第五章一種基于流量自相似的DDoS攻擊檢測

計算機入侵檢測技術(shù)一種基于流量自相似性的DDoS攻擊檢測方法第五章一種基于流量自相似性的DDoS攻擊檢測方法第一節(jié)引言一、介紹

近年來對計算機網(wǎng)絡的研究表明，無論是WAN還是LAN，網(wǎng)絡中的業(yè)務流在幾毫秒至幾個小時甚至幾天的時間段上，均表現(xiàn)出很強的突發(fā)性。而并不同于傳統(tǒng)上基于泊松分布的業(yè)務流模型。

“自相似性”或者“分形”模型能更好的描述這種業(yè)務流特點。

二 本章內(nèi)容1、以自相似性模型作為網(wǎng)絡業(yè)務流模型，對自相似性系數(shù)及其相關特性、各類自相似業(yè)務模型以及各種系數(shù)估計方法進行了研究；2、通過實驗驗證了真實局域網(wǎng)業(yè)務流量具有嚴格的自相似性；3、比較各種系數(shù)估計方法的性能和特點；4、通過實驗驗證DDoS攻擊對自相似性系數(shù)的影響；5、并最終在實驗數(shù)據(jù)和分析的基礎上給出了DDoS攻擊發(fā)生和結(jié)束的判定條件。第二節(jié)

網(wǎng)絡業(yè)務的自相似性一、自相似性

定義5.1 自相似性（self-similarity）：指一個隨機過程在各個時間規(guī)模上具有相同的統(tǒng)計特性。網(wǎng)絡通信中的自相似性表現(xiàn)在一段較長時間里，單位時間內(nèi)分組數(shù)的統(tǒng)計特性不隨時間規(guī)模的變化而改變自相似過程具有很多特性，典型的特性包括：

第二節(jié)

網(wǎng)絡業(yè)務的自相似性1、長程相關LRD（Long-RangeDependence），自協(xié)方差函數(shù)不可加；2、隨著時帶來的方差的緩慢衰減；

3、重尾分布（Heavy-tailedDistributions），即 當時，存在α>0，使得；4、自相似過程的功率譜密度函數(shù)S(w)在且時有5、具有分形維度d。

第二節(jié)

網(wǎng)絡業(yè)務的自相似性 定義5.2 分形：一個圖形通過變比例（可能是x，y都變比 例，變比例的系數(shù)可能不同），與原圖形相同（自相似），或是分數(shù)維。其中分數(shù)維是指同一形狀圖形的拷貝次數(shù)的N.下圖的分數(shù)維為

圖5.1N＝3時的分形情況第二節(jié)

網(wǎng)絡業(yè)務的自相似性 定義5.3

圖形的自相似：

1、一個具有一定形狀的圖形， 通過變比例（對于寬、高使用同一放大因子）， 與原圖形相同；

2、兩者的概率特性相同。第二節(jié)

網(wǎng)絡業(yè)務的自相似性二、自相似性系數(shù)計算的示例

下面給出一個通過網(wǎng)絡流量計算系數(shù)的示例：圖5.2為一個局域網(wǎng)中對兩周網(wǎng)絡流量進行的數(shù)據(jù)采樣，樣本均值為3.3789e+005、標準偏差為4.2389e+005。對左圖中的取(6000-8000)間的點作為子樣本，其均值為3.6231e+005、標準偏差為4.2189e+005，與總樣本為同一數(shù)量級，但有細微的差別。對子樣本變比例，對乘以，對乘以，得到5.2中的右圖，使兩者同概率特性。第二節(jié)

網(wǎng)絡業(yè)務的自相似性圖5.2局域網(wǎng)中網(wǎng)絡流量變化及其比例圖第二節(jié)

網(wǎng)絡業(yè)務的自相似性三、自相似性的統(tǒng)計描述 定義5.4

過程被稱為嚴格二階自相似的，且具有自相似 系數(shù)，如果其階聚集過程具有與 原過程X

同樣的相關函數(shù)，即對所 有成立。第二節(jié)

網(wǎng)絡業(yè)務的自相似性

定義5.5

過程X

被稱為是漸近二階自相似的，且具有自相 似系數(shù)，如果及

第二節(jié)

