基于非平穩(wěn)信號(hào)時(shí)頻分析的DDoS攻擊檢測(cè)仿真

李亞利，劉 佳

(1. 北京聯(lián)合大學(xué)應(yīng)用科技學(xué)院，北京 100101；2. 北京聯(lián)合大學(xué)教務(wù)處，北京 100101)

1 引言

在相對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境中，對(duì)使用者進(jìn)行惡意攻擊的特征，通常表現(xiàn)為一組非平穩(wěn)的寬帶信號(hào)。因此，對(duì)該信號(hào)的檢測(cè)可以使用檢測(cè)信號(hào)的方法來(lái)實(shí)現(xiàn)，能夠最大程度保證網(wǎng)絡(luò)的安全。而DDoS的攻擊分為協(xié)作與分布兩種方式，以此進(jìn)行大規(guī)模的攻擊，該種攻擊方法會(huì)致使被攻擊者的網(wǎng)絡(luò)以及系統(tǒng)資源快速消耗，最終導(dǎo)致網(wǎng)絡(luò)失效，甚至使系統(tǒng)崩潰，使其無(wú)法運(yùn)轉(zhuǎn)，而且DDoS的攻擊方式會(huì)帶有一些軟件不斷的重復(fù)出現(xiàn)，因此，DDoS的攻擊方式雖然相對(duì)簡(jiǎn)單，但是對(duì)網(wǎng)絡(luò)安全的威脅較大。

對(duì)比其它的一些網(wǎng)絡(luò)攻擊方式，DDoS所采用攻擊特點(diǎn)是分布式的，將傳統(tǒng)的點(diǎn)與點(diǎn)之間互相攻擊，變成現(xiàn)在的數(shù)據(jù)流攻擊，并且采用無(wú)規(guī)律的攻擊模式，在協(xié)議和服務(wù)類(lèi)之間很難區(qū)別是惡意的攻擊還是正常連接，因?yàn)楣魯?shù)據(jù)全都是經(jīng)過(guò)包裝的，無(wú)法對(duì)其來(lái)源進(jìn)行識(shí)別。

文獻(xiàn)[1]針對(duì)非平穩(wěn)陣列的信號(hào)處理結(jié)果，驗(yàn)證采用時(shí)頻分析的處理手段能夠提高不相同信源到達(dá)其角的分辨能力以及估計(jì)精度，以提高多信號(hào)分量環(huán)境下時(shí)頻所表示的能量聚集性為目標(biāo)，提出一種基于自適應(yīng)局部的多項(xiàng)式傅里葉變換方法，利用該方法對(duì)信號(hào)瞬間頻率曲線的多項(xiàng)式進(jìn)行擬合，以此確認(rèn)LPFT的窗函數(shù)長(zhǎng)度以及各階段系數(shù)，通過(guò)最小的計(jì)算量來(lái)實(shí)現(xiàn)自適應(yīng)的時(shí)頻分析，最終的仿真結(jié)果證明：和其它時(shí)頻MUSIC的計(jì)算方法相比，此方法對(duì)信號(hào)形勢(shì)的適應(yīng)能力較強(qiáng)，在DOA的估計(jì)精度和信號(hào)源角度分辨能力等方面具有很強(qiáng)的優(yōu)勢(shì)。

文獻(xiàn)[2]認(rèn)為分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)大環(huán)境下最具有破壞力的攻擊手段之一，目前基于機(jī)器學(xué)習(xí)的攻擊檢測(cè)方法通常是直接把某一時(shí)刻的特征值代入進(jìn)分類(lèi)器中分類(lèi)，并不會(huì)考慮到相鄰時(shí)刻特征聯(lián)系，從而致使誤報(bào)率與漏報(bào)率較高。為此提出一種隱馬爾科夫模型HMM時(shí)間序列預(yù)測(cè)與混沌模型的DDoS攻擊檢測(cè)方式。分析大規(guī)模的網(wǎng)絡(luò)流量突發(fā)性攻擊特征，并定義加權(quán)特征NTWF與網(wǎng)絡(luò)流平均速率NFAR二元組特征，通過(guò)層次聚類(lèi)計(jì)算法對(duì)訓(xùn)練集進(jìn)行分類(lèi)，得到隱層狀態(tài)的HLS序列。使用NTWF序列與HLS序列對(duì)HMM進(jìn)行監(jiān)督學(xué)習(xí)，能夠獲得狀態(tài)轉(zhuǎn)移矩陣與混淆矩陣，完成NTWF序列的預(yù)測(cè)，最終采用混沌模型來(lái)分析NTWF序列的預(yù)測(cè)誤差，以此結(jié)合NFAR規(guī)則識(shí)別攻擊。

