关键字 |
| 节能算法;马奈;总传输能量;最大跳数;网络生命周期 |
介绍 |
| 基于互联网的商业服务的爆炸式增长,引发了对网络安全领域的大量研究需求。在各种安全攻击中,拒绝服务DoS是一种潜在的有害攻击,它通过大量无用的数据包充斥目标服务器,造成大量的计算,从而在几秒钟内降低目标服务器的性能。这将导致在目标受害者上运行的关键业务服务的工作量下降。为了应对这种DoS攻击,人们进行了各种研究,并实现了各种安全系统和协议。这些入侵系统包括基于特征的、基于异常的以及其他各种网络入侵系统。该系统的主要缺点是检测精度差。 |
| 该领域的另一种方法是多元相关分析,即提取已知法向轮廓的几何特征,并将其与参考轮廓进行映射,作为进一步检测未知轮廓的参考。该方法已被批准,可用于DoS检测。但单靠这种方法还不足以达到最大的精度,这是该领域研究的关键部分。为了解决这一问题,所提出的体系结构将基于行为的攻击检测与现有的基于多元相关分析(MCA)的攻击检测系统集成在一起。 |
| 基于行为的系统提取所有行为,这些行为由一组属性模式组成,包括源IP、源端口、校验和、窗口大小、有效载荷长度等。为了存储这些行为,系统维护了数据库结构。在MCA检测后使用这些行为来提高系统的准确性。 |
相关工作 |
| 为了有效地检测不同类型的DoS攻击,各种技术已经发展起来。这些技术已经显示出一些局限性,例如它们适用于某些网络流量。Zhiyuan Tan, Aruna Jamdagni, Xiangjian He, Priyadarsi Nanda1和Ren Ping Liu提出了一种对原始特征空间(一阶统计量)进行分析并提取一阶统计量[1]之间的多元相关性的技术。提取出来的多元相关,即二阶统计量,可以为准确描述网络流量记录保留重要的判别信息,这些多元相关可以成为DoS攻击检测的高质量潜在特征。利用KDD CUP 99数据集对该方法的有效性进行了评价,实验结果令人鼓舞。 |
| Shuyuan Jin, Daniel S. Yeung提出了一种技术,讨论了多元相关分析对DDoS检测的影响,提出了一种检测SYN flood攻击[2]的协方差分析模型。仿真结果表明,该方法对不同强度的DDoS攻击具有较高的检测准确率。该方法可以有效区分正常流量和攻击流量。事实上,这种方法甚至可以检测到与正常行为略有不同的非常微妙的攻击。该方法的线性复杂度使其具有实时检测的实用性。 |
| Mihui Kim, hyjung Na, Kijoon Chae, Hyochan Bang和Jungchan Na提出了一种技术,该技术提出了一种组合数据挖掘方法,用于建模正常和不同攻击[3]的流量模式。该方法使用自动特征选择机制来选择重要属性。利用神经网络对理论选择的属性进行分类。实验结果表明,与启发式特征选择和其他单一数据挖掘方法相比,该方法能在真实网络上提供最好的性能。 |
| Aikaterini Mitrokotsa, Christos Douligeris提出了一种技术,该技术提出了一种使用涌现自组织映射[4]检测拒绝服务攻击的方法。该方法基于拒绝服务攻击对“正常”流量和“异常”流量进行分类。该方法允许对日志中包含的事件进行自动分类和网络流量的可视化。大量的仿真结果表明,与之前提出的方法相比,该方法在假警报和检测概率方面是有效的。 |
| Haining Wang Danlu Zhang Kang G. Shin提出了一种简单而健壮的机制,称为变更点监控(CPM),用于检测拒绝服务攻击[5]。CPM的核心是基于固有的网络协议行为,是序列变点检测的一个实例。为了使检测机制对站点和流量模式不敏感,应用了非参数累积和(CUSUM)方法,从而使检测机制更健壮,更普遍适用,更容易部署。CPM不需要每个流的状态信息,只引入几个变量来记录协议行为。CPM的无状态性和较低的计算开销使其不受任何泛洪攻击的影响。作为案例研究,通过检测SYN泛洪攻击来评估CPM的有效性。最常见的DoS攻击。评价结果表明,CPM检测时延短,检测精度高。 |
算法 |
 |
提出工作 |
| 拟议的工作包括实现创新的入侵检测系统,使用多元相关分析与基于行为的系统集成,以最大精度检测拒绝服务攻击。该方法对网络流量进行监控并提取特征。这些特征与取自KDD Cup 99的参考标准特征进行映射。进一步将提取的法向特征应用于三角形区域图生成,计算所有法向特征的几何面积。与三角形地图区域一起,另一种被称为基于行为的模型提取正常剖面的行为模式并将其存储到数据库中。这一阶段是训练阶段,主要包括几何TAM (triangle Area Map)和正常行为模式的计算和存储。这些实体进一步用于在测试阶段对任何未知轮廓进行高精度分类。 |
建议的体系结构 |
