2023年7月27日发(作者：)

基于CUSUM的自适应攻击检测

第27卷第5期

201i年9月

福建师范大学(自然科学版)

JournalofFuiianNormalUniversity(NaturalScienceEdition)

Vo1.27No.5

Sept.2011

文章编号:1000—5277(2011)05—0034—06

基于CUSUM的自适应攻击检测

赖会霞,马剑波.,张仕hz

(1.福建师范大学数学与计算机科学学院,福建福州350108

2.网络安全与密码技术福建省高校重点实验室,福建福州350108

3.中国石油天津销售公司,天津300170)

摘要:为了能够快速发现DDoS攻击,尽量减小或避免其危害,基于CUSUM算法,以发送和接收数据

包数量比例为特征量,提出一种快速的DDoS攻击检测算法.并通过动态调整期望值和警告闽值,使算法具

有更好的适应性,能够运用于不同的网络环境.最后通过实验对算法进行验证.

关键词:DDoS;CUSUM算法;自适应攻击检测 中图分类号:TP393文献标识码:A

ASelf—adaptiveDetectingAlgorithmBasedonCUSUM

LAIHui—xia,MAJian_bo.,ZHANGShi’.

(MathematicsandComputerScience,FujianNormalUniversity,Fuzhou350108,China;

toryt)}NetworkSecurityandCryptology,FujJanNormalUniversity,Fuzhou350108,China

hinaTianjinMarketingcompany,Tianjin300170,China)

Abstract:InordertodetectDDoSattackintimeandaccurately,adetectingalgorithm

based—hesensitivityofCUSUMalgorithmtoslight

changes,thedetectingalgorithmtaketheproportionofsendingpacketstoandoutgoing

orithmcanadjustexpecta—

tionsandalarm—oodadaptabilityandcanbeappliedtoall

erimentalresultsandanalysisindicatethatthealgo—

rithmcandetectattackrapidlyandaccurately,alsohasgoodadaptability.

Keywords:DDoS;CUSUMalgorithm;adaptiveattackdetection 目前,DDoS(分布式拒绝服务攻击)已经严重威胁Internet网络的正常运行.2007年9月Arbor

公司调查报告口显示,网络服务提供商(ISP)最大的运营威胁就是僵尸网络(botnet),其次是DDoS

攻击.而僵尸网络往往被用来进行DDoS攻击.因此,DDoS攻击已经成为ISP目前最大的运营危害,

对DDoS的防范也就成了目前网络安全领域的一个研究热点问题.

为了防御DDoS攻击,快速有效的检测方法是至关重要的.通过快速的检测方法及时地发现DDoS

攻击并发出警报,进而采取相应措施,将能减小或避免DDoS攻击带来的损失.DDoS攻击发生时,攻

击行为势必会在一定程度上引起网络通信异常,基于此特点,本文提出一种部署在攻击目标端路由器,

在线快速检测DDoS攻击的方法.在网络正常运行时,网络中的服务器接收到的数据包数量和其发出的

数据包数量存在’种较稳定的比例关系,当攻击发生时,这种稳定的比例关系将被破坏.本文以此比

例为检测依据,通过改进非参数化递归CusuM算法,提出一种能够快速,准确发现攻击的自适应算

法.

收稿日期:2010—10-27

基金项目:福建省教育厅资助项目(JB10029);福建省自然科学基金资助项目(2oo7Jo315)

通讯作者:赖会霞(1975一),讲师,主要研究方向为计算机网络,网络安全*************.CB第5期赖会霞等:基于CUSUM的自适应攻击检测

l相关工作

当前,已有许多学者提出了不同的方法检测网络异常,从而发现DDoS攻击行为.大体可以分为两

种:基于用户信誉值评估L2]的方法和基于特征量分析的统计/聚类发现法L4].前者通过对特定的连

接进行评估,通过不同的积分模式筛选出稳定合法的连接,对于新连接和异常连接采取一定的控制措

施,采用的方法具有很好的针对性,但是有针对性的处理容易带来较大的系统开销和复杂的软件设计.

后者通过分析整体流量快速发现攻击行为,发出警告,以便进一步采取防范措施,该方法效率高,但

是缺乏针对性,无法自动应对攻击行为.

文献E23在对方差一时间图方法分析的基础上,通过Hurst参数变化规律判断DDoS攻击,该算法

能够在2S左右完成Hurst值的计算,在2O～30S时间内完成攻击判断.在文献Ea3中,作者提出基于

TCP缓存的DDoS攻击检测算法,利用BP神经网络对缓存中数据进行检测,从而发现异常,但是服务 器繁忙时,保存的大量IP需要占用较多系统资源.文献E43基于路由器多端口特点提出矩阵式的多统计

量算法,通过对输入,输出端口流量绝对差与和之比进行统计,从偏移值监控攻击行为.文献[5]则

以未确认报文段个数和总报文段个数的比值为特征量,再通过改进的非参数递归算法对特征序列进行

分析,从而使算法具有一定的自适应能力,能够运用于一些复杂的网络环境.文献E63中通过对特定

端口的检测来发现异常,并采用分布式分级体系结构,将任务分配到路径上的各个节点.

