胡中功，程思婷，沈斌，陳愛杰

武漢工程大學(xué)電氣信息學(xué)院，湖北武漢 430205

DDoS攻擊檢測模型的設(shè)計

胡中功，程思婷，沈斌，陳愛杰

武漢工程大學(xué)電氣信息學(xué)院，湖北武漢 430205

為了有效檢測服務(wù)器是否受到DDoS攻擊，設(shè)計了一種基于樸素貝葉斯分類算法的DDoS攻擊檢測模型.首先大量抓取服務(wù)器數(shù)據(jù)包，選擇受到DDoS攻擊時產(chǎn)生較明顯變動的5種特征數(shù)據(jù)作為基本參數(shù)，所有數(shù)據(jù)可分為受攻擊與未受攻擊兩類.然后利用正態(tài)分布函數(shù)擬各合特征量的分布情況，并計算出各個特征量的條件概率.最后，選取測試數(shù)據(jù)，得到測試數(shù)據(jù)在貝葉斯公式下被分為受攻擊與未受攻擊兩類的后驗概率，并通過比較此兩個后驗概率值的大小，判斷出服務(wù)器是否受到DDoS攻擊.該模型經(jīng)MATLAB仿真實驗的驗證，獲得了較高的準(zhǔn)確率，保證了對DDoS攻擊的有效檢測，并由C＋＋代碼進(jìn)行實現(xiàn).

DDoS攻擊；樸素貝葉斯分類算法；特征數(shù)據(jù)；正態(tài)分布函數(shù)；檢測模型

分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊，是通過大量合法的請求，占用大量的網(wǎng)絡(luò)資源，使受害主機(jī)或網(wǎng)絡(luò)不能及時接收并回應(yīng)外界請求，以達(dá)到使網(wǎng)絡(luò)癱瘓的目的. DDoS攻擊容易實現(xiàn)且難以防范，它是一種在所有針對Internet攻擊中，非常常見的攻擊方式.DDoS攻擊已經(jīng)是當(dāng)前網(wǎng)絡(luò)安全所面臨的最嚴(yán)峻的威脅之一［1-3］.

2013年3月，Spamhaus、CloudFlare遭到攻擊，攻擊流量峰值達(dá)到每秒300 Gbit，“差點癱瘓歐洲網(wǎng)絡(luò)”；2014年2月，受攻擊對象為CloudFlare客戶，據(jù)稱當(dāng)時包括維基解密在內(nèi)的78.5萬個網(wǎng)站安全服務(wù)受到影響；2014年12月，阿里云在微博上發(fā)布一則聲明，稱部署在阿里云上的某知名游戲公司，遭遇了全球互聯(lián)網(wǎng)史上最大的一次DDoS攻擊，其攻擊流量峰值達(dá)到每秒453.8Gbit［4］.

就現(xiàn)今的網(wǎng)絡(luò)狀況而言，世界的每一個角落都有可能受到DDoS攻擊，但是只要盡可能進(jìn)行分析和研究［5］，檢測到這種攻擊并且作出反應(yīng)，損失就能夠減到最小程度.對于DDoS攻擊采取相應(yīng)的檢測和防范措施，也將有助于全球網(wǎng)絡(luò)安全體系的建立.

目前許多防火墻安全系統(tǒng)采用的DDoS攻擊檢測方式仍是傳統(tǒng)的選取經(jīng)驗值的方法，由于直接取值而未對服務(wù)器實際承載量作出準(zhǔn)確判斷，經(jīng)常會出現(xiàn)判斷失誤的情況.為了使檢測更具有針對性，提高判斷的準(zhǔn)確率，提出一種智能化檢測模型的設(shè)計.通過分析DDoS攻擊原理，結(jié)合服務(wù)器的特征數(shù)據(jù)，運用樸素貝葉斯分類算法，設(shè)計出DDoS攻擊檢測模型.經(jīng)MATLAB仿真測試成功后，利用C＋＋語言編寫出模型實現(xiàn)代碼.

1 DDoS攻擊原理

DDoS攻擊網(wǎng)絡(luò)［6-8］主要分為4個部分，分別為攻擊者、攻擊主控機(jī)、攻擊執(zhí)行機(jī)及受害者，如圖1所示.

