基于快速分數階傅氏變換的DDoS攻擊檢測

陳世文，郭通，黃萬偉

國家數字交換系統工程技術研究中心，鄭州 450002

基于快速分數階傅氏變換的DDoS攻擊檢測

陳世文，郭通，黃萬偉

國家數字交換系統工程技術研究中心，鄭州 450002

1 引言

分布式拒絕服務攻擊（DDoS）[1]利用網絡協議和操作系統的漏洞，向攻擊目標發送大量服務請求，占用網絡帶寬資源和主機資源，是影響互聯網運行安全最主要的威脅之一[2]。DDoS攻擊具有易于發起、并發程度高、隱蔽性強等特點，給傳統的基于特征匹配的檢測與應對手段帶來很大困難。因此，如何準確有效地檢測DDoS攻擊是一個需要深入研究的問題。

由于DDoS攻擊報文本身并不攜帶任何惡意代碼，在內容上完全合法，很難提取到DDoS攻擊固有的“指紋”，因此，典型的特征匹配等誤用檢測方法對于DDoS攻擊漏報率高，不能很好地發揮作用，故通常采用基于異常的檢測方法，通過比較待測特征與正常模型的偏離程度來識別DDoS攻擊。基于異常的檢測方法主要包括基于分布特性的檢測、基于流量統計異常的檢測等方法。

基于分布特性的檢測方法利用DDoS攻擊存在的分布特性，如源IP地址趨于分散、目標IP地址相對集中等，已提出了監控源IP地址、源目的IP地址對、流連接密度FCD、流特征分布熵TFDE[3-6]等多種方法，這些方法針對性強、檢測精度較高，但特征提取與預處理過程復雜，普適性不強，在檢測算法上通常還需要采用決策樹、支持向量機等機器學習方法，實現復雜度高。基于流量統計異常的檢測方法利用攻擊時流量的突發性增長特性，Blazek[7]通過監控網絡流量與正常流量的偏移來識別攻擊，方法簡單但精度不高，無法區分正常的大流量和攻擊流量，因而誤報率較高。

研究表明，網絡流量具有自相似性和長相關性[8-9]，而DDoS攻擊會影響網絡流量的自相似性，使表征網絡流量突發特性的Hurst指數產生明顯變化。通常，網絡流量的Hurst指數在0.5～1之間，Hurst指數越大說明網絡的自相似程度越高，突發性也越強，當DDoS攻擊發生時，攻擊數據包將降低網絡的自相似性，引起Hurst指數降低，完全阻塞時流量將趨向于泊松分布過程，Hurst指數變為0.5[10]，已有的Hurst指數估計方法包括方差-時間（V-T）法、R/S（Rescaled Range）法、周期圖法、Whittle估計法和小波分析法等[11]。其中，以小波分析法精度高，速度快，但實現過程繁瑣，復雜度高。

近年來，分數階傅里葉變換（Fractional Fourier Transform，FrFT）[12]以其具有的時頻旋轉特性在信號處理和通信技術等領域得到了廣泛的應用[13-16]，Chen等[14]基于FrFT對網絡的自相似性進行了分析，并引入局部分析的方法進行Hurst指數估計，估計精度高，但該方法的計算復雜度為O(N2)，無法用于實際流量的Hurst指數求解。針對以上問題，本文提出了一種基于快速分數階傅里葉變換（FFrFT）求解Hurst指數的DDoS攻擊檢測方法，通過監測Hurst指數變化閾值判斷是否存在DDoS攻擊。在DARPA2000數據集和不同強度TFN2K攻擊流量數據集上進行了DDoS攻擊檢測實驗，實驗結果表明，基于FFrFT的DDoS攻擊檢測方法有效，相比于常用的小波方法，該方法的計算復雜度低，實現簡單且精度更高，能夠檢測強度較弱的DDoS攻擊，有效降低漏報、誤報率。