文献E73把CUSUM算法和改进的阈值法做了实验比较,证明了CUSUM算法的优点.CUSUM

算法对数值的连续变化非常敏感,因此被用来检测攻击,但是选择何种指标作为检测对象,阈值如何

确定却是运用CUSUM算法中的两个难点.文献E83中利用TCP包传输过程中SYN包与FIN包的

比例作为参考,仅用于检测SYN洪泛攻击.由于对SYN和FIN比例进行检测容易被攻击者通过增发

FIN包来规避,文献E93中针对该问题进行改进,增加布鲁斯过滤器(BloomFilter)对数据包进行过

滤,再运用CUSUM算法进行检测.

2CUSUM算法及异常分析 2.1CUSUM算法

变化点检测的主要思想是把网络数据流看作一个随机模型,在异常情况发生时,模型的结构会发

生变化,只要能够检测出模型的变化,就能及时发现攻击行为.CUSUM算法E是用来检测异常的常

用算法,具有计算简单,效率高的特点,因此被广泛应用到需要实时检测的环境中.而且,通过对算

法设置不同的检测参数,修改期望值产生方法,阈值的动态产生等方法,可以使该算法具有很好的自

适应性.

CUSUM算法可以检测到一个统计过程均值的变化,该算法在参数模型已知的情况下是渐进最优

的,并且对变化较小的序列检测较为敏感.CUSUM定义如下:

fS0—0,

{f1

【S+1一max(O,S++1一OJ),…

其中,表示样本序列,OJ表示对样本的期望值.当值超过了指定的阈值,那么表示值发生了明显

的变化,通过对p值的调整可以控制算法对变化的敏感程度.

假设一一,则S+展开如下:

0≤s,+1max(0,max(0,S.-1+z一一1)+z抖1一叫)一…≤∑≤I(xi+l～(-Oi)I,

当五连续大于时,S也就成为.27…一序列的和,这个值会越来越大,直到最后超过指定的阈

值,并产生异常报警.

2.2数据流异常分析

通过对服务器进出数据包数量的分析,发现在客户请求和服务器响应之间的数据包数量比例是较

稳定的,即进出服务器的数据包比例(用R来表示)稳定在一定的范围内.例如一个Web服务器,当

福建师范大学(自然科学版)

接收到Web页面请求时,正常情况下都会返回客户请求的页面,因此目标端(即被攻击服务器)路由

器发往特定服务器的数据包和服务器发出的数据包呈较稳定的比例关系.如果把这个比例作为反映网

络情况的特征值,那么在正常情况下,该值会在一个比较稳定的范围内波动.对可能影响进出数据包

比例的情况具体分析如下:

(1)由于DDoS攻击大多是以消耗带宽或内存等资源为手段,使服务器无法为正常的请求提供服务

为目的,所以当DDoS攻击发生时,会有大量攻击包发往服务器.而此时,服务器由于资源所限来不及

响应.所以当DDoS攻击发生时,进出服务器的数据包比例尺将明显增大,并且进出服务器的数据包

总量也会明显增加. (2)在某段时间内,对服务器的正常访问突然增加,同样可能由于服务器来不及响应而导致进出

数据包比例增加.但是这种情况与DDoS攻击发生时明显不同.第一,比例增加的幅度没有DDoS攻击

明显;第_二,进出服务器的数据包总量增加幅度也低于DDoS攻击发生时的情况.

(3)当服务器进行软件更新,系统维护时,因为服务器暂停或减慢了对客户请求的响应会造成R值

的变化,但这种情况一般持续时间很短,随着服务器恢复正常的工作,比例关系也会恢复正常,同样

这种情况进出服务器的数据包总量与正常情况保持平稳甚至低于正常情况.

根据上述分析,通过对请求数据包和服务器发出数据包比例分析,从而发现异常情况的方法是可

行的.对于…一…——一

×

3基于CUSUM的攻击检测

图1服务器SRIO变化

提出一个基于CUSUM的攻击检测模型,并详细分析_『模型中各种参数动态产生的方法,使算法

能够适应不同的网络环境,最后对系统实现进行了简单的叙述.

3.1相关定义 以一定的时间间隔为一个检测周期,记为丁T.将检测周期T内经过路由器的数据包按照发往服务器

和从服务器发出两个方向分别表示为:发往服务器的数据包序列用‰,,,…,表示;服务器发

出的数据包序列用Otll,out,OUl,…,out,表示.其中ti,ti分别表示该数据包在路由器J二经过的时

间.检测周期r,内经过路由器的数据包数定义如下:

定义1请求数据包数:SI(k)表示[志*丁,(+1)*丁)时间内从路由器进入服务器的数据包数

量.且SI(k)一I{l,2∈{,2,,z,2,…,),ti∈Ek*丁,(是+1)*丁))1.

