

Shi Erying1,Wang Zheng2
(1.Changzhou Vocational Institute of Mechatronic Technology,Changzhou 213164,China; 2.School of Electronic Science and Engineering,Nanjing University,Nanjing 210093,China)
Abstract: Attack detection algorithms of large scale mobile internet network need the prior information of attack behaviors or supervised learning to attack behaviors, so these algorithms is not real time and applicable, a real-time attacks blind detection and analysis algorithm of mobile internet network is proposed to handle that problems. Firstly, the largest eigenvalues for all time frames are extracted, the attack behaviors of each time frame are detected by analysis combined largest eigenvalues with model order. Then, the types of detections are analyzed by eigenvalues analysis technique, and the variations details of the eigenvalues are identified. Lastly, similarity analysis schema are designed to analyze the detail information, such as port count and time. Simulation results based on the real experiment and public network traffic dataset show that the proposed algorithm realizes a good attack detection accuracy.

    中图分类号: TN91;TP393

    文献标识码: A

    DOI:10.16157/j.issn.0258-7998.172314


    中文引用格式: 史二颖,王正. 实时的移动互联网攻击盲检测与分析算法[J].电子技术应用,2018,44(3):89-93.

    英文引用格式: Shi Erying,Wang Zheng. Real-time attacks blind detection and analysis algorithm of mobile internet network[J]. Application of Electronic Technique,2018,44(3):89-93.

0 引言

    移动互联网的攻击事件可以按照攻击意图分为4种类型:DoS攻击(拒绝服务攻击)[1]、R2L攻击(远程用户攻击攻击)[2]、U2R攻击(提权攻击)[2]、Probe攻击(扫描端口攻击)[3]分布式拒绝服务攻击(DDoS)是一种分布式的DoS攻击技术[4],现有的攻击检测算法大多采用监督学习的算法来确定正常行为与异常行为的分类标记,但监督学习类算法在检测之前需要进行复杂的学习过程,极大地降低了系统的实时性[5]。文献[6]提取攻击流量并将流量建模为一个盲源分离过程,提出了基于快速ICA(Independent Component Analysis)的攻击流特征提取算法,该方案对于RoQ具有较高的检测准确率,但对于其他类型的攻击没有效果。文献[7]设计了使用信号处理技术建模网络流量的时间帧,该方案实现了异常网络流量的盲检测,但是无法分析与识别攻击的具体类型与细节信息。

    当前的移动互联网规模极大,对网络攻击技术的计算效率与检测准确率均具有极高的要求,本文设计了移动互联网的实时盲检测与识别算法。将特征分析技术与模型阶数选择技术融合,无监督地检测网络攻击的时段;然后,设计了实时的相似性分析算法,分析网络攻击的类型、端口等细节信息。基于公开网络数据集进行了实验,结果证明本算法实现了较高的检测准确率与合理的计算时间。

1 网络攻击的检测与分析技术

    图1所示是本文网络攻击检测与分析技术的流程框图,具体步骤:(1)提取每个时段的最大特征值;(2)结合最大特征值与模型阶数选择技术来检测该时段是否存在攻击行为;(3)通过特征值分析来识别攻击的类型;(4)设计了相似性分析方案来分析攻击的细节信息。

tx3-t1.gif

1.1 数据模型

    本文采用文献[7]的数据模型,将网络流量数据集建模为信号累加形式,假设网络流量为X,合法流量为U,噪声为N,异常流量为A,则可获得下式:

tx3-gs1.gif

1.2 时间帧的最大特征

tx3-gs2-4.gif

tx3-gs5-9.gif

1.3 模型阶数选择技术

tx3-1.3-x1.gif

1.4 特征值分析

tx3-1.4-x1.gif

     tx3-1.4-x2.gif

    随后应当分析攻击的更多细节信息,设计了余弦相似性分析技术来度量合法流量与异常流量。

1.5 特征相似性分析

    使用余弦相似性度量V(q)的最显著特征向量与受攻击时段最显著特征向量之间的相似性。

1.5.1 时间相似性分析

    合法流量与恶意流量的余弦相似性计算为:

