基于非平穩信號時頻分析的DDoS攻擊檢測仿真

李亞利，劉 佳

(1. 北京聯合大學應用科技學院，北京 100101；2. 北京聯合大學教務處，北京 100101)

1 引言

在相對復雜的網絡環境中，對使用者進行惡意攻擊的特征，通常表現為一組非平穩的寬帶信號。因此，對該信號的檢測可以使用檢測信號的方法來實現，能夠最大程度保證網絡的安全。而DDoS的攻擊分為協作與分布兩種方式，以此進行大規模的攻擊，該種攻擊方法會致使被攻擊者的網絡以及系統資源快速消耗，最終導致網絡失效，甚至使系統崩潰，使其無法運轉，而且DDoS的攻擊方式會帶有一些軟件不斷的重復出現，因此，DDoS的攻擊方式雖然相對簡單，但是對網絡安全的威脅較大。

對比其它的一些網絡攻擊方式，DDoS所采用攻擊特點是分布式的，將傳統的點與點之間互相攻擊，變成現在的數據流攻擊，并且采用無規律的攻擊模式，在協議和服務類之間很難區別是惡意的攻擊還是正常連接，因為攻擊數據全都是經過包裝的，無法對其來源進行識別。

文獻[1]針對非平穩陣列的信號處理結果，驗證采用時頻分析的處理手段能夠提高不相同信源到達其角的分辨能力以及估計精度，以提高多信號分量環境下時頻所表示的能量聚集性為目標，提出一種基于自適應局部的多項式傅里葉變換方法，利用該方法對信號瞬間頻率曲線的多項式進行擬合，以此確認LPFT的窗函數長度以及各階段系數，通過最小的計算量來實現自適應的時頻分析，最終的仿真結果證明：和其它時頻MUSIC的計算方法相比，此方法對信號形勢的適應能力較強，在DOA的估計精度和信號源角度分辨能力等方面具有很強的優勢。

文獻[2]認為分布式拒絕服務攻擊是網絡大環境下最具有破壞力的攻擊手段之一，目前基于機器學習的攻擊檢測方法通常是直接把某一時刻的特征值代入進分類器中分類，并不會考慮到相鄰時刻特征聯系，從而致使誤報率與漏報率較高。為此提出一種隱馬爾科夫模型HMM時間序列預測與混沌模型的DDoS攻擊檢測方式。分析大規模的網絡流量突發性攻擊特征，并定義加權特征NTWF與網絡流平均速率NFAR二元組特征，通過層次聚類計算法對訓練集進行分類，得到隱層狀態的HLS序列。使用NTWF序列與HLS序列對HMM進行監督學習，能夠獲得狀態轉移矩陣與混淆矩陣，完成NTWF序列的預測，最終采用混沌模型來分析NTWF序列的預測誤差，以此結合NFAR規則識別攻擊。

將上述兩種方法進行綜合，本文提出基于非平穩信號時頻分析的DDoS攻擊檢測方法，此方法是先利用包絡延拓法構建DDoS攻擊信號模型，因為DDoS具有良好的聚集性，從而可以提取時頻特征，最后通過兩者對DDoS的攻擊進行檢測。

2 建立DDoS的攻擊信號模型

在復雜的網絡環境中，DDoS的攻擊方式會表現為一組非平穩的寬帶信號，要想實現對DDoS的攻擊進行檢測，需要建立攻擊信號模型。采用包絡延拓擴展法完成攻擊信號模型的建立建[3]。

DDoS的攻擊非平穩信號時間采樣，符合{x(t1)，x(t2)，…，x(tn)}的聯合分布函數和{x(t1+τ)，x(t2+τ)，…，x(tn+τ)}的聯合分布函數。其相關性較強，所以，時頻域內DDoS的攻擊信號為頻譜序列，是一種三維連續的自治系統。因此DDoS被視為攻擊非平穩信號系統函數[4]，計算公式為

θ1(k+1)=θ1(k)-μ[y(k)]

(1)

式中：θ1(k)代表初始狀態向量，μ代表非平穩信號的攻擊因子，y(k)代表網絡攻擊非平穩寬帶信號的瞬時幅度，其極坐標形式的計算公式為

(2)

(3)

式中：a(t)代表包絡，φ(t)代表瞬時相位，s(t)表示非平穩帶寬信號，s(t)表示輸入信號調整系數。DDoS的攻擊非平穩信號，其實信號的頻譜則是共軛對稱，攻擊幅度為A，因此，DDoS攻擊非平穩寬帶信號頻譜正頻部分[5]，能夠相對的自適應調節，具體的輸入信號調整系數公式為

