第五章一种基于流量自相似的DDoS攻击检测

1、第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法计算机入侵检测技术一种基于流量自相似性的一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五章 一种基于流量自相似性的一种基于流量自相似性的DDoS攻攻击检测方法击检测方法第一节第一节 引言引言一、介绍一、介绍近年来对计算机网络的研究表明，无论是WAN还是LAN，网络中的业务流在几毫秒至几个小时甚至几天的时间段上，均表现出很强的突发性。而并不同于传统上基于泊松分布的业务流模型。 “自相似性”或者“分形”模型能更好的

2、描述这种业务流特点。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法二本章内容1、以自相似性模型作为网络业务流模型，对自相似性系数及其相关特性、各类自相似业务模型以及各种系数估计方法进行了研究；2、通过实验验证了真实局域网业务流量具有严格的自相似性； 3、比较各种系数估计方法的性能和特点；4、通过实验验证DDoS攻击对自相似性系数的影响；5、并最终在实验数据和分析的基础上给出了DDoS攻击发生和结束的判定条件。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节 网络业务的自相似性网络业务的自相似性一、自相

3、似性一、自相似性定义5.1自相似性（self-similarity）：指一个随机过程在各个时间规模上具有相同的统计特性。网络通信中的自相似性表现在一段较长时间里，单位时间内分组数的统计特性不随时间规模的变化而改变自相似过程具有很多特性，典型的特性包括：第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节网络业务的自相似性网络业务的自相似性1、长程相关LRD（Long-Range Dependence），自协方差函数不可加； 2、随着 时带来的方差的缓慢衰减； 3、重尾分布（Heavy-tailed Distributions），即当 时，存在0，

4、使得 ；4、自相似过程的功率谱密度函数S(w)在 且 时有 5、具有分形维度d。 mm Pr() Xxx0w011() Sww第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节网络业务的自相似性网络业务的自相似性定义5.2分形：一个图形通过变比例（可能是x，y都变比例，变比例的系数可能不同），与原图形相同（自相似），或是分数维。其中分数维是指同一形状图形的拷贝次数的 N.下图的分数维为 图5.1 N3时的分形情况3log22log第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节网络业务的自相似

5、性网络业务的自相似性定义定义5.3图形的自相似：1、一个具有一定形状的图形， 通过变比例（对于宽、高使用同一放大因子），与原图形相同；2、两者的概率特性相同。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节网络业务的自相似性网络业务的自相似性二、自相似性系数计算的示例二、自相似性系数计算的示例下面给出一个通过网络流量计算系数的示例：图5.2为一个局域网中对两周网络流量进行的数据采样，样本均值为3.3789e+005、标准偏差为4.2389e+005。对左图中的取(6000-8000)间的点作为子样本，其均值为3.6231e+005、标准偏差为

6、4.2189e+005，与总样本为同一数量级，但有细微的差别。对子样本变比例，对乘以，对乘以，得到5.2中的右图，使两者同概率特性。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节网络业务的自相似性网络业务的自相似性 图5.2 局域网中网络流量变化及其比例图第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节网络业务的自相似性网络业务的自相似性X2/1H)(mX)()()(krkrm,.)2, 1,.,2, 1(km第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击

7、检测方法第二节第二节网络业务的自相似性网络业务的自相似性定义定义5.5过程 X 被称为是渐近二阶自相似的，且具有自相似系数 ，如果 及 2/1Hmrm, 12) 1 (1)(,.)3 , 2(),(2/1)(22)(kmkkrm第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节网络业务的自相似性网络业务的自相似性尽管存在着大量具有自相似特性的随机模型，但通过与真实业务流量数据比较之后，目前主要有分形布朗运动和分形ARIMA过程，被认为适于作为突发业务建模的随机模型，而且它们都基于分形高斯噪声。 当 时，分形高斯噪声就是具有Hurst系数的严格二