| 提议的体系结构由三个步骤组成。在步骤1中,基本特征由进入受保护服务器所在的内部网络的流量生成,并用于形成一个明确的时间间隔的流量记录。在目标网络上的监视和分析通过只关注相关的入站流量来减少检测恶意活动的开销。这也使我们的检测器能够提供最适合目标内部网络的保护,因为检测器使用的合法流量配置文件是为较少数量的网络服务开发的。 |
| 第二步是多元相关分析,采用“三角区域图生成”技术,提取第一步中每条流量记录中两个不同特征之间的相关性,或者提取这一步中“特征归一化”模块规范化的流量记录(步骤2)。网络入侵的发生导致这些相关性发生变化,从而将这些变化作为识别入侵活动的指标。所有提取出来的相关性,即存储在三角区域图(triangle area map, tam)中的三角区域,用来替换原有的基本特征或归一化特征来表示交通记录。这提供了更高的鉴别性信息来区分合法和非法的流量记录。 |
| 步骤3在决策中采用基于行为的检测机制。行为模型提取正常人的重要行为并存储在正常人行为数据库中。然后将这些正常行为概要与测试的概要进行映射。该技术进一步提高了攻击检测的准确性。 |
仿真结果 |
| 仿真研究包括寻找数据包不同特征之间的多元方差,以及计算各特征之间的Pearson相关性。仿真结果是在R语言中使用标准数据集KDD Cup99进行计算的。下图所示的特征与标准数据集的已知正常剖面相关联。 |
| 图2显示了IP有效载荷长度与源端口之间的多方差图。图3显示了源端口和窗口大小之间的多方差图。图4显示了IP有效载荷长度与TCP报头长度之间的多方差图。图5显示了IP有效载荷长度、源端口、目的端口、TCP报头和TCP窗口大小之间的Pearson相关性。皮尔逊相关矩阵进一步用于计算TAM轮廓。 |
结论及未来工作 |
| 多元相关分析是有效的攻击检测,因为它计算几何三角形面积?S来自不同特征之间的相关性。这种方法关注所有可能的相关性组合,因此被证明是一种有效的措施,不仅在网络安全,而且在图像处理和机器学习。但是,由于攻击者总是改变攻击方式,因此无论采用何种创新系统,检测到攻击的概率都很低。为了应对这种变化,本文提出的基于行为的模型是最适合的。它通过监视攻击行为来确定攻击的主要症状。这包括攻击概要文件的各种特征的所有模式。与其他系统一样,该系统在训练阶段需要对网络轮廓进行大量的学习,但在充分的观察后可以获得最大的精度。在此背景下,未来的工作包括对行为模式的挖掘,这样就不需要将所有模式都存储在数据库中,只需要存储分类数据。这将提高检测速度,并将数据库的大小最小化。 |
数字一览 |
|
|
参考文献 |
- 谭志远,ArunaJamdagni, XiangjianHe,Priyadarsi Nanda,刘任平,“基于多元相关分析的拒绝服务攻击检测系统?,《IEEE并行与分布式系统汇刊》,第25卷,第2期,2014年2月
- ShuyuanJin,Daniel S. Yeung,“DDoS攻击检测的协方差分析模型?”IEEE通信学会0-7803-8533-0/04/$20.00 (c) 2004 IEEE香港研究资助局项目研究资助号B-Q571
- Mihui Kim, Hyunjung Na, KijoonChae, Hyochan Bang和Jungchan Na,“一种用于DDoS攻击检测的组合数据挖掘方法?”ICOIN 2004, LNCS3090, pp. 943-950, 2004斯普林格出版社柏林海德堡2004
- AikateriniMitrokotsa, Christos Douligeris,“使用涌现自组织映射检测拒绝服务攻击?”2005 IEEE信号处理与信息技术国际研讨会
- 志远Tan1;一边抚摸Jamdagni1;何向健1,Priyadarsi Nanda1,刘任平,“基于欧几里得距离地图的网络轨迹表征多元相关分析技术?”
- Lata1, InduKashyap,“基于网络的入侵检测系统研究与分析?,International Journal of Advanced Research in Computer andCommunication Engineering Vol. 2, Issue 5, May 2013
- 阿乔伊·库马尔,爱德华多·b·费尔南德斯,?入侵检测系统的安全模式?,1st LACCEI International Symposium on Software Architecture andPatterns (LACCEI-ISAP-MiniPLoP?2012), July 23-27, 2012, Panama City, Panama
- Punit Gupta,“云IaaS的基于行为的IDS ?国际软件与网络科学杂志(IJSWS)
|
菜单