(4)

其中，ai(t)表示第i個信號包絡，si(t)表示第i個非平穩帶寬信號，n(t)表示輸入信號調整函數。

攻擊數據需要動態更新，然后利用防火墻對DDoS的攻擊特征進行數據采樣與時間更新，能夠獲得DDoS的攻擊非平穩信號z(t)頻譜公式為

(5)

式中：S(f)表示頻譜傳輸函數，Z(t)能夠由S(f)采用定量遞歸分析獲得，不過H(f)是奇對稱的階躍式傳輸函數，公式為

(6)

將M設定為全方向性的攻擊鏈路動態信號，其攻擊信號Ac和P的干擾信號是利用θ0，θ1，…，θP的角度進行重構收縮的，所以，需要對時頻分布中的群延時特征分布與瞬時頻率、進行計算，從而構建攻擊信號模型[6]。

通過混疊譜模糊度函數對頻譜特征分析，假如把頻譜特征ωk按照群延時特征因子uk與ek的組成原則來分解雙曲調頻，就可以獲得DDoS的攻擊的群延時特征分布公式

(7)

正常情況中，DDoS攻擊信號是變非平穩的，因其在非平穩的寬帶信號內，其瞬時的物理量非常重要，使其q為多項式的階數，具體的滿足條件為：q≥p，采用Gabor函數的平均測度特征向量[7]，能夠獲得DDoS攻擊非平穩時變瞬時頻率估計公式為

(8)

式中：γ(t)代表均勻采樣的頻譜均值，ck代表瞬時頻率的時間平均值，τ代表時間采樣的步長(相當于Δt)，bk代表平均頻率。而當權系數能夠滿足b0=0時，DDoS的攻擊非平穩信號譜平均頻率等于瞬時頻率。

根據上述獲得的群延時特征分布與瞬時頻率就可以獲得攻擊信號模型公式為

(9)

在建立DDoS的攻擊信號模型，為之后DDoS攻擊檢測提供基礎[8]。

3 非平穩寬帶信號時頻特征提取

DDoS攻擊非平穩寬帶信號時頻特征，具有良好的時頻聚集性，對其進行時頻分析之前，通常要將DDoS攻擊非平穩寬帶信號s(t)變成復DDoS的攻擊非平穩寬帶信號z(t)形式，在提取時頻特征以后，DDoS的攻擊非平穩寬帶信號s(t)視為復信號z(t)的實部，而x(t)作為虛部，其時頻特征提取方法如圖1所示[9]。

圖1 DDoS攻擊信號的時頻特征提取瞬時頻率估計方法

在色噪聲的背景中，利用雙線性的Hough變化可以獲得DDoS的攻擊非平穩寬帶鏈路層，其具體的信息質量公式為

G(t)=s(t)+Mx(t)

(10)

把所有的數據量結合在一起可以獲得一個總的數據流，通過此方法進行時頻對偶變化，能夠獲得DDoS的攻擊信號的時頻特征，其分量瞬時頻率的估計公式為

(11)

若DDoS的攻擊非平穩寬帶信號分量瞬時頻率有交點，能夠通過雙線性Hough的變換法對頻譜特征進行分析，在以時間坐標軸的中心點作為中心，選擇較為適當的鄰域[10]，可以獲得攻擊序列具體的頻譜畸變部分估計公式為

(12)

把相干點的積進功率進行積累，那么DDoS的攻擊非平穩寬帶信號瞬時頻率相交點則是時頻平面的邊緣，時頻平面在分離中，將時間中心點的相鄰區域內DDoS的攻擊非平穩寬帶信號時頻進行分類置零，接著采用任意的一部分瞬時頻率估計線性。整個DDoS攻擊信號時頻特征提取結果計算公式為

(13)

其中，ζ(n)表示攻擊信號時頻特征關聯函數，Φk表示特征提取權重。經過以上的處理，可以完成對DDoS的攻擊信號時頻特征進行提取，以此進行DDoS攻擊檢測[11]。