定义2响应数据包数:SO(k)表示[走*丁+,(+1)*T+)时间内从服务器经由路由器发

出的数据包数量.即SO(足)一1{outIout∥∈{outf0J,out,out,…,out,),ti∈[尼*T+,(志+

1)*r,+){I.

50505O

2210

第5期赖会霞等:基于CUSUM的自适应攻击检测

其中表示从路由器监测到请求数据包到检测到响应数据包的时间差.这一时间差只能是对网络

和服务器正常情况下的时间差的估计,因为对不同的请求和应用,这一时间差值不同.为了简化模型,对 具体数据包类型不加区分,假设统一的值.由于把检测系统部署到离服务器最近的路由器上,所以这

一

延迟时间非常小(毫秒级),相对于检测周期丁(秒级)而言,该时间可以忽略不计.

定义3请求响应数据包比例:SRIO(尼)一SI(k)/S()(志)表示在第k次采样得到的请求和响应数

据包数比例.下文中SRIO(愚)记为SRIOk.

定义4加权请求响应数据包比例:WSRIO(k)一SRIO(忌)×(SI(矗)+SO(k)).表示在第k次采

样得到的请求和响应数据包数加权比例,下文中WSRIO(是)记为WSRIO.

在实际应用中,如果仅仅使用SRIO作为检测依据,比较容易产生误报.例如,短时间内对服务器的

正常访问量增加,SRIO会发生变化;或者服务器由于某种原因短时间内降低了响应速度等情况同样会

引起SRIO的变化.通过3.2节对数据流量异常的分析可知,攻击发生时,除SRIO值增大外进出服务器

的数据量也会激增,而非攻击情况引起的SRIO比例值增加并不会伴随数据量的激增.所以本文使用加

权请求响应数据包比例WSRIO作为检测的实际参量.通过使用进出服务器的数据包数量对SRIO进行 加权计算,放大了攻击发生时SRIO值得变化与正常情况下SRIO值变化的差异,结合合理的报警阈值

可以尽量减少或避免误报.

3.2数据模型

正常情况下,服务器进出数据包比例(WSRIO)是一个符合正态分布的随机模型,而当攻击发生

时,WSRIO将发生显着变化,通过对这一特征值进行监测可以及时发现攻击行为.由公式(1)可以看

出,检测中需要确定的参数为.CUSUM算法应用到本文中,以WSRIO作为待检测数据序列,其检测

过程可以表示为:

{,【S+1一max(O,S+WSRIO+1++1)._.

在实际应用中,服务器的访问量和请求响应数据包比例会随时发生变化,例如访问增加,备份服务

器暂时关闭的因素,昼夜因素等.若采用固定值,当指定过大,则S增长太慢容易延误报警;过小,则

容易使s增长过快产生误报,所以有必要能够实时根据实际情况调整∞的值,而不是固定不变.本文采

用公式(3)作为期望值的计算【6],其中参数取值在0～1之间.该计算方法不但考虑了当前的流量情

况,也以部分历史流量作为依据.

一 (1一d)一1+aWSRIO.(3)

正常访问量增加或减少等因素引起的WSRIO变化比较缓和,而计算期望值03使用加权计算的方

法综合考虑r历史流量和本周期内的变化情况,因此WSRIO与差值不会太大;在攻击发生时,因为

有大量攻击包注入,WSRIO会急剧增大,会导致WSRIO与09差值很大,从而¨也会迅速增大.判断

是否发生DDoS攻击的公式如下:

一一箬㈩

其中是一个阈值.由于服务器有不同的种类,所以WSRIO也有特定的分布区,例如DNS服务器,大部

分情况下SRIO在0.9～1.1,文件服务器或者Web服务器,则大部分在小于1区间.因此采用统一的阈

值无法正确反映出攻击时的特点.和09值的确定方式类似,本文采用公式(5)的方式确定阈值,其中C是

根据服务器实际的承载最大连接数确定的,一般可以取允许最大连接数的8O.

一

C一(1一)C一+CaWSR10.(5)

3.3实现与部署

由于本文所提出算法在每一个时间间隔上仅有简单的加法和乘法运算,所以具有运算简单的特点. 如果在一个路由器下有多个需要进行检测的服务器,那么只要设定一个表格用于存储各个服务器的

WSRIO和5值.同时可以把对各个服务器的起始时间点在一一个时间间隔内平均排开,使运算不会给路

由器造成太大压力.

