一种基于信息干扰的DDoS攻击中僵尸主机检测方法

摘要

本发明公开了一种基于信息干扰的DDoS攻击中僵尸主机检测方法，包括以下步骤：S1、对于每一个待选特征，采用一个均值、方差和最大容许值的三元组表示；S2、选择出符合要求的待选特征；S3、构造干扰报文，同时计算干扰报文的发送速率；S4、统计待检测主机在所有特征上的用户流量均值，比较每个特征的用户流量均值与所有用户流量均值之间的差值，判断该差值的绝对值是否大于或等于预设阈值，若所有特征均满足条件则判定待检测主机为僵尸主机，否则判定为正常主机。本发明提供了一种先干扰后检测的思路，能有效地检测出具有一定学习能力的僵尸主机，弥补了对于具有一定学习能力的DDoS攻击机制检测方面的不足，为检测更加先进和巧妙的DDoS攻击提供了思路。

说明书

技术领域

本发明属于网络安全技术领域，特别涉及一种基于信息干扰的DDoS攻击中僵尸主机检测方法。

背景技术

分布式拒绝服务攻击(Distributed Denial of Service attack,DDoS)是攻击者通过控制大量僵尸主机，对一个或多个目标同时发动攻击，通过消耗攻击目标的服务资源或网络带宽,使其不能对正常用户请求进行处理和响应。随着网络技术的不断发展，也为DDoS攻击的发展提供了许多便利条件，DDoS攻击强度以及发生次数逐年上升。2018年DDoS攻击峰值流量已达1.7Tbps，并且据Imperva公布的资料显示，在2019年4月的一起DDoS攻击事件中，DDoS攻击强度已达580Mpps(packets per second)，而中国是DDoS攻击多发国家。由于DDoS攻击强度的不断提高，同时随着近些年各种新型网络技术以及人工智能技术的发展，DDoS攻击机制愈发复杂和精细，其隐蔽性也不断提高，为DDoS攻击检测及缓解带来了巨大的挑战。

现有检测机制大多利用已存在的DDoS攻击机制固有特点进行检测，例如通过一些报文级的特征或流级的特征，分析攻击流量和正常流量在这些特征上的区别，使用设定的阈值进行检测，此外还有一些研究通过分析流之间的相关性进行DDoS攻击检测。但对于这些检测方案，随着DDoS攻击技术的发展，攻击者通过优化其攻击机制并更加精巧地构造攻击报文可以有效躲避检测。此外，由于DDoS攻击洪泛流量在从源端向目的端传输的过程中会消耗路径上的许多资源，例如处理时间，带宽资源等。因此DDoS攻击检测的目标是尽量早的检测出攻击的发生，这对于攻击的缓解和节约资源以及维护网络稳定都具有重要意义，因此检测机制应当尽量部署在靠近攻击源的位置，做到早发现，早预警。而由于DDoS攻击机制的特点：一般是通过控制大量僵尸主机同时向攻击目标发送攻击报文，DDoS攻击流量从源端到目的端呈现出不断汇聚的特点，在目的主机端会接收到所有汇聚而来的攻击流量，因此在目的主机端进行攻击检测相对于在攻击源端进行检测较为容易，因此现有检测方案也大多部署在攻击目的端。通常当检测到网络中发生DDoS攻击时，最佳的做法是断开和僵尸主机的连接或对来自僵尸主机的报文直接丢弃，不进行任何处理。因此识别出网络中的僵尸主机对于DDoS攻击的缓解具有重要意义，而现有的检测方案大多只能检测出网络中是否发生了攻击，不能有效识别出存在的僵尸主机。

因此，针对DDoS攻击发展趋势，设计出可部署在攻击源端，能有效识别出网络中僵尸主机的DDoS攻击检测方法对于提高网络安全性具有重要的意义。

发明内容

本发明的目的在于克服现有技术的不足，提供一种可以部署在DDoS攻击源端的检测方案，达到了早发现早报警的目标，在时间上能较早地检测出发生的攻击，为攻击的防御和缓解抢占了先机的基于信息干扰的DDoS攻击中僵尸主机检测方法。