將上述兩種方法進(jìn)行綜合，本文提出基于非平穩(wěn)信號(hào)時(shí)頻分析的DDoS攻擊檢測(cè)方法，此方法是先利用包絡(luò)延拓法構(gòu)建DDoS攻擊信號(hào)模型，因?yàn)镈DoS具有良好的聚集性，從而可以提取時(shí)頻特征，最后通過(guò)兩者對(duì)DDoS的攻擊進(jìn)行檢測(cè)。

2 建立DDoS的攻擊信號(hào)模型

在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，DDoS的攻擊方式會(huì)表現(xiàn)為一組非平穩(wěn)的寬帶信號(hào)，要想實(shí)現(xiàn)對(duì)DDoS的攻擊進(jìn)行檢測(cè)，需要建立攻擊信號(hào)模型。采用包絡(luò)延拓?cái)U(kuò)展法完成攻擊信號(hào)模型的建立建[3]。

DDoS的攻擊非平穩(wěn)信號(hào)時(shí)間采樣，符合{x(t1)，x(t2)，…，x(tn)}的聯(lián)合分布函數(shù)和{x(t1+τ)，x(t2+τ)，…，x(tn+τ)}的聯(lián)合分布函數(shù)。其相關(guān)性較強(qiáng)，所以，時(shí)頻域內(nèi)DDoS的攻擊信號(hào)為頻譜序列，是一種三維連續(xù)的自治系統(tǒng)。因此DDoS被視為攻擊非平穩(wěn)信號(hào)系統(tǒng)函數(shù)[4]，計(jì)算公式為

θ1(k+1)=θ1(k)-μ[y(k)]

(1)

式中：θ1(k)代表初始狀態(tài)向量，μ代表非平穩(wěn)信號(hào)的攻擊因子，y(k)代表網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號(hào)的瞬時(shí)幅度，其極坐標(biāo)形式的計(jì)算公式為

(2)

(3)

式中：a(t)代表包絡(luò)，φ(t)代表瞬時(shí)相位，s(t)表示非平穩(wěn)帶寬信號(hào)，s(t)表示輸入信號(hào)調(diào)整系數(shù)。DDoS的攻擊非平穩(wěn)信號(hào)，其實(shí)信號(hào)的頻譜則是共軛對(duì)稱(chēng)，攻擊幅度為A，因此，DDoS攻擊非平穩(wěn)寬帶信號(hào)頻譜正頻部分[5]，能夠相對(duì)的自適應(yīng)調(diào)節(jié)，具體的輸入信號(hào)調(diào)整系數(shù)公式為

(4)

其中，ai(t)表示第i個(gè)信號(hào)包絡(luò)，si(t)表示第i個(gè)非平穩(wěn)帶寬信號(hào)，n(t)表示輸入信號(hào)調(diào)整函數(shù)。

攻擊數(shù)據(jù)需要?jiǎng)討B(tài)更新，然后利用防火墻對(duì)DDoS的攻擊特征進(jìn)行數(shù)據(jù)采樣與時(shí)間更新，能夠獲得DDoS的攻擊非平穩(wěn)信號(hào)z(t)頻譜公式為

(5)

式中：S(f)表示頻譜傳輸函數(shù)，Z(t)能夠由S(f)采用定量遞歸分析獲得，不過(guò)H(f)是奇對(duì)稱(chēng)的階躍式傳輸函數(shù)，公式為

(6)