網(wǎng)絡業(yè)務的自相似性

盡管存在著大量具有自相似特性的隨機模型，但通過與真實業(yè)務流量數(shù)據(jù)比較之后，目前主要有分形布朗運動和分形ARIMA過程，被認為適于作為突發(fā)業(yè)務建模的隨機模型，而且它們都基于分形高斯噪聲。

當時，分形高斯噪聲就是具有Hurst系數(shù)的嚴格二階自相似過程，因其系數(shù)簡單目前已成為自相似業(yè)務建模的主要工具。第二節(jié)

網(wǎng)絡業(yè)務的自相似性 四、網(wǎng)絡業(yè)務的自相似性

自相似（Self-Similarity）模型是目前已知的流量 模型中，最能描述網(wǎng)絡中數(shù)據(jù)流長程相關性的流 量模型。所謂數(shù)據(jù)流的自相似性，就是網(wǎng)絡上的 數(shù)據(jù)流沒有一個本質(zhì)的突發(fā)長度，在每個時間規(guī) 模上，從微秒到分鐘，從分鐘到小時，突發(fā)期由 一些突發(fā)子周期構(gòu)成，這些突發(fā)子周期又由一些 更小的突發(fā)子周期構(gòu)成。

第三節(jié)自相似性模型及對自相似性的研究一、

常見自相似性業(yè)務模型 常見的自相似數(shù)據(jù)業(yè)務模型分為單源和聚合源兩類。中單源模型有：Pareto分布、對數(shù)正態(tài)分布；聚合源模型有：ON－OFF模型、分形布朗運動模型、分形高斯噪聲模型、分形ARIMA過程模型、分形Lévy過程模型、基于混沌映射的確定性模型。第三節(jié)自相似性模型及對自相似性的研究1、單源模型 (1)Pareto分布模型 (2)對數(shù)正態(tài)分布模型2、聚合源模型 (2)ON-OFF模型 (2)分形布朗運動模型 (3)分形高斯噪聲模型 (4)分形ARIMA過程模型第四節(jié)自相似性系數(shù)的估計方法及其討論一、自相似性系數(shù)的快速估計算法 目前，對自相似性Hurst系數(shù)進行測量的方法有多種，可大致分為圖形法和非圖形法兩種。

第四節(jié)自相似性系數(shù)的估計方法及其討論二、圖形法

1、絕對值法（AbsoluteValueMethod）

2、方差法（VarianceMethod）

3、方差冗余法（VarianceofResidualsMethod）

4、R/S法（RescaledRangeMethod）

5、周期圖法（PeriodgramMethod）第四節(jié)自相似性系數(shù)的估計方法及其討論三、非圖形法

1、Whittle法（WhittleMethod）

2、集合Whittle法（AggregatedWhittlemethod）

3、局部Whittle法（LocalWhittleMethod）

4、小波法（WaveletMethod）第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較一、業(yè)務流模型的相關理論研究 前面已給出常見的自相似數(shù)據(jù)業(yè)務模型，分為單源和聚合源兩類，每類又細分為一些具體的種類。其中基于分形布朗運動FBM，以及分形高斯噪聲FGN的模型應用最廣，Norros給出了基于FGN模型的一些數(shù)學表達，并采用數(shù)學方法求出了一些近似的排隊特性。

第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較 就數(shù)學模型而言，自相似模型與傳統(tǒng)使用的模型具有明顯不同： 首先，對于自相似過程，樣點均值的方差不隨樣點個 數(shù)的增加呈反比的減少； 其次，自相似過程是長相關的，其自相似函數(shù)不以指 數(shù)形式下降； 最后，自相似過程的譜密度在原點附近符合 －噪聲分布，而泊松過程的譜密度是集中于原 點附近的。第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較二、真實業(yè)務流量的數(shù)據(jù)采集 數(shù)據(jù)采集工作主要使用Libpcap進行，Libpcap（PacketCapturelibrary）由Berkeley大學LawrenceBerkeleyNationalLaboratory研究院開發(fā)，通過直接訪問數(shù)據(jù)鏈路層，利用了在LINUX中比較成熟的伯克利包過濾器BPF(BerkeleyPacketFilter)機制，為應用層程序捕獲底層數(shù)據(jù)包API的代碼庫。

第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較三、真實業(yè)務流量的Hurst計算和自相似性驗證

