一种分布式拒绝服务的检测方法及装置与流程

本发明涉及网络安全领域，具体涉及一种分布式拒绝服务的检测方法及装置。

背景技术：

分布式拒绝服务(distributeddenialofservice，ddos)是指攻击者采用分布式技术，控制多台计算机对一个或者多个受害者进行的特殊磁盘操作系统(diskoperatingsystem，dos)攻击，目的是为了使受害者无法正常提供服务或者直接导致系统瘫痪。

传统的ddos攻击是利用低层协议(特别是网络层协议)的漏洞，发送大量的无用分组或者伪造传输控制协议(transmissioncontrolprotocol，tcp)连接，阻塞网络或者消耗主机资源。ddos有两种攻击方式：带宽耗尽型和主机资源消耗型。带宽耗尽型主要是发送大量合法的http请求占用目标网络的带宽，导致正常用户无法进行web访问；主机资源耗尽型的目的是为了耗尽主机的资源(例如：中央处理器(centralprocessingunit，cpu)、存储器等)，攻击者使用少量的http请求促使服务器返回大文件(例如：图像、视频文件等)，或者使服务器运行一些复杂的脚本程序(密码计算与验证等)。这种攻击不需要很高的速率就可以迅速耗尽主机的资源，更具有隐蔽性。这两种攻击方式都存在隐蔽性高，但是，其表面特征难以与正常用户访问行为区分开。

技术实现要素：

本发明的目的是克服现有技术中提取数学特征部分时，造成的特征保留过多导致的效率低下的问题。

为实现上述目的，一方面，本发明提供了一种分布式拒绝服务的检测方法，该方法包括：对训练数据进行迭代的投影，确定第一投影空间。将接收到的测试数据投影至第一投影空间，确定测试数据的投影。根据测试数据的投影与第一投影空间中训练数据的距离，确定测试数据的安全性。本发明实施例提供的方法用的系统资源少，能够有效保障防火墙以较快的速率辨别发起ddos攻击的数据源。

在一种可选的实现方式中，上述“对训练数据进行迭代的投影，确定第一投影空间”的步骤中可以包括：根据相对熵最大化的原则采用投影函数的迭代法对训练数据进行投影，获得新的投影空间。当新的投影空间不再偏移时，新的投影空间为第一投影空间。

在另一种可选的实现方式中，上述“投影函数的迭代法”可以包括：定点迭代法。

在又一种可选的实现方式中，可以包括：每一组测试数据的组数为固定值；若接收到的测试数据大于接收到的测试数据的组数，则随机选取固定组数的测试数据。

在再一种可选的实现方式中，上述“根据测试数据的投影与第一投影空间中的训练数据的距离，确定测试数据的安全性”的步骤中可以包括：根据欧氏距离的测度，确定测量数据的安全性。

在再一种可选的实现方式中，上述在“对训练数据进行迭代的投影操作，确定第一投影空间”的步骤之前，还可以包括：对训练数据进行筛选，确定训练数据的连接特征；使训练数据中心化，确定训练数据中心化的数学特征。

在再一种可选的实现方式中，上述“训练数据的连接特征”可以包括下述中的至少一个：传输控制协议tcp连接特征和流量统计特征。其中，流量统计特征包括：基于主机的网络流量统计特征和时间的网络流量统计特征。

在再一种可选的实现方式中，上述“使训练数据中心化，确定训练数据中心化的数学特征”的步骤中，可以包括：采用球面化操作放大训练数据。

另一方面，本发明提供了一种分布式拒绝服务的检测装置，该装置可以包括：计算模块，用于对训练数据进行迭代的投影，确定第一投影空间。投影模块，用于将接收到的测试数据投影至第一投影空间，确定测试数据的投影；处理模块，用于根据测试数据的投影与第一投影空间中所述训练数据的距离，确定测试数据的安全性。

在一种可选的实现方式中，上述“计算模块”具体可以用于：根据相对熵最大化的原则采用投影函数的迭代法对训练数据进行投影，获得新的投影空间。当新的投影空间不再偏移时，新的投影空间为第一投影空间。

在另一种可选的实现方式中，上述“投影函数的迭代法”可以包括：定点迭代法。

在又一种可选的实现方式中，可以包括：每一组测试数据的组数为固定值；若接收到的测试数据大于接收到的测试数据的组数，则随机选取固定组数的测试数据。

在再一种可选的实现方式中，上述“处理模块”具体可以用于：根据欧氏距离的测度，确定测量数据的安全性。

在再一种可选的实现方式中，上述装置还可以包括：选择模块，用于对训练数据进行筛选，确定训练数据的连接特征；使训练数据中心化，确定训练数据中心化的数学特征。

在再一种可选的实现方式中，上述“训练数据的连接特征”可以包括下述中的至少一个：传输控制协议tcp连接特征和流量统计特征。其中，流量统计特征包括：基于主机的网络流量统计特征和时间的网络流量统计特征。