8、阶自相似过程，因其系数简单目前已成为自相似业务建模的主要工具。,.3 , 2 , 1),121(2)(2222kkkkkrHHH15.0 H第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第二节第二节网络业务的自相似性网络业务的自相似性四、网络业务的自相似性四、网络业务的自相似性自相似（Self-Similarity）模型是目前已知的流量模型中，最能描述网络中数据流长程相关性的流量模型。所谓数据流的自相似性，就是网络上的数据流没有一个本质的突发长度，在每个时间规模上，从微秒到分钟，从分钟到小时，突发期由一些突发子周期构成，这些突发子周期又由一些更小的突发

9、子周期构成。 第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第三节第三节 自相似性模型及对自相似性的研究自相似性模型及对自相似性的研究一、一、 常见自相似性业务模型常见自相似性业务模型常见的自相似数据业务模型分为单源和聚合源两类。中单源模型有：Pareto分布、对数正态分布；聚合源模型有：ONOFF模型、分形布朗运动模型、分形高斯噪声模型、分形ARIMA过程模型、分形Lvy过程模型、基于混沌映射的确定性模型。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第三节第三节 自相似性模型及对自相似性的研究自相似性模型及

10、对自相似性的研究1、单源模型 (1) Pareto分布模型 (2)对数正态分布模型2、聚合源模型 (2) ON-OFF模型 (2)分形布朗运动模型 (3)分形高斯噪声模型 (4)分形ARIMA过程模型第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第四节第四节 自相似性系数的估计方法及其讨论自相似性系数的估计方法及其讨论一、自相似性系数的快速估计算法一、自相似性系数的快速估计算法目前，对自相似性Hurst系数进行测量的方法有多种，可大致分为图形法和非图形法两种。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第四节

11、第四节 自相似性系数的估计方法及其讨论自相似性系数的估计方法及其讨论二、图形法二、图形法1、绝对值法（Absolute Value Method）2、方差法（Variance Method）3、 方差冗余法（Variance of Residuals Method）4、R/S法（Rescaled Range Method）5、周期图法 （Period gram Method）第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第四节第四节 自相似性系数的估计方法及其讨论自相似性系数的估计方法及其讨论三、非图形法三、非图形法1、Whittle法（Whittle

12、 Method）2、集合Whittle法（Aggregated Whittle method）3、局部Whittle法（Local Whittle Method）4、小波法（Wavelet Method）第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较一、业务流模型的相关理论研究一、业务流模型的相关理论研究前面已给出常见的自相似数据业务模型，分为单源和聚合源两类，每类又细分为一些具体的种类。其中基于分形布朗运动FBM，以及分形高斯噪声FGN的模型应用最广，Norros给出了基

13、于FGN模型的一些数学表达，并采用数学方法求出了一些近似的排队特性。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较就数学模型而言，自相似模型与传统使用的模型具有明显不同：首先，对于自相似过程，样点均值的方差不随样点个 数的增加呈反比的减少；其次，自相似过程是长相关的，其自相似函数不以指 数形式下降；最后，自相似过程的谱密度 在原点附近符合 噪声分布，而泊松过程的谱密度是集中于原 点附近的。)(ff1第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法

14、攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较二、真实业务流量的数据采集二、真实业务流量的数据采集数据采集工作主要使用Libpcap进行，Libpcap（Packet Capture library）由Berkeley大学Lawrence Berkeley National Laboratory研究院开发，通过直接访问数据链路层，利用了在LINUX中比较成熟的伯克利包过滤器BPF(Berkeley Packet Filter)机制，为应用层程序捕获底层数据包API的代码库。 第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方

15、法攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较三、真实业务流量的三、真实业务流量的Hurst计算和自相似性验证计算和自相似性验证为研究LAN上的业务流量并验证Hurst计算方法，选取在电子科技大学网络中心206室子网网段监测的两周数据。数据为从2002年12月24日0：00am开始到2003年1月4日0：00am为止的所有该子网上传送的数据包的大小（以byte记）（采样间隔1s），监测时间共11天，这些数据基本可以代表LAN中，及LAN-WAN互联时传输的流量业务。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检