為研究LAN上的業(yè)務流量并驗證Hurst計算方法，選取在電子科技大學網(wǎng)絡中心206室子網(wǎng)網(wǎng)段監(jiān)測的兩周數(shù)據(jù)。數(shù)據(jù)為從2002年12月24日0：00am開始到2003年1月4日0：00am為止的所有該子網(wǎng)上傳送的數(shù)據(jù)包的大?。ㄒ詁yte記）（采樣間隔1s），監(jiān)測時間共11天，這些數(shù)據(jù)基本可以代表LAN中，及LAN-WAN互聯(lián)時傳輸?shù)牧髁繕I(yè)務。第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較圖5.3LAN上兩周真實業(yè)務流量第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較 將對數(shù)據(jù)進行期望值規(guī)正后，用前面所述的方法進行處理，估計采樣序列的Hurst系數(shù)。將總數(shù)據(jù)樣本分為94個子樣本，每個子樣本大小為10000秒（實際時間長度上為2.78小時），然后對每個子樣本運用六種方法進行Hurst系數(shù)估算，得到值。第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較 圖5.4為使用聚集方差法、R/S法和周期圖法得到的值（其中聚集方差法為○、R/S法為x、周期圖法為+）

圖5.4運用聚集方差法、R/S法、周期圖法得到的H值第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較以下為其它三種方法計算出的值。

1、whittle（fGN）方法，如圖5.5所示：

圖5.5Whittle（fGN）法得到的H值第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較 2、whittle（fARIMA）方法，共94個子樣本，其中有4 個空值為由奇異陣引起的無解，如圖5.6：

圖5.6Whittle（fARIMA）方法得到的H值第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較

3、運用局部Whittle法，如圖5.7所示：

圖5.7運用局部Whittle法得到的H值第五節(jié)流量數(shù)據(jù)采集與Hurst估計方法的比較 若時，表示具有一定程度的自相似性，H的值越大，自相似性越強。若時，缺乏或不具有自相似性。通過上面的實驗可得出以下結(jié)論：

1、局域網(wǎng)流量具有嚴格的自相似性；

2、對比各種系數(shù)估計方法可見：R/S方法較為穩(wěn) 定，Whittle（fGN）次之，周期圖法對向高端突變 較為靈敏，聚集方差法對向低端突變較為靈敏； 局部Whittle也較為靈敏；Whittle（fARIMA）最為 靈敏，但Whittle（fARIMA）計算運算量較大，且 有部分空值；

3、經(jīng)過以上對比，本課程擬在后面的實驗中優(yōu)先采 用R/S法或Whittle法對Hurst系數(shù)進行計算，以實 現(xiàn)對DDoS攻擊的檢測。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)一、根據(jù)自相似性系數(shù)檢測DDoS攻擊的可行性 對于網(wǎng)絡業(yè)務流量聚合后的特征，根據(jù)相關文獻有以下兩條相關推論：

推論一：當一個數(shù)據(jù)流具有長程相關性時，多個數(shù)據(jù)流與之聚合后仍然具有長程相關性，不論加入的其它數(shù)據(jù)流本身是短程相關還是長程相關的；

推論二：同時，聚合數(shù)據(jù)流的Hurst系數(shù)、均值、方差等都會有所改變。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)

根據(jù)以上推論，提出以下假設：在正常網(wǎng)絡業(yè)務中，來自大量不同數(shù)據(jù)源的數(shù)據(jù)之間，通常不具有時間和分組特征方面的相關性，因而不會改變網(wǎng)絡流量的自相似性；而DDoS攻擊是由MASTER控制大量不同的SLAVES，在同一時段向攻擊目標發(fā)送大量請求，將會導致其流量模型的相關系數(shù)發(fā)生變化，并破壞網(wǎng)絡流量的自相似性。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)二、

實驗環(huán)境

1、實驗環(huán)境

圖5.8實驗環(huán)境示意圖第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn) 為驗證DDoS對自相似性系數(shù)的影響，進行了一系列攻擊實驗，實驗環(huán)境為：1臺100兆交換機，1臺路由器（CiscoCatalyst3550），1臺產(chǎn)生背景數(shù)據(jù)的BT（backgroundTraffic）計算機（Win2K），8臺攻擊計算機（Win2K），1臺用于檢測的AD（AttackDetection）計算機（RedHatLinux8.0），其網(wǎng)絡拓撲結(jié)構(gòu)圖如5.8所示。 實驗開始后，BT持續(xù)提供正常的背景流量，數(shù)據(jù)流的路由全部指向檢測機；攻擊開始后，多個攻擊機進行攻擊協(xié)同，在一個時間段內(nèi)同時向檢測機發(fā)動DDoS攻擊。此時，檢測機將接收到來自路由器上的正常流量和攻擊流量。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)