在再一种可选的实现方式中，上述“选择模块”具体可以用于：采用球面化操作放大训练数据。

附图说明

图1为本发明实施例提供的一种分布式拒绝服务的检测方法的流程图；

图2为本发明实施例提供的一种球面化操作的示意图；

图3为本发明实施例提供的另一种球面化操作的示意图；

图4为本发明实施例提供的一种分布式拒绝服务的检测装置的结构示意图。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

图1为本发明实施例提供的一种分布式拒绝服务的检测方法的流程图，该方法需要已知类型的攻击流量数据作为训练样本，用球面化操作。该方法包括：

如图1所示，该方法包括s101-s107：

s101：输入训练数据。

具体地，检测函数的输入包括下述中的一种或多种：训练用的攻击数据集、测试数据集以及设定器，该设定器能够控制投影的轴数以及迭代函数的形式。

例如：向函数入口输入训练数据时，要求训练数据的个数既不能太多，使得占用过多存储空间、拖慢处理速度，也不能太少，使得判断正确率太低；在本实施例提供的方法中，对于每一种特定类型的攻击，训练数据的个数为5，在其他实施例中，给每一类攻击分配的训练数据个数也可以是5至10之间的其他数。

s102：对该训练数据进行筛选，确定训练数据的连接特征。

具体地，对该训练数据进行筛选，确定训练数据的连接特征，并扩展均值附近的数据以突出统计特征，然后将训练数据加入到迭代队列。

训练数据的连接特征包括下述中的至少一个：传输控制协议tcp连接特征和流量统计特征。其中，流量统计特征包括：基于主机的网络流量统计特征和时间的网络流量统计特征，例如：规定时间内接收到的rej包数量。

例如：筛选过的输入的数据包括以下四大类共15个小类：

第一类：tcp的连接基本特征，可以包括：连接持续时间，是连续的类型，以秒为单位；起始主机与目的主机之间交流的数据字节数，是离散的类型，以秒为单位。

第二类：tcp的连接内容特征，可以包括：对系统敏感的目录和文件进行访问的次数，离散值；登陆失败或成功的比值，连续值；创建文件的操作次数，离散值。

第三类：与时间有关的流量统计特征，可以包括：最近2秒内，和目前的连接具有相同的目标主机的连接数，连续值；最近2秒内，和目前的连接具有相同服务的连接数，连续值；最近2秒内，和目前的连接具有相同目标或服务的连接中，出现syn/rej错误连接的百分比，连续值；最近2秒内，和目前的连接具有相同目标的连接中，出现与目前连接具有相同或不同服务连接的百分比，连续值；最近2秒内，和目前的连接具有相同服务的连接中，出现与目连接具有相同或不同目标连接的百分比，连续值。

第四类：与目标主机有关的流量统计特征，可以包括：最近1000个连接中，和目前连接具有相同目标的连接数，离散值；最近1000个连接中，和目前连接具有相同目标且相同或不同服务的连接所占百分比，连续值；最近1000个连接中，和目前连接具有相同目标且具有同源或不同源端口的连接所占百分比，连续值；最近1000个连接中，和目前连接具有相同目标的连接中，出现syn或rej错误连接的百分比，连续值；最近1000个连接中，和目前连接具有相同目标且相同服务的连接中，出现syn或rej错误连接的百分比，连续值。

s103：使训练数据中心化，确定训练数据中心化的数学特征。

具体地，使训练数据中心化，并通过不等比例放大，来突出其中心附近的数学特征。其中，该通过不等比例放大可以具体为采用球面化操作放大，例如：采用了球面化操作来放大0值附近的数据，避免了远端数据稀疏处的特征被过多采集，使得挤在0附近的数据特征得以展现。本发明实施例提供的方法是对0值附近的数据特征进行研究，所以需要采用数据球面化的方法使得贴近均值的数据得到扩展，让里面的数据特征展现出来。该球面化操作球半径是和数据方差正相关的一个适中的值，在本实施例中，球半径是1，在其他实施例中，也可根据方差大小进行调整。具体的，参照图2和图3所示，图2为没有变化之前的，图3为经过球面化操作之后的示意图。

s104：对该训练数据进行迭代的投影，确定第一投影空间。

具体地，根据相对熵最大化的原则采用投影函数的迭代法对训练数据进行投影，获得一个新的投影空间。在忽略测度过低的投影方向，降低投影空间的维度，判断投影空间是否是不再偏移。该相对熵最大化的方向，是指数据关联信息最小的方向，在本实施例提供的方法中，按照该方向进行分类，可使得投影出来的数据之间的相关度最小，在其他实施例中，也可按照对相关度不同的要求，把投影轴取不同的方向。