2 基于FFrFT的DDoS攻擊檢測方法

2.1 FFrFT的定義

分數階Fourier變換是對經典Fourier變換的推廣，分數階Fourier域可以理解為一種統一的時頻變換域[12]。

定義1信號x(t)的a階分數階Fourier變換定義為：

n∈?，α=aπ/2，a為分數階Fourier變換的階數，當a=1時，FrFT即為標準Fourier變換。FrFT簡記為Fa。

其中(Fa(g)Fa(h))表示位向量乘法，式（2）FrFT的實現需要兩次快速Fourier變換和一次FFT逆運算，其計算復雜度為O(NlbN)[13，16]。

2.2 Hurst指數估計

由文獻[14]可知，連續小波變換有：

式（3）建立FFrFT與小波變換之間的聯系。

通過采用Mallat算法[17]，可得：

由式（3）和式（4），可以得到FFrFT能量譜E[g2(j)]的對數尺度關系為：

為排除采樣噪聲、序列中的周期成份等因素對Hurst指數估計準確性的影響，采用確定的分形高斯噪聲序列（FGN），對比V-T、R/S、小波、FrFT LASS[14]和FFrFT五種方法進行Hurst指數估計的準確性，結果如表1所示。

表1 不同方法對FGN序列的Hurst指數估計結果

由表1可知，FFrFT方法的Hurst指數估計精度優于小波等其他方法。同時，V-T、R/S、小波、FrFT LASS[14]和FFrFT五種方法的計算復雜度分別為O(N)、O(N2)、O(NlbN)、O(N2)和O(NlbN)，可知FFrFT方法計算復雜度較低，而且實現簡單。因此，綜合考慮估計精度、實現復雜度與效率，FFrFT方法優于小波等其他Hurst指數估計方法。

2.3 DDoS攻擊檢測方法

基于FFrFT的DDoS攻擊檢測系統框圖如圖1所示。

在訓練階段，系統對離線數據進行特征提取，即提取每個數據包的到達時間與數據包大小，然后進行數據預處理，按照不同的時間尺度對給定時間間隔內的數據包大小完成統計合并，并利用FFrFT求解Hurst指數，分別采用正常流量與攻擊流量數據進行訓練，得到Hurst指數的變化閾值，取變化閾值的中心點作為DDoS攻擊的判決門限。

圖1 Hurst指數估計DDoS攻擊檢測系統框圖

在檢測階段，對被監控流量進行特征提取、數據預處理并計算Hurst指數，與通過訓練設定的判決門限相比較，當Hurst指數下降超過設置門限閾值時，判定發生了DDoS攻擊。

采用FFrFT估計Hurst指數的具體算法流程如下：

輸入參數：原始數據X[n]，分數階Fourier變換階數a，Hurst指數門限θ。

步驟1利用FFT實現原始數據的快速分數階Fourier變換。

步驟2計算實現FrFT后原始數據的能量譜E[g2(j)]。

步驟3根據G(j)與能量譜的對數關系獲得G(j)。

步驟4對不同的尺度區間進行方差擬合度檢驗，得到最優的尺度區間[j1,j2]。

步驟5根據最優尺度區間進行參數估計。

步驟6利用公式（6）計算Hurst指數估計值。

步驟7計算Δh=Hn-Ha，如果|Δh|＞θ，判斷DDoS攻擊。

3 實驗結果分析

3.1 實驗數據集

采用MAWI數據集[18]中的一部分數據作為正常背景流量（2011/10/14），記為Dataset1，MIT Lincoln實驗室LLS_ DDoS2.0.2[19]數據集作為攻擊數據，記為Dataset2。Dataset2隨時間變化的流量如圖2所示。

3.2 DDoS攻擊檢測

從Dataset1和Dataset2中分別提取100 s數據進行混合，其中從Dataset2的236 753個數據包中提取的內容包含攻擊數據段。利用FFrFT算法求解Hurst指數，實驗結果如圖3所示。

