0 引言

    移動互聯網的攻擊事件可以按照攻擊意圖分為4種類型：DoS攻擊(拒絕服務攻擊)^[1]、R2L攻擊(遠程用戶攻擊攻擊)^[2]、U2R攻擊(提權攻擊)^[2]、Probe攻擊(掃描端口攻擊)^[3]。分布式拒絕服務攻擊(DDoS)是一種分布式的DoS攻擊技術^[4]，現有的攻擊檢測算法大多采用監督學習的算法來確定正常行為與異常行為的分類標記，但監督學習類算法在檢測之前需要進行復雜的學習過程，極大地降低了系統的實時性^[5]。文獻[6]提取攻擊流量并將流量建模為一個盲源分離過程，提出了基于快速ICA(Independent Component Analysis)的攻擊流特征提取算法，該方案對于RoQ具有較高的檢測準確率，但對于其他類型的攻擊沒有效果。文獻[7]設計了使用信號處理技術建模網絡流量的時間幀，該方案實現了異常網絡流量的盲檢測，但是無法分析與識別攻擊的具體類型與細節信息。

    當前的移動互聯網規模極大，對網絡攻擊技術的計算效率與檢測準確率均具有極高的要求，本文設計了移動互聯網的實時盲檢測與識別算法。將特征分析技術與模型階數選擇技術融合，無監督地檢測網絡攻擊的時段；然后，設計了實時的相似性分析算法，分析網絡攻擊的類型、端口等細節信息?；诠_網絡數據集進行了實驗，結果證明本算法實現了較高的檢測準確率與合理的計算時間。

1 網絡攻擊的檢測與分析技術

    圖1所示是本文網絡攻擊檢測與分析技術的流程框圖，具體步驟：(1)提取每個時段的最大特征值；(2)結合最大特征值與模型階數選擇技術來檢測該時段是否存在攻擊行為；(3)通過特征值分析來識別攻擊的類型；(4)設計了相似性分析方案來分析攻擊的細節信息。

1.1 數據模型

    本文采用文獻[7]的數據模型，將網絡流量數據集建模為信號累加形式，假設網絡流量為X，合法流量為U，噪聲為N，異常流量為A，則可獲得下式：

1.2 時間幀的最大特征

1.3 模型階數選擇技術

1.4 特征值分析

    隨后應當分析攻擊的更多細節信息，設計了余弦相似性分析技術來度量合法流量與異常流量。

1.5 特征相似性分析

    使用余弦相似性度量V^(q)的最顯著特征向量與受攻擊時段最顯著特征向量之間的相似性。

1.5.1 時間相似性分析

    合法流量與惡意流量的余弦相似性計算為：

    圖2所示是將網絡流量添加到特征向量尾端的相似性疊加方案實例。根據式(10)計算s_n值，如果s_n=1，那么兩個特征向量完全相似，即未檢測到異常，s_n值越小表示相似性越低。定義一個相似性閾值l，如果s_n<l，表示在第n分鐘檢測到網絡攻擊，因此，是否存在攻擊行為的計算方法為：

1.5.2 端口相似性分析

2 實驗與結果分析

2.1 真實場景的實驗與結果分析

2.1.1 實驗環境與參數設置

    實驗的時長為120 min，分為6個時段，每個時段為20 min，每個采樣周期的時間(時隙)是1 min，因此N=20。為每個時段q建立一個流量矩陣協方差為(式(3))，采樣的協方差矩陣為其中q=1，2，…，6。

    實驗開始于14:00，第一個時段從14:00～14:20(q=1)，每20 min為一個時段，網絡共設置5個端口。實驗過程中合法用戶進行合法的訪問，攻擊者的攻擊行為如下：在14:54對端口1進行一個端口掃描攻擊，在15:10～15:20對端口1進行synflood攻擊，在15:30～15:40對端口1進行fraggle攻擊。

2.1.2 實驗結果與分析

    本算法獲得網絡流量每個時段的最大特征值，通過流量的特征值分析網絡的攻擊行為，觀察攻擊行為的特征值變化。圖3所示為根據網絡流量的協方差矩陣計算的特征值，用以檢測synflood攻擊行為。圖3中顯示端口1在第4個時段的特征值明顯高于其他時段、其他端口的特征值，與實驗中發動synflood攻擊的時間吻合。

    圖4所示為根據網絡流量的協方差矩陣計算的特征值，用以檢測fraggle攻擊行為。圖4中顯示端口1在第5個時段的特征值明顯高于其他時段、其他端口的特征值，與實驗中發動fraggle攻擊的時間吻合。

    圖5所示為根據網絡流量的協方差矩陣計算的特征值，用以檢測端口掃描攻擊行為。圖5中顯示端口1在第3個時段的特征值明顯的高于其他時段、其他端口的特征值，與實驗中發動端口掃描攻擊的時間吻合。

    表1所示是6個時段對于端口掃描攻擊、synflood攻擊與fraggle攻擊檢測的最大特征值，從表中可看出，在q=4，發生了synflood攻擊，此時的最大特征值約為第二大特征值的21倍；在q=5，發生了fraggle攻擊，此時的最大特征值約為第二大特征值的29 000倍。在q=3，發生了端口掃描攻擊，此時的最大特征值約為第二大特征值的4倍。