圖1 DDoS攻擊示意圖Fig.1 Schematic diagram of DDoSattacks

攻擊者首先入侵存在系統(tǒng)服務(wù)安全漏洞的服務(wù)器或計算機(jī)，并安裝相關(guān)攻擊軟件，將少量機(jī)器作為攻擊主控機(jī)，大量機(jī)器作為攻擊執(zhí)行機(jī).執(zhí)行攻擊任務(wù)時，攻擊者首先通過控制攻擊主控機(jī)，向其發(fā)布攻擊命令；攻擊主控機(jī)再控制攻擊執(zhí)行機(jī)，使其發(fā)出攻擊數(shù)據(jù)包.在攻擊者向攻擊主控機(jī)發(fā)布攻擊命令后，攻擊者可關(guān)閉或脫離網(wǎng)絡(luò)，以避免追蹤.

2 基于樸素貝葉斯算法的DDoS攻擊檢測模型設(shè)計

2.1 樸素貝葉斯分類算法

樸素貝葉斯分類算法［9-10］，其分類原理是通過某對象的先驗概率，利用貝葉斯公式計算出其后驗概率，即該對象屬于某一類的概率，然后選擇具有最大后驗概率的類作為該對象所屬的類.樸素貝葉斯分類算法是最小錯誤率意義上的優(yōu)化.

2.1.1 貝葉斯公式設(shè)A，B是兩個隨機(jī)事件且P（A）＞0，稱P（B|A）=P（AB）/P（A）為在條件A下，事件B發(fā)生的條件概率.同理，P（A|B）=P（AB）/P（B）為在條件B下，事件A發(fā)生的條件概率.則聯(lián)合概率［11］為

設(shè)S為某一實驗E的樣本空間，B1，B2，…，Bn為E的一組事件，若BiBj=Ф（即Bi，Bj是相互獨立的），i=1，2，…，n，j=1，2，…，n；但i和j不同時取同一個值.B1∪B2∪…∪Bn則稱B1，B2，…Bn為樣本空間S的一個劃分.現(xiàn)存在A為E的事件，B1，B2，…Bn為E的樣本空間S的一個劃分，且P（Bi）＞0（i=1，2，…n），則有全概率公式：

根據(jù)聯(lián)合概率公式（1）及全概率公式（2）推導(dǎo)而知：

并且得到貝葉斯公式［12，13］：

P（Bi）表示事件Bi發(fā)生的概率；P（A）表示事件A發(fā)生的概率；P（A|Bi）表示在事件發(fā)生的情況下，事件A發(fā)生的概率.P（Bi）、P（A）為已知的先驗概率，P（A|Bi）為條件概率.P（Bi|A）表示在事件A發(fā)生的情況下，事件Bi發(fā)生的概率，P（Bi|A）為需要求取的后驗概率.

2.1.2 樸素貝葉斯分類器設(shè)計運用樸素貝葉斯分類器［14］的一個前提條件是，假設(shè)事件分類或條件之間的關(guān)系相互獨立.

在設(shè)計樸素貝葉斯分類器時，考慮到事件A包含許多獨立性特征A1，A2，…，Am，由概率公式：

及貝葉斯公式（4）得：

利用此公式，可分別求得后驗概率P（B1|A），P（B2|A），…，P（Bn|A）的值.選擇具有最高概率的值，判斷在事件A發(fā)生的情況下，哪一個事件Bi最可能發(fā)生，并作出相應(yīng)的歸類決策.

在實際使用中，由于對比時，分母P（A）為相同值，則在計算中也可省略除法步驟，在不影響結(jié)果的前提下簡化計算.后驗概率公式可簡化后運用于計算中：

某個服務(wù)器某時刻的特征及參數(shù)如表1所示.

由于網(wǎng)絡(luò)占用率、TCP鏈接數(shù)、TCP鏈接數(shù)的增長率等皆為連續(xù)變量.無法采用離散變量的方式來計算概率.可假設(shè)5種特征數(shù)據(jù)都為正態(tài)分布，利用樣本計算出均值及其方差，從而得到正態(tài)分布的密度函數(shù).根據(jù)密度函數(shù)，可算出某點的密度函數(shù)的值，即條件概率值.

表1 服務(wù)器參數(shù)Tab.1 Datasof Server

在服務(wù)器受到攻擊的情況下，其網(wǎng)絡(luò)占用率呈正態(tài)分布，期望值為μ=0.92，方差為σ2=0.8.當(dāng)網(wǎng)絡(luò)占用率為0.95時，其條件概率約為0.795 3.

如此，在服務(wù)器是否受攻擊情況下，通過事先計算出5種特征量的條件概率，結(jié)合是否受到攻擊的先驗概率，再利用貝葉斯公式得出后驗概率，對服務(wù)器是否受到攻擊作出判斷.