2、攻擊類型的選取與實現(xiàn) 為簡化起見，實驗中的攻擊類型選取了常見的SYN flood。通過C語言編程實現(xiàn)后，安裝于各攻擊機 上，在攻擊開始時同步啟動，就能模擬真實的攻 擊行為了。此外，生成攻擊數(shù)據(jù)還可以采用DDoS 工具TFN2k等方式進行。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)

3、背景流量的選取

為模擬真實情況下的DDoS攻擊，對電子科技大學信息中心Web服務器進行了流量數(shù)據(jù)采樣，共進行了40小時。在模擬攻擊時，可以將TDF作為真實的背景流量使用，將TDF分為160個子樣本，每個子樣本大小為900秒，記為TDF1～TDF160。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)三、實驗準備工作

1、攻擊流量大?。?在準備好160個真實背景流量的數(shù)據(jù)樣本之后，在攻擊軟件中設定了4種不同流量大小的攻擊過程，分別為100kBps、500kBps、1MBps、1.5MBps，并記為P1、P2、P3、P4。用于驗證在同樣背景流量下，不同大小的攻擊流量所造成的結(jié)果。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn) 2、攻擊方式：一次真實的DDoS攻擊過程可看作如下4種情況，或這4種情況的組合，如圖5.9所示。

圖5.9DDoS攻擊方式第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)四、實驗過程 通過對160個背景流量子樣本（TDF1～TDF160）、3種攻擊方式（A1～A3）、4種攻擊流量大?。≒1～P4）進行組合來完成，共160×3×4＝1920次，并采集了1920個攻擊過程中的流量數(shù)據(jù)樣本，每個子樣本采樣時間總長度為900秒（實驗數(shù)據(jù)與背景流量的子樣本時間相等）。 限于篇幅，本次授課僅從1920個數(shù)據(jù)采樣中，任意選取了子樣本TDF38，并給出此數(shù)據(jù)樣本下各種攻擊方式和流量大小對自相似性系數(shù)Hurst的影響情況。其余子樣本的實驗分析過程和結(jié)論與之類似，故略去。

第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)1、恒定流量的攻擊實驗（A1）圖5.10背景流量TDF38、攻擊方式A1下的Hurst變化第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)2、漸增方式的攻擊實驗（A2）

圖5.11背景流量TDF38、攻擊方式A2下的Hurst變化第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)3、漸減方式的攻擊實驗（A3）

圖5.12背景流量TDF38、攻擊方式A3下的Hurst變化第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)五、實驗分析對以上3個示例圖，及其所代表的所有樣本圖進行分析，均可得出以下結(jié)論：1、在攻擊沒有發(fā)生時（區(qū)間為0s<T<200s)，Hurst系數(shù)隨時間變化較為平穩(wěn)，處于0.5到1.0之間，具有較好的自相似性；

2、在攻擊發(fā)生后的較短時間內(nèi)，Hurst值將發(fā)生較大變化，并躍升至1.0以上，這表示隨著攻擊的發(fā)生，流量的自相似性受到破壞。這一現(xiàn)象符合前面的兩條推論，攻擊流量加入正常背景流量后，網(wǎng)絡的長程相關性不會改變，但在聚合后，新流量的一些系數(shù)值會發(fā)生改變；

第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)3、攻擊持續(xù)過程中，Hurst系數(shù)值發(fā)生較大抖動，