    從表1的結果，可看出攻擊行為導致最大特征值與其他特征值具有顯著的差異。采用樣本協方差矩陣建模synflood攻擊的特征值，采用零均值的協方差矩陣建模端口掃描攻擊的特征值。

2.2 基于DARPA公開數據集的實驗

    基于公開的DARPA 1998數據集[11]進行攻擊檢測實驗，DARPA數據集包含7個星期網絡流量的原報文數據，將流量與標記的攻擊按照日期分組。對每天24小時的網絡流量均進行攻擊檢測與分析，將24小時的網絡流量分為Q個時段，每個時段為60 min(N=60)。對于每個時段q，計算該時段的流量矩陣實驗流量數據的端口號分別為20，21，22，23，25，79，80，88，107，109，110，113，115，143，161，389，443。

    因為本文主要檢測與分析synflood攻擊與端口掃描攻擊，所以統計了這兩個攻擊的檢測準確率結果。采用TP^[12]、FP^[12]與誤檢率^[13]3個指標評估攻擊檢測的準確率，文獻[14]是近年一種基于統計分析的攻擊檢測算法，與本算法較為接近；文獻[15]是一種基于擴散小波的攻擊檢測算法，該算法對端口掃描攻擊具有較好的效果。

    表2所示是攻擊檢測的實驗結果。本算法對于synflood攻擊的TP值、FP值與誤檢率分別為100%、6%與5%，而文獻[14]的TP結果為82%，明顯低于本算法。雖然本算法具有一定的誤檢率與FP值，但是均較小。本算法對于端口掃描攻擊的TP值、FP值與誤檢率分別為76.92%、8.52%與3.73%，而文獻[15]的TP結果為63.00%，略低于本算法。

3 結束語

    本文設計了移動互聯網的實時盲檢測與識別算法。將特征分析技術與模型階數選擇技術融合，無監督地檢測網絡攻擊的時段；然后，設計了實時的相似性分析算法，分析網絡攻擊的類型、端口等細節信息。最終，基于真實實驗與公開網絡流量數據集的實驗結果證明了本算法對于synflood攻擊與端口掃描攻擊表現出了較好的效果。

參考文獻

[1] 李昆侖，董寧，關立偉，等.一種改進Kohonen網絡的DoS攻擊檢測算法[J].小型微型計算機系統，2017(3)：450-454.

[2] 康松林，劉樂，劉楚楚，等.多層極限學習機在入侵檢測中的應用[J].計算機應用，2015，35(9)：2513-2518.

[3] 王輝，劉淑芬，張欣佳.信息系統“Insider threat”分析及其解決方案[J].吉林大學學報(工學版)，2006，36(5)：809-813.

[4] 姜華林，李立新，黃平，等.有效防御DDoS攻擊的密鑰交換協議的設計研究[J].西南師范大學學報(自然科學版)，2009，34(2)：127-131.

[5] 楊曉峰，李偉，孫明明，等.基于文本聚類的網絡攻擊檢測方法[J].智能系統學報，2014(1)：40-46.

[6] 榮宏，王會梅，鮮明，等.基于快速獨立成分分析的RoQ攻擊檢測方法[J].電子與信息學報，2013，35(10)：2307-2313.

[7] TENORIO D，COSTA J，JUNIOR R S.Greatest eigenvalue time vector approach for blind detection of malicious traffic[C].The Eighth International Conference on Forensic Computer Science，2013：46-51.

[8] JIN S，YEUNG D S.A covariance analysis model for DDoS attack detection[C].IEEE International Conference on Communications.IEEE，2004，14：1882-1886.

[9] LAKHINA A，CROVELLA M，DIOT C.Mining anomalies using traffic feature distributions[C].Conference on Applications，Technologies，Architectures，and Protocols for Computer Communications.ACM，2005：217-228.

[10] TENORIO T，BITTENCOURT I I，ISOTANI S，et al.Dataset of two experiments of the application of gamified peer assessment model into online learning environment MeuTutor[J].Data in Brief，2017，12(C)：433-437.

[11] OSANAIYE O，CHOO K K R，DLODLO M.Distributed denial of service(DDoS) resilience in cloud：Review and conceptual cloud DDoS mitigation framework[J].Journal of Network & Computer Applications，2016，67(C)：147-165.

[12] SENN S.Review of Fleiss，statistical methods for rates and proportions[J].Research Synthesis Methods，2011，2(3)：221-222.

[13] BHUYAN M H，BHATTACHARYYA D K，KALITA J K.Network anomaly detection：Methods，systems and tools[J].IEEE Communications Surveys & Tutorials，2014，16(1)：303-336.

[14] CAMACHO J，PEREZ-VILLEGAS A，GARCIA-TEODORO P，et al.PCA-based multivariate statistical network monitoring for anomaly detection[J].Computers & Security，2016，59：118-137.

[15] SUN T，TIAN H.Anomaly detection by diffusion wavelet-based analysis on traffic matrix[C].2014 Sixth International Symposium on PAAP，2014：13-15.

作者信息:

史二穎1，王  正2

(1.常州機電職業技術學院，江蘇 常州213164；2.南京大學 電子科學與工程學院，江蘇 南京210093)