16、测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较 图5.3 LAN上两周真实业务流量 1 05 t（ s）第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较将对数据进行期望值规正后，用前面所述的方法进行处理，估计采样序列的Hurst系数。将总数据样本分为94个子样本，每个子样本大小为10000秒（实际时间长度上为2.78小时），然后对每个子样本运用六种方法进行Hurst系数估算，得到 值。H第五章一种基于流量自相似性的第五章一种基于流量自相

17、似性的DDoS攻击检测方法攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较图5.4为使用聚集方差法、R/S法和周期图法得到的值（其中聚集方差法为、R/S法为x、周期图法为+） 0 . 51 . 00 . 60 . 70 . 80 . 92 04 06 08 000 . 4表 示 聚 集 方 差 法表 示 周 期 图 法表 示 R / S 法1 0 0 1 05 t（ s ）Hurst图5.4 运用聚集方差法、R/S法、周期图法得到的H值第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五节第五节 流量数据采集与

18、流量数据采集与Hurst估计方法的比较估计方法的比较以下为其它三种方法计算出的值。1、whittle（fGN）方法，如图5.5所示：Whittle(fGN)法105 t（s）Hurst 图5.5 Whittle（fGN）法得到的H值第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较2、whittle（fARIMA）方法，共94个子样本，其中有4个空值为由奇异阵引起的无解，如图5.6： 图5.6 Whittle（fARIMA）方法得到的H值202040608000.250.50.

19、751.01001.25105 t（s）Hurst第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较3、运用局部Whittle法，如图5.7所示： 图5.7 运用局部Whittle法得到的H值20406080100200.250.50.751.01.250105 t（s）Hurst第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第五节第五节 流量数据采集与流量数据采集与Hurst估计方法的比较估计方法的比较若 时，表示 具有一定程度的自相

20、似性，H的值越大，自相似性越强。若 时，缺乏或不具有自相似性。通过上面的实验可得出以下结论：1、局域网流量具有严格的自相似性；2、对比各种系数估计方法可见： R/S方法较为稳定，Whittle（fGN）次之，周期图法对向高端突变较为灵敏，聚集方差法对向低端突变较为灵敏；局部Whittle也较为灵敏；Whittle（fARIMA）最为灵敏，但Whittle（fARIMA）计算运算量较大，且有部分空值；3、经过以上对比，本课程拟在后面的实验中优先采用R/S法或Whittle法对Hurst系数进行计算，以实现对DDoS攻击的检测。15 . 0 HX5 . 00 H第五章一种基于流量自相似性的第五章一

21、种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现一、根据自相似性系数检测一、根据自相似性系数检测DDoS攻击的可行性攻击的可行性 对于网络业务流量聚合后的特征，根据相关文献有以下两条相关推论： 推论一推论一：当一个数据流具有长程相关性时，多个数据流与之聚合后仍然具有长程相关性，不论加入的其它数据流本身是短程相关还是长程相关的；推论二推论二：同时，聚合数据流的Hurst系数、均值、方差等都会有所改变。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现 根据以上推论，提出以下假设： 在

22、正常网络业务中，来自大量不同数据源的数据之间，通常不具有时间和分组特征方面的相关性，因而不会改变网络流量的自相似性；而DDoS攻击是由MASTER控制大量不同的SLAVES，在同一时段向攻击目标发送大量请求，将会导致其流量模型的相关系数发生变化，并破坏网络流量的自相似性。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现二、二、 实验环境实验环境1、实验环境 图5.8 实验环境示意图A0A4A3A2A1A7A6A5BTAD第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DD

23、oS攻击的实验环境与实现为验证DDoS对自相似性系数的影响，进行了一系列攻击实验，实验环境为：1台100兆交换机，1台路由器（Cisco Catalyst 3550），1台产生背景数据的BT（background Traffic）计算机（Win2K），8台攻击计算机（Win2K），1台用于检测的AD（Attack Detection）计算机（RedHat Linux8.0），其网络拓扑结构图如5.8所示。实验开始后，BT持续提供正常的背景流量，数据流的路由全部指向检测机；攻击开始后，多个攻击机进行攻击协同，在一个时间段内同时向检测机发动DDoS攻击。此时，检测机将接收到来自路由器上的正常流量和