4 DDoS攻擊檢測

對網絡流進行時間間隔為Δt的采樣，且計算每次DDoS攻擊的采樣，能夠獲得DDoS的時間序列z(N，Δt)={ai，i=1，2，…，N}，再將DDoS的時間序列通過時頻特征進行轉換，獲得φ維的空間向量，進而能夠把流量的狀態統一歸于向量空間中，解決采樣分類問題。采用相近鄰方法實現，具體的中心思想為：相對找出需要的訓練樣本結合與待分類樣本，長度最近的單一樣本，根據樣本的歸屬類別，把帶分類樣本進行歸屬類別的評定。能夠獲得分類算法理論誤差率的上限，其上限大致是貝葉斯分類的兩倍，并含有精準的物理思想與良好的分類效果。

在分別獲取的網絡正常時與受到DDoS攻擊時的時間序列，其φ維樣本的訓練空間，所包含的具體類別都標注在網絡流所處的狀態，也就是攻擊或正常，因此，需要把每一個類別j都進行重新定義，使其轉換為Gj一種類別集合，也就是將歸于該類別的訓練樣本作為集合Gj的元素，再進行估算待測時間序列φ維向量Φ(n)，其上述的訓練樣本中可以找出和目前樣本相近的m個樣本，并且隨意的2個向量能夠利用余弦距離進行表示，其公式為

(14)

其中，Φ(i)與Φ(j)表示樣本中的隨意兩個向量。

ΘK代表所得到的最近鄰集合；Φ(n)分別對所有類別計算其分類權重：

(15)

式中：f(Φ(i)，Gj)代表類別判定函數，若Φ(i)∈ΘK，那么函數值是1，反之為0。然后對所有類別進行分類權重計算，完成DDoS攻擊檢測[12]。

5 仿真研究

為了驗證本文方法的整體有效性，實驗數據所采用的是DDoS攻擊數據集LLDOS2.0.2。同時為了讓實驗數據能夠更加的貼合實際應用效果，在其基礎上增加背景流量。

在獲取正常以及攻擊時的流量，即為訓練樣本，而對于獲取樣本的時間間隔是0.01s，具體次數為600次。其時間序列的計算樣本圖，如下圖2所示。

圖2 時間序列的訓練樣本

所建立的模型可以對表達形式進行獲取，并映出模型階數和實際的序列兩者之間，所具有的類似程度。通過模型擬合，能夠對DDoS的攻擊行為進行識別，因此，分類錯誤率會影響模型階數。再經過模型階數是依據分類錯誤率進行決定的。在通過數次計算對比以后，2階段模型的分類效果最好，其具體參數曲線，進行收斂前都要歷經迭代振蕩過程，而此參數不具備任何效果，且振蕩過程只在計算的初始時，對于算法并沒有任何影響，所以需要舍棄前100個樣本，在利用所獲取的正常狀態以及攻擊時的模型參數來對分類器進行訓練，從而可以獲得的結果如圖3所示。

圖3 模型擬合參數

分析圖3可知，利用擬合2階段的模型，對原始振蕩樣本進行忽略，得到擬合參數序列，在利用訓練過的分類器對待檢測時間序列的參數向量進行分類。而時間序列的檢測方法，能夠在很大的程度上精準識別出DDoS的攻擊行為，并且誤差率較低。誤差的來源主要來自隨機的噪聲，而通過噪聲引發的系統狀態位移，由此才致使無規律的錯誤進行識別，同時與模型內的更新系數、識別延時以及迭代振蕩有關，這就可以說明其更新的系數越小，造成的振蕩就越小，不過也因此識別延遲較大，但較大更新系數同時也可以相對適當的減少識別延遲時間，但是很容易引發較為強烈的迭代振蕩，嚴重會引發系統的動蕩。

在以上實驗中，更新的系數不適合用于實際，所以，在實際應用，操作人員應當進行適當的調整，才能滿足識別結果。經過上述實驗證明，提出的方法對DDoS的攻擊檢測速度較快，準確率高，同時擁有更好的檢測效果。

6 結束語

網絡已經成為生活中人們不可以缺少的對象，而在享受網絡便利的同時，也要注意自身個人隱私，因為個人隱私的泄露很容易被一些別有用心的人加以利用，對人們生活造成無法想象的不良后果，基于此，提出一種基于非平穩信號時頻分析的DDoS攻擊檢測方法，這種方法是利用非平穩信號進行建模，對提取出DDoS攻擊的時頻進行分析完成攻擊檢測。仿真結果證明，提出方法對DDoS攻擊的檢測速度非常快，準確率高，且檢測效果良好。能夠保障用戶的安全，有效保障網絡的安全性。