tx3-gs10-12.gif

    图2所示是将网络流量添加到特征向量尾端的相似性叠加方案实例。根据式(10)计算sn值,如果sn=1,那么两个特征向量完全相似,即未检测到异常,sn值越小表示相似性越低。定义一个相似性阈值l,如果sn<l,表示在第n分钟检测到网络攻击,因此,是否存在攻击行为的计算方法为:

tx3-gs13.gif

tx3-t2.gif

1.5.2 端口相似性分析

tx3-gs14.gif

2 实验与结果分析

2.1 真实场景的实验与结果分析

2.1.1 实验环境与参数设置

    实验的时长为120 min,分为6个时段,每个时段为20 min,每个采样周期的时间(时隙)是1 min,因此N=20。为每个时段q建立一个流量矩阵tx3-2.1.1-x1.gif协方差为tx3-2.1.1-x2.gif(式(3)),采样的协方差矩阵为tx3-2.1.1-x3.gif其中q=1,2,…,6。

    实验开始于14:00,第一个时段从14:00~14:20(q=1),每20 min为一个时段,网络共设置5个端口。实验过程中合法用户进行合法的访问,攻击者的攻击行为如下:在14:54对端口1进行一个端口扫描攻击,在15:10~15:20对端口1进行synflood攻击,在15:30~15:40对端口1进行fraggle攻击。

2.1.2 实验结果与分析

    本算法获得网络流量每个时段的最大特征值,通过流量的特征值分析网络的攻击行为,观察攻击行为的特征值变化。图3所示为根据网络流量的协方差矩阵计算的特征值,用以检测synflood攻击行为。图3中显示端口1在第4个时段的特征值明显高于其他时段、其他端口的特征值,与实验中发动synflood攻击的时间吻合。

tx3-t3.gif

    图4所示为根据网络流量的协方差矩阵计算的特征值,用以检测fraggle攻击行为。图4中显示端口1在第5个时段的特征值明显高于其他时段、其他端口的特征值,与实验中发动fraggle攻击的时间吻合。

tx3-t4.gif

    图5所示为根据网络流量的协方差矩阵计算的特征值,用以检测端口扫描攻击行为。图5中显示端口1在第3个时段的特征值明显的高于其他时段、其他端口的特征值,与实验中发动端口扫描攻击的时间吻合。

tx3-t5.gif

    表1所示是6个时段对于端口扫描攻击、synflood攻击与fraggle攻击检测的最大特征值,从表中可看出,在q=4,发生了synflood攻击,此时的最大特征值约为第二大特征值的21倍;在q=5,发生了fraggle攻击,此时的最大特征值约为第二大特征值的29 000倍。在q=3,发生了端口扫描攻击,此时的最大特征值约为第二大特征值的4倍。

tx3-b1.gif

    从表1的结果,可看出攻击行为导致最大特征值与其他特征值具有显著的差异。采用样本协方差矩阵建模synflood攻击的特征值,采用零均值的协方差矩阵建模端口扫描攻击的特征值。

2.2 基于DARPA公开数据集的实验

    基于公开的DARPA 1998数据集[11]进行攻击检测实验,DARPA数据集包含7个星期网络流量的原报文数据,将流量与标记的攻击按照日期分组。对每天24小时的网络流量均进行攻击检测与分析,将24小时的网络流量分为Q个时段,每个时段为60 min(N=60)。对于每个时段q,计算该时段的流量矩阵tx3-2.2-x1.gif实验流量数据的端口号分别为20,21,22,23,25,79,80,88,107,109,110,113,115,143,161,389,443。

    因为本文主要检测与分析synflood攻击与端口扫描攻击,所以统计了这两个攻击的检测准确率结果。采用TP[12]、FP[12]与误检率[13]3个指标评估攻击检测的准确率,文献[14]是近年一种基于统计分析的攻击检测算法,与本算法较为接近;文献[15]是一种基于扩散小波的攻击检测算法,该算法对端口扫描攻击具有较好的效果。