P（受到攻擊|網(wǎng)絡(luò)占用率，TCP鏈接數(shù)，…，內(nèi)存占用率）

=P（網(wǎng)絡(luò)占用率|受到攻擊）…P（內(nèi)存占用率|受到攻擊）P（受到攻擊）

P（未受攻擊|網(wǎng)絡(luò)占用率，TCP鏈接數(shù)，…，內(nèi)存占用率）

=P（網(wǎng)絡(luò)占用率|未受攻擊）…P（內(nèi)存占用率|未受攻擊）P（未受攻擊）

最后，比較P（受到攻擊|網(wǎng)絡(luò)占用率，TCP鏈接數(shù)，…，內(nèi)存占用率）與P（未受攻擊|網(wǎng)絡(luò)占用率，TCP鏈接數(shù)，…，內(nèi)存占用率）的大小，選擇概率較高的值作出分類決策.

樸素貝葉斯分類器的設(shè)計主要分為3個步驟：

1）收集并提取有效數(shù)據(jù)：有效數(shù)據(jù)的選取對于算法的訓(xùn)練非常重要.利用抓包工具及數(shù)據(jù)抓取程序獲取多組特征數(shù)據(jù)，選取的數(shù)據(jù)包含受攻擊狀態(tài)量和未受攻擊狀態(tài)量，并進(jìn)行屬性的分類標(biāo)記.然后對數(shù)據(jù)進(jìn)行適當(dāng)選擇，選出5種有效的特征數(shù)據(jù).

2）訓(xùn)練數(shù)據(jù)：隨機(jī)提取部分所標(biāo)記的多組5種特征數(shù)據(jù)，分別計算出在受到攻擊與未受攻擊分類下，此5種獨立特征參數(shù)的各條件概率.

3）分類測試：選擇未參與訓(xùn)練的數(shù)據(jù)進(jìn)行測試，得出后驗概率，以獲得這些數(shù)據(jù)的分類結(jié)果.統(tǒng)計并計算出錯誤率，驗證算法的準(zhǔn)確性.

2.2 DDoS攻擊檢測模型設(shè)計

DDoS攻擊檢測模型的設(shè)計流程如圖2所示.

對不同情況下的數(shù)據(jù)包進(jìn)行分類標(biāo)記后，提取有效數(shù)據(jù)并對數(shù)據(jù)進(jìn)行正態(tài)分布擬合［15-16］，得到各特征數(shù)據(jù)的條件概率.再結(jié)合得到的先驗概率，利用樸素貝葉斯分類算法進(jìn)行分類測試.得到測試數(shù)據(jù)被分為受攻擊與未受攻擊的后驗概率后，比較其大小并得出判斷結(jié)果，即服務(wù)器是否受到攻擊，再將分類結(jié)果與實際值做比較.若測試結(jié)果未能達(dá)到要求，則重新提取并選擇數(shù)據(jù)，確保所選擇數(shù)據(jù)的有效性，再次進(jìn)行訓(xùn)練；若測試結(jié)果達(dá)到預(yù)期要求，則此DDoS攻擊檢測模型設(shè)計基本成功.基于目標(biāo)服務(wù)器在受到DDoS攻擊時的數(shù)據(jù)表現(xiàn)，選擇數(shù)據(jù)變化較為明顯的網(wǎng)絡(luò)占用率、TCP連接數(shù)、TCP鏈接數(shù)的增長率、CPU占用率、內(nèi)存占用率等5種特征數(shù)據(jù)作為有效數(shù)據(jù).一共選取600組樣本數(shù)據(jù)包，其中既包含受攻擊狀態(tài)下的數(shù)據(jù)，也包括未受攻擊狀態(tài)下的數(shù)據(jù)；對應(yīng)于選取的5種特征數(shù)據(jù)，受攻擊情況下樣本分類標(biāo)記為1，未受攻擊情況下樣本分類標(biāo)記為2.若利用向量的形式表示出來，即形成一個600行（600組樣本數(shù)據(jù)），6列（前5列為數(shù)據(jù)特征值，第6列為樣本分類）的二維向量.隨機(jī)選擇其中500組樣本數(shù)據(jù)作為訓(xùn)練量，剩余100組樣本數(shù)據(jù)為測試量，利用正態(tài)分布函數(shù)擬合樣本數(shù)據(jù)的分布情況.

由于樣本中5種特征數(shù)據(jù)的取值范圍分布不均，在計算中可能會出現(xiàn)偏差較大或數(shù)據(jù)溢出的情形，所以得到各特征量的條件概率后，進(jìn)行取對數(shù)值的平滑處理，以減小誤差、方便計算.