H<0.5，0.5<H<1.0，以及H>1.0都有發(fā)生。同時還發(fā)現(xiàn)，所有1920個攻擊樣本的實驗數(shù)據(jù)都顯示出一個共同規(guī)律，Hurst系數(shù)在攻擊持續(xù)過程中的抖動不會全部集中于0.5～1.0之間（只有自相似性程度較好的正常流量才應完全符合此條件）。從全部實驗樣本可得，在攻擊持續(xù)過程中，Hurst系數(shù)在0.5～1.0之間變化的最大連續(xù)時間間隔個數(shù)為4，本文將其記為CCmax（continuouscountmax）。該數(shù)值反映了在特定背景流量、特定的攻擊方式和大小下，Hurst系數(shù)在攻擊持續(xù)過程中的變化程度，可作為描述攻擊持續(xù)過程的重要特征參數(shù)。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)4、攻擊結(jié)束后的較短時間內(nèi)（實驗中該時間間隔小于1秒），Hurst系數(shù)再次發(fā)生較大變化，表示網(wǎng)絡流量的自相似性特性再次受到較大影響；5、對于不同大小的攻擊流量，其Hurst系數(shù)值在攻擊發(fā)生時，變化幅度有一定差異，表現(xiàn)出攻擊流量越大系數(shù)抖動越大的現(xiàn)象。這可以解釋為不同流量的攻擊對網(wǎng)絡自相似性系數(shù)的影響程度，是隨攻擊大小成正比關系的。但在本章的實驗中，無論攻擊大小，此時的Hurst系數(shù)都大于1.0；第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)6、對于變速（漸增或漸減）攻擊而言，流量逐漸變化對網(wǎng)絡自相似性的影響，基本與連續(xù)的、恒定速率的攻擊區(qū)別不大；7、攻擊發(fā)生和結(jié)束時，Hurst系數(shù)變化相對較大，其值都達到1.0以上，但在實驗過程中，甚至無攻擊流量時，Hurst系數(shù)本身也有較大抖動。因而不能以此作為攻擊發(fā)生或結(jié)束的準確判斷條件；8、由于計算Hurst系數(shù)的時間很小，該方法能保證檢測的及時性。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)六、

DDoS攻擊的判決依據(jù)1、實驗原始數(shù)據(jù)不能直接作為判據(jù)不能直接以Hurst系數(shù)作為準確的判據(jù)條件，有以下兩個原因：在攻擊持續(xù)過程中所計算出的Hurst系數(shù)值，隨時間變化很大，并且有時大于1.0或小于0.5；在攻擊沒有發(fā)生、僅有正常流量的情況下，Hurst系數(shù)值也會隨時間而發(fā)生變化，有時還比較大；第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)2、變換計算進一步分析可知，攻擊發(fā)生時的Hurst系數(shù)變化程度遠大于此前一段時間的變化，而在攻擊持續(xù)過程中，任一時刻的變化程度都不具有此特征，只要能將此本質(zhì)特征表達出來就可以作為判決依據(jù)，方差這一數(shù)學工具就能滿足以上需求。為此，對原始實驗數(shù)據(jù)進行變換計算，將時刻t的Hurst方差定義為從0到t的所有Hurst系數(shù)值的方差，并得出DDoS攻擊發(fā)生前后Hurst系數(shù)方差變化圖。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn) 限于篇幅，本文僅給出方差變化圖示例，如下圖所示，對其它數(shù)據(jù)樣本進行變換計算后的結(jié)果與此類似，這里從略。

圖5.13背景流量TDF38、攻擊方式A1下的Hurst方差變化第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)

圖5.14背景流量TDF38、攻擊方式A2下的Hurst方差變化第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)

圖5.15背景流量TDF38、攻擊方式A3下的Hurst方差變化第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)3、對變換計算的結(jié)果進行分析(1)在沒有攻擊發(fā)生時，相鄰計算時間間隔的Hurst系數(shù)方差變化比較平穩(wěn)；(2)發(fā)生了較大變化，在1920個實驗樣本數(shù)據(jù)中，該變化值均大于2倍；(3)在攻擊持續(xù)過程中，方差值也隨時間有一定變化，但即便在較大情況下也小于1.5倍。對1920個實驗樣本數(shù)據(jù)進行全面分析，攻擊持續(xù)過程中相鄰時間間隔的Hurst系數(shù)方差變化值沒有任何1次大于2倍；第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)(4)如攻擊發(fā)生時那樣顯著，因而不能把方差變化作為結(jié)束的判據(jù)；(5)不同大小的攻擊流量對方差變化的影響程度不同，在同樣背景流量下，方差變化程度與攻擊流量的大小成正比；(6)另外，在Hurst系數(shù)已知的基礎上，進一步求出系數(shù)方差的計算開銷不會顯著增長。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)4、DDoS攻擊發(fā)生判據(jù)由以上分析可得結(jié)論，DDoS攻擊發(fā)生的判據(jù)為：按設定時隔，不斷對網(wǎng)絡流量自相似性系數(shù)Hurst的方差進行計算，當相鄰兩個時隔的變化超過2倍時，可判決為攻擊發(fā)生。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)5、DDoS攻擊結(jié)束判據(jù)攻擊結(jié)束時，實時判決所存在的困難可以通過延遲判決的方法來加以解決。只要沒有新的攻擊到達，其Hurst系數(shù)由于具有自相似特性，將一直在0.5～1.0之間變化，不會受到CCmax值的約束，由此可得出DDoS攻擊的結(jié)束判據(jù)。