將M設(shè)定為全方向性的攻擊鏈路動(dòng)態(tài)信號(hào)，其攻擊信號(hào)Ac和P的干擾信號(hào)是利用θ0，θ1，…，θP的角度進(jìn)行重構(gòu)收縮的，所以，需要對(duì)時(shí)頻分布中的群延時(shí)特征分布與瞬時(shí)頻率、進(jìn)行計(jì)算，從而構(gòu)建攻擊信號(hào)模型[6]。

通過(guò)混疊譜模糊度函數(shù)對(duì)頻譜特征分析，假如把頻譜特征ωk按照群延時(shí)特征因子uk與ek的組成原則來(lái)分解雙曲調(diào)頻，就可以獲得DDoS的攻擊的群延時(shí)特征分布公式

(7)

正常情況中，DDoS攻擊信號(hào)是變非平穩(wěn)的，因其在非平穩(wěn)的寬帶信號(hào)內(nèi)，其瞬時(shí)的物理量非常重要，使其q為多項(xiàng)式的階數(shù)，具體的滿足條件為：q≥p，采用Gabor函數(shù)的平均測(cè)度特征向量[7]，能夠獲得DDoS攻擊非平穩(wěn)時(shí)變瞬時(shí)頻率估計(jì)公式為

(8)

式中：γ(t)代表均勻采樣的頻譜均值，ck代表瞬時(shí)頻率的時(shí)間平均值，τ代表時(shí)間采樣的步長(zhǎng)(相當(dāng)于Δt)，bk代表平均頻率。而當(dāng)權(quán)系數(shù)能夠滿足b0=0時(shí)，DDoS的攻擊非平穩(wěn)信號(hào)譜平均頻率等于瞬時(shí)頻率。

根據(jù)上述獲得的群延時(shí)特征分布與瞬時(shí)頻率就可以獲得攻擊信號(hào)模型公式為

(9)

在建立DDoS的攻擊信號(hào)模型，為之后DDoS攻擊檢測(cè)提供基礎(chǔ)[8]。

3 非平穩(wěn)寬帶信號(hào)時(shí)頻特征提取

DDoS攻擊非平穩(wěn)寬帶信號(hào)時(shí)頻特征，具有良好的時(shí)頻聚集性，對(duì)其進(jìn)行時(shí)頻分析之前，通常要將DDoS攻擊非平穩(wěn)寬帶信號(hào)s(t)變成復(fù)DDoS的攻擊非平穩(wěn)寬帶信號(hào)z(t)形式，在提取時(shí)頻特征以后，DDoS的攻擊非平穩(wěn)寬帶信號(hào)s(t)視為復(fù)信號(hào)z(t)的實(shí)部，而x(t)作為虛部，其時(shí)頻特征提取方法如圖1所示[9]。

圖1 DDoS攻擊信號(hào)的時(shí)頻特征提取瞬時(shí)頻率估計(jì)方法

在色噪聲的背景中，利用雙線性的Hough變化可以獲得DDoS的攻擊非平穩(wěn)寬帶鏈路層，其具體的信息質(zhì)量公式為

G(t)=s(t)+Mx(t)

(10)

把所有的數(shù)據(jù)量結(jié)合在一起可以獲得一個(gè)總的數(shù)據(jù)流，通過(guò)此方法進(jìn)行時(shí)頻對(duì)偶變化，能夠獲得DDoS的攻擊信號(hào)的時(shí)頻特征，其分量瞬時(shí)頻率的估計(jì)公式為

(11)

若DDoS的攻擊非平穩(wěn)寬帶信號(hào)分量瞬時(shí)頻率有交點(diǎn)，能夠通過(guò)雙線性Hough的變換法對(duì)頻譜特征進(jìn)行分析，在以時(shí)間坐標(biāo)軸的中心點(diǎn)作為中心，選擇較為適當(dāng)?shù)泥徲騕10]，可以獲得攻擊序列具體的頻譜畸變部分估計(jì)公式為

(12)

把相干點(diǎn)的積進(jìn)功率進(jìn)行積累，那么DDoS的攻擊非平穩(wěn)寬帶信號(hào)瞬時(shí)頻率相交點(diǎn)則是時(shí)頻平面的邊緣，時(shí)頻平面在分離中，將時(shí)間中心點(diǎn)的相鄰區(qū)域內(nèi)DDoS的攻擊非平穩(wěn)寬帶信號(hào)時(shí)頻進(jìn)行分類(lèi)置零，接著采用任意的一部分瞬時(shí)頻率估計(jì)線性。整個(gè)DDoS攻擊信號(hào)時(shí)頻特征提取結(jié)果計(jì)算公式為