圖2 DDoS攻擊檢測模型設(shè)計流程圖Fig.2 Design flowchartof DDoSattacks detectionmodel

3 MATLAB仿真及C＋＋代碼測試

3.1 MATLAB仿真實驗

在實際編寫DDoS攻擊檢測模型的C＋＋代碼前，首先利用MATLAB仿真平臺進(jìn)行仿真實驗的驗證.經(jīng)過隨機(jī)取得數(shù)據(jù)的訓(xùn)練，得出條件概率后，利用余下數(shù)據(jù)進(jìn)行測試，求出所設(shè)計模型的準(zhǔn)確率.

采用MATLAB仿真得到DDoS攻擊檢測模型如圖3所示.

圖3中，橫坐標(biāo)表示受測試的數(shù)據(jù)有100組；縱坐標(biāo)表明樣本數(shù)據(jù)的分類屬性，在縱坐標(biāo)1.0處表示受到DDOS攻擊，在縱坐標(biāo)2.0處表示未受DDOS攻擊.圖標(biāo)“○”代表的是測試樣本的真實分類情況，圖標(biāo)“·”則代表經(jīng)樸素貝葉斯分類后得出的樣本的預(yù)測分類情況.若“○”與“·”重合，則表明此組樣本分類是準(zhǔn)確的.經(jīng)多次仿真測試，對于是否受到攻擊，最終測得的準(zhǔn)確率都在90%以上，基本滿足設(shè)計要求。

圖3 DDoS攻擊檢測模型仿真圖Fig.3 Simulation diagram of DDoSattacks detectionmodel

3.2 C＋＋代碼及測試結(jié)果

DDoS攻擊檢測模型主要C＋＋函數(shù)代碼介紹：

GetData（）；//獲取樣本文件中的特征數(shù)據(jù)及分類

TrainData（）；//對樣本中的數(shù)據(jù)利用正態(tài)分布函數(shù)進(jìn)行擬合，得到各個特征量的條件概率

Test（）；//通過取對數(shù)的方式使數(shù)據(jù)平滑后，利用樸素貝葉斯分類方法對訓(xùn)練結(jié)果進(jìn)行分類測試部分測試結(jié)果如示意圖4和圖5所示.

圖4 判斷受到攻擊Fig.4 Judgmentofbeing attacked

圖5 判斷未受攻擊Fig.5 Judgmentofnotbeingattacked

4 結(jié)語

筆者采用樸素貝葉斯算法設(shè)計了DDoS攻擊檢測模型，在設(shè)計過程中，省略了各個特征量之間相互獨立這一條件.經(jīng)過仿真測試，仍取得了較好的實驗效果.此DDoS攻擊檢測模型可作為一個模塊，嵌入到防火墻系統(tǒng)中.根據(jù)服務(wù)器的實際承載情況，對其是否受DDoS攻擊進(jìn)行有針對性的分類.并配合其他安全防護(hù)模塊使用，以實現(xiàn)對服務(wù)器的有效保護(hù).

［1］張永錚，肖軍，云曉春，等.DDoS攻擊檢測和控制方法［J］.軟件學(xué)報，2012，23（8）：2058-2072.

ZHANG Y Z，XIAO J，YUN X C，et al.DDoS attacks detection and control mechanisms［J］.Journal of Software，2012，23（8）：2058-2072.

［2］劉敏霞，余杰，李強(qiáng)，等.基于P2P系統(tǒng)的DDoS攻擊及其防御技術(shù)研究綜述［J］.計算機(jī)應(yīng)用研究，2011，28（5）：1609-1613.

LIU M X，YU J，LI Q，et al.Research on P2P-based DDOS attacks and their defense mechanism［J］. Application Research of Computers，2011，28（5）：1609-1613.

［3］徐琳.應(yīng)用層DDoS攻擊防御與檢測方法［D］.上海：上海交通大學(xué)，2012.

［4］聚趣庫.揭秘DDoS黑市：50塊錢就能擊癱一家網(wǎng)站［EB/OL］.（2014-12-29）［2016-06-20］.http：//www.vccoo. com/v/1ee99a.

［5］嚴(yán)芬，王佳佳，趙金鳳，等.DdoS攻擊檢測綜述［J］.計算機(jī)應(yīng)用研究，2008，25（4）：966-969.

YAN F，WANG JJ，ZHAO JF，etal.Survey of detection on DDoSattack［J］.Application Research ofComputers，2008，25（4）：966-969.

［6］張錦平.DDoS攻擊檢測及響應(yīng)技術(shù)的研究［D］.秦皇島：燕山大學(xué)，2012.