当新的投影空间不再偏移时，新的投影空间为第一投影空间；当新的投影空间再次偏移时，重复操作s104，直到该投影空间不再偏移。

上述投影函数的迭代法可以包括：定点迭代法。具体地，是投影函数的迭代选用了定点迭代法，为了使拟合结果更好，迭代函数除了要满足非线性和收敛性，也要尽量满足和原始数据分布的相似性。迭代函数是一个和数据的概率分布特征接近的函数，在本实施例中，经对不同的函数所得结果作差比对，选定为g(x)＝x·e^-x，在其他实施例中，也可选用表现更好的带有重尾特性的函数。

根据相对熵最大化的原则采用投影函数的迭代法对训练数据进行投影，每一轮都判断第一投影空间是否有进一步偏移并压缩的可能，如此重复压缩直到第一投影空间的参数稳定在一个合适的值，其中，该空间内包含足够多的数据特征。

此外，在选取的第一投影空间中，任意两个方向之间的相对熵都尽可能大，使得基信号两两之间干扰程度最小，也可以尽量降低投影空间的维度而不丢失信息。

s105：将接收到的测试数据投影至第一投影空间，确定测试数据的投影。

具体地，每一组测试数据的组数为固定值；若接收到的测试数据大于接收到的测试数据的组数，则随机选取固定组数的测试数据，以防攻击方在特定位置伪造安全数据。

s106：根据测试数据的投影与第一投影空间中训练数据的距离，确定测试数据的安全性。

具体地,根据测试数据的投影与第一投影空间中训练数据(可以称为基向量)的距离来判断是否安全，若训练数据不止一组，则测试向量需要离所有训练向量所构成的超立方体都足够远才算安全。

另外，还可以根据欧氏距离的测度，确定测量数据的安全性。本发明提供的实施例中使用在投影空间中欧氏距离的测度而不是夹角的大小来评判数据的危险性，稍微增大了计算量，但避免了对同一方向上的冲激流量的误判，将其错判为安全。足够近的欧氏距离是一个能尽量把危险数据区分开并降低误判率的距离，在本实施例中，设定的阈值大小为1.0500，当小于阈值时，则判断测试数据为安全的，当大于阈值时，则判断测试数据为危险的。在其他实施例中，也根据具体的攻击类型和网络环境进行调整。

s107：确定是否有新的测试请求。

具体地，若有新的测试请求，则返回s105，重复执行，直到没有新的测试请求为止。若没有新的测试请求，则结束。

图4为本发明实施例提供的一种分布式拒绝服务的检测装置的结构示意图。如图4所示，该装置可以包括：计算模块401，用于对训练数据进行迭代的投影，确定第一投影空间。投影模块402，用于将接收到的测试数据投影至第一投影空间，确定测试数据的投影；处理模块403，用于根据测试数据的投影与第一投影空间中所述训练数据的距离，确定测试数据的安全性。

上述计算模块401具体可以用于：根据相对熵最大化的原则采用投影函数的迭代法对训练数据进行投影，获得新的投影空间。当新的投影空间不再偏移时，新的投影空间为第一投影空间。

其中，投影函数的迭代法可以包括：定点迭代法。每一组测试数据的组数为固定值；若接收到的测试数据大于接收到的测试数据的组数，则随机选取固定组数的测试数据。

上述处理模块403具体可以用于：根据欧氏距离的测度，确定测量数据的安全性。

上述装置还可以包括：选择模块404，用于对训练数据进行筛选，确定训练数据的连接特征；使训练数据中心化，确定训练数据中心化的数学特征。

其中，训练数据的连接特征可以包括下述中的至少一个：传输控制协议tcp连接特征和流量统计特征。其中，流量统计特征包括：基于主机的网络流量统计特征和时间的网络流量统计特征。

选择模块404具体可以用于：采用球面化操作放大训练数据。

本发明实施例提供的方法用的系统资源少，能够有效保障防火墙以较快的速率辨别发起ddos攻击的数据源。该方法创新点包括：球面化处理均值点附近数据以及垂直投影获取特征并迭代收敛。该方法需要一定数量的攻击数据作为训练集，先对其进行中心化处理，接着针对数据特征集中在零值的特点，对数据进行球化处理将低流量部分的特征扩展。接下来按照相对熵最大化的原则，采用垂直投影获得更多特征，选择特征相近的迭代函数对该数据进行迭代，迭代稳定之后获得一个关于该训练数据的新的低维空间，根据测试数据在该空间里面的位置决定其是否危险数据。该方法迭代次数少，运行速度快，在kdd99攻击数据集上取得了90％以上的正确判断率，相比一般的pca降维处理有明显改善。

本领域普通技术人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执轨道，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执轨道的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。