考虑到算法中路由器到服务器之间的延迟,希望能够把该检测部署到离服务器最近的路由器上,

福建师范大学(自然科学版)

从而减少由于差异太大而降低算法的

准确性.同时,要求有重点,而不是对所

有的服务器都进行检测,这也就避免了

对路由器处理能力产生太大的影响.当

然,也可以由路由器收集并转发数据,

统计处理的过程由和该路由器关联的

计算机进行处理.

4实验

本文利用麻省理工学院林肯实验室

的入侵检测系统数据库的数据,分别对地

址172.16.115.20,172.16.112.i00,

172.16.112.5O进出数据包进行分析,

SRIO值如图1,加权后的WSRIO如图

2所示,从图2可以明显看出加权后的 比例差别更加明显,其均线更加不容易

受到短暂突发异常情况的影响.

图3反映了5值的变化和阈值之

间的关系.在该实验中,各参数设置如

表1.

图3(a)是地址172.16.115.2O的

监测结果,第1次试探性攻击发生在

4806～4875S之间,在4845s(第

1615个采样点),S一27.1131达到这

段时间的最大值,而此时一42.5879.

之后有一段时问属于暂停攻击,到5000

S开始的攻击马上使s值发生急剧增长,

在5Ol3S(第1671个采样点)5—

48.2728首次超过了===44.6442.从

该实验数据可以看出,本文所提出的算

法能够在13S时间内检测攻击的发生,

和文献E2]的20S相比有一定的提高,

当然文献EBB中采样间隔(10S)与本文

设置不同.图3(b)是对172.16.112.i00

进行检测,在5013S第1次超过5值

(—6.072l,卢一5.655.20

图3S和卢变化曲线 算法中,不同的参数会对实验产生不同的影响.(1)检测周期丁:设置过大值,虽然可以平滑短时间

鲫∞如o

第5期赖会霞等:基于CUSUM的自适应攻击检测39

突发的访问量,却不能及时准确的发现异常情况,容易导致不能够及时有效发现攻击行为;太小则会由

于一些异常波动产生较大的影响,同时也容易增加运算开销.(2)co和中的a值用于预测预期的

WSRIO,前者通常采用的值较大,可以避免误报的发生;而后者作为一个长期均值,用于作为攻击发

生的阈值,所以希望能够在较长时间内获取均值,因此取值较小.(3)值的设置对实验结果影响有限.

(4)C则取决于服务器的承载能力,同时该值大小也直接关系着算法的灵敏度和误报发生.

表1实验参数设置

5小结

参数名参数值

丁

中的值

中的值

C

3S O.1

0.05

50

10ms

本文以发送和接收数据包数量比例为特征量,提出一种基于CUSUM的自适应攻击检测算法,利

用该算法可以快速检测到对特定服务器的攻击行为,并且发出告警.该算法通过动态调整期望值使其

具有很好的适应性,能够运用于不同的网络环境.经实验验证,该算法不仅能够快速,准确的检测攻

击行为,而且具有较强的适应性.该算法还可以通过简单扩展,从而实现对一个子网内重要服务器进

行监控的功能.

参考文献:

[1]kinfrastructuresecurityreport[-EB/OL].[2ooi1—2—1].http:∥etworks.

com/report.

[2]李金明,王汝传.基于VTP方法的DDoS攻击实时检测技术研究EJ].电子,2007,35(4):791～796.

[3]胡鸿.袁津生.郭敏哲.基于TCP缓存的DDoS攻击检测算法[J].计算机工程,2009,35(16):112—114.

[4]孙知信.唐益慰.程嫒.基于改进CUSUM算法的路由器异常流量检测[J].软件,2005,16(12):2117—2123.

[5]严芬,陈轶群,黄皓,等.使用补偿非参数CUSUM方法检测DDoS攻击[J].通信,2008,29(6):126—132.

[6]周再红,谢冬青,熊伟,等.一种基于带权CAT的DDoS分布式检测方法口].武汉大学:理学版,2008,54

(5):626—630.

[7]ationofanomalydetectionalgorithmsfordetectingSYNfloodingattacksEc]∥

,2004:2O5O2054.

[8]WangHN,ZhangDI,ingSYNfloodingattacks[J].IEEEComputerandCommunication

Society.2002,3(6):l53O—l539.

[9]SunCH,FanJD,tschemetodetectSYNfloodingattacks[C]∥ProceedingsoftheSecond

InternationalConferenceonCommunicationsandNetworkinginChinaChinaCom,Aug22——24,2007:397——401.

[1o]manceofCUSUMtestsfordetectingchangesincontinuoustimeprocesses[c]∥

ProceedingsIEEEInternationalSymposiumonInformationTheory,IEEEISIT’2002:186—187.

[11]Symantecinternetsecuritythreatreport[EB/OL].[2008一O4一一o8].http:∥/business/

?themeid—threatreport.

(责任编辑:陈静)