(13)

其中，ζ(n)表示攻擊信號(hào)時(shí)頻特征關(guān)聯(lián)函數(shù)，Φk表示特征提取權(quán)重。經(jīng)過(guò)以上的處理，可以完成對(duì)DDoS的攻擊信號(hào)時(shí)頻特征進(jìn)行提取，以此進(jìn)行DDoS攻擊檢測(cè)[11]。

4 DDoS攻擊檢測(cè)

對(duì)網(wǎng)絡(luò)流進(jìn)行時(shí)間間隔為Δt的采樣，且計(jì)算每次DDoS攻擊的采樣，能夠獲得DDoS的時(shí)間序列z(N，Δt)={ai，i=1，2，…，N}，再將DDoS的時(shí)間序列通過(guò)時(shí)頻特征進(jìn)行轉(zhuǎn)換，獲得φ維的空間向量，進(jìn)而能夠把流量的狀態(tài)統(tǒng)一歸于向量空間中，解決采樣分類(lèi)問(wèn)題。采用相近鄰方法實(shí)現(xiàn)，具體的中心思想為：相對(duì)找出需要的訓(xùn)練樣本結(jié)合與待分類(lèi)樣本，長(zhǎng)度最近的單一樣本，根據(jù)樣本的歸屬類(lèi)別，把帶分類(lèi)樣本進(jìn)行歸屬類(lèi)別的評(píng)定。能夠獲得分類(lèi)算法理論誤差率的上限，其上限大致是貝葉斯分類(lèi)的兩倍，并含有精準(zhǔn)的物理思想與良好的分類(lèi)效果。

在分別獲取的網(wǎng)絡(luò)正常時(shí)與受到DDoS攻擊時(shí)的時(shí)間序列，其φ維樣本的訓(xùn)練空間，所包含的具體類(lèi)別都標(biāo)注在網(wǎng)絡(luò)流所處的狀態(tài)，也就是攻擊或正常，因此，需要把每一個(gè)類(lèi)別j都進(jìn)行重新定義，使其轉(zhuǎn)換為Gj一種類(lèi)別集合，也就是將歸于該類(lèi)別的訓(xùn)練樣本作為集合Gj的元素，再進(jìn)行估算待測(cè)時(shí)間序列φ維向量Φ(n)，其上述的訓(xùn)練樣本中可以找出和目前樣本相近的m個(gè)樣本，并且隨意的2個(gè)向量能夠利用余弦距離進(jìn)行表示，其公式為

(14)

其中，Φ(i)與Φ(j)表示樣本中的隨意兩個(gè)向量。

ΘK代表所得到的最近鄰集合；Φ(n)分別對(duì)所有類(lèi)別計(jì)算其分類(lèi)權(quán)重：

(15)

式中：f(Φ(i)，Gj)代表類(lèi)別判定函數(shù)，若Φ(i)∈ΘK，那么函數(shù)值是1，反之為0。然后對(duì)所有類(lèi)別進(jìn)行分類(lèi)權(quán)重計(jì)算，完成DDoS攻擊檢測(cè)[12]。

5 仿真研究

為了驗(yàn)證本文方法的整體有效性，實(shí)驗(yàn)數(shù)據(jù)所采用的是DDoS攻擊數(shù)據(jù)集LLDOS2.0.2。同時(shí)為了讓實(shí)驗(yàn)數(shù)據(jù)能夠更加的貼合實(shí)際應(yīng)用效果，在其基礎(chǔ)上增加背景流量。

在獲取正常以及攻擊時(shí)的流量，即為訓(xùn)練樣本，而對(duì)于獲取樣本的時(shí)間間隔是0.01s，具體次數(shù)為600次。其時(shí)間序列的計(jì)算樣本圖，如下圖2所示。