    表2所示是攻击检测的实验结果。本算法对于synflood攻击的TP值、FP值与误检率分别为100%、6%与5%,而文献[14]的TP结果为82%,明显低于本算法。虽然本算法具有一定的误检率与FP值,但是均较小。本算法对于端口扫描攻击的TP值、FP值与误检率分别为76.92%、8.52%与3.73%,而文献[15]的TP结果为63.00%,略低于本算法。

tx3-b2.gif

3 结束语

    本文设计了移动互联网的实时盲检测与识别算法。将特征分析技术与模型阶数选择技术融合,无监督地检测网络攻击的时段;然后,设计了实时的相似性分析算法,分析网络攻击的类型、端口等细节信息。最终,基于真实实验与公开网络流量数据集的实验结果证明了本算法对于synflood攻击与端口扫描攻击表现出了较好的效果。

参考文献

[1] 李昆仑,董宁,关立伟,等.一种改进Kohonen网络的DoS攻击检测算法[J].小型微型计算机系统,2017(3):450-454.

[2] 康松林,刘乐,刘楚楚,等.多层极限学习机在入侵检测中的应用[J].计算机应用,2015,35(9):2513-2518.

[3] 王辉,刘淑芬,张欣佳.信息系统“Insider threat”分析及其解决方案[J].吉林大学学报(工学版),2006,36(5):809-813.

[4] 姜华林,李立新,黄平,等.有效防御DDoS攻击的密钥交换协议的设计研究[J].西南师范大学学报(自然科学版),2009,34(2):127-131.

[5] 杨晓峰,李伟,孙明明,等.基于文本聚类的网络攻击检测方法[J].智能系统学报,2014(1):40-46.

[6] 荣宏,王会梅,鲜明,等.基于快速独立成分分析的RoQ攻击检测方法[J].电子与信息学报,2013,35(10):2307-2313.

[7] TENORIO D,COSTA J,JUNIOR R S.Greatest eigenvalue time vector approach for blind detection of malicious traffic[C].The Eighth International Conference on Forensic Computer Science,2013:46-51.

[8] JIN S,YEUNG D S.A covariance analysis model for DDoS attack detection[C].IEEE International Conference on Communications.IEEE,2004,14:1882-1886.

[9] LAKHINA A,CROVELLA M,DIOT C.Mining anomalies using traffic feature distributions[C].Conference on Applications,Technologies,Architectures,and Protocols for Computer Communications.ACM,2005:217-228.

[10] TENORIO T,BITTENCOURT I I,ISOTANI S,et al.Dataset of two experiments of the application of gamified peer assessment model into online learning environment MeuTutor[J].Data in Brief,2017,12(C):433-437.

[11] OSANAIYE O,CHOO K K R,DLODLO M.Distributed denial of service(DDoS) resilience in cloud:Review and conceptual cloud DDoS mitigation framework[J].Journal of Network & Computer Applications,2016,67(C):147-165.

[12] SENN S.Review of Fleiss,statistical methods for rates and proportions[J].Research Synthesis Methods,2011,2(3):221-222.

[13] BHUYAN M H,BHATTACHARYYA D K,KALITA J K.Network anomaly detection:Methods,systems and tools[J].IEEE Communications Surveys & Tutorials,2014,16(1):303-336.

[14] CAMACHO J,PEREZ-VILLEGAS A,GARCIA-TEODORO P,et al.PCA-based multivariate statistical network monitoring for anomaly detection[J].Computers & Security,2016,59:118-137.

[15] SUN T,TIAN H.Anomaly detection by diffusion wavelet-based analysis on traffic matrix[C].2014 Sixth International Symposium on PAAP,2014:13-15.



作者信息:

史二颖1,王  正2

(1.常州机电职业技术学院,江苏 常州213164;2.南京大学 电子科学与工程学院,江苏 南京210093)

继续阅读>>