本发明的目的是通过以下技术方案来实现的：一种基于信息干扰的DDoS攻击中僵尸主机检测方法，包括以下步骤：

S1、分析和统计网络中正常流量在各待选特征上的均值和方差，分析得到各待选特征的最大容许值；对于每一个待选特征，采用一个均值、方差和最大容许值的三元组表示；并将各个待选特征组成一个待选特征集合；

S2、根据待检测主机所在网络的最大带宽、待检测主机所在网络当前流量以及可容许的最大错检率从待选特征集合中选择出符合要求的待选特征；

S3、计算步骤S2中选择出的每一个待选特征在其均值基础上所需的偏移值，并得到各待选特征的设定值以此来构造干扰报文，同时计算干扰报文的发送速率；

S4、向待检测主机发送干扰流量，统计待检测主机在所有特征上的用户流量均值，比较每个特征的用户流量均值与所有用户流量均值之间的差值，判断该差值的绝对值是否大于或等于预设阈值，若所有特征均满足条件则判定待检测主机为僵尸主机，否则判定待检测主机为正常主机。

进一步地，所述步骤S2具体实现方法为：记从步骤S1中得到n个待选特征，第i个特征的三元组表示为其中n表示待选特征的个数，μ_i表示第i个特征在收集到的正常用户流量中的均值，表示第i个特征在收集到的正常用户流量中的方差，v_maxi表示第i个特征的最大容许值；记可容许的最大错检率为p，即将一个正常主机判定为僵尸主机的概率最大为p；待检测主机所在网络的最大带宽为B_max，待检测主机所在网络当前流量速率为B_c；

步骤S2包括以下子步骤：

S21、将n个特征按其方差大小升序排序，得到已排序待选特征集合F_asc＝(f₁,f₂,...,f_n)，初始化选择出的特征集合

S22、将F_asc中还未加入特征集合F_selected的第一个特征f_j加入F_selected，并由下式计算得到选择特征f_j后的错检率保证ε_j：

其中，1≤j≤n；

S23、由集合F_selected＝(f₁,...,f_m)中各特征对应的错检率保证参数计算整体的错检率保证：

1≤m≤n，1≤k≤m；

若ε_now≤p则输出选择出的特征集合F_selected并执行步骤S3，否则返回步骤S22。

进一步地，所述步骤S3具体实现方法为：记F_selected中特征f_k在其均值μ_k的基础上需要添加的偏移值为Δ_k，干扰报文发送速率为γ；待检测主机以速率γ发送由特征为F_selected且各特征值为FV_send＝(μ₁+Δ₁,...,μ_m+Δ_m)构造的干扰报文；