圖2 時(shí)間序列的訓(xùn)練樣本

所建立的模型可以對(duì)表達(dá)形式進(jìn)行獲取，并映出模型階數(shù)和實(shí)際的序列兩者之間，所具有的類(lèi)似程度。通過(guò)模型擬合，能夠?qū)DoS的攻擊行為進(jìn)行識(shí)別，因此，分類(lèi)錯(cuò)誤率會(huì)影響模型階數(shù)。再經(jīng)過(guò)模型階數(shù)是依據(jù)分類(lèi)錯(cuò)誤率進(jìn)行決定的。在通過(guò)數(shù)次計(jì)算對(duì)比以后，2階段模型的分類(lèi)效果最好，其具體參數(shù)曲線，進(jìn)行收斂前都要?dú)v經(jīng)迭代振蕩過(guò)程，而此參數(shù)不具備任何效果，且振蕩過(guò)程只在計(jì)算的初始時(shí)，對(duì)于算法并沒(méi)有任何影響，所以需要舍棄前100個(gè)樣本，在利用所獲取的正常狀態(tài)以及攻擊時(shí)的模型參數(shù)來(lái)對(duì)分類(lèi)器進(jìn)行訓(xùn)練，從而可以獲得的結(jié)果如圖3所示。

圖3 模型擬合參數(shù)

分析圖3可知，利用擬合2階段的模型，對(duì)原始振蕩樣本進(jìn)行忽略，得到擬合參數(shù)序列，在利用訓(xùn)練過(guò)的分類(lèi)器對(duì)待檢測(cè)時(shí)間序列的參數(shù)向量進(jìn)行分類(lèi)。而時(shí)間序列的檢測(cè)方法，能夠在很大的程度上精準(zhǔn)識(shí)別出DDoS的攻擊行為，并且誤差率較低。誤差的來(lái)源主要來(lái)自隨機(jī)的噪聲，而通過(guò)噪聲引發(fā)的系統(tǒng)狀態(tài)位移，由此才致使無(wú)規(guī)律的錯(cuò)誤進(jìn)行識(shí)別，同時(shí)與模型內(nèi)的更新系數(shù)、識(shí)別延時(shí)以及迭代振蕩有關(guān)，這就可以說(shuō)明其更新的系數(shù)越小，造成的振蕩就越小，不過(guò)也因此識(shí)別延遲較大，但較大更新系數(shù)同時(shí)也可以相對(duì)適當(dāng)?shù)臏p少識(shí)別延遲時(shí)間，但是很容易引發(fā)較為強(qiáng)烈的迭代振蕩，嚴(yán)重會(huì)引發(fā)系統(tǒng)的動(dòng)蕩。

在以上實(shí)驗(yàn)中，更新的系數(shù)不適合用于實(shí)際，所以，在實(shí)際應(yīng)用，操作人員應(yīng)當(dāng)進(jìn)行適當(dāng)?shù)恼{(diào)整，才能滿足識(shí)別結(jié)果。經(jīng)過(guò)上述實(shí)驗(yàn)證明，提出的方法對(duì)DDoS的攻擊檢測(cè)速度較快，準(zhǔn)確率高，同時(shí)擁有更好的檢測(cè)效果。

6 結(jié)束語(yǔ)

網(wǎng)絡(luò)已經(jīng)成為生活中人們不可以缺少的對(duì)象，而在享受網(wǎng)絡(luò)便利的同時(shí)，也要注意自身個(gè)人隱私，因?yàn)閭€(gè)人隱私的泄露很容易被一些別有用心的人加以利用，對(duì)人們生活造成無(wú)法想象的不良后果，基于此，提出一種基于非平穩(wěn)信號(hào)時(shí)頻分析的DDoS攻擊檢測(cè)方法，這種方法是利用非平穩(wěn)信號(hào)進(jìn)行建模，對(duì)提取出DDoS攻擊的時(shí)頻進(jìn)行分析完成攻擊檢測(cè)。仿真結(jié)果證明，提出方法對(duì)DDoS攻擊的檢測(cè)速度非常快，準(zhǔn)確率高，且檢測(cè)效果良好。能夠保障用戶的安全，有效保障網(wǎng)絡(luò)的安全性。