大规模网络环境下基于用户群行为与时空关联的DDoS攻击检测方法研究

In this research project, clustering method for network users’ behavior is explored. The network attack behavior is found by network traffic analysis and users behavior clustering. The measurement method for identification of DDoS attack and flash crowd behavior is also explored, which can improve on the accuracy of DDoS attack detection. DDoS attack behavior detection and identification methods are studied in large-scale network. The topology discovery of DDoS attack path and DDoS attack source discovery is explored. Traffic feature matrix is proposed to accuratelydescribe users’ behavior in complex network, which enables the use of graph theory to classify user groups efficiently. Based on characteristic parameters of user groups, the distinction between DDoS attack and flash crowd is given. After measuring and analyzing traffic matrix in router, some spatio-temporal correlation methods such as cross entropy and blind source separation are proposed to detect DDoS attack in large-scale network. Based on IF flows in multiple routers, a practical method to discover DDoS attack path is also proposed. In conclusion, this research project will provide key technical support for DDoS attack detection 、identification and attack path discovery in large-scale network.

寻求网络用户行为分类聚类方法，通过网络流量分析和用户行为的聚类发现网络攻击行为；寻找识别DDoS攻击与flash crowd正常行为的度量方法，提高检测识别DDoS攻击的精确性；研究大规模网络环境下DDoS攻击行为的识别检测方法，探索DDoS攻击行为的网络拓扑发现及其攻击源定位方法。提出使用流量特征矩阵来准确描述复杂网络环境下的用户群行为，使用图论的方法实现用户群快速准确分类聚类算法；给出基于用户群特征参数的DDoS攻击与flash crowd的区分方法；对路由器中的网络流量矩阵进行分析和度量，提出大规模网络环境下使用基于时空关联的方法如交叉熵、盲源分离等方法检测DDoS攻击,提出基于多路由器的DDoS攻击路径拓扑发现和攻击源快速定位方法。本研究将对大规模网络环境下DDoS攻击行为的检测识别与攻击源定位提供关键技术支撑。

以往调查表明,所有网络攻击中，分布式拒绝服务（DDoS）攻击是最可怕的攻击手段之一。因此及时准确地检测到DDoS攻击的重要性日益凸显。. 目前常用复杂的机器学习算法来检测DDoS攻击，这类方法首先分析海量网络流量和用户行为来选择网络流量属性，构建属性向量或矩阵，然后选择合适的算法构造分类或聚类模型来发现网络攻击行为。这类方法准确率很高，但缺点是需要使用训练数据集和多达数十种上百种的网络流量属性，实时检测有些困难。为此，本项目提出一种基于网络用户群流量行为特征选择的检测方法，该方法首先从大量用户群网络流量行为特征中挑选出能够对各种常见攻击行为进行准确描述的特征子集，然后结合雷尼熵的时空关联性和指数加权滑动平均控制图检测方法对网络流量进行分析处理来检测DDoS攻击。该方法无需在训练数据集上进行训练，只有总流量的前TOP 30用于计算，并且针对雷尼熵的特点只实施单边检测，在保证检测准确度的同时减少了计算工作量和存储空间，提高了检测速度。此外根据网络流量分布变化的特性本项目还提出了一种生成仿真攻击流量的算法。在真实与仿真网络流量上的实验表明，即使是强度较小的DDoS攻击，该检测方法也具有很好的检测和识别能力。 . 众所周知，DDoS攻击和flash crowd行为非常相似，目前常见区分方法有主机端测试法、用户操作行为分析法和网络流量特征分析法，但各有其缺陷。为此，本项目提出一种新的基于用户群网络流量行为特征的两阶段区分方法，尽可能提高识别的效率。该方法以新增加的或伪造的源IP地址出现的次数为流量特征，首先使用whittle估计器来计算Hurst指数及其置信区间，通过建立正常Hurst指数的更新模型来检测网络异常情况。其次，以源IP地址的分布特征作为识别指标，提出一种基于雷尼熵的方法来区分这两种行为。本项目提出的两阶段方法能够很好地区分DDoS攻击和Flash Crowd行为，并具备计算简单，实时性好，灵敏度高，无需额外设备的特点。. 针对大规模网络流量检测监控的特点和难点，本项目进一步研究了大规模网络环境下流量检测与监控系统的设计与应用，提出一个多层次网络流量异常检测与监控框架并实现了原型系统。该系统以检测DoS/DDoS攻击为主，能够实时对当前网络流量的安全状况进行分析、检测与评估，并将系统运行结果以图表形式直观呈现给管理者。