步骤S3包括以下子步骤：

S31、建立特征偏移值和干扰报文发送速率最优化模型：为保证干扰报文的隐蔽性并最大程度地降低对网络的负担，应使Δ_k以及γ最小，即：

S32、确定最优化模型的约束条件，包括网络带宽约束、错检率约束和基本物理含义约束；

S33、根据约束条件求解最优化模型，得到最优的各特征偏移值及攻击报文发送速率。

进一步地，所述步骤S33包括以下步骤：

S331、定义障碍函数：

其中

S332、选取优化模型可行域内初始点初始惩罚因子r₁＞0，递减系数C＜1，允许计算精度ε₁,ε₂＞0，置k＝1；

S333、以为初始点，用Powell修正算法求解障碍函数的最优解

S334、检验迭代终止准则，如果满足

和

则停止迭代计算，就是所求的最优解，否则转入下一步；

S335、置r_k+1＝Cr_k，k＝k+1，返回步骤S333；

S336、求解出的最优解用和γ^*表示，得到F_selected中各特征f_k的最优偏移值后，将每个干扰报文的f_k特征设为并以速率γ^*发送。

进一步地，所述步骤S333中，用Powell修正算法求解障碍函数最优解的具体算法为：

S3331、取初始点收敛精度ε，置初始方向组为m+1个坐标轴单位向量

S3332、从出发，依次沿方向进行直线搜索，得到点

S3333、找出使函数值下降最多的那个方向并计算出函数值在这个方向上的下降量κ；

S3334、从出发，沿方向进行直线搜索得

S3335、检验是否已满足终止准则：若此式成立，则停止计算，得出最优解为否则转S3336；

S3336、若则用新方向替换即对i＝j,j+1,...,m置并置否则仍用原来的m+1个搜索方向，转步骤S3337；

S3337、置返回步骤S3332。

本发明通过先干扰后检测的思路进行DDoS攻击中僵尸主机的识别，先通过分析网络中正常用户流量在各待选特征上的均值和方差，并以此为依据选择出可以有效控制错检率的特征集，通过在选择出的各特征均值的基础上加上一个偏移量用于构造干扰报文。由于僵尸主机攻击机制的特点，受到干扰流量的影响后，其发送的流量在这些特征上的分布均值会发生变化，而网络中正常用户的行为不会受到干扰流量影响，因此僵尸主机流量和正常主机流量在这些特征上的分布均值会出现区别，最后通过分析待检测主机流量在这些特征上的偏移量是否大于设定门限从而进行僵尸主机的识别。本方案实现了根据网络状态动态地进行特征选择，并通过最优化模型解决了攻击报文各特征设定值大小以及报文发送速率大小的问题，通过此方法能有效地进行DDoS攻击中僵尸主机的识别。本发明的有益效果为：

(1)本发明提供了一种先干扰后检测的思路，能有效地检测出具有一定学习能力的僵尸主机，弥补了对于具有一定学习能力的DDoS攻击机制检测方面的不足，为检测更加先进和巧妙的DDoS攻击提供了思路；

(2)本发明提供了一种可以部署在DDoS攻击源端的检测方案，达到了早发现早报警的目标，在时间上能较早地检测出发生的攻击，为攻击的防御和缓解抢占了先机；

(3)本发明在检测网络中是否发生DDoS攻击的同时能识别出网络中存在的僵尸主机，对于攻击的缓解极具意义。

附图说明

图1为本发明的实施例提供的网络场景图；

图2为基于信息干扰的DDoS攻击中僵尸主机检测方法的流程图。

具体实施方式

随着网络技术的发展，DDoS攻击机制也愈发先进和巧妙，若攻击者在发动攻击前可以使各个僵尸主机先收集网络中用户流量，并提取每个收集的用户报文的特征形成正常报文模式并以此组成一个仿真字典，在构造攻击报文时随机均匀地从仿真字典中选择一个正常报文模式来构造攻击报文。在发动攻击时，让各僵尸主机同时向攻击目标以变速率发送攻击报文，达到拒绝服务攻击的目的。针对这种具有一定学习能力的变速率DDoS攻击，本发明提供了一种可以部署在源端的，通过先干扰再检测的DDoS攻击检测方法，通过此方法还可以有效识别出网络中存在的僵尸主机。下面结合附图进一步说明本发明的技术方案。

如图1所示，若网络中存在若干僵尸主机，在发动攻击前各个僵尸主机先收集网络中用户流量，并提取每个收集的用户报文特征形成正常报文模式并以此组成一个仿真字典，在构造攻击报文时随机均匀地从仿真字典中选择一个正常报文模式来构造攻击报文。在发动攻击时，各僵尸主机同时向攻击目标以变速率发送攻击报文，达到拒绝服务攻击的目的。为了检测具有这种攻击特点的僵尸主机：