DDoS攻擊的結(jié)束判據(jù)為：當攻擊發(fā)生后，如果從某個時刻起，超過系統(tǒng)給定的CCmax個計算時隔，Hurst值的變化都持續(xù)保持在0.5~1.0，則可判斷為攻擊結(jié)束。第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)6、CCmax值大小的選取

CCmax不應選取過大，這會導致判決的延遲過長以及系統(tǒng)“空轉(zhuǎn)”而引起的開銷增加；

CCmax更不能選取過小，否則會出現(xiàn)系統(tǒng)誤判；

權(quán)衡以上兩個因素，誤判的損失遠大于增加系統(tǒng)開銷所帶來的損失。所以在實際防護系統(tǒng)的設計中，CCmax可以在經(jīng)驗值基礎上適當加大。

第六節(jié)DDoS攻擊的實驗環(huán)境與實現(xiàn)圖5.16DDoS攻擊起止判據(jù)示意圖第七節(jié)判決攻擊發(fā)生的有效性 攻擊結(jié)束判決條件：從實驗過程、數(shù)據(jù)和分析可知，攻擊的結(jié)束判決條件是以網(wǎng)絡自相似性定義作為理論依據(jù)，并已通過了實驗的驗證，無需進一步分析。一、發(fā)生條件：1、針對攻擊發(fā)生時的判決條件的充要性進行研究。從形式邏輯的角度看，與等價應有與互為充要條件，只有在此情況下，滿足條件時所做出的結(jié)論才是準確的。2、條件是指“相鄰時隔Hurst方差變化大于2倍”，而結(jié)論則為“攻擊發(fā)生”。它們是否互為充要條件？