［7］池水明，周蘇杭.DDoS攻擊防御技術(shù)研究［J］.信息網(wǎng)絡(luò)安全，2012，27（5）：27-31.

CH I S M，ZHOU S H.Research on defend against DDoSattacks［J］.Netinfo Security，2012，27（5）：27-31.

［8］梁海軍.基于DDoS攻擊的服務(wù)器擁塞控制研究［J］.計算機(jī)與現(xiàn)代化，2009，25（3）：100-102.

LIANG H J.Research on jammed server control based on DDoS attacking［J］.Computer and Modernization，2009，25（3）：100-102.

［9］張亞萍，陳得寶，侯俊欽.基于EM的樸素貝葉斯分類算法［J］.宿州學(xué)院學(xué)報，2010，25（11）：12-13.

ZHANG Y P，CHEN D B，HOU J Q.Naive bayesian classification based on EM algorithm［J］.Journal of Suzhou College，2010，25（11）：12-13.

［10］孫中華，蔣斌，賈克斌.基于樸素貝葉斯分類的路面積雪狀態(tài)檢測［J］.吉林大學(xué)學(xué)報（工學(xué)版），2013，43（增刊1）：380-383.

SUN Z H，JIANG B，JIA K B.Detection of the road snow coverage status based on naive bayesian classifier［J］.Journal of Jilin University（Engineering and Technology Edition），2013，43（Suppl.1）：380-383.

［11］盛驟，謝式千，潘承毅.概率論與數(shù)理統(tǒng)計［M］.第4版.北京：高等教育出版社，2008：17-23.

［12］王陽，李連發(fā).空間貝葉斯分類器并行化［J］.地理與地理信息科學(xué)，2013，29（4）：47-51.

WANG Y，LIL F.A Parallel bayesian classifier［J］. Geography and Geo-information Science，2013，29（4）：47-51.

［13］王雙成，杜瑞杰，劉穎.連續(xù)屬性完全貝葉斯分類器的學(xué)習(xí)與優(yōu)化［J］.計算機(jī)學(xué)報，2012，35（10）：2129-2138.

WANG S C，DU R J，LIU Y.The learning and optim ization of full bayes classifiers with continuous attributes［J］.Chinese Journal of Computers，2012，35（10）：2129-2138.

［14］王國才.樸素貝葉斯分類器的研究與應(yīng)用［D］.重慶：重慶交通大學(xué)，2010.

［15］吳江霞.正態(tài)分布進(jìn)入統(tǒng)計學(xué)的歷史演化［D］.石家莊：河北師范大學(xué)，2008.

［16］汪新凡，肖滿生.基于正態(tài)分布區(qū)間數(shù)的信息不完全的群決策方法［J］.控制與決策，2010，25（10）：1494-1498.

WANG X F，XIAO M S.Approach of group decision making based on normal distribution interval number with incomp lete information［J］.Control and Decision，2010，25（10）：1494-1498.

本文編輯：陳小平

Design of A ttacks Detection M odelof Distributed Denialof Service

HU Zhonggong，CHENG Siting，SHEN Bin，CHEN Aijie
Schoolof Electricaland Information Engneering，Wuhan Institute of Technology，W uhan 430205，China

To effectively detectwhether the server was attacked by distributed denial of service（DDoS），we designed a DDoSattacks detection model based on the naive Bias classification algorithm.Firstly，five kinds of data with obviously changed characteristic in DDoS attacks，which were obtained from the large number of server data packets，were chosen as the basic parameters and divided into two categories of being attacked or not.Then，the conditional probability of each characteristic was calculated by using normal distribution function to fit the characteristic parameters.Finally，whether the server was attacked or not by DDoS was judged by comparing the two posterior probabilities of the selected test data based on the Bayesian formula.The model established by C＋＋code ensures the effective detection of DDoS attacks with higher accuracy via the MATLAB simulation experiments.

DDoS attacks；naive Bayes classification algorithm；feature data；normal distribution function；detectionmodel

TP309

：Adoi：10.3969/j.issn.1674?2869.2017.01.016

1674-2869（2017）01-0091-05

2016-06-27

胡中功，碩士，教授.E-mail：hhyjs2004@163.com

胡中功，程思婷，沈斌，等.DDoS攻擊檢測模型的設(shè)計［J］.武漢工程大學(xué)學(xué)報，2017，39（1）：91-95. HU ZG，CHENG ST，SHEN B，etal.Design ofattacks detectionmodelof distributed denialof service［J］.Journal ofWuhan Institute of Technology，2017，39（1）：91-95.