24、攻击流量。 第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现2、攻击类型的选取与实现为简化起见，实验中的攻击类型选取了常见的SYN flood。通过C语言编程实现后，安装于各攻击机上，在攻击开始时同步启动，就能模拟真实的攻击行为了。此外，生成攻击数据还可以采用DDoS工具TFN2k等方式进行。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现3、背景流量的选取为模拟真实情况下的DDoS攻击，对电子科技大学信息中心Web服务器进行了流量数据采样，共

25、进行了40小时。在模拟攻击时，可以将TDF作为真实的背景流量使用，将TDF分为160个子样本，每个子样本大小为900秒，记为TDF1TDF160。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现三、实验准备工作三、实验准备工作1、攻击流量大小：在准备好160个真实背景流量的数据样本之后，在攻击软件中设定了4种不同流量大小的攻击过程，分别为100kBps、500kBps、1MBps、1.5MBps，并记为P1、P2、P3、P4。用于验证在同样背景流量下，不同大小的攻击流量所造成的结果。第五章一种基于流量自相似性的第五章一

26、种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现2、攻击方式：一次真实的DDoS攻击过程可看作如下4种情况，或这4种情况的组合，如图5.9所示。 tttTrafficTrafficTraffictTraffic匀 速 攻 击断 续 攻 击渐 增 攻 击渐 减 攻 击A1A1A2A3图5.9 DDoS攻击方式第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现四、实验过程四、实验过程通过对160个背景流量子样本（TDF1TDF160）、3种攻击方式（A1A3）、4种攻击流量大小（P1P

27、4）进行组合来完成，共160341920次，并采集了1920个攻击过程中的流量数据样本，每个子样本采样时间总长度为900秒（实验数据与背景流量的子样本时间相等）。限于篇幅，本次授课仅从限于篇幅，本次授课仅从1920个数据采样中，任意选个数据采样中，任意选取了子样本取了子样本TDF38，并给出此数据样本下各种攻击方，并给出此数据样本下各种攻击方式和流量大小对自相似性系数式和流量大小对自相似性系数Hurst的影响情况。其余的影响情况。其余子样本的实验分析过程和结论与之类似，故略去子样本的实验分析过程和结论与之类似，故略去。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法

28、攻击检测方法第六节 DDoS攻击的实验环境与实现1、恒定流量的攻击实验（A1）500100150650600600550500450400350300250200200700750800 850900T(s)0.200.40.60.81.01.21.41.6P1P2P3P4背景流量TDF38计算间隔50秒Hurst系数图5.10 背景流量TDF38、攻击方式A1下的Hurst变化第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现2、渐增方式的攻击实验（A2） Hurst系数500100150650600600550500

29、450400350300250200200700750800 850900T(s)0.200.40.60.81.01.21.41.6P1P2P3P4背景流量TDF38计算间隔50秒图5.11 背景流量TDF38、攻击方式A2下的Hurst变化第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现3、渐减方式的攻击实验（A3） Hurst系数500100150650600600550500450400350300250200200700750800 850900T(s)0.200.40.60.81.01.21.41.6P1P2

30、P3P4背景流量TDF38计算间隔50秒图5.12 背景流量TDF38、攻击方式A3下的Hurst变化第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现五、实验分析五、实验分析 对以上3个示例图，及其所代表的所有样本图进行分析，均可得出以下结论：1、在攻击没有发生时（区间为0sT200s)，Hurst系数随时间变化较为平稳，处于0.5到1.0之间，具有较好的自相似性； 2、在攻击发生后的较短时间内，Hurst值将发生较大变化，并跃升至1.0以上，这表示随着攻击的发生，流量的自相似性受到破坏。这一现象符合前面的两条推论，攻