由圖3可知，正常流量下的Hurst指數基本穩定，發生DDoS攻擊時，FFrFT測得的Hurst指數急劇降低，設定Hurst指數變化門限θ=0.25，可以檢測到在25～33 s時間段內發生了DDoS攻擊。

圖2 DARPA2000數據集LLS_DDoS2.0.2流量

圖3 DDoS攻擊流量數據的Hurst指數估計

3.3 檢測性能對比

采用DDoS攻擊工具TFN2K每隔10 s針對攻擊目標產生不同強度的攻擊數據，并用WinDump捕獲后與Dataset1進行混合，在95 s時間內形成9次攻擊，采用FFrFT方法和小波方法對其進行DDoS攻擊檢測，實驗結果分別如圖4（a）和圖4（b）所示。

圖4 TFN2K不同強度DDoS攻擊的檢測結果對比

圖4（a）采用FFrFT求解Hurst指數共檢測到了9次DDoS攻擊，而圖4（b）采用小波求解Hurst指數只檢測到了8次DDoS攻擊，在50 s時強度較弱的DDoS攻擊未被發現。比較圖4（a）和圖4（b）可見，FFrFT方法的攻擊檢測精度優于小波方法。

4 結束語

本文提出了一種新的利用網絡流量自相似性變化檢測DDoS攻擊的方法，該方法利用快速分數階Fourier變換求解Hurst指數，通過監測Hurst指數變化閾值判斷是否存在DDoS攻擊。在DARPA2000數據集和不同強度TFN2K攻擊流量數據集上進行了DDoS攻擊檢測實驗，實驗結果表明，基于FFrFT的DDoS攻擊檢測方法有效，相比于常用的小波方法，該方法的計算復雜度低、Hurst指數估計精度更高，能夠檢測強度較弱的DDoS攻擊。因此，基于FFrFT的DDoS攻擊檢測方法可有效降低漏報、誤報率。下一步的研究將考慮如何與機器學習算法相結合，以實現對實時網絡流量DDoS攻擊的高效檢測。

[1]Hakem B，Geert D.Analyzing well-known countermeasures against distributed denial of service attacks[J].Computer Communications，2012，35（11）：1312-1332.

[2]國家計算機網絡應急技術處理協調中心.2012年我國互聯網網絡安全態勢綜述[EB/OL].[2013-03-20].http：//www.cert.org. cn/publish/main/upload/File/201303212012CNCERTreport.pdf.

[3]Peng T，Leckie C，Ramamohanarao K.Proactively detecting distributed denial of service attacks using source ip address monitoring[C]//Proc of the Third International IFIP-TC6 Networking Conference，2004：771-782.

[4]孫知信，李清東.基于源目的IP地址對數據庫的防范DDoS攻擊策略[J].軟件學報，2007，18（10）：2613-2623.

[5]孫慶東，張德運，高鵬.基于時間序列分析的分布式拒絕服務攻擊檢測[J].計算機學報，2005，28（5）：767-773.

[6]Lakhina A，Crovella M，Diot C.Mining anomalies using traffic feature distributions[C]//Proc of ACM SIGCOMM2005，Philadelphia，Pennsylvania，USA，2005.

[7]Blazek R B，Kim H，Rozovskii B，et al.A novel approach to detection of“denial-of-service”attacks via adaptive sequential and batch sequential change-point detection methods[C]// Proc of IEEE Systems，Man and Cybernetics Information Assurance Workshop，2001.

[8]Gupta H，Ribeiro V J，Mahanti A.A longitudinal study of small-time scaling behavior of Internet traffic[C]//LNCS 6091：Networking 2010，2010：83-95.

[9]Leland W E，Taqqu M S，Willinger W，et al.On the self-similar nature of Ethernet traffic[J].ACM SIGCOMM Computer Communication Review，1993，23（4）：183-193.

[10]任勛益，王汝傳，王海艷.基于自相似檢測DDoS攻擊的小波分析方法[J].通信學報，2006，27（5）：6-11.