如图2所示，一种基于信息干扰的DDoS攻击中僵尸主机检测方法，包括以下步骤：

S1、分析和统计网络中正常流量在各待选特征上的均值和方差，分析得到各待选特征的最大容许值；对于每一个待选特征，采用一个均值、方差和最大容许值的三元组表示；并将各个待选特征组成一个待选特征集合；检测主机可以通过使用一些网络嗅探工具得到当前网络状态下的一些正常用户流量，然后对这些正常用户流量在各特征上的取值进行统计分析，这里的特征可以是报文级别的特征，例如报文头部一些字段的取值，如IP数据报头部的首部长度、总长度、标识、片偏移和生存时间等。统计得到各特征的均值和方差，同时可以根据具体协议要求或者网络实际情况确定出各特征的最大容许值，例如由于IP协议的限定，IP数据报中生存时间字段最大值为255。

S2、根据待检测主机所在网络的最大带宽、待检测主机所在网络当前流量以及可容许的最大错检率从待选特征集合中选择出符合要求的待选特征；具体实现方法为：记从步骤S1中得到n个待选特征，第i个特征的三元组表示为其中n表示待选特征的个数，μ_i表示第i个特征在收集到的正常用户流量中的均值，表示第i个特征在收集到的正常用户流量中的方差，v_maxi表示第i个特征的最大容许值；为了防止检测时将正常主机判定为僵尸主机的概率过大，这里需要设定一个容许的最大错检率，记为p，其含义是在进行检测时，将一个正常主机判定为僵尸主机的概率最大为p；待检测主机所在网络的最大带宽为B_max，待检测主机所在网络当前流量速率为B_c；

若将每一个特征看作一个随机变量X_i(1≤i≤n)，则由切比雪夫不等式，当某一个报文在特征X_i(1≤i≤n)上的取值与其均值μ_i相差大于Δ_i的概率小于即：

因此，在发送干扰流量时，若选择一个特征f_i(1≤i≤n)并将其取值设定为容许的最大值v_maxi同时以容许的最大速率B_max-B_c(其中B_max表示待检测主机所在网络的最大带宽，B_c表示网络中当前流量速率)发送时，僵尸主机受到干扰流量的影响，其发送流量在特征f_i上的取值为：

与此特征均值μ_i的偏差为而网络中正常主机发送的流量在此特征上取值达到此偏移的概率低于

通过上述分析，得到步骤S2的具体算法包括以下子步骤：

S21、将n个特征按其方差大小升序排序，得到已排序待选特征集合F_asc＝(f₁,f₂,...,f_n)，初始化选择出的特征集合

S22、将F_asc中还未加入特征集合F_selected的第一个特征f_j加入F_selected，并由下式计算得到选择特征f_j后的错检率保证ε_j：

其中，1≤j≤n；

S23、由集合F_selected＝(f₁,...,f_m)中各特征对应的错检率保证参数计算整体的错检率保证：

1≤m≤n，1≤k≤m；

若ε_now≤p则输出选择出的特征集合F_selected并执行步骤S3，否则返回步骤S22。

S3、选择出可使用的特征集后，可以通过这些特征构造干扰报文：计算步骤S2中选择出的每一个待选特征在其均值基础上所需的偏移值，并得到各待选特征的设定值以此来构造干扰报文，同时计算干扰报文的发送速率；

具体实现方法为：记F_selected中特征f_k在其均值μ_k的基础上需要添加的偏移值为Δ_k，使其区别于正常用户流量在这些特征上的分布规律；干扰报文发送速率为γ；待检测主机以速率γ发送由特征为F_selected且各特征值为FV_send＝(μ₁+Δ₁,...,μ_m+Δ_m)构造的干扰报文；

为了根据当前网络实际情况确定各特征偏移值Δ_k(1≤k≤m)以及干扰报文发送速率γ的最佳取值，需要通过最优化模型进行求解，具体包括以下子步骤：

S31、建立特征偏移值和干扰报文发送速率最优化模型：为保证干扰报文的隐蔽性并最大程度地降低对网络的负担，应使Δ_k以及γ最小，即：

其中0≤α≤1，这里需要同时最小化特征的偏移值和干扰报文发送速率两个不同的量，通过参数α可以对这两个量设定不同的优化权重，α越大，表示对干扰报文的隐蔽性重视程度越高，对降低网络负担的重视程度越低。α的具体值可以由用户根据实际情况确定。