31、击流量加入正常背景流量后，网络的长程相关性不会改变，但在聚合后，新流量的一些系数值会发生改变； 第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现3、攻击持续过程中，Hurst系数值发生较大抖动， H0.5，0.5H1.0都有发生。同时还发现，所有1920个攻击样本的实验数据都显示出一个共同规律，Hurst系数在攻击持续过程中的抖动不会全部集中于0.51.0之间（只有自相似性程度较好的正常流量才应完全符合此条件）。从全部实验样本可得，在攻击持续过程中，Hurst系数在0.51.0之间变化的最大连续时间间隔个数为4，本文将

32、其记为CCmax（continuous count max）。该数值反映了在特定背景流量、特定的攻击方式和大小下，Hurst系数在攻击持续过程中的变化程度，可作为描述攻击持续过程的重要特征参数。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现4、攻击结束后的较短时间内（实验中该时间间隔小于1秒），Hurst系数再次发生较大变化，表示网络流量的自相似性特性再次受到较大影响；5、对于不同大小的攻击流量，其Hurst系数值在攻击发生时，变化幅度有一定差异，表现出攻击流量越大系数抖动越大的现象。这可以解释为不同流量的攻击对网络

33、自相似性系数的影响程度，是随攻击大小成正比关系的。但在本章的实验中，无论攻击大小，此时的Hurst系数都大于1.0；第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现6、对于变速（渐增或渐减）攻击而言，流量逐渐变化对网络自相似性的影响，基本与连续的、恒定速率的攻击区别不大；7、攻击发生和结束时，Hurst系数变化相对较大，其值都达到1.0以上，但在实验过程中，甚至无攻击流量时，Hurst系数本身也有较大抖动。因而不能以此作为攻击发生或结束的准确判断条件；8、由于计算Hurst系数的时间很小，该方法能保证检测的及时性。第五

34、章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现六、六、 DDoS攻击的判决依据攻击的判决依据1、实验原始数据不能直接作为判据 不能直接以Hurst系数作为准确的判据条件，有以下两个原因：在攻击持续过程中所计算出的Hurst系数值，随时间变化很大，并且有时大于1.0或小于0.5；在攻击没有发生、仅有正常流量的情况下， Hurst系数值也会随时间而发生变化，有时还比较大；第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现2、变换计算 进一步分析可知，攻

35、击发生时的Hurst系数变化程度远大于此前一段时间的变化，而在攻击持续过程中，任一时刻的变化程度都不具有此特征，只要能将此本质特征表达出来就可以作为判决依据，方差这一数学工具就能满足以上需求。为此，对原始实验数据进行变换计算，将时刻t的Hurst方差定义为从0到t的所有Hurst系数值的方差，并得出DDoS攻击发生前后Hurst系数方差变化图。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现限于篇幅，本文仅给出方差变化图示例，如下图所示，对其它数据样本进行变换计算后的结果与此类似，这里从略。 图5.13 背景流量TDF

36、38、攻击方式A1下的Hurst方差变化500100 150650600600550500450400350300250200200700 750 800850 900T(s)方差P1P2P3P4背景流量TDF38计算间隔50秒0.010.010.020.020.030.030.040.040.050.050.060.060.070.07第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现 500100 150650600600550500450400350300250200200700 750 800850 900T(s

37、)方差P1P2P3P4背景流量TDF38计算间隔50秒0.010.010.080.080.070.070.060.060.050.050.040.040.030.030.020.020.090.09图5.14 背景流量TDF38、攻击方式A2下的Hurst方差变化第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现 500100 150650600600550500450400350300250200200700 750 800850 900T(s)方差P1P2P3P4背景流量TDF38计算间隔50秒0.0050.0050

38、.010.010.0150.0150.020.020.0250.0250.030.030.0350.0350.040.040.0450.045图5.15 背景流量TDF38、攻击方式A3下的Hurst方差变化第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现3、对变换计算的结果进行分析(1) 在没有攻击发生时，相邻计算时间间隔的Hurst系数方差变化比较平稳；(2) 发生了较大变化，在1920个实验样本数据中，该变化值均大于2倍；(3) 在攻击持续过程中，方差值也随时间有一定变化，但即便在较大情况下也小于1.5倍。对19