[11]Barulescu A，Serban C，Maftel C.Evaluation of Hurst exponent for precipitation time series[J].Latest Trends on Computers，2010，2：590-595.

[12]Almeida L B.The fractional Fourier transform and time-frequency representations[J].IEEE Trans on Signal Processing，1994，42（11）：3084-3091.

[13]Bultheel A，Martinez Sulbaran H E.Computation of the fractional Fourier transform[J].Applied and Computational Harmonic Analysis，2004，16（3）：182-202.

[14]Chen Yangquan，Sun Rongtao，Zhou Anhong.An improved Hurst parameter estimator based on fractional Fourier transform[J].Telecommun System，2010，43：197-206.

[15]Ciflikli C，Gezer A.Self similarity analysis via fractional Fourier transform[J].Simulation Modeling Practice and Theory，2011，19：986-995.

[16]Campos R G，Rico-Melgoza J，Chavez E.A new formulation of the fast fractional Fourier transform[J].SIAM Journal on Scientific Computing，2012，34（2）：1110-1125.

[17]Percival D B，Walden A T.Wavelet methods for time series analysis[D].New York，USA：Cambridge University Press，2006：56-70.

[18]MAWI working group traffic archive[EB/OL].[2010-12-01]. http：//tracer.csl.sony.co.jp/mawi.

[19]MIT Lincoln Laboratory.2000 DARPA intrusion detection evaluation data set[EB/OL].[2010-12-01].http：//www.ll.mit.edu/ mission/communications/cyber/CSTcorpora/ideval/data/2000data. html.

CHEN Shiwen,GUO Tong,HUANG Wanwei

China National Digital Switching System Engineering and Technological R&D Center,Zhengzhou 450002,China

Aiming at the low detecting accuracy,high training complexity and poor adaptability in DDoS attacks detection methods, a new DDoS attack model based on fast fractional Fourier transform is proposed.It utilizes the principle that DDoS attacks would impact the self-similarity of the traffic,then detects DDoS attacks by monitoring the change range of the Hurst parameter.In DARPA2000 dataset and TFN2K attacks traffic under different intensity,this paper compares the new algorithm with wavelet method and etc.The experimental results reveal that the method has lower compute complexity and better detecting accuracy.

distributed denial of service;fast fractional Fourier transform;self-similarity;Hurst parameter

針對傳統檢測方法存在精度低、訓練復雜度高、適應性差的問題，提出了基于快速分數階Fourier變換估計Hurst指數的DDoS攻擊檢測方法。利用DDoS攻擊對網絡流量自相似性的影響，通過監測Hurst指數變化閾值判斷是否存在DDoS攻擊。在DARPA2000數據集和不同強度TFN2K攻擊流量數據集上進行了DDoS攻擊檢測實驗，實驗結果表明，基于FFrFT的DDoS攻擊檢測方法有效，相比于常用的小波方法，該方法計算復雜度低，實現簡單，Hurst指數估計精度更高，能夠檢測強度較弱的DDoS攻擊，可有效降低漏報、誤報率。

分布式拒絕服務；快速分數階Fourier變換；自相似性；Hurst指數

A

TP393.0

10.3778/j.issn.1002-8331.1303-0020

CHEN Shiwen,GUO Tong,HUANG Wanwei.DDoS attack detection based on fast fractional Fourier transform.Computer Engineering and Applications,2013,49（24）：4-7.

國家重點基礎研究發展規劃（973）（No.G2012CB315900）。

陳世文（1974—），男，博士研究生，CCF會員，研究領域為寬帶信息網絡，機器學習；郭通（1984—），男，博士生，研究領域為寬帶信息網絡與高速業務管控等；黃萬偉（1979—），男，博士，講師，研究領域為寬帶信息網絡。E-mail：ndsccsw@126.com

2013-03-04

2013-07-24

1002-8331（2013）24-0004-04

CNKI出版日期：2013-09-26http://www.cnki.net/kcms/detail/11.2127.TP.20130926.1645.013.html