一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
【技术领域】
[0001] 该发明涉及计算机网络安全领域的一种数据检测方法,特别是涉及一种基于轻量 级入侵检测的DoS/DDoS攻击检测和过滤方法。
【背景技术】
[0002] 拒绝服务(Denial of Service,DoS)攻击是一种阻止合法用户正常访问目标服务 的网络攻击,它具有两种攻击形式,一种是利用目标系统的软件脆弱性,通过向目标主机发 送畸形报文致使系统崩溃等;另一种是向目标持续发送大量无用报文,以此占用目标的带 宽资源和主机资源。目前,通常所说的DoS攻击指的是第二种,又称为泛洪(flooding)攻 击。
[0003] 近年来,随着计算机硬件技术的发展,为了增大攻击强度,攻击者通过控制网络中 多台不同位置的主机同时向受害者实施DoS攻击,即分布式拒绝服务(Distributed Denial of Service, DDoS)攻击。其中被控制的主机称为傀備机(zombies),由傀備机组成的网络 称为僵尸网络。利用僵尸网络和受害者间资源的不对称,DDoS攻击可产生庞大的攻击流量, 其破坏力远超DoS攻击。
[0004] 作为一种入侵检测机制,DoS/DDoS攻击检测通过分析被保护对象的信息,从而判 别网络中是否存在DoS/DDoS攻击行为,通常包括数据采集、特征提取和攻击检测三个阶 段。数据采集是指在计算机网络系统的若干关键节点(如网络出入口、服务器等)收集用 户行为信息,具体可包括网络流量、应用程序日志等;特征提取是指从采集的信息中提取一 定的流量和行为特征;攻击检测则是根据提取的特征,采用模式匹配、统计分析、机器学习 等手段,判定是否发生攻击。
[0005] 基于分类的DoS/DDoS攻击检测方法通过选取分类检测特征将流量抽象为特征样 本序列,选取机器学习算法对训练样本进行学习,构建分类器模型,最后使用已构建的分类 器对待测流量样本进行分类,将DoS/DDoS攻击检测转化为区分网络流量"正常"与"攻击" 的二分类问题。例如在文献"Abbes T, Bouhoula A, Rusinowitch M, Efficient decision tree for protocol analysis in intrusion detection.International Journal of Security and Networks, 2010"使用决策树分类器实现了攻击检测,电子科技大学的发明 专利"基于数据挖掘技术的拒绝服务攻击防御方法",申请号200710049921. 7,使用了贝叶 斯分类。解放军信息工程大学的发明专利"一种基于访问标记的应用层DDoS攻击的检测过 滤方法",申请号201210590828. 8,使用了 SVDD分类。但分类检测特征中固有的冗余信息增 加了分类检测的计算和存储开销、影响了检测的实时性。
[0006] 特征选择作为网络异常检测的数据预处理方式,能够有效地去除冗余特征、获 得用于检测的最小特征子集,可以减少检测对数据存储和处理能力的消耗、提高处理能 力。文献 "KASHYAP H J,BHATTACHARYYA D K,A DDoS attack detection mechanism based on protocol specific traffic features. Proceedings of the Second International Conference on Computational Science,Engineering and Information Technology, ACM, 2012",通过使用线性相关特征选择(LCFS)降低检测特征维度,大 大提高了检测速度。文献"Li Y, Wang J L, Tian Z H,et al,Building lightweight intrusion detection system using wrapper-based feature selection mechanisms. Computers&Security, 2009"使用了轻量级入侵检测技术,即通过结合特征选择,提取具有 高区分度的检测特征、降低检测特征维度,从而提升分类器的处理性能,建立准确性、实时 性兼顾的检测系统。但现有的检测依赖于对已知攻击的学习,未知类型攻击的分类检测准 确率仍需提高,以增强检测系统的适用性。
[0007] 由此可见,现有的方案中仍然存在一些不足,基于分类检测的方法受限于冗余信 息,导致检测资源的过度消耗,制约了检测的实时性;而结合特征选择的轻量级入侵检测技 术虽然提升了检测处理速度,但未知攻击检测问题并未得到相应地解决。
【发明内容】
[0008] 本发明克服了现有技术中,现有的入侵检测准确率仍需提高的问题,提供一种结 构简单、使用方便的基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法。
[0009] 本发明的技术解决方案是,提供一种具有以下步骤的基于轻量级入侵检测的DoS/ DDoS攻击检测和过滤方法:具体包括如下步骤:步骤1.基于时间窗的流量预警;步骤2.异 常流量特征处理;步骤3.基于规则匹配的快速攻击检测;步骤4.未知类型攻击的挖掘与 检测;步骤5.基于IP列表的攻击过滤。
[0010] 所述步骤1基于时间窗监测流量的到达情况,定位异常流量,当有突发访问或者 流量激增的异常情况时触发后续机制。
[0011] 所述步骤2将步骤1中存在的异常流量处理为检测特征样本序列,供后续步骤使 用,典型的特征标准包括KDD CUP 99特征集、Moore特征集。
[0012] 所述步骤3基于轻量级入侵检测的DoS/DDoS攻击匹配检测机制,由数据挖掘工具 Weka进行特征选择,处理训练数据得到检测特征,实现步骤2中检测特征样本序列的快速 匹配攻击检测,并输出特征样本对应的攻击源IP、攻击目标IP。
[0013] 所述步骤4为预建正常流量模式,对步骤3中未匹配预建攻击模式的异常流量进 行未知类型攻击检测,由具有在线增量学习功能的机器学习算法C4. 5决策树构建分类器 实现,检测得到的不符合正常模式的未知类型攻击经过特征选择作为未知类型攻击的检测 特征,通过C4. 5决策树的在线增量学习强化未知类型攻击样本的分类准确率,进一步提升 未知类型攻击的分类检测效果,并输出攻击源IP、攻击目标IP。
[0014] 所述步骤5由步骤3和步骤4中输出的攻击源IP、攻击目标IP,建立攻击流量过滤 表,进行攻击流量的过滤,过滤不仅作用于当前时间窗,而是通过维护恶意攻击源IP列表, 过滤攻击源IP的后续访问。
[0015] 与现有技术相比,本发明基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 具有以下优点:1.具有高效性,可以准确实时地处理DoS/DDoS攻击;2.具有可维护性,可 以更新维护流量预警方式、检测特征标准、基于规则的攻击匹配库、基于Weka的特征选择 和在线增量学习算法等;3.具有可移植性,数据挖掘工具Weka基于java实现;4.能够有效 区分正常流量和异常流量,可以提高对未知类型攻击的检测效果。