39、20个实验样本数据进行全面分析，攻击持续过程中相邻时间间隔的Hurst系数方差变化值没有任何1次大于2倍；第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现(4) 如攻击发生时那样显著，因而不能把方差变化作为结束的判据；(5) 不同大小的攻击流量对方差变化的影响程度不同，在同样背景流量下，方差变化程度与攻击流量的大小成正比；(6) 另外，在Hurst系数已知的基础上，进一步求出系数方差的计算开销不会显著增长。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验

40、环境与实现4、DDoS攻击发生判据 由以上分析可得结论，DDoS攻击发生的判据为：按攻击发生的判据为：按设定时隔，不断对网络流量自相似性系数设定时隔，不断对网络流量自相似性系数Hurst的方差的方差进行计算，当相邻两个时隔的变化超过进行计算，当相邻两个时隔的变化超过2倍时，可判决倍时，可判决为攻击发生。为攻击发生。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现5、DDoS攻击结束判据 攻击结束时，实时判决所存在的困难可以通过延迟判决的方法来加以解决。只要没有新的攻击到达，其Hurst系数由于具有自相似特性，将一直在0

41、.51.0之间变化，不会受到CCmax值的约束，由此可得出DDoS攻击的结束判据。 DDoS攻击的结束判据为：当攻击发生后，如果从攻击的结束判据为：当攻击发生后，如果从某个时刻起，超过系统给定的某个时刻起，超过系统给定的CCmax个计算时隔，个计算时隔，Hurst值的变化都持续保持在值的变化都持续保持在0.51.0，则可判断为攻击，则可判断为攻击结束。结束。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现6、 CCmax值大小的选取 CCmax不应选取过大，这会导致判决的延迟过长以及系统“空转”而引起的开销增加； CC

42、max更不能选取过小，否则会出现系统误判； 权衡以上两个因素，误判的损失远大于增加系统开销所带来的损失。所以在实际防护系统的设计中， CCmax可以在经验值基础上适当加大。 第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第六节 DDoS攻击的实验环境与实现0timeHurst方差攻击发生（a） DDoS攻击发生判据示意图0timeHurst攻击结束攻击发生1.0该时间段内，至少存在一个大于1.0或小于0.5的Hurst值系统所认为的攻击持续过程0.5H1.0的区域（b） DDoS攻击结束判据示意图t t0 0ccccmaxmax该时间段从t0开始，共持

43、续大于ccmax个计算时隔，其间所有Hurst值都介于0.5到1.0之间图5.16 第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性攻击结束判决条件 ：从实验过程、数据和分析可知，攻击的结束判决条件是以网络自相似性定义作为理论依据，并已通过了实验的验证，无需进一步分析。一、发生条件：一、发生条件：1、针对攻击发生时的判决条件的充要性进行研究。从形式逻辑的角度看，与等价应有与互为充要条件，只有在此情况下，满足条件时所做出的结论才是准确的。2、条件是指 “相邻时隔Hurst方差变化大于2倍”，而结论则为“

44、攻击发生”。它们是否互为充要条件？ 3、问题的表述。在并非攻击流量，而是突发的大量正常流量到达时，是否会满足同样的判决条件，这是针对该判决条件虚警率的研究；对于主要针对主机资源耗尽的DDoS攻击，该判决条件是否有效，这是针对该判决条件漏报率的研究；第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性造成主机资源耗尽的DDoS攻击，可能出现漏判。与判决条件吻合的DDoS攻击。非已知DDoS攻击类型的其它流量，可能出现误判。图5.17 判决条件的有效性第五章一种基于流量自相似性的第五章一种基于流量自相似性的D

45、DoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性二、虚警情况的研究二、虚警情况的研究1、数据采集 主要针对大量正常流量到达对Hurst系数方差变化造成的影响，进行了相关实验和分析。为此，采集了两组大流量的正常数据样本，一组是在电子科技大学信息中心对Web服务器访问高峰期进行的流量数据采样数据采集时间2.5小时，即9000秒，并将其分解为20个正常流量的数据样本（Natural Data File）NDF120，每个450秒，这部分数据可作为中等正常网络流量的代表；另一组是对电子科技大学出口流量的高峰期进行的流量数据采样，数据采集时间2.5小时，即9000秒，