3、問題的表述。在并非攻擊流量，而是突發(fā)的大量正常流量到達時，是否會滿足同樣的判決條件，這是針對該判決條件虛警率的研究；對于主要針對主機資源耗盡的DDoS攻擊，該判決條件是否有效，這是針對該判決條件漏報率的研究；4、以上判決條件的有效性問題可用圖的形式加以表示，圖中的交叉區(qū)域是判決條件等價于結(jié)論的情形，而非交叉區(qū)域是誤判和漏判情況。第七節(jié)判決攻擊發(fā)生的有效性圖5.17判決條件的有效性第七節(jié)判決攻擊發(fā)生的有效性二、虛警情況的研究1、數(shù)據(jù)采集 主要針對大量正常流量到達對Hurst系數(shù)方差變化造成的影響，進行了相關實驗和分析。為此，采集了兩組大流量的正常數(shù)據(jù)樣本，一組是在電子科技大學信息中心對Web服務器訪問高峰期進行的流量數(shù)據(jù)采樣數(shù)據(jù)采集時間2.5小時，即9000秒，并將其分解為20個正常流量的數(shù)據(jù)樣本（NaturalDataFile）NDF1～20，每個450秒，這部分數(shù)據(jù)可作為中等正常網(wǎng)絡流量的代表；另一組是對電子科技大學出口流量的高峰期進行的流量數(shù)據(jù)采樣，數(shù)據(jù)采集時間2.5小時，即9000秒，并將其分解為20個正常流量的數(shù)據(jù)樣本（NaturalDataFile）NDF21～40，每個450秒，這部分數(shù)據(jù)可作為較大正常網(wǎng)絡流量的代表。第七節(jié)判決攻擊發(fā)生的有效性2、實驗過程與結(jié)果將NDF1～40分別疊加到背景流量TDF1～TDF160中，疊加方法為當TDF開始450秒后，再將NDF疊加上去，實驗共進行40×160＝6400次。計算每次開始疊加時相鄰時隔Hurst方差的變化情況，共記錄了6400個樣本數(shù)據(jù)，并按照背景流量樣本TDF為序作圖，共160幅。分析實驗數(shù)據(jù)可知，在所有160幅圖的6400個方差變化數(shù)據(jù)中，僅在TDF74與NDF7以及TDF133與NDF32進行疊加時出現(xiàn)了方差值略大于2倍的情況，前者為2.23，后者為2.11，其余的6398個方差變化倍數(shù)值均小于2.0。限于篇幅，僅列出TDF74和TDF133的情況，其余樣本圖從略。第七節(jié)判決攻擊發(fā)生的有效性圖5.18各正常流量樣本數(shù)據(jù)與背景流量TDF74開始疊加的Hrust方差變化情況實驗結(jié)果如下圖所示：第七節(jié)判決攻擊發(fā)生的有效性實驗結(jié)果如下圖所示：圖5.19各正常流量樣本數(shù)據(jù)與背景流量TDF133開始疊加的Hrust方差變化情況第七節(jié)判決攻擊發(fā)生的有效性3、通過分析可知：（1）當較大的突發(fā)正常流量到達時，絕大部分情況下相鄰時隔的Hurst系數(shù)方差變化在1.4倍以下，在極為個別的情況下變化倍數(shù)值超過了2.0。如果使用本章的判決條件，該情況即為誤判。如果將誤判率定義為誤判次數(shù)與疊加后的總測試次數(shù)的比值，則在本實驗中的誤判率為0.000625（2/3200），由此可知該判決條件的誤判率很小；（2）對以上情況進行分析，突發(fā)的正常流量加入網(wǎng)絡后不會從根本上改變原有背景流量的相關性，這一點與DDoS攻擊發(fā)生時不同，前者相關性較弱，而后者由于DDoS攻擊的發(fā)生機制而相關性較強。因此，本章給出的判決條件可以區(qū)分流量的增加是正常流量的到達還是DDoS攻擊的發(fā)生；第七節(jié)判決攻擊發(fā)生的有效性（3）進一步分析發(fā)現(xiàn)，誤判存在著三種可能性。其一，該判決條件本身就存在一定的誤判率；其二，因誤差而出現(xiàn)的誤判，對于這樣的情況可通 過提高實驗精度來加以解決；其三，在個別情況下，當正常流量的突發(fā)性達到某個程度時，相關性可能會受到較大改變，甚至類似于DDoS攻擊，對于這樣的情況（即突發(fā)的正常流量造成了拒絕服務效果），該判決可視為正確的判決結(jié)果； 從本章實驗結(jié)果可以看出，該判決條件具有很小的誤判率，因此不會影響到檢測的有效性。第七節(jié)判決攻擊發(fā)生的有效性三、

漏判情況的研究

下面再考慮漏判的情況，對于造成主機資源耗盡的DDoS攻擊類型（如半連接等），由于這類攻擊并未通過大流量來造成網(wǎng)絡擁塞，而可能是通過發(fā)送多個小數(shù)據(jù)包消耗主機資源來達到攻擊效果，所以在其攻擊過程中的網(wǎng)絡流量變化不會太大，是否能按本章的方式進行判決需要進一步考慮。第七節(jié)判決攻擊發(fā)生的有效性 結(jié)論： 由以上分析可見，本節(jié)所提出的判據(jù)對引起流量變化較大的DDoS攻擊具 有較好適用性，并具有較小的誤判和漏判率，而對于主機資源耗盡類型的攻擊判決條件還需要作進一步的實驗和研究工作。附:參考文獻

陳惠民，蔡弘，李衍達，“自相似業(yè)務：基于多分辨率采樣和小波分析的Hurst系數(shù)估計方法”，電子學報，1998,7.VernPaxson,Fast,ApproximateSynthesisofFractionalGaussianNoiseforGeneratingSelf-SimilarNetworkTraffic.ComputerCommunicationsReview,V.27N.5,October1997,pp.5-18.LelandW.,TaqquM.,WillingerW.andWilsonD.,’OntheSelf-SimilarNatureofEthernetTraffic’,ProceedingsofACMSIGCOMM,1993.