S32、确定最优化模型的约束条件，由于网络实际情况和各特征具体含义要求，Δ_k(1≤k≤m)和γ受到以下限制条件约束：

C1网络带宽约束：发送的干扰流量会加重网络负担，因此发送的干扰报文速率受到网络最大带宽的限制，即：

γ+B_c≤B_max>

C2错检率约束：若待检测主机为僵尸主机，其收到干扰流量后，由于其攻击机制的特点，从其发出的流量在各特征上的统计均值会发生变化，在原本均值的基础上产生一定偏移。为了保证把正常流量判定为受到干扰流量影响的攻击流量的概率，需要保证受到干扰流量影响后的攻击流量在选取的各特征上统计均值的偏移超过一定门限。

假设检测主机以速率γ发送由特征为F_selected且各特征值为FV_send＝(μ₁+Δ₁,...,μ_m+Δ_m)构造的干扰报文，僵尸主机受到干扰流量的影响，其发送流量在特征上的取值为：

因此，为了在进行僵尸主机识别的时候，保证错检率不高于p，即将一个正常主机判定为僵尸主机的概率不高于为p。对于各特征的偏移值Δ_k(1≤k≤m)以及干扰报文发送速率γ应有如下约束：

其中δ_i(1≤i≤m)可人为设定，但为了保证错检率不高于p，根据切比雪夫不等式需满足

C3基本物理含义约束：根据各特征的实际含义以及攻击报文发送速率的物理意义产生的约束条件。由于各特征以及干扰报文发送速率γ都有其具体的物理意义，因此应满足：

由上所述，通过考虑实际网络环境，将各特征偏移值Δ_k(1≤k≤m)和干扰报文发送速率γ的选取问题描述为如下最优化模型：

在求解时，可通过障碍函数法在每次迭代求解时，将所求的带有约束极值问题转换为无约束极值问题，再使用Powell改进算法求解出当次迭代的极小值，如满足要求则停止迭代并得出最优解，若不满足要求，则重复迭代过程直至求得最优解。

S33、根据约束条件求解最优化模型，得到最优的各特征偏移值及攻击报文发送速率；包括以下步骤：

S331、定义障碍函数：

其中

S332、选取优化模型可行域内初始点初始惩罚因子r₁＞0(例如取r₁＝10)，递减系数C＜1(例如取C＝0.1)，允许计算精度ε₁,ε₂＞0，置k＝1；

S333、以为初始点，用Powell修正算法求解障碍函数的最优解

用Powell修正算法求解障碍函数最优解的具体算法为：

S3331、取初始点收敛精度ε，置初始方向组为m+1个坐标轴单位向量

S3332、从出发，依次沿方向进行直线搜索，得到点

S3333、找出使函数值下降最多的那个方向并计算出函数值在这个方向上的下降量κ；

S3334、从出发，沿方向进行直线搜索得

S3335、检验是否已满足终止准则：若此式成立，则停止计算，得出最优解为否则转S3336；

S3336、若则用新方向替换即对i＝j,j+1,...,m置并置否则仍用原来的m+1个搜索方向，转步骤S3337；

S3337、置返回步骤S3332。

S334、检验迭代终止准则，如果满足

和

则停止迭代计算，就是所求的最优解，否则转入下一步；

S335、置r_k+1＝Cr_k，k＝k+1，返回步骤S333；

S336、求解出的最优解用和γ^*表示，得到F_selected中各特征f_k的最优偏移值后，将每个干扰报文的f_k特征设为并以速率γ^*发送。

S4、向待检测主机发送干扰流量，统计待检测主机在F_selected中所有特征上的用户流量均值μ′_k(1≤k≤m)，比较每个特征的用户流量均值与所有用户流量均值之间的差值，判断该差值的绝对值是否大于或等于预设阈值：

|μ′_k-μ_k|≥δ_k(1≤k≤m)>

若所有特征均满足条件则判定待检测主机为僵尸主机，否则判定待检测主机为正常主机。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。