46、并将其分解为20个正常流量的数据样本（Natural Data File）NDF2140，每个450秒，这部分数据可作为较大正常网络流量的代表。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性2、实验过程与结果 将NDF140分别叠加到背景流量TDF1TDF160中，叠加方法为当TDF开始450秒后，再将NDF叠加上去，实验共进行401606400次。计算每次开始叠加时相邻时隔Hurst方差的变化情况，共记录了6400个样本数据，并按照背景流量样本TDF为序作图，共160幅。分析实验数据可知，在所有1

47、60幅图的6400个方差变化数据中，仅在TDF74与NDF7以及TDF133 与NDF32进行叠加时出现了方差值略大于2倍的情况，前者为2.23，后者为2.11，其余的6398个方差变化倍数值均小于2.0。限于篇幅，仅列出TDF74和TDF133的情况，其余样本图从略。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性NDF1背景流量样本TDF740.400.81.21.62.02.420191817161514131211109NDF8NDF7NDF6NDF5NDF4NDF32Hurst方差变化情况N

48、DFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDF222123 242530292827263433323138373635NDF39 40图5.18各正常流量样本数据与背景流量TDF74开始叠加的Hrust方差变化情况实验结果如下图所示第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性实验结果如下图所示：图5.19 各正常流量样本数据与背景流量TDF133开始叠加

49、的Hrust方差变化情况NDF1背景流量样本TDF740.400.81.21.62.02.420191817161514131211109NDF8NDF7NDF6NDF5NDF4NDF32Hurst方差变化情况NDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDFNDF222123 242530292827263433323138373635NDF39 40第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻

50、击发生的有效性判决攻击发生的有效性3、通过分析可知：（1）当较大的突发正常流量到达时，绝大部分情况下相邻时隔的Hurst系数方差变化在1.4倍以下，在极为个别的情况下变化倍数值超过了2.0。如果使用本章的判决条件，该情况即为误判。如果将误判率定义为误判次数与叠加后的总测试次数的比值，则在本实验中的误判率为0.000625（2/3200），由此可知该判决条件的误判率很小；（2）对以上情况进行分析，突发的正常流量加入网络后不会从根本上改变原有背景流量的相关性，这一点与DDoS攻击发生时不同，前者相关性较弱，而后者由于DDoS攻击的发生机制而相关性较强。因此，本章给出的判决条件可以区分流量的增加是正

51、常流量的到达还是DDoS攻击的发生；第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性（3）进一步分析发现，误判存在着三种可能性。其一，该判决条件本身就存在一定的误判率；其二，因误差而出现的误判，对于这样的情况可通过提高实验精度来加以解决；其三，在个别情况下，当正常流量的突发性达到某个程度时，相关性可能会受到较大改变，甚至类似于DDoS攻击，对于这样的情况（即突发的正常流量造成了拒绝服务效果），该判决可视为正确的判决结果；从本章实验结果可以看出，该判决条件具有很小的误判率，因此不会影响到检测的有效性。第

52、五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性三、三、 漏判情况的研究漏判情况的研究下面再考虑漏判的情况，对于造成主机资源耗尽的DDoS攻击类型（如半连接等），由于这类攻击并未通过大流量来造成网络拥塞，而可能是通过发送多个小数据包消耗主机资源来达到攻击效果，所以在其攻击过程中的网络流量变化不会太大，是否能按本章的方式进行判决需要进一步考虑。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法第七节第七节 判决攻击发生的有效性判决攻击发生的有效性结论：由以上分析可见，本节所提出的判据对引起流量变化较大的DDoS攻击具 有较好适用性，并具有较小的误判和漏判率，而对于主机资源耗尽类型的攻击判决条件还需要作进一步的实验和研究工作。第五章一种基于流量自相似性的第五章一种基于流量自相似性的DDoS攻击检测方法攻击检测方法附:参考文献1. 陈惠民，蔡弘，李衍达，“自相似业务：基